MacForensicLab, disponibile la versione 4 del tool di analisi forense

di |
logomacitynet696wide

Avvocati, giudici, forze dell’ordine, amministratori di sistemi informatici possono avere bisogno di strumenti di analisi forense con i quali individuare, estrarre, conservare e documentare le prove su atti compiuti su un sistema. Tra le più interessanti applicazioni specifiche per OS X c’è MacForensicLab, potente e costoso strumento di analisi per compiere indagini, individuare attività non autorizzate, capire se e come è avvenuta una manomissione e se il computer sia stato usato per fini illeciti.

SubRosaSoft ha reso disponibile la versione 4 di MacForensicLab, nuova release di un potente tool di analisi forense per OS X. La società afferma che il software è stato riscritto e ora è in grado di avvantaggiarsi di tecnologie intrinseche di OS X come ad esempio Core Data; la finestra di navigazione principale è stata ridisegnata, l’applicazione mette a disposizione un miglior sistema per la gestione dei bookmark e le funzioni di auditing offrono nuove modalità di ricerca. Il programma sfrutta un “motore” SQL e consente a più investigatori di accedere agli stessi elementi. Ogni azione compiuta, ogni file individuato è memorizzato in un file di log esportabili in file leggibili con applicazioni standard del settore (è anche possibile aggiungere note a piacimento). Le immagini individuate possono essere visualizzate in piccole anteprime filtrate per tonalità (in base al contenuto), dimensione, data e così via in modo da raggruppare elementi simili. I file ritenuti interessanti possono essere marcati in modo da essere facilmente recuperati in una fase successiva.

È possibile seguire l’analisi delle parole-chiave sfruttando vocabolari multilingua (anche russo, arabo, cinese) e controlli (checksum) crittografici MD5, SHA-1 e SHA-256. Numerosi sono i parametri personalizzabili permettendo di ridurre i tempi necessari alla ricerca d’informazioni probatorie. Gli investigatori hanno a disposizioni varie funzioni che consentono di verificare cosa è stato fatto con la macchina sotto analisi, le connessioni WiFi utilizzate, gli iPod collegati, visualizzare cronologia dei siti visitati, preferiti e preferenze generali di sistema. Non mancano funzioni di data recovering (anche da dischi danneggiati) e tutti gli strumenti lasciano ovviamente inalterati i supporti originali.

I requisiti minimi sono: un Mac con OS X 10.4 o superiore, CPU G4, G5 o Intel, 1GB di memoria RAM, un HD secondario per lo storace dei dati recuperati e una porta USB per la chiave hardware. Il costo del prodotto è elevato: 1495$, ma in linea con strumenti di analisi di questo livello.

[A cura di Mauro Notarianni]