Appunti di Computer Forensics
La computer forensic comprende tutte le attività di identificazione, di estrazione, d’interpretazione, di conservazione e di documentazione dei dati contenuti nei media dei computer, a fronte di un analisi compiuta per l’acquisizione delle prove relative a un atto criminoso.
L’evoluzione di questo settore è la conseguenza della crescita esponenziale dei crimini informatici.
Nell'attività di indagine si trovano essenzialmente due casistiche:
· Il computer è il mezzo usato per compiere un’ azione criminosa.
L'investigazione di questo tipo è relativa alla ricerca dei pc sospettati di essere coinvolti.
· Il computer stesso è vittima di un crimine.
La prima indicazione per chi vuole svolgere questa attività è l'osservanza di procedure chiare e ben definite.
La computer forensic iniziò alcuni anni fa, quando era abbastanza semplice raccogliere prove da un pc. I tempi sono cambiati e il problema che si presenta attualmente è che mentre le metodologie forensi di base rimangono le stesse, la tecnologia sta cambiando rapidamente.
Questa è senz’altro una sfida che attende gli specialisti della computer forensic nel futuro.
Passiamo ora ad analizzare nel concreto quali sono i metodi che devono essere applicati per svolgere al meglio questa attività.
I capisaldi per una corretta analisi.
Acquisire la/le prove senza alterare o danneggiare i dati originali.
Analizzare i dati senza modificarli.
Autenticare che la prova recuperata è identica al dato in origine analizzato.
Analisi su Hd
Analizzare la struttura fisica dell'hd e il partizionamento logico e prenderne nota.
Fare una copia immagine e ripristinare l'immagine su un disco rigido ripulito per l'analisi.
Analizzare l'immagine montandola in sola lettura o, se è il caso, ripristinando l'OS originale.
Indagine sui dati
Parametri installazione OS e configurazione di rete.
Logs dei sistemi operativi.
Difficilmente le prove cercate saranno disponibili senza un meticoloso lavoro di analisi del supporto.
Occultamento di dati
Ci sono diverse tecniche per l’occultamento dei dati.
Offuscare il dati attraverso la crittografia e la compressione.
Più codici di crittografia e compressione di dati ci sono, più difficile è il lavoro forensico.
Altri metodi usati per nascondere i dati sono: codici, steganografia, inserimento in zone dell'hd non raggiunte dal normale utilizzo del sistema operativo, sfruttamento di caratterisiche proprie di ogni OS per l'occultamento di file.
Il codice ostile
E' il codice non autorizzato che penetra nel computer.
L' Hostile Code si suddivide in due categorie:
Manuale: tools di rete che permettono l'accesso non autorizzato ( NetBus, BackOrifice, IRC ), fix utilities che sostituiscono senza giunzioni il codice binario legittimo con una versione ostile, manipolatori di log, analizzatori di vulnerabilità, agenti preposti al DDoS,
Autonomo: i virus ( Melissa, time bombs ), worm e bots di IRC.
Manipolazione delle prove
Attenzione, ricordarsi che pur presentando possibili analogie, ogni caso è diverso da un'altro.
E’ essenziale che nel manipolare la prova si abbia estrema cura, per non compromettere l’intera operazione investigativa.
E’ importante che sia raggiunto l’obiettivo di assicurare l’integrità della prova mediante una buona catena di custodia.
La catena di custodia
La catena deve dare le risposte a:
Chi raccoglie la prova
Come e dove
Chi prende possesso di essa
Come viene custodita e protetta in deposito
Chi la richiede fuori dal deposito e perché?
Far si che la prova sia più “pulita” possibile per evitare possibili contestazioni.
Si deve identificare meticolosamente ogni oggetto utile ai fini investigativi, che è ubicato nel luogo di indagine.
I supporti contenenti le prove devono essere conservati in un luogo appropriato esente da egenti esterni che possono alterare la prova.
Documentare in dettaglio tutte le attività investigative, aspetto rilevante ma difficoltoso per i tecnici perché inclini all'operatività e non alle attività amministrative.
Aspetto non secondario da affrontare è la autenticazione e l'integrità della prova, attraverso gli appositi algoritmi crittografici come Md5 o Sha.
E' consigliabile eseguire un backup supplementare in caso di danneggiamento o distruzione della prima copia del supporto laddove non sia più disponibile l'originale.
Usare tools di analisi ben conosciuti, pena arrivare a metà strada e non sapere più che fare!
Toolkits forensici
Esiste una moltitudine di software preposta all'analisi informatica investigativa, sia OpenSource che proprietaria. Ogni programma ha le sue caratterisiche che lo rendono utile o meno ad un determinato caso; il rendimento nell'indagine è però sempre proporzionale alla conoscenza dei tools utilizzati da parte dell'investigatore ed alla sua capacità di selezionare i programmi più idonei al caso in oggetto.
Tool per la duplicazione e l'analisi dell'hd : dd, EnCase, Safeback, WinHex, Fdisk ecc...
File viewer :Qiuckview Plus, Conversion Plus, DataViz, ThumnsPlus.
Ricerca testo: piochè i dati di testo possono essere enormi, usare un tool veloce come dtSearch o i programmi di ricerca Unix/Linux find, grep e locate.
Forensic toolkit: utilità a linea di comando usato per ricostruire le attività di accesso nei sistemi di file NT
TCT (The Coroner's Toolkit)
Autopsy
ForensiX: una collezione multiuso di raccolta di dati ed tools di analisi che si eseguono primariamente in Linux.
New Technologies Incorporated (NTI)
EnCase
DriveSpy
Utility MaresWare
DataLifter
| Per
informazioni contattare staff@cybercrimes.it
Il logo cybercrimes.it e le immagini relative sono di proprietà del sito. La documentazione presente nel sito è soggetta alla licenza Creative Commons ed è quindi liberamente riproducibile riportando il nome dell'autore originale. |
