SIFT Workstation, tool open source per le indagini forensi

by Alessandro Russo on

SIFT è una raccolta di strumenti open source per effettuare investigazioni forensi in ambito informatico. Realizzato dalla SANS Forensics, è disponibile per Ubuntu, Windows 10 ed anche in bundle come macchina virtuale.

SIFT: Sans Investigative Forensic Toolkit

SIFT Workstation è un insieme di tool progettati per eseguire esami forensi digitali in una grande varietà di contesti. Fornisce gli strumenti necessari per eseguire approfondite analisi, per file system, memorie e reti. Realizzato dalla SANS, ed in particolare con il contributo dello sviluppatore Rob Lee, ad oggi è uno dei tool gratuiti più utilizzati per questo genere di operazioni, con oltre 100’000 download.


Per utilizzare SIFT sussistono due possibilità:

  • Tramite VMWare/Virtualbox: in tal caso basterà che scarichiate da qui la relativa immagine. Una volta avviato il sistema operativo saranno richiesti come username sansforensics e password forensics;
  • Come tool da integrare in Ubuntu.

Nel caso in cui decidiate di installare il toolkit su una macchina Ubuntu preesistente, dovrete prima recarvi in questa pagina GitHub per scaricare i file sift-cli-linux e sift-cli-linux.sha256.asc. Successivamente eseguite queste istruzioni:

gpg --keyserver   hkp://pool.sks-keyserver.net:80 --recv-keys 22598A94
gpg --verify sift-cli-linux.sha256.asc
sha256sum -c sift-cli-linux.sha256.asc

Spostate quindi il primo file scaricato in /usr/local/bin/sift, e da terminale utilizzate le direttive:

chmod +x /usr/local/bin/sift
sudo sift install

Alcuni dei tool compresi

SIFT Workstation, tool open source per le indagini forensi
Un’interessante funzionalità di SIFT è sicuramente l’integrazione di una cheatsheet. Questa, infatti, permette, in base al tipo di investigazione da eseguire, di scegliere l’utility open source giusta ed utilizzarla in maniera guidata. Tra i principali tool di analisi implementati nella distribuzione, troviamo:

  • Autopsy, questo software fornisce una GUI al più famoso tool di analisi di filesystem Sleuthkit. È compatibile con le immagini di tipo E01, AFF e Raw (dd);
  • Volatily, è una popolare utility per l’analisi dei memory dump ed il recupero delle informazioni dalla RAM;
  • ExifTool, un software che permette di visionare, modificare o estrarre i metadata da un’immagine.

SIFT Workstation, tool open source per le indagini forensiSeguiteci sul nostro canale Telegram, sulla nostra pagina Facebook e su Google News. Nel campo qui sotto è possibile commentare e creare spunti di discussione inerenti le tematiche trattate sul blog.

L'articolo SIFT Workstation, tool open source per le indagini forensi sembra essere il primo su Linux Freedom.

Leggi il contenuto originale su Linux Freedom

Written by: Alessandro Russo