La Digital Forensics è la disciplina scientifica che serve per identificare, acquisire ed analizzare una prova digitale preservandola da eventuali alterazioni.

Quando si pensa alle perizie informatiche, si associano spesso a reati informatici, infatti ogni reato oggi ha a che fare con i dispositivi digitali i cosiddetti CyberCrimes:

- le truffe su internet

- il phishing

- il falso in bilancio

- gli omicidi

- la pedopornografia

- il terrorismo.

Non bisogna credere che la perizia su un computer o su una sim card vada compiuta solo a seguito di un crimine “prettamente” informatico, perché nel momento in cui qualcuno commette un reato, c’è l’alta probabilità che abbia pianificato, ricercato, scritto e conservato qualcosa su una memoria digitale, sia esso un hard disk, dei DVD o CD-ROM.

Normalmente si cerca di comprendere la verità con i sistemi classici, con l’analisi di carte , fascicoli e testimonianze (a volte inattendibili), quando magari si potrebbe risparmiare tempo ed avere prove compromettenti individuando un documento elettronico in cui l’indagato pianificava,ad esempio, l’omicidio della moglie.

È compito degli investigatori del futuro adottare un protocollo comune di custodia ed analisi dei dati, per evitare che le prove non vengano alterate, conservando le informazioni indispensabili per l’indagine investigativa.

Esistono due software con distribuzioni Linux legate alla

Computer Forensics:

-CAINE (Computer Aided INvestigative Environment) offre un ambiente completo ed organizzato con tutti i programmi necessari per aiutare le attività investigative. Ha una interfaccia gradevole e funziona come live-cd cosi da non intaccare minimamente il sistema su cui gira.

- HELIX, ottimo per la indipendenza da Windows e senza possibilità che i dati rilevati possano venire “inquinati”, in quanto non necessita di installazione,  si avvia direttamente da Cd e dispone di molti strumenti dedicati, anche se non facili da usare, alla computer forensics.

La Digital Forensics si snoda attraverso quattro fasi

principali:

1) Identificazione 2) Acquisizione3) Analisi e valutazione4) Rapporto

Identificazione

Lo sheet “Grissom Analyzer” raccoglie 4 strumenti destinati all’identificazione da svolgersi sulla macchina, i dispositivi o l’immagine da analizzare. Questi tool ci mostrano le caratteristiche delle partizioni, dell’immagine e del file system. È inoltre presente LRRP che consente di raccogliere informazioni sulle caratteristiche del dispositivo e sulla configurazione hardware della macchina sospetta. LRRP registra se i dispositivi oggetto di analisi sono montati e nel caso in quale modalità.

Acquisizione

Lo sheet “Acquisizione” palesa immediatamente la funzione dei tools che raccoglie! Attraverso questo pannello è possibile procedere all’acquisizione dell’immagine del dispositivo sorgente utilizzando il noto strumento AIR (Automated Image Restore) oppure avviare il terminale per utilizzare i classici tool di duplicazione.

Analisi e valutazioneLo sheet “Analisi” raccoglie i tools più classici della disciplina,

quali Autopsy, Foremost, Scalpel, Stegdetect e OphCrack. Cliccando il tasto corrispondente ad Autopsy viene automaticamente avviato Firefox, con impostato il corretto indirizzo locale, mentre scegliendo Foremost e Scalpel si ha la possibilità di scegliere o editare i file di configurazione per il carving. Sono inoltre presenti SFDumper per il recupero selettivo dei file e FUndl (File Undelete), per il recupero dei soli file cancellati.

RapportoLo sheet “Rapporto” consente di aggiungere proprie note

utilizzando la funzione “Rapporto personale” e di creare il rapporto in formato RTF o HTML. Attraverso il pulsante “Cartella Report” sarà possibile accedere al file di log e rapporto generato.

Vi ringraziamo per l’attenzione

Luca BasiliWalter Falistocco

Daniele Branchesi