Attività Forense

7 Febbraio 2008 di Daniele Frulla

Per Prova digitale si intende qualsiasi informazione, con valore probatorio, che sia memorizzata o trasmessa in un formato digitale. (Fonte: Scientific Working Group on Digital Evidence, 1998)                

Per prova (evidence), si indica ogni informazione fisica o elettronica, che viene raccolta durante una investigazione forense.

Secondo il principio di cui all’art. 192 c.p.p., quando il metodo utilizzato dall’investigatore non si ritiene conforme alla migliore pratica scientifica, va accettato comunque se non produce un’alterazione concreta e se conduce a risultati che sono liberamente valutabili dal giudice alla luce del contesto probatorio complessivo. 

Le categorie dell’attività forense possono essere raggruppate in: Computer forensics (Elaboratore), Digital forensics (Mondo digitale),  Network forensics (Reti), Mobile forensics (Dispositivi mobili), PDA forensics (PDA), SIM forensics (Telefoni cellulari), Intrusion forensics (Accesso).

 

L’Attività Forense

I sistemi di gestione delle investigazioni devono produrre una chiara e completa ricostruzione, dimostrando che la prova originaria è  pulita, e che la procedura di analisi è stata eseguita correttamente. Il valore probatorio della prova deve essere garantito da autenticità (il dato deve provenire dalla fonte informativa presunta), integrità (il dato deve essere conservato inalterato), autenticità (il dato deve essere interpretato in maniera corretta), completezza (devono essere raccolti tutti i dati relativi all’informazione rilevante) e legalità (il dato deve essere raccolto secondo le disposizioni di legge e rese disponibili per analisi di terze parti ). Se l’analista forense dovesse prendere visione del contenuto del disco rigido, causerà la modifica del time-stamp dei files.

L’investigatore dovrebbe possedere competenze relative alla conoscenza dell’utilizzo degli strumenti più affidabili ed efficaci per effettuare le operazioni forensi, competenze investigative per comprendere la natura delle informazioni da raccogliere individuando il metodo di acquisizione, ed in caso di presenza di grandi quantità di dati, è essenziale una capacità di individuazione e di filtraggio per fare un’analisi più approfondita in una fase successiva.

E’ importante che si conoscano i seguenti aspetti legali:

• Conoscenze di diritto processuale, con  riferimento alle corrette modalità di acquisizione della prova

• Conoscenza dei limiti e dei diritti previsti dalla legge

• Analisi e profilazione dei comportamenti criminali e psicologia giudiziaria

• Diritto processuale e sostanziale

 

Identificazione

Attività relativa all’analisi dei dispositivi e dei supporti ed al loro riconoscimento inequivocabile ed univoco. L’identificazione del crimine dipende dalla natura dell’evento e, a causa della vastità di Internet, spesso esiste una lista iniziale di potenziali sospetti. Quindi può essere difficile identificare la scena del crimine.

 

Preservazione

Insieme di procedure volte a garantire l’inalterabilità della prova. Tecnicamente può avvenire attraverso l’uso di software per la duplicazione bit a bit e lo svolgimento dell’analisi deve avvenire solo sulle copie. Burocraticamente può avvenire attraverso la consegna e la presa in carico della prova, i verbali di sequestro, e la catena di custodia.

 

Acquisizione della prova

Attività relativa alla copia dei dati, deve garantire l’identicità della copia con l’originale senza causare alterazioni e può avvenire in modalità live o post-mortem. E’ necessario documentare le fasi, l’ambiente ed il contesto di acquisizione anche attraverso fotografie, i programmi (e versioni!) utilizzati, il sistema operativo, le cautele adottate per garantire l’integrità e se si sono verificate situazioni inattese o di errore.

E’ una fase estremamente delicata, nella quale non si devono alterare le prove e viene certificata attraverso il confronto degli HASH. L’algoritmo di hash trasforma una quantità di bit arbitraria in un output di lunghezza fissa ed è l’unico modo per dimostrare che la fonte di prova non è stata alterata in alcun modo.

Modalità Live: é praticamente impossibile essere certi di non avere alterato i dati. Non è ripetibile.

Modalità Post-Mortem: è possibile rilevare solo dati conservati su memorie persistenti. La rilevazione é ragionevolmente affidabile. In alcuni casi potrebbe non essere ripetibile.

E’ doveroso ricordare che il dato è estremamente fragile e può avere una Forma Temporanea (caso tipico della RAM, che possiede le informazioni solo in presenza di una sorgente di energia interna), una Forma Semipermanente (memorizzazione persistente che può variare nel tempo floppy disk, hard disk, memorie flash), Forma Permanente (anche se oggi non è più applicabile dal momento che i dati possono essere quasi sempre e comunque alterati).

 

Analisi dati/file rilevanti

Attività relativa alla ricerca ed identificazione dell’informazione, rilevante ai fini probatori (elemento di prova), svolta sui dati acquisiti. L’analisi deve essere scrupolosamente documentata per essere ripetibile e per garantire che nessuna modifica venga apportata ai dati. Deve essere svolta in corrispondenza dell’informazione da ricercare, dovendo prendere in considerazione: files di sistema, files di log, files utente, documenti, e-mail, testi, immagini, audio, video, files protetti da password, cronologia internet, spazio non allocato, slack space, partizioni/files di swap, files cancellati, files criptati, files steganografati. L’analisi deve spiegare come questi files siano stati custoditi e come le azioni del criminale possono essere correlate a questi dati. Verificare se esistono aree del disco non accessibili dal Sistema Operativo, usate per informazioni di ripristino. Non è visibile dal BIOS e a certi tools forensi ed è quindi utilizzabile per nascondere dati. HPA (Host Protected Area) oppure DCO (Disc Configuration Overlay).

Per eseguire un’attenta analisi usare diversi tools, verificare i parametri hardware con i valori indicati sulle etichette o nella documentazione del produttore. Nel caso in cui non si conosca l’antagonista, si deve presupporre che sia un utente esperto, e sulla base di questa ipotesi, si devono prendere in considerazione anche i controlli sulle alterazioni dei timestamp sui files, verifiche degli attributi e controllare se siano state lasciate tracce depistanti, inserimenti fittizi, alterazione dei log, falsi indizi e prove contraffatte.

L’alterazione dei dati può avvenire anche attraverso la distruzione delle tracce informatiche, paragonabile alla cancellazione delle impronte digitali dall’arma del delitto. La semplice cancellazione di un file o di una cartella non è sufficiente a garantire il risultato, compreso “svuotare il cestino“. Esistono infatti moltissimi software per il recupero dei dati cancellati, mentre si sono diffusi dei tools, il cui scopo è di eliminare i dati in maniera definitiva, conosciuti come Wipe. Comunque, la distruzione di tracce può generare altre tracce che è possibile ricercare. Il primo problema della distruzione di dati è ovviamente la perdita irreversibile di informazioni anche per l’antagonista! Se si tratta di informazioni che gli sono utili, cercherà di distuggerle solo se costretto e il più tardi possibile, altrimenti cercherà di occultarle. Nascondere i dati, anziché distruggerli, permette di  mantenerne la disponibilità. Il Data Encapsulation è un metodo semplice, spesso sufficiente per sfuggire a scansioni automatiche. Consiste nella modifica di bit non significativi, di aggiunta di dati, di conversioni di formato, modifica estensione, alterazioni header, alterazioni dei file.

 

Presentazione

Il procedimento di investigazione della prova digitale si conclude con la presentazione di informazioni estratte dai dati recuperati, correlazione esistente tra informazione digitale e reato, procedimenti di identificazione, preservazione, acquisizione ed analisi, dispositivi e software utilizzati, dati estratti/recuperati su supporto digitale.

 

Strumenti Software per l’Analisi

Gli strumenti software utilizzati per l’analisi devono essere licenziati o, se distribuiti gratuitamente, non essere provento di cracking/pirateria, essendone illecito l’utilizzo, non possono garantire che il cracking non comporti modifiche al funzionamento.

Open Source I software open source offrono ampio riconoscimento del file system, ma non offrono tools integrati in un’unica interfaccia grafica, compatibilità degli applicativi sviluppati per differenti sistemi operativi, compilazione reportistica. E’ possibile analizzare i processi logici a cui sono sottoposti i dati.

Closed Source I software closed source offrono interfaccia user friendly, tools integrati (editor esadecimale, player, password cracker, hashing, log attività, ecc…), compilazione reportistica, ma non dispongono di larga compatibilità verso i file system non nativi. Non consentono l’analisi della logica di funzionamento e la verifica dei processi a cui i dati sono sottoposti.

 

Spesso il fattore tempo è determinante e l’analista ha bisogno di tempo.

Nessun software fa il lavoro di un investigatore, perchè questi oltre all’approccio metodico, può apportare esperienza e fantasia.

Related Posts

«
»

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

Copyright di Caterina Mezzapelle Part. I.V.A. 02413940814 - R.E.A. 191812
FACEBOOK · TWITTER