Processo di analisi forense e catena di custodia

Processo di analisi forense e catena di custodia

Processo di analisi forense e catena di custodia

Il processo di analisi forense (si veda prima informatica forsense) comincia nel momento stesso in cui ci si interroga circa gli eventi accaduti su un computer o un generico dispositivo digitale.

La prima attività critica che merita una particolare attenzione è la stesura di un rapporto dettagliato che illustri accuratamente tutte le azioni svolte e che rappresenta a sua volta una prova di valore legale. La preservazione delle prove informatiche è fondamentale per non invalidare tutto il lavoro di indagine a causa di una banale leggerezza. Per questo motivo bisogna attenersi scrupolosamente ad alcuni principi cardine dettati dal buon senso e maturati in anni di esperienza.

Principio di rapidità

Le prove devono essere acquisite nel minor lasso di tempo possibile dall’evento che si vuole ricostruire, per evitare un qualsiasi inquinamento o addirittura la loro perdita.

Principio del congelamento

Tutti i supporti informatici oggetto di indagine, cioè contenenti dati potenzialmente rilevanti per gli investigatori, devono essere “congelati”, ossia va impedita qualsiasi loro alterazione volontaria o involontaria.

Principio della catena di custodia

Bisogna garantire e documentare tutte le fasi di gestione delle prove informatiche dalla loro acquisizione fino alla presentazione in tribunale.

Principio della controllabilità e ripetibilità

Tutte le attività di indagine eseguite devono essere ripetibili da periti e consulenti di parte producendo i medesimi risultati.

Acquisizione dei dati per le analisi forense

Le indagini informatiche possono svolgersi direttamente sul “luogo del delitto” oppure in laboratorio. In entrambi i casi una delle prime attività da svolgere è l’isolamento della scena del crimine per evitare l’accesso a persone non autorizzate che possano inquinarle e nello stesso tempo ricercare prove e descrivere l’ambiente servendosi anche di fotografie e riprese filmate. Andrebbero ricercati appunti, agende e qualunque altro elemento utile all’indagine, ad esempio per ricavare password, codici, ecc. Il contesto ideale sarebbe costituito dalla possibilità di accedere al sistema informatico ancora attivo in modo da poterne esaminare la memoria fisica riuscendo a ricavare molte informazioni utili come gli ultimi comandi eseguiti, i processi in esecuzione, gli accessi alla rete, tutte informazioni critiche che si perdono quando il sistema viene spento e che bisogna salvare su supporti permanenti. In generale andrà deciso volta per volta se accedere alla macchina accesa in loco o togliere direttamente la corrente in modo da creare una fotografia istantanea del sistema, procedendo all’analisi in un secondo momento. Al riguardo esiste un acceso dibattito tra gli esperti soprattutto tenendo presente che un normale spegnimento (procedura di shutdown) comporta comunque una alterazione o cancellazione di molti dati (es. file di swap, file temporanei ecc). Già in fase di sequestro le macchine e i supporti devono essere opportunamente imballati per preservarli da urti, fonti di calore, umidità. Devono essere apposte etichette e sigilli che potranno essere rimossi solo dal personale autorizzato. Va inoltre redatto un verbale di sequestro riportando tutti i dati identificativi come numero di serie, marca e modello dei supporti.

Gestione delle prove

Molto importante risulta la gestione delle prove raccolte, il loro trasporto e archiviazione per evitare che vengano alterate, perse o che comunque si possa  mettere in discussione la loro integrità. Prima di procedere con l’analisi occorre partire da una copia integrale bit a bit del supporto oggetto dell’indagine con  l’intento di evitare qualsiasi rischio di perdita dei dati originali. Anche un semplice boot del sistema può alterarli in maniera significativa facendo perdere il loro valore probatorio. Dunque qualsiasi futura attività verrà svolta esclusivamente sulle copie preservando l’originale. Riguardo alla creazione dei file immagine va evidenziato  che i classici strumenti di backup si limitano a copiare i file e non i dati di ambiente che al contrario possono risultare estremamente utili ai fini dell’indagine. In  Windows tali dati risiedono nel file di swap (file di scambio) mentre in Unix esiste una partizione ad hoc analogamente denominata. Inoltre molte informazioni interessanti si possono trovare nello slack space, costituito dallo spazio inutilizzato all’interno dei cluster. Esistono dei tool che consentono di impiegare questo spazio per occultare dei dati. Andrebbe esaminato anche lo spazio non allocato in cui si possono ritrovare file cancellati o altro materiale interessante. Questi sono alcuni dei motivi che giustificano la necessità di una copia bit a bit dell’intera superficie del disco. Pur avendo assunto che le analisi vanno effettuate sulle copie e non sui dati originali, gli strumenti impiegati devono comunque garantire che le copie stesse non siano oggetto di alterazione: quindi bisogna disporre di un meccanismo di verifica che assicuri la genuinità dei dati originali (le prove acquisite) e delle loro copie. Normalmente si ricorre ad un hash dell’immagine del supporto. Un algoritmo di hashing parte da una sequenza arbitraria di dati, ad esempio il contenuto del disco e produce una sequenza molto più breve (detta appunto hash) che è in stretta correlazione con quella di partenza. In caso di modifica dei dati la relativa sequenza hash verrà a sua volta modificata, per cui confrontandola con quella originale (da conservare accuratamente) sarà possibile evidenziare la presenza di eventuali alterazioni. Si parla nello specifico di catena di custodia, cioè della descrizione dettagliata di tutti i passaggi subiti dalle prove durante la loro gestione in modo da poter risalire a coloro che le hanno maneggiate e garantire che non si siano prodotte alterazioni dal momento del loro sequestro fino alla presentazione in tribunale. Naturalmente al materiale dovrebbe accedere solo chi dispone di una adeguata autorizzazione e lo stesso dovrebbe essere conservato in ambienti sicuri e controllati, in modo da evitare qualsiasi eccezione in fase dibattimentale tale da invalidare il lavoro svolto. Riguardo all’autenticazione delle prove bisogna dimostrare che tutte le operazioni sono state eseguite senza modificare il sistema, certificando la sequenza temporale e le modalità con cui sono state condotte.

La vera analisi forense

Successivamente si procede all’analisi di tutto il materiale acquisito per ricostruire accuratamente gli eventi accaduti. Come illustrato in precedenza, la  ricerca all’interno dei supporti informatici deve riguardare sia lo spazio allocato sia quello inutilizzato, in quanto la cancellazione di un file normalmente lo rende inaccessibile ma non elimina effettivamente i dati fino ad una successiva sovrascrittura, permettendo il suo ripristino (nella maggior parte dei casi) con opportuni strumenti. L’analisi delle prove comporta una serie di operazioni che richiedono vari tool e devono essere eseguite secondo una opportuna sequenza. Quindi risulta utile preparare una checklist dei compiti da svolgere in modo da eseguirli e documentarli dettagliatamente. In particolare occorre:

  • Inventariare accuratamente tutto il materiale sequestrato
  • Esaminare lo stato di ogni supporto
  • Ispezionare documenti, agende, cassetti o altro alla ricerca di eventuali password
  • Ricostruire le attività svolte in rete
  • Ricercare la presenza di eventuali malware
  • Verificare la sequenza di operazioni eseguite (ultimi file aperti o cancellati, registrazioni nei log di sistema, ecc.)
  • Ripetere le analisi per accertarsi della correttezza dei risultati ottenuti

Seguendo una metodologia scientifica per l’analisi forense si prevengono pertanto sia eventuali perdite di dati ma allo stesso tempo si attribuisce alle prove una credibilità tale da poter essere presentate in giudizio.

Gli strumenti forense

La complessità dei sistemi informatici da esaminare comporta l’impiego di soluzioni hardware e software adeguate a supportare l’indagine per l’analisi forense.

Le funzionalità principali richieste a tali strumenti sono:

  • ricerca rapida all’interno dei supporti digitali (dischi, CD, DVD, ZIP, schede di memoria) comprese le aree inutilizzate;
  • produzione di copie dei dischi a basso livello (settore per settore);
  • supporto di vari filesystem;
  • analisi dei dati con varie modalità di codifica (ASCII, esadecimale, binario);
  • recupero file cancellati;
  • stampa di report delle analisi sulla base di opportuni parametri.

Dal punto di vista hardware si potrebbe pensare all’utilizzo di un notebook per la sua portabilità e manegevolezza, sebbene nella maggior parte dei casi non si possa considerare la scelta migliore, soprattutto per le limitate capacità di collegamento con dispositivi esterni. Una “generica soluzione” dovrebbe essere dotata almeno delle seguenti caratteristiche:

  • elevata disponibilità di memoria (> 1 GB);
  • ampia gamma di connessioni (Firewire, USB 2.0, SCSI, );
  • disco rigido di grandi dimensioni per lavorare con le immagini dei sistemi acquisiti;
  • connessione di rete;
  • sistema di backup basato su CD o DVD.

In ambito professionale si utilizzano delle stazioni di lavoro appositamente progettate allo scopo e in grado di soddisfare tutte le necessità dell’investigatore.

Sul fronte software esiste una varietà di soluzioni ancora più ampia. Accanto ai prodotti commerciali è possibile trovare molti progetti open source. Ancora una volta bisogna sottolineare il contributo che Linux può apportare in questo campo. Le principali caratteristiche che lo rendono idoneo ad essere una piattaforma di base su cui costruire dei prodotti molto complessi sono:

  • gestione degli oggetti in forma di file, compresi i dispositivi hardware;
  • supporto di vari filesystem;
  • analisi dei sistemi senza produrre alterazioni potendo montare  le partizioni in modalità read-only;
  • concatenazione dei comandi;
  • monitoraggio delle attività e dei processi in esecuzione;
  • possibilità di creare e configurare opportunamente dei supporti avviabili (CD bootable).

Oltretutto i tool di Linux sono open source e questo contribuisce alla riduzione dei costi. Senza entrare in merito alla diatriba tra i sostenitori di tale filosofia e quelli del software commerciale occorre dire che i primi ne sostengono il primato nell’ambito dell’indagine forense in quanto la disponibilità del codice sorgente può fugare ogni dubbio circa eventuali manipolazioni effettuate in fase di analisi. Esiste una gran varietà di distribuzioni dedicate alla computer forensics e liberamente scaricabili da Internet.

Precedente Informatica forense e analisi forense di un attacco Successivo Analisi forense di una macchina compromessa (honeypot)

Lascia un commento

*