Informatica forense: come scegliere il consulente

Le minacce informatiche sono in crescita e non è più solo appannaggio di singoli o gruppi di hacker, ma anche della criminalità organizzata: lo confermano tutti gli ultimi rapporti sul cybercrime (Clusit, Symantec, Kaspersky, OAI, Governo). Difendersi richiede pertanto un adeguamento professionale delle figure deputate alla sicurezza (per attività di prevenzione, contrasto e protezione) dal momento che spesso le contromisure non sono sufficienti a fermare una intrusione informatica sofisticata, specialmente se su commissione. In questi casi è cruciale ricorrere all’analisi forense, per ricostruire tecniche e mezzi di intrusione, nonché tentare di identificare responsabile. Ne abbiamo parlato con Massimiliano Graziani, CEO ConsIQ, esperto pluricertificato e consulente in Computer Forensics presso Forze dell’Ordine e Procura della Repubblica.

=> Sicurezza nelle PMI a misura di Budget IT

La digital forensics si occupa della individuazione, acquisizione, preservazione, analisi e interpretazione del dato digitale rilevato nelle memorie dei computer o sistemi informativi, al fine di evidenziare l’esistenza di indizi o fonti di prova nello svolgimento dell’attività investigativa e processuale (Andrea Ghirardini, CISSP, “Introduzione alla Computer Forensics” 2002). Le attività di cristallizzazione e conservazione dei reperti digitali sono descritte anche dallo standard ISO/IEC 27.037.  Il dato digitale è l’insieme delle informazioni nei dispositivi che, durante l’uso, generano tracce informatiche, che se trattate in modo corretto permettono la protezione del patrimonio informativo, il contrasto delle frodi e l’utilizzo per fini legali.

Le analisi forensi sono utili ogni volta che un dato digitale può fornire un indizio o traccia per risolvere un problema (anomalia o sospetto incidente informatico), l’analisi di log e sistemi, il recupero di dati cancellati da supporti di memorizzazione (dischi, chiavette, memorie…). Lo studio delle prove cambia in base al di sistema di analisi o al dato trattato. Dalle tecniche di undelete (basate sui metadati ancora presenti nel file system) si arriva a quelle di file carving (ricerca file cancellati in base al contenuto, rilevazione metadati o struttura standard del tipo di file). In generale, consentono il superamento di diversi limiti, tra cui la conoscenza del tipo di file system (specialmente se cancellato).

=> Sistemi Scada e sicurezza informatica in Italia

Finalità

Utile per tutela del patrimonio aziendale, la digital forensics è necessaria nelle attività investigative per reati informatici (o commessi con sistemi informatici): il computer può conservare infatti tracce di frodi, accessi e compromissioni. Nella professione forense è bandita l’improvvisazione: se si effettuano analisi senza esperienza, ignorando best practice, normative, standard o strumenti specifici, si rischia la compromissione delle prove, non più utilizzabili nel processo, con tanto di denuncia penale per distruzione o danneggiamento di prova e/o favoreggiamento, civile per risarcimento danni a sei cifre.  

Certificazioni

La scelta del consulente deve dunque basarsi su aspetti che incideranno sulla tutela dell’integrità e riservatezza dei dati: esperienza (CV), certificazioni, strumenti e dotazioni aggiornati e con licenza. Genericamente sottovalutato ma molto importante è anche la valutazione dell’investimento annuo per le licenze software e il ricambio tecnologico hardware per i dispositivi di acquisizione, write blocker e ogni altro strumento utile. Il laboratorio forense deve essere “a prova di bomba” (ConsIQ, ad esempio, ha adottato: doppio ingresso blindato, niente finestre, diversi gruppi UPS, climatizzazione, doppio sistema di videosorveglianza, armadio blindato e cassaforte, due NAS cifrati, sistemi di analisi operanti H24), software best practice, sistemi hardware di acquisizione (es.: Cellebrite, Logicube, Tableau, Cru Wiebetech e Mediaclone; superworkstation multiprocessore connesse in rete sterile, su cui effettuare analisi, recovery file, rimozione password, individuazione malware, ecc). È importante valutare anche la capacità di erogare formazione teorica e pratica, come in consIQ, dove si formano le squadre Digital Evidence First Responder dei clienti simulando situazioni reali, in modo che l’operatore non dimentichi l’esperienza vissuta. Molto importanti anche le certificazioni di prodotto, per garantire che l’operatore sappia utilizzare le funzioni che il software di analisi mette a disposizione per ottenere il miglior risultato. Infine si deve verificare se l’azienda dispone di assicurazione contro danni a terzi per digital forensics e cybersecurity, verificando massimali adeguati.

=> Il Piano di Governo sulla Sicurezza Informatica

La parcella è un parametro importante nell’individuazione di un serio professionista, che ogni anno investirà almeno 10/20mila euro per rinnovi licenze e aggiornamento hardware e software: per una frode interna ad una PMI il costo medio è di 6mila euro, compreso l’uso di strumenti adeguati, personale certificato, supporto decisionale e raccordo dei vari attori HR e Legal nell’instaurare le indagini o nelle fasi dibattimentali.

In Italia, l’IISFA rilascia la certificazione internazionale d’investigazione forense CIFI (Certified Information Forensics Investigator): per trovare professionisti abilitati si può consultare il sito, che li elenca tutti (la certificazione richiede frequenza annua di formazione e superamento all’esame di mantenimento). Anche l’Osservatorio italiano ONIF favorisce la figura dell’informatico forense, promuovendo il riconoscimento della disciplina.