Computer Forensics

La Digital Forensics è la disciplina scientifica che serve per identificare , acquisire ed analizzare una prova digitale preservandola da eventuali alterazioni.

Quando si pensa alle perizie informatiche, si associano spesso a reati informatici, infatti ogni reato oggi ha a che fare con i dispositivi digitali i cosiddetti CyberCrimes:

le truffe su internet

il phishing

il falso in bilancio

gli omicidi

la pedopornografia

il terrorismo.

Non bisogna credere che la perizia su un computer o su una sim card vada compiuta solo a seguito di un crimine “prettamente” informatico, perché nel momento in cui qualcuno commette un reato, c’è l’alta probabilità che abbia pianificato, ricercato, scritto e conservato qualcosa su una memoria digitale, sia esso un hard disk, dei DVD o CD-ROM. Normalmente si cerca di comprendere la verità con i sistemi classici, con l’analisi di carte , fascicoli e testimonianze (a volte inattendibili), quando magari si potrebbe risparmiare tempo ed avere prove compromettenti individuando un documento elettronico in cui l’indagato pianificava,ad esempio, l’omicidio della moglie.

È compito degli investigatori del futuro adottare un protocollo comune di custodia ed analisi dei dati, per evitare che le prove non vengano alterate, conservando le informazioni indispensabili per l’indagine investigativa .

Esistono due software con distribuzioni Linux legate alla Computer Forensics :

CAINE (Computer Aided INvestigative Environment) offre un ambiente completo ed organizzato con tutti i programmi necessari per aiutare le attività investigative. Ha una interfaccia gradevole e funziona come live-cd cosi da non intaccare minimamente il sistema su cui gira.

- HELIX, ottimo per la indipendenza da Windows e senza possibilità che i dati rilevati possano venire “inquinati”, in quanto non necessita di installazione, si avvia direttamente da Cd e dispone di molti strumenti dedicati, anche se non facili da usare, alla computer forensics.

La Digital Forensics si snoda attraverso quattro fasi principali: 1) Identificazione 2) Acquisizione 3) Analisi e valutazione 4) Rapporto

Identificazione Lo sheet “Grissom Analyzer” raccoglie 4 strumenti destinati all’identificazione da svolgersi sulla macchina, i dispositivi o l’immagine da analizzare. Questi tool ci mostrano le caratteristiche delle partizioni, dell’immagine e del file system. È inoltre presente LRRP che consente di raccogliere informazioni sulle caratteristiche del dispositivo e sulla configurazione hardware della macchina sospetta. LRRP registra se i dispositivi oggetto di analisi sono montati e nel caso in quale modalità.

Acquisizione Lo sheet “Acquisizione” palesa immediatamente la funzione dei tools che raccoglie! Attraverso questo pannello è possibile procedere all’acquisizione dell’immagine del dispositivo sorgente utilizzando il noto strumento AIR (Automated Image Restore) oppure avviare il terminale per utilizzare i classici tool di duplicazione.

Analisi e valutazione Lo sheet “Analisi” raccoglie i tools più classici della disciplina, quali Autopsy, Foremost, Scalpel, Stegdetect e OphCrack. Cliccando il tasto corrispondente ad Autopsy viene automaticamente avviato Firefox, con impostato il corretto indirizzo locale, mentre scegliendo Foremost e Scalpel si ha la possibilità di scegliere o editare i file di configurazione per il carving. Sono inoltre presenti SFDumper per il recupero selettivo dei file e FUndl (File Undelete) , per il recupero dei soli file cancellati.

Rapporto Lo sheet “Rapporto” consente di aggiungere proprie note utilizzando la funzione “Rapporto personale” e di creare il rapporto in formato RTF o HTML. Attraverso il pulsante “Cartella Report” sarà possibile accedere al file di log e rapporto generato.

Vi ringraziamo per l’attenzione Luca Basili Walter Falistocco Daniele Branchesi