Businessman looks for the malicious code of a virus

LA STORIA

L’informatica forense ha origine negli anni ’80 negli USA ed in Gran Bretagna, con l’esigenza di sviluppare tecniche informatiche da poter utilizzare nel sistema giudiziario di “common law”. Si può datare l’anno di nascita della Computer Forensic nel 1984, quando il laboratorio scientifico dell’FBI e altre agenzie investigative americane iniziarono a sviluppare software e tecniche da utilizzare nelle analisi dei dati presenti nei computer. Poichè era sempre più necessario avere strumenti più tecnologici, fu creato sempre all’interno dell’FBI, il CART (Computer Analysis Response Team). Con l’avvento dei contenuti multimediali utilizzati da utenti nei propri pc e con l’arrivo di Internet, si ebbe un’evoluzione della materia nel 1994, anno in cui il Dipartimento della Giustizia degli USA, ha pubblicato un insieme di linee guida che hanno fissato uno standard e sono divenuti un riferimento per studi e atti successivi.
In Italia, oltre ai nuclei nei corpi di polizia, sono nate aziende di servizi di sicurezza informatica che offrono per l’appunto prestazioni di informatica forense (nel 1996 fu creato il Nucleo Operativo di Polizia delle Telecomunicazioni e nel 1998 venne istituito il Servizio di Polizia Postale e delle Telecomunicazioni dove confluirono le risorse del Nucleo Operativo di Polizia Postale e della Divisione della Polizia Postale).


CHE COSA E’ L’INFORMATICA FORENSE 

computer-forensics-indagini-cataniaPer Informatica Forense o “Computer Forensics” si intende quella disciplina che studia tutte le attività rivolte all’analisi e alla soluzione di reati realizzati con l’uso di un computer, diretti a un computer o in cui il computer rappresenta una fonte di prova. L’obiettivo primario di detta disciplina è quello di creare una cosiddetta CATENA DI CUSTODIA ossia, Acquisire, Conservare, Identificare, Documentare ed Interpretare i dati presenti su un dispositivo. Si tratta quindi di utilizzare le modalità migliori per acquisire le prove senza alterare il sistema informatico in cui si trovano, garantire che le prove siano identiche a quelle originali ed infine ma non ultimo di analizzare i dati senza che essi ne risultino alterati. In questo ambito vengono di solito utilizzate le procedure definite come “BEST PRACTICES” descritte dalla ISO internazionale denominata ISO/IE 27037:2012. Quando si utilizza un dispositivo elettronico si lasciano sui dispositivi di memorizzazione ad esso collegati delle tracce, artefatti dovuti all’interazione di un utente con il computer. Queste tracce sono chiamate tracce informatiche o tracce digitale e comprendono:

  • File system;
  • File generati da varie applicazioni; 
  • Informazioni META DATA relativi ai file gestiti dal sistema operativo;
  • Dati trasmessi tra due o più computer collegati ad Internet.

Una caratteristica fondamentale delle tracce digitali è l’immaterialità, ossia on esistono come oggetto fisico ma sono sequenze di bit memorizzate su dispositivi di archiviazione dati. Per accedere ad una traccia occorre dunque accedere al dispositivo su cui essa è memorizzata. I dispositivi di memorizzazione sono di due tipi:

  • Persistenti: non necessitano di alimentazione per conservare i dati memorizzati (Memorie di massa in genere, Pen Drive, Hard Disk, Schede di Memoria);
  • Volatili: interrotta l’alimentazione, i dati vengono persi (memoria RAM, telefonino, palmare).

Una traccia digitale assume valore probatorio quando essa è:

  • autentica, cioè si è certi della sua provenienza;
  • veritiera, ottenuta grazie ad un’attenta e corretta interpretazione e analisi dei dati;
  • integra, priva di alterazione;
  • completa, cioè sono stati raccolti ed interpretati tutti i dati ad essa relativi;
  • legale, raccolta cioè nel rispetto delle leggi vigenti. 

STRUMENTI HARDWARE E SOFTWARE

Le operazioni non avvengono semplicemente accendendo un computer e facendo una lettura o copia dei dati che potrebbero interessare ai fini di giustizia; proprio questo è quello che è successo in fase di accertamento nel caso di GARLASCO e le relative ripercussioni ai fini giudiziari.
Ma come avviene l’indagine forense ?
Essa si suddivide principalmente in due parti: 

ACQUISIZIONE FORENSEstrumenti-computer-forensics: dove i supporti originali vanno congelati (comunemente viene chiamata COPIA FORENSE), cioè non devono più essere collegati ad alcun computer senza che sia utilizzato un dispositivo che garantisca il blocco delle operazioni di scrittura, cosiddetto WRITE BLOCKER; i dispositivi posti in sequestro devono essere poi sigillati in modo opportuno cosicché sia possibile documentare la catena di custodia (garantisce l’inalterabilità dei contenuti e quindi dei dati dal momento del sequestro fino al momento del dibattimento e per tutte le fasi dell’iter processuale).
Durante la COPIA FORENSE (la seconda fase) è di vitale importanza annotare la data e l’ora impostata nell’orologio di sistema per stabilire con certezza una linea temporale degli eventi. Per garantire che non siano introdotte modifiche dopo “l’acquisizione” si utilizzano algoritmi di hash crittografici che producono un codice (sequenza di caratteri) avente una lunghezza prefissata e questi codici godono di alcune proprietà:

1- Due sequenze di input identiche danno luogo allo stesso codice hash. Al momento del congelamento del dispositivo si calcola il relativo codice hash. Per verificare l’assenza di alterazioni dall’originale, si ricalcola il codice hash e si verifica che lo stesso sia uguale a quello calcolato all’atto del congelamento.

2- La probabilità che sequenze diverse diano luogo allo stesso codice è praticamente nulloPer preservare l’integrità delle evidenze digitali, si effettuano tutte le operazioni di analisi su copie identiche dei dispositivi originali. A tal fine è necessario acquisire tutte le parti del dispositivo. Prima di effettuare la copia del dispositivo è necessario calcolare il codice hash dell’originale e confrontarlo con quello ottenuto all’atto dell’acquisizione. Al termine dell’acquisizione si calcola il codice della copia appena effettuata che deve essere identico a quello dell’originale. L’operazione di acquisizione produce un file di immagine contenente una copia di tutti i bit memorizzati nel dispositivo. In seguito, mediante opportuni software di analisi forense, il file viene interpretato ed analizzato.


ANALISI DEI CONTENUTI

digital-forensics-catania
Scopo dell’analisi è individuare quelle tracce digitali che consentano una ricostruzione delle attività del computer cui il dispositivo era collegato e l’individuazione di elementi probatori. L’analisi viene effettuata con l’aiuto di appositi software forensi. Si effettuano diversi tipi di analisi:

  • Analisi a livello del file system: si prendono le tracce informatiche prodotte dal sistema di gestione dei file (file system) o contenute nei file. Ai fini probatori è rilevante prendere in considerazione i tempi MACE (Modified/Accessed/Created/Entry Modified) che consentono di ottenere una timeline delle attività effettuate sui file;
  • Analisi a livello del sistema operativo: si prendono gli artefatti prodotti dal sistema operativo durante il suo funzionamento. Vengono presi in considerazione file di log, file di configurazione, snapshot della configurazione di sistema utilizzate per un eventuale ripristino. Ciò consente di evidenziare l’uso del computer da parte degli utenti; di determinare quando specifici file sono stati aperti dall’utente; di individuare le periferiche che sono state collegate, i file stampati e su quale stampante; identificare le reti cui il computer è stato collegato;
  • Analisi delle applicazioni: si prendono gli artefatti prodotti da programmi applicativi. Estrazioni di contenuti “embedded”, metadati applicativi( file MS Office, file PDF, file grafici, attività di navigazione su Internet, scambio di email, attività di Istant Messaging e Chat, attività di file sharing).

 

I NOSTRI SERVIZI DI COMPUTER FORENSICS

Computer_Forensics_Fontanarosa_GiuseppeCi occupiamo di computer forensics sia in ambito privato che pubblico.
Siamo nella facoltà di poter ricoprire i ruoli come C.T.U. per le Procure della Repubblica Italiana e come A.P.G. per qualsiasi comando di P.G. (Carabinieri, Guardia di Finanza, Polizia di Stato, Capitaneria di Porto, etc).
Eseguiamo Consulenze di Parte per privati, avvocati ed aziende che hanno l’esigenza di accertare elementi informatici e riprodurli in ambito giudiziario.