Sicurezza e Giustizia

LE TECNICHE DI ANTI FORENSICS

di Fabio Massa

L’Anti-Forensics è l’insieme di strumenti, metodi e processi che ostacolano l’applicazione della Digital Forensics. Sebbene il termine non sia nuovo, non esiste una chiara definizione di queste tecniche, tuttavia lo scopo finale rimane quello di influire negativamente sulla esistenza, quantità e/o qualità delle prove nella scena del crimine digitale, con la conseguenza di rendere impossibile o complesso condurre le indagini. Conoscere l’Anti-Forensics, o non far finta che non esista, consente di affrontare le nuove sfide offerte dalla tecnologia per sviluppare opportune metodologie di identificazione e di analisi digitale adeguate a tutte le situazioni.


 

1.     Introduzione

L’applicazione delle tecniche di Anti-Forensics spesso ricorre in tipologie di reati comuni quali l’accesso abusivo a sistema informatico, per occultare e disperdere le tracce che potrebbero ricondurre all’attaccante, ma anche in attività criminali di rilevante importanza di sicurezza nazionale. Non è raro riscontrare attività di anti forensics nei casi di hacking, terrorismo o campagne di infezione di ransomware, tecniche di spoofing ecc. capaci di rallentare o addirittura impedire il processo di indagine digitale mirato alla produzione delle prove.

Nonostante l’importanza che tali tecniche presentano in ambito investigativo, non esiste una soddisfacente ricerca scientifico- accademica strettamente proporzionale invece a quella presente per la digital forensics. Attualmente non esiste ancora una esatta esplicitazione delle tecniche di anti-forensics, infatti la conoscenza e i campi di applicazione di esse è fornita principalmente dalle esperienze degli investigatori e degli analisti, che spesso si confrontano con casistiche di questa natura. Tuttavia, è opportuno considerare che molte tecniche crittografiche o di wiping (cancellazione sicura), raramente incluse nella definizione “anti-forensics”, vengono impiegate sia in ambito di tutela dei dati personali o aziendali, sia per scopi criminali. Proprio la crittografia, tra le tecniche di anti-forensics, considerata la sua genesi, spesso non viene etichettata nella letteratura come strumento di anti-forensics, alterando la percezione della reale quantità di strumenti disponibili.

La comunità forense, in aderenza con i forensics examiner delle forze di polizia italiane, ha discusso a lungo in merito alle potenziali implicazioni delle tecniche di anti-forensics sulle indagini, in particolar modo sulle tecniche di offuscamento dei dati e sulla crittografia, considerata la bestia nera della Forensics. Difatti molte discussioni e molte preoccupazioni sono spesso accentrate sul tema della crittografia, sostenendo che la crittografia totale o parziale di un supporto di memorizzazione o di una flash memory di un device mobile, è un problema sempre più attuale e crescente a tal punto da ritenere opportuno sviluppare e calibrare un nuovo approccio tattico di tipo tecnico-giuridico, in grado di gestire l’acquisizione di dati provenienti da sistemi live che utilizzano tecnologie di crittografia del disco, del device mobile o altre tecniche utili a garantire il recupero della pass phrase.

Tra i casi più recenti ed esemplificativi dell’utilizzo della crittografia come tecnica di anti forensics c’è il caso della strage di San Bernardino in California (USA), nella quale rimasero coinvolte 14 giovani vittime, e la conseguente controversia Apple vs FBI, dove lo smartphone Apple iPhone 5C, utilizzato da uno dei killer Syed Rizwan Farook, veniva rinvenuto protetto da una password di blocco a quattro cifre e da tecniche crittografiche built-in che impedivano l’accesso a tale dispositivo implementando il wiping in caso di molteplici tentativi di immissione di codici di sblocco, rallentando notevolmente il processo di acquisizione e analisi di tale dispositivo con un notevole dispendio di energie, risorse umane ed economiche, oltre che una controversia senza precedenti nelle aule di giustizia americane tra Apple ed FBI. Nel caso specifico, l’FBI tramite uno zero day è riuscita ad avere accesso al dispositivo senza ricorrere all’assistenza della Apple, evidenziando quanto sia effettivamente importante sensibilizzare ricercatori e professionisti su una più completa comprensione multidisciplinare sull’impatto delle tecniche di anti forensics nelle indagini digitali.

Di seguito verranno illustrate le più comuni e diffuse tecniche di anti- forensics spesso rilevate nei casi di indagine digitale. Tra le più comuni le tecniche di occultamento dei dati all’interno di un sistema operativo, tra le quali.

 

2.     Occultamento dei dati, offuscamento, crittografia, steganografia e spoofing
Le tecniche anti-forensics di occultamento e offuscamento dei dati sono molteplici e largamente utilizzate anche in ambito criminale. L’utilizzo di tali tecniche presentano il vantaggio di poter fruire dei dati nascosti quando vi è necessità. A prescindere dal sistema operativo utilizzato, è possibile nascondere in modo efficace i dati nel disco rigido, nel file system e/o nel sistema operativo. Nascondere i dati in queste aree è possibile a causa di alcune opzioni implementate durante la loro creazione utili a fornire una larga compatibilità con altri elaboratori. In alcuni casi è possibile sfruttare invece le proprietà di gestione dei dati nel file system/sistema operativo.

 

…continua su EDICOLeA 

 


Altri articoli di Fabio Massa

GPS FORENSICS
di Fabio Massa (N. IV_MMXVI)
Il 15 dicembre 2016 è entrata in funzione la rete GALILEO (in inglese GNSS - Global Navigation Satellite System) grazie ai primi 16 dei suoi complessivi 30 satelliti che saranno dispiegati entro la fine del 2019. La rete GALILEO è stata sviluppata in Europa come alternativa al Global Positioning System (NAVSTAR GPS), controllato dal Dipartimento della Difesa degli Stati Uniti. L’uso del Sistema di navigazione satellitare è estremamente diffuso nella società odierna in molteplici applicazioni: civili, militari e industriali. Le potenziali fonti di prova che può fornire questo Sistema sono i dati storici di localizzazione.
ANATOMIA DI UN ATTACCO RANSOMWARE
di Fabio Massa (N. II_MMXVI)
Come previsto in passato da numerosi esperti di sicurezza, oggi per la prima volta nel genere umano, un numero impressionante di persone sono sottoposte quotidianamente ad estorsioni digitali che prendono in ostaggio i dati, tramite ransomware e crittografia. L’uso dei personal computer e dei dispositivi digitali connessi alla rete, presenti oramai in tutte le attività quotidiane degli utenti, ha prodotto indirettamente un numero esponenziale di potenziali vittime di crimini informatici, amplificata dalle numerose campagne quotidiane di infezione. Ormai la già vasta gamma di ransomware è ulteriormente in crescita. La stragrande maggioranza di questi malware vengono generati per estorcere direttamente o indirettamente denaro alle vittime, a tal punto da essere considerati oggi una grave minaccia a livello globale.
MALWARE FORENSICS
di Fabio Massa (N. I_MMXVI)
L’analisi forense in casistiche da infezione da malware (malicious software) è estremamente frequente nell’ambito delle investigazioni digitali, in particolar modo per fornire risposte ed elementi probatori ad attacchi e/o incidenti informatici, accessi abusivi, spionaggio, furto di identità e ricatto. I malicious software costituiscono una grave minaccia per la sicurezza dei sistemi informatici. Spesso, nelle casistiche relative alle investigazioni digitali di sistemi infettati da malware è necessario ricorrere ad una attenta analisi per fornire risposte mirate su cosa è accaduto e quali elementi probatori della sua esistenza possono essere reperiti nel sistema, riferiti anche agli attacker e ai metodi di diffusione ed infezione.
L’ANALISI FORENSE DELLE EMAIL
di Fabio Massa (N. IV_MMXV)
Una email è composta da un header, un corpo messaggio, e in alcuni casi da un allegato, che generalmente contengono informazioni quali: mittente, destinatario, data e ora di invio e di ricezione, indirizzi IP del server di invio e di ricezione, e un ID messaggio univoco. In ambito forense queste informazioni hanno un valore probatorio molto importante, e possono essere recuperate tramite molteplici tecniche forensi da due categorie di applicazione di gestione della posta elettronica.
OSINT E CYBER INTELLIGENCE: TECNICHE DI INVESTIGAZIONE NELLA RETE
di Fabio Massa (N. III_MMXV)
OSINT, acronimo di Open Source Intelligence, è un processo di analisi di Intelligence delle Fonti Aperte. L’Open Source Intelligence è una disciplina strettamente collegata al mondo della Cyber Intelligence, e rappresenta la raccolta di notizie che devono essere trasformate in “conoscenza”, attraverso fasi di validazione, di conferma e di attribuibilità certa della cosiddetta fonte di diffusione. Vediamo una panoramica dei più diffusi tools gratuiti a disposizione sul web che possono essere utilizzati per l’OSINT.
MAC OSX FORENSIC ANALYSIS (II PARTE)
di Fabio Massa (n.II_MMXV)
Nel precedente numero: 1. Introduzione - 2. Tecniche di acquisizione ed analisi di un computer Macintosh - a) Avvio con CD DVD - b) Avvio Single User - c) Modalità Target Disk. In questo numero: 3. Machintosh file system - 4. La Radice UNIX - a) System tree - b) Local tree - c) User tree - d) Network tree - 5. Analisi Forense - a) Safari - b) Apple Mail - c) ichat - ) Keychains
MAC OSX FORENSIC ANALYSIS (I PARTE)
di Fabio Massa (n.I_MMXV)
In questo numero: 1. Introduzione - 2. Tecniche di acquisizione ed analisi di un computer Macintosh - a) Avvio con CD DVD - b) Avvio Single User - c) Modalità Target Disk. Nel prossimo numero: 3. Machintosh file system - 4. La Radice UNIX - a) System tree - b) Local tree - c) User tree - d) Network tree - 5. Analisi Forense - a) Safari - b) Apple Mail - c) Keychains.
DEEP WEB: INVESTIGAZIONI DIGITALI NEL LATO OSCURO DELLA RETE
di Fabio Massa
La peculiarità del deep web è l’elevato livello di anonimato favorito dall’utilizzo di particolari tecnologie, come Tor. Da una parte Tor garantisce un livello di anonimato che consente di trasferire in alta sicurezza i dati oppure di superare condizioni di censura presenti in alcuni paesi, dall’altra parte rappresenta il mezzo ideale per attività criminali. L’analisi forense dei client nei quali è stato installato “Tor Browser Bundle”, può aprire scenari investigativi interessanti, che smentiscono alcune certezze di anonimato garantite dai manutentori dello stesso progetto.
MICROSOFT WINDOWS 8 FORENSICS
di Fabio Massa
Windows 8 ha introdotto molte novità che riguardano particolarmente la connessione costante alla rete Internet. Ora che possiamo considerarlo ampiamente diffuso, anche se è già in procinto di essere presentata la nuova versione 9, descriviamo le principali novità introdotte da Windows 8 ai fini delle indagini forensi.
BITCOINS FORENSICS
di Fabio Massa ( n. II_MMXIV )
Bitcoin è una moneta elettronica creata nel 2009 da un anonimo conosciuto. La struttura peer-to-peer della rete Bitcoin e la mancanza di un ente centrale rende impossibile per qualunque autorità, governativa o meno, di bloccare la rete, sequestrare bitcoins ai legittimi possessori o di svalutarla creando nuova moneta. Al fenomeno è stato addirittura dedicato un evento alla Camera dei Deputati l’11 giugno 2014 dal titolo “Bitcoin in Italia: quali opportunità per le “monete matematiche” nel nostro paese?” nel quale si si sono messi in luce i rischi macroeconomici connessi ad una moneta a tendenza deflattiva. È stato poi annunciato il primo Bancomat Bitcoin italiano da oggi sul mercato, chiamato “Bit-Wallet”.
ANALISI FORENSE DI UNA SCHEDA SIM
di Fabio Massa ( n.IV_MMXI )
Una delle casistiche più frequenti in una analisi forense, in particolar modo nel caso di un telefono cellulare, è la possibilità di ricavare da una SIM (Subscriber Identity Module) informazioni che risultano essenziali in moltissime circostanze, ad es. per ricostruire un evento criminoso, in molte situazioni anche di tipo omicidiario.
FACEBOOK FORENSICS
di Fabio Massa ( n.IV_MMXIII )
Il social network Facebook®, con oltre un miliardo di utenti in tutto il mondo, ha acquisito il primato in qualità di mezzo di comunicazione digitale più famoso a livello globale. Una quantità impressionante di importanti informazioni personali e commerciali viene scambiata tra gli utenti quotidianamente, a tal punto da divenire anche un ottimo mezzo di acquisizione di fonti probatorie nel caso di indagini investigative criminali.
ANALISI FORENSE DEL PEER-TO-PEER: L’ESEMPIO DI EMULE
di Fabio Massa ( n.III_MMXIII )
L’analisi forense di eMule, e di software dedicati alla stessa tipologia di attività su network P2P, può generare numerosi elementi probatori fondamentali ed inequivocabili in sede di giudizio.
LA DIGITAL FORENSICS NEL CLOUD COMPUTING
di Fabio Massa ( n.II_MMXIII )
La digital forensics nel Cloud Computing è una nuova disciplina che studia il relativo crescente utilizzo di reti, computer e dispositivi di memorizzazione digitale impiegati in infrastrutture cloud, sfruttati per attività criminali hi tech e tradizionali.
Translate »