INFORMATICA - DISTRIBUTED DIGITAL FORENSICS

Talvolta non è vero che mancano le informazioni, se ne hanno troppe, generalmente scollegate tra loro ed apparentemente inutili. A questo si aggiunge che il tecnico del digital forensics raramente è dentro l'indagine reale al punto di poter filtrare correttamente il mare di dati digitali che estrae dai reperti high tech...

Aprile 2008

Premessa

Un'organizzazione atta ad operare nel digital forensics è normalmente organizzata in sezioni o aree di specializzazione in quanto all'estrema diversificazione dei sistemi digitali che possono potenzialmente divenire un target investigativo.

Ne consegue un’estrema diversificazione anche nei dati (digitali) che ci si trova ad analizzare, ciò in relazione alla loro:

(a) reperibilità: a seconda del sistema digitale in studio e dell'ambito specifico di indagine possono essere impiegati diversi meccanismi e strategie di ricerca;

(b) struttura: spesso l'interpretazione dei dati a disposizione durante le analisi cambia in funzione del contesto investigativo e del caso in studio;

(c) dimensione: la quantità dei dati impone differenti metodi di approccio al problema della ricerca delle informazioni utili;

(d) correlabilità: per quanto possa essere difficile trovare dei dati utili alle indagini ed al dibattimento risulta ancora più difficile poterli correlare tra loro, soprattutto se non danno palese dimostrazione di essere legati a fatti illegali;

(e) impiego: software personalizzati o sviluppati ad-hoc possono impiegare i dati rilevati rendondo così difficile la loro visualizzazione o semplice individuazione.

Ognuna di queste problematiche è sicuramente molto rilevante dal punto di vista pratico nella gestione di un laboratorio nel settore ma quello di gestione delle grandi masse di dati attualmente disponibili a livello investigativo è in assoluto il più pressante.

Problema

Diverse grandi strutture dedite al digital forensics nel mondo hanno implementato un meccanismo operativo basato sul dividere le fasi di indagine (es. estrazione dati, filtraggio informazioni, gestione problemi hardware, primo approccio alla scena del crimine high tech, ecc.).

Tale meccanismo, per quanto efficace nel trattare grandi quantità di analisi forensi risulta generalmente deficitario dal punto di vista dell'integrazione delle informazioni e della loro correlazione investigativa.

Il tecnico ultra specializzato è infatti efficacissimo nell'estrazione dei dati ma ha seri problemi nel selezionarli quando sono in grande quantità e variegati (ossia nella maggioranza dei casi investigativi). Pensare di applicare meccanismi automatici di filtraggio senza una precisa strategia investigativa è un errore colossale che può determinare delle sviste incredibili.

L'investigatore classico, dall'altra parte, tratta l'informatica criminale ed il digital forensics come una branca scientifica lontana ed irraggiungibile, forse troppo tecnica per essergli realmente di aiuto nelle indagini.

In realtà, è solo dalla fondamentale interazione tra il laboratorio forense, depositario del metodo e degli strumenti tecnico/legali per accedere correttamente ai sistemi digitali ed i vari organi investigativi, che possiedono le necessarie informazioni ausiliare (esterne ai sistemi digitali in analisi) ad essere in grado di guidare efficacemente l’information retrieval & correlation.

Al contrario, qualsiasi altra via porta a enormi ritardi, incomprensioni ed errori palesi, a meno che non si tratti di sistemi digitali di portata molto limitata.

Il problema, in definitiva, è come far interagire parti distanti culturalmente e spesso anche fisicamente nei vari passi dell'indagine tecnica digitale.

L'indagine tecnica in distribuito

Si deve avere a disposizione un protocollo di alto livello che:

(a) consenta l'interazione tra investigatore classico e consulente tecnico o struttura scientifico-forense e guidi le indagini forensi su sistemi digitali in un ambito delocalizzato geograficamente;

(b) consenta di trattare qualsiasi tipo di reperto digitale data l'importanza di associare informazioni provenienti ad esempio da palmtop/cellulari a quelle estraibili da PC ed hard disk o memorie removibili.

Si possono quindi individuare due necessità: una di natura prettamente tecnica di "astrazione" nel trattamento dei reperti digitali ed un'altra di workflow management tra elementi di strutture private e/o governative differenti.

Metodi di "astrazione" sui reperti

Lo "strano" termine "astrazione" indica che deve essere possibile impiegare una struttura di gestione dei dati (una sorta di contenitore) che sia utile a contenere e gestire la maggioranza dei cloni dei dati presenti nelle varie tipologie di reperti digitali che possono presentarsi su una scena del crimine.

In letteratura sono presenti alcuni studi in proposito, ad esempio in [58, 59] viene proposto un modello di dati che risponde a tale esigenza detto Digital Evidence Bag (DEB). Essi, tipicamente ad oggetti, dispongono di attributi descrittivi che possono permettere di astrarre la tipologia di reperto collegando in automatico, all'immagine dati dello stesso, dei metodi di estrazione, ricerca, visualizzazione, ecc.

Un altro modello è il Common Digital Evidence Storage Format (CDESF), di natura open source, il cui scopo è realizzare un formato dati atto a memorizzare dati clonati da reperti digitali diversi con annessi metadata di eterogenea natura. Ad esempio si può pensare si integrare in un unico contenitore l'immagine bitstream di un hard disk removibile, una sua foto digitale, la descrizione di luogo e caso investigativo con annesse annotazioni degli investigatori, ecc.

Workflow management investigativo

La comunicazione basata su "botta e risposta" mediante comune messaggistica non è compatibile con i tempi e le necessità esplicative che si hanno in ambito investigativo.

L'interazione deve spostarsi su un ambito distribuito multi-utente in cui ci sia la possibilità, per utenti con competenze diverse, di interagire nell'analisi di uno stesso oggetto o di una serie di oggetti (i reperti digitali). Questo in maniera sicura sia rispetto alle ingerenze di esterni al processo di indagine che rispetto alla possibilità, dei vari utenti concorrenti abilitati, di alterare l'oggetto dello studio.

In definitiva, gli investigatori ed i consulenti di diverse specialità del digital forensics devono poter osservare i reperti, effettuare le tipiche operazioni di analisi e collaborare soprattutto nelle decisioni di filtraggio ed individuazione delle informazioni nonchè nel reporting che, in automatico, verrebbe formulato a più mani.

Il supporto a questo tipo di attività è sostanzialmente un software di rete che permetta di interagire virtualmente sui reperti digitali [60] (e/o sulle loro immagini dati) con la possibilità (limitata in base a privilegi e politiche di gestione delle attività) di verificare o assistere parzialmente o totalmente alle operazioni degli altri utenti.

Conclusioni

Alcune grandi organizzazioni nel settore del digital forensics hanno già tentato di implementare quanto descritto teoricamente in questa pagina. A prescindere dalla validità o meno di tali singole implementazioni la direzione di studio sembra inevitabile per il prossimo futuro. A meno di non voler rimanere bloccati dall'eccessiva disponibilità di dati e dalla loro dispersione è necessario realizzare un approccio alla investigazione tecnica distribuita. Sfortunatamente, esistono diversi lati critici da considerare quali la necessità di determinare regole e protocolli di interazione (nel sistema distribuito) estremamente validi e calati nella realtà legale in cui si opera pena la cecità rispetto a correlazione e ricerca delle informazioni complesse (costituite dalla composizione e/o elaborazione di dati estratti dalle immagini dati).

marcomattiucci.it

Informatica:

Digital Forensics - articoli:

Digital forensics: