Informatica forense La Computer Forensics, o informatica forense, è la disciplina che si occupa dell’identificazione, della conservazione, dell’analisi e della documentazione dei reperti informatici al fine di presentare prove digitali valide in procedure civili e penali. Computer Forensics La Computer Forensics è la soluzione corretta per riuscire a prevenire il furto di dati, lo spionaggio industriale, l’accesso abusivo ai sistemi informatici aziendali, i danneggiamenti informatici e rispondere a tutte le potenziali controversie legali. passi che il digital forenser deve compiere prima di iniziare la sua investigazione: Individuazione: il primo e più importante passo è quello di identificare la prova informatica e la sua possibile posizione. Una prova digitale può essere infatti contenuta in diverse tipologie di supporti, come hard disk, media rimuovibili oppure un log file su un server. Trovare il dato informatico è una condizione necessaria per il digital forenser. passi che il digital forenser deve compiere prima di iniziare la sua investigazione: Conservazione: il digital forenser deve garantire il massimo impegno per conservare l'integrità della prova informatica. Il dato originale non deve essere modificato e danneggiato e quindi si procede realizzandone una copia (bit-a-bit), su cui il digital forenser compie l'analisi. Dopo aver effettuato la copia è necessario verificarne la consistenza rispetto al dato originale: per questo motivo si firmano digitalmente il dato originale e la copia, che devono coincidere. passi che il digital forenser deve compiere prima di iniziare la sua investigazione: Protezione: il dato originale deve essere protetto nella maniera più idonea a seconda del supporto su cui si trova. Le cause di alterazione di un supporto magnetico e di un supporto ottico, ad esempio, sono ben differenti. Si deve inoltre garantire una catena di custodia, ovvero un documento che dica quello che è stato fatto e quali persone fisiche hanno avuto accesso al dato originale e alle copie effettuate. passi che il digital forenser deve compiere prima di iniziare la sua investigazione: Estrazione: è il processo attraverso il quale il digital forenser, servendosi di diverse tecniche e della sua esperienza, trova la posizione del dato informatico ricercato e lo estrae. passi che il digital forenser deve compiere prima di iniziare la sua investigazione: Documentazione: l'intero lavoro del digital forenser deve essere costantemente documentato, a partire dall'inizio dell'investigazione fino al termine del processo. La documentazione prodotta comprende, oltre alla catena di custodia, un'analisi dei dati rinvenuti e del processo seguito. Un'accurata documentazione è di fondamentale importanza per minimizzare le obiezioni e spiegare come ripetere l'estrazione con un analogo processo sulla copia. IL Software: OSFORENSICS “ Investigatore informatico” OSForensics è un software davvero molto potente e ricco di funzionalità, che può essere utilizzato per estrarre da un qualunque PC tutta una serie di informazioni di particolare rilevanza, come password, email,dati sull’accesso e sull’utilizzo del sistema… è in grado persino di recuperare dati cancellati ed è avviabile da pendrive. Utilizzo del software: Installazione su USB portable Avviamo l’eseguibile OSForensics e scegliamo di utilizzare la versione free. Dal menù a sinistra scegliamo “Install to USB” Selezioniamo il driver e creiamo una nuova cartella al suo interno, diamole un nome. Scegliamo la versione Evalutation e Install Avviamo OSForensics.exe IN QUESTA GUIDA aprire un incartamento per le indagini Preparare l’hard disk da analizzare Risalire alle password celate in un sistema Ricercare le email, anche quelle cancellate Eseguire un’analisi dettagliata dei log File cancellati Create Case La prima operazione da compiere è quella di aprire un incartamento per le indagini, usando il gergo dei vecchi investigatori. Noi parliamo di informatica e cosi apriremo una cartella, nella quale andremo ad archiviare tutti i risultati delle nostre analisi. Create Case Nella schermata principale clicchiamo su Start e quindi sulla prima icona in alto: Create Case. Come tutte le cartelle documentali che si rispettino, anche per quella digitale servono alcune informazioni per archiviarla correttamente. Quindi, in Case name indichiamo un nome per il caso e quello dell’investigatore (Investigator), e lasciamo invariati i campi Tìmezone. Default Drive e Case folder. Con un clic su OK confermiamo le nostre scelte e proseguiamo. Preparare l’hard disk da analizzare: indicizziamo il contenuto del PC Dall’interfaccia principale di OSForensics selezioniamo Create Index, nella schermata che appare scegliamo i contenuti da indicizzare (esempio Emails, Foto, PDF e Zip) e next. Lasciamo attiva la voce Whole Drive per indicizzare tutto il contenuto dell’HardDisk. Clicchiamo su Advanced Options se vogliamo personalizzare. Next e in Index Title diamo un nome all’index. Clicchiamo Start indexing per avviare, la procedura durerà diversi minuti, a seconda delle dimensioni dell’Harddisk. Risalire alle password celate in un sistema Rechiamoci nel menù Passwords, noteremo diverse schede. La prima ci permette di fare una ricerca generica. Clicchiamo su Retrieve Password, aspettiamo un attimo che il programma effettui la ricerca per avere i risultati nella parte centrale della scheda. In pochi secondi ecco a nostra disposizione i siti visitati, lo username e la password utilizzata per accedervi, il browser utilizzato, eventuale posizionamento in blacklist, utente che ha effettuato l’accesso e il percorso. Ricercare le email, anche quelle cancellate 1) Spostiamoci ora su Search index e in Enter Search Words, scriviamo una parola chiave che potrebbe essere contenuta nelle email e in Index to Search indichiamo dove cercarla. Search per avviare l’operazione. Ricercare le email, anche quelle cancellate 2) Terminata la ricerca, i risultati verranno elencati nella schermata Search Index ordinati per tipologia. Spostiamoci nel tab Email. Avremo un’anteprima di quelle contenenti la parola chiave. Per leggerle selezioniamole col tasto destro e clicchiamo Open. Ricercare le email, anche quelle cancellate 3) Se non troviamo indizi spostiamoci nel tab Unallocated. Qui vengono elencati quegli elementi che in una ricerca normale non compoarirebbero perché cancellati o non più leggibili. Per leggerle selezioniamole col tasto destro e clicchiamo Open. Eseguire un’analisi dettagliata dei log 1) Spostiamoci in Recent Activity, impostiamo dei parametri di ricerca sia temporali, sia per i dischi su cui cercare, clicchiamo su Scan. Lasciando All nel menù Show only verranno elencate tutte le attività recenti: accessi a siti Web, chiavette inserite e ogni azione effettuata. Eseguire un’analisi dettagliata dei log 2) Se nel menù Show only selezioniamo la voce Browser History, ci vengono visualizzate le azioni compiute online. Siamo in grado di vedere i download effettuati e i log delle chat. 3) Possiamo anche avere una panoramica generale delle operazioini compiute nel periodo preso in esame. Nel menù Show Only selezioniamo Events. File cancellati Spostiamoci in Deleted Files Search, clicchiamo sul pulsante Config e, nella finestra che appare, impostiamo il menù Quality su Exellent or Good per ottenere risultati migliori. Clicchiamo Search e, dopo pochi secondi ecco l’elenco di tutti i file cancellati. Per ognuno è indicato un numero che rappresenta l’integrità e la possibilità di recuperarlo. Selezioniamo quello che ci interessa e, tasto destro, clicchiamo Save Deleted File. MOBILE FORENSICS II cestino di Windows non basta a cancellare tutti i file che transitano dall’hard disk di qualsiasi PC. Lo stesso accade nel mondo della telefonia mobile… Seppur basta un semplice tap per cancellare una foto, un messaggio di testo, una chiamata inviata o ricevuta da un moderno smartphone, una traccia del file in questione è destinata a rimanere indelebile nella memoria del telefonino. MOBILE FORENSICS Utilizzando infatti specifici software chiunque è in grado di ricostruire l’intera storia di uno smartphone, riuscendo, in alcuni casi, addirittura a risalire alla posizione dalla quale è partita una chiamata o una nuova connessione ad Internet. Lo Sherlock Holmes del telefonino Tali software, come ad esempio Oxygen Forensic Suite (www.oxygen-forensic.com), nascono con un preciso scopo: agevolare le indagini delle autorità giudiziarie. Ma la possibilità di scaricarli gratuitamente dal Web ha fatto sì che ognuno potesse diventare investigatore privato per un giorno. Lo Sherlock Holmes del telefonino L’utente deve infatti limitarsi al semplice collegamento del telefonino al PC utilizzando un cavo USB o la connettività BlueTooth o infrarossi. Dopo solo qualche minuto Oxygen Forensic Suite installa nella memoria interna del telefonino una piccola applicazione che si occupa del trasferimento di tutti” i dati sul PC per effettuarne poi un’approfondita analisi . Utile nei casi più svariati Ma tralasciando per un attimo l’obiettivo malevolo di chi vuole invadere la privacy altrui o quello benevolo della legge che fa il suo dovere, l’opportunità di poter utilizzare software di questo genere potrebbe rivelarsi utile anche nel caso in cui aveste cancellato erroneamente un messaggio di posta elettronica, un SMS o un importantissimo numero dalla rubrica. Infatti, Qxygen Forensic Suite cataloga ogni tipologia di dati in maniera chiara e precisa. PROVATE NEL VOSTRO PC PER SCOPRIRE IL LIVELLO DI SICUREZZA riuscire a carpire le informazioni riservate archiviate sui PC è un’attività illegale e penalmente perseguibile. Meditate gente…. Meditate!