Copia forense

Da Wikipedia, l'enciclopedia libera.
Jump to navigation Jump to search

La copia forense (o bit-stream image), nel lessico forense, indica l'acquisizione di documenti in formato digitale che genera una copia bit a bit da un dispositivo di memoria di massa a un altro.

Aspetti generali[modifica | modifica wikitesto]

A differenza di una copia eseguita sui singoli file presenti sul filesystem, la clonazione comporta la duplicazione di tutte le zone del disco, anche quelle che non contengono alcun file direttamente visibile all'utente, definite tecnicamente aree non allocate. Poiché nella maggior parte dei filesystem la rimozione di un file implica semplicemente la cancellazione dell'indice che contiene la posizione del file su disco, il poter aver accesso alle aree non allocate permette il recupero di file cancellati o di informazioni ormai non più disponibili all'utilizzatore del sistema. La copia forense è realizzabile tramite clonazione o tramite creazione di un file immagine.

Clonazione[modifica | modifica wikitesto]

La clonazione comporta una copia bit a bit del dispositivo sorgente su quello destinazione, senza riorganizzazione o compressione di quanto scritto. Questo implica che qualora il disco sorgente fosse grande X byte, il disco destinazione conterrà nei primi X byte gli stessi identici bit.

L'unico vantaggio di questo metodo è che il disco destinazione è identico a quello sorgente, il che in alcuni casi significa avere una copia esatta avviabile persino direttamente sulla macchina da cui è stato estratto il disco sorgente. Gli svantaggi sono invece il fatto che sul disco destinazione si può in genere (a meno di non lavorare con valori di offset che permettano di saltare la parte iniziale del disco già occupata) copiare soltanto un disco sorgente, unito al rischio di difformità della copia che si corre nel caso in cui il disco destinazione contenga settori difettosi.

Immagine[modifica | modifica wikitesto]

La creazione di una immagine del disco, comporta la copia del disco sorgente in un file all'interno del filesystem del disco destinazione. Nel caso di creazione di un file immagine, quindi, gli X byte di cui è composto il disco sorgente saranno salvati in un file sul disco destinazione con dimensione variabile in base al tipo di codifica scelta. Nel caso di immagine detta raw, il file sarà grande esattamente X poiché i bit saranno copiati uno ad uno senza alcuna compressione o organizzazione dei dati, in maniera simile a quanto avviene per la clonazione ma con la differenza che in questo caso si sta scrivendo su di un file all'interno del filesystem contenuto nel disco destinazione, non direttamente sul disco al posto del filesystem. Sono ormai diffuse diverse modalità di codifica dell'immagine sul disco destinazione, che prevedono diverse tipologie di compressione e organizzazione dei dati. Le principali modalità acquisizione delle immagini, utilizzate spesso in alternativa alla modalità raw per risparmiare spazio, sono EWF ("Expert Witness Format", impiegato dal software Encase ma ideato dalla ASR Data) ed AFF ("Advanced Forensics Format", ideato Simson Garfinkel, il creatore della libreria AffLib). Entrambe le modalità forniscono diversi livelli di compressione, oltre alla possibilità di inserire all'interno delle immagini delle informazioni relative all'immagine sorgente.

Per ovviare ai limiti di alcuni filesystem (come il FAT32), spesso si suddivide l'immagine del disco sorgente scritta sul disco destinazione in più file, di dimensione tipicamente tra i due e i 4 GB l'uno. EWF e AFF prevedono di default questa suddivisione, mentre per la modalità raw si può impostare la dimensione dei file generando così un file immagine definito split raw.

I principali vantaggi di questo tipo di copia forense è che sul disco destinazione potranno essere salvate diverse immagini di dischi sorgente, poiché ogni immagine corrisponderà a un file (o a più file di dimensione ridotta, in caso di suddivisione). Ulteriore vantaggio è il fatto che utilizzando i formati compressi EWF o AFF sarà possibile ridurre di parecchio la dimensione dell'immagine destinazione, in quanto le aree non utilizzate del disco e contenenti zeri verranno altamente compresse, così come i file con caratteristiche comprimibili quali testo e documenti. È molto facile, quindi, riuscire a copiare dischi di qualche centinaia di GByte in file immagine di qualche decina di GByte.

Lo svantaggio dell'utilizzo di formati di compressione delle copie forensi quali EWF e AFF risulta nella maggiore occupazione di CPU legata all'elaborazione dei dati durante le analisi che verranno svolte sui reperti. Allo stesso modo, durante l'acquisizione potrà essere richiesto un tempo maggiore dovuto al fatto che oltre alla copia viene eseguita anche una compressione con conseguente impiego di risorse di CPU.

Strumenti[modifica | modifica wikitesto]

Gli strumenti utilizzati per generare copie forensi sono sostanzialmente di due tipi: copiatori forensi e software di copia utilizzato in congiunzione con write blocker software o hardware.

Nel primo caso, la copia avviene posizionando il disco originale sulla sinistra dello strumento (es. Tableau TD3, Logicube Falcon, CRU Ditto, etc...) mentre sulla destra vengono posizionati i dischi destinazione, che possono essere in genere uno o due. Il sistema permette di poter impostare i dati necessari per identificare la copia e avviare l'operazione che verrà svolta interamente dal dispositivo, senza bisogno di avviare sistemi operativi o programmi ma tramite l'interfaccia già programmata per eseguire copie integrali ad alta velocità.

Nel secondo caso, la copia forense avviene avviando una distribuzione Linux live (es. DEFT, Caine, Tsurugi, etc...) su di un sistema e collegando il disco sorgente a una presa e il disco destinazione a un'altra, avviando poi software di copia come Guymager o i comandi dd, dcfldd, dc3dd e configurando con cautela dispositivo sorgente e cartella destinazione, così da riversare integralmente il contenuto del primo sulla seconda, validandone poi i dati tramite funzioni hash, in genere MD5, SHA1 o SHA256.

Voci correlate[modifica | modifica wikitesto]