Punti chiave
Computer forensics (noto anche come computer forensic science) è una branca della scienza forense digitale relativa alle prove trovate nei computer e nei supporti di archiviazione digitali. L’obiettivo della informatica forense è esaminare i media digitali in modo forense con l’obiettivo di identificare, conservare, recuperare, analizzare e presentare fatti e opinioni sulle informazioni digitali.
Sebbene sia spesso associato alle indagini su una vasta gamma di reati informatici, può essere utilizzata anche nei procedimenti civili. La disciplina prevede tecniche e principi simili al recupero dei dati, ma con linee guida e pratiche aggiuntive progettate per creare una linea di controllo legale.
Le prove fornite dalle indagini di informatica forense sono generalmente soggette alle stesse linee guida e pratiche di altre prove digitali. È stato utilizzato in numerosi casi di alto profilo e sta diventando ampiamente riconosciuto come affidabile nei sistemi giudiziari statunitensi ed europei.
Computer forensics. Panoramica
All’inizio degli anni ’80 i personal computer sono diventati più accessibili ai consumatori, determinando un loro maggiore utilizzo nelle attività criminali (ad esempio per contribuire a commettere frodi). Allo stesso tempo, sono stati riconosciuti diversi nuovi “crimini informatici” (come il cracking). La disciplina della informatica forense è emersa durante questo periodo come metodo per recuperare e investigare prove digitali da utilizzare in tribunale. Da allora la criminalità informatica è cresciuta e ed è aumentata del 67% da il 2002. Oggi è utilizzato per indagare su una vasta gamma di reati, tra cui pornografia infantile, frode, spionaggio, cyberstalking, omicidio e stupro. La disciplina figura anche nei procedimenti civili come una forma di raccolta di informazioni (ad esempio, frodi finanziarie)
Le tecniche forensi e le conoscenze specialistiche sono utilizzate per spiegare lo stato di un artefatto digitale, come un sistema informatico, un supporto di memorizzazione (ad esempio un disco rigido o un CD-ROM) o un documento elettronico (ad esempio un messaggio di posta elettronica o un’immagine JPEG). L’ambito di un’analisi forense può variare dal semplice recupero di informazioni alla ricostruzione di una serie di eventi. In un libro del 2002, Computer Forensics , gli autori Kruse ed Heiser definiscono la informatica forense come “conservazione, identificazione, estrazione, documentazione e interpretazione dei dati informatici”. Continuano a descrivere la disciplina come “più di un’arte che di una scienza”, indicando che la metodologia forense è supportata da flessibilità e conoscenza approfondita del campo. Tuttavia, mentre diversi metodi possono essere utilizzati per estrarre prove da un determinato computer, le strategie utilizzate dalle forze dell’ordine sono piuttosto rigide e mancano della flessibilità riscontrata nel mondo civile.
Computer forensic nel processo
Le indagini forensi informatiche di solito seguono il processo o le fasi forensi digitali standard che sono acquisizione, esame, analisi e rendicontazione. Le indagini vengono eseguite su dati statici (ad esempio immagini acquisite ) anziché su sistemi “live”. Questo è un cambiamento rispetto alle prime pratiche forensi in cui la mancanza di strumenti specialistici ha portato gli investigatori a lavorare comunemente su dati in tempo reale.
Le Tecniche
Numerose tecniche sono utilizzate durante le indagini di informatica forense e molto è stato scritto sulle molte tecniche utilizzate dalle forze dell’ordine in particolare.
Analisi cross-drive
Una tecnica forense che mette in relazione le informazioni trovate su più dischi rigidi. Il processo, ancora oggetto di ricerca, può essere utilizzato per identificare i social network ed eseguire il rilevamento di anomalie.
Analisi dal vivo
L’esame dei computer all’interno del sistema operativo utilizzando strumenti forensi personalizzati o strumenti di amministratore di sistema esistenti per estrarre prove. La pratica è utile quando si ha a che fare con Crittografia dei file system, ad esempio, in cui è possibile raccogliere le chiavi di crittografia e, in alcuni casi, il volume del disco rigido logico può essere ripreso (noto come acquisizione live) prima che il computer venga spento.
File cancellati
Una tecnica comune utilizzata in informatica forense è il recupero di file cancellati. I moderni software forensi hanno i propri strumenti per il recupero dei dati cancellati. La maggior parte dei sistemi operativi e dei file system non cancella sempre i dati dei file fisici, consentendo agli investigatori di recuperarli dai settori del disco fisico. La ricostruzione di file comporta la ricerca di intestazioni conosciute all’interno dell’immagine del disco e la ricostruzione di materiali eliminati.
Forense stocastica
Un metodo che utilizza proprietà stocastiche (modello matematico adatto a studiare l’andamento dei fenomeni che seguono leggi casuali, probabilistiche) del sistema informatico per studiare attività prive di artefatti digitali. Il suo principale utilizzo è indagare sul furto di dati.
Steganografia
Una delle tecniche utilizzate per nascondere i dati è tramite la steganografia, il processo di nascondere i dati all’interno di un’immagine. Un esempio potrebbe essere quello di nascondere immagini pornografiche di minori o altre informazioni che un determinato criminale non vuole venga scoperto. I professionisti della informatica forense possono contrastare questo aspetto osservando l’hash del file e confrontandolo con l’immagine originale (se disponibile). Mentre l’immagine appare esattamente la stessa, l’hash cambia man mano che i dati cambiano.
Dati volatili
Quando si acquisiscono prove, se la macchina è ancora attiva, qualsiasi informazione memorizzata esclusivamente nella RAM che non viene recuperata prima dello spegnimento potrebbe andare persa. Un’applicazione di “analisi dal vivo” è quella di recuperare i dati RAM (ad esempio, utilizzando lo strumento COFEE di Microsoft , WinDD, WindowsSCOPE ) prima di rimuovere un’esposizione. CaptureGUARD Gateway ignora l’accesso a Windows per i computer bloccati, consentendo l’analisi e l’acquisizione della memoria fisica su un computer bloccato.
La RAM può essere analizzata per il contenuto precedente dopo la perdita di potenza, poiché la carica elettrica immagazzinata nelle celle di memoria impiega tempo a dissiparsi, un effetto sfruttato dall’attacco di avvio a freddo. Il periodo di tempo in cui i dati sono recuperabili viene aumentato dalle basse temperature e dalle tensioni delle celle più elevate. Mantenere una RAM non alimentata al di sotto di -60°C aiuta a preservare i dati residui di un ordine di grandezza, migliorando le possibilità di successo del recupero. Tuttavia, può essere poco pratico farlo durante una visita sul campo.
Alcuni degli strumenti necessari per estrarre dati volatili, tuttavia, richiedono che un computer si trovi in un laboratorio forense, sia per mantenere una catena di prove legittima, sia per facilitare il lavoro sulla macchina. Se necessario, le forze dell’ordine applicano tecniche per spostare un computer desktop attivo e in esecuzione. Questi includono un jiggler del mouse, che sposta rapidamente il mouse con piccoli movimenti e impedisce al computer di andare in standby accidentalmente. Di solito, un gruppo di continuità (UPS) fornisce energia durante il transito.
Tuttavia, uno dei modi più semplici per acquisire i dati è in realtà salvare i dati RAM su disco. Vari file system con funzionalità di journaling come NTFS e ReiserFS mantengono gran parte dei dati RAM sul supporto di archiviazione principale durante il funzionamento e questi file possono essere riassemblati per ricostruire ciò che era in RAM in quel momento.
Leggi di riferimento
In Italia, la legge di riferimento che definisce come utilizzare a livello giuridico i risultati di un’attività di analisi forense in tribunale, è la legge 18 marzo 2008 n. 48, che ha ratificato la Convenzione del Consiglio d’Europa sulla criminalità informatica, stipulata a Budapest il 23 novembre 2001.
La norma prevede:
- sanzioni più pesanti per i reati informatici;
- norme di contrasto più efficace alla pedopornografia in rete;
- sanzioni anche a carico delle società;
- possibilità per le forze dell’ordine di chiedere al provider il congelamento dei dati telematici per 6 mesi;
- maggiori tutele per i dati personali