Man mano che sempre più utenti si spostano e utilizzano dispositivi interconnessi, i computer sono spesso al centro di incidenti e indagini. Le prove per la discussione in un tribunale sono spesso raccolte grazie alle competenze di esperti forensi digitali in grado di estrarre dati cruciali da dispositivi elettronici appartenenti alle parti interessate. I funzionari di legge a volte dipendono dalla testimonianza di analisti informatici forensi specializzati in e-discovery; questi esperti sono chiamati a lavorare direttamente con agenti di polizia e investigatori per aiutare a identificare, preservare, analizzare e presentare prove digitali per aiutare a risolvere casi di criminalità.
Lo scopo dell’articolo è quello di fornire una panoramica della computer forensics e dei metodi applicati nell’acquisizione di prove digitali da sistemi informatici e dispositivi mobili per l’analisi delle informazioni coinvolte nelle indagini penali. Tocca anche le ultime sfide forensi: mobile forensics, cloud forensics, e anti-forensics.
Computer forensic experts
Il lavoro degli esperti forensi è quello di “aiutare a identificare i criminali e analizzare le prove contro di loro”, afferma Hall Dillon in un post sulle prospettive di carriera per l’U. S. Bureau of Labor Statistics.
Individui formati e qualificati lavorano per le forze dell’ordine pubbliche o nel settore privato per svolgere compiti relativi alla raccolta e all’analisi di prove digitali. Sono anche responsabili della scrittura di rapporti significativi per l’uso in contesti investigativi e legali. Oltre a lavorare nei laboratori, gli esperti forensi applicano tecniche investigative digitali nel campo scoprendo i metadati che detiene importanza in un tribunale.
Gli odierni analisti informatici forensi sono in grado di recuperare dati cancellati, crittografati o nascosti nelle pieghe della tecnologia dei dispositivi mobili; possono essere chiamati a testimoniare in tribunale e mettere in relazione le prove trovate durante le indagini. Possono essere coinvolti in casi impegnativi, tra cui la verifica degli alibi dei trasgressori, l’esame dell’abuso di Internet, l’uso improprio delle risorse informatiche e l’utilizzo della rete nel fare minacce informatiche. Gli esperti forensi possono essere chiamati a supportare casi importanti che coinvolgono violazioni dei dati, intrusioni o qualsiasi altro tipo di incidente. Applicando tecniche e applicazioni forensi di software proprietario per esaminare dispositivi o piattaforme di sistema, potrebbero essere in grado di fornire scoperte chiave per individuare chi era/era responsabile di un crimine indagato.
La disciplina in rapida crescita dell’informatica forense è diventata una propria area di competenza scientifica, con formazione e certificazioni di accompagnamento (CCFE, CHFI). Secondo Computer Forensics World, una comunità di professionisti coinvolti nel settore della digital forensics, gli individui certificati in questo campo sono responsabili dell’identificazione, raccolta, acquisizione, autenticazione, conservazione, esame, analisi e presentazione di prove a fini di accusa.
Il processo forense informatico
Lo scopo di un esame forense informatico è quello di recuperare i dati dai computer sequestrati come prova nelle indagini penali. Gli esperti utilizzano un approccio sistematico per esaminare le prove che potrebbero essere presentate in tribunale durante il procedimento. Il coinvolgimento di esperti forensi deve essere nelle prime fasi di un’indagine in quanto possono aiutare a raccogliere correttamente materiale tecnico in modo da consentire il ripristino del contenuto senza alcun danno alla sua integrità.
Gli sforzi di indagine forense possono coinvolgere molti (o tutti) dei seguenti passaggi:
- Collezione – ricerca e sequestro di prove digitali, e l’acquisizione dei dati
- Esame di: – applicare le tecniche per identificare ed estrarre dati
- Analisi – utilizzo dei dati e le risorse per provare un caso
- Reporting – presentare le informazioni raccolte (ad esempio, scritti rapporto di caso)
Bill Nelson, uno degli autori della Guida al Computer Forensics e Indagini (terza ed.) libro, mette in evidenza l’importanza delle tre A di computer Forensics: Acquisire, autenticare e analizzare. Dice che il processo informatico forense, infatti, comporta l’adozione di un approccio sistematico, che include una valutazione iniziale, l’ottenimento di prove e l’analisi, al completamento di un rapporto di caso (2008, pp. 32-33).
Casi forensi variano notevolmente; alcuni si occupano di intrusi informatici rubare dati; altri coinvolgono hacker che irrompono in siti web e lanciare attacchi DDoS, o tentare di ottenere l’accesso a nomi utente e password per il furto di identità con intenzioni fraudolente, dice l’FBI. Alcuni casi riguardano cyber-stalking o trasgressori che visitano siti proibiti (ad esempio, siti web di pornografia infantile). Un esaminatore forense può esplorare il cyber-sentiero lasciato dal colpevole.
Qualunque sia la ragione dell’indagine, gli analisti seguono procedure passo-passo per assicurarsi che i risultati siano validi. Una volta aperto un procedimento penale, i computer e altre apparecchiature e software multimediali digitali saranno sequestrati e/o indagati per prove. Durante il processo di recupero, tutti gli elementi essenziali sono raccolti al fine di dare l’analista forense ciò che s/ha bisogno di dare testimonianza in tribunale.
Allora è il momento di estrarre e analizzare i dati. Un investigatore informatico forense prende in considerazione il 5WS (Chi, Cosa, Quando, dove, Perché) e come si è verificato un crimine informatico o un incidente. Utilizzando criteri di valutazione standard, l’esaminatore può identificare gli errori relativi alla sicurezza in un ambiente di rete alla ricerca di traffico sospetto e qualsiasi tipo di intrusione, oppure può raccogliere messaggi, dati, immagini e altre informazioni da attribuire in modo univoco a un utente specifico coinvolto in un caso.
Il processo forense include anche la scrittura di report. Computer esaminatori forensi sono tenuti a creare tali rapporti per l’avvocato per discutere le prove fattuali disponibili. È importante preparare prove forensi per la testimonianza, specialmente quando i casi vanno a processo e l’esaminatore viene chiamato come testimone tecnico/scientifico o testimone esperto.
Modi per ottenere prove forensi
Tradizionalmente, le indagini forensi informatiche venivano eseguite su dati a riposo, ad esempio esplorando il contenuto dei dischi rigidi. Ogni volta che uno scienziato forense ha richiesto ulteriori analisi (ad esempio per eseguire l’imaging—la copia di dischi rigidi, unità flash, dischi, ecc.), è stato normalmente fatto in un ambiente di laboratorio controllato. L’analisi morta (nota anche come acquisizione forense morta o semplicemente acquisizione statica) è il possesso dei dati che viene eseguito su computer che sono stati spenti. In altre parole, comporta esami del sistema (e parti di esso) a riposo (morto). La tecnica live-analysis, invece, comporta la raccolta di dati da un sistema prima di spegnerlo. Un’analisi morta è considerata necessaria per avere il tempo anche di recuperare prove fisiche come il DNA( impronte digitali sulle apparecchiature); tuttavia, è l’acquisizione dal vivo nel campo che è attualmente al centro dell’attenzione degli esperti forensi.
L’esecuzione di una “live analysis” sul campo fornisce una prova rapida e immediata; può essere eseguita grazie a strumenti analitici che ora sono portatili e possono essere trasportati dagli analisti sulla scena del crimine per iniziare immediatamente le indagini.
Anche se un esaminatore forense potrebbe aver bisogno del laboratorio criminale per ulteriori analisi o per eseguire un processo ripetitivo (qualcosa che non è possibile con acquisizioni dal vivo), non tutti i casi lo richiedono. Tuttavia, è importante che l’esaminatore forense raccolga informazioni sufficienti per determinare il prossimo passo appropriato nell’indagine. Questo approccio non garantisce alcuna perdita o danno di prove digitali, perdita di dati volatili o che necessitano di un mandato per il sequestro delle apparecchiature.
Le indagini dal vivo sono già state eseguite per anni. Nell’era digitale odierna e nell’aumento della criminalità informatica, non sorprende il motivo per cui è necessario impiegare analisti forensi per l’analisi e l’interpretazione delle prove digitali (ad esempio, sistemi informatici, supporti di memorizzazione e dispositivi), spiega Marcus K. Rogers, Dipartimento di informatica e tecnologia dell’informazione della Purdue University. In un articolo sul Cyber Forensic Field Triage Process Model (CFFTPM) nel 2006, ha osservato che “CFFTPM propone un approccio onsite o sul campo per fornire l’identificazione, l’analisi e l’interpretazione delle prove digitali in un breve lasso di tempo, senza l’obbligo di dover riportare il sistema/i media al laboratorio per un esame approfondito o acquisire un’immagine forense completa.”
Alcuni computer strumenti forensi
Strumenti software forensi completi (come Encase Forensic Edition, X-Ways Forensic Addition, Paraben, Forensic ToolKit (FTK), Linux DD, ecc.) sono utilizzati dagli investigatori della scena del crimine per fornire la loro raccolta, l’indicizzazione e l’analisi dettagliata.
Un’indagine forense consiste nella raccolta di informazioni forensi informatiche; il processo può iniziare analizzando il traffico di rete con un analizzatore di pacchetti o uno strumento sniffer come Wireshark che è in grado di intercettare il traffico e registrarlo per ulteriori analisi. NetworkMiner, un altro strumento di analisi forense di rete (NFAT), è un’alternativa a Wireshark per estrarre o recuperare tutti i file. Snort, invece, è uno strumento prezioso nel rintracciare gli intrusi di rete in tempo reale.
Il software NFAT contiene anche funzionalità forensi eseguendo analisi sul traffico di rete memorizzato, come suggerisce il nome. Per quanto riguarda la risposta agli incidenti e l’identificazione, un toolkit forense, o FTK, può essere utilizzato per identificare i file eliminati e recuperarli; mentre, EnCase è adatto per uso forense, cyber-security ed e-discovery.
La necessità di nuovi strumenti forensi
L’implementazione e la rapida crescita delle nuove tecnologie ha creato non pochi problemi agli analisti forensi che ora si trovano ad affrontare il compito di dover cercare informazioni non solo su personal computer e laptop ma anche (e più spesso) su tablet e smartphone.
“Mobile device forensics è la scienza del recupero di prove digitali da un dispositivo mobile in condizioni forensi utilizzando metodi accettati”, afferma il NIST nelle sue “Guidelines on Mobile Device Forensics.”La guida evidenzia come gli analisti forensi devono avere una solida comprensione, oggi, dell’unicità del mondo mobile e comprendere la maggior parte delle caratteristiche tecnologiche alla base di qualsiasi modello e tipo di dispositivo che può essere trovato su una scena del crimine.
La proliferazione di sistemi operativi proprietari, tecnologie di crittografia e strumenti di protezione sviluppati da aziende di smartphone come Nokia, Samsung, LG, Huawei, Apple e altro ancora obbliga gli analisti a tenere il passo con gli ultimi sviluppi a un ritmo più veloce che mai. I nuovi dispositivi avanzati di oggi vengono prodotti a tassi più elevati e l’estrazione di informazioni da essi, anche dopo aver bypassato le ovvie funzionalità di sicurezza che li proteggono, offre sfide uniche.
Lavorando con computer stand-alone, un analista sapeva dove cercare i dati (RAM, BIOS, HHD…). In un dispositivo di archiviazione mobile, non è così chiaro, e le informazioni rilevanti potrebbero essere trovati in diverse posizioni, da NAND a NOR memoria flash per la RAM di una scheda SIM, per esempio.
È importante lavorare in modo da preservare i dati considerando, ad esempio, problemi come gli effetti del drenaggio della potenza sulla memoria volatile del dispositivo che potrebbero rivelare informazioni importanti sulle esecuzioni del programma sul dispositivo. Inoltre, ” I sistemi operativi chiusi rendono difficile interpretare il file system e la struttura associati. Molti dispositivi mobili con lo stesso sistema operativo possono anche variare ampiamente nella loro implementazione, risultando in una miriade di permutazioni di file system e struttura. Queste permutazioni creano sfide significative per i produttori di strumenti forensi mobili e gli esaminatori.”(NIST Special Publication 800-101, Revision 1)
Come spiega il National Institute of Standards and Technology (NIST), molte sono le tecniche che gli analisti possono impiegare per raccogliere dati forensi da dispositivi mobili, dall’estrazione manuale meno intrusiva alla micro lettura invasiva, sofisticata e costosa. Estrazione manuale significa ottenere informazioni semplicemente utilizzando l’interfaccia utente del dispositivo e il display. Il secondo passo è ancora fondamentale e comporta l’estrazione logica. Il terzo livello prevede metodi di estrazione Hex Dumping / JTAG; richiede un approccio di raccolta dei dati più difficile – eseguito attraverso l’acquisizione fisica della memoria del dispositivo. Il quarto livello è il metodo chip-off che prevede l’effettiva rimozione della memoria e il quinto, il metodo più difficile e sofisticato è la tecnica Micro Read in cui gli analisti utilizzano un sofisticato microscopio per visualizzare lo stato fisico di tutte le porte.
NIST non sta solo lavorando su un approccio comune alla mobile forensics, ma anche nel fornire un forum per raccogliere idee sulla cloud forensics. Il cloud computing è una tecnologia in rapida crescita ora utilizzata dalla maggior parte degli utenti di dispositivi mobili e da molte aziende. La sua flessibilità e scalabilità lo rendono una scelta attraente per la maggior parte degli utenti, ma pone anche sfide forensi uniche.
Oltre alle sfide tecniche, infatti, il cloud computing pone problemi di giurisdizione e legali. I dati, infatti, possono essere archiviati e accessibili ovunque e potrebbe essere problematico per gli investigatori accedere ai dati in diversi paesi o in modi che preservano i diritti alla privacy di altri utenti cloud.
Inoltre, a volte è difficile attribuire dati e azioni a un particolare utente. Il recupero dei dati potrebbe anche essere problematico a causa della sovrascrittura e del riutilizzo dello spazio in un ambiente cloud.
Gli investigatori devono anche essere a conoscenza di tecniche, strumenti e pratiche anti-forensi che possono rendere l’analisi forense inconcludente soprattutto in un ambiente cloud. Alcuni tipi di malware e tecniche di offuscamento possono compromettere l’integrità delle prove raccolte e possono rendere le conclusioni difficili da presentare in tribunale.
Conclusione
Come spiega Infosec sul suo sito web, “Gli specialisti di informatica forense sono necessari alle aziende di oggi per determinare la causa principale di un attacco hacker, raccogliere prove legalmente ammissibili in tribunale e proteggere i beni e la reputazione aziendali.”
Con crimini informatici (es., qualsiasi atto criminale che tratta con computer e reti) sull’aumento e minacciando dati organizzativi, così come l’uso aumentato di digital escogita dalla popolazione generale, l’analisi di prova digitale diventa un elemento cruciale a molte scene di crimine.
L’informatica forense è ora una professione entusiasmante che pone l’accento sull’elemento umano, ma pone anche sfide a causa della necessità di scoprire prove digitali in un ambiente in continua evoluzione. I progressi tecnologici e il passaggio ad ambienti in rete e cloud in cui i metodi anti-forensi possono facilmente entrare in gioco, obbligano i professionisti del settore a tenersi aggiornati e rivedere continuamente le procedure operative standard.
Rebecca T. Mercuri, fondatrice di Notable Software, Inc., ha osservato in un articolo scientifico sulle sfide nell’informatica forense che “la continua maturità di questo campo porterà invariabilmente una certa stabilizzazione nelle migliori pratiche, nella formazione, nella certificazione e nei set di strumenti, ma nuove sfide emergeranno sempre a causa della natura dinamica della tecnologia alla sua radice.”Tuttavia, come afferma l’FBI sul suo sito web,” questa disciplina forense emergente deve rimanere uno strumento efficace e affidabile nel sistema di giustizia penale.”
Fonti
Linee guida sulla Forensics dispositivo mobile
Ritagliare la differenza tra Computer Forensics ed E-Discovery
Razionalizzazione del flusso di lavoro forense digitale: Parte 3
Safer Live Forensic Acquisition
Security Watch-Sfide in Forensic Computing
Guida Computer Forensics e indagini. (3a ed.). Boston, MA
Computer Forensics Campo Triage Modello di processo.
Blog di innovazioni: la spinta per la forensics dal vivo.
La Digital Forensics non è solo COME ma PERCHÉ