Una soluzione Open Source per gestire la cifratura del disco di McAfee durante uninvestigazione digitale

Abstract

Durante un'indagine digitale, uno degli scenari più complessi è rappresentato da un'acquisizione completamente cifrata. Anche quando l'esperto di informatica forense riesce a recuperare la chiave privata o la password che permette l'accesso al contenuto reale dell'immagine del disco, questo livello di cifratura deve essere gestito opportunamente. La soluzione proposta da McAfee è una delle più diffuse in ambito commerciale e pone una sfida complicata agli esperti in quanto, per esaminare i frammenti delle prove protetti con questo prodotto, esiste un unico metodo che costa un discreto quantitativo di denaro e di tempo, che spesso sono fattori critici durante un'indagine. Per superare questi problemi, nell'ambito di questa tesi proponiamo una soluzione open-source, McAFuse, che aiuta gli investigatori ad interagire con l'immagine in una maniera attendibile dal punto di vista forense per semplificare la fase di analisi di un'indagine digitale. Per questo motivo presentiamo anche il processo di ingegneria inversa effettuato sul disco interamente cifrato con McAfee FDE per recuperare le informazioni mancanti necessarie a sviluppare tale software.

During digital investigations, one of the most difficult scenarios happens when the obtained acquisition is totally encrypted. Even when the Digital Forensics and Incident Response (DFIR) examiner can recover private keys or passwords that allow accessing the real content of the disk image, this encryption layer has to be properly handled. McAfee solution is one of the most widespread in the enterprise world and poses a serious challenge to experts since, to examine the shreds of evidences protected with this product, it exist only one method that costs a generous amount of money and time, which often are critical factors during an investigation. To overcome those problems, in this thesis we propose an open-source solution, McAFuse, that is going to help examiners to approach the image in a forensics sound manner to ease the analysis phase of a digital investigation. To achieve this goal, we present also the reverse engineering process made on the McAfee Full Disk encryption (FDE) setting to retrieve lacking information necessary to develop such a program.