Analisi forense/Wiping dei Buffer del PC

[juggler]

Ciao a tutti, sapate meglio di me che le interfacce dei computer (USB, Firewire ecc ecc) sono forniti di buffer il quale oltre ad essere utile per espletare compiti "ordinari" per il corretto funzionamento delle stesse interfacce e i relativi dispositivi collegati (algoritmi di priorità ecc ecc) possono essere utilizzati anche per tener traccia dell'utilizzo di una data interfaccia per qualsivoglia motivo.

Due domande:

La prima: esistono degli appositi tool di informatica forense che mi permettano di reperire informazioni anche dai buffer/cache e quant'altro delle interfacce dei computer? Non penso che strumenti quali "Helix" o "EnCase" incorporino tools per l'analisi forense dei buffer ma forse solo dell'HD, giusto?

La seconda: c'è un modo per fare un wiping del buffer? Cioè dopo aver utilizzato una data interfaccia, ad esempio una porta USB con una semplice chiavetta usb, posso far in modo di cancellare in modo sicuro le "tracce" di utilizzo/logging nel buffer/memoria della porta usb? Domanda che ovviamente si estende anche a qualsiasi altra interfaccia del computer.
Ovvio che non mi riferisco a tipici tool come Eraser, DBan e/o altri simili che magari in più fanno anchela formattazione fisica(di basso livello) dell'HD; tutti questi tool, ed altri, non si occupano del wiping del buffer...

Grazie in anticipo a tutti, ciao!

[settanta]

per quanto poco ne so in materia di eraser,
senza usare termini tecnici, serve una semplice soluzione, la riscrittura del buffer.
L'unico modo che hai per essere certo che i dati non siano più leggibili è sovrascriverli,
trattandosi di memorie di pochi mb, il compito è semplice, diverso è il problema della stampante
dato che integra un buffer interno ad essa e puoi sovrascriverlo solo inviando altri dati alla stampa.
Se poi esiste un apposito tool simile ad eraser
non saprei....

[juggler]

Ciao, infatti era proprio quello che cercavo, un tool simile ad Eraser che però si occupi solo dei buffer del sistema; cmq amici su Internet mi hanno assicurato che dai dati del buffer non si riesce ricavare molto....

[settanta]

amici su Internet mi hanno assicurato che dai dati del buffer non si riesce ricavare molto.

............io non li chiamerei amici................

se ti fai un giro sui siti che trattano a fondo l'argomento,
potresti scoprire cose molto interessanti che i tuoi amici hanno omesso di dirti....

Un doc word è composto da pochi byte,
un buffer ne può contenere decine di pagine,
in alcuni casi per estrarli basta avere un pò di fantasia.....
Non dimentichiamo il SO,altro mondo oscuro,
con pochi click puoi scoprire quante e quali periferiche sono state collegate al pc da quando è stato istallato il SO,
un tool di wind è deputato ad estrarre il code imei di alcune periferica usb.
naturalmente una formattazione elimina gran parte dei dati, ad eccezione delle partizioni invisibili.
Tutti i sistemi di cifratura devono essere approvati dall'ente governativo, pena la soppressione del soft.
Un eraser può sovrascrivere i file eliminati anche
10 volte, questo impedisce di ricostruirne la struttura, ma non può interagire con componenti hardware come la ram oppure il buffer di una stampante e/o altra periferica in modo completo.
Credo che convenga essere coscienti del rischio/beneficio di un sistema di protezione ad alto livello.
Io parlo di cose semplici come una distro Linux che ha accesso a tutte le risorse di windows anche se nascoste, oppure una semplice ricerca all'interno dei index di windows, sono tanti, e tutti forniscono informazioni utili a ricostruire il percorso di un file.
Morale:
non esiste la privacy in un pc,
possiamo solo limitare i danni con un comportamento prudente....

[juggler]

amici su Internet mi hanno assicurato che dai dati del buffer non si riesce ricavare molto.

............io non li chiamerei amici................

se ti fai un giro sui siti che trattano a fondo l'argomento,
potresti scoprire cose molto interessanti che i tuoi amici hanno omesso di dirti....

Un doc word è composto da pochi byte,
un buffer ne può contenere decine di pagine,
in alcuni casi per estrarli basta avere un pò di fantasia.....
Non dimentichiamo il SO,altro mondo oscuro,
con pochi click puoi scoprire quante e quali periferiche sono state collegate al pc da quando è stato istallato il SO,
un tool di wind è deputato ad estrarre il code imei di alcune periferica usb.
naturalmente una formattazione elimina gran parte dei dati, ad eccezione delle partizioni invisibili.
Tutti i sistemi di cifratura devono essere approvati dall'ente governativo, pena la soppressione del soft.
Un eraser può sovrascrivere i file eliminati anche
10 volte, questo impedisce di ricostruirne la struttura, ma non può interagire con componenti hardware come la ram oppure il buffer di una stampante e/o altra periferica in modo completo.
Credo che convenga essere coscienti del rischio/beneficio di un sistema di protezione ad alto livello.
Io parlo di cose semplici come una distro Linux che ha accesso a tutte le risorse di windows anche se nascoste, oppure una semplice ricerca all'interno dei index di windows, sono tanti, e tutti forniscono informazioni utili a ricostruire il percorso di un file.
Morale:
non esiste la privacy in un pc,
possiamo solo limitare i danni con un comportamento prudente....

Eppure ormai in me era maturata la convinzione che nei buffer la dimensione è così limitata da non conservare informazione significativa tant'è che i dati dovrebbero essere cancellati/resettati ogni qualvolta si riavvia il sistema o quando si riconnette/disconnette una periferica ad una data interfaccia....

[Lamiera]

Salve, l'argomento mi interessa molto... ma come faccio a leggere il buffer?
Potreste essere più espliciti?
Grazie, ciao.

[settanta]

Eppure ormai in me era maturata la convinzione che nei buffer la dimensione è così limitata da non conservare informazione significativa..............................

Non sono diminuiti,
ci sono stampanti con 8mb di buffer,
le ram di un pc sono passate da 256 a 2/3 giga,
la ram virtuale(paging) è costituita dall'intero hardisk se non diversamente impostata.
Quando riavvii un sistema o periferica il SO si incarica di salvare le info per renderle disponibili all'avvio(maggiore velocità), se disconnetti una periferica interrompi il collegamento fisico, non i controller della stessa.
Ogni memoria è gestita da un software,
il software deve essere veloce e non blindato,
deve poter interagire con altri programmi e questo porta ad avere una minore privacy,
é un eterno dilemma.....

ma come faccio a leggere il buffer

lo compri in edicola ogni mese...

per alcuni basta avere fantasia,
per altri serve un recovery,
per altri ancora servono conoscenze e software
dedicati che costano come una rolls....

[juggler]

Cmq cercherò il più possibile di "stare attento"... tranquilli non sono un terrorista.. :-)

E' solo curiosità :-)

Ciao!