Analisi Forense

14 Giugno 2007 di Daniele Frulla

Codice di Condotta e Procedure di Esame Forense

La IACIS (International Association of Computer Investigative Specialists) è una corporazione internazionale no-profit di volontari delle forze dell’ordine, dedicata all’educazione nel campo della computer forensics e ha redatto il Codice di Condotta e le procedure di esame forense. Solitamente un esaminatore forense ha il compito di determinare se l’attrezzatura è stata usata per attività illegali, non autorizzate o insolite, e può includere anche un monitoraggio della rete (se presente).

Il Codice di Condotta prevede che gli esaminatori debbano:

Mantenere il più alto livello di obiettività in tutti gli esami forensi e presentare accuratamente i fatti che sono accaduti;
Esaminare ed analizzare accuratamente le prove di un caso;
Condurre gli esami basandosi su principi fondati e legittimi;
Presentare relazioni fondate su basi logiche;
Non trattenere indebitamente qualsiasi informazione (accusatoria o assolutoria) che potrebbe portare a distorcere o travisare gli avvenimenti di un caso;
Mai fare false dichiarazioni di credenziali, educazione, formazione, esperienza o appartenenza.

Le procedure di esame forense richiedono tre requisiti essenziali per effettuare un’analisi forense competente:

Eseguire un esame forense conforme;
L’esame deve conservare l’integrità del media originale
Stampe, copie di dati e reperti risultanti dall’esame devono essere contrassegnati, controllati e trasmessi in maniera corretta.

Quindi gli esaminatori devono:

Identificare i sospetti e le fonti dell’evidenza. Nel caso in cui non siano disponibili informazioni, si deve considerare il sospetto, esperto e dovrebbe essere ritenuto capace di installare contromisure contro tecniche forensi.
Preservare l’evidenza digitale
Analizzare l’evidenza
Presentare le scoperte
Il lavoro deve essere svolto in maniera tale da essere ritenuta ammissibile presso un’aula di Tribunale.

Gli strumenti considerati prove devono essere documentati per il ricevimento ed il trattamento. La documentazione deve riportare una descrizione fisica ed una notazione dettagliata di qualsiasi irregolarità, peculiarità, segno distintivo e numerazione.

Modificare il BIOS per farlo partire da CD-ROM (usb drive, Knoppix 3.7 variante Helix e prevedere il montaggio del filesystem in read-only). Modificare la lingua e specificare il parametro noswap per evitare la modifica anche di un solo byte. Su alcuni tools, evitare di usare l’interfaccia grafica; la console testuale è sufficiente.

Quando si esamina un computer dal BIOS dovrebbero essere annotati data e ora (e confrontati con un affidabile time source, annotare lo scostamento), i parametri del disco, l’ordine di boot, i numeri di serie del sistema, dei componenti e gli hash dei componenti hardware.

Predisporre gli esami su una delle copie forensi e mai sull’originale, annotare su un documento ogni singolo passo per poter permettere alla difesa di ripetere le stesse operazioni e cercare di partire da dove le prove potrebbero essere facilmente reperite.

Annotare i file system, i sistemi operativi e gli applicativi installati, del disco fisso annotare il numero e la tipologia, di un eventuale disco ottico il numero di sessione.
Dovrebbe essere effettuata una directory listing per includere la struttura della cartelle, i nomi dei files, time stamp, dimensioni logiche dei files.
I files creati dall’utente dovrebbero essere esaminati con le applicazioni native, visualizzatori di files o esadecimali (documenti di testo, fogli elettronici, data base, dati finanziari, posta elettronica, foto digitali, files multimediali).
Dovrebbero essere controllati i files creati dalle applicazioni e dal sistema operativo (files di boot, files di registro, file di swap, files temporanei, cache files, history files, files di log).
Utilizzare il confronto tra i files di hash per includere od escludere i files dall’esame.
Esaminare lo spazio allocato ma non utilizzato, alla ricerca di files cancellati, cartelle rimosse, dati nello slack space, dati aggiunti intenzionalmente ed annotarlo
Eseguire ricerche per parole chiave per identificare informazioni a valore probatorio.
Annotare le anomalie nell’area del sistema del volume.
Richiedere l’esame dei media non normalmente accessibili.

Alla fine dell’esame dovrebbe essere prodotta la necessaria documentazione delle procedure e dei processi eseguiti, degli output prodotti, identificati secondo gli standard forniti.
Nel caso di un’analisi di un disco fisso, si può provvedere allo smontaggio dei dischi oppure eseguire una copia via rete per poter acquisire anche il drive logico. Secondo la nomina del PM, eseguire la copia “bit-a-bit”, provvedere ad eseguire sui files l’algoritmo di hash. Le copie (almeno 3) potranno essere verificate sia con md5 sia con sha1. Nel frattempo verrano preparati i media destinati all’analisi del contenuto degli Hard Disks posti sotto indagine, utilizzando software licenziato od Open Source (dd, netcat). Esaminare il pc, descrivendolo e prendere precauzioni per prevenire il trasferimento dei virus, software distruttivi o scritture involontarie. Verificare il contenuto del CMOS. Eseguire una copia bit-a-bit con relativa documentazione. Analizzare la copia, esaminare il settore di boot, i files di configurazione (.bat, .sys), recuperare i files cancellati.Stilare un elenco di files con indicazione se possano contenere prove. Cercare i files persi o nascosti nello spazio allocato, nello slack space, i files utenti, sbloccare i files con password, eseguire una stampa dei files trovati. Produrre una dettagliata documentazione.

Esami limitati

Nel caso di esami limitati devono essere riportati i motivi di tale indisponibilità riconducibili a: