Nel mondo attuale si sente sempre più spesso parlare di incidenti cyber, di hacker e di gruppi APT.
In questo contesto alcuni termini sono ormai diventati di uso comune, altri restano meno evidenti e non sempre sono conosciuti. In questa seconda categoria ricade la Digital Forensics (un tempo conosciuta come "computer forensics"). Vediamo di capire di che si tratta...
Come sempre partiamo da qualche definizione, per esempio il NIST dice che per "Digital Forensics" si intende "the application of computer science and investigative procedures involving the examination of digital evidence - following proper search authority, chain of custody, validation with mathematics, use of validated tools, repeatability, reporting, and possibly expert testimony" (L'applicazione dell'informatica e delle procedure investigative che coinvolgono l'esame delle prove digitali - seguendo l'autorizzazione di ricerca appropriata, la catena di custodia, la validazione mediante matematica, l'uso di strumenti validati, la ripetibilità, la relazione e, possibilmente, la testimonianza di esperti).
In pratica stiamo parlando dell'uso di procedure investigative e della scienza dei computer applicate all'investigazione di fatti criminosi per stabilire l'accaduto.
In un'altro documento NIST troviamo un'altra definizione con alcune informazioni aggiuntive: "The process used to acquire, preserve, analyze, and report on evidence using scientific methods that are demonstrably reliable, accurate, and repeatable such that it may be used in judicial proceedings".
Da questa seconda definizione emerge chiaramente la necessità di impiegare, per la raccolta delle prove di un crimine informatico, metodi scientifici che siano affidabili, accurati e ripetibili, allo scopo di utilizzare le prove raccolte in procedimenti giudiziari.
Quanto sopra esposto risulta di notevole importanza per i team di sicurezza informatica che operano nell'abito della "defensive security" e che si occupano di analisi di evidenze di attacchi nel campo digitale come lo spionaggio cyber, il furto di identità, il furto di proprietà intellettuale, brevetti, crimini compiuti in rete come truffe e così via.
Le principali attività di cui si occupa chi fa Digital Forensics sono essenzialmente le seguenti:
- analisi dei log della rete incriminata: i log (registrazioni eventi) effettuati sulle reti interessate da un crimine o impiegate per compiere un crimine possono aiutare a capire come si è svolto un attacco cyber e ciò talvolta da un indizio anche su chi potrebbe essere l'autore;
- analisi del file system: occorre creare una copia del file system senza provocare danni o modifiche dello stesso e procedere alla analisi dei programmi installati, dei file cancellati o sovrascritti e tentare di ripristinarli. La raccolta di queste informazioni può far emergere prove dei reati commessi e individuare il periodo temporale dell'accaduto.
- analisi dei log di sistema: occorre raccogliere ed analizzare i log di sistema, in cui sono raccolte informazioni su cosa è successo al sistema o ai sistemi informatici.
Alcune di queste attività si possono svolgere mentre i sistemi sono in funzione, mentre gli utenti svolgono le loro attività, altre devono essere svolte a sistemi spenti, in ogni caso i dati raccolti devono essere custoditi accuratamente e seguendo criteri ben definiti in quanto potrebbero avere rilevanza penale.
Raccontato così sembra semplice ma non lo è.
Per fare Digital Forensics esistono tanti software utili, sia gratuiti che a pagamento, che possono dare una mano nella raccolta delle evidenze, ne cito solo alcuni sicuro che la vostra curiosità vi porterà a scoprirne tanti altri:
- Wireshark: analizzatore di rete;
- Oxygen Forensic Suite: analizzatore per dispositivi mobili;
- Autopsy Digital Forensic: suite completa di analisi.
Ed ora a voi la palla, divertitevi ad utilizzare questi strumenti, sono gratuiti e liberamente scaricabili.
Come sempre, un grazie agli amici di SICYNT!
Per approfondire:
- https://csrc.nist.gov/glossary/term/digital_forensics
- https://www.salvationdata.com/knowledge/digital-forensics-software/
- https://www.fastweb.it/fastweb-plus/digital-magazine/come-analizzare-il-...