SIFT è una raccolta di strumenti open source per effettuare investigazioni forensi in ambito informatico. Realizzato dalla SANS Forensics, è disponibile per Ubuntu, Windows 10 ed anche in bundle come macchina virtuale.
SIFT: Sans Investigative Forensic Toolkit
SIFT Workstation è un insieme di tool progettati per eseguire esami forensi digitali in una grande varietà di contesti. Fornisce gli strumenti necessari per eseguire approfondite analisi, per file system, memorie e reti. Realizzato dalla SANS, ed in particolare con il contributo dello sviluppatore Rob Lee, ad oggi è uno dei tool gratuiti più utilizzati per questo genere di operazioni, con oltre 100’000 download.
Per utilizzare SIFT sussistono due possibilità:
- Tramite VMWare/Virtualbox: in tal caso basterà che scarichiate da qui la relativa immagine. Una volta avviato il sistema operativo saranno richiesti come username sansforensics e password forensics;
- Come tool da integrare in Ubuntu.
Nel caso in cui decidiate di installare il toolkit su una macchina Ubuntu preesistente, dovrete prima recarvi in questa pagina GitHub per scaricare i file sift-cli-linux e sift-cli-linux.sha256.asc. Successivamente eseguite queste istruzioni:
gpg --keyserver hkp://pool.sks-keyserver.net:80 --recv-keys 22598A94 gpg --verify sift-cli-linux.sha256.asc sha256sum -c sift-cli-linux.sha256.asc
Spostate quindi il primo file scaricato in /usr/local/bin/sift, e da terminale utilizzate le direttive:
chmod +x /usr/local/bin/sift sudo sift install
Alcuni dei tool compresi
Un’interessante funzionalità di SIFT è sicuramente l’integrazione di una cheatsheet. Questa, infatti, permette, in base al tipo di investigazione da eseguire, di scegliere l’utility open source giusta ed utilizzarla in maniera guidata. Tra i principali tool di analisi implementati nella distribuzione, troviamo:
- Autopsy, questo software fornisce una GUI al più famoso tool di analisi di filesystem Sleuthkit. È compatibile con le immagini di tipo E01, AFF e Raw (dd);
- Volatily, è una popolare utility per l’analisi dei memory dump ed il recupero delle informazioni dalla RAM;
- ExifTool, un software che permette di visionare, modificare o estrarre i metadata da un’immagine.
Seguiteci sul nostro canale Telegram, sulla nostra pagina Facebook e su Google News. Nel campo qui sotto è possibile commentare e creare spunti di discussione inerenti le tematiche trattate sul blog.
L'articolo SIFT Workstation, tool open source per le indagini forensi sembra essere il primo su Linux Freedom.
Leggi il contenuto originale su Linux Freedom