Cari bloggers questo mese parliamo di distribuzioni per la Computer Forensics, ma lo scopo di questo post è in realtà quello di farcapire alle persone il rapporto privacy/sicurezza che di questi tempi è bene tenere sempre presente.Premetto che adoro le distribuzioni per la Computer Forensics, maquesto è solo un mio personale vizio informatico. ;-))Devo dire che usando queste distro, ho potuto risolvere migliaiadi problemi, e quindi oggi dovevo assolutamente fare un nuovopost su questo argomento per rendere giustizia al grande lavoroche viene svolto dai programmatori dei tool forensi e daglisviluppatori delle distribuzioni che li raccolgono e li rendonodisponibili a tutti. :-)Iniziamo dunque con le dovute spiegazioni, molti dei miei utentiavevano chiesto se la sicurezza informatica dei loro sistemipoteva essere compromessa dall'uso indiscriminato di particolaridistribuzioni create per la Computer Forensics, infatti questopost vuole trattare proprio questo argomento per comprendere come vengono usate queste distribuzioni, ma molte volte è l'eticapersonale dell'operatore che decide se effettuare o meno unaricerca mirata di informazioni violando la privacy degli utenti.Le distribuzioni per la computer forensics, sono state sviluppateproprio per questo motivo, ovvero trovare tracce informatiche chepossano essere usate come prova valida di un crimine.E i crimini informatici ormai sono all'ordine del giorno, non sono da meno il terrorismo e le truffe informatiche, ma la computer forensics si è evoluta e oggi viene usata sempre di più anche percrimini che non hanno a che fare con la tecnologia in particolare.Trovare le prove informatiche per i presunti terroristi, oggipuò essere un problema, in quanto esistono sezioni di sviluppoper il software gestite direttamente in questo caso dall'isis.E le distribuzioni per la Computer Forensics come se la cavano?Direi che se la cavano abbastanza bene, anche se le cifraturesviluppate e distribuite dai suddetti gruppi terroristici hannoal loro interno una notevole tecnologia in grado di dare moltofilo da torcere alle varie sezioni di Intelligence del mondo.Le cifrature che utilizzano "chiavi effimere", ovvero che sonovalide per il solo transito dei dati, sono anche quelle che possonodare i maggiori problemi per poter trovare delle prove validedurante un'indagine informatica a questi livelli.La cifratura dei dati viene fatta in diversi modi, ma tutti hannosempre un nucleo di partenza che converte i dati in altre sequenzedi dati più o meno comprensibili ad un eventuale osservatore.Trovare evidenze digitali per il problema della cifratura è statoed è sempre più difficile, ma in alcuni casi è stato risoltotrovando i colpevoli, chi si ricorda gli avvenimenti della reteTor può capire bene di cosa sto parlando. :-)Parlando ancora di digital forensics, ci si rende conto che ormaiquesta disciplina ci porta davvero molto lontano, e che se appenaquindici anni fa parlare di evidenze digitali era consideratapura eresia, oggi si trovano "esperti forensi" un po dappertuttoma il consiglio che posso dare è certamente questo: affidatevisolo a professionisti, perché molti di questi "esperti" potrebberonon risolvere il caso che voi avete affidato a loro, e le vostreprove fisiche potrebbero andare perdute per sempre, lasciando levostre indagini ad un punto morto.Il nuovo mercato che oggi si apre alla Digital Forensics, è moltovasto, e in questo oceano di dati, troviamo anche i classici"squali informatici", ovvero esperti improvvisati che tentano difare parecchi soldi sfruttando le loro poche conoscenze informaticheprendendo lavori sia da aziende che da privati cittadini.Dunque, posso capire la necessità delle aziende che devono difendersidallo spionaggio industriale, ma i cittadini??? ;-))Il privato cittadino è sempre molto curioso di sapere tutto quelloche fanno gli altri suoi vicini, o quello che la moglie fa al computer, se ha l'amante o meno, allora entra in gioco la curiositàe il semplice cittadino si trasforma in un investigatore digitale.Da tutto questo, si evince che la privacy può essere violata indiversi modi, usando appunto anche le distribuzioni forensi.Un banale esempio di una scena del crimine: la moglie usa i social network, il marito geloso controlla a suainsaputa il pc della moglie cercando delle evidenze digitali, poi riesce a ricostruire l'evento e ad incastrare la moglie... ;-)))Non vi dico quante volte mi è stato chiesto di effettuare questotipo di indagine, che esula però dai miei impegni informatici e pertanto ho sempre risposto di non essere disponibile a svolgerle.Le evidenze digitali che vengono cercate e usate dagli "esperti" improvvisati sono proprio queste, gelosie tra moglie e marito eil controllo dei figli e dei loro telefoni cellulari. ;-)Da una parte la Digital Forensics applicata ai figli va bene persapere se compiono atti illegali o se frequentano cattive compagnie.Dalla parte della privacy invece si potrebbero creare delledivergenze che potrebbero portare allo scontro i membri di tuttala famiglia. Per una normativa sulla Digital Forensics, potete cercare in retelo standard ISO27037.Continuiamo a fare le nostre valutazioni, le distribuzioni GNU/Linux costruite per trovare le evidenze digitali, possonocome in questi casi, essere usate benissimo anche per altri scopinon previsti dalla distribuzione stessa.Come per tutte le cose, abbiamo anche qui un lato buono e un latooscuro, e talvolta, il confine tra i due è davvero effimero...;-)Pertanto, che cosa abbiamo visto in questo semplice post?Abbiamo capito che il confine tra il bene e il male esiste ed èbasato essenzialmente sull'etica formata dal singolo operatore,ma a volte gli operatori improvvisati varcano questo confinesenza rendersi conto delle conseguenze, violando l'etica professionale che un vero esperto deve sempre avere e la privacydei singoli utenti.Esistono distribuzioni GNU/Linux create per distruggere qualsiasiarchivio informatico, queste tecniche fanno parte di quella cheviene definita oggi Anti-Digital-Forensics, ovvero l'altro latodella medaglia della Digital-Forensics.In questo campo troviamo le cifrature di livello avanzato, comequelle utilizzate nei propri plug-in di comunicazione dall'isis, Gimf e Ftc, in programmi di messaggistica istantanea come Pidgin.Le piattaforme di cifratura più diffuse nei moderni gruppiterroristici sono il plug-in Asrar Al-Dardashah, sviluppato dal Gimf nel 2013, quindi Tashfeer Al-jawwal sempre del 2013 usatoper i telefoni che si basano sul sistema operativo Symbian eAndroid.In seguito al deterioramento dei rapporti tra i vari gruppi, nel2013 l'isis ha sviluppato Asrar Al-Ghurabaa, mentre una alternativaè stata proposta dal Ftc nel dicembre dello stesso anno con ilnome di Amn Al-Mujahid.Da tutto questo si evince che l'informazione cifrata è ad oggiil dato più ricercato e piu studiato, non solo in ambito forensema anche come abbiano visto, sia da delinquenti che da terroristi.Esistono poi altri sistemi che consentono di distruggere interiterabyte di dati in pochi secondi, lasciando gli investigatori digitali praticamente a bocca asciutta, senza avere la minima possibilità di recuperare più alcuna informazione utile.In questo caso se l'archivio era anche cifrato, allora le cosesi complicano e i risultati di una indagine di questo tipo nonsono affatto scontati o prevedibili...;-))Per capire meglio le investigazioni digitali su computer, esistonoalcuni tool liberi, che permettono agli utenti del sistema operativoWindows di capire cosa non va nel loro computer oppure se e comepuò essere stato usato da altre persone e per fare cosa, lasciandol'utente originale come succede spesso, nei guai anche con lagiustizia... ;-)Per usare questi tool dovete scaricare un unico eseguibile daquesto sito web: http://win-ufo.org/downloads.shtmlil peso è di circa 340 Mb, quindi fate attenzione se scaricate da reti mobili per poi trasferirlo sul sistema, in base al vostropiano tariffario potrebbe costarvi tempo e denaro, meglio se usate un wifi libero o una connessione a ore. :-)Potete usare anche un altro software per Windows scaricabile a questo indirizzo web: http://www.sleuthkit.org/autopsy/Come spiega la pagina, Autopsy è un sistema grafico di interfacciamento a The Sleuth Kit una libreria di comandi perl'investigazione del filesystem a linea di comando.Per gli utenti GNU/Linux che vogliono provare a spippolare uncomputer facendo gli investigatori digitali, devo segnalare i miei due progetti D.F. preferiti:C.A.IN.E.Computer Aided Investigative Environmenthttp://www.caine-live.net/DEFTDigital Evidence & Forensic Toolkithttp://www.deftlinux.net/it/Per le persone che lo hanno chiesto, volevo precisare che il sistemaRATTO 7 non fa parte di quelle che si possono definire davvero"distribuzioni per Computer Forensics", come i progetti sopraelencati che seguo, ma fa parte di un programma per l'anonimatoe la privacy, e per questo motivo alcuni utenti hanno pensato che questo sistema potesse essere usato anche per l'Anti-Digital-Forensics che è tutta un'altra cosa.Durante le mie ricerche, studio sempre i sistemi anti-forensicsper costruire poi alcuni programmi che possano rilevare tutti iparticolari tentativi di nascondere le tracce, e vi posso garantireche si impara molto guardando i due lati di questa medaglia. :-))Essere anonimi non vuole dire essere per forza anche dei volgari delinquenti, il sistema RATTO ha salvato migliaia di installazioninegli ultimi anni, ed è stato usato per i test di darknet intelligence sulle reti cifrate, viene usato oggi come base diapprendimento per corsi informatici e per lo sviluppo di nuoviprogrammi e servizi per la navigazione su rete cifrata.IL progetto "RATTO" è quindi giustamente "anonimo", anche se a suo tempo ne ho parlato apertamente su questo blog, e rispondendoalla domanda che era stata fatta per questo post, la risposta è "SI", si può usare anche una distribuzione per la Computer Forensicsper violare la privacy di qualsiasi utente. :-))Concludendo, rispondo ad un'ultima domanda fatta durante la primapreparazione di questo post: il mio profilo psicologico è di tipoinvestigativo, ma questo non vuole dire che io debba fare per forzaquesto tipo di lavoro, e non ha nulla a che vedere con le distribuzioni GNU/Linux per le investigazioni forensi, anche sele uso parecchio per le mie ricerche.Usare una distribuzione per la computer forensics non vuole direessere un investigatore digitale, io sono semplicemente una personanormale a cui piace sperimentare e creare nuovi programmi per farecose diverse sulle varie reti cifrate e in chiaro. :-)Conoscere il proprio profilo psicologico è utile per deciderequale strada prendere, è utile per migliorarsi e per cercare difare ancora meglio quello che ci piace, ma come dicevo prima, nondevo essere per forza un investigatore...(e non lo sono...) ;-)))(di questa cosa, ne riparleremo più avanti...) :-)Quindi, cari utenti e cari bloggers, usate questi strumenti perdivertirvi e per imparare, ma soprattutto seguite la giusta eticae non fatevi passare per "professionisti" se non lo siete, ci sono davvero troppi falsi investigatori digitali che sfruttanoqueste situazioni per fare soldi facili. Bene, spero di avere chiarito tutte le situazioni informatiche chemi erano state richieste con buona insistenza, e come sempre unsaluto a tutti voi, buona navigazione e buon divertimento. ;-))
Computer Forensics: le investigazioni digitali.
Cari bloggers questo mese parliamo di distribuzioni per la Computer Forensics, ma lo scopo di questo post è in realtà quello di farcapire alle persone il rapporto privacy/sicurezza che di questi tempi è bene tenere sempre presente.Premetto che adoro le distribuzioni per la Computer Forensics, maquesto è solo un mio personale vizio informatico. ;-))Devo dire che usando queste distro, ho potuto risolvere migliaiadi problemi, e quindi oggi dovevo assolutamente fare un nuovopost su questo argomento per rendere giustizia al grande lavoroche viene svolto dai programmatori dei tool forensi e daglisviluppatori delle distribuzioni che li raccolgono e li rendonodisponibili a tutti. :-)Iniziamo dunque con le dovute spiegazioni, molti dei miei utentiavevano chiesto se la sicurezza informatica dei loro sistemipoteva essere compromessa dall'uso indiscriminato di particolaridistribuzioni create per la Computer Forensics, infatti questopost vuole trattare proprio questo argomento per comprendere come vengono usate queste distribuzioni, ma molte volte è l'eticapersonale dell'operatore che decide se effettuare o meno unaricerca mirata di informazioni violando la privacy degli utenti.Le distribuzioni per la computer forensics, sono state sviluppateproprio per questo motivo, ovvero trovare tracce informatiche chepossano essere usate come prova valida di un crimine.E i crimini informatici ormai sono all'ordine del giorno, non sono da meno il terrorismo e le truffe informatiche, ma la computer forensics si è evoluta e oggi viene usata sempre di più anche percrimini che non hanno a che fare con la tecnologia in particolare.Trovare le prove informatiche per i presunti terroristi, oggipuò essere un problema, in quanto esistono sezioni di sviluppoper il software gestite direttamente in questo caso dall'isis.E le distribuzioni per la Computer Forensics come se la cavano?Direi che se la cavano abbastanza bene, anche se le cifraturesviluppate e distribuite dai suddetti gruppi terroristici hannoal loro interno una notevole tecnologia in grado di dare moltofilo da torcere alle varie sezioni di Intelligence del mondo.Le cifrature che utilizzano "chiavi effimere", ovvero che sonovalide per il solo transito dei dati, sono anche quelle che possonodare i maggiori problemi per poter trovare delle prove validedurante un'indagine informatica a questi livelli.La cifratura dei dati viene fatta in diversi modi, ma tutti hannosempre un nucleo di partenza che converte i dati in altre sequenzedi dati più o meno comprensibili ad un eventuale osservatore.Trovare evidenze digitali per il problema della cifratura è statoed è sempre più difficile, ma in alcuni casi è stato risoltotrovando i colpevoli, chi si ricorda gli avvenimenti della reteTor può capire bene di cosa sto parlando. :-)Parlando ancora di digital forensics, ci si rende conto che ormaiquesta disciplina ci porta davvero molto lontano, e che se appenaquindici anni fa parlare di evidenze digitali era consideratapura eresia, oggi si trovano "esperti forensi" un po dappertuttoma il consiglio che posso dare è certamente questo: affidatevisolo a professionisti, perché molti di questi "esperti" potrebberonon risolvere il caso che voi avete affidato a loro, e le vostreprove fisiche potrebbero andare perdute per sempre, lasciando levostre indagini ad un punto morto.Il nuovo mercato che oggi si apre alla Digital Forensics, è moltovasto, e in questo oceano di dati, troviamo anche i classici"squali informatici", ovvero esperti improvvisati che tentano difare parecchi soldi sfruttando le loro poche conoscenze informaticheprendendo lavori sia da aziende che da privati cittadini.Dunque, posso capire la necessità delle aziende che devono difendersidallo spionaggio industriale, ma i cittadini??? ;-))Il privato cittadino è sempre molto curioso di sapere tutto quelloche fanno gli altri suoi vicini, o quello che la moglie fa al computer, se ha l'amante o meno, allora entra in gioco la curiositàe il semplice cittadino si trasforma in un investigatore digitale.Da tutto questo, si evince che la privacy può essere violata indiversi modi, usando appunto anche le distribuzioni forensi.Un banale esempio di una scena del crimine: la moglie usa i social network, il marito geloso controlla a suainsaputa il pc della moglie cercando delle evidenze digitali, poi riesce a ricostruire l'evento e ad incastrare la moglie... ;-)))Non vi dico quante volte mi è stato chiesto di effettuare questotipo di indagine, che esula però dai miei impegni informatici e pertanto ho sempre risposto di non essere disponibile a svolgerle.Le evidenze digitali che vengono cercate e usate dagli "esperti" improvvisati sono proprio queste, gelosie tra moglie e marito eil controllo dei figli e dei loro telefoni cellulari. ;-)Da una parte la Digital Forensics applicata ai figli va bene persapere se compiono atti illegali o se frequentano cattive compagnie.Dalla parte della privacy invece si potrebbero creare delledivergenze che potrebbero portare allo scontro i membri di tuttala famiglia. Per una normativa sulla Digital Forensics, potete cercare in retelo standard ISO27037.Continuiamo a fare le nostre valutazioni, le distribuzioni GNU/Linux costruite per trovare le evidenze digitali, possonocome in questi casi, essere usate benissimo anche per altri scopinon previsti dalla distribuzione stessa.Come per tutte le cose, abbiamo anche qui un lato buono e un latooscuro, e talvolta, il confine tra i due è davvero effimero...;-)Pertanto, che cosa abbiamo visto in questo semplice post?Abbiamo capito che il confine tra il bene e il male esiste ed èbasato essenzialmente sull'etica formata dal singolo operatore,ma a volte gli operatori improvvisati varcano questo confinesenza rendersi conto delle conseguenze, violando l'etica professionale che un vero esperto deve sempre avere e la privacydei singoli utenti.Esistono distribuzioni GNU/Linux create per distruggere qualsiasiarchivio informatico, queste tecniche fanno parte di quella cheviene definita oggi Anti-Digital-Forensics, ovvero l'altro latodella medaglia della Digital-Forensics.In questo campo troviamo le cifrature di livello avanzato, comequelle utilizzate nei propri plug-in di comunicazione dall'isis, Gimf e Ftc, in programmi di messaggistica istantanea come Pidgin.Le piattaforme di cifratura più diffuse nei moderni gruppiterroristici sono il plug-in Asrar Al-Dardashah, sviluppato dal Gimf nel 2013, quindi Tashfeer Al-jawwal sempre del 2013 usatoper i telefoni che si basano sul sistema operativo Symbian eAndroid.In seguito al deterioramento dei rapporti tra i vari gruppi, nel2013 l'isis ha sviluppato Asrar Al-Ghurabaa, mentre una alternativaè stata proposta dal Ftc nel dicembre dello stesso anno con ilnome di Amn Al-Mujahid.Da tutto questo si evince che l'informazione cifrata è ad oggiil dato più ricercato e piu studiato, non solo in ambito forensema anche come abbiano visto, sia da delinquenti che da terroristi.Esistono poi altri sistemi che consentono di distruggere interiterabyte di dati in pochi secondi, lasciando gli investigatori digitali praticamente a bocca asciutta, senza avere la minima possibilità di recuperare più alcuna informazione utile.In questo caso se l'archivio era anche cifrato, allora le cosesi complicano e i risultati di una indagine di questo tipo nonsono affatto scontati o prevedibili...;-))Per capire meglio le investigazioni digitali su computer, esistonoalcuni tool liberi, che permettono agli utenti del sistema operativoWindows di capire cosa non va nel loro computer oppure se e comepuò essere stato usato da altre persone e per fare cosa, lasciandol'utente originale come succede spesso, nei guai anche con lagiustizia... ;-)Per usare questi tool dovete scaricare un unico eseguibile daquesto sito web: http://win-ufo.org/downloads.shtmlil peso è di circa 340 Mb, quindi fate attenzione se scaricate da reti mobili per poi trasferirlo sul sistema, in base al vostropiano tariffario potrebbe costarvi tempo e denaro, meglio se usate un wifi libero o una connessione a ore. :-)Potete usare anche un altro software per Windows scaricabile a questo indirizzo web: http://www.sleuthkit.org/autopsy/Come spiega la pagina, Autopsy è un sistema grafico di interfacciamento a The Sleuth Kit una libreria di comandi perl'investigazione del filesystem a linea di comando.Per gli utenti GNU/Linux che vogliono provare a spippolare uncomputer facendo gli investigatori digitali, devo segnalare i miei due progetti D.F. preferiti:C.A.IN.E.Computer Aided Investigative Environmenthttp://www.caine-live.net/DEFTDigital Evidence & Forensic Toolkithttp://www.deftlinux.net/it/Per le persone che lo hanno chiesto, volevo precisare che il sistemaRATTO 7 non fa parte di quelle che si possono definire davvero"distribuzioni per Computer Forensics", come i progetti sopraelencati che seguo, ma fa parte di un programma per l'anonimatoe la privacy, e per questo motivo alcuni utenti hanno pensato che questo sistema potesse essere usato anche per l'Anti-Digital-Forensics che è tutta un'altra cosa.Durante le mie ricerche, studio sempre i sistemi anti-forensicsper costruire poi alcuni programmi che possano rilevare tutti iparticolari tentativi di nascondere le tracce, e vi posso garantireche si impara molto guardando i due lati di questa medaglia. :-))Essere anonimi non vuole dire essere per forza anche dei volgari delinquenti, il sistema RATTO ha salvato migliaia di installazioninegli ultimi anni, ed è stato usato per i test di darknet intelligence sulle reti cifrate, viene usato oggi come base diapprendimento per corsi informatici e per lo sviluppo di nuoviprogrammi e servizi per la navigazione su rete cifrata.IL progetto "RATTO" è quindi giustamente "anonimo", anche se a suo tempo ne ho parlato apertamente su questo blog, e rispondendoalla domanda che era stata fatta per questo post, la risposta è "SI", si può usare anche una distribuzione per la Computer Forensicsper violare la privacy di qualsiasi utente. :-))Concludendo, rispondo ad un'ultima domanda fatta durante la primapreparazione di questo post: il mio profilo psicologico è di tipoinvestigativo, ma questo non vuole dire che io debba fare per forzaquesto tipo di lavoro, e non ha nulla a che vedere con le distribuzioni GNU/Linux per le investigazioni forensi, anche sele uso parecchio per le mie ricerche.Usare una distribuzione per la computer forensics non vuole direessere un investigatore digitale, io sono semplicemente una personanormale a cui piace sperimentare e creare nuovi programmi per farecose diverse sulle varie reti cifrate e in chiaro. :-)Conoscere il proprio profilo psicologico è utile per deciderequale strada prendere, è utile per migliorarsi e per cercare difare ancora meglio quello che ci piace, ma come dicevo prima, nondevo essere per forza un investigatore...(e non lo sono...) ;-)))(di questa cosa, ne riparleremo più avanti...) :-)Quindi, cari utenti e cari bloggers, usate questi strumenti perdivertirvi e per imparare, ma soprattutto seguite la giusta eticae non fatevi passare per "professionisti" se non lo siete, ci sono davvero troppi falsi investigatori digitali che sfruttanoqueste situazioni per fare soldi facili. Bene, spero di avere chiarito tutte le situazioni informatiche chemi erano state richieste con buona insistenza, e come sempre unsaluto a tutti voi, buona navigazione e buon divertimento. ;-))