Metodologia e strumenti dell’informatico forense

Metodologia e strumenti dell’informatico forense

Metodologia e strumenti dell'informatico forense - Digital Forensics

Utilizzare una metodologia e gli strumenti corretti non significa solo non perdere prove, ma significa anche mantenere la credibilità dei dati raccolti. In una qualunque indagine, una delle prime attività solitamente compiute è quella di isolare la scena del crimine, per evitare l’accesso alle persone non autorizzate, ricercare impronte digitali, effettuare una descrizione accurata dell’ambiente unitamente a fotografie e filmati. Nel caso di un reato informatico, la descrizione della scena del crimine dovrebbe comprendere, oltre alla foto dell’ambiente in generale, una fotografia dello stato delle connessioni presenti sul retro del computer e, se il computer è acceso, dell’immagine presente sullo schermo, dei numeri seriali e delle altre caratteristiche identificative. Le linee guida statunitensi sono talora estremamente dettagliate e attente, per esempio:

  • Avvertono che nella ricerca delle impronte digitali sul computer non va usata la polvere di alluminio che è un conduttore di elettricità e potrebbe alterare le magnetizzazioni.
  • Suggeriscono i formati delle etichette che servono a identificare ogni possibile fonte di prova e i dati da includere: il numero del caso, una breve descrizione, la firma, la data e l’ora in cui la prova è stata raccolta.

Il luogo deve essere attentamente controllato per cercare appunti, diari, note dai quali si possano eventualmente ricavare password o chiavi di cifratura. In caso di sequestro delle attrezzature la macchina e i dischi devono essere opportunamente imballati e conservati e devono essere apposte etichette e sigilli. Deve essere indicato chi ha raccolto le prove, come le ha raccolte, dove, come sono conservate e protette, chi ne ha preso possesso, quando e perché. Devono essere osservate opportune cautele affinché le  prove non siano maneggiate da personale non autorizzato e siano conservate in luoghi sicuri e adeguatamente presidiati. L’obiettivo non è solo quello di proteggere l’integrità della prova ma di evitare che la mancanza di una custodia appropriata sia eccepita nel processo.

Ogni attività deve essere documentata. I rapporti devono essere esaustivi: le scoperte fatte, gli strumenti utilizzati (quale software, incluso il riferimento alla versione), la metodologia usata per analizzare i dati vanno indicati e va altresì fornita una spiegazione di quello che è stato fatto, del perché, del chi e del tempo impiegato.

Come in altri settori forensi, anche nel campo informatico risulta comodo e utile predisporre una lista delle azioni che devono essere eseguite e documentare puntualmente le attività e i compiti svolti in relazione a ciascuna di esse. Il principio di fondo è quello di non  dare nulla per scontato e quindi, adattando alla situazione italiana alcune linee guida autorevoli:

  • va accuratamente verificato lo stato di ogni supporto magnetico;
  • vanno ispezionati quaderni, fondi di tastiera e monitor per individuare eventuali password;
  • va ricostruita (tracing) l’attività di un accesso abusivo dalla rete, a tal fine è necessaria un’approfondita conoscenza dei protocolli di rete e dei server di posta elettronica in modo da poter individuare il punto di partenza dei dati e dei messaggi stessi. In questa attività si dimostrano particolarmente utili i sistemi di IDS (Introduction Detective System);
  • vanno individuati virus e altro software malevolo, dove per codice malevolo  si  intende  il  software  che  è  utilizzato per ottenere e mantenere un potere o un vantaggio non autorizzato su un’altra persona; modalità tipiche del suo utilizzo riportate in letteratura comprendono: accesso remoto, raccolta dati, sabotaggio, blocco di un servizio (denial of service), intrusione in un sistema, furto di risorse informative, circonvenzione dei meccanismi di controllo degli accessi, necessità di riconoscimento di stato sociale, autosoddisfazione (l’hacker buono);
  • va ricostruita la successione dei compiti e delle azioni;
  • vanno confrontati tra loro gli indizi;
  • va individuato il ruolo che assume il sistema oggetto della indagine;
  • va considerato il ruolo delle persone che utilizzano il sistema informatico per individuare eventuali individui indiziati, informati dei fatti o in grado di rivelare la password, l’analisi comportamentale e la ingegneria sociale di solito consentono di affinare la ricerca delle persone colpevoli di reati. La seconda fa riferimento principalmente alle modalità con cui password e simili informazioni riservate vengono carpite da persone ignare e non coinvolte nel reato; la prima consente di effettuare una correlazione tra i dati acquisiti e le modalità di azione di una persona sospetta;
  • va effettuato un accurato inventario delle attrezzature ispezionate;
  • è opportuno ripetere due volte le analisi per avere certezza della meticolosità delle operazioni eseguite.

Le operazioni da compiere non sono poche e richiedono la massima attenzione da parte di qualsiasi operatore sia stato chiamato ad eseguirle, pena la nullità dell’elemento probatorio in seduta dibattimentale.

 

Precedente Le fasi dell'attività di analisi della Digital Forensic Successivo I reati informatici nella società moderna

Lascia un commento

*