Dell™ Digital Forensics Guida della soluzione
Messaggi di N.B., Attenzione e Avvertenza N.B.: una NOTA evidenzia informazioni importanti per l'uso ottimale del computer. ATTENZIONE: un messaggio di ATTENZIONE indica la possibilità che si verifichi un danno all'hardware o una perdita di dati se non vengono seguite le istruzioni. AVVERTENZA: un messaggio di AVVERTENZA indica un potenziale rischio di danni materiali, lesioni personali o morte. ____________________ Le informazioni contenute nel presente documento sono soggette a modifiche senza preavviso.
Sommario 1 Introduzione . . . . . . . . . . . . . . . . . . . . . . . Ciclo di vita di Dell Digital Forensics . . . . . . . . . . . La soluzione Dell facilita la gestione delle problematiche del settore . . . . . . . . . . 11 . . . . . . . . . . . . . . 12 . . . . . . . . . . . . . . . . . . . . . 12 Nel datacenter . . . . . . . . . . . . . . . . . . . Informazioni su questo documento . . . . . . . . . . . Documentazione e risorse correlate 2 Valutazione 9 . . . . . .
Come eseguire il software Valutazione con la soluzione Dell Digital Forensics . . . . . . . . Accendere il portatile Dell rugged . . . . . 20 . . . . . . . . . 20 Masterizzare un CD di avvio per le procedure di acquisizione standard . . . . . . . . . . . Registrare un collector o un disco archivio . . . . 21 23 . . . . . . . . . . 23 Utilizzare strumenti di valutazione . . . . . . . . . Revisione dei file raccolti dopo la valutazione 3 Ingerisci . 21 . . . . . .
4 Memorizza . . . . . . . . . . . . . . . . . . . . . . . . 61 Efficienza . . . . . . . . . . . . . . . . . . . . . . . . . 61 Scalabilità . . . . . . . . . . . . . . . . . . . . . . . . 62 Protezione . . . . . . . . . . . . . . . . . . . . . . . . 62 Livello di accesso fisico . . . . . . . . . . . . . . Livello di controllo amministrativo e Active Directory . . . . . . . . . . . . . . . . . Livello di protezione basato su computer e Active Directory . . . . . . . . . . . .
5 Analizza . . . . . . . . . . . . . . . . . . . . . . . . . Tipi di analisi . . . . . . . . . . . . . . . . . . . . . . . Analisi hash . . . . . . . . . . . . . . . . . . . . . Analisi firma file . . . . . . . . . . . . . . . . . . . Cos'è l'elaborazione distribuita? . . . . . . . . . . . . Utilizzo di elaborazione distribuita in FTK 3.1 . Verifica installazione 73 73 74 75 . . . . . 75 . . . . . . . . . . . . . . . . 77 Identificazione file su rete . Analisi con FTK . 73 . . . . . . . .
Archivia . . . . . . . . . . . . . . . . . . . . . . . . . . Soluzione di archiviazione con un singolo clic del client . . . . . . . . . . . . . . . . . . . . . Consigli per il backup Dell . . . . 84 . . . . . . . . . . . . . . . 85 . . . . . . . . . . . 85 . . . . . . . . . . . . . . . . . 86 Backup di prove e file dei casi Altro host vs. Rete Come creare report con la soluzione Dell Digital Forensics . . . . . . . . . . . . . . . . . . 89 . . . . . . . . . . . . . 89 . . . . . . . . .
6 Sommario
Introduzione Triage Ingest Store Analyze Present Archive Negli ultimi anni si è verificato un aumento esponenziale del volume, della velocità, della varietà e della sofisticazione delle attività digitali da parte di criminali e gruppi terroristici in tutto il mondo. Oggi la maggior parte dei crimini ha uno componente digitale. Qualcuno ha definito questo contesto come una tsunami digitale. Questa crescita è stata promossa anche dagli incredibili progressi dell'hardware elettronico.
Tabella 1-1. Quanto grande è uno zettabyte? Kilobyte (KB) 1.000 byte 2 KB una pagina scritta Megabyte (MB) 1.000.000 byte 5 MB i lavori completi di Shakespeare Gigabyte (GB) 1.000.000.000 byte 20 GB una buona collezione di opere di Beethoven Terabyte (TB) 1.000.000.000.000 byte 10 TB una libreria di ricerca accademica Petabyte (PB) 1.000.000.000.000.000 byte 20 PB produzione di unità disco rigido annuale Exabyte (EB) 1.000.000.000.000.000.000 byte 5 EB Zettabyte (ZB) 1.000.000.000.000.
Utilizzando il server aziendale scalabile e conveniente e l'hardware di storage di Dell, a seconda dei requisiti del proprio ambiente software, i sistemi di database Oracle sul back-end, una combinazione di computer portatili rugged e software SPEKTOR di Dell ed un servizio completo assieme al supporto Dell, il personale investigativo può condurre la valutazione dei dati della scientifica digitale e la raccolta di dati in modo rapido e semplice, garantendo la catena di custodia dal campo al datacenter e fin
Ingerisci Ingerisci è la fase del processo della scientifica digitale in cui i dati obiettivo sono ripresi (a meno che non siano stati ripresi nel campo come parte della fase di valutazione), e una copia esatta del dispositivo di memorizzazione sospetto viene creata in modo tale che l'integrità del duplicato sia garantita confrontando gli hash di entrambi i dischi originali e duplicando i dati.
Presenta Utilizzando la soluzione Dell Digital Forensics, i team di visualizzazione e gli investigatori possono accedere alle potenziali prove di un caso in modo sicuro e in tempo reale, riducendo così il bisogno di rilasciare prove su DVD o richiedere agli esperti di dover raggiungere il laboratorio per motivi di accesso ai file.
• Una soluzione end-to-end completa capace di ridurre in modo significativo la complessità di progettazione, realizzazione e gestione del processo di investigazione della scientifica digitale di livello enterprise • Una soluzione conveniente e flessibile, modulare e scalabile, espandibile e con un piano tariffario prepagato Componenti della soluzione Sul campo La porzione mobile della soluzione viene offerta in una custodia rigida progettata per entrare nello spazio del bagaglio a mano di un aereo.
Figura 1-2.
• On-Demand Data Management (ODDM) del software NTP • Symantec Enterprise Vault • Symantec Backup Exec 2010 • Switch Dell PowerConnect • Switch di rete Extreme Il rack Dell PowerEdge e i server blade possono avere molteplici ruoli: server per file, server per prove, server per archivio, server per database, server di licenze EnCase e FTK, server per backup o controller del dominio.
Figura 1-3.
Informazioni su questo documento Questo documento copre ogni fase del processo digitale della scientifica in un capitolo dedicato, con capitoli aggiuntivi per la risoluzione dei problemi hardware e software supportati dalla soluzione.
Valutazione Ingest Store Analyze Present Archive Cos'è il processo di Valutazione? L'opzione Valutazione permette all'investigatore della scientifica digitale di sfogliare i dati contenuti su dispositivi sospetti e di prendere decisioni su quali dispositivi sono in realtà probatori e per i quali vale la pena eseguire il sequestro per l'imaging già in loco (se i dati comprendono un piccolo volume) o per l'imaging da effettuare in seguito nel datacenter.
Facile da utilizzare I componenti della funzionalità Valutazione sono pronti all'uso giusto fuori dalla custodia rigida. Il software pre installato offre un'interfaccia intuitiva touch screen. Sono inoltre presenti profili definiti dall'utente e profili di raccolta riutilizzabili per i diversi scenari per l'utilizzo standard.
Raccolta di prove digitali di ambito forense Figura 2-1. Flusso della raccolta assicurare la scena Il dispositivo è acceso? È disponibile personale formato? Il dispositivo è un ambiente in rete? non spegnere il dispositivo. Sono in esecuzione processi distruttivi? Sono le prove visibili sullo schermo? non accendere il dispositivo.
Acquisizione standard vs. Acquisizione Live La soluzione Dell Digital Forensics offre due tipi di acquisizione: un tipo standard e uno Live. Nel corso di una procedura di acquisizione standard, il computer portatile rugged Dell utilizza il disco di avvio di SPEKTOR per acquisire i dati di valutazione da un dispositivo di storage di destinazione già spento.
Figura 2-2. Schermata Home Masterizzare un CD di avvio per le procedure di acquisizione standard 1 Nella schermata Home, sfiorare o fare clic su Admin. Quindi sfiorare o fare clic su Burn Boot CD. Figura 2-3. Masterizzare un CD di avvio nella schermata Home 2 Seguire le istruzioni sulla schermata e quindi fare clic su Finish. Registrare un collector o un disco archivio N.B.
Figura 2-4. Indicatore di collector sconosciuti o stato del disco archivio 2 Sfiorare o fare clic sull'icona Status Indicator che corrisponde al collector o al disco archivio collegato al portatile Dell rugged. L'icona del dispositivo che è stato registrato diventerà verde (per un collector) o arancione (per un disco archivio). 3 Verrà dunque visualizzato Unknown Device Menu. Figura 2-5.
Figura 2-6. Icone Dirty Collector e Store Disk N.B.: i collector e i dischi archivio, sia che siano recentemente registrati sia che siano stai utilizzati per la raccolta di altri dati, devono essere puliti prima di potere essere utilizzati a confronto con un dispositivo di destinazione. 6 For a store disk only, inserire il numero seriale del disco archivio. Pulire un collector o un disco archivio N.B.: pianificate approssimativamente due ore per un volume del collector di 100 GB.
La configurazione di un collector permette all'utente di determinare una serie di tipi di file o file specifici creati tra un set specifico di dati che il collector estrarrà dal dispositivo di storage sospetto per la valutazione. Quanto più si è in grado di restringere la raccolta di parametri, tanto più rapidamente i dati di destinazione possono essere acquisiti per la revisione.
2 Se si è creato in precedenza un profilo di configurazione che si desidera utilizzare, selezionare il profilo e sfiorare o fare clic su Configure using selected profile per iniziare la configurazione del collector, altrimenti, sfiorare o fare clic su New per creare un nuovo profilo. N.B.: Figura 2-9 mostra la schermata Selected Profile al primo utilizzo del software prima che qualsiasi profilo sia definito o salvato.
Figura 2-10. Passaggio 1 della configurazione del profilo: tipo di acquisizione 4 Determinare le impostazioni timestamp per il nuovo profilo. Quanto più specifici si è, tanto più breve sarà il tempo necessario per elaborare i file acquisiti. Figura 2-11.
5 Fare clic sulla freccia destra nell'angolo in alto a destra della schermata. 6 Nella schermata File Extension Filter, selezionare i tipi di file che si desidera raccogliere. Utilizzare la freccia destra per spostare i tipi di file selezionati e le estensioni associate dalla casella Not Selected alla casella Currently Selected. Figura 2-12.
N.B.: solo se specificatamente richiesto, si consiglia di lasciare la modalità rapida disattivata. 8 Nella schermata Quick Mode, selezionare il numero di megabyte (1 MB, 5 MB, 10 MB, o Intero file) della prima parte dei file che si desidera acquisire. Raccogliendo solo la prima parte di file molto grandi (tipicamente file multimediali), è possibile revisionare una porzione sufficiente dei file per determinare il contenuto riducendo così la quantità di tempo di elaborazione necessaria. N.B.
Figura 2-14. Passaggio 5 della configurazione del profilo: file di sistema 11 Fare clic sulla freccia destra nell'angolo in alto a destra della schermata.
12 Nella schermata Deleted File Filter, determinare se si desidera includere o meno nella raccolta i file live ed eliminati, solo file live o solo file eliminati. Se non si seleziona nessuna di queste opzioni, non si raccoglierà alcun file. Figura 2-15. Passaggio 6 della configurazione del profilo: filtro estensione file N.B.: solo i file eliminati che non sono stati sovrascritti già presenti sul dispositivo di destinazione possono essere raccolti con successo.
14 Nella schermata Profile Name, inserire il nome del nuovo profilo quindi sfiorare o fare clic su Save Profile. Figura 2-16. Passaggio 7 della configurazione profilo: nome profilo 15 Fare clic sulla freccia destra nell'angolo in alto a destra della schermata. Il nuovo profilo viene visualizzato nella schermata Profilo selezionato.
Figura 2-17. Profilo selezionato dopo la creazione del profilo 16 Sfiorare o fare clic su Configure using selected profile per iniziare la configurazione del collector.
Figura 2-18. Profilo selezionato dopo la creazione del profilo 17 Sfiorare o fare clic su OK per iniziare la configurazione di collector. Questo processo durerà solo un minuto o due minuti. Quando la configurazione del collector viene completata, il collector è pronto per essere utilizzato a confronto con il computer di destinazione o il dispositivo di storage di destinazione. (Consultare "Utilizzare strumenti di valutazione" a pagina 33).
Utilizzare un collector per l'acquisizione standard a confronto con un computer di destinazione AVVERTENZA: è necessario modificare l'ordine di avvio del sistema dall'interno del sistema BIOS del computer di destinazione prima di tentare un'acquisizione standard. Se il computer di destinazione è impostato per l'avvio dal disco rigido anziché dall'unità ottica con il disco di avvio SPEKTOR in posizione, i contenuti del disco del computer di destinazione verranno alterati.
ATTENZIONE: non rimuovere il disco di avvio di SPEKTOR dall'unità ottica fino a che il computer di destinazione sia spento completamente. 8 Quando il processo di raccolta viene completato, premere per spegnere il computer di destinazione. 9 Rimuovere il disco di avvio di SPEKTOR dall'unità ottica, scollegare il collector dalla porta USB dal computer di destinazione e collegarlo alla porta USB disponibile sul portatile Dell rugged.
5 Fare clic con il tasto destro del mouse su spektor-live.exe, quindi selezionare Run as administrator nella casella a discesa. Se si visualizza un messaggio che richiede di riconoscere le autorizzazioni per eseguire l'applicazione come amministratore, fare clic su Continue. Figura 2-20. Eseguire come amministratore. 6 Inserire le informazioni richieste nella schermata SPEKTOR Live Collection, quindi fare clic su Run. 7 Quando richiesto, fare clic su Chiudi.
Figura 2-21. Generare report 3 Fare clic su OK quando il processo di generazione di report è completo per ritornare al menu Reporting. N.B.: fare riferimento al Manuale dell'utente di SPEKTOR per maggiori informazioni sulla creazione e l'esportazione di report utilizzando criteri specifici. Consultare "Documentazione e risorse correlate" a pagina 16.
38 Valutazione
Ingerisci Triage Store Analyze Present Archive La fase Ingerisci della soluzione Dell Digital Forensics consiste nel creare un'immagine del dispositivo di archiviazione di destinazione (se non è già stato fatto durante la fase di Valutazione), e quindi nel successivo trasferimento di quell'immagine in una posizione centrale da cui si può accedere per l'analisi.
Soluzione singolo server Nella soluzione singolo server EnCase 6, più client possono connettersi ad un unico server. Tutti i client sono puntati su questo server e non possono connettersi a nessun altro server EnCase 6. In caso di guasto del server, tutte le connessioni client andranno perse.
Figura 3-1. Schematica server/client EnCase 6 abilitato per datacenter EST 0 1 2 3 4 5 EST 0 1 2 3 4 5 EST 0 1 2 3 4 5 In caso di guasto del server, l'utente deve fare clic sull'icona EnCase sul desktop, e il sistema reindirizza la connessione utente al successivo server disponibile che fa da host a EnCase 6. Ogni server EnCase può supportare x sessioni utente, in cui x = (numero di core x 2). Ogni sessione utente richiede 3 GB di RAM del server.
FTK 1.8 abilitato per datacenter Nella soluzione FTK 1.8 abilitato per datacenter, i dispositivi server Dell fanno da host all'applicazione nel datacenter, garantendo sessioni FTK 1.8 multiutente (un'unica sessione utente per server). Sessione FTK 1.8 singola per desktop Nella soluzione di singolo server FTK 1.8, client multipli possono connettersi ad un singolo server. Tutti i client sono puntati su questo server e non possono connettersi a nessun altro server FTK 1.8.
Figura 3-2. Schematica server e client FTK 1.8 multipli EST 0 1 2 3 4 5 EST 0 1 2 3 4 5 EST 0 1 2 3 4 5 In caso di guasto del server, l'utente perde l'accesso alla sessione server FTK 1.8 corrispondente. In questo caso, l'utente dovrebbe continuare a lavorare utilizzando gli altri server FTK. Tutte le informazioni e le prove caso (supponendo che l'utente abbia i privilegi di accesso NAS) sono disponibili presso tutte le sessioni del server FTK 1.8 attraverso NAS/SAN condivisa. Ogni server FTK 1.
Soluzione server FTK 3 singola Nella soluzione server FTK 3 singolo, un singolo client FTK 3 non può connettersi ad un server singolo. Tutti i client sono puntati su questo server e non possono connettersi a nessun altro server FTK 3. In caso di guasto del server, tutte le connessioni client andranno perse. Il server FTK 3, inoltre, eseguirà il database locale integrato FTK Oracle perché questa versione del database non supporta la collaborazione tra gli altri FTK database Oracle o di altri utenti FTK.
Figura 3-3. Schematica server/client FTK 3 abilitato per datacenter EST 0 1 2 3 4 5 EST 0 1 2 3 4 5 EST 0 1 2 3 4 5 Con il software FTK Standard edition, ogni server deve eseguire una versione locale del database Oracle incluso in FTK (una versione del database Oracle per utente simultaneo). Questa versione dell'applicazione FTK e del database Oracle non supporta la collaborazione tra gli utenti FTK o altri database Oracle FTK.
Ogni server FTK 3 può supportare una sessione utenti simultanei. Ogni sessione utente richiede 64 GB di memoria RAM del server (48 GB per Oracle e 16 GB per FTK) e 1000 + I/O al secondo per l'archivio di file più 600 + I/O al secondo per il database (configurazione minima). FTK 3, Lab Edition Nella configurazione FTK 3 Lab Edition, l'utente si connette ad un server che fa da host ad AccessData Lab e al database dei casi centralizzato.
Molteplici applicazioni Forensics fornite in un desktop Nella soluzione multivendor e multiapplicazione, tutte le soluzioni applicative individuali descritte in precedenza sono combinate per fornire all'analista della scientifica l'accesso a tutte le applicazioni Forensics (EnCase 6, FTK 1.8 FTK e 3, o FTK 3 Lab Edition) da un singolo desktop o anche un singolo riquadro.
Consigli sulla configurazione di rete Tabella 3-1. Struttura indirizzo IP consigliata Indirizzo IP Funzione server Nome server 192.168.1.1 Controller di dominio 1 DF-DC1 192.168.1.2 Controller di dominio 2 DF-DC2 192.168.1.3 Server prove prove DF 192.168.1.4 Server dello spazio di lavoro Spazio di lavoro DF 192.168.1.5 Server Oracle FTK DF-FTK 10.1.0.0/24 Range indirizzo IP statico 1 GB 10.1.1.0.0/24 Range indirizzo IP statico 10 GB 10.1.2.0/24 Range DHCP di 1 GB DHCP, client 10.1.0.
Tabella 3-3. Convenzioni di nominazione consigliate per NIC Teaming NIC Team 1 Rete pubblica Per server connessi uno all'altro iSCSI NIC Team 2 Tabella 3-4.
Nome chiamata Unità Locale o SAN RAID Prova 8 T: SAN RAID50 Prova 9 U: SAN RAID50 Spazio di lavoro 1 V: SAN RAID50 Spazio di lavoro 2 W: SAN RAID50 Spazio di lavoro 3 X: SAN RAID50 Spazio di lavoro 4 Y: SAN RAID50 Spazio di lavoro 5 Z: SAN RAID50 Figura 3-5. Note Struttura file consigliata da Dell Dell Forensics Domain XXXXX.&&& XXXXX.&&& XXXXX.&&& Export Encase6 V:\ CASE0001 XXXXX.&&& Temp Index XXXXX.&&& Workspace Share FTK3 \\Workspace\Share XXXXX.&&& FTK1.
Come eseguire l'ingestione con la soluzione Dell Digital Forensics Ingerisci con SPEKTOR Registrare e pulire un dispositivo esterno come disco archivio 1 Collegare il dispositivo USB esterno non registrato ad una porta per collector sul portatile rugged. 2 Sfiorare o fare clic sull'icona del dispositivo quando viene visualizzato; quindi sfiorare o fare clic su Register the Device as a Store Disk→ Yes. Inserire le informazioni richieste.
Se si utilizza a confronto con un dispositivo di storage di destinazione a livello locale: a Sfiorare o fare clic su Target Storage Device. b Collegare il dispositivo di storage di destinazione ad una porta USB di sola lettura o alla porta sulla destra del portatile rugged. c Selezionare le partizioni o l'unità per cui si desidera creare l'immagine e quindi fare clic sulla freccia destra nell'angolo in alto a destra della schermata.
f Sfiorare o fare clic su Image Now→ Yes per avviare il processo di imaging. g Quando il processo di imaging viene completato, sfiorare o fare clic su OK. h Scollegare il dispositivo di storage di destinazione e il disco archivio dal portatile rugged; quindi riportare il disco archivio nel datacenter per lo storage e l'analisi. N.B.: il trasferimento di un'immagine può richiedere molto tempo, sei ore per un tipico trasferimento 60 GB di disco rigido non è un valore insolito.
c Fare clic su Finish. d Fare clic su Sì per ogni richiesta per creare la cartella. e Nella schermata EnCase Acquisition, fare clic sull'opzione di menu Add Device. f Assicurarsi che la casella Sessions sia selezionata. g Nel riquadro a destra, selezionare il proprio caso. h Fare clic su Add Evidence Files, quindi navigare fino al repository E01 (utilizzando la configurazione con le best practice indicate in Figura 3-5, questo repository deve essere memorizzato sull'unità X:\).
Connessione del Tableau Write-Blocker al disco rigido SATA 1 Assicurarsi che DC IN B del ponte SATA/IDEe T35es Forensic sia in posizione B On. 2 Collegare la fonte di alimentazione TP2 o TP3 sul lato sinistro del ponte SATA T35es utilizzando il connettore mini-DIN da 5 piedini. 3 Collegare il cavo di alimentazione alla presa di corrente TP2 e anche ad una presa elettrica.
N.B.: il DIN a 7 piedini collegato all'alimentazione TP3 non funziona con i ponti Tableau. È necessario utilizzare il cavo adattatore da DIN a 7 piedini a DIN a 5 piedini TCA-P7-P5 per collegare l'alimentazione TP3 ai ponti Tableau. 3 Collegare il cavo di alimentazione alla presa di corrente TP2 e anche ad una presa elettrica. 4 Accendere l'alimentazione per verificare che il LED blocco di scrittura sia ACCESO; quindi SPEGNERE l'alimentazione del ponte prima del collegamento al disco rigido di destinazione.
Creare un'immagine del dispositivo di storage di destinazione 1 All'interno dell'applicazione AccessData FTK Imager fare clic su File→ Create Disk Image . . . 2 Nel messaggio pop-up Select Source, selezionare il tipo di prove per cui si desidera creare un'immagine: Unità fisica, Unità logica, File immagine, Contenuti cartella o Dispositivo Fernico e quindi fare clic su Next. N.B.: quanto segue utilizza l'opzione di Imaging a Physical Drive per dimostrare il processo di creazione dell'immagine.
2 Nella finestra Forensic Examiner Information, inserire quanto segue: Agenzia/Azienda, Nome esaminatore, Indirizzo, Telefono, Fax, E-mail, e Commenti. Fare quindi clic su Next.
7 Fare clic su Next. 8 Dalla finestra Refine Index, includere ed escludere i tipi differenti di dati dal processo di indicizzazione. 9 Fare clic su Next. Aggiungere prove 1 Fare clic su Add evidence. Viene visualizzato il messaggio pop-up Add Evidence to Case. 2 Selezionare il tipo di prove da aggiungere al caso: Acquired Image of Drive, Local Drive, Contents of a Folder, o Individual File selezionando il pulsante radio. Quindi fare clic su Continue.
Creare un caso 1 Fare clic su Case→ New. Viene visualizzata New Case Options. 2 Inserire il nome del caso e le eventuali informazioni di riferimento o descrizioni richieste dalla vostra agenzia. 3 Sfogliare fino alla Directory della cartella del caso e selezionare il Responsabile elaborazione dal menu a discesa. N.B.: se non si sa dove siano la Directory della cartella del caso e il Responsabile del elaborazione, consultare l'amministratore di sistema.
Memorizza Triage Ingest Analyze Present Archive L'approccio tradizionale allo storage delle prove digitali inizia con inquirenti che operano in modo indipendente su singole workstation in una configurazione su silos multipli. Il file delle prove viene memorizzato, in modo più o meno insicuro, sulla workstation o trasferito da un server di storage alla workstation su base giornaliera, appesantendo così la rete con il trasferimento continuo di file molto grandi.
Quando i file delle prove vengono mantenuti sul server anziché sulla workstation, l'analista è libero di utilizzare la workstation per avviare e monitorare lavori multipli piuttosto che essere limitato nel tentativo di elaborare un unico lavoro. Inoltre, le analisi possono essere completate più rapidamente, perché molti analisti e specialisti, così come gli esperti di lingue straniere, possono lavorare sullo stesso file *.E01 contemporaneamente da diverse workstation.
Considerare i seguenti consigli: • Posizionare i server per gli esami e lo storage dei dati all'interno di uno spazio di laboratorio esami dedicato. In questo modo, tutti i server, i data warehouse, il cablaggio fisico, gli switch e i router sono fisicamente protetti dalle stesse misure di sicurezza che limitano l'accesso al laboratorio. • Utilizzare protocolli di controllo d'entrata, come impronte digitali o scansioni della retina o l'accesso con smart card.
Livello di protezione basato su computer e Active Directory Active Directory offre anche Kerberos, un protocollo di protezione di autenticazione di rete che permette ai nodi comunicanti su reti non sicure di provare la propria identità ad un altro in modalità sicura. Consultare "Account utente Active Directory" a pagina 69 per informazioni sugli account utenti in funzione e consultare anche "Supporto Active Directory per le policy di password sicura" a pagina 68 per informazioni sulla creazione di password.
Figura 4-1. Utilizzo dello storage multi-tier per archiviazione e ripristino La Figura 4-1 mostra il percorso consigliato per l'archiviazione delle prove digitali dal momento in cui sono raccolte fino alla loro finale conservazione a lungo termine su nastro o cancellazione definitiva. Corrispondenza dell'archiviazione e del ripristino delle prove con il caso reale Raccolta delle prove (Analizza).
Attesa del processo (Archivia). Dopo che tutte le possibili prove sono state raccolte e il caso sta procedendo, di solito non c'è bisogno di mantenere i dati del caso e le immagini delle prove nello storage online, dove è possibile accedere istantaneamente. In casi normali, il laboratorio sarà in grado di far fronte al tempo in giorni di recupero del caso, che può essere eseguito in modo proattivo, se un evento noto farà scattare il bisogno dei dati del caso.
Creazione di un nuovo gruppo (Windows Server 2008) 1 Fare clic su Start→ Administrative Tools→ Active Directory Administrative Center. 2 Nel riquadro di navigazione, fare clic con il tasto destro del mouse sul nodo a cui si desidera aggiungere un nuovo gruppo, fare clic su New. Quindi fare clic su Group. 3 Inserire il nome del nuovo gruppo. 4 Selezionare l'opzione appropriata in Group Scope. 5 Selezionare il Group Type. 6 Selezionare Protect from accidental deletion.
1 Per aprire la GPMC, fare clic su Start→ Administrative Tools→ Group Policy Management. 2 Navigare fino alla foresta e al dominio in cui si desidera creare il nuovo oggetto, quindi fare clic su Group Policy Objects. 3 Fare clic su New. 4 Inserire il nome del nuovo GPO e quindi fare clic su OK. Modifica di un nuovo GPO (Windows Server 2008) In Windows Server 2008, GPO sono gestiti utilizzando la GPMC. 1 Per aprire la GPMC, fare clic su Start→ Administrative Tools→ Group Policy Management.
• La password deve soddisfare i requisiti di complessità. Impostato su Attivato.
3 Puntare il cursore su New, quindi fare clic su User. 4 In First name, digitare il nome dell'utente. 5 In Initials, digitare le iniziali dell'utente. 6 In Last name, digitare il cognome dell'utente. 7 Modificare Full name per aggiungere le iniziali o invertire l'ordine del nome e del cognome. 8 In User logon name, digitare il nome di accesso dell'utente, fare clic su UPN suffix nell'elenco a discesa e quindi fare clic su Next.
1 In Active Directory, aprire Administrative Tools, quindi fare clic su Active Directory Users and Computers. 2 Nell'albero della console, fare doppio clic sul nodo di dominio. 3 Nel riquadro Details, fare clic con il tasto destro del mouse sull'unità organizzativa in cui si desidera aggiungere l'account di servizio. Selezionare New e quindi fare clic su User. 4 In Name, digitare FTKServMgr per l'account di servizio e lasciare Last name vuoto. 5 Modificare Full name come si desidera.
7 Deselezionare la casella di controllo User must change password at next logon. 8 Selezionare le caselle di controllo Password never expires e User cannot change password. 9 Fare clic su Create, quindi fare clic su Close. 10 Fare clic su File, quindi su Exit. Configurazione protezione per file di casi individuali e riguardanti le prove 1 In Windows Explorer, navigare fino al file per i quale si desidera stabilire le autorizzazioni file.
Analizza Triage Ingest Store Present Archive Esistono diversi tipi di analisi che l'investigatore deve essere in grado di condurre sui dati riguardanti le prove, compresa la firma di file e l'analisi hash, l'indicizzazione estesa e le ricerche per parole chiave. Tutte queste analisi richiedono notevole potenza di elaborazione poiché i file delle prove per un singolo caso possono raggiungere dimensioni vicine al range dei terabyte.
Analisi firma file Ogni file ha un tipo di file, tipicamente indicato dalle tre o quattro lettere dell'estensione del file. Ad esempio, un file di testo potrebbe avere un'estensione *.txt e un file di immagini potrebbe invece avere un'estensione *.jpg. Non di rado, queste estensioni di file sono modificate in qualcosa di apparentemente innocuo. Ad esempio, un file immagine potrebbe essere rinominato con un'estensione di file di testo in un tentativo di mascherare il suo contenuto pornografico.
Cos'è l'elaborazione distribuita? L'elaborazione distribuita si riferisce all'uso di multipli processori, ognuno con le proprie risorse di memoria, applicati individualmente ad una porzione differente di ogni singola attività di elaborazione che utilizzano un sistema di passaggio di messaggi per comunicare tra essi all'interno del gruppo. L'elaborazione distribuita non è l'elaborazione parallela, che invece si riferisce ai processori multipli che condividono le stesse risorse di memoria.
1 Assicurarsi che la cartella del caso sia condivisa prima di tentare di aggiungere ed elaborare prove. Se si stanno seguendo le convenzioni di nominazione dei file consigliate da Dell, la cartella del caso dovrebbe essere posizionata nell'unità del vostro spazio di lavoro, W:/. Se non siete sicuri della posizione in cui è posizionata la cartella del caso, contattare l'amministratore di sistema. 2 Inserire il percorso della cartella del caso nella finestra di dialogo Create New Case in formato UNC: (\\[comp
Verifica installazione Quando si completa l'installazione, aprire Task Manager sul computer remoto e tenerlo aperto mentre si aggiungono prove e iniziare l'elaborazione. Questi passaggi permettono di osservare l'attività di ProcessingEngine.exe nella scheda Processes. Il motore di elaborazione distribuita non viene attivato fino a che un caso supera approssimativamente i 30.000 elementi.
Analisi con FTK Aprire un caso esistente Utilizzo del menu file 1 Dall'interno di FTK, selezionare File, quindi selezionare Open Case. 2 Evidenziare il caso che si desidera aprire per avviare il caso. N.B.: tutti i file del caso vengono nominati case.ftk. Il file case.ftk per ogni caso viene archiviato nella cartella del caso di riferimento. Dalla linea di comando Nella linea di comando digitare: path_to_ftk_program_file\ftk.
Creare un lavoro di analisi 1 Fare clic sulla scheda Analysis Jobs nella finestra di dialogo principale Source Processor. 2 Fare clic su New. Viene visualizzata la finestra di dialogo Create Analysis Job/Job Name. Il nome predefinito del lavoro è Job__[yyyy_mm_dd__hh_mm_ss], ad esempio: Job___2009_06_24__03_42_42_PM. Un nome di un lavoro non deve contenere spazi all'inizio o alla fine del nome e nessuno dei seguenti caratteri: \ / : * ? " < > | 3 Inserire il nome di un lavoro e fare clic su Next.
2 Fare clic su Run Analysis. Viene visualizzata la finestra di dialogo Select Analysis to Run. 3 Selezionare il lavoro di analisi e quindi fare clic su Run. Source Processor esegue l'analisi sulle prove selezionate. Quando l'analisi è completata, viene visualizzato il browser dei dati. Esecuzione dell'analisi della firma 1 Fare clic su Search. 2 Selezionare la casella Verify file signatures nell'area Additional Options in basso a destra e quindi fare clic su Start.
Presenta Triage Ingest Store Analyze Archive La creazione di report sui risultati delle analisi è parte integrante della Soluzione Dell Digital Forensics ed è gestita primariamente tramite il software Forensics che si sta utilizzando come parte della soluzione. Come creare report con la soluzione Dell Digital Forensics Creare ed esportare report con EnCase 6 1 Selezionare gli elementi su cui eseguire un report, file, segnalibri, risultati di ricerca o altri dati.
c Raggiungere o navigare verso il percorso di produzione. d Se lo si desidera, selezionare Burn to Disc per abilitare la casella Destination Folder, quindi fare clic con il tasto destro del mouse su Archive Files per creare una nuova cartella e salvare un file .iso sul disco. e Fare clic su OK. Report con FTK 1 Fare clic su File→ Report per avviare Report Wizard. 2 Inserire le informazioni di base richieste dalla procedura. 3 Selezionare le proprietà per i segnalibri.
Archivia Triage Ingest Store Analyze Present Nessuna soluzione digitale per la scientifica è completa senza un componente di archiviazione e recupero scalabile, sicuro e completo. La soluzione Dell Digital Forensics offre questo e altro ancora. Nella struttura della soluzione Dell, abbiamo cercato di creare una semplice interfaccia capace di funzionare con tutte le applicazioni per la scientifica per controllare il ciclo di vita delle prove e dei file dei casi.
Figura 7-1. Capacità di ricerca tra supporti e tra casi della soluzione Dell Un componente molto potente di ricerca facoltativo consente la correlazione di informazioni tra insiemi di dati ingeriti. Questo componente offre la possibilità di condurre ricerche su Internet, come su l'intero archivio di dati sui casi, su contenuti sia attivi che online, così come sul materiale archiviato dai casi precedenti.
Quando il processo in background viene completato, l'icona del file attribuito a quel file diventa di color grigio ad indicare in modo chiaro per l'utente che il file è stato archiviato. La cartella e la struttura dei file sono ancora visibili in modo che l'utente possa facilmente trovare il file di nuovo in futuro ai fini di ripristino.
• Database: questo tipo di file è usato solo in FTK 3 (al momento), ma contiene tutti i collegamenti tra i file di dati e i file di prova, così come tutti i segnalibri e le note dell'investigazione. Il backup dei file database deve essere eseguito su base giornaliera. La Figura 7-2 mostra le best practice consigliate per eseguire il backup di un laboratorio della scientifica digitale.
Possono essere eseguiti due tipi di backup, attraverso la rete o come altro host. • In una configurazione su rete, tutti i dati vengono trasmessi attraverso la rete al server di backup utilizzando un agente di backup residente sul server. • In una soluzione di backup su altro host, alcuni dei server con gli archivi di file più grandi non eseguono il backup dei propri dati attraverso la rete.
La figura seguente mostra gli agent necessari per singolo server per facilitare il backup: Figura 7-3.
Come creare report con la soluzione Dell Digital Forensics Archiviazione on demand ODDM del software NTP il movimento dei dato con tasto destro del mouse (RCDM) di (RCDM) lavorano in collaborazione con Enterprise Vault per ridurre la necessità di scansioni dell'intero File System, come per l'archiviazione tradizionale, mediante l'esecuzione di archiviazione on demand. I costi di storage vengono così ridotti e la qualità dell'archiviazione viene invece migliorata.
2 L'analista seleziona i file da archiviare con Storage Investigator del software, quindi fa clic su Archivia. Tuttavia, se il componente aggiuntivo RCDM di NTP non è installato, fa clic con il tasto destro del mouse sui file. Quando i file vengono selezionati, Storage Investigator del software NTP notifica ODMM del software NTP, che a sua volta attiva Enterprise Vault. La richiesta di archiviazione viene aggiunta alla coda di archiviazione.
Risoluzione dei problemi Triage Ingest Store Analyze Present Archive Suggerimento sulla risoluzione dei problemi • Assicurarsi che tutti i client e i server possano visualizzarsi a vicenda e che siano in grado di effettuare il ping tramite il nome NetBIOS e l'indirizzo IP. • Assicurarsi che i firewall permettano il traffico. • Riavviare i server e i client per assicurarsi che tutte le modifiche di installazione e configurazione siano state riconosciute dal sistema.
FTK Lab: il browser avviato dal client non riesce a visualizzare l'Interfaccia Utente 1 Assicurarsi che il client abbia MS Silverlight installato. 2 Assicurarsi che i servizi Oracle siano stati avviati sul server che fa da host al database Oracle. FTK 1.8: messaggio di limite\versione di prova 5000 oggetti Se si riceve questo messaggio significa che FTK non ha licenza. Assicurarsi che il server della licenza di rete sia in funzione e presenti le licenze FTK 1.
5 Aprire Citrix Management Console (Start→ Programmi→ Citrix→ Management Consoles→ Citrix Delivery Services console). Quindi eseguire un rilevamento per assicurarsi che tutti i server XenApp siano presenti nel farm. 6 Assicurarsi che l'applicazione sia stata pubblicata su un server XenApp valido (incluso nel farm). 7 Vedere nella Citrix Delivery Services Console per assicurarsi che l'utente che sta avviando le applicazioni sia in un Gruppo che può avviare l'applicazione.
94 Risoluzione dei problemi
Indice analitico A C Acquisizione Live vs. Acquisizione standard, 20 Acquisizione standard vs.
EnCase abilitato per datacenter, 39 analisi, 78 come aprire un caso già esistente, 78 come creare un lavoro di analisi, 79 come effettuare un'analisi della firma, 80 come eseguire un lavoro di analisi, 79 creare ed esportare report, 81 risoluzione dei problemi, 91 M Memorizza, 9-10, 61 N NTP Software ODDM, 89 NTP Software RCDM, 89 P Presenta, 9, 11, 65-66, 81 Profilo collector configurazione, 23 F FTK 1.8 e 3.0 abilitato per datacenter, ingerisci, 56 1.
SPEKTOR configurare un collectore per acquisizione, 24 ingerisci, 51 modulo imager opzionale, 10 registrare un collector o un disco archivio, 23 registrare un disco collector o archivio, 21 revisioni report, 36 utilizzo contro target, 33 Storage multi-tier, 64 T Tableau Write-Blocker, 54 connessione a IDE HD, 55 connessione a SATA HD, 55 V Valutazione, 9, 17, 83 come eseguirla, 20 definizione, 17 revizione file raccolti, 36 Indice analitico 97
98 Indice analitico
