Principi e Metodologie dell'Informatica Forense Digitale

Classificato in Informatica

Scritto il in italiano con una dimensione di 16,1 KB

Informatica Forense: Principi Fondamentali

L'Informatica Forense si concentra su:

  • Individuazione
  • Conservazione
  • Protezione
  • Estrazione

Limiti e Sfide

Le principali sfide includono:

  • Alterazione o creazione artefatti ad arte.
  • Riconducibilità dell'autore.
  • Considerazione del contesto operativo.
  • Il rischio di ripudio del dato informatico.

Obblighi del Consulente Tecnico

Il consulente deve mantenere:

  • Autocriticità
  • Precisione
  • Diffidenza

L'obiettivo è superare la prova di resistenza giudiziaria.

Elaborato Tecnico: Verifica e Validazione

L'elaborato tecnico deve sottostare a verifica su:

  1. Legittimità dell'acquisizione.
  2. Integrità, autenticità, attendibilità e riproducibilità dei dati.
  3. Metodi di acquisizione, eventuali alterazioni e ricostruzione della timeline.

Riproducibilità dell'Analisi

La riproducibilità è garantita tramite:

  • Documentazione accurata.
  • Gestione rigorosa della Catena di Custodia.
  • Verifica incrociata tramite hash.
  • Registro delle modifiche apportate.
  • Testimonianza dell'esperto.

Costruens e Decostruens

  • Costruens: Analisi critica (acquisizione e analisi) per determinare Affidabilità, validità e punti deboli.
  • Decostruens: Analisi volta a smontare o confutare le evidenze.

Embedded Forensics

Si riferisce alle tecniche forensi applicate a dispositivi non classici (IoT, sistemi embedded). Le difficoltà intrinseche (sistemi specifici) richiedono conoscenze elettroniche, accesso a database specifici e analisi approfondita del funzionamento del device.

Principi Fondamentali nell'Embedded Forensics

È cruciale:

  1. Preservare l'integrità dei reperti durante la fase di acquisizione.
  2. Fornire documentazione specifica.
  3. Seguire principi metodologici standard.
  4. Effettuare sperimentazione controllata.

Fasi dell'Elaborato Forense

1. Identificazione

  • Individuazione del reperto.
  • Supporto con dati di provenienza/destinazione.
  • Localizzazione fisica e virtuale della memoria contenente il dato.

2. Raccolta Dati (Acquisizione)

Si devono acquisire tutti i bit del device, evitando contaminazioni. È fondamentale:

  • Creare un clone dell'originale.
  • Mantenere la catena di custodia.
  • Garantire la completezza (no copia-incolla, ma acquisizione bit-a-bit).
  • Utilizzare strumenti come write-blocker, HDD vergini e distro forensi.

Tipologie di Immagine Forense

  • Fisica (img, clone): Copia esatta del supporto.
  • Logica: Copia solo dei dati rilevanti.

Modalità di Acquisizione

  • LIVE (Sistema acceso): Utilizzo di software appositi. Comporta una piccola perdita di dati (es. RAM DUMP).
  • POST-MORTEM (Dopo spegnimento): Non applicabile ai server in produzione. Si procede con hardware forense, copia bit da target, calcolo hash dell'immagine, sigillo elettronico. Si evita il RAM dump.

3. Analisi

L'analisi viene eseguita sulla copia del clone per garantire la riproducibilità.

  • Obiettivo: Rispondere a chi è coinvolto, quando, dove, verso dove, quante volte e con quale consapevolezza.
  • Strumento chiave: Uso della timeline (successione degli eventi temporali sul dispositivo).
  • SUPERTIMELINE: Timeline integrabile con log di sistema, eventi di registro e fonti esterne.

Carving dei Dati

Recupero di file da spazio non allocato (richiede copia forense completa).

  1. Scorrimento sequenziale dei bit.
  2. Lettura del bit di header noto.
  3. Lettura dei bit intermedi.
  4. Lettura del bit di footer noto.
  5. Interpretazione dei primi bit (contenuto).
  6. Salvataggio del risultato dello scan in PDF.

Nota: Se l'header è differente, il file non è continuo. Il Carving non esegue FETCH di metadati né WIPING.

4. Valutazione della Prova (Scala Casey)

Valutazione della legittimità e forza probatoria:

  • C0: Contraddice il noto $\rightarrow$ Scorretto.
  • C1: Discutibile $\rightarrow$ Molto incerto.
  • C2: Esiste prova manomettibile $\rightarrow$ Un po' incerto.
  • C3: Difficile da manomettere, poche prove, incongruenze $\rightarrow$ Possibile.
  • C4: Fonti concordanti protette $\rightarrow$ Probabile.
  • C5: Fonti concordanti, nessuna incertezza $\rightarrow$ Quasi certo.
  • C6: Prova non manomettibile, indiscutibile $\rightarrow$ Certo.

5. Presentazione

Redazione di una Relazione scritta leggibile anche da non tecnici, supportata da illustrazione orale.

File System e Struttura Dati

File System Comuni

  • Windows: NTFS, FAT.
  • Apple: HFS.
  • Linux: EXT2/3/4.

Struttura Dati e Gerarchia Linux

Gestione logica di file e cartelle (directory). Gerarchia Linux include: /bin, /sbin, /dev, /var, /home, /usr, /lib, /proc, /tmp, /mnt.

La struttura dati è composta da sequenze di byte, record logici e file indicizzati. Esiste una Tabella di Associazione Indice-Settori che collega ogni file a un indice, e l'indice a settori fisici.

Diritti d'Accesso ai File

Definiti da (R/W/X) più flag per utenti singoli, gruppi e altri (others). L'ownership viene assegnata alla creazione e può essere modificata con chown newUserId file(s) (non sempre possibile con quote attive).

Cancellazione File

I bit non vengono eliminati fisicamente (rimane slack space). Viene cancellato solo il record nella tabella indice/settori. Il Wiping è necessario per rimuovere i bit del file.

Shell Linux

Esistono diverse shell (la più usata è bash).

  • Per conoscere la shell corrente: echo $shell
  • Per cambiarla: chsh [<username>]

Definizione e Struttura

Interfaccia tra utente e OS. Il prompt invia comandi ed è programmabile tramite script.

Struttura del comando: Comando - Opzione (- o --) - Argomento (oggetto su cui eseguire il comando).

Variabili

Possono essere Locali (non ereditabili) o di Ambiente (ereditabili). Non c'è tipizzazione; tutto è trattato come stringa.

Scripting

Si usa chmod per l'esecuzione in subshell. Gli script contengono costrutti:

  • Condizionali: if, then, elif, else, fi.
  • Loop: case-in-esac, while-do-done, until-do-done, for-in-do-done.

Espressioni

Non c'è supporto di default; si usa l'utility expr. Tipologie: da test, Booleane, Match stringhe, su File.

Comandi Utili per Acquisizione e Manipolazione

Acquisizione

  • Acquisizione con timestamp e hash su timestamp.
  • Copia immagine completa: dd if=/dev/sda of=/mnt/destinazione/img.dd
  • Copia supporto a supporto: dd if=/dev/sda of=/dev/sdb
  • Copia Partizione: dd if=/dev/sdd3 of=/dev/sdg2
  • Overwrite (Wiping): dd if=/dev/zero of=/dev/sda bs=1M
  • Montaggio (in lettura/scrittura): mount -o rw /dev/sdb1 /mnt/destinazione

Strumenti Software

  • FTK Imager: Acquisizione supporto, creazione timeline, esportazione immagine.
  • Guymager: Selezione supporto, parametri hash ed esportazione; esegue solo copie.
  • Copiatore Hardware: Collega sorgente/destinazione, copia, calcola hash (es. md5sum /dev/sda > hash.txt).

Analisi tramite Macchine Virtuali (VM)

L'analisi in VM è preferibile perché sperimentale, non altera il reperto, è ripetibile e più spiegabile.

Utilizzi delle VM

  • Come macchina di analisi (vergine con strumenti forensi).
  • Come sistema oggetto (per analisi comportamentale e ricostruzione).

Conversione Immagini

  • Conversione da DD a VDI (VirtualBox): vboxmanage convertdd /mnt/img.dd /mnt/img_virt.dd
  • Conversione DD a VDI con cache: xmount -in dd -out vdi -cache /path/cache.dat /mnt/img.dd /mnt/img_virt.dd

Tool per Immagini Forensi

  • Autopsy: Timeline, carving.
  • FTK: Analisi parola chiave, timeline, carving.
  • Encase: Timeline, variazione directory.
  • P2C: Archivi posta (anche cancellati), ricerca parola chiave.

Network Forensics (NF)

Processo di identificare, preservare e analizzare dati per stabilire valore probatorio in transito su una rete informatica. I dati devono essere raccolti mentre l'evento è in vita.

Casi d'Uso per NF

  • Individuazione autori di accesso non autorizzato.
  • Ingiurie/diffamazioni online.
  • Minacce online.
  • Frode digitale.
  • Accessi abusivi a sistemi.
  • Violazione copyright.
  • Pedopornografia.

Attività Eseguibili in NF

Disamina e correlazione di file di log, ricerca di:

  • Sniffer (intercettazione trasmissione dati).
  • Intercettazione operazioni eseguite dagli utenti sul sistema.
  • Possibili condivisioni di risorse/programmi di comunicazione.
  • Alterazioni a file di sistema o contenenti password.
  • Presenza di nuovi utenti.
  • Verifica configurazione di sistema e file anomali.

Criticità NF

Complessità dovuta all'elevato numero di sistemi in rete e all'accuratezza delle informazioni presenti su di essi.

Individuazione Origine Dato in Rete

L'ISP fornisce l'IP pubblico (che varia). È possibile sapere chi aveva quell'IP in un dato momento, ma spesso gli autori non sono rintracciabili (uso di ponti).

Caso Acquisizione Pagine Web

Obiettivo: Produrre copie forensi identiche all'originale, verificabili per genuinità/inalterabilità.

Procedura Standard

  1. Utilizzo di una Distribuzione Linux Forense (Distro).
  2. Avvio registrazione audio/video (per il tribunale).
  3. Avvio sniffing traffico di rete sulla Macchina Virtuale (MV).
  4. Consultazione di un sito di riferimento (documentazione data).
  5. Consultazione del sito interessato.
  6. Consultazione di un altro sito di riferimento (documentazione data).
  7. Chiusura sniffing rete e registrazione video/audio.
  8. Spegnimento MV.
  9. Generazione di un archivio ZIP contenente file MV, audio/video, traffico di rete e pagina web.
  10. Calcolo hash dell'archivio e applicazione di timestamp e hash.

Strumento specifico: Browser Forense FAW. Per lo storico: WebArchive, WayBackMachine, o cache del browser.

Intercettazioni Telematiche: Legittimità e Svolgimento

Legittimità

Considerata se ci si intromette in comunicazioni altrui (eccetto se si è parte della comunicazione). Non sempre legittima, ma spesso è la soluzione migliore. Legittimata dall'Art. 266-bis C.p.p.

Obiettivi Sistemistici

  • Analisi prestazioni di rete.
  • Monitoraggio intrusioni.
  • Incident Response / Network Forensics.

La NIC (Network Interface Card) opera in modalità promiscua per intercettare tutto il traffico.

Svolgimento

Si utilizza una sonda posizionata nei punti di aggregazione, il più vicino possibile al bersaglio, per acquisire i dati.

Modalità di Ricerca

  • Live: Cattura solo i match di pattern (richiede molta potenza, è preciso).
  • Memorizzazione e Ricerca: Cattura tutto, poi si esegue il match con il pattern (richiede molto spazio).

Tipologie di Filtro

  • Parametriche: Cattura tutto il traffico verso/da sistemi o applicazioni, filtrando sulla pila di protocolli.
  • Bersaglio: Cattura il traffico di sistema/sistemi identificati, filtrando sul protocollo.

Pro e Contro

  • PRO: A volte è l'unico modo, non richiede accesso fisico al luogo, individua il luogo fisico.
  • CONTRO: Tecnicamente difficile e costosa, inefficace se è presente cifratura, richiede un pattern preciso (rischio di molti dati irrilevanti).

Cloud Computing Forensics

Modelli di Servizio

  • SaaS (Software as a Service): Piattaforma preconfigurata. Nessuna preoccupazione tecnica, solo scelta del prodotto. Nessun controllo su conservazione/protezione dati.
  • PaaS (Platform as a Service): Piattaforma con HW/SW. Nessuna gestione tecnica HW, lo sviluppo SW è a carico dell'utente, API fornite dal fornitore.
  • IaaS (Infrastructure as a Service): Tutto a disposizione del cliente (ampia scelta di OS, tecnologie, linguaggi). La gestione è a carico dell'utente, la sicurezza fisica è a carico del fornitore.

Modelli di Distribuzione

  • Cloud Privato: Di proprietà. ✔ Controllo, scalabilità, rendimento. ❌ Costi iniziali, gestione IT, sicurezza.
  • Cloud Pubblico: Da provider. ✔ Costo minore, efficienza, nessuna manutenzione. ❌ Poco controllo su riservatezza, sicurezza, disponibilità.
  • Cloud Ibrido: Parte interna, parte provider. ✔ Utile per test, flessibile, scalabile, gestione picchi temporanei. ❌ Perdita controllo riservatezza/disponibilità, rispetto normativo, politiche di wiping, geolocalizzazione.

Possibile Aiuto del Cloud

Utile in caso di carenza di risorse, per analisi globale (non per singolo reperto), e per possibile accesso remoto (✔ Livello di garanzia, versioning). ❌ Accesso complesso, facile distruzione, struttura a matrioska (metrioska cloud), collaborazione complessa tra CSP e provider.

Mobile Forensics

Non esistono differenze sostanziali rispetto al PC (stessi sistemi informatici).

Trattamento del Mobile Device

  1. Acquisizione.
  2. Logica: Tramite PC connesso e interfacce fornite dal produttore.
  3. Fisica: Bit-a-bit con strumenti HW (necessario tool per lettura grezza). Se il device è rotto: chip-off o JTAG.
  4. Ibrida: Tramite agente installato sul device (rischio di informazioni mancanti o alterazione del reperto).

Informazioni da Annotare

Log, SIM, messaggi, IMEI, ecc.

Attendibilità delle Prove

Rischio di falsi elementi probatori (stesse criticità del disk forensics).

Geolocalizzazione Dispositivi

Ha scarso valore indiziario, che aumenta con valutazioni logiche e misurazioni delle BTS (Base Transceiver Station).

Collegamento alla rete: Telefono $\rightarrow$ BTS (possono sovrapporsi, hanno estensione, potenza e forma. Il terminale è la rete GSM). Il BSC gestisce i gruppi di BTS.

Handover tra BTS

  • Salvataggio: ✔ Prosegue la comunicazione in viaggio. ❌ Riduzione della qualità (es. in viaggio), Tempo critico per la prosecuzione della comunicazione, decisioni affrettate controproducenti.
  • Confinamento: ✔ Riduzione consumi device, riduzione interferenze, migliore qualità, distribuzione più omogenea. ❌ Collegamento a BTS lontane.

Valutazione Copertura di Rete

Si effettua tramite campionamento sul campo e analisi degli handover.

Karma: 15%
Visite: 0

Voci correlate:

Tag:
Catena di Custodia Timeline Forense File System Acquisizione Dati Informatica Forense Embedded Forensics Cloud Computing Forensics Carving Dati Network Forensics Strumenti Forensi Digital Forensics Conservazione Prove Shell Linux Mobile Forensics