Per cominciare un’attività nel settore dell’informatica forense non è sufficiente acquistare un unico computer potente installando su di esso ogni genere di software perché bisogna tenere conto di molte esigenze, e spesso servono hardware e software molto specifici, che possano garantire una buona scalabilità e possibilità di upgrade future.
Cosa serve per costruire un laboratorio di analisi forense
La fase di acquisizione (realizzazione della copia forense) deve essere veloce, al fine di maneggiare e interagire il meno possibile con le evidenze, per preservarne inalterato lo stato.
La velocità nelle fasi di analisi è relativa, vogliamo che i software siano più rapidi possibili, ma ovviamente il tecnico dovrà prendere i suoi tempi per studiare e organizzare i risultati ottenuti, come in ogni circostanza serve quindi equilibrio.
La velocità nella fase di trasferimento o copia dati è essenziale, i dischi stanno crescendo ad un ritmo esorbitante. Ormai si parla di dischi da 8 TB senza problemi, è bene quindi lavorare al fine di trovare soluzioni per migliorare le performance in equilibrio con le proprie esigenze.
Può sembrare strano, ma spesso questa fase risulta decisamente insidiosa, infatti il tempo di copia viene fortemente influenzato non solo dalla dimensione dei dati, ma dal numero dei file da riversare, è quindi necessario utilizzare software in grado di gestire meglio questo passaggio.
Le funzioni di controllo
Molto importanti sono le funzioni di controllo, utili per verificare che i dati presenti sulla sorgente e sulla destinazione coincidano. Un software open source che svolge egregiamente questo tipo di operazioni è per esempio FastCopy.
In ambito informatico è comune, in caso di sistemi critici, avere apparati di ridondanza come ad esempio due o più coppie di dati mantenute sincronizzate in modo da garantire la continuità dell’esecuzione delle applicazioni anche in caso di danneggiamento del supporto contenente i dati stessi. Questo obiettivo si realizza con varie tecniche come per esempio le copie mirror o dischi in configurazione RAID 1, 5, e così via.
Nell’ambito dell’informatica forense è un concetto ancora più prioritario perché spesso gli accertamenti sono irripetibili, quindi è necessario fare almeno due copie dell’acquisizione in caso di guasti o malfunzionamenti dei dispositivi, a maggior ragione se si opera su sistemi live o su dispositivi sequestrati e soggetti a restituzione a brevissimo termine.
Riservatezza e sicurezza dei dati
La riservatezza e la sicurezza dei dati è molto importante, bisogna garantire il giusto grado di privacy ai committenti, a maggior ragione con l’entrata in vigore del GDPR, il nuovo regolamento europeo per la protezione dei dati. È opportuno che Il laboratorio del Digital Forensics Expert sia accessibile solamente al personale autorizzato, data la sensibilità dei dati e la delicatezza delle apparecchiature che contiene.
Altro aspetto da non trascurare è la protezione dei dati da attacchi esterni, bisogna necessariamente dotarsi di efficienti apparati di sicurezza in grado di evitare l’alterazione, la cancellazione e la diffusione delle informazioni, è preferibile utilizzare postazioni off line per l’analisi dei dati.
Strumenti e costi di un laboratorio di informatica forense
Gli strumenti hardware e software necessari per un’analisi forense esauriente e approfondita possono essere suddivisi in categorie relative ad ogni fase dell’investigazione, all’interno delle quali l’informatico forense dovrà essere in grado di cercare e trovare tutte le evidenze utili al caso.
Acquisizione forense di memorie di massa
Strumenti hardware e applicativi software in grado di effettuare copie forensi di dispositivi di archiviazione dati e dispositivi mobili.
L’utilizzo di duplicatori forensi, come ad esempio il Tableau TD2u o Logicube Falcon (costo medio che oscilla tra 1.500 e 3.000 euro in base alle prestazioni offerte e alle sempre più numerose funzionalità che offrono) è sempre la scelta consigliata, data la velocità e l’efficienza di utilizzo e la possibilità di effettuare diverse copie in parallelo.
È pero anche possibile operare tramite tool open source presenti nelle distribuzioni forensi Caine o Deft, o anche altri tool gratuiti di data preview e imaging come FTK Imager ovviamente rendendo il dispositivo da analizzare in sola lettura tramite write blocker hardware o software, uno dei più utilizzati è il Tableau Forensics Bridge T35es che ha un costo medio di circa 400 euro.
Acquisizione forense dispositivi mobili
Per il mondo della Mobile Forensics servono quasi necessariamente software a pagamento, in grado di estrapolare tramite estrazione fisica o del file system i dati contenuti nella memoria (sia presenti che cancellati non sovrascritti) sia nella memoria interna che nella eventuale memoria esterna.
La suite Cellebrite, e in particolare UFED 4PC è sicuramente il miglior strumento per effettuare questo tipo di lavorazioni.
Il costo del kit di acquisizione ed analisi Cellebrite si aggira intorno ai 10.000 euro, con una spesa annuale di ulteriori 3.400 dollari circa per licenza e aggiornamenti.
Cellebrite è sicuramente l’azienda leader del settore Mobile Forensics, fondata nel 1999 con sede in Israele ad oggi ha distribuito i suoi prodotti a forze dell’ordine e agenzie investigative in oltre 100 nazioni.
I suoi strumenti più usati in ambito forense, UFED Touch, UFED Touch2 e UFED 4PC per l’acquisizione accompagnati da UFED Physical Analyzer e UFED Reader per la fase di analisi, supportano oltre 20.000 dispositivi e offrono quindi la soluzione più completa attualmente sul mercato.
Acquisire le memorie installate sui droni
Una nuova funzione che è stata introdotta nelle ultime versioni è la possibilità di acquisire in maniera forense anche le memorie installate sui droni, dispositivi che sono diventati molto popolari e utilizzati anche in ambito lavorativo.
Rilevare la presenza di malware
Altra funzione interessante è la possibilità di ricercare all’interno della memoria del dispositivo acquisito la presenza di malware, virus o software spia.
Il tool Physical Analyzer è infatti in grado di confrontare quanto acquisito con un proprio database di firme costantemente aggiornato. È possibile inoltre effettuare la ricostruzione delle immagini su tutte le partizioni estrapolate, recuperando quindi un maggior numero di file anche se parziali e incompleti. Le acquisizioni generate tramite lo strumento UFED 4PC è possibile importarle anche in software di analisi completamente differenti, come ad esempio PhoneLog, un programma che è stato sviluppato per effettuare elaborazione e analisi di tabulati telefonici e correlazione con altre fonti di dati.
Si rivelano spesso utili e possono essere con alcune limitazioni un’alternativa ai tool per il mondo Mobile all’offerta Cellebrite, nella fase di acquisizione e analisi, anche altri programmi come Oxygen Passware Kit Mobile e Magnet IEF o Axiom che offrono prestazioni adeguate a prezzi più contenuti.
Sistemi di hacking/cracking
Software utili quando vi sono protezioni in particolar modo a livello di file, come password che impediscono l’apertura di documenti o sistemi di crittografia. In questo caso si utilizzano attacchi a dizionario o forza bruta.
Per il mondo mobile, in alcuni casi, tramite l’estrazione fisica della memoria è possibile recuperare la password di sblocco, mentre nel caso di backup del mondo Apple e Android esistono software che permettono di effettuare attacchi estremamente complessi, anche concatenando diverse tecniche.
Queste tipologie di software sono in grado di sfruttare, ad esempio, la capacità computazionale dei Pc connessi alla stessa rete interna permettendo il test di un numero maggiore di password al secondo.
Sistemi di data e file recovery
Effettuando questo lavoro occorre spesso analizzare anche ciò che non è visibile con una prima analisi. Tornano quindi estremamente utili tutti quei programmi per il recupero dati sia da dispositivi di archiviazione dati che da dispositivi mobile. iRecover, R-Studio, 7-Data Recovery, Photorec, Recuva, Magnet IEF sono solamente alcuni esempi di software gratuiti e a pagamento in grado di recuperare dati cancellati.
Spesso non sono neppure sufficienti, nel caso di guasti fisici occorre effettuare operazioni di cambio parti danneggiate o chip-off, lavorazioni estremamente delicate e complesse, che spesso offrono risultati indispensabili ai fini dell’indagine.
Il miglior strumento ad oggi disponibile per il recovery da hard disk danneggiati è la suite AceLaboratory PC3000, molto complessa da utilizzare offre al tecnico specializzato tutti gli elementi utili per risolvere la maggior parte dei problemi che affliggono i dischi fissi.
Sistemi di file analysis
All’interno di questa categoria vi sono tutti i programmi che vengono utilizzati per analizzare i singoli file. Si parte quindi dai visualizzatori di file, per passare ai programmi che verificano l’adesione tra dati e metadati, a quelli che verificano che non siano presenti contenuti nascosti, ai correlatori di log e molti altri.
A questa categoria appartengono anche gli editor esadecimali per l’analisi a basso livello.
Quelle descritte precedentemente sono le categorie di software indispensabili all’interno di uno Studio/Laboratorio di Informatica Forense degno del proprio nome.
Se però si vuole essere impeccabili sotto ogni aspetto bisogna attrezzarsi con programmi molto complessi, ma utili che assistono il tecnico durante tutta la lavorazione, partendo dall’acquisizione, passando da data e file recovery fino alla fase di reportistica, assolutamente da non sottovalutare, perché è essenziale offrire a persone non del campo un documento chiaro e semplice da consultare e capire, la Relazione o Perizia Tecnica.
Un esempio è dato dai software Access Data FTK e Magnet Axiom, che incarna tutte le funzioni sopra descritte.
Ad esempio Magnet Axiom è un software che permette di analizzare ed estrapolare informazioni da copie forensi di dispositivi di memoria e smartphone.
Permette di esaminare il file system, i registri di sistema e scava in profondità per estrarre il maggior numero di evidenze possibili.
Axiom oltre ad estrarre file di ogni tipo concentra la sua analisi su applicazioni Internet (cronologia cache e browser, conversazioni Skype, Facebook, Viber, Whatsapp e i principali servizi di messaggistica istantanea).
Contemporaneamente all’analisi il programma suddivide e categorizza tutti i contenuti in base alle estensioni, ad esempio file audio in formato .mp3, file Word in formato .doc e via discorrendo. Altre funzionalità interessanti sono la segnalazione di siti pornografici e malevoli e la rilevazione all’interno del dispositivo di memoria di backup Apple o Android.
È quindi un software completo, in grado di offrire ottime performance sia su dispositivi di memoria che su dispositivi mobili.
Offre la possibilità di generare rapporti in diversi formati oppure di creare un portable case molto comodo da visualizzare.
I software Open Source
Una menzione speciale va fatta per i software Open Source che giocano un ruolo importante. Spesso sono all’avanguardia perché caratterizzati da uno sviluppo costante della community, vengono migliorati ed aggiornati, dando la possibilità ai singoli utenti di sviluppare i propri tools. Purtroppo sono dotati di non molta documentazione e nella maggior parte dei casi sono utilizzabili solamente da utenti piuttosto esperti.
CAINE, DEFT e Parrot Security sono tre esempi di distribuzioni GNU/Linux Live di software libero basate su Ubuntu.
Offrono un ambiente user friendly nel quale vengono integrati tutti i software utili all’investigatore digitale durante tutte le fasi dell’indagine. Sia Caine che Deft, hanno anche un Windows Side, che rappresenta una buona alternativa come strumenti di acquisizione dati su sistemi live.
In conclusione esistono diversi approcci per costruire un buon laboratorio di informatica forense, si può puntare tutto sui software open source, su quelli a pagamento o aderire ad un approccio bilanciato fra efficienza e costi.
Essenziale è rispettare alcune regole di base, che ogni tecnico e di conseguenza il relativo Studio/ Laboratorio deve applicare in questa disciplina, ovvero velocità, ridondanza, sicurezza e riservatezza, senza i quali si potrebbe andare incontro a gravi mancanze e perfino pregiudicare un intero lavoro.
Informatico forense, la guida: chi è, che fa e come diventarlo
