Archivi categoria: software

DEFT Zero 2018.2, live distro disponibile in download

Disponibile per il download la versione 2018.2 di DEFT Zero, la distribuzione forense gratuita e open source dedicata all’acquisizione forense di sistemi x86 e x64 basata su Linux. Con dimensione di soli 650 MN, la live distro DEFT Zero può essere avviata anche su PC con poca memoria RAM, anche con il caricamento diretto in memoria così da poter garantire velocità e liberare, nel contempo, la porta USB o il lettore CD dal quale la distribuzione è stata avviata.

Le distribuzioni forensi vengono utilizzate quotidianamente da periti informatici e consulenti d’informatica forense per eseguire attività di acquisizione e analisi delle prove digitali finalizzate alla produzione in giudizio e utilizzo in Tribunale delle evidenze. I punti di forza delle live distro sono la completezza di strumenti, compatibilità con un gran numero di dispositivi e la componente open source che conferisce possibilità di esame in contraddittorio dei metodi utilizzati per le acquisizioni e analisi forensi da parte dei consulenti informatici forensi nella produzione delle perizie informatiche che vengono loro commissionate.

La forensic distro DEFT Zero 2018.2 supporta bios UEFI e secure boot, è basata su Lubuntu 14.04.5 LTS, Kernel Linux 4.4.0-53 e possiede la versione 0.8.8. di Guymager che fa uso della 20130416 di libewf. Sono presenti i tradizionali tool di hashing così come quelli indispensabili per eseguire copie forensi di hard disk e memorie di massa tra i quali spiccano Guymager, FTK Imager, dc4dd, dcfldd, ddrescue, dd_rescue ma anche la libreria “dislocker” per gestire dischi criptati con bitlocker e il tool per dischi e partizioni criptate VeraCrypt.

Le novità di questa versione sono il supporto ai nuovi Apple Macbook e Macbook Pro, con i dischi SSD nVME o PCIe che DEFT Zero è in grado di rilevare, montare o acquisire in maniera forense.

La password di root di DEFT Zero è sempre “deft”, nel caso in cui la GUI dovesse andare in crash, è possibile lanciarla e loggarsi utilizzando utente “root” e password “deft”, così da tornare in una interfaccia grafica utilizzabile.

Al boot DEFT Zero offre la possibilità di caricare il sistema in RAM (così da poter rimuovere, dopo l’avvio, la pendrive o il CD contenente la distribuzione forense) oppure di attingere al sistema dal supporto e, in caso di PC obsoleti, di non avviare l’interfaccia grafica attivando soltanto il terminale. Per i più esperti, sono disponibili tramite il tasto F6 ulteriori parametri di avvio, come “acpi=off”, “noapic”, “nolapic”, “edd=on”, “nodmraid”e “nomodeset”, utili ad esempio per l’avvio su sistemi con particolari schede grafiche, controller RAID o di gestione energia o su Macbook o iMac.

Di default, DEFT Linux non monta in automatico i dischi connessi al PC né al momento del boot e neanche successivamente, quando vengono collegati nuovi dispositivi, ma offre sempre la possibilità di montare in modalità sola lettura (“read-only” o “ro”) o in scrittura (“read-write”, “rw”) i dischi sia tramite il file manager grafico PCManFM, cliccando con il tasto destro sul disco che s’intende montare e selezionando”Mount in protected mode (Read Only)” per montare i dischi in modalità read only e “Mount Volume” per montarli in scrittura.

Per chi preferisce la linea di comando, è sempre possibile bloccare e sbloccare la scrittura su disco (che di default è sempre bloccata) tramite gli script “wrtblk-disable” e “wrtblk-enable”. Lo script “wrtblk-disable” prende in input il nome del device da sbloccare in scrittura (quindi sul quale sarà possibile fare un mount in modalità “rw”), digitando ad esempio “wrtblk-disable sda” per sbloccare il device /dev/sda, che potrà quindi essere montato anche in scrittura o sul quale sarà possibile scrivere anche direttamente tramite dd).

Per bloccare nuovamente il disco in sola lettura, è sufficiente digitare – sempre da linea di comando – lo script “wrtblk” seguito dal device sul quale s’intende impedire la scrittura. Il comando “wrtblk sda“, ad esempio, farà sì che sul device /dev/sda diventi impossibile scrivere, sia tramite mount in modalità “rw” ma anche a basso livello, agendo direttamente sul dispositivo tramite comandi come dd, dcfldd o dc3dd.

I due script “wrtblk” e “wrtblk-disable” non fanno altro che richiamare il comando linux “blockdev”, che con il parametro “–setrw” abilita la scrittura su di un disco, mentre con il comando “–setro” ne blocca la scrittura permettendone soltanto la lettura, secondo questo schema:

“blockdev –setrw /dev/sdX“: permette la scrittura sul device sdX;
“blockdev –setro /dev/sdX“: blocca la scrittura sul device sdX, permettendo la sola lettura.

Una volta bloccato o sbloccato da scrittura un dispositivo, è comunque necessario – per scriverci o leggerne il contenuto – eseguire il comando “mount” con gli opportuni parametri “-o ro” (per montare in sola lettura, read-only) oppure “-o rw” (per montare in lettura e scrittura – read-write) da GUI oppure da cmdline.

Il download della distribuzione forense DEFT Zero, in versione 2018.2, è disponibile gratuitamente dal mirror GARR e il valore hash di controllo della ISO è cd410c27ac580f0efd1d7eab408b4edb. Si ricorda che la password di root di DEFT Zero è “root” e l’utente è “deft” e il file “deftZ-2018-2.iso” produce i seguenti valori hash:

MD5: cd410c27ac580f0efd1d7eab408b4edb
SHA1: 8d42a0cf6c33c0602dcbded202d87a7629c46cc9
SHA256: 26234790be3c3641cd9018c1b2286e2f8422109cdc4e011f75db8b10a295ae28

Ricordiamo che la immagine ISO di DEFT Zero, una volta terminato il download, può essere masterizzata su di un CD (con qualunque software che supporti masterizzazione di ISO, come ImgBurn, CDBurnerXP o FreeISOburner) ma anche più comodamente riversata su di una pendrive USB che quindi può essere utilizzata per avviare il PC sul quale la piattaforma DEFT verrà caricata in live.

I software consigliati per riversare la ISO di DEFT Zero su pennetta USB sono UnetBootIn, Etcher e Rufus, disponibili per Windows, Mac o Linux, richiedono il percorso del file ISO contenente il download di DEFT Zero e ne salvano il contento su una pendrive USB rendendola avviabile dal sistema. E’ altresì possibile riversare DEFT Zero su una pendrive multibook, utilizzando strumenti come Sardu, Yumi o Easy2Boot.

Chi è interessato ad approfondire la lista dei pacchetti installati in DEFT Zero 2018.2 e i relativi numeri di versione, può trovarli al link Deft Zero 2018.2 packet list.

Acquisizione forense di pagine e siti web con FAW ora anche su Virtualbox

Gli sviluppatori di FAW, il popolare software gratuito per Windows utilizzato per cristallizzazione e acquisizione forense di pagine e siti web a fini probatori per uso legale in Tribunale, hanno realizzato una macchina virtuale per permettere anche a coloro che utilizzano Linux o Mac OS X di beneficiare del loro applicativo.

Continua a leggere→

DEFT Zero v 2017.1 stable è disponibile per il download

Indispensabile per acquisizioni forensi di hard disk, pendrive, schede di memoria e supporti ottici, una delle suite di computer forensics più utilizzate dagli operatori del settore, DEFT Zero è stata aggiornata alla versione 2017.1 stable, dopo un periodo di test che ha permesso al DEFT Team e agli utilizzatori di consolidarne la sicurezza e l’affidabilità.

DEFT Zero è una versione light della distribuzione forense DEFT dedicata espressamente all’acquisizione di immagini forensi delle memorie di massa, utilizzata in ambito di perizia informatica da consulenti informatici forensi di tutto il mondo, con il numero indispensabile di tool di acquisizione e preview nello spazio ridotto di 500MB, tale da poter essere riversato su un CDROM o su una pendrive USB e poter essere caricato direttamente in RAM.

La distro live DEFT Zero in versione Stable 2017.1 si può scaricare liberamente in formato ISO da questo link e utilizzre liberamente, essendo composta da tutto software open source dedicato alla digital forensics.

Tra le maggiori novità della versione 2017.1 di DEFT Zero troviamo:

supporto alle memorie SSD NVMExpress presenti nei Macbook Apple edizione 2015 e successive;
supporto per le memorie SSD eMMC presenti in notebook come i nuovi DELL XPS 13 o XPS 15;
supporto UEFI per poter avviare il sistema Linux su BIOS con UEFI;
aggiornamento librerie e tool di acquisizione forense.

Dato che ormai difficilmente si utilizzano supporti ottici come CDROM o DVDROM per distribuzioni live da utilizzare nell’ambito delle perizie informatiche forensi, si consiglia riversare DEFT Zero su di una pendrive USB, con dimensione almeno 512MB.

Per la creazione di una chiavetta USB per fare boot con DEFT 0 Linux è possibile utilizzare i seguenti strumenti:

Etcher (Windows, Mac OS, Linux) [consigliato]
UnetBootIn (Windows, Mac OS, Linux)
Rufus (Windows)

Sul sito DEFT è possibile scaricare in download il manuale d’uso in PDF di DEFT Zero stable in italiano e in inglese.

Al link seguente potete trovare l’elenco dei pacchetti installati su DEFT Zero 2017.1 Stable.

Download di DEFT Linux 8 e DART 2

Dopo circa due settimane di test della versione DEFT 8 public beta, abbiamo pubblicato per il download la ISO di DEFT 8 in versione final stable, che ora include anche DART 2 e può essere masterizzato su DVDROM o utilizzato per creare Live USB.

Potete scaricare DEFT 8 Linux con incluso DART – la suite di strumenti per analisi forense e incident response – e verificarne il valore hash con il seguente: fcedb54176de7a3018adfa7571a3a626. Per calcolare il valore hash MD5 del download di DEFT 8 potete utilizzare diversi tool: ad esempio md5summer o HashMyFiles (su Windows) o i tool a linea di comando md5sum o md5 per Linux/MacOS.

Una volta terminato il download di DEFT Linux, se il vostro PC non possiede un lettore di DVD potete convertire la ISO in una Live USB per poter utilizzare DEFT su penna USB tramite tool come Universal USB Installer o UnetBootIn. Per masterizzare la ISO su DVD è invece sufficiente utilizzare programmi di masterizzazione come ImgBurn o InfraRecorder (su Windows) oppure K3B (su Linux) o Utility Disco (su Mac OS).

Come molti di voi sapranno, il progetto DEFT (partito come Live CD, diventato poi Live DVD e Appliance Virtuale) è stato recentemente la base per la costituzione dell’Associazione DEFT, no profit e fatta da volontari che nella vita si occupano anche di altro. Se il sistema DEFT è utile o persino indispensabile per il vostro lavoro, vi invitiamo a donare tramite Paypal un contributo per l’Associazione, che verrà utilizzato per le attività relative al progetto. Per le donazioni è disponibile un pulsante nel sito ufficiale www.deftlinux.net.

La versione in download di DEFT Linux versione 8 stable è stata verificata e i bachi più evidenti sono stati rimossi. Siccome siamo esseri umani anche parecchio impegnati nelle nostre attività lavorative, qualcosa può essere sfuggito perciò come al solito vi chiediamo di segnalare eventuali bachi o suggerimenti all’indirizzo [email protected], così da permetterci di raccogliere una lista di TODOs per la prossima release. Un caloroso ringraziamento a tutto lo staff DEFT e a chi ci ha supportato e continua a supportarci. Rimanete sintonizzati perché presto ci saranno novità in arrivo, come ad esempio:

il rilascio della Virtual Appliance DEFT 8 (la macchina virtuale utilizzabile su workstation tramite VMware Workstation/Player o VirtualBox cui ricordiamo si accede mediante user “root” e password “deft”);
il manuale utente della versione 8 di DEFT (per adesso continua comunque ad essere valido il Manuale DEFT della versione 7 pubblicato sul sito);
un nuovo sito aggiornato.

Enjoy! 🙂

Seminario su Mobile Forensics, Università di Milano

Mercoledì 10 aprile 2013 terrò un seminario sulla Mobile Forensics presso la Facoltà di Giurisprudenza dell’Università degli Studi di Milano. Il seminario, seguito dall’interessante intervento di Stefano Fratepietro, sarà inserito nell’ambito del Corso di Perfezionamento in “Computer Forensics e Investigazioni Digitali“, VI edizione A.A. 2012/2013. Continua a leggere→

Studio d'Informatica Forense

Perizie Informatiche Forensi, CTP e CTU in Processi Civili e Penali