Crime Scene Investigation

di Maurizio Anconelli

“Coloro che sognano di giorno sanno molte cose che sfuggono a chi sogna soltanto di notte.” (Edgar Allan Poe)

“Non hai nessuna curiosità personale, Daneel? Ti definisci un detective, ma sai cosa significa? Sai che seguire un'indagine è qualcosa di più di un semplice lavoro?”. (Isaac Asimov)

In occasione di un’indagine informatica viene spesso trascurata una fase propria delle tecniche investigative tradizionali: l’analisi ambientale. La rilevanza di alcuni dettagli presenti fisicamente nel luogo correlato ad un processo inevstigativo può favorire non poco la successiva analisi nel mondo virtuale.

Per rappresentare in sintesi la complessità di un’indagine informatica possiamo dividerla in tre processi principali:





La fase di ‘raccolta dei dati’ è di gran lunga la più determinante ai fini dell’indagine. E’ sufficiente una banale svista, una prova tralasciata o un dettaglio perso e l’indagine proseguirà irrimediabilmente attraverso una strada più tortuosa, con la possibilità che termini, nonostante un notevole dispendio di tempo ed energie, nel fatidico “binario morto”.

La procedura da adottare, per effettuare una raccolta di elementi veramente efficace, deve comprendere sia le tecniche prettamente informatiche ( Analisi host, analisi log, rete ecc…), che le tecniche investigative tradizionali quali l’interrogatorio ed il colloquio con le persone coinvolte e l’esame dell’ambiente nel quale è collocato l’apparato sotto indagine, procedimento che affrontiamo in dettaglio in questo articolo.

E’ sicuramente vero che chi effettua un’indagine forensica difficilmente ha avuto modo di visitare il luogo dal quale proviene il pc o l’hard disk sul quale sta lavorando. Gli investigatori, i membri del team di Incident Response, i legali e gli appartenenti alle forze dell’ordine hanno però spesso la possibilità di osservare l’apparato all’interno del luogo di origine, ed è bene che sfruttino al meglio tale occasione, per raccogliere ogni evidenza e riportare gli elementi ottenuti all’eventuale esaminatore esterno.

Trattare in dettaglio le procedure tradizionali di indagine sulla scena del crimine richiederebbe un articolo esteso a parte. In internet è reperibile parecchia documentazione in merito, redatta da tecnici e dirigenti di forze dell’ordine internazionali.

Focalizzeremo quindi la nostra attenzione sull’integrazione delle suddette procedure nelle indagini riguardanti il crimine informatico o, comunque, apparecchiature informatiche coinvolte in un crimine.

Esaminiamo innanzitutto una serie di caratteristiche essenziali da inserire nella cassetta degli attrezzi ogni qualvolta ci apprestiamo a compiere un sopralluogo.

METODOLOGIA. E’ questo il termine che sintetizza il criterio e l’attitudine mentale necessari alla corretta gestione di un’indagine in loco. La mancanza di un metodo di base come sostegno alla nostra analisi comporta, nella migliore delle ipotesi, una raccolta scorretta e scoordinata degli elementi probatori o comunque utili all’indagine, invalidando facilmente un lavoro di analisi anche brillante.

OSSERVAZIONE. Un fattore importante per effettuare una buona indagine sul posto è sicuramente lo spirito di osservazione. Non dare nulla per scontato ed esaminare ogni oggetto da punti di vista differenti in modo da coglierne anche gli attributi nascosti.

FAMILIARITÀ. Altrettanto importante è la familiarità con l’ambiente informatico nel quale probabilmente dovremo muoverci.Che si tratti di un CED, una stanza Server, un Internet Point, la postazione di un utente o una scrivania domestica, la familiarità con la tecnologia coinvolta permette di afferrare al volo gli elementi importanti o contrastanti relativi al caso in oggetto.

CREATIVITA’. Può apparire una contraddizione ma, la creatività e la fantasia si dimostrano spesso la chiave di volta di un’indagine apparentemente infruttuosa.



Elenco elementi

Ogni caso possiede peculiarità che lo rendono differente da altri ma, in ambiente informatico, possiamo classificare una serie di oggetti ed elementi che sono capaci di rivelare indizi più o meno importanti, a seconda del contesto e della destinazione.

Quello che segue è un elenco di base degli elementi importanti da considerare in un sopralluogo che coinvolge attrezzature informatiche, da integrare con particolari suggeriti dallo studio e dall’esperienza personale.

Elementi indagine categoria 1

Sono gli elementi che nella maggior parte dei casi costituiscono materiale probatorio o contengono indizi e prove di assoluta importanza.

Supporti contigui (floppy, cdrom, dat)

Elementi indagine categoria 2

Nella maggior parte dei casi non si rivelano elementi probatori ma contribuiscono direttamente al rinvenimento degli elementi di categoria 1 o comunque ad altri oggetti a carattere direttamente probatorio



Elementi ambiente

Le caratteristiche e la disposizione ambientale del locale oggetto di sopralluogo.



Elementi profilo

Sono gli elementi che contribuiscono a tracciare un profilo caratteriale della persona direttamente coinvolta nell’utilizzo delle attrezzature e degli apparati oggetto di indagine, utile per prevedere e ipotizzare abitudini anche in ambito informatico.



Linee Guida

Procedere in maniera attenta ad una catalogazione dettagliata. Utilizzare strumenti quali fotocamere digitali, telecamere o , in mancanza di altro schizzare la scena in dettaglio.

La fase di catalogazione dev’essere effettuata con un adeguato livello di astrazione, non cercare di giungere a conclusioni in questa fase poiché seguendo un ragionamento potremmo essere indotti a tralasciare dettagli non direttamente coinvolti dalla sequenza della deduzione.

Prestare particolare attenzione agli oggetti in prossimità del computer o apparato esaminato, la disposizione e la relazione con le caratteristiche dell’ambiente. Allo stesso modo prestare attenzione alla mancanza di oggetti che la funzionalità delle apparecchiature o la logica del sito evidenziano.

Verificare la disposizione degli oggetti rispetto alle fonti di luce naturali ed artificiali ( se un monitor è posto con lo schermo di fronte ad una finestra particolarmente luminosa, ad esempio, sono elevate le probabilità che sia stato spostato, vista la difficoltà di lavoro con i riflessi sullo schermo)

Raccogliere ogni media presente nelle immediate circostanze per una successiva analisi (floppy, cdrom, schede memoria ecc….) e verificare la presenza di custodie vuote.

Catalogare gli apparati preposti al trasferimento di dati su supporti quali masterizzatori, dat, hard disk estraibili ecc…

Non sottovalutare la ricerca nei cestini dei rifiuti presenti nelle vicinanze.

Verificare la presenza di apparati per la comunicazione o la trasmissione di dati non direttamente collegati alla topologia di rete esistente. Hub, modem o apparecchiature wireless anche scollegate o riposte in luoghi attigui.

Osservare e catalogare le guide tecniche e i libri ( o riviste) presenti nell’intero locale e/o negli ambienti contigui.

Controllare le postazioni immediatamente attigue alla ricerca di elementi che potrebbero essere stati spostati inavvertitamente o volutamente.

Queste sono solo alcune linee guida, un’elenco esaustivo non è proponibile in così poco spazio. L’intento di questo articolo, spero raggiunto, è quello di sottolineare l’importanza di un corretto approccio all’analisi ambientale, nella consapevolezza che ogni scena del crimine è sempre diversa dalle altre.


Per informazioni contattare staff@cybercrimes.it
Il logo cybercrimes.it e le immagini relative sono di proprietà del sito.
La documentazione presente nel sito è soggetta alla licenza Creative Commons ed è quindi liberamente riproducibile riportando il nome dell'autore originale.

>>>Forum<<<

Google
Web
cybercrimes.it

Lo Staff di Cybercrimes.it

Anconelli Maurizio

ISFCE


Denis Frati

Denis Frati 05/2007 - 10/2010

hackin9

Hard Disk Forensics e Specifiche ATA