Tratto dallo speciale:

Computer forensics: la gestione delle prove

di Angela Rossoni

scritto il

Come vengono cercate, raccolte, preservate ed analizzate le prove in un processo di computer forensics.

Analizzare le prove

I dati così raccolti devono essere analizzati con grande scrupolo e correlati, anche per stabilire con precisione la cronologia dell’incidente. Per l’analisi dei dati si utilizzano diversi tool, come sistemi di virtualizzazione (ad esempio i tool di Vmware, Parallels, Qemu), programmi e tecniche di password cracking per il sistema operativo e gli applicativi (John The Ripper, Ophcrack), analizzatori di pacchetti di rete (Wireshark, Ethereal), tool per la conversione dei formati, editor esadecimali (WinHex, Hexedit), software per il recupero dati (R-Studio, PC Inspector, Stellar) e toolkit forensi.

Questi ultimi possono essere sia proprietari, come Encase di GuidanceSoftware, ForensicToolkit di Access Data, X-WaysForensic di X-Ways, P2 Commander di Paraben Corporation, Pro Discover di Technology Pathways o Macintosh Forensic di Blackbag. Le principali distribuzioni open source includono Helix2008 di E-Fense, DEFT  di Fratepietro e Caine di Giustini, basati su Ubuntu.

=> Scopri le politiche di sicurezza mobile

L’opera dei detective IT si conclude con la creazione del rapporto documentale, che descrive in modo dettagliato, chiaro e comprensibile anche a personale non tecnico la cronologia dell’incidente e le eventuali evidenze di reato rilevate. Se l’attacco IT ha rilevanza penale, la consulenza tecnica potrebbe essere usata in tribunale.

Computer forensics, tra presente e futuro

La disciplina della computer forensics richiede conoscenze informatiche molto approfondite, oltre a spiccate capacità di analisi e di osservazione e naturalmente molta pazienza e meticolosità. Le indagini sulle prove digitali sono in genere svolte da professionisti dell’IT, da personale IT esperto che opera all’interno delle aziende, oppure da aziende specializzate nel settore, come ad esempio Kroll Ontrack.

In futuro i professionisti della digital forensics disporranno di tool sempre più autonomi ed intelligenti che accelereranno e le attività di acquisizione delle prove digitali e che permetteranno di operare sulla scena del crimine in maniera più sicura e perfettamente tracciata. Sono allo studio tool di informatica forense integrati nei sistemi operativi e nei sistemi cloud, che moltiplicheranno le capacità di indagine delle prove digitali.

In un nostro precedente articolo abbiamo introdotto la computer forensics, la disciplina che si occupa di rintracciare prove nascoste in sistemi informatici. In questo vedremo invece come vengono cercate, raccolte ed analizzate le prove.

=> Leggi di più sulla computer forensics

Cercare e raccogliere le prove

La disciplina della computer forensics si basa su una metodologia di indagine molto rigorosa. Occorre minimizzare la perdita dei dati durante i processi di acquisizione ed analisi, registrare tutte le informazioni, analizzare scrupolosamente e correlare tutti i dati acquisiti e, alla fine, eseguire un rapporto dettagliato che tenga conto di tutte le prove e informazioni acquisite.

L’indagine parte da un’accurata descrizione del sistema, delle caratteristiche hardware e software, allo scopo di  individuare i supporti che potrebbero contenere prove digitali. L’esperto di computer forensics deve anche stilare un elenco degli utenti abilitati all’accesso al sistema IT oggetto di indagine. Queste informazioni sono acquisite sia mediante interviste, sia attraverso tool software dedicati.

Occorre inoltre definire la cosiddetta “catena di custodia”, ossia la descrizione di dettaglio dei “reperti”, con documentazione delle persone abilitate ad accedere in presenza di testimoni alle prove. È necessario inoltre isolare la scena del crimine per evitare l’accesso alle persone non autorizzate. I dati oggetto di analisi possono essere documenti, immagini, messaggi di posta elettronica, navigazione web, chat, database, file di log, registri di sistema, file cancellati, nascosti e cifrati e partizioni nascoste.

L’acquisizione delle prove passa tassativamente da una copia dell’intero sistema su supporti hardware “sterili”, ossia estranei al sistema oggetto di indagine, per evitare di inquinare le prove. La modalità di acquisizione migliore è (ove possibile) una copia bit per bit dell’intero supporto digitale, verificando l’integrità della copia con tecniche di hashing crittografico. La copia di tutti i dati deve rispettare l’ordine di volatilità dei supporti, ossia l’ordine in cui le prove “digitali” hanno la maggior probalità di andare perdute (memoria RAM, spazio di swap o page file, stato e connessioni di rete, processi attivi, hard disk, dischi rimovibili).

La preservazione in maniera corretta delle prove e dei materiali acquisiti durante l’indagine è vitale al fine di evitare che l’intero lavoro sia invalidato per un cavillo legale: le prove non devono essere in alcun modo alterate o inquinate. Alcuni dati importanti ai fine dell’analisi potrebbero essere stati cancellati accidentalmente o volontariamente, per cui è importante anche adottare tecniche opportune di recupero dati o di  frammenti di file che ricomposti possano comprovare attività illecite.