Archivi tag: ssd

CAINE 10 distribuzione forense in download

Caine 10.0, online la distribuzione d’informatica forense “Infinity”

CAINE 10 distribuzione forense in downloadCAINE 10, distribuzione Linux d’informatica forense con codename “Infinity”, è disponibile per il download. CAINE è una distribuzione forense basata su Linux e utilizzata quotidianamente da consulenti informatici forensi e Forze dell’Ordine per attività di digital forensics e investigazioni digitali.

Pochi giorni dopo l’uscita della nuova distribuzione forense Tsurugi Linux, qualche settimana dopo l’uscita delle distribuzioni forensi DEFT Zero 2018.2DEFT XVA, riportiamo con piacere l’uscita dell’ultima versione di CAINE, ormai consolidata distro forense contenente svariati strumenti preconfigurati per gestire attività di perizia informatica, avviabile in modalità “live”, installabile su PC oppure macchina virtuale.

L’avvio della distro per informatica forense CAINE 10, come al solito, permette di scegliere una modalità “compatibile” con hardware anche obsoleti, lo start in modalità grafica normale o con driver ridotti, in RAM e in modalità debug. In modalità BIOS, la distro forense CAINE si avvia con la schermata di boot seguente:

CAINE avvio distribuzione forense

In modalità UEDI, la distribuzione forense CAINE 10 si avvia con la seguente splash screen di scelta delle modalità di boot:

Caine distro forense in modalità UEFI

CAINE 10 possiede nuovi strumenti di acquisizione e analisi forense, tool per OSINT, Autopsy 4.9, supporto per APFS ready, BTRFS forensic tool, supporto per dispositivi SSD NVME, tool per acquisizione e analisi forense di smartphone, memoria, database e tanto altro. Il server SSH è disabilitato di default ma è sufficiente leggere la pagina del manuale per riabilitarlo.

CAINE 10 strumenti di acquisizione e analisi disco

CAINE 10.0 possiede una sezione di strumenti per Windows dedicati a incident response e live forensics, entrambi attività diffuse in ambito di perizia informatica forense. E’ possibile utilizzare il framework di proprio gradimento, modificando gli strumenti memorizzati sulla pendrive, come ad esempio Nirsoft suite + launcher, WinAudit, MWSnap, Arsenal Image Mounter, FTK Imager, Hex Editor, JpegView, Network tools, NTFS Journal viewer, Photorec & TestDisk, QuickHash, NBTempoW, USB Write Protector, VLC, Windows File Analyzer, HibernationRecon by Arsenal Recon.

Per bloccare e sbloccare la possibilità di scrivere sui dispositvi, CAINE fornisce lo strumento grafico “Unblock”, presente direttamente sul desktop, che imposta le proprietà di blockdev in scrittura o lettura sui dispositivi. Se non viene sbloccato un dispositivo impostandolo in “read-write” è impossibile non soltanto montare in scrittura il disco, ma anche scriverci sopra a basso livello tramite comandi come dd o dcfldd.

Caine 10 write block protezione blocco e sblocco scrittura

Rimane comunque la possibilità di impostare le proprietà di blocco in scrittura dei dischi anche da linea di comando, tramite i comandi “blockdev –setrw /dev/sdX” e “blockdev –setro /dev/sdX“, con “sdX” il device sul quale s’intende abilitare (con il parametro “–setwr”) o disabilitare (con il parametro “–setro”) la scrittura.

Una volta bloccato o sbloccato da scrittura un dispositivo, è comunque necessario – per scriverci o leggerne il contenuto – eseguire il comando “mount” con gli opportuni parametri “-o ro” (per montare in sola lettura, read-only) oppure “-o rw” (per montare in lettura e scrittura – read-write) da linea di comando oppure dal mounter grafico, cliccando sull’iconcina in basso nella barra delle applicazioni.

CAINE Linux mounter per i dischi in read only o read write

CAINE 10.0 può essere scaricato dal link principale riportato anche sul sito Caine Live o da altri mirror come GARR, HALIFAX o CFItaly, una volta scaricata l’immagine ISO della piattaforma è sufficiente masterizzarla su di un DVD oppure riversarla su pendrive USB tramite strumenti come Rufus, UnetBootIn o Etcher.

 

DEFT Zero 2018.2 Download

DEFT Zero 2018.2, live distro disponibile in download

DEFT Zero 2018.2 DownloadDisponibile per il download la versione 2018.2 di DEFT Zero, la distribuzione forense gratuita e open source dedicata all’acquisizione forense di sistemi x86 e x64 basata su Linux. Con dimensione di soli 650 MN, la live distro DEFT Zero può essere avviata anche su PC con poca memoria RAM, anche con il caricamento diretto in memoria così da poter garantire velocità e liberare, nel contempo, la porta USB o il lettore CD dal quale la distribuzione è stata avviata.

Le distribuzioni forensi vengono utilizzate quotidianamente da periti informatici e consulenti d’informatica forense per eseguire attività di acquisizione e analisi delle prove digitali finalizzate alla produzione in giudizio e utilizzo in Tribunale delle evidenze. I punti di forza delle live distro sono la completezza di strumenti, compatibilità con un gran numero di dispositivi e la componente open source che conferisce possibilità di esame in contraddittorio dei metodi utilizzati per le acquisizioni e analisi forensi da parte dei consulenti informatici forensi nella produzione delle perizie informatiche che vengono loro commissionate.

La forensic distro DEFT Zero 2018.2 supporta bios UEFI e secure boot, è basata su Lubuntu 14.04.5 LTS, Kernel Linux 4.4.0-53 e possiede la versione 0.8.8. di Guymager che fa uso della 20130416 di libewf. Sono presenti i tradizionali tool di hashing così come quelli indispensabili per eseguire copie forensi di hard disk e memorie di massa tra i quali spiccano Guymager, FTK Imager, dc4dd, dcfldd, ddrescue, dd_rescue ma anche la libreria “dislocker” per gestire dischi criptati con bitlocker e il tool per dischi e partizioni criptate VeraCrypt.

Deft Zero 2018.2

Le novità di questa versione sono il supporto ai nuovi Apple Macbook e Macbook Pro, con i dischi SSD nVME o PCIe che DEFT Zero è in grado di rilevare, montare o acquisire in maniera forense.

La password di root di DEFT Zero è sempre “deft”, nel caso in cui la GUI dovesse andare in crash, è possibile lanciarla e loggarsi utilizzando utente “root” e password “deft”, così da tornare in una interfaccia grafica utilizzabile.

Al boot DEFT Zero offre la possibilità di caricare il sistema in RAM (così da poter rimuovere, dopo l’avvio, la pendrive o il CD contenente la distribuzione forense) oppure di attingere al sistema dal supporto e, in caso di PC obsoleti, di non avviare l’interfaccia grafica attivando soltanto il terminale. Per i più esperti, sono disponibili tramite il tasto  F6 ulteriori parametri di avvio, come “acpi=off”, “noapic”, “nolapic”, “edd=on”, “nodmraid”e  “nomodeset”, utili ad esempio per l’avvio su sistemi con particolari schede grafiche, controller RAID o di gestione energia o su Macbook o iMac.

DEFT Zero parametri del kernel al boot

Di default, DEFT Linux non monta in automatico i dischi connessi al PC né al momento del boot e neanche successivamente, quando vengono collegati nuovi dispositivi, ma offre sempre la possibilità di montare in modalità sola lettura (“read-only” o “ro”) o in scrittura (“read-write”, “rw”) i dischi sia tramite il file manager grafico PCManFM, cliccando con il tasto destro sul disco che s’intende montare e selezionando”Mount in protected mode (Read Only)” per montare i dischi in modalità read only e “Mount Volume” per montarli in scrittura.

DEFT Zero file manager per montare i dischi in read only

Per chi preferisce la linea di comando, è sempre possibile bloccare e sbloccare la scrittura su disco (che di default è sempre bloccata) tramite gli script “wrtblk-disable” e “wrtblk-enable”. Lo script “wrtblk-disable” prende in input il nome del device da sbloccare in scrittura (quindi sul quale sarà possibile fare un mount in modalità “rw”), digitando ad esempio “wrtblk-disable sda” per sbloccare il device /dev/sda, che potrà quindi essere montato anche in scrittura o sul quale sarà possibile scrivere anche direttamente tramite dd).

Come abilitare la scrittura sui dischi in DEFT Linux con wrtblk-disable

Per bloccare nuovamente il disco in sola lettura, è sufficiente digitare – sempre da linea di comando – lo script “wrtblk” seguito dal device sul quale s’intende impedire la scrittura. Il comando “wrtblk sda“, ad esempio, farà sì che sul device /dev/sda diventi impossibile scrivere, sia tramite mount in modalità “rw” ma anche a basso livello, agendo direttamente sul dispositivo tramite comandi come dd, dcfldd o dc3dd.

Come bloccare in scrittura i dischi tramite wrtblk in DEFT Linux

I due script “wrtblk” e “wrtblk-disable” non fanno altro che richiamare il comando linux “blockdev”, che con il parametro “–setrw” abilita la scrittura su di un disco, mentre con il comando “–setro” ne blocca la scrittura permettendone soltanto la lettura, secondo questo schema:

  • blockdev –setrw /dev/sdX“: permette la scrittura sul device sdX;
  • blockdev –setro /dev/sdX“: blocca la scrittura sul device sdX, permettendo la sola lettura.

Una volta bloccato o sbloccato da scrittura un dispositivo, è comunque necessario – per scriverci o leggerne il contenuto – eseguire il comando “mount” con gli opportuni parametri “-o ro” (per montare in sola lettura, read-only) oppure “-o rw” (per montare in lettura e scrittura – read-write) da GUI oppure da cmdline.

Il download della distribuzione forense DEFT Zero, in versione 2018.2, è disponibile gratuitamente dal mirror GARR e il valore hash di controllo della ISO è cd410c27ac580f0efd1d7eab408b4edb. Si ricorda che la password di root di DEFT Zero è “root” e l’utente è “deft” e il file “deftZ-2018-2.iso” produce i seguenti valori hash:

  • MD5: cd410c27ac580f0efd1d7eab408b4edb
  • SHA1: 8d42a0cf6c33c0602dcbded202d87a7629c46cc9
  • SHA256: 26234790be3c3641cd9018c1b2286e2f8422109cdc4e011f75db8b10a295ae28

Ricordiamo che la immagine ISO di DEFT Zero, una volta terminato il download, può essere masterizzata su di un CD (con qualunque software che supporti masterizzazione di ISO, come ImgBurn, CDBurnerXP o FreeISOburner) ma anche più comodamente riversata su di una pendrive USB che quindi può essere utilizzata per avviare il PC sul quale la piattaforma DEFT verrà caricata in live.

I software consigliati per riversare la ISO di DEFT Zero su pennetta USB sono UnetBootIn, Etcher e Rufus, disponibili per Windows, Mac o Linux, richiedono il percorso del file ISO contenente il download di DEFT Zero e ne salvano il contento su una pendrive USB rendendola avviabile dal sistema. E’ altresì possibile riversare DEFT Zero su una pendrive multibook, utilizzando strumenti come Sardu, Yumi o Easy2Boot.

Chi è interessato ad approfondire la lista dei pacchetti installati in DEFT Zero 2018.2 e i relativi numeri di versione, può trovarli al link Deft Zero 2018.2 packet list.

 

DEFT Zero v 2017.1 stable è disponibile per il download

DEFT Zero - DownloadIndispensabile per acquisizioni forensi di hard disk, pendrive, schede di memoria e supporti ottici, una delle suite di computer forensics più utilizzate dagli operatori del settore, DEFT Zero è stata aggiornata alla versione 2017.1 stable, dopo un periodo di test che ha permesso al DEFT Team e agli utilizzatori di consolidarne la sicurezza e l’affidabilità.

DEFT Zero è una versione light della distribuzione forense DEFT dedicata espressamente all’acquisizione di immagini forensi delle memorie di massa, utilizzata in ambito di perizia informatica da consulenti informatici forensi di tutto il mondo, con il numero indispensabile di tool di acquisizione e preview nello spazio ridotto di 500MB, tale da poter essere riversato su un CDROM o su una pendrive USB e poter essere caricato direttamente in RAM.

La distro live DEFT Zero in versione Stable 2017.1 si può scaricare liberamente in formato ISO da questo link e utilizzre liberamente, essendo composta da tutto software open source dedicato alla digital forensics.

DEFT Zero - Scaricare ISO in Download diretto

Tra le maggiori novità della versione 2017.1 di DEFT Zero troviamo:

  • supporto alle memorie SSD NVMExpress presenti nei Macbook Apple edizione 2015 e successive;
  • supporto per le memorie SSD eMMC presenti in notebook come i nuovi DELL XPS 13 o XPS 15;
  • supporto UEFI per poter avviare il sistema Linux su BIOS con UEFI;
  • aggiornamento librerie e tool di acquisizione forense.

Dato che ormai difficilmente si utilizzano supporti ottici come CDROM o DVDROM per distribuzioni live da utilizzare nell’ambito delle perizie informatiche forensi, si consiglia riversare DEFT Zero su di una pendrive USB, con dimensione almeno 512MB.

Riversare DEFT Zero su pendrive USB o CDROM

Per la creazione di una chiavetta USB per fare boot con DEFT 0 Linux è possibile utilizzare i seguenti strumenti:

Sul sito DEFT è possibile scaricare in download il manuale d’uso in PDF di DEFT Zero stable in italiano e in inglese.

Al link seguente potete trovare l’elenco dei pacchetti installati su DEFT Zero 2017.1 Stable.