Come "costruire" un buon laboratorio di Informatica Forense

Michele Vitiello - Ingegneria delle Telecomunicazioni, esperto in Computer Forensics e Investigazioni Digitali 04/02/2017 5341
Il laboratorio di informatica forense: equilibrio tra costi ed efficienza
 
Per la costruzione di un buon LABORATORIO DI INFORMATICA FORENSE bisogna tenere in considerazione due fattori essenziali, ovvero EFFICIENZA e COSTI, mantenendo un EQUILIBRIO in grado di garantire una crescita costante nel tempo, sfruttando al massimo tutte le possibilità offerte da software open source. Per cominciare un’attività in questo settore non è sufficiente acquistare un unico computer potente installando su di esso ogni genere di software perché bisogna tenere conto di molte esigenze, e spesso servono hardware e software molto specifici.
 
I cardini di un buon laboratorio: velocità, ridondanza e riservatezza
 
Velocità, ridondanza e riservatezza sono i cardini per la costruzione di un laboratorio di informatica forense.
La fase di acquisizione deve essere veloce, al fine di maneggiare e interagire il meno possibile con le evidenze, per preservarne inalterato lo stato.
La VELOCITÀ nelle fasi di analisi è relativa, vogliamo che i software siano più rapidi possibili, ma ovviamente il tecnico dovrà prendere i suoi tempi per studiare e organizzare i risultati ottenuti, come in ogni circostanza serve quindi equilibrio.
La VELOCITÀ nella fase di trasferimento o copia dati è essenziale, i dischi stanno crescendo ad un ritmo esorbitante. Ormai si parla di dischi da 8 TB senza problemi, è bene quindi lavorare al fine di trovare soluzioni per migliorare le performance.
In ambito informatico è comune, in caso di sistemi critici, avere apparati di RIDONDANZA come ad esempio due o più coppie di dati mantenute sincronizzate in modo da garantire la continuità dell'esecuzione delle applicazioni anche in caso di danneggiamento del supporto contenente i dati stessi. Questo obiettivo si realizza con varie tecniche come per esempio le copie mirror o dischi in configurazione RAID.
Nell’ambito dell’informatica forense è un concetto ancora più prioritario perché spesso gli accertamenti sono irripetibili, quindi è necessario fare almeno due copie dell’acquisizione in caso di guasti o malfunzionamenti dei dispositivi.
La RISERVATEZZA dei dati è molto importante, bisogna garantire il giusto grado di privacy ai committenti. Il laboratorio del Digital Forensics Expert deve essere accessibile solamente al personale autorizzato, data la sensibilità dei dati e la delicatezza delle apparecchiature che contiene.
Altro aspetto da non trascurare è la protezione dei dati da attacchi esterni, bisogna necessariamente dotarsi di efficienti apparati di sicurezza in grado di evitare l’alterazione, la cancellazione e la diffusione delle informazioni.
 
Strumenti essenziali per il funzionamento di un buon laboratorio
 
Gli STRUMENTI hardware e software necessari per un’analisi forense esauriente e approfondita possono essere suddivisi in categorie relative ad ogni fase dell’investigazione, all’interno delle quali l’informatico forense dovrà essere in grado di cercare e trovare tutte le evidenze utili al caso.
Sistemi di acquisizione: strumenti hardware e applicativi software in grado di effettuare copie forensi di dispositivi di archiviazione dati e dispositivi mobili. L’utilizzo di duplicatori forensi, come ad esempio il Tableau TD2u o Logicube Falcon, è sempre la scelta consigliata, data la velocità e l’efficienza di utilizzo, anche se è possibile operare tramite tool di data preview e imaging come FTK Imager.
Per il mondo della Mobile Forensics servono quasi necessariamente software a pagamento, in grado di estrapolare tramite estrazione fisica o del file system i dati contenuti nella memoria (sia presenti che cancellati non sovrascritti) sia nella memoria interna che nella eventuale memoria esterna. La suite Cellebrite è sicuramente il miglior strumento per effettuare questo tipo di lavorazioni.
 
Sistemi di hacking/cracking: software utili quando vi sono protezioni in particolar modo a livello di file, come password che impediscono l’apertura di documenti o sistemi di crittografia. In questo caso si utilizzano attacchi a dizionario o forza bruta. Per il mondo mobile, in alcuni casi, tramite l’estrazione fisica della memoria è possibile recuperare la password di sblocco, mentre nel caso di backup del mondo Apple e Android esistono software che permettono di effettuare attacchi estremamente complessi, anche concatenando diverse tecniche.
 
Sistemi di data e file recovery: effettuando questo lavoro occorre spesso esaminare anche ciò che non è visibile con una prima analisi. Tornano quindi estremamente utili tutti quei programmi per il recupero dati sia da dispositivi di archiviazione dati che da dispositivi mobile. Spesso non sono neppure sufficienti, nel caso di guasti fisici occorre effettuare operazioni di cambio parti danneggiate o chip-off, lavorazioni estremamente delicate e complesse. iRecover, R-Studio, 7-Data Recovery, Photorec, Recuva e Magnet sono solamente alcuni esempi di software gratuiti e a pagamento in grado di recuperare dati cancellati.

 

 CONTINUAL LA LETTURA  NEL PDF

Dott. Ing. Michele Vitiello
Dottore in Ingegneria delle Telecomunicazioni, Perfezionato post Laurea presso l’Università di Milano in Computer Forensics e Investigazioni Digitali,

Ordine degli Ingegneri della provincia di Brescia
Commissione per l’Ingegneria Forense
Perito del Giudice, CTU, Consulente della Procura della Repubblica, Ausiliario di Polizia Giudiziaria.