PTK: impressioni dopo la presentazione di Crema
novembre 9th, 2008
Venerdi 7 novembre si è tenuta, presso l’Università di Crema, la presentazione di PTK, la nuova interfaccia grafica per lo Sluethkit, realizzata da DFLabs e disponibile da pochi giorni nella versione 1.0.1.
Il tool dovrebbe rappresentare il sostituto, o quanto meno l’alternativa ad Autopsy, la GUI realizzata da Brian Carrier per STK, la suite di strumenti per l’analisi forense di sua realizzazione.
La prima impressione è…che i numeri per esserlo li abbia tutti!!
In realtà non si tratta solo di una rivisitazione grafica, di una semplice interfaccia grafica via browser.
Gli sviluppatori hanno modificato decisamente la metodica di lavoro.
Si può ora pensare di disporre in ambiente Linux (ma non solo visto che qualcuno lo sta già facendo girare su Mac e sono previsti rilasci ufficiali in tal senso) di un tool che, operando come i noti software forensi closed source, svolga una indicizzazione dei contenuti dell’immagine forense, memorizzandone i risultati all’interno di un data-base MySql al fine di consentire veloci operazioni di ricerca e visualizzazione senza la necessità, come avviene ora con Autopsy, di lasciare che STK ripeta le operazioni prendendosi tempi anche lunghi, come avviene nel caso di immagini di grandi dimensioni.
finestra di settaggio dell'indicizzazione
Si può quindi ipotizzare di uscire la sera dal laboratorio dopo aver lanciato le operazioni di indicizzazione, ritrovando il giorno dopo il data-base popolato dai dati relativi alla time-line, alle tipologie di file, al calcolo degli hash (MD5 e SHA1) e alla ricerca di stringhe nei file referenziati (attivi e cancellati) dal file system.
Il vantaggio è immediato se pensiamo che sino ad ora, con Autopsy, ogni volta che desideravamo cercare una stringa differente dovevamo far ripetere la ricerca su tutta l’immagine, con i tempi di sospensione che ciò comportava, per non parlare del calcolo degli hash a fronte di file di grandi dimensioni.
Va precisato che il db non contiene il dato contenuto nel file, il file stesso, ma semplicemente i puntatori, i riferimenti che ne consentono il recupero, il dump dall’immagine, nel momento in cui questo viene richiesto e visualizzato dall’investigatore. Ciò consente di contenere le dimensioni del db, senza costringere l’utente a dotarsi di una macchina con caratteristiche hardware di altissimo livello.
La navigazione del file system può essere legata alle singole directory, con la visualizzazione nella finestra superiore di destra dei soli file in esse contenuti, o essere ricorsiva.
È inoltre possibile effettuare un filtraggio al fine di mostrare i file i cui nomi rispondono ad un certo pattern (filtro testuale), oppure utilizzare un sistema di filtri avanzati che consente di discriminare in base alla tipologia di file o in basi ai MAC Time.
navigazione nel file system e filtri - click to enlarge
La time-line, generata al momento dell’indicizzazione, può essere rappresentata in modo classico (tabellare), con la possibilità di ordinare le informazioni in base alle singole colonne,
time-line tabellare - click to enlarge
o in forma grafica, con la possibilità di avere una visione annuale, mensile, giornaliera, dei soli accessi, creazioni o modifiche e di zoomare lungo il grafico, percorrendo il quale un fumetto evidenzia, a seconda dell’istante, il numero di file interessati.
time-line grafica - click to enlarge
La ricerca per stringhe può essere effettuata in due modalità:
1- attingendo alle informazione immagazzinate nel db, che fanno riferimento alle stringhe individuate nei file referenziati dal file system (velocissima);
2- live, come la effettua Autopsy, scansionando tutta l’immagine nel momento stesso.
ricerca per stringhe indicizzate - click to enlarge
La PhotoGallery consente di visualizzare le miniature di tutti i file grafici presenti in una data directory, selezionandola dall’albero nel pannello di sinistra. Nelle prossime versioni tale feature si avvarrà della ricorsività.
Photo gallery - click to enlarge
I tab “Image details” e “Data unit” consentono rispettivamente di visualizzare le caratteristiche di immagine e file system ed il contenuto dei settori specificati dall’investigatore.
Ad ogni elemento (file) individuato durante l’indagine può essere assegnato ad un segnalibro. Questi possono essere divisi per categorie ed essere accompagnati da commenti.
Nella struttura client/server di PTK, che consente di assegnare il caso e le relative immagini a più investigatori, ogni uno di questi potrà visionare solo i propri “segnalibri” ed unicamente l’amministratore potrà accedere a quelli di tutti gli operatori.
I segnalibri divisi per categorie - click to enlarge
Il rapporto che viene generato può includere le miniature ed i commenti che sono stati inseriti bookmarkando il file.
Una feature particolarmente interessante è quella che consente di analizzare il dump della ram.
Fino ad ora era comunque possibile lavorare con Autopsy con dump della ram considerandoli quali dati grezzi, nei quali, in assenza della struttura di un file system era possibile effettuare unicamente ricerche per stringhe. Era sempre possibile rivolgersi a tools differenti, non facenti parte di STK, ma senza la possibilità di avere una gestione unificata del caso e di poter bookmarkare quanto rinvenuto.
PTK implementa il Framework di Volatility, strumento adibito all’analisi dei dump della ram (per ora supporta i dump da Win Xp SP2 e 3) dai quali può estrarre informazioni relative ai processi, alle connessioni, ai file in uso, ecc….
Le operazioni consentite dal Framework Volatility
Print list of open files for each process
Anche in questo caso vi è la possibilità di svolgere ricerche di stringhe, potendo disporre anche dei set di espressioni regolari preconfezionati, che sono eseguite in maniera live.
ricerca degli indirizzi di posta elettronica usando le espressioni regolari
Da un punto dei vista gestionale il tool è strutturato in modo che vi sia un amministratore dell’applicazione che crea i casi, aggiunge le immagini dei device e gli investigatori che poi abbina all’analisi di una
una immagine forense viene aggiunta al caso - click to enlarge
data immagine. Questi non possono prendere visione nè del lavoro svolto dagli altri, nè dei bookmarks da altri impostati e possono accedere solo ai casi alla cui analisi sono assegnati.
un investigatore è assegnato ad un caso - click to enlarge
Alcuni investigatori hanno evidenziato la necessità di consentire all’amministratore di esportare i bookmarks di un investigatore ad un altro, esigenza realistica nell’ottica di lavoro di uffici quali quelli delle forze di polizia.
Le ore del seminario non sono sicuramente state sufficienti ad analizzare compiutamente tutte le caratteristiche del tool, ma hanno dato la possibilità di farsi un’idea delle ottime possibilità dello strumento e della grande differenza dello stesso rispetto ad Autopsy.
Gli sviluppatori hanno anticipato che nel prossimo anno lavoreranno all’implementazione di uno strumento di carving che consenta di indicizzare la presenza di file non più referenziati, di altre metodiche di filtraggio dei contenuti dell’immagine, dei set di hash di file good/bad noti, di strumenti per la gestione degli archivi di posta elettronica e di tools per l’analisi dei registri di MS Windows.
La presentazione è, inoltre, stata l’occasione per gli sviluppatori di raccogliere le richieste ed i suggerimenti degli investigatori presenti.
Personalmente troverei utile:
- che il filtro testuale per la visualizzazione del contenuto del file system supportasse le espressioni regolari, anche se, come è stato fatto notore dagli sviluppatori, i file possono essere individuati anche attraverso la ricerca stringhe svolta in fase di indicizzazione;
- che fosse possibile effettuare ricerche tra più immagini di media facenti capo ad uno stesso caso. In tal modo, ipotizzando di analizzare più immagini di media coinvolti in una stessa indagine, sarebbe possibile individuare uno stesso documento, od una stessa stringa, nell’immagine dei differenti supporti.
Personalmente trovo sia stato fatto un gran lavoro, non solo dal punto di vista grafico, ma anche e soprattutto delle features disponibili e della fruibilità dei dati e delle informazioni.
Dall’incontro ho ricavato l’idea di un tool dal quale, grazie all’entusiasmo degli sviluppatori, dobbiamo aspettarci molto in termini di funzionalità aggiuntive capaci di estendere le possibilità operative dell’investigatore.
Ieri sulla mailing list di Computer Forensics Italy si è disquisito riguardo la disponibilità del codice sorgente di PTK ed alla sua classificazione quale strumento Open Source.
Visto che si stavano creando delle incomprensioni derivanti dall’interpretazione della licenza, ho chiesto spiegazioni e ragguagli ad uno degli sviluppatori.
In sintesi mi ha spiegato che:
- Ptk è completamente Open Source;
- le parti di codice offuscate sono indipendenti da Ptk essendo parti del framwork Ajax;
- nessuno vieta di scaricare Ptk, modificarlo ed usarlo (cosa già fatta per esempio da chi lo fa girare su mac);
- nella licenza c’è l’invito ad evitare di realizzare numerosi fork diversi, realizzati da sviluppatori diversi, in quanto trattandosi di un tool per uso forense ne potrebbero mettere in discussione la validità;
- quanto prima verrà messo in piedi un CVS da cui chiunque potrà scaricare le diverse versioni per analizzarne il codice, solo elementi selezionati potranno accedervi in scrittura;
- eventuali modifiche apportate da sviluppatori esterni, una volta validate dal team di sviluppo interno, potranno entrare a far parte della versione stabile ufficiale.
Mi hanno fatto notare che per STK, Carrier ha criteri ancor più selettivi, in quanto non esistono CVS ed è lui l’unico a mettere mano al codice una volta visionate le modifiche che gli si invia…se decide di
implementarle.
Questo articolo non rappresenta un tutorial, nè un documento di una qualche ufficialità.
Non sono un utente avanzato di questo tool e mi auguro che l’entusiasmo per quello che mi è parso un buon prodotto non mi abbia portato a scrivere imprecisioni, nel qual caso correggetemi pure.
Commenti a webmasterCHICCIOLAdenisfratiPUNTOit
Leave a Reply