Pillole di Computer Forensics: le basi



Con computer forensic si identificano tutte quelle attivita' effettuate su un sistema informatico con lo scopo di individuare, estrarre, analizzare, conservare e documentare le prove relative a un determinato atto (solitamente con scopi criminosi) intrapreso sul sistema stesso.

Un'attivita' del genere richiede l'osservanza di procedure chiare e ben definite, e di aggiornamenti costanti: il mondo dell'informatica e' in continua evoluzione e chi si occupa di c.f. deve obbligatoriamente essere al passo con i tempi.

A fronte di un'analisi forense, si possono dover affrontare due opposte situazioni:

  • Il sistema da analizzare e' stato il mezzo utilizzato per compiere l'azione criminosa
  • Il sistema stesso e' stato vittima di un crimine.

In entrambi i casi, i passi fondamentali da seguire per effettuare una corretta analisi (ognuno di questi passi sara' trattato approfonditamente in un articolo dedicato) sono i medesimi:

  • Le prove devono essere acquisite senza alterare in nessun modo i dati originali.La mia procedura standard e' quella di spegnere la macchina da analizzare (anche brutalmente: le procedure di shutdown possono compromettere dati importanti), avviarla poi con un S.O. alternativo, da CD o drive USB (utilizzo una normalissima distro Live) e effettuare via rete o se possibile su un disco USB un'immagine dei dischi da analizzare. tale immagine sara' per prima cosa verificata sia con MD5 che con SHA1, e gli hash ottenuti annotati sul verbale di acquisizione.
  • L'analisi dei dati raccolti deve essere effettuata senza modificare i dati stessi:
    Partendo dall'immagine effettuata prima, verranno create n copie da utilizzare durante l'analisi.
  • E' necessario autenticare le prove e certificare che siano identiche al dato analizzato in origine:
    Le copie andranno verificate con MD5 e SHA1, e gli hash confrontati con quelli dell'originale, per avere la certezza che la copia sia fedele.

Published: December 24 2005

  • category: