Pillole di Computer Forensics: le basi
Con computer forensic si identificano tutte quelle attivita' effettuate su un sistema informatico con lo scopo di individuare, estrarre, analizzare, conservare e documentare le prove relative a un determinato atto (solitamente con scopi criminosi) intrapreso sul sistema stesso.
Un'attivita' del genere richiede l'osservanza di procedure chiare e ben definite, e di aggiornamenti costanti: il mondo dell'informatica e' in continua evoluzione e chi si occupa di c.f. deve obbligatoriamente essere al passo con i tempi.
A fronte di un'analisi forense, si possono dover affrontare due opposte situazioni:
- Il sistema da analizzare e' stato il mezzo utilizzato per compiere l'azione criminosa
- Il sistema stesso e' stato vittima di un crimine.
In entrambi i casi, i passi fondamentali da seguire per effettuare una corretta analisi (ognuno di questi passi sara' trattato approfonditamente in un articolo dedicato) sono i medesimi:
- Le prove devono essere acquisite senza alterare in nessun modo i dati originali.La mia procedura standard e' quella di spegnere la macchina da analizzare (anche brutalmente: le procedure di shutdown possono compromettere dati importanti), avviarla poi con un S.O. alternativo, da CD o drive USB (utilizzo una normalissima distro Live) e effettuare via rete o se possibile su un disco USB un'immagine dei dischi da analizzare. tale immagine sara' per prima cosa verificata sia con MD5 che con SHA1, e gli hash ottenuti annotati sul verbale di acquisizione.
- L'analisi dei dati raccolti deve essere effettuata senza modificare i dati stessi:Partendo dall'immagine effettuata prima, verranno create n copie da utilizzare durante l'analisi.
- E' necessario autenticare le prove e certificare che siano identiche al dato analizzato in origine:Le copie andranno verificate con MD5 e SHA1, e gli hash confrontati con quelli dell'originale, per avere la certezza che la copia sia fedele.