Domani venerdì 26 ottobre 2013 terrò un seminario sulla Linux Forensics a Roma, organizzato e patrocinato dall’associazione IISFA e riservato ai soci, durante il quale mostrerò come eseguire analisi forensi di sistemi Linux portando due casi reali come esempio di forensics su Linux. Con il termine Linux Forensics, infatti, in genere si intendono le indagini digitali eseguite tramite strumenti basati su Linux, mentre io cercherò di mostrare come si può condurre una perizia informatica dei computer sui quali è installato il Sistema Operativo Linux. Ovviamente, come strumenti di analisi forense, faremo uso dei tool Open Source di computer forensics disponibili sulla suite DEFT Linux, basata su Linux. 😉
Nonostante gli utilizzatori di Linux siano ancora in numero fortemente ridotto rispetto agli utenti di Windows o Mac OS, durante le indagini informatiche ci si può imbattere in computer, notebook o netbook sui quali troviamo installata una distribuzione di Linux o UNIX. In genere ci si imbatte in portatili, workstation o server sui quali sono installate distribuzioni come Ubuntu, Lubuntu, Debian, Mint o Fedora ma ogni tanto ci si trova ad esegure perizie informatiche anche su Slackware o distribuzioni minori. La prima cosa che nota un consulente informatico forense durante una perizia tecnica relativa a Linux o UNIX Forensics è il fatto che, rispetto a Windows, mancano il registro di sistema con le configurazioni e i dati dei programmi, non esiste il tradizionale registro eventi in evt o evtx, i filesystem dei dischi non sono quasi mai FAT o NTFS ma più spesso EXT2, EXT3 o EXT4 se non ReiserFS o JFS, le password e gli utenti sono memorizzati in modo diverso, recuperare file cancellati è decisamente più difficile.
Le consulenze tecniche informatiche su sistemi Linux sono ovviamente in misura minore rispetto alle perizie tecnico legali su Windows e Mac OS ma, vista la rapida diffusione di distribuzioni semplici da utilizzare e user friendly come Ubuntu, è meglio essere preparati.
Il seminario IISFA sulla linux forensics si terrà presso la Sala Quaroni – Palazzo degli Uffici EUR SpA al 1°piano alle ore 16:30. L’ingresso della sala dove si terrà la conferenza è in Via Ciro il Grande 16, di fronte alla sede INPS.
Il mio intervento per IISFA Italian Chapter sulla linux forensics seguirà quello del’amico Mattia Epifani che alle ore 14:30 parlerà ai soci della Cloud Forensics. Da non perdere, il talk di Mattia – anche lui Consulente Tecnico Informatico Forense – verterà sulle indagini e analisi forensi su sistemi di cloud storage quali iCloud, Dropbox, Google Drive e Microsoft Skydrive, mostrando quali artefatti vengono lasciati sul sistema dall’installazione e dall’utilizzo dei software di archiviazione e condivisione file che gli utenti del Cloud installano sui propri PC. Mattia mostrerà come rilevare durante le perizie informatiche la presenza di sistemi Cloud anche se ormai disinstallati e rimossi dal computer, come recuperare i file cancellati e le tracce di accesso al sistema, decriptare il database Dropbox e interpretare i log file lasciati dai software di cloud storage. Interessanti anche gli esperimenti condotti da Mattia sulle tracce di username e password lasciate in chiaro in RAM sui PC sui quali alcuni software di cloud storage vengono eseguiti. Durante la perizia informatica forense, infatti, ci si può trovare nelle condizioni di dover esaminare la memoria RAM (o un dump su file della RAM memory) di un computer, che spesso contiene artefatti molto interessanti…
Potete trovare indicazioni sui seminari su Linux Forensics e Cloud Storage Forensics presso il sito ufficiale IISFA nella sezione seminari.