Marco Mattiucci

INFORMATICA - FORENSIC LABs
(QUALITA' TOTALE)

Le attività di indagine scientifica forense si sono sviluppate per anni dentro laboratori universitari e di polizia per approdare poi prepotentemente sul mercato.

Luglio 2007

Premessa

Un laboratorio scientifico forense che operi nel settore informatico e/o telematico deve innanzitutto basarsi su degli standard internazionali universalmente accettati e sui dei principi di qualità totale che ormai sono ampiamente definiti dalle normative ISO. In particolare tale laboratorio deve occuparsi della rilevazione, recupero ed analisi di elementi di prova relativi a fatti specifici da sistemi digitali, il tutto a fini legali (penali o civili) coerentemente con quelli che sono i requisiti stabiliti dalla normativa ISO 17025 applicata ai laboratori scientifici forensi.

Data la particolare natura della materia informatica, i suoi tempi di evoluzione e la sua capillarità di diffusione, il laboratorio forense IT deve essere necessariamente in contatto con altri laboratori omologhi ed in particolare con quelli geograficamente più vicini in maniera tale da formare un valido network investigativo. Sono poi assolutamente indispensabili esercizi collaborativi che coinvolgano il citato network al fine di comparare i risultati delle indagini tecniche sia in base ai diversi tool impiegati che in relazione alle varie tipologie di indagini che con il tempo si presentano. Tutto ciò al fine di determinare con sempre maggiore precisione dei protocolli di indagine applicabili nella maggioranza dei casi, poco lasciando alla fantasia ed alla iniziativa personale dei tecnici la quale, invece, va fortemente impiegata alla presenza di nuove fattispecie di situazioni da indagare.

La preoccupazione principale del laboratorio forense IT deve essere quella di fornire il massimo delle garanzie, legali e tecniche, sulla bontà dei risultati, ricordando il pesante riflesso sulla vita delle persone che tali attività hanno comunemente.

Le attività di un laboratorio forense IT

Gli elementi di prova vengono normalmente estratti a partire dalle seguenti attività:

1. Recupero di informazioni da hard disk, floppy disk, CD, DVD, supporti USB e qualsiasi altra forma di memoria di massa magnetica, ottica o elettronica;

2. Recupero di informazioni strutturate (file, cartelle, settori, cluster, ecc.) dai differenti tipi di file system e di sistemi operativi atti a gestirli;

3. Riesumazione di file, cartelle o parti di file ed indici di nomi, date ed orari, ecc. da memorie di massa organizzare secondo un dato file system;

4. Ricerca di informazioni per stringa chiave, per tipologia di documento, per data/orario, per applicazione collegata, per appartenza e privilegio di gruppo, ecc.;

5. Recupero di informazioni dalle periferiche di computer (stampanti, lettori di nastri, hard disk removibili, ecc.) e da altre unità che possono fungere occasionalmente da periferiche (videocamere, macchine fotografiche digitali, lettori MP3, ecc.);

6. Stabilire i requisiti funzionali e lo scopo di sistemi elettronici digitali artigianali o ignoti (es. inneschi di esplosivi su base GSM, microspie, air-bag, ecc.);

7. Rilevare o ricostruire sequenze di eventi ed attori mediante le tracce presenti sulla macchina in esame (es. analisi dei log);

8. Recupero ed analisi delle informazioni presenti su sistemi "embedded" ossia costruiti ad-hoc e non general purpose come un personal computer (tipici i cellulari ed i PDA, smartphone, GPS, Fax, fotocopiatrici, ecc.);

9. Lettura ed eventuale decrittazione di file e flussi di comunicazione (cracking);

10. Lettura ed eventuale decrittazione di smart card o carte magnetiche (es. carte di credito, SIM, ecc.);

11. Estrazione di fotogrammi da un video digitale e miglioramento delle immagini (trattamento video e filtraggio digitale);

12. Ricostruzione delle scene del crimine in ambito virtuale;

13. Analisi dei sistemi di telecomunicazione;

14. Analisi dei sistemi biometrici di identificazione;

15. Estrazione, miglioramento e confronto di segnali audio (filtraggio digitale).

Il Personale di un laboratorio forense IT

I ruoli del personale di un laboratorio forense IT dovrebbero essere di base i seguenti anche se, ovviamente possono variare in base alle dimensioni della struttura:

1. Capo Sezione (Manager): autorità superiore della struttura e responsabile per il corretto svolgimento di tutte le attività di analisi forense basate sull'applicazione del manuale di qualità specifico. Talvolta può essere anche responsabile per l'interpretazione legale dei risultati tecnici oppure per la loro sintesi e spesso si occupa anche della gestione interna degli investimenti.

2. Responsabile per l'indagine (Supervisor): figura ibrida tra tecnico forense ed esperto legale che ha il compito di supervisionare tutte le analisi forensi che attengono uno stesso caso investigativo, raccoglierne i risultati, sintetizzarli ed interpretarli anche da un punto di vista legale per poi presentarli formalmente nel dibattimento processuale. Ovviamente tale figura è anche quella che detiene le chiavi delle relazioni con la magistratura, gli avvocati e le Forze di Polizia coinvolte.

3. Specialista tecnico (Senior specialist): tecnico forense di provata e lunga esperienza con il sufficiente e certificato background culturale che gli permette sia di svolgere le analisi forensi che di trascrivere una reportistica di natura squisitamente tecnica in stretta collaborazione con le eventuali richieste del responsabile per le indagini. Tale figura è spesso l'unico vero responsabile per la cruda azione tecnico-forense sui reperti, soprattutto quando il Capo Sezione ha competenza tecnica estremamente limitata nel settore.

4. Analista (Assistant): tecnico forense in grado di utilizzare specifici tool per svolgere determinate analisi al fine di coadiuvare l'attività dello specialista tecnico che rimane controllore e responsabile comunque per un certo insieme di analisi.

La Documentazione di un laboratorio forense IT

Un laboratorio forense che intenda crescere nelle sue attività tenendosi aggiornato e garantendo un alto livello di qualità deve riuscire a gestire almeno la seguente tipologia di documentazione:

1. I movimenti di materiali in ingresso ed uscita ivi inclusi i reperti da analizzare (vedere la pagina sulla catena di custodia);

2. Le comunicazioni formali (es. risultati, richieste, ecc.) interne al laboratorio e quelle da e verso l'esterno;

3. I fascicoli di indagine relativi a ciascun caso affrontato;

4. I report delle indagini tecniche ivi inclusi tutte le versioni (gestione del versioning);

5. Tracciamento di costi ed entrate per aree di gestione.

6. Inventario degli strumenti tecnici impiegati, del loro testing, del loro impiego, ecc.;

7. Gestione della qualità (manuale di qualità) e degli standard operativi;

8. Testi interni o esterni al laboratorio per la gestione del training e del testing periodico del personale.

marcomattiucci.it

• Home

Informatica:

• Home(Informatica)

Digital Forensics - articoli:

• Home(DF-articoli)
• Smartphones(pdf-2009)
• TomTom(pdf-2009)
• Repertare(pdf-2011)
• Profiling(pdf-2011)
• TesiHighTech(pdf-2011)
• MD5collision(pdf-2007)
• Steganografia(pdf-2007)
• Crittografia(pdf-2008)

Digital forensics:

• Home(DF)
• Domande comuni...
• Principi generali
• Repertamento su Scena
• Computer Forensics
• Mobile Forensics
• Network Forensics
• Cloud Forensics
• Cloud Challenges
• Database Forensics
• Electronic Forensics
• Payment Cards
• RAM Forensics
• Live Digital Forensics
• Distributed DF
• Cybercrime
• Captatore - 12 punti
• Fisica delle prove digitali
• Logica delle prove digitali
• Dati e Informazioni
• Caso dei 2 Tool
• Persistenza dei dati
• Anti-Forensics
• Volatilità dei dati
• La Legge 48/2008
• Plug Computer
• Hash MD5
• Hash & Similarity
• Write Blockers
• Comando dd
• Catena di Custodia
• Qualità totale
• Presentazione fonti