Digital Forensics With Kali Linux – Alberto Matus

Nella prossima serie di post sul blog esaminerò alcuni degli strumenti di Kali Linux nel campo della Digital Forensics. Ho fatto alcuni test sulla piattaforma per il mio MSc alla USF, e spero di condividere alcuni dei dettagli.

In sostanza, spero di affrontare alcuni degli strumenti di analisi di digital forensics nel progetto open-source Kali Linux. Come i computer si sono evoluti nel corso degli anni in diversi aspetti, così ha fatto il panorama degli strumenti di digital forensic. L’insieme diversificato di organizzazioni oggi ha reso popolari molti strumenti del mercato commerciale tra i professionisti del settore, ognuno con il proprio set di licenze proprietarie e politiche di utilizzo. Tuttavia, spesso dimentichiamo che ci sono strumenti open-source disponibili gratuitamente e con una vasta gamma di funzionalità. Tali applicazioni sono generalmente rilasciate sotto la GNU General Public License (GPL) che stabilisce che le applicazioni siano libere e che il codice sorgente sia disponibile a tutti. Questa fiorente comunità porta una serie di strumenti di digital forensic come quelli disponibili sotto il progetto Kali Linux. Questi post sperano di far emergere alcune delle virtù e delle capacità di questi strumenti open-source. Non si tratta assolutamente di un confronto con gli strumenti proprietari, né di un’analisi approfondita di ogni strumento, ma piuttosto di una panoramica delle diverse funzionalità e caratteristiche che alcuni degli strumenti possiedono.

Sinossi dei prossimi post

Con la crescita della tecnologia e la dipendenza da questi sistemi a tutti i livelli, c’è stato un aumento dei crimini informatici. Questo porta valore e importanza al campo della digital forensics nella cybersecurity. Per condurre indagini forensi digitali si deve essere equipaggiati con il giusto set di strumenti. La maggior parte degli esperti di digital forensic usa un vasto numero di strumenti commerciali e a volte trascura di rendersi conto che ci sono alternative di strumenti open source. Di conseguenza, il progetto open-source Kali Linux è stato esaminato come una potenziale risorsa nel campo della digital forensics con i seguenti obiettivi:

1. Installare, configurare e utilizzare Kali Linux come ambiente digital forensic.
2. Esplora la flessibilità, la potenza e il controllo del sistema operativo Kali Linux come piattaforma forense.
3. Descrive gli strumenti forensi di Kali Linux.
4. Indaga le capacità di Kali Linux come risorsa per la Digital Forensic.
5. Esplora e investiga sei diversi strumenti nell’ambiente forense di Kali Linux che contengono: Hashing, Forensic Imaging, File Carving, Network Forensics, Reporting Tools, e l’analisi completa del caso con l’Autopsy / SleuthKit.
6. Analizzare, eseguire, e comprendere l’analisi della raccolta dati su un approccio passo dopo passo ad un caso.
7. Esplorare e studiare la modalità forense avviabile di Kali Linux.

Obiettivo 1 – Questo obiettivo è stato completato al fine di presentare questo documento insieme ai risultati.

Obiettivo 2 – Kali Linux ha dimostrato la sua potenza potenziale non solo con gli strumenti di digital forensics ma anche con la grande varietà di applicazioni generali e di penetration testing. Come piattaforma Linux e open-source, ha permesso la flessibilità di installare e configurare diversi pacchetti per soddisfare le proprie esigenze. Questo potrebbe essere visto in casi come quelli di Scalpel, Testdisk / PhotoRec, e Cuckoo. Con il codice sorgente disponibile, e l’accesso a tutti i file di sistema si potrebbe facilmente manipolare l’intero sistema.

Obiettivo 3 – Questo articolo descrive alcuni dei fondamenti della digital forensics, il software open-source, e la storia del progetto Kali Linux insieme ai suoi strumenti di digital forensic.

Obiettivo 4 – Sono state condotte indagini su più di sei strumenti per indagare le capacità di Kali Linux come risorsa di digital forensics.

Obiettivo 5 – Gli strumenti utilizzati nelle diverse aree predefinite sono i seguenti:

• Hashing – Guymager, DC3DD, Autopsy, The Sleuth Kit
• Forensic Imaging – DC3DD, Guymager
• File Carving e Data Recovery – Foremost, Scalpel, Bulk_extractor, Testdisk / PhotoRec
• Strumenti di reportistica – Xplico, The Cuckoo Sandbox, Autopsy
• Analisi completa del caso – The Cuckoo Sandbox, Xplico, Autopsy / The Sleuth Kit. Tuttavia, questo non è stato completamente costruito per soddisfare ogni scenario di caso. Un’analisi del caso molto buona avrebbe potuto espandersi oltre la linea temporale di questo progetto. Come tale, sono stati esplorati solo i fondamenti.

Altre aree che sono state esplorate ma non negli obiettivi iniziali erano:

• Network Forensics – Xplico
• Analisi del Malware – The Cuckoo Sandbox

Obiettivo 6 – La raccolta e l’analisi dei dati sono state eseguite nella maggior parte dei casi. Tuttavia, fasi importanti in un processo passo dopo passo possono essere state trascurate. Questo perché molta attenzione è stata messa da parte per testare le capacità dei diversi strumenti.

Obiettivo 7 – L’obiettivo era quello di utilizzare la modalità Live Forensic per acquisire e analizzare artefatti di file e directory. Tuttavia, dopo molte ricerche si è scoperto che le capacità della modalità Live Forensic erano le stesse di quelle già installate sul sistema usato per i test. La modalità Live Forensic essenzialmente rende le cose facili e veloci. Precarica Kali Linux con tutto il software forense che potrebbe essere necessario per un compito. È anche importante notare che quando la modalità live forense è in gioco, il disco rigido del sistema in cui viene avviato non viene mai toccato. Né vengono utilizzate partizioni di swap in questo processo, né vengono montati automaticamente i dispositivi multimediali rimovibili. Fondamentalmente, la modalità forense non dovrebbe manomettere nulla, a meno che non sia specificamente indicato dall’utente a farlo. In definitiva, questo è stato visto come un obiettivo che potrebbe essere deviato e testato con il sistema installato già esistente.