Helix – Acquisizioni via rete con Adepto

Oggi parliamo di uno strumento, contenuto in Helix,  usato per realizzare acquisizioni di supporti di memoria, hard disk, penne usb, memory card ecc., lo strumento è Adepto.

Il software, così come si legge dal suo help on-line, prende questo nome da una parola di origine latina, qui i nostri “forensi” saranno felici, che vuol dire: ottenere, acquisire … adepto appunto. Nell’help si può leggere ancora che questo software ha origine da un altro denominato Grab, infatti nella barra del titolo si legge (Grab Redux). Adepto, inoltre offrire una interfaccia grafica anche ad altri strumenti di acquisizione quali DD, SDD, DCFLDD, ecc.

Appena avviato il cd di Helix, per poter eseguire le operazioni che c’interessano via rete, dobbiamo impostare la scheda di rete.

Impostazioni di rete

Helix, essendo derivata dalla distribuzione live Knoppix ha ereditato anche uno strumento di configurazione automatico della scheda di rete che troviamo in un sottomenù
“Helix” -> “Helix Tools” -> “Network” -> “Network card configuration”

Lo stesso strumento potremo richiamarlo attraverso il comando shell netcardconfig.

Collegamento ed impostazione della condivisione

A questo punto, per poter usufruire delle potenzialità di Adepto e per poter continuare ad usare il nostro Sistema Operativo targato Redmond, dobbiamo impostare la nostra condivisione usando l’utility mount. Per collegarsi alla condivisione che useremo per immagazzinare i file risultanti dalla nostra acquisizione, per comodità eviteremo l’uso dell’interfaccia grafica ( anche se questo può sembrarvi strano ). Aprite una finestra di console e digitiamo:

sudo –S mkdir /home/knoppix/Desktop/condivisione commentiamo il comando:

sudo –S

per acquisire i diritti di root

mkdir /home/knoppix/Desktop/condivisione per creare la directory che useremo come destinazione dell’operazione di mount della  condivisione (comparirà una nuova icona sul Desktop )

prima di dare il comando è bene ricordarsi che con Windows quando condividiamo una directory, quello sarà il nome della condivisione , ad esempio se dovessimo condividere la cartella c:\acquisizioni la condivisione si chiamerà : acquisizioni, inoltre possiamo dare sia l’indirizzo ip della macchina che condivide la directory, ad es. 192.168.0.100, sia il suo nome NetBios corrispondente, ad esempio PcAnalisi.
Un probabile indirizzo di una condivisione potrebbe quindi essere :

//PcAnalisi/acquisizioni

oppure

//192.168.0.100/acquisizioni

Eseguiamo ora il mount della condivisione

sudo –S mount –t smbfs –o uid=1000,gid=1000 –o username=nomeutente //192.168.0.100/acquisizioni /home/knoppix/Desktop/condivisione

commentiamo il comando:

-t smbfs

per definire un file system SMB

-o uid=1000,gid=1000

per dare alla condivisione gli stessi diritti dell’utente in uso, nel nostro caso knoppix

-o username=nomeutente

per passare lo username con il quale ci si autentica alla condivisione

//192.168.0.100/acquisizioni

indirizzo ip della macchina che offre la condivisione e nome della

/home/knoppix/Desktop/condivisione

Percorso fisico alla directory appena creata utilizzata come riferimento all’operazione di mount.

A questo punto il gioco è fatto, siamo dinanzi ad una directory che viene vista come una risorsa locale ma che in realtà è una risorsa in rete.  In questo potremo eseguire la nostra acquisizione “in rete” senza scomporci più di tanto nella ricerca di condivisioni o nell’apertura di collegamenti a via netcat o cos’altro.

Procedura di acquisizione

Cosa s’intenda per acquisizione e su quali principi tecnici e giuridici sia basata non è tema di questo scritto, di conseguenza salterò a piè pari tutte le disquisizioni in merito, parleremo direttamente di una procedura da poter seguire.
Innanzi tutto ricordiamo che Helix effettua, di default, il mounting in sola lettura delle unità di memoria, di conseguenza possiamo inserire ad esempio la nostra penna usb da acquisire ed essa verrà “montata” in sola lettura in una sottodirectory della directory /media ( comparirà anche una icona sul desktop con il percorso della periferica ad es. /dev/sda1 ).

Se non dovesse comparire si può fare una scansine delle periferiche utilizzando dal menù principale la voce “Rescan Devices”; una volta identificata l’unità di memoria da acquisire, possiamo procedere con le restanti operazioni.

Acquisizione

Questa operazione, in fin dei conti è la più semplice, dopo aver avviato Adepto, dobbiamo inserire il nostro identificativo ( ad es.: Analista ) che ritroveremo poi nei nostri file di log.

Dopo aver premuto il tasto “Go…” ci troveremo a dover selezionare il dispositivo di  memoria da acquisire.

Dopo di ché sarà la volta delle impostazioni per l’acquisizione vera e propria.

Al termine della quale potremo avviare la nostra operazione, che verrà descritta attimo per attimo da un testo progressivo all’interno della casella “Progress”

Log e Report

Una volta terminata l’acquisizione, passiamo ad analizzare il log delle operazioni ed il relativo report generabile.

Conclusioni

In effetti strumenti come Adepto in Helix, permettono di approcciare all’acquisizione forense con una certa tranquillità, anche se in realtà questa fase è solo la punta dell’iceberg e vi assicuro ch’è molto profondo.