Informatica forense

Da Wikipedia, l'enciclopedia libera.

L'informatica forense è una branca della scienza digitale forense legata alle prove acquisite da computer e altri dispositivi di memorizzazione digitale. Il suo scopo è quello di esaminare dispositivi digitali seguendo processi di analisi forense al fine di identificare, preservare, recuperare, analizzare e presentare fatti o opinioni riguardanti le informazioni raccolte.

Questo fa si che si faccia largo uso di tale scienza nelle indagini riguardanti una varietà di crimini informatici nei quali le prove raccolte, soggette alle stesse pratiche e linee guida di ogni altra prova digitale, saranno usate in ambito di processo. A tal scopo sono utilizzate tecniche e principi legati al recupero dei dati, affiancati però da procedure designate alla creazione di un percorso di revisione e analisi che sia legale.

Il suo utilizzo in casi di alto profilo ha fatto sì che l'informatica forense acquistasse notorietà e venga sempre più accettata come scienza affidabile tra le il sistema delle corti.

Contesto storico[modifica | modifica wikitesto]

Il concetto di informatica forense emerge nei primi anni 80, quando i personal computer cominciano ad essere più accessibili ai consumatori, accrescendone però il loro utilizzo in attività criminali. Parallelamente accrescono il numero di crimini identificati e riconosciuti come crimini informatici. L'informatica forense nasce quindi inizialmente come metodologia per il recupero e l'analisi di prove digitali da utilizzare di fronte ad una corte. Da allora il numero di crimini informatici o legati all'informatica vede una crescita elevata, con un aumento del 67% dei casi tra il 2002 e il 2003. [1]

Al giorno d'oggi l'informatica forense non è più solo uno strumento di analisi di prove ma uno dei principali mezzi di investigazione legato a diversi crimini. Tra questi sono inclusi la pedopornografia, le frodi, lo spionaggio, il cyberstalking, gli omicidi e lo stupro. Nei processi civili nei quali tale scienza è coinvolta, aumentano quindi le cosiddette "computer generated evidence" [2], ossia le prove generate come output dai computer stessi; ne sono un esempio i dati estrapolati dell'analisi di informazioni associate alle celle telefoniche, ai login ad un ISP, ad una semplice segreteria telefonica e molto altro.

Caratteristiche e processi di analisi forense[modifica | modifica wikitesto]

L'utilizzo dell'informatica forense e della conoscenza maturata dagli esperti di tale scienza, permette di spiegare lo stato di ciò che prende il nome di artefatto digitale: un sistema informatico, un dispositivo di memorizzazione, un documento elettronico ed altro. Lo scopo di una analisi forense può variare quindi dal recupero di semplici informazioni alla ricostruzione di una sere di eventi. Importante però è sottolineare come l'informatica forense, spesso riconosciuta come arte oltre che scienza, nonostante fornisca svariati metodi di estrazione di prove digitali e non, perde la sua flessibilità e conoscenza, sempre crescente, quando incontra l'applicazione della legge, giustamente rigida e carente di flessibilità. [3]

I processi di investigazione dell'informatica forense seguono spesso gli standard di analisi forense digitale: acquisizione, esame, analisi e segnalazione. L'investigazione è prevalentemente eseguita su dati statici in un laboratorio di analisi (video ed immagini recuperati) anziché sul "campo". Questa metodologia viene a consolidarsi principalmente con la nascita di specializzati ed avanzati strumenti, inizialmente assenti o poco diffusi tra gli analisti forensi.

Tecniche e strumenti[modifica | modifica wikitesto]

Analisi Cross-Drive[modifica | modifica wikitesto]

L'analisi cross-drive è una tecnica che permette di correlare informazioni estrapolate da più dischi rigidi, riconoscendo ad esempio possibili organizzazioni tra persone o riconoscendo anomalie di dati rispetto a specifici pattern. [4] [5]

Analisi Live[modifica | modifica wikitesto]

Esami realizzati all'interno del sistema operativo dei computer sotto analisi attraverso l'uso di strumenti esistenti o creati ad-hoc per l'estrazione di informazioni. Utile pratica nel caso di sistemi con Encrypting File System, nei quali si può ottenere la chiave di cifratura e spesso ottenere immagini del disco logico prima che il computer venga spento.

Recupero di file eliminati[modifica | modifica wikitesto]

E' una tra le più comuni tecniche implementate dai moderni software forensi. Molto spesso, sistemi operativi e file system non eliminano fisicamente i dati, permettendo così di ricostruirli a partire dai settori fisici del disco. Anche in caso di assenza di metadati associati al file system è possibile utilizzare tecniche di recupero note come file carving, per ottenere o ricostruire materiale eliminato. [6]

Analisi stocastica[modifica | modifica wikitesto]

Metodo di analisi che usa proprietà statistiche del sistema informatico analizzato per investigare su particolari attività in assenza di artefatti digitali dal quale cominciare le indagini.

Metodi anti steganografia[modifica | modifica wikitesto]

Tecniche utilizzate da esperti informatici forensi per combattere crimini associati a dati nascosti tramite la tecnica della steganografia (mascherare dati all'interno di immagini alterandone i bit). Queste tecniche si basano sulla realizzazione e sul confronto degli hash ottenuti a partire dalle immagini originali e da quelle sotto analisi; questo perché un'immagine all'occhio identica risulterà avere un hash diverso se la sua codifica in bit è alterata. [7]

Analisi base[modifica | modifica wikitesto]

Per eseguire una investigazione forense esistono diversi strumenti, anche open source. Tipiche analisi partono dal dalla consultazione manuale dei dispositivi, controllo dei registri nei sistemi Windows, scoperta o crack di password, ricerca di parole chiave correlate all'eventuale crimini, estrazione di email, immagini ed altre informazioni. [8]

La tutela dell'integrità dei dati e il problema della volatilità[modifica | modifica wikitesto]

Nell'ambito dell'informatica forense un aspetto fondamentale è la salvaguardia dei dati presenti sui supporti di archiviazione posti sotto il vincolo del sequestro, dunque non nella disponibilità del proprietario.

A salvaguardia dei dati e della garanzia di inalterabilità di questi ultimi, gli operatori preposti all'analisi dei dispositivi di archiviazione utilizzano determinate metodologie volte a garantire e provare l'esatta corrispondenza dei contenuti in qualsiasi momento dell'analisi. Per rendere possibile ciò occorre "congelare" il dato, ossia porre in essere gli accorgimenti tecnologici atti ad impedire scritture (anche accidentali) di bit e a verificare che in un momento successivo i dati presenti siano gli stessi. Per adempiere a tali obblighi, oltre all'utilizzo di strumenti hardware o software che inibiscano qualsiasi scrittura sui dispositivi di archiviazione, vengono impiegati algoritmi di hash (solitamente MD5 o SHA1) allo scopo di generare una sorta di impronta digitale di ciascun file e/o dell'intero contenuto del dispositivo, permettendo quindi di verificarne l'integrità in qualsiasi momento successivo al sequestro.

Un write blocker portatile collegato a un Hard disk

I dispositivi hardware che permettono di accedere al disco in modalità di sola lettura sono detti write blocker: tramite essi è possibile leggere i dati presenti nel dispositivo, estraendo quelli di interesse o procedendo alla copia forense. L'uso del write blocker richiede necessariamente un computer e la velocità di acquisizione dipende dalle prestazioni della macchina utilizzata per eseguire la copia.

Un'altra tipologia di dispositivo hardware è il copiatore il cui unico scopo è copiare bit per bit il disco "suspect" (oggetto di sequestro) su un altro disco, preservandone nello stesso tempo l'integrità così come avviene per il write blocker. I copiatori raggiungono velocità di acquisizione molto alte, toccando spesso i 5 GByte al minuto e non richiedono l'ausilio di un computer per poter essere utilizzati.

Dal punto di vista software, un ottimo strumento che impedisce la scrittura (e quindi la modifica anche involontaria dei dati presenti sul dispositivo) è Linux: tramite il comando mount consente infatti di montare il dispositivo in sola lettura (opzione non disponibile invece nei sistemi Windows che quindi richiedono un write blocker per accedere al disco sorgente).

Un ulteriore problema, legato al recupero di prove digitali, è la RAM. Ogni informazione memorizzata unicamente in essa che non viene recuperata prima della spegnimento del computer, è potenzialmente persa. Il recupero di tali informazioni è un esempio di Analisi Live.

La RAM può essere però analizzata alla ricerca di contenuti anche dopo lo spegnimento della macchina; questo grazie al fatto che la carica memorizzata nelle celle impiega comunque un certo tempo a dissiparsi. La lunghezza di questo margine di tempo, quindi la possibilità di recuperare dati, cresce al calare della temperatura al quale la RAM è mantenuta e all'aumentare del voltaggio al quale erano soggette le celle. Esempi di temperature al quale una RAM sconnessa può venire mantenuta per una analisi sono -60° C. Tutto questo è ovviamente impossibile da fare in una analisi sul campo. [9]

Molti degli strumenti utilizzati per il recupero di dati volati richiedono inoltre che il computer si trovi in un laboratorio forense; sia per mantenere legittime le prove, sia per facilitare il lavoro agli analisti. Se necessario, seguendo i principi dettati dalle norme, è possibile trasportare un sistema "live" e utilizzare strumenti per mantenerlo in tale stato. Tra questi strumenti si identificano i mouse jiggler, usati per evitare che un PC che non riceve input vada in stand-by (eventualmente bloccandosi) e gruppi di continuità da usare durante il trasporto ai laboratori.

Uno dei metodi preferiti per il recupero dei dati, tuttavia, è usare strumenti che permettono di trasferire la RAM su disco. Diversi file system possiedono il meccanismo del journaling che permette di mantenere un larga porzione dei dati RAM nel supporto di memorizzazione principale durante le operazioni; assemblando queste informazioni si può ricostruire ciò che era correntemente in RAM. [10]

Digital forensic expert[modifica | modifica wikitesto]

Il termine "computer forensic expert" è utilizzato per identificare la figura professionale che presta la sua opera nell'ambito dei reati informatici o del computer crime. Dal momento che non esiste una definizione univoca ricompresa nella dizione "informatica forense", il computer forensics expert deve occuparsi di "preservare, identificare, studiare ed analizzare i contenuti memorizzati all'interno di qualsiasi supporto o dispositivo di memorizzazione". Le attività sono dirette non solo a tutte le categorie di computer, ma a qualsiasi attrezzatura elettronica con potenzialità di memorizzazione dei dati (ad esempio, cellulari, smartphone, sistemi di domotica, autoveicoli e tutto ciò che contiene dati memorizzati). Data l'eterogeneità dei supporti investigabili, si preferisce denominare questa figura professionale, "digital forensic expert".

Il rapporto con la sicurezza informatica[modifica | modifica wikitesto]

Esiste una differenza tra informatica forense e la sicurezza informatica, seppure queste due aree di attività siano strettamente collegate; Si può pensare alla sicurezza informatica, da un lato, come elemento di ostacolo e dall'altro come fonte di strumenti e opportunità per l'informatica forense. Infatti la sicurezza informatica ha come proposito finale l'avvicinarsi alla realizzazione di sistemi il più possibile sicuri, ma qualora tale grado di sicurezza venisse elevato (ad esempio da parte del responsabile di un illecito ), per definizione, dal sistema sarebbe più complicato estrarre il desiderato contenuto informativo.

L'acquisizione dei reperti informatici richiederà, in tal caso, la “violazione” del sistema oggetto dell'analisi, ed in questo campo la stessa Sicurezza Informatica sarà d'aiuto, in quanto fonte di studi sulle tecniche di hacking (utili per realizzare l'accesso alle informazioni protette) e sulla loro applicazione pratica. Inoltre, le “best practice” di sicurezza definiscono molti requisiti sui sistemi che, se opportunamente applicati, potranno in un secondo momento rendere disponibili un gran numero di informazioni aggiuntive, utilizzabili per l'analisi forense.

Nel mondo[modifica | modifica wikitesto]

Italia[modifica | modifica wikitesto]

In Italia, la legge di riferimento che definisce come utilizzare a livello giuridico i risultati di un'attività di analisi forense in tribunale, è la legge 18 marzo 2008 n. 48, che ha ratificato la Convenzione del Consiglio d'Europa sulla criminalità informatica, stipulata a Budapest il 23 novembre 2001.

La norma prevede:

  • sanzioni più pesanti per i reati informatici;
  • norme di contrasto più efficace alla pedopornografia in rete;
  • sanzioni anche a carico delle società;
  • possibilità per le forze dell'ordine di chiedere al provider il congelamento dei dati telematici per 6 mesi;
  • maggiori tutele per i dati personali[11]

Note[modifica | modifica wikitesto]

  1. ^ (EN) Leigland, R, A Formalization of Digital Forensics (PDF), utica.edu, Settembre 2004. URL consultato il 29 maggio 2016.
  2. ^ P.Tonini, Manuale di procedura penale, Giuffré, 2010, p. 320. URL consultato il 29 maggio 2016.
  3. ^ (EN) Gunsch, G, An Examination of Digital Forensic Models (PDF), utica.edu, Agosto 2002. URL consultato il 29 maggio 2016.
  4. ^ (EN) Garfinkel, S., Forensic Feature Extraction and Cross-Drive Analysis (PDF), simson.net, Agosto 2006. URL consultato il 29 maggio 2016.
  5. ^ (EN) EXP-SA: Prediction and Detection of Network Membership through Automated Hard Drive Analysis, nsf.gov. URL consultato il 29 maggio 2016.
  6. ^ (EN) Aaron Phillip, David Cowen e Chris Davis, Hacking Exposed: Computer Forensics, McGraw Hill Professional, 2009, p. 544, ISBN 0-07-162677-8. URL consultato il 29 maggio 2016.
  7. ^ (EN) Dunbar, B, A detailed look at Steganographic Techniques and their use in an Open-Systems Environment (PDF), sans.org, Gennaio 2001. URL consultato il 29 maggio 2016.
  8. ^ (EN) Eoghan Casey, Digital Evidence and Computer Crime, Second Edition, Elsevier, 2004, ISBN 0-12-163104-4. URL consultato il 29 maggio 2016.
  9. ^ (EN) J. Alex Halderman, Seth D. Schoen, Nadia Heninger, William Clarkson, William Paul, Joseph A. Calandrino, Ariel J. Feldman, Jacob Appelbaum e Edward W. Felten, Lest We Remember: Cold Boot Attacks on Encryption Keys, Princeton University, 21 febbraio 2008. URL consultato il 29 maggio 2016.
  10. ^ (EN) Geiger, M, Evaluating Commercial Counter-Forensic Tools (PDF), dfrws.org, Marzo 2005. URL consultato il 29 maggio 2016.
  11. ^ Criminalità informatica: ratificata la Convenzione di Budapest , su altalex.com, 7 aprile 2008. URL consultato il 29 maggio 2016.

Bibliografia[modifica | modifica wikitesto]

Voci correlate[modifica | modifica wikitesto]

Collegamenti esterni[modifica | modifica wikitesto]

Controllo di autorità GND: (DE4774034-6