© 2024 HackerHood

Data Carving

Articoli-Forensic tutorial
Ottobre 5, 2022

A cura di: Alessandro Molinari (Team Hackerhood)

Tramite gli strumenti specifici per le analisi forensi è possibile recuperare molti files che presumibilmente sono stati cancellati da un sistema informatico.

Il data carving tratta esattamente questo e se vogliamo veramente eliminare del tutto determinati files dobbiamo fare un ulteriore sforzo.

Lo strumento di “data carving” per eccellenza ( “intagliatore di dati” letteralmente ma per l’amore delle nostre orecchie evitiamo di tradurlo in Italiano), è Scalpel,  in grado di rilevare molti  file con diverse estensioni e formati.

Non importa con quale filesystem sia stato formattato il disco: Scalpel utilizza un database con headers e footers (di cui ogni file è dotato) utile per tracciarli.

Molte distribuzioni hanno nei loro repository versioni precedenti di Scalpel che svolgono bene il loro lavoro, ma non hanno tutte le funzionalità dell’attuale versione 2.0, come le regular expressions” per gli headers ed i footers, il multithreading, l’input/output asincroni o data-carving accelerata dalla GPU (solo se è installato l’SDK CUDA di NVidia).

Tuttavia se si desidera utilizzare queste funzionalità, è necessario compilare Scalpel dal codice sorgente.

In passato, i data carvers scansionavano i dischi alla ricerca di modelli di headers e footers e scrivevano tutti i risultati su un nuovo supporto, il che richiedeva molto spazio di archiviazione.

Scalpel, invece, si limita a controllare due volte il disco per mettere insieme tutte le informazioni necessarie.

La prima volta che si esegue Scalpel, cerca gli headers e memorizza i risultati in un database; quindi, identifica i footers (di cui ogni file è dotato). Nel fare ciò, Scalpel tiene sempre conto della logica  che un header è sempre seguito da un footer, accelerando così la ricerca.

A questo punto si dispone di un indice con le posizioni degli headers e dei footers, che costituisce la base per la seconda esecuzione. Di seguito Scalpel confronta gli headers ed i footers e scrive i file trovati direttamente in una nuova posizione dalla memoria, senza dover accedere nuovamente al disco.

Prima di iniziare la ricerca dei dati perduti, Scalpel legge il file di configurazione scalpel.conf 

Prima di iniziare il processo di ricerca, è opportuno effettuare alcune configurazioni che limitino la ricerca a un numero minimo di tipi e dimensioni di file.

ANALISI

In questo tutorial utilizzeremo Scalpel proprio per recuperare alcuni files (PDF e png) da un filesystem NTFS. Esattamente come farebbe un investigatore forense, faremo un’immagine del disco da analizzare, questo perché nelle analisi forensi non si lavora mai sui dischi originali!.

Nel caso di un procedimento di analisi forense reale inoltre dovrebbero essere usati degli speciali strumenti di hardware chiamati “write blockers” in grado di  impedire qualsiasi operazione di scrittura sul file oggetto dell’analisi, inoltre ogni fase deve necessariamente essere documentata con quanta più documentazione possibili sia scritte che visive (files di testo, immagini, video, etc..).

Un “write blocker” hardware

Alla fine vedremo anche come, nel caso di un cover track di un generico pentesting , potremmo essere in grado di eliminare alcune delle tracce con lo strumento “shred” su Kali Linux. 

In realtá vi sono altre operazioni da completare per essere sicuri di non aver lasciato alcuna traccia, ma questo è già materiale per un altro articolo….

Tool utilizzati

  • Kali Linux: distro Linux orientata al pentesting 
  • Scalpel: strumento di “data carving” per il recupero dei dati 
  • Shred : strumento da riga di comando Linux per eliminare dati in modo sicuro
  • VirtualBox : hypervisor tipo II

Analisi

Iniziamo col creare un disco virtuale con Virtualbox eccetto questa procedura seguente sarebbe la stessa su un disco fisico o un drive USB.

Abbiamo creato un disco NTFS ed allocato il suo spazio, chiamandolo in modo molto fantasioso “HD Test”

Abbiamo poi creato due files di test in pdf e jpeg che 

andremo  in seguito a cancellare.

Unita “disco test” montata su macchina Kali

Montiamo il disco sotto un sistema operativo Kali e elenchiamo i files presenti nel disco con il comando [ls] e dopodiché li cancelliamo definitivamente con il comando [rm -R *.*] equivalente in windows a cancellare definitivamente i files con [shift + canc] oppure semplicemente svuotando il cestino.

CONFIGURAZIONE DI SCALPEL

Come spesso accade, per configurare un tool da riga di comando è necessario editare un file di testo rimuovendo gli  “#” all’inizio di ogni linea di testo che vogliamo che il programma prenda in considerazione.

Configuriamo il file “scalpel.conf” al fine di fare in modo che recuperi files PDF e grafici:

rimuoviamo i commenti “#” prima di files “PDF” e prima di files grafici

 Finalmente siamo pronti per eseguire il Scalpel con il comando che specifica il file di configurazione che abbiamo appena editato, sda2 è il drive da cui estrarre i dati persi o distrutti ed con l’ opzione “-o” vogliamo che eventuali files recuperati vengano scritti in un file di testo

Attendiamo che Scalpel termini la ricerca 

 Su unità molto grandi ci vorrà molto tempo ma per semplicità abbiamo optato per un disco di 500 MB ai fini dimostrativi, dopo qualche minuto , lo strumento avrà completato il suo lavoro e generato un file di nome “audit” che conterrá le informazioni riassuntive dell’operazione appena completata.

Il file audit con dal quale si evince che sono stati recuperati tre files due pdf en un file di immagine 

A quanto pare il nostro scalpello digitale ha recuperato tre files.

Scalpel creerà alcune cartelle nel file system  e manualmente si dovrà verificare l’integrità di ciascun file onde evitare sorprese.

Quindi verifichiamo ora l’integrità dei files recuperati 

Il primo file é stato recuperato con successo

Il secondo è stato  file recuperato con successo

Il terzo file, JPG NON é stato recuperato

Come si puó vedere, non tutti i files sono stati recuperati, spesso infatti recuperare JPG risulta più difficile ed il risultato non é mai garantito.

SHRED – IL DISTRUTTORE

L’eliminazione di file in formato digitale richiede gli stessi protocolli che si utilizzano per eliminare un documento cartaceo.

Come appurato, quando si elimina un file sul computer, il sistema svuota i blocchi della memoria eliminando il riferimento all’allocazione del file in memoria. Il file non viene eliminato ed è ancora accessibile con un software avanzato come scalpel, cosa che, come abbiamo visto, potrebbe non essere il risultato  che desideriamo.

È qui che entra in gioco  shred.

Shred è uno strumento a riga di comando che sovrascrive il contenuto di un file ricorsivamente con dati casuali per renderlo irrecuperabile. 

Consente inoltre di eliminare il file dopo averne riscritto i dati sovrascrivendo il contenuto di un file più volte con stringhe di zeri, rendendo impossibile per chiunque visualizzare il contenuto originale. Dopodiché, se lo si desidera, può rimuovere in modo sicuro il file dalla memoria di sistema.

Di seguito utilizzeremo il comando 

shred -v -n 5 –zero + NOMEFILE 

per dire a SHRED di cancellare i files riscrivendo per 5 tentativi sulla posizione di memoria [-n 5] (di default tre) mentre con l’opzione [ -zero ] aggiungiamo un ulteriore sovrascrittura di “0” per eliminare anche le tracce di “shredding” (distruzione), rendendo di fatto impossibile qualsiasi recupero.

I 5 tentativi ricorsivi  di SHRED

CONCLUSIONI

Scalpel non può sostituire un backup, ma può venire in soccorso in molti casi. Tuttavia, non aspettatevi miracoli: i file frammentati o i difetti di archiviazione fisica rendono difficile individuare le estremità (headers and footers) dei file e spingono Scalpel ai suoi limiti.

In questo caso, i file “salvati” si rivelano spesso inutili, inoltre il tool spesso non recupera files JPG mentre fa meno “fatica” con files TIFF.

Nel caso invece in cui sia necessario rimuovere definitivamente determinati dati si devono utilizzare strumenti appositi al fine di rendere vano qualsiasi tentativo di recupero dei suddetti, come SHRED

Una nota importante: ritornando in ottica Pentesting, l’eliminazione definitiva dei files é solamente una parte di ciò che il professionista deve fare per coprire le proprie tracce: si devono inoltre cancellare tutti i messaggi di errore, gli alert, i “security events” che sono stati registrati e la lista dei comandi eseguiti contenuti in specifici file di log, considerando sempre che, anche attuando procedure professionali  si rende in generale difficile eliminare definitivamente le tracce da un sistema informatico.

Tags:

No tags
Previous
Next

Comments are closed

Template Part Not Found