Procedura operativa nel Digital Forensics
Dicembre 2009
Cosa attiva le procedure del Digital Forensics? e come si sviluppano?
Si parte da un evento che coinvolge sistemi digitali (personal computer, reti, cellulari, palmtop, carte di credito, ecc.) e che si possa collegare ad una qualche forma di violazione di sistemi critici o di regolamenti o di leggi civili e penali. Alcuni esempi: la rilevazione di un attacco informatico, una denuncia penale, l'individuazione di un reato, lo svolgimento di un'attività investigativa, ecc.
Si definisce, allora, la scena del crimine (digitale) che può essere indistintamente uno spazio fisico, uno spazio di memoria o un ambiente virtuale. In essa la prima necessità è definire una priorità nel repertamento, ossia nella raccolta strutturata di quei reperti che potranno, a seguito di analisi, divenire possibili fonti di prova. La priorità è indispensabile sia per accelerare i tempi dell'indagine che per garantire i reperti:
(1) scegliendo di considerare alcuni reperti prima di altri potrebbe essere possibile addivenire prima alla soluzione del caso (si pensi alla classica chiavetta USB nelle tasche di un indagato, conviene sicuramente analizzarla prima degli HD del suo PC);
(2) alcuni reperti, posti in seconda priorità, potrebbero danneggiarsi (altro classico esempio è il contenuto della RAM di un PC, essa non può essere analizzata dopo le memorie di massa perchè agire su quest'ultime determina sempre alterazioni se non perdita dei contenuti della prima).
Segue quindi la valutazione dei rischi ancora sussistenti e la necessità di operare secondo urgenza per certe direzioni. Ad esempio se la scena del crimine è l'istanza di un data base Oracle che lavora 24h in ambito distribuito, la realizzazione delle giuste query e/o l'archiviazione della parte di record di interesse per l'indagine potrebbe richiedere prelazione assoluta a seguito del continuo ed altissimo rischio di modifica dei dati in studio.
A questo punto si possono applicare i protocolli di primo intervento che per qualsiasi organizzazione impegnata nel digital forensics rappresentano dei documenti base dai quali non si può prescindere (sia che si parli di Forze di Polizia e quindi di reati che di ditte e quindi anche di sicurezza e violazioni interne).
Parzialmente già nei protocolli di primo intervento entrano in gioco le 4 fasi standard del digital forensics e quindi: (1) identificazione e prelievo, (2) preservazione e archiviazione, (3) analisi tecnica ed investigativa, (4) reporting tecnico e legale. Di queste fasi si parlerà più in dettaglio nelle prossime slide con esercitazioni annesse.
Gli ultimi due passi indicati nella slide e quindi la testimonianza in dibattimento ed il colloquio con i responsabili del sistema di sicurezza della ditta, riguardano separatamente i due casi di individuazione di un reato o di una violazione interna (amministrativa) ad un ente privato.
Per quanto poco tecnici questi due passi sono determinanti proprio perchè normalmente il personale incaricato di prendere decisioni, con cui il tecnico forense interagisce, non è tecnico informatico. Si pensi a magistrati, avvocati, alti dirigenti aziendali, ecc.. Come si vedrà nella slide sul reporting è quindi importante realizzare una descrizione dei fatti che risulti fruibile ma non per questo priva di dettagli tecnici.
Ref. “Digital Evidence & Computer Crime” 2° Edition - E.Casey – Elsevier Academic Press – 2004
Passi della procedura :
- Incidente informatico, denuncia, reato
- Priorità del repertamento sulla scena
- Valutazione dei pericoli ancora sussistenti
- Applicazione del Protocollo di primo intervento
- Identificazione e prelievo dei reperti
- Preservazione/Archiviazione dei reperti
- Analisi tecnico/investigativa
- Relazione Tecnica (reporting)
- PRESENTAZIONE DEI RISULTATI:
- Testimonianza in dibattimento (reato)
- Colloquio con il direttivo (violazioni)