[tc] Extractor

[Carlo Traverso]

Scusate, ma la vedo molto meno tragica. Di che si tratta? di una
chiave USB contenente vari tools che permettono di eseguire varie
operazioni di carattere giudiziario su di una macchina senza
spegnerla. Per poterla usare deve esserci il possesso fisico della
macchina, ossia unn sequestro in atto, o simili. E immagino che
contenga tools che permettono di impadronirsi della macchina stessa se
ci sono delle debolezze del sistema: che possono essere rootkits, o
attacchi alle password deboli (e magari non c'e' password), o
semplicemente tools che richiedono di dare la password
dell'amministratore (a seconda delle legislazioni, su mandato del
giudice l'utente e'obbligato a dare la password: in Inghilterra sotto
penalita' di 15 anni di galera). La novita' e' che tutto e' messo su
una chiave USB, che immagino salvi anche un dump di memoria. Di modo
che un finanziere che fa i sequestro puo' essere addestrato a usare il
tool, non a spegnere e mettere i sigilli.

La stessa cosa si potrebbe fare anche su linux. Spegnendo la macchina
e' una live distribution, ma immagino che molti di noi sarebbero in
grado di preparare un analogo toolkit per linux.

Tutta un'altra cosa ovviamente se i dati (compresa la memoria) sono
crittati e non si e' obbligati a rivelare la password di root. E
ovviamente resta il problema delle possibili backdoors lasciate
apposta nel sistema. Ma dubito che se ci sono le mettano nel toolkit,
il che permetterebbe, re-ingegnerizzandolo, di scoprirle. E se ci sono
funzionano in rete, senza bisogno di farsi scoprire.

Comunque in forensic sanno fare ben ben altro; ho sentito di recente
ad Eurocrypt Andy Clark