SIFT è una raccolta di strumenti open source per effettuare investigazioni forensi in ambito informatico. Realizzato dalla SANS Forensics, è disponibile per Ubuntu, Windows 10 ed anche in bundle come macchina virtuale.
SIFT: Sans Investigative Forensic Toolkit
SIFT Workstation è un insieme di tool progettati per eseguire esami forensi digitali in una grande varietà di contesti. Fornisce gli strumenti necessari per eseguire approfondite analisi, per file system, memorie e reti. Realizzato dalla SANS, ed in particolare con il contributo dello sviluppatore Rob Lee, ad oggi è uno dei tool gratuiti più utilizzati per questo genere di operazioni, con oltre 100’000 download.
Per utilizzare SIFT sussistono due possibilità:
- Tramite VMWare/Virtualbox: in tal caso basterà che scarichiate da qui la relativa immagine. Una volta avviato il sistema operativo saranno richiesti come username sansforensics e password forensics;
- Come tool da integrare in Ubuntu.
Nel caso in cui decidiate di installare il toolkit su una macchina Ubuntu preesistente, dovrete prima recarvi in questa pagina GitHub per scaricare i file sift-cli-linux e sift-cli-linux.sha256.asc. Successivamente eseguite queste istruzioni:
gpg --keyserver hkp://pool.sks-keyserver.net:80 --recv-keys 22598A94 gpg --verify sift-cli-linux.sha256.asc sha256sum -c sift-cli-linux.sha256.asc
Spostate quindi il primo file scaricato in /usr/local/bin/sift, e da terminale utilizzate le direttive:
chmod +x /usr/local/bin/sift sudo sift install
Alcuni dei tool compresi
Un’interessante funzionalità di SIFT è sicuramente l’integrazione di una cheatsheet. Questa, infatti, permette, in base al tipo di investigazione da eseguire, di scegliere l’utility open source giusta ed utilizzarla in maniera guidata. Tra i principali tool di analisi implementati nella distribuzione, troviamo:
- Autopsy, questo software fornisce una GUI al più famoso tool di analisi di filesystem Sleuthkit. È compatibile con le immagini di tipo E01, AFF e Raw (dd);
- Volatily, è una popolare utility per l’analisi dei memory dump ed il recupero delle informazioni dalla RAM;
- ExifTool, un software che permette di visionare, modificare o estrarre i metadata da un’immagine.
Seguiteci sul nostro canale Telegram, sulla nostra pagina Facebook e su Google News. Nel campo qui sotto è possibile commentare e creare spunti di discussione inerenti le tematiche trattate sul blog.
