« Helix per attività d’indagine forense »

Dopo l’articolo sul programma forense della Microsoft sono state una decina l’e-mail di semi-protesta che speravano in qualche collegamento a programmi interessanti/ricreativi. Con questo post spero di porre rimedio alla cosa esortandovi tutti quanti a non usare in maniera sbagliata le informazioni che elargisco. I lamer smettano di leggere perché non c’è nulla che possa interessargli visto che non hanno voglia di studiare.

L’attività d’analisi investigativa forense informatica abbraccia varie branche. Va conosciuto ogni aspetto che circonda ogni sistema operativo: dalla struttura e l’organizzazione dei vari SO, ai protocolli di trasmissione e immagazzinamento dei dati, metodologie di mascheramento e depistaggio, linguaggi di programmazione per il debug, un continuo studio, aggiornamento e molto altro ancora tutto ovviamente mantenendo integri e inalterati i dati prima, durante e dopo l’analisi.

Lo scopo di un forense informatico non è quello di trovare vulnerabilità o “rubare” password per leggere le e-mail altrui, ma è quello di analizzare un computer, raccogliere tutte le informazioni compiute dal suo utente, saper dire com’è stato utilizzato, cosa ci ha fatto, quando, come e con quali mezzi. Per fare questo, il forense, ha bisogno di molteplici software che lo possono aiutare notevolmente. Ovviamente non basta e alla fine è necessaria comunque un’interpretazione umana dei dati raccolti. Considerate l’esempio che su un computer sia stata ritrovata un’immagine o un video pedo-pornografici. Questo non deve obbligatoriamente indurre l’investigatore forenze ad etichettare l’utente del computer come un pedofilo. Va capito come i file sono arrivati ad essere salvati sul computer dell’indagato. Uno scenario tipico sono file scaricati dai canali p2p dove molto spesso succede di scaricare un file con un determinato nome per poi scoprire in realtà che si trattava di tutt’altro.

Attualmente non esiste un unico applicativo che racchiuda insieme tutti questi software poiché non c’è solo Windows come sistema operativo. Mi sento però di indicarvi qualcosa per chi è realmente interessato a questo ramo dell’informatica e che sicuramente non rimarrà deluso.

Helix live CD è il primo live cd pubblico per attività forensi. Creato da “amatori” del settore contiene al suo interno una quarantina di programmi per il recupero e l’analisi d’informazioni. Il suo utilizzo non è da sottovalutarsi ed è da utilizzare solo per attività di ricerca d’informazioni perdute o volutamente cancellate. Non contiene dunque software studiati specificatamente per Windows, anche se ha comunque qualcosa di utile.

Come si usa Helix: una volta scaricati i 700 MB d’immagine cd, prendete il vostro software di masterizzazione preferito e createvi il vostro cd. A masterizzazione completata riavviate il computer con l’Helix nel lettore e se nel bios il First boot è il cd, dovrebbe avviarsi l’esecuzione. Helix, come tutti i live cd e in perfetto stile forense, non installa e non sporca in alcun modo le partizioni del computer. Helix copia parte di se nella memoria volatile del computer, meglio nota come RAM, quindi una volta spento il computer, nessuna vedrà il suo passaggio. Il cd è avviabile anche da sistema già avviato.

Vorrei precisare che in alcun modo un’investigatore forense utilizzerà Helix come strumento d’indagine prefessionale. Helix ha tanti buon applicativi, molti validissimi, ma nello scenario professionale nulla batte prodotti a pagamento, questo è il mio parere per l’esperienza che ho avuto sopratutto nell’analisi dei dati cancellati. Concludendo è uno strumento molto valido per giocherellarsi ed entrare in questo modo affascinante, e perchè no, anche per crearsi un valido lavoro.

I software che vedo maggiormente in questo lavoro sono X-Ways Forensics ed EnCase Forensics, giusto per aver un’idea di cosa stiamo parlando.