10 STRUMENTI PER DIGITAL FORENSICS E VULNERABILITY ASSESSMENT

L’avvento del GDPR in Europa e del CCPA negli Stati Uniti hanno posto un particolare accento sul trattamento dei dati e, non meno importante, sulla rilevazione dei breach – ormai numerosissimi ogni giorno – sia internamente, che ad opera dei soggetti governativi preposti al controllo. E’ qui che entra in gioco una parte non molto conosciuta, ma sicuramente indispensabile nell’individuazione del danno, dei suoi autori e della modalità di attacco effettuato: la digital forensics. Questa scienza forense rende possibile la raccolta e analisi delle prove da vari tipi di sorgenti e media, nonché, attraverso strumenti che rendono possibile l’analisi delle vulnerabilità di reti e sistemi, rende possibile ridurre il rischio che incidenti del genere possano ripetersi in futuro tramite l’hardening dei sistemi. La scelta degli strumenti è essenziale per poter svolgere questo lavoro di investigazione, molte volte per le funzionalità, altre volte perché compliant e riconosciuti dalle autorità.

Passiamo a vedere un elenco dei più famosi e utilizzati strumenti di Digital Forensics e Analisi delle vulnerabilità:


1 – AUTOPSY

E’ uno degli strumenti di Digital Forensics, più utilizzato al mondo, rinosciuto da autorità governative e militari worldwide. Utilizza vari strumenti open source come fdisk ed è basato sul rinomato software per digital forensics Sleuth Kit. Permette di estrarre informazioni da vari tipi di data source


2 – WIRESHARK

Forse uno dei più famosi tool per l’analisi dei protocolli e dei pacchetti ip, totalmente open source e dotato di potenti funzionalità per rilevare violazioni di conformità e tipi di attacchi come i covert channels.


3 – NMAP

Un altro dei più famosi strumenti totalmente gratuiti disponibili sulla rete, totalmente open source, Nmap permette di effettuare la scansione delle reti e dei protocolli, rilevare porte e servizi aperti e in modo da poter individuare opportunità di miglioramento per la sicurezza della propria rete.

4 – MAGNET RAM CAPTURE

Una fonte importante di prove è data dal contenuto della memoria ram e delle varie memorie volatili. E’ qui che entra in gioco MAGNET RAM CAPTURE, capace di estrarre tutti i dati presenti nelle stesse. E’ anche questo riconosciuto da numerose autorità governative di vari paesi.

5 – HASHMYFILES

Mai sentito parlare di controllo di integrità e non repudiation? Essi vengono effettuati tramite l’hashing dei file digitali tramite hash MD5 o SHA1. HASHMYFILES ti dà la possibilità di calcoare e verificare l’hash dei file ricevuti, così da poter verificare che non siano stati alterati. Non è molto user friendly ma è anch’esso completamente gratuito.

6 – SIFT

Quando si parla di sicurezza informatica, una delle più grandi organizzazioni è il SANS Institute(SysAdmin, Audit, Networking, and Security), dove sono disponibili moltissimi articoli e documenti utili nel campo della cyber, nonchè numerosi tools per sicurezza e DFIR. Uno fra questi è sicuramente SIFT(SANS investigative forensic toolkit), che è una suite completa di strumenti per le analisi forensi. Contiene strumenti per l’analisi ed il reporting, molto utilizzati dai CSIRT per le indagini post incident, nonché per le investigazioni forensi.  

7 – SLEUTH KIT

Veniamo ora a Sleuth Kit, forse uno dei più vecchi tool per l’investigazione forense, progetto open source su cui si basa anche lo stesso Autopsy sovracitato. E’ riconosciuto da quasi tutte le organizzazioni occidentali di giustizia civile e militare.

8 – TESTDISK

Ottimo per recuperare files cancellati o corrotti, riesce a recuperare varie cancellazioni di file, da varie sorgenti. Le operazioni di recupero possono richiedere molto tempo ed anche molto spazio in più rispetto alle dimensione del mezzo originale. Anche questo software è completamente gratuito ed open source, l’unica pecca è che manca di GUI. E’ anch’esso parte dei vari tool compresi in Autopsy.

9 – PALADIN FORENSIC SUITE

Grazie a SUMURI, che ha reso disponibile quest’altro splendido strumento basato su Ubuntu, Paladin Forensic Suite. E’ una vera e propria cassetta degli attrezzi per gli investigatori forensic, contiene più di 90 tools per svolgere varie attività in ambito DFIR.

10 – CAIN

CAINE è uno strumento disponibile ormai da molti anni, realizzato dall’italiano Massimiliano Montoro e da Sean Babcock. Inizialmente utilizzato come tool per il recovery delle password Microsoft, si è nel tempo evoluto dotandosi di funzionalità di password cracking, wep cracking ed utilizzato anche per verificare l’assenza di password cachate o non sicure.

Posted in Sicurezza ITTags:
Write a comment