Sicurezza e Giustizia

IL FUTURO DELLA DIGITAL FORENSICS

Facebooktwittergoogle_plusredditpinterestlinkedinmail

di Nanni Bassetti

1. Introduzione

La Digital Forensics è quella disciplina scientifica che regola l’identificazione, l’acquisizione, la preservazione, l’analisi ed il reporting di fonti di prova digitali al fine di renderle utilizzabili in un processo giuridico. L’unico protocollo applicabile è il metodo scientifico, ovvero la modalità tipica con cui la scienza procede per raggiungere una conoscenza della realtà oggettiva, affidabile, verificabile e condivisibile (da Wikipedia). Esso consiste, da una parte, nella raccolta di evidenza empirica e misurabile attraverso l’osservazione e l’esperimento; dall’altra, nella formulazione di ipotesi e teorie da sottoporre nuovamente al vaglio dell’esperimento. Le fasi della Digital Forensics sono: identificazione, acquisizione, preservazione, analisi, reporting. Le copie post mortem di un dispositivo di memorizzazione di massa, laddove possibile, vanno effettuate bit-a-bit con verifica di codice hash, una funzione matematica che genera un codice univoco e non reversibile.

Tutto questo è il presente, ma probabilmente potrà diventare presto il passato, perché nel futuro della Digital Forensics si cominciano a intravedere scure nubi, formate da ostacoli di non piccolo cabotaggio. Durante le vostre ricerche potrete imbattervi in alcuni di questi baubau della Digital Forensics, vere e proprie innovazioni tecnologiche e culturali, che potrebbero spazzar via tutto quello che finora si è cercato di consolidare.

 

2. I dischi auto-criptanti e auto-cancellanti

Al giorno oggi dobbiamo constatare la presenza sul mercato di particolari hard disk che, una volta inizializzati su un computer tramite dei microcodici nei loro firmware, raccolgono alcune informazioni sul sistema ospite, sicché nel momento in cui dovessero esser spostati su un altro sistema, anche solo ai fini di effettuare una copia forense ed anche con l’uso del write blocker, questi potrebbero far partire una procedura interna di self-crypting o self-wiping, il che significherebbe perdere irrimediabilmente i loro contenuto.
Nel caso in cui un modello di hard disk con il self-encryptig sia rubato e tenti di connettersi a un sistema non-familiare, il disco rigido e l’host iniziano un processo di autenticazione. Se il tentativo di autenticazione ha esito negativo, il disco può essere configurato per negare l’accesso o cripto/cancellare i dati sensibili.

 

3. BitLocker Drive Encryption

I vostri dati sono protetti con crittografia dell’intero volume del sistema operativo Windows. Se il computer è dotato di un TPM compatibile, BitLocker utilizza il TPM per bloccare le chiavi di crittografia che proteggono i dati. Di conseguenza, le chiavi non sono accessibili finché il TPM ha verificato lo stato del computer. La crittografia dell’intero volume protegge tutti i dati, compreso il sistema operativo, il registro di Windows, i files temporanei, e il files di ibernazione.
Le chiavi necessarie per decriptare i dati rimangono bloccati dal TPM, quindi un attaccante non può leggere i dati semplicemente rimuovendo il disco rigido e installandolo in un altro computer. Il TPM è un microchip progettato per fornire funzioni relative alla sicurezza di base, che coinvolgono principalmente le chiavi di crittografia. Il TPM è di solito installato sulla scheda madre di un computer desktop o portatile, e comunica con il resto del sistema usando un bus hardware.
Computer che incorporano un TPM hanno la capacità di creare chiavi crittografiche e crittografare loro in modo che possano essere decifrati solo dal TPM. Se anche si riuscisse a ricavare una key per il decrypting poi servirebbe anche l’eventuale password per l’unlock del disco.

 

…continua su EDICOLeA

 


 

Altri articoli di Nanni Bassetti

LE PROCEDURE ED I METODI DELLA DIGITAL FORENSICS SONO COSI’ IMPORTANTI? -
di Nanni Bassetti (n.I_MMXVIII)
Che impatto avrebbe il non effettuare una copia bit a bit e non calcolare i codici hash sull’attendibilità dei dati che saranno analizzati? Accendere un computer per ispezionarlo prima di acquisire la copia dei dischi, cosa comporta? Spesso sembra che adottare delle procedure sia solo un esercizio di stile, a avolte sembre importante solo trovare le evidenze.
UN ESEMPIO PRATICO DI MEMORY FORENSICS CON L’OPEN SOURCE -
di Nanni Bassetti (n.IV_MMXVI)
La memory forensics, ossia le indagini sul contenuto della memoria RAM di un dispositivo digitale come un computer, rappresentano una materia abbastanza complessa, infatti occorre conoscere molto bene come funzionano i processi ed il sistema operativo, al fine di comprendere cosa è in esecuzione e quali file sono coinvolti. In quest’articolo si tratterà un piccolo esempio di “malware hunting” (caccia al malware) per illustrare come con degli strumenti open source ed online, si può trovare il software maligno che infesta un computer, chiaramente è un percorso semplice per fini descrittivi e didattici, dato che scovare i malware e le loro varie declinazioni spesso è molto più complicato.
COME AFFRONTARE I “BIG DATA” NELLA DIGITAL FORENSICS -
di Nanni Bassetti (n.II_MMXV)
L’aumento incontrollato di dati è diventato un ostacolo per gli investigatori informatici, che devono affrontare una corsa agli armamenti informatici per far fronte a questo tsunami digitale. Analisi di alcuni sistemi organizzativi che potrebbero aiutare a vincere questa battaglia.
I DATI TELEFONICI PER FINALITÀ GIUDIZIARIE NELLE APPLICAZIONI REALI -
di Nanni Bassetti e Paolo Reale (n.III_MMXIV)
Overview dei dati che gli operatori telefonici possono fornire al fine di tracciare l’attività e la localizzazione dell’utente, ed un commento alle leggende “high tech” create nel tempo su essi.
ANALIZZARE DISPOSITIVI SENZA INTERFACCE O DISTRUTTI: LA “CHIP-OFF” FORENSICS -
di Nanni Bassetti (n.I_MMXIV)
La tecnica d’indagine forense c.d “chip-off” rappresenta l’estremo tentativo di recuperare dati ed informazioni da un dispositivo, quasi sempre di tipo mobile (come ad es. il telefono cellulare, il tablet, la pendrive, il navigatore satellitare, l’unità GPS, la game console, il registratore digitale, ecc..), soprattutto quando non vi è modo di connettersi a causa della mancanza d’interfacce o perché il dispositivo è quasi totalmente distrutto.
IL FUTURO DELLA DIGITAL FORENSICS -
di Nanni Bassetti (n.IV_MMXIII)
Nel futuro della Digital Forensics si cominciano a intravedere scure nubi, formate da ostacoli di non piccolo cabotaggio. Durante le vostre ricerche potrete imbattervi in alcuni di questi baubau della Digital Forensics, vere e proprie innovazioni tecnologiche e culturali, che potrebbero spazzar via tutto quello che finora si è cercato di consolidare.
GIUSTIZIA ED INFORMATICA FORENSE: PARTICOLARITÀ ED ECCEZIONI -
di Nanni Bassetti e Paolo Reale (n.III_MMXIII)
Il Consulente Tecnico esperto in Digital Forensics si imbatte in situazioni di natura paradossale durante le operazioni eseguite su disposizione dell’autorita’ giudiziaria in materia civile e penale. Vediamone alcuni aspetti, come la mancanza dei requisiti richiesti a ricoprire tale ruolo e le tariffe relative alla sua remunerazione.