web analytics
sift indagini forensi

SIFT Workstation, tool open source per le indagini forensi

SIFT è una raccolta di strumenti open source per effettuare investigazioni forensi in ambito informatico. Realizzato dalla SANS Forensics, è disponibile per Ubuntu, Windows 10 ed anche in bundle come macchina virtuale.

SIFT: Sans Investigative Forensic Toolkit

SIFT Workstation è un insieme di tool progettati per eseguire esami forensi digitali in una grande varietà di contesti. Fornisce gli strumenti necessari per eseguire approfondite analisi, per file system, memorie e reti. Realizzato dalla SANS, ed in particolare con il contributo dello sviluppatore Rob Lee, ad oggi è uno dei tool gratuiti più utilizzati per questo genere di operazioni, con oltre 100’000 download.

sift autopsy open source
Per utilizzare SIFT sussistono due possibilità:

  • Tramite VMWare/Virtualbox: in tal caso basterà che scarichiate da qui la relativa immagine. Una volta avviato il sistema operativo saranno richiesti come username sansforensics e password forensics;
  • Come tool da integrare in Ubuntu.

Nel caso in cui decidiate di installare il toolkit su una macchina Ubuntu preesistente, dovrete prima recarvi in questa pagina GitHub per scaricare i file sift-cli-linux e sift-cli-linux.sha256.asc. Successivamente eseguite queste istruzioni:

gpg --keyserver   hkp://pool.sks-keyserver.net:80 --recv-keys 22598A94
gpg --verify sift-cli-linux.sha256.asc
sha256sum -c sift-cli-linux.sha256.asc

Spostate quindi il primo file scaricato in /usr/local/bin/sift, e da terminale utilizzate le direttive:

chmod +x /usr/local/bin/sift
sudo sift install

Alcuni dei tool compresi

sift cheatsheet
Un’interessante funzionalità di SIFT è sicuramente l’integrazione di una cheatsheet. Questa, infatti, permette, in base al tipo di investigazione da eseguire, di scegliere l’utility open source giusta ed utilizzarla in maniera guidata. Tra i principali tool di analisi implementati nella distribuzione, troviamo:

  • Autopsy, questo software fornisce una GUI al più famoso tool di analisi di filesystem Sleuthkit. È compatibile con le immagini di tipo E01, AFF e Raw (dd);
  • Volatily, è una popolare utility per l’analisi dei memory dump ed il recupero delle informazioni dalla RAM;
  • ExifTool, un software che permette di visionare, modificare o estrarre i metadata da un’immagine.

sharing-caring-1Seguiteci sul nostro canale Telegram, sulla nostra pagina Facebook e su Google News. Nel campo qui sotto è possibile commentare e creare spunti di discussione inerenti le tematiche trattate sul blog.

Altre storie
ubuntu
Ubuntu dal 2004 al 2020: le statistiche di un viaggio lungo 16 anni