Il Digital Forensics
Molte altre domande sul digital forensics...
Il Digital Forensics è un campo fortemente emergente tra le Forze di Polizia, i Militari, i Servizi Segreti e qualsiasi organizzazione pubblica o privata che si trova a gestire sistemi di comunicazione high tech al suo interno. Il DF raccoglie sempre crescenti fette di mercato ed il business che si sta creando attorno ad esso lo rende appetibile a studi di alto livello sia in campo universitario che privato.
Si può lasciare l'indirizzo email di seguito per ricevere aggiornamenti:
La frontiera del Digital Forensics
"In pochi anni questa neo-scienza si è ampliata e viene definendosi lentamente ma inesorabilmente attraverso centinaia di pubblicazioni e lavori scientifici di pregio. Proseguendo su questo cammino si sono aperti diversi ed importanti filoni di ricerca, vediamone i principali..."
Dicembre 2009
Premessa
Finalmente, dopo alcuni anni e l'inarrestabile diffusione di dispositivi high tech, si è capito anche in Italia che il digital forensics non si occupa solo di crimini informatici ma estende la sua influenza praticamente a qualsiasi reato (si pensi all'influenza dei telefoni cellulari sulle indagini di polizia giudiziaria).
Le cause civili, quelle penali e le indagini interne delle aziende fanno sempre più ricorso alle tecniche di digital forensics, o meglio, devono forzatamente impiegarle per sperare di ottenere risultati validi.
Quest'ondata di importanza basilare che sta avvolgendo il digital forensics ha fatto sì che si determinassero una notevole quantità di gruppi di lavoro scientifici e di polizia, in tutto il mondo, orientati a determinare nuovi tool e standard operativi, nonchè a risolvere i problemi di frontiera (di cui si parla più avanti in questa pagina).
Il Digital Forensic Research Workshop (DFRWS), lo European Network of Forensic Science Institute - Forensic Information Technology Workgroup (ENFSI-FITWG), lo Scientific Working Group on Digital Evidence (SWGDE), il National Institute of Standards and Technology - Computer Forensic Tool Testing (NIST-CFTT), il USA Department of Defense - Cyber Crime Center (DoD), ecc. sono tra i principali enti che hanno lavorato innanzitutto nella definizione della materia (fatto non scontato e nemmeno semplice) e poi nel trovare strumenti e metodi validi e soprattutto testati per il digital forensics.
Purtroppo, nonostante tutto il lavoro svolto, il digital forensics ha risentito del fatto di essere una scienza d'emergenza come la maggioranza delle scienze forensi, ossia una scienza che è orientata di più alle soluzioni di problemi contingenti che ad una visione ampia del fenomeno che studia. L'esempio classico è ovviamente il fatto che la maggior parte delle indagini tecniche si svolge in ambiente Win per cui la quasi maggioranza degli specialisti di digital forensics è molto preparata in tale ambiente operativo e scarsamente su MacOS, Linux, ecc., e su file system come ZFS, ReiserFS, ecc.
Oltretutto il digital forensics si è dimostrata una scienza bizzarra perchè racchiude in un solo settore aspetti psicologici, legali, informatici, sociologici, investigativi determinando una scatola di contenuti che la ricerca può orientare in qualsiasi direzione. Il risultato è stato che molti progetti di ricerca nel digital forensics oltre a non avere fondamento pratico non sono risultati di nessuna utilità per la comunità nel settore (addirittura talvolta sono stati fuorvianti).
La frontiera per la ricerca
Si può fare riferimento a [64] e vedere che la ricerca nel digital forensics ha 4 settori principali in cui svilupparsi:
(1) Il trattamento di grandi volumi di dati a scopo decisionale;
Nelle indagini tecniche i dati sono fortemente eterogenei, quelli che interessano veramente sono in genere molto pochi e devono essere acquisiti sempre più in maniera selettiva. Il concetto di preview sui dati da repertare è ormai un obbligo altrimenti ci si perde in procedure di mesi. Una copia selettiva (in Italia indicata anche dalla L. 48/2008 e fortemente "consigliata" dalla privacy) dei dati è indispensabile. come selezionare, quindi, in breve tempo, tra un enorme ammontare di dati, quelli utili?
Un tale task difficilmente potrà essere alla portata semplicemente del tecnico ma neanche può essere totalmente delegato ad un tool (pena la possibilità di perdere evidenti fonti di prova).
Bisogna realizzare qualcosa che assomigli a dei DSS (Decision Support System) che supportino l'invetigatore forense nella sua attività, principalmente sulla scena del crimine. Tecniche di data mining e data warehousing dovranno essere estese al digital forensics in maniera, però, da ottenere sistemi altamente performanti e magari portabili.
(2) L'analisi e l'interpretazione automatica (intelligente?) dei dati;
Ricercare e correlare informazioni sono le due attività tipiche dell'analisi nel digital forensics. Sono peraltro tediose, pesanti e richiedono, nello specialista, un certo acume. Bisogna che i tool di supporto alle analisi forensi delle informazioni inizino ad includere strategie "intelligenti" per la ricerca e la correlazione dei dati, basate sulla semantica e non più solo sulla forma.
Lo stesso hashing va rivisto fortemente, dato il concetto di copia selettiva di cui al punto (1) e tecniche di intelligenza artificiale dovranno essere impiegate e loggate in maniera tale che si possa spiegare non solo quello che lo specialista è riuscito a determinare ma anche per quale motivo vi è arrivato (il processo logico deduttivo). Tale aspetto del perchè di arriva a trovare qualcosa e non solo del cosa si trova diverrà determinante in dibattimento (teoria delle indagini automatiche).
(3) Il trattamento di sistemi digitali non-standard;
Sistemi cellulari, GPS, PDA, dispositivi USB e dispositivi special purpose di varia natura e scopo dovranno essere acceduti per acquisirne le informazioni anche se memorizzate in maniera non standard dal punto di vista industriale. A questo dovrà fare seguito la ricostruzione della loro attività (o possibile attività). In questo divengono fondamentali le tecniche di virtualizzazione che dovranno essere sofisticate al punto di poter ricreare le più strane ed impreviste attività operative per tali sistemi.
(4) Lo sviluppo di nuovi tool
Tutti i risultati che si potranno trovare avanzando nei punti precedenti dovranno trovare sbocco nella realizzazione di nuovi tool il cui funzionamento possa essere certificato e perfettamente tracciato. Un filone determinante in questo senso è quello della creazione di forensic tool che possano essere built-in nei sistemi operativi.
---
Oltre a tali macro-settori esistono dei micro-settori tecnici che sono attualmente i nuovi target del digital forensics:
(a) Data decryption
(b) Database forensics (es. Oracle forensics)
(d) Metadata analysis
(e) Ditributed System Forensics (Cloud Computing)
(f) Testing plans for digital forensics tools
...
Conclusioni
Il digital forensics si dimostra ogni giorno di più una materia scientifica intrigante, che richiede grandi e variegate competenze tecnico/legali, ed il cui trend di crescita economico e tecnico è senza pari. In essa la ricerca scientifica può trovare sfogo in molte direzioni tra cui quella (da molti un po' dimenticata) dell'intelligenza artificiale sia simbolica (Data Mining) che numerica (neural networks).