Archivi tag: live distro

DEFT Zero 2018.2 Download

DEFT Zero 2018.2, live distro disponibile in download

DEFT Zero 2018.2 DownloadDisponibile per il download la versione 2018.2 di DEFT Zero, la distribuzione forense gratuita e open source dedicata all’acquisizione forense di sistemi x86 e x64 basata su Linux. Con dimensione di soli 650 MN, la live distro DEFT Zero può essere avviata anche su PC con poca memoria RAM, anche con il caricamento diretto in memoria così da poter garantire velocità e liberare, nel contempo, la porta USB o il lettore CD dal quale la distribuzione è stata avviata.

Le distribuzioni forensi vengono utilizzate quotidianamente da periti informatici e consulenti d’informatica forense per eseguire attività di acquisizione e analisi delle prove digitali finalizzate alla produzione in giudizio e utilizzo in Tribunale delle evidenze. I punti di forza delle live distro sono la completezza di strumenti, compatibilità con un gran numero di dispositivi e la componente open source che conferisce possibilità di esame in contraddittorio dei metodi utilizzati per le acquisizioni e analisi forensi da parte dei consulenti informatici forensi nella produzione delle perizie informatiche che vengono loro commissionate.

La forensic distro DEFT Zero 2018.2 supporta bios UEFI e secure boot, è basata su Lubuntu 14.04.5 LTS, Kernel Linux 4.4.0-53 e possiede la versione 0.8.8. di Guymager che fa uso della 20130416 di libewf. Sono presenti i tradizionali tool di hashing così come quelli indispensabili per eseguire copie forensi di hard disk e memorie di massa tra i quali spiccano Guymager, FTK Imager, dc4dd, dcfldd, ddrescue, dd_rescue ma anche la libreria “dislocker” per gestire dischi criptati con bitlocker e il tool per dischi e partizioni criptate VeraCrypt.

Deft Zero 2018.2

Le novità di questa versione sono il supporto ai nuovi Apple Macbook e Macbook Pro, con i dischi SSD nVME o PCIe che DEFT Zero è in grado di rilevare, montare o acquisire in maniera forense.

La password di root di DEFT Zero è sempre “deft”, nel caso in cui la GUI dovesse andare in crash, è possibile lanciarla e loggarsi utilizzando utente “root” e password “deft”, così da tornare in una interfaccia grafica utilizzabile.

Al boot DEFT Zero offre la possibilità di caricare il sistema in RAM (così da poter rimuovere, dopo l’avvio, la pendrive o il CD contenente la distribuzione forense) oppure di attingere al sistema dal supporto e, in caso di PC obsoleti, di non avviare l’interfaccia grafica attivando soltanto il terminale. Per i più esperti, sono disponibili tramite il tasto  F6 ulteriori parametri di avvio, come “acpi=off”, “noapic”, “nolapic”, “edd=on”, “nodmraid”e  “nomodeset”, utili ad esempio per l’avvio su sistemi con particolari schede grafiche, controller RAID o di gestione energia o su Macbook o iMac.

DEFT Zero parametri del kernel al boot

Di default, DEFT Linux non monta in automatico i dischi connessi al PC né al momento del boot e neanche successivamente, quando vengono collegati nuovi dispositivi, ma offre sempre la possibilità di montare in modalità sola lettura (“read-only” o “ro”) o in scrittura (“read-write”, “rw”) i dischi sia tramite il file manager grafico PCManFM, cliccando con il tasto destro sul disco che s’intende montare e selezionando”Mount in protected mode (Read Only)” per montare i dischi in modalità read only e “Mount Volume” per montarli in scrittura.

DEFT Zero file manager per montare i dischi in read only

Per chi preferisce la linea di comando, è sempre possibile bloccare e sbloccare la scrittura su disco (che di default è sempre bloccata) tramite gli script “wrtblk-disable” e “wrtblk-enable”. Lo script “wrtblk-disable” prende in input il nome del device da sbloccare in scrittura (quindi sul quale sarà possibile fare un mount in modalità “rw”), digitando ad esempio “wrtblk-disable sda” per sbloccare il device /dev/sda, che potrà quindi essere montato anche in scrittura o sul quale sarà possibile scrivere anche direttamente tramite dd).

Come abilitare la scrittura sui dischi in DEFT Linux con wrtblk-disable

Per bloccare nuovamente il disco in sola lettura, è sufficiente digitare – sempre da linea di comando – lo script “wrtblk” seguito dal device sul quale s’intende impedire la scrittura. Il comando “wrtblk sda“, ad esempio, farà sì che sul device /dev/sda diventi impossibile scrivere, sia tramite mount in modalità “rw” ma anche a basso livello, agendo direttamente sul dispositivo tramite comandi come dd, dcfldd o dc3dd.

Come bloccare in scrittura i dischi tramite wrtblk in DEFT Linux

I due script “wrtblk” e “wrtblk-disable” non fanno altro che richiamare il comando linux “blockdev”, che con il parametro “–setrw” abilita la scrittura su di un disco, mentre con il comando “–setro” ne blocca la scrittura permettendone soltanto la lettura, secondo questo schema:

  • blockdev –setrw /dev/sdX“: permette la scrittura sul device sdX;
  • blockdev –setro /dev/sdX“: blocca la scrittura sul device sdX, permettendo la sola lettura.

Una volta bloccato o sbloccato da scrittura un dispositivo, è comunque necessario – per scriverci o leggerne il contenuto – eseguire il comando “mount” con gli opportuni parametri “-o ro” (per montare in sola lettura, read-only) oppure “-o rw” (per montare in lettura e scrittura – read-write) da GUI oppure da cmdline.

Il download della distribuzione forense DEFT Zero, in versione 2018.2, è disponibile gratuitamente dal mirror GARR e il valore hash di controllo della ISO è cd410c27ac580f0efd1d7eab408b4edb. Si ricorda che la password di root di DEFT Zero è “root” e l’utente è “deft” e il file “deftZ-2018-2.iso” produce i seguenti valori hash:

  • MD5: cd410c27ac580f0efd1d7eab408b4edb
  • SHA1: 8d42a0cf6c33c0602dcbded202d87a7629c46cc9
  • SHA256: 26234790be3c3641cd9018c1b2286e2f8422109cdc4e011f75db8b10a295ae28

Ricordiamo che la immagine ISO di DEFT Zero, una volta terminato il download, può essere masterizzata su di un CD (con qualunque software che supporti masterizzazione di ISO, come ImgBurn, CDBurnerXP o FreeISOburner) ma anche più comodamente riversata su di una pendrive USB che quindi può essere utilizzata per avviare il PC sul quale la piattaforma DEFT verrà caricata in live.

I software consigliati per riversare la ISO di DEFT Zero su pennetta USB sono UnetBootIn, Etcher e Rufus, disponibili per Windows, Mac o Linux, richiedono il percorso del file ISO contenente il download di DEFT Zero e ne salvano il contento su una pendrive USB rendendola avviabile dal sistema. E’ altresì possibile riversare DEFT Zero su una pendrive multibook, utilizzando strumenti come Sardu, Yumi o Easy2Boot.

Chi è interessato ad approfondire la lista dei pacchetti installati in DEFT Zero 2018.2 e i relativi numeri di versione, può trovarli al link Deft Zero 2018.2 packet list.