Giovanni Bassetti Immagine
 Blog di Giovanni Bassetti... di Admin
 
"
Un computer sicuro è un computer spento e gettato in fondo al mare, con l'hard disk sbriciolato

N.B.
"
 

\\ Home Page : Articolo
Deft 4 - Linux Live Forensics distro
Di Admin (del 17/11/2008 @ 10:00:59, in Computer Forensics, linkato 5991 volte)

Ieri 16/Nov/2008, ho scaricato la neonata Deft 4, Linux Live Forensics distro.
Appena finito di masterizzare la ISO, provo subito a sfogliare il CD-Rom e noto la cartella Deft-Extra, che contiene molti tools per la computer forensics avviabili sotto Windows, questa è una nota positiva, dal mio punto di vista  : - )

Passo al boot da CD e subito mi appare la prima novità, infatti nella schermata di avvio, si apre automaticamente la tendina con la scelta della lingua, cosa molto comoda, poichè può capitare, che nella fretta di avviare una live distro, si tralascia la scelta della lingua, quindi i progettisti hanno pensato bene di facilitare quest'operazione all'utente, altra nota positiva : - ) (adoro le comodità).

La distro si avvia sulla console mostrando il prompt di Linux, altra cosa ben fatta, perchè se non si ha necessità della GUI (Graphic User Interface), è inutile farla caricare, al massimo, digitando deft-gui, la si può lanciare in un secondo momento.

Lancio la deft-gui, il primo impatto è buono e veloce, perchè c'è un bello sfondo scuro, che mette in evidenza tutte le icone dei tools, presenti sul Desktop, forse dà un pò l'idea di disordine, ma forse può essere più comodo per qualcuno, dato che si hanno tutti i tools in vista ed a portata di click. : - )
Non esiste un sottomenù a tendina che accorpa i tools forensi, quindi tutti sono raggiungibili dal Desktop, ma qui noto subito che manca AIR e che l'unico tool di acquisizione (GUI) è Guymager, qui avrei qualche perplessità, perchè, il caro vecchio AIR, è un'interfaccia più intuitiva e più conosciuta, comunque niente di grave, Guymager è un software validissimo.

Lancio la terminal window e provo a digitare:

mmls -i list

e noto che lo SleuthKit 3.0 NON è stato ricomplito insieme alle Afflib e alle EWFlib, infatti riconosce solo le immagini raw e split, forse questa è stata una dimenticanza, (a quanto ne so l'unica distro che, attualmente, ha il TSK 3.0 ricompilato è CAINE).

Noto con disappunto, che la gestione delle reti wired e wireless è delegata al Network Manager di Ubuntu, che come al solito, non mi funziona, almeno con la wireless, mi domando perchè non sia stato inserito WiCd o WLassistant, vabbè niente di grave, dato che la rete può esser configurata manualmente, con ifconfig e iwconfig. :)

Ma ecco la nota dolente, almeno dal mio punto di vista, mi accorgo che i dischi/pendrive usb (VFat e Ext2 nel mio test)  attaccati sono visualizzati come icone, ma appena si clicca sull'icona del disco, va in preview (come tutte le distro), ma la
novità è che monta in RW, ossia in scrittura.
Il disco della macchina host (NTFS nel mio caso) non viene visto come icona e qui potrebbe andar bene, ma se da terminal window si fa mount /dev/sda1 /media/disco, viene montato in RW!
Questo comportamento, mi pare un pò "strano" per una distro forense, perchè se capitasse di acquisire un disco, attaccato all'USB su un altro disco attaccato ad USB, con un semplice click, il disco da acquisire, viene montato in scrittura, mettendo a rischio il principio di non alterazione del sorgente.
Il fatto che il disco della macchina host, si monti in scrittura senza "reti di protezione", lo trovo un pò azzardato, le altre distro mettono un pò di difficoltà, per montare in RW, anche solo il fatto di dover digitare sudo mount -o rw, costringe l'operatore ad effettuare una scelta cosciente di quello che sta facendo, quindi diventa più error-proof.
Questa mia riflessione deriva da molte discussioni sull'uso o meno dei write blocker, per chi usa Linux nelle acquisizioni forensi, si è tanto parlato di errori di distrazione dell'operatore, di rischio di invalidare l'acquisizione e poi Deft si presenta con un meccanismo one click o mount semplice per il montaggio in scrittura, certamente è pensata per un'utenza molto esperta ed attenta.
Il mio, personalissimo, punto di vista è che sarebbe stato meglio evitare questo, però le scelte dei progettisti, evidentemente sono andate in quella direzione, per fornire un prodotto ad una "clientela" scelta, accorta ed esperta.
Detto questo il mio giudizio finale, per quanto possa valere, è che la distro è ben fatta, c'è un gran lavoro dietro ed abbastanza usabile, non mi resta che fare i complimenti al capo progetto Dott. Stefano Fratepietro. ; - )

Articolo Articolo  Storico Storico Stampa Stampa
 
# 1
Ho provato anche io Deft! Velocissima e piena di bei tools!

Un unica cosa: anche io ho notato che monta in RW i dischi/pendrive usb vfat, mentre un hard disk esterno formattato NTFS me lo ha montato solo in ro, senza le opzioni noatime e noexec.

Un politica diversa da Helix3 che invece mantiene un profilo alternativo da questo punto di vista (più paranoico o più sicuro?).

Comunque anche io faccio i miei più sinceri complimenti al team di sviluppo di Deft!
Di  Gianchi  (inviato il 18/11/2008 @ 14:55:29)
# 2
Ragazzi un saluto.

la conoscenza deve essere condivisa ...................... . !
avanti con coraggio .... . !

Benedetto, alias formica tenace

tratto da :

http://www.marcomattiucci.it/domande.php

Spero questa pagina aiuti più persone possibili a trovare delle piccole risposte in questo settore che, in massima umiltà, mi accingo a dare. E' mia ferma convinzione che in qualsiasi scienza le "mummie santificate" non debbano avere spazio e tutti devono poter essere messi in discussione (pubblica).
Queste risposte (in realtà l'intero sito) sono il mezzo che vi fornisco per mettermi in discussione...

Benedetto, alias formica tenace

http://www.linkedin.com/pub/dir/benedetto/colangelo

Di  Benedetto Colangelo  (inviato il 18/11/2008 @ 19:03:55)
# 3
A me monta in RW l'NTFS della macchina host, qualcuno mi ha segnalato che monta in RW anche gli NTFS dei supporti esterni... 8-[
Di  TheZen  (inviato il 19/11/2008 @ 08:22:02)
# 4
a me monta in rw, cliccando sull'icona del device presente sul desktop, il disco ntfs collegato via usb.
ci scrivi tranquillamente sopra.
idem se da riga di comando dai
# mount -t ntfs /device /punto_mount
senza specificare la modalità.
L'output di mount non lascia dubbi.
Di  Denis  (inviato il 19/11/2008 @ 10:13:16)
# 5
Purtroppo confermo che monta in RW i dischi NTFS e ext3 della macchina host.
Di  Lamelick  (inviato il 19/11/2008 @ 11:17:16)
# 6
Come hanno fatto notare sul blog di Litiano Piccin, anche con la Def v3 i dischi venivano montati in rw.
Citando il mio ultimo commento su quelle pagine:

".....anche la deft v3 con il semplice
# mount -t tipo /dev_sorgente /punto_mount
monta in scrittura.
Qualunque disco, rimovibile e no.
Le icone sul desktop non comparivano e dal file manager non si accedeva ai device non montati.
Quindi il problema non sussiste, si tratta di una scelta che Stefano ha motivato, va benissimo così.
Bastava sapere l'esistenza di una simile differenza rispetto alla altre, per il resto sono felice di essere avvezzo a specificare "-o ro"."

evidentemente non si deve dare per scontato che una distro per la cf, al di la di non montare i dischi al boot, non monti in rw se non specificato dall'operatore.
Di  denis  (inviato il 21/11/2008 @ 00:49:45)
# 7
Riporto quello che ho scritto sul blog di Piccin:

"Mi permetto di dare un consiglio semplice, guardate l’immagine:

http://img146.imageshack.us/img146/6910/screenshotwn0.png

Tasto destro sul desktop -> Proprietà del Desktop.
Behaviour -> (in fondo) Show icons for -> “removable devices”
(l’ho provato in inglese… scusate, in italiano penso sia analogo)

Ho deselezionato l’opzione di mostrare i device connessi sul desktop… Così almeno se l’utente vuole montare sul serio qualcosa può andare sul pannello e cliccare “Places”; così non si rischia di cliccare un’icona per poi scoprire che si tratta del device da acquisire!

Errare è umano… Cerchiamo di limitare dei click indesiderati!"
Di  Gianchi  (inviato il 21/11/2008 @ 15:39:04)
# 8
ba prima di puntare alle pagliuzze del vicino.. inizierei per lo meno ad avvisare gli altri che la distro da voi supportata ha "una trave infilata nell'occhio".
Siamo al quarto giorno dall'invio del report.
un controllo lo si poteva anche fare.
Di  Sandro  (inviato il 24/11/2008 @ 11:56:46)
# 9
La canzone che canti è sempre la stessa, insinuazioni senza prove, fatti, segnalazioni....bha!
Chi ti impedisce di segnalare la "trave"? sai cosa rischieresti nel farlo? Un grosso e caloroso GRAZIE per avercelo fatto notare....come disse Totò:"Signori si nasce...." : - D
Cmq a giudicare dalle reazioni "tsunami", non dovrebbero essere proprio "pagliuzze", quelle alle quali ti riferisci ;)
Di  Nanni Bassetti  (inviato il 24/11/2008 @ 14:16:11)
# 10
Cmq è prossimo il rilascio di Caine v.0.4 che risolve il problema del file di swap...ma prima di rilasciare una nuva versione, facciamo tutti i controlli del caso e speriamo in altri occhi che ci aiutino sempre più nello sviluppo....
Di  Nanni Bassetti  (inviato il 24/11/2008 @ 14:20:28)
# 11
L'amichevole collaborazione in questo ambiente è molto florida, me ne compiaccio.

Il problema è sotto controllo. A breve verrà realizzata la versione 0.4.

Siamo in testing.
Di  Gianchi  (inviato il 24/11/2008 @ 15:18:46)
# 12
Già, posso capirti perfettamente caro Gianchi. E' successo pure a me l'altro giorno. Ti invito comunque a contattarmi perchè Modena e Bologna non sono distanti e possiamo portare avanti progetti comuni.
Di  Litiano  (inviato il 24/11/2008 @ 16:29:32)
# 13
Ohhh finalmente, questo è un atteggiamento costruttivo e bello! :)
Di  Nanni Bassetti  (inviato il 24/11/2008 @ 16:36:33)
# 14
Chi conosce linux sa che è OVVIO che il comando mount eseguito da root e SENZA l'esplicita opzione -o ro monta i filesystem in lettura/scrittura! Leggete il man di mount, e scoprirete, inoltre, che le opzioni predefinite di mount sono rw, suid, dev, exec, auto, nouser, async. Ed è altrettanto ovvio che ntfs sia montato SEMPRE in sola lettura, a patto di avere ntfs-3g (e DEFT non l'ha).
Non solleviamo problemi inesistenti. Chi usa linux da root DEVE essere consapevole degli enormi poteri che ha. Non sono ammesse scuse.
Di  picoblu  (inviato il 11/12/2008 @ 14:45:28)
# 15
errata corrige: DEFT ha correttamente installato ntfs-3g. Il fatto però che i fs NTFS vengano montati in sola lettura è che senza l'opzione -t ntfs-3g il comando mount cerca e trova, in /lib/modules/ l' ntfs.ko che non ha il supporto scrittura NTFS.
Di  picoblu  (inviato il 11/12/2008 @ 14:51:03)
# 16
E chi ha mai detto che Deft la si stava usando da root?
Se leggi bene il mio articolo, invece di invitare noi a leggere il man di mount, il montaggio in rw avviene semplicemente scrivendo mount /dev/sdX /media/ciccio
senza sudo, mentre nelle altre distro forensi, ci vuole almeno il sudo...chiato ora?
ciao
Di  Nanni Bassetti  (inviato il 11/12/2008 @ 14:57:21)
Anti-Spam: digita i numeri CAPTCHA99X
Testo (max 2000 caratteri)
Nome
e-Mail / Link


Disclaimer
L'indirizzo IP del mittente viene registrato, in ogni caso si raccomanda la buona educazione.
Ci sono 116 persone collegate

< febbraio 2018 >
L
M
M
G
V
S
D
   
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
       
             

Cerca per parola chiave
 

Titolo
Annunci (66)
CHI SONO (4)
Computer Forensics (108)
SICUREZZA INFORMATICA (6)
TuttoStorto (16)

Catalogati per mese:

Gli interventi più cliccati

Ultimi commenti:
Certamente se potess...
13/01/2018 @ 10:33:04
Di Nanni Bassetti
Salve, sono interssa...
08/01/2018 @ 12:26:33
Di ambra bonalana
Salve ho fatto il ro...
19/07/2017 @ 16:15:53
Di Marc






24/02/2018 @ 09:25:18
script eseguito in 32 ms