Distribuzioni forensi per Linux: a cosa servono e le migliori per le analisi forensi - Cyber Security 360

LA GUIDA COMPLETA

Distribuzioni forensi per Linux: a cosa servono e le migliori per le analisi forensi

Le distribuzioni forensi per Linux rappresentano uno strumento indispensabile per tutti i professionisti della digital forensics per eseguire attività anche complesse con costi prossimi allo zero. Ecco le migliori disponibili sul mercato

20 Ago 2020
B
Riccardo Berti

Avvocato, Centro Studi Processo Telematico

D
Paolo Dal Checco

Consulente Informatico Forense

Z
Franco Zumerle

Avvocato, Coordinatore Commissione Informatica Ordine Avvocati Verona

Le distribuzioni forensi per Linux sono sistemi che permettono di accedere a un PC e ai dati in esso contenuti senza alterarne lo stato e senza nemmeno utilizzarne l’ambiente preinstallato.

Spesso, infatti, quando si cerca una prova su un dispositivo informatico si presenta la necessità di poter accedere al dispositivo stesso in modalità “read only”, cioè con il vincolo di non poter scrivere sul disco e quindi alterarne il contenuto, per poterne fare una preview dei contenuti o per realizzarne ad esempio una copia forense.

Ricordiamo, a tal proposito, quanto riportato nei vari articoli del codice di procedura penale oggetto di modifica a seguito della Legge 48 del 2008 (Legge di ratifica ed esecuzione della Convenzione di Budapest del 2001 sulla criminalità informatica), che prescrive che l’acquisizione dei dati a fini probatori avvenga “adottando misure tecniche dirette ad assicurare la conservazione dei dati originali e ad impedirne l’alterazione“, “con una procedura che assicuri la conformità dei dati acquisiti a quelli originali e la loro immodificabilità.”

Distribuzioni forensi per Linux: cosa sono

Esistono diversi approcci a tale problematica, uno dei più utilizzati è appunto quello delle cosiddette “distribuzioni forensi”: Tsurugi, Caine, Deft e Forlex sono i nomi di alcune tra le più note distribuzioni di Linux realizzate per aiutare i professionisti della digital forensics a eseguire attività anche complesse con costi per l’utente finale prossimi, tra l’altro, allo zero.

WHITEPAPER
Le fasi del mining: stabilire un obiettivo e la criptovaluta. Scopri di più
Blockchain
Criptovalute

Questi sistemi hanno in comune un kernel (ovvero il nucleo del sistema operativo) Linux, con il suo completo controllo delle impostazioni hardware e software e le sue amplissime possibilità di personalizzazione, che si presta alla creazione di apposite distribuzioni (comunemente dette “distro”) ottimizzate per le funzioni più disparate. Queste distro sono spesso disponibili gratuitamente e create ed aggiornate da comunità di appassionati.

Nella maggior parte dei casi, poi, si tratta di sistemi operativi sviluppati in modo da poter essere avviati direttamente su di un computer in modalità “live” (via pendrive USB, CD o DVD) senza intaccare il sistema preesistente sul PC, oppure installati sul proprio computer o ancora su una macchina virtuale (detto in termini atecnici si tratta di un secondo sistema operativo “virtuale” installato su un sistema preesistente, come se fosse un programma inserito al suo interno). Tra queste, numerose “distro” sono state sviluppate per aiutare i professionisti del settore giuridico ad effettuare indagini digitali.

Distribuzioni forensi per Linux: cristallizzare le prove informatiche

Con l’avanzare della tecnologia è diventato progressivamente più importante cristallizzare la prova informatica e fare in modo che questa possa essere validamente prodotta in giudizio, adottando quindi un metodo che sia poi possibile documentare per poter ricostruire a ritroso il processo di acquisizione della prova.

Queste distribuzioni Linux spesso non sono quindi orientate solo ad acquisire la prova, ma anche a garantire che il processo di acquisizione sia documentabile e non attaccabile in giudizio e persino a permettere un’attività cosiddetta di “triage”, cioè anteprima dei contenuti in modo tale da poterne valutare ad esempio l’attinenza con l’indagine forense in corso.

Va notato, tra l’altro, che in questo settore sono presenti numerose ed interessanti soluzioni in buona parte italiane, che vengono utilizzate a livello internazionale.

Esamineremo le più interessanti tra queste distribuzioni per scoprire quali sono gli strumenti che offrono ai professionisti.

DEFT: la distribuzione forense per Linux italiana

Questa distribuzione, tutta italiana, è nata nel 2005 nell’ambito del corso di informatica forense dell’Università di Bologna, è gratuita ed open source e può essere installata su una postazione dedicata o in modalità “live” da chiavetta USB o CD.

Sul sistema DEFT dalla versione v7 (rilasciata nel 2012) è disponibile la suite DART (Digital Advanced Response Toolkit) che contiene numerosi strumenti per l’attività di cosiddetta “incident response” ovvero gli interventi da effettuare dopo la compromissione di un sistema operativo. DART contiene una serie di strumenti per PC Windows che consentono di eseguire ogni singolo programma in modalità sicura così da escludere (o, nel caso, individuare) file dannosi.

Questa distribuzione è particolarmente efficace per l’attività di copia forense: la versione Zero, infatti, si può avviare in modo particolarmente veloce e diretto sulla memoria RAM del computer “bersaglio” senza incidere sulla memoria di massa e lasciando libera, tra l’altro, la porta USB in cui è stata inserita la pendrive per l’avvio. DEFT, in versione completa, può essere inoltre utilizzato per il recupero di dati cancellati o per ricerche di Open Source Intelligence (OSINT).

Il progetto, che di recente ha affrontato qualche traversia ed è in un punto fermo, è stato aggiornato l’ultima volta nel 2018 con la versione DEFT Zero, particolarmente orientata all’acquisizione di copie forensi di dispositivi Windows, MAC e Linux (anche criptati) e DEFT XVA, suite che può essere avviata su Virtual Machine ed è utile per effettuare l’analisi dei dati raccolti (magari appunto tramite DEFT Zero). L’ultima release include anche nuovi strumenti per la mobile forensics, che sta assumendo sempre maggior rilievo.

SIFT: una workstation per le analisi forensi

SIFT è una workstation composta da una serie di software dedicate alle analisi forensi (tra cui strumenti per l’analisi del file system, inclusi nello sleuth kit, e per l’analisi delle reti, di cui si occupa wireshark), che è stata rilasciata inizialmente nel 2008.

SIFT, il cui nome sta per SANS investigative forensic toolkit, è il progetto nato all’interno dell’Istituto di formazione SANS (che a sua volta sta per SysAdmin, Audit, Networking, and Security), importante ente di formazione in ambito di sicurezza informatica. Il sistema è open source e gratuito e può essere installato come vera e propria distribuzione su Virtual Machine oppure anche solamente come pacchetto software su Linux Ubuntu.

La suite non si può utilizzare per avviare un PC in modalità “live” con le garanzie di non scrittura sui dispositivi, ma è particolarmente apprezzata per l’ampia versatilità e per la presenza di software dedicati all’attività di indagine su file immagine con strumenti di elaborazione, recupero, estrazione e analisi dei dati sempre nuovi e aggiornati.

CAINE: la distro italiana basata su Ubuntu

Seconda soluzione italiana che incontriamo, CAINE (Computer Aided INvestigative Environment) è una distribuzione nata nel 2008 e basata su Ubuntu. Si tratta sempre di una distribuzione open source e gratuita e anche CAINE può essere installata su una postazione dedicata o in modalità “live” da chiavetta o CD.

L’ultima release (CAINE Wormhole) è del 2019 e tra le novità include nuovi strumenti per la mobile forensics oltre che strumenti per il controllo remoto della distribuzione (per effettuare l’analisi anche senza che il tecnico sia fisicamente presente nel luogo in cui è situato il computer da analizzare).

Particolarmente interessante, in CAINE, è il fatto che tutti i device su cui viene utilizzato per effettuare attività di analisi forense vengono bloccati in modalità “read-only” (così da escludere che il tecnico possa “inquinare” la fonte di prova). Per intervenire e modificare i file è necessario un apposito comando di sblocco che deve essere esplicitamente attivato dall’operatore tramite linea di comando o interfaccia grafica.

Paladin: la distro con l’assistenza professionale

Paladin è una distribuzione Linux basata su Ubuntu, realizzata da Forensodigital e Sumuri e distribuita da quest’ultima dal 2010. Questa distribuzione è un po’ diversa dalle altre che stiamo esaminando in quanto non è interamente open source e viene distribuita in una versione “lite” gratuita e in versioni più complete a pagamento.

Nell’ultima versione è incluso anche il tool Autopsy, un software open source disponibile gratuitamente per Linux come prodotto stand-alone, che viene utilizzato per l’analisi di dischi rigidi e smartphone.

Il vantaggio nell’utilizzo di questa distribuzione deriva dal fatto che per il (peraltro modesto) prezzo di acquisto è possibile fruire di un servizio di assistenza professionale nonché di maggiori garanzie riguardo agli aggiornamenti tempo per tempo.

Buscador: adatta all’attività di OSINT

Buscador è una celebre distribuzione Linux generata nell’ambito del portale inteltechniques.com e installabile come Virtual Machine, in progressiva via di dismissione ma ancora molto utilizzato. Il software in questo caso non è dedicato all’acquisizione forense, bensì principalmente all’attività di OSINT (Open Source Intelligence) ovvero tutta l’attività di raccolta informazioni effettuata a partire da fonti di libero accesso (es. banche dati pubbliche, social network ecc.).

Questa attività sta diventando via via più importante a mano a mano che persone e aziende disseminano online informazioni che li riguardano, queste informazioni sono liberamente accessibili e necessitano solo di essere “messe a sistema” per poter ricavare elementi utili per un’indagine.

Numerosi software per Linux (ed altri sistemi operativi) e numerose risorse online si occupano di questa attività di raccolta di dati liberi online, che permettono spesso di ottenere molte più informazioni di quante un soggetto non creda di aver diffuso online.

Per fare un esempio banale, sherlock.py è un piccolo programma scritto in python che verifica se uno username è stato utilizzato in tutta una serie di siti a cui è necessario registrarsi, siccome lo username deve essere unico e noi tendiamo, una volta trovato quello “buono”, a riutilizzarlo, con questo semplice strumento è possibile risalire a molti dei siti a cui ci siamo registrati (magari anche tempo addietro, quando non eravamo così attenti alla nostra privacy online) ed alle informazioni su di noi rese pubblicamente disponibili da questi siti.

La distribuzione è stata discontinuata nel 2019, con i responsabili del progetto che ora suggeriscono agli utenti di creare una distribuzione Linux orientata all’OSINT installando su distribuzioni Linux più “tradizionali” i vari software installati su Buscador.

Per indirizzare gli investigatori sul portale è possibile acquistare un libro, anche se va detto che dopo che gli aggiornamenti alla distribuzione sono venuti meno, sono apparsi in rete numerosi tutorial per “replicare” gli strumenti presenti su Buscador OS su altre distro.

Tsurugi, per la digital forensics e l’analisi dei malware

Tra gli ultimi arrivati, questo sistema operativo è anch’esso sviluppato da un team tutto italiano ed è stato realizzato per effettuare attività di digital forensics, analisi di malware e OSINT (Open Source Intelligence).

Rilasciato nel 2018, anche qui parliamo di codice open source e di distribuzione gratuita. Stavolta però non abbiamo un’unica distribuzione pensata per essere installata in “live” sul computer bersaglio e come sistema operativo principale per effettuare operazioni sui dati acquisiti, ma tre distinte versioni, a seconda dell’utilizzo.

Tsurugi si compone infatti di tre diversi elementi, da un lato la distribuzione da installare sulla postazione di lavoro dell’informatico forense (Tsurugi Lab), dall’altro lato il sistema operativo dedicato all’acquisizione forense di dati (Tsurugi Acquire) che va installato sul computer “bersaglio” e serve per acquisirne i contenuti per poi poterli analizzare con tutta calma sulla propria postazione di lavoro, e da ultimo un pacchetto di software (chiamato “bento” in linea con la nomenclatura tutta nipponica del software) con trecento diverse utilities per effettuare indagini direttamente sul pc bersaglio (Windows, MAC e Linux).

Tra le particolarità di Tsurugi vi è la presenza di strumenti di “computer vision”; che permettono di esaminare immagini e video presenti sul computer bersaglio e di confrontarle con le immagini della potenziale vittima del reato (strumento molto utile, ad esempio, nell’esame di un computer di un soggetto sospettato di cyberstalking), nonché di utility per la cosiddetta Bitcoin forensics dedicate alle analisi e tracciamento delle criptomonete. Anche in Tsurugi sono presenti sistemi di gestione remota della piattaforma utili – in particolare in tempo di COVID – per poter eseguire a distanza attività di accesso, copia forense o triage di sistemi.

Utilità e versatilità delle distribuzioni forensi per Linux

Con l’avanzare della tecnologia la prova, civile e penale, si sposta sempre più spesso nel mondo digitale, talvolta identificato come “virtuale” ma non per questo meno reale. Tra le risposte a questa esigenza informatica, le distribuzioni forensi per Linux sono senz’altro interessanti per lo spirito con cui vengono sviluppate e per la loro estrema versatilità.

Questa varietà di soluzioni è estremamente utile per i tecnici, che possano tenere a portata di mano diverse distribuzioni forensi per Linux per superare eventuali problematiche di compatibilità con la macchina bersaglio. Non va dimenticata la vivace attività degli informatici nostrani, che hanno realizzato soluzioni molto apprezzate anche all’estero per consentire attività di indagine sofisticate e giuridicamente ineccepibili.

Conoscere e capire gli strumenti capaci di cristallizzare il dato informatico, per sua natura ben più volatile di un dato materiale, diventa sempre più importante per i professionisti del settore, sia per poter decidere con consapevolezza quando è opportuno affidarsi ad un informatico forense, sia per riuscire ad individuare le debolezze di una prova informatica per poterle contestare, sia infine, nel caso del magistrato, per giudicare efficacemente nella sua veste di peritus peritorum.

L’ibridazione della professione forense, all’affacciarsi di una rivoluzione informatica non solo del processo ma anche della prova, pone gli avvocati di fronte ad una nuova sfida, imponendo ai professionisti di iniziare a conoscere gli strumenti utilizzati dagli informatici per produrre il dato che approda nel processo.

Al contempo per gli informatici la sfida è quella di conformarsi all’agire giuridico, il che si traduce non solo nella capacità di documentare ogni passaggio della loro attività, ma anche giustificare ogni passaggio tecnico agli occhi del magistrato, evitando derive dovute all’eccessiva sicurezza o incertezza nelle espressioni utilizzate.

Sono noti gli effetti deleteri che ha avuto l’espressione “ragionevole grado di certezza”, sicuro rifugio dei periti forensi ma al contempo frase in grado di ingannare le giurie portandole a ritenere che quell’indefinito e “ragionevole” grado di certezza non fosse una valutazione opinabile del perito ma una realtà scientifica.

L’informatica forense, allo stesso modo, si presta alle medesime strumentalizzazioni fino a quando, almeno, i professionisti del diritto non contamineranno le proprie competenze giuridiche con adeguate conoscenze informatiche.

La conoscenza delle distribuzioni forensi per Linux e degli strumenti elencati in questo articolo può essere un utile punto di partenza per imparare a conoscere gli strumenti che presto utilizzeremo nel nostro quotidiano.

Un’ultima nota va fatta proprio sul processo telematico, creato e pensato sul formato “principe” del PDF, che si sta dimostrando già obsoleto per la sua incapacità di gestire i formati tipici dell’acquisizione forense, costringendo quindi tecnici e professionisti all’anacronistica “produzione” tramite Compact Disc di prove che invece si presterebbero ad una ben più agile e immediata acquisizione nel processo con strumenti informatici.

La nuova sfida all’orizzonte, per il processo telematico, è quindi proprio quella di aprirsi ai nuovi formati tipici della prova telematica, per evitare un nuovo sviluppo a due velocità, comportando una nuova proliferazione di fascicoli “misti” (in parte telematici e in parte ospitati su CD) come era già accaduto all’introduzione dei processi telematici (nel caso si trattava di fascicoli “misti” telematici e cartacei) con tutte le spiacevoli inefficienze del caso.

@RIPRODUZIONE RISERVATA

Articolo 1 di 5