INFORMATICA - DIGITAL FORENSICS

La Digital Forensics è un settore operativo scientifico largamente diffuso tra le Forze di Polizia, i Militari, i Servizi Segreti e qualsiasi organizzazione pubblica o privata che si trova a gestire sistemi di comunicazione ed elaborazione high tech al suo interno. La DF raccoglie grosse fette di mercato ed il suo business la rende appetibile a studi di alto livello sia in campo universitario che privato (come anche testimoniano gli ingenti finanziamenti relativi a progetti EU di settore).

La frontiera della Digital Forensics

"La scienza della digital forensics si è consolidata attraverso svariate pubblicazioni scientifiche di pregio. Lo testimonia il fatto che lo studio accademico della digital forensics è sempre più affiancato a quello tradizionale della sicurezza in ambito informatico e telematico, settori di indiscussa importanza."

Ottobre 2016

Premessa

La DF è una branca della criminalistica che ha trovato una sua compiuta definizione solo nel 2009 ed ancora oggi è in forte espansione riguardo i suoi contenuti, sebbene molte sue aree sia fortemente consolidate a livello scientifico. In [«Advances in Digital Forensics V» – IFIP 2009] si legge “…l’uso di metodi scientificamente provati indirizzati a preservare, raccogliere, validare, identificare, interpretare, documentare e preservare prove digitali o comunque derivanti da sistemi digitali allo scopo di facilitare la ricostruzione di eventi di natura criminale già avvenuti o di aiutare a prevenire illeciti” mentre in [«Digital Forensics Magazine 16» – Agosto 2013] si ha “…The acquisition or recovery, examination, processing and analysis of any data held in a digital format, including the reporting thereof, for use during an investigation. This includes its use as digital evidence during any criminal or civil legal proceedings, its use as part of incident response. This may include the utilization or investigation of assistive technology and similar applications (e.g. facial recognition, digital equipment at crime scenes) during the course of the investigation.”. Ad oggi fortunatamente le raccomandazioni ISO/IEC 27k hanno comunque livellato le definizioni e le procedure dell'attività in questione mediante un congruo numero di documenti che, dal 2011 al 2015 hanno praticamente segnato ogni aspetto della DF dalla scena del crimine al laboratorio scientifico forense.

Procedure e Standard internazionali

La DF si ritrova standardizzata nei seguenti documenti che devono essere un punto di riferimento per tutti gli esperti di settore:
-ISO/IEC 27035:2011 - Incident Management
-ISO/IEC 27037:2012 - Identification, Collection, Acquisition & Preservation of Digital Evidence
-ISO/IEC 27041:2015 - Assuring Suitability & Adequacy of Investigative Methods
-ISO/IEC 27042:2015 - Analysis & Interpretation of Digital Evidence
-ISO/IEC 27043:2015 - Investigation Principles & Processes
di essi la 27037 e la 27042 sono le raccomandazioni di fondamentale importanza, la prima sulla scena del crimine, la seconda in laboratorio.

Settori della DF

I principali settori della DF sono i seguenti anche se, essendo un settore in continua espansione, si tratta di una tassonomia parzialmente temporanea. Essi sono stati riportati in ordine temporale di costituzione per cui anche di consolidamento:
-COMPUTER FORENSICS
-MOBILE FORENSICS
-NETWORK & INTERNET FORENSICS
-SOTWARE FORENSICS
-ELECTRONIC FORENSICS
ognuna di esse viene richiamata in altre pagine di questo sito per spiegazioni ed approfondimenti.

Attività della DF

Le attività che si possono classificare nella DF sono principalmente le seguenti:
-Sopralluogo e Repertamento High Tech
-Attività sul posto (Triage)
-Dead Digital Forensics
-Live Digital Forensics
-Virtual Digital Forensics
e tra esse la Dead DF è quella più stabile e tracciabile mentre la Live DF quella più instabile che agisce, in genere, fortemente sui reperti modificandoli.

Forze che operano sulla DF

I "driver" che influenzano direttamente la DF oggi sono i seguenti:
-La disponibilità, da parte degli utenti di sistemi informatici e telematici, di enormi e dinamici spazi di memoria;
-Ampio impiego dei sistemi di virtualizzazione da parte di utenti non necessariamente esperti e non necessariamente avveduti del potente strumento impiegato;
-Diffusione della necessità di connessione continua ad Internet;
-Allargamento della disponibilità di connessione veloce ad Internet;
-Aumento vertiginoso della velocità delle indagini di Polizia Giudiziaria legato agli strumenti scientifici di variegati settori.
Questi punti dettagliati possono riassumersi in alcune parole chiave: smartphone, cloud ed IoT.

La ricerca...

Proprio nell'ambito degli smartphone, del cloud e del Internet of Things corre il filo della ricerca attuale in ambito DF. Mentre si sono stabilizzati i filoni della copia ed analisi delle memorie di massa tradizionali (magneto-elettro-meccaniche) e delle reti, si aprono i "baratri" dei sistemi hand-held, come principalmente gli smartphone, che presto saranno equipaggiati con potentissimi dischi allo stato solido SSD e SIM virtuali 5G. Fortemente connessa agli smartphone ed a milioni di nuovi servizi telematici, l'avanzata del cloud e soprattutto del cloud storage è divenuta inarrestabile e nuove questioni si aprono sul significato della copia forense ed analisi di un sistema virtuale remotizzato (cloud). Infine tutto quanto visto si sta velocemente integrando nella IoT (SIM 5G e Cloud faranno da supporto assoluto a questa realtà online) che diverrà il depositario principale delle prove elettroniche della maggioranza dei reati nell'arco dei prossimi anni.


SEGUONO VERSIONI PRECEDENTI DELLA MEDESIMA PAGINA:

La frontiera del Digital Forensics

"La scienza del digital forensics viene consolidandosi attraverso svariate pubblicazioni scientifiche di pregio. Lo testimonia il fatto che lo studio accademico del digital forensics è sempre più affiancato a quello tradizionale della sicurezza in ambito informatico e telematico, settori di indiscussa importanza."

Maggio 2011

Premessa

La grande diffusione di dispositivi high tech e principalmente degli smartphone e dei dispositivi telematici portabili ha spinto la crescita in Italia del digital forensics rendendo chiaro che l'influenza investigativa di questo settore non si limita ai crimini ed alle violazioni di natura informatica ma ad una grande vastità di eventi reali e virtuali. Questo in quanto i dispositivi high tech realizzano di fatto una grande memoria storica di quasi tutto quello che accade.

Le cause civili, quelle penali e le indagini amministrative interne delle aziende fanno sempre più ricorso alle tecniche di digital forensics, o meglio, devono forzatamente impiegarle per sperare di ottenere risultati validi.

Quest'ondata di importanza che sta avvolgendo il digital forensics ha fatto sì che si determinassero una notevole quantità di gruppi di lavoro scientifici e di polizia, in tutto il mondo, orientati a determinare nuovi tool e standard operativi, nonchè a risolvere i problemi di frontiera (di cui si parla più avanti in questa pagina).

Il Digital Forensic Research Workshop (DFRWS), lo European Network of Forensic Science Institute - Forensic Information Technology Workgroup (ENFSI-FITWG), lo Scientific Working Group on Digital Evidence (SWGDE), il National Institute of Standards and Technology - Computer Forensic Tool Testing (NIST-CFTT), il USA Department of Defense - Cyber Crime Center (DoD), ecc. sono tra i principali enti che hanno lavorato innanzitutto nella definizione della materia (fatto non scontato e nemmeno semplice) e poi nel trovare strumenti e metodi validi, ma soprattutto testati, per il digital forensics.

Purtroppo, nonostante tutto il lavoro svolto, il digital forensics ha risentito del fatto di essere una scienza d'emergenza come la maggioranza delle scienze forensi, ossia una scienza che è orientata di più alle soluzioni di problemi contingenti che ad una visione ampia del fenomeno che studia. L'esempio classico è ovviamente il fatto che la maggior parte delle indagini tecniche si svolge in ambiente Win per cui la quasi maggioranza degli specialisti di digital forensics è molto preparata in tale ambiente operativo e scarsamente su MacOS, Linux, ecc., e su file system come ZFS, ReiserFS, ecc.

In [67] si ribadisce che sebbene il digital forensics sia una materia molto attuale si basa su concetti ormai vecchi e da rivedere, primo fra tutti il data recovery. Attualmente si devono fronteggiare numerosi e differenti tipi di software, hardware, formati di file, sistemi di memorizzazione tra cui diversi tra essi remotizzati e/o crittati, nonchè sebbene sia chiara a tutti la linea di condotta media nello svolgere le attività non si è ancora riusciti a definire formalmente bontà e tipologia di tool, metodi e training da impiegare nel settore. La ISO/IEC 27037 alla sua terza ed ultima revisione è un grande passo che tutti sono in attesa di verificare e seguire ma riguarda solo l'attività di intervento sulla scena.

A questo va aggiunto che il digital forensics è in larga parte nel mondo impiegato e praticato da specialisti che vi approcciano occasionalmente. Sono infatti ben rari coloro che si occupano unicamente di digital forensics o addirittura di digital forensics industriale (su larga scala) se comparati con gli esperti di sicurezza e/o di ammistrazione di sistemi informatici. Ciò ovviamente per ragioni economiche.

I casi di natura più comune trattati dal digital forensics riguardano Win XP, Office docs, JPG, WMV, recuperare dati più o meno nascosti in uno o più PC o smartphone che testimonino comunicazione o contenimento di informazioni utili ai fini investigativo dibattimentale. Questo permette un approccio sufficientemente valido anche dal punto di vista di coloro che hanno una scarsa preparazione teorica ed una discreta pratica.

E' bene soffermarsi sulle evoluzioni possibili, verso cui siamo già avviati, di questo mondo:

1) l'acquisizione dei dati utili alle analisi forensi si sposterà inevitabilmente verso la scena e sempre meno in laboratorio;

2) tool sempre più autonomi ed intelligenti metteranno in grado persone sempre meno preparate specificamente di svolgere in maniera sufficientemente corretta la maggior parte delle attività di acquisizione e parzialmente ma velocemente le analisi più semplici (oggi generalmente devolute ad ambiente di laboratorio);

3) le quantità di memoria da analizzare diverranno sempre più grandi;

4) le memorie magneto-elettriche ed in larga parte anche quelle ottiche lasceranno completamente il posto alle memorie elettroniche di cui esiste, però, una enorme varietà da cui si apriranno innumerevoli modi di affrontare il data recovery & carving;

5) l'uso della crittazione diverrà pervasivo e semplicissimo nonchè nativo e normalmente richiesto dai sistemi operativi;

6) l'applicazione dei paradigmi cloud e virtualizzazione, anch'essi pervasivi, andranno a coprire elaborazione e memorizzazione su larga scala aprendo un modo completamente nuovo di svolgere attività di digital forensics;

7) la live analysis diverrà un elemento indispensabile del digital forensics da usare con estrema frequenza soprattutto in relazione all'analisi dinamica della RAM.

 

La frontiera per la ricerca

Si può fare riferimento a [64, 66] e vedere che attualmente la ricerca nel digital forensics ha 5 settori principali in cui svilupparsi:

(1) Il trattamento di grandi volumi di dati a scopo decisionale;

Nelle indagini tecniche i dati sono fortemente eterogenei, quelli che interessano veramente sono in genere molto pochi e devono essere acquisiti sempre più in maniera selettiva. Il concetto di preview sui dati da repertare è ormai un obbligo altrimenti ci si perde in procedure di mesi. Una copia selettiva (in Italia indicata anche dalla L. 48/2008 e fortemente "consigliata" dalla privacy) dei dati è indispensabile. come selezionare, quindi, in breve tempo, tra un enorme ammontare di dati, quelli utili?

Un tale task difficilmente potrà essere alla portata semplicemente del tecnico ma neanche può essere totalmente delegato ad un tool (pena la possibilità di perdere evidenti fonti di prova).

Bisogna realizzare qualcosa che assomigli a dei DSS (Decision Support System) che supportino l'investigatore forense nella sua attività, principalmente sulla scena del crimine. Tecniche di data mining e data warehousing dovranno essere estese al digital forensics in maniera, però, da ottenere sistemi altamente performanti e magari portabili.

(2) L'analisi e l'interpretazione automatica (intelligente?) dei dati;

Ricercare e correlare informazioni sono le due attività tipiche dell'analisi nel digital forensics. Sono peraltro tediose, pesanti e richiedono, nello specialista, un certo acume. Bisogna che i tool di supporto alle analisi forensi delle informazioni inizino ad includere strategie "intelligenti" per la ricerca e la correlazione dei dati, basate sulla semantica e non più solo sulla forma.

Lo stesso hashing va rivisto fortemente, dato il concetto di copia selettiva di cui al punto (1) e tecniche di intelligenza artificiale dovranno essere impiegate e loggate in maniera tale che si possa spiegare non solo quello che lo specialista è riuscito a determinare ma anche per quale motivo vi è arrivato (il processo logico deduttivo). Tale aspetto del perchè di arriva a trovare qualcosa e non solo del cosa si trova diverrà determinante in dibattimento (teoria delle indagini automatiche).

(3) Il trattamento di sistemi digitali non-standard;

Sistemi cellulari, GPS, PDA, dispositivi USB e dispositivi special purpose di varia natura e scopo dovranno essere acceduti per acquisirne le informazioni anche se memorizzate in maniera non standard dal punto di vista industriale. A questo dovrà fare seguito la ricostruzione della loro attività (o possibile attività). In questo divengono fondamentali le tecniche di virtualizzazione che dovranno essere sofisticate al punto di poter ricreare le più strane ed impreviste attività operative per tali sistemi.

(4) Lo sviluppo di nuovi tool per la scena del crimine

Bisogna realizzare nuovi tool che permettano di operare sulla scena del crimine in maniera garantita, certificata e perfettamente tracciata. Un filone determinante in questo senso è quello della creazione di forensic tool che possano essere built-in nei sistemi operativi e nei sistemi cloud per il distributed network forensics.

---

Oltre a tali macro-settori esistono dei micro-settori tecnici di nicchia:

(a) Data decryption

(b) Database forensics (es. Oracle forensics)

(c) Live digital forensics

(d) Metadata analysis

(e) Testing plans for digital forensics tools

(f) Cloud forensic services

...

Conclusioni

Il digital forensics si dimostra ogni giorno di più una materia scientifica intrigante, che richiede grandi e variegate competenze tecnico/legali, ed il cui trend di crescita economico e tecnico è senza pari. In essa la ricerca scientifica può trovare sfogo in molte direzioni tra cui quella (da molti un po' dimenticata) dell'intelligenza artificiale sia simbolica (Data Mining) che numerica (neural networks) nonchè dell'elaborazione distribuita.

 


SEGUONO VERSIONI PRECEDENTI DELLA MEDESIMA PAGINA:

La frontiera del Digital Forensics

"In pochi anni questa neo-scienza si è ampliata e viene definendosi lentamente ma inesorabilmente attraverso centinaia di pubblicazioni e lavori scientifici di pregio. Proseguendo su questo cammino si sono aperti diversi ed importanti filoni di ricerca, vediamone i principali..."

Dicembre 2009

Premessa

Finalmente, dopo alcuni anni e l'inarrestabile diffusione di dispositivi high tech, si è capito anche in Italia che il digital forensics non si occupa solo di crimini informatici ma estende la sua influenza praticamente a qualsiasi reato (si pensi all'influenza dei telefoni cellulari sulle indagini di polizia giudiziaria).

Le cause civili, quelle penali e le indagini interne delle aziende fanno sempre più ricorso alle tecniche di digital forensics, o meglio, devono forzatamente impiegarle per sperare di ottenere risultati validi.

Quest'ondata di importanza basilare che sta avvolgendo il digital forensics ha fatto sì che si determinassero una notevole quantità di gruppi di lavoro scientifici e di polizia, in tutto il mondo, orientati a determinare nuovi tool e standard operativi, nonchè a risolvere i problemi di frontiera (di cui si parla più avanti in questa pagina).

Il Digital Forensic Research Workshop (DFRWS), lo European Network of Forensic Science Institute - Forensic Information Technology Workgroup (ENFSI-FITWG), lo Scientific Working Group on Digital Evidence (SWGDE), il National Institute of Standards and Technology - Computer Forensic Tool Testing (NIST-CFTT), il USA Department of Defense - Cyber Crime Center (DoD), ecc. sono tra i principali enti che hanno lavorato innanzitutto nella definizione della materia (fatto non scontato e nemmeno semplice) e poi nel trovare strumenti e metodi validi e soprattutto testati per il digital forensics.

Purtroppo, nonostante tutto il lavoro svolto, il digital forensics ha risentito del fatto di essere una scienza d'emergenza come la maggioranza delle scienze forensi, ossia una scienza che è orientata di più alle soluzioni di problemi contingenti che ad una visione ampia del fenomeno che studia. L'esempio classico è ovviamente il fatto che la maggior parte delle indagini tecniche si svolge in ambiente Win per cui la quasi maggioranza degli specialisti di digital forensics è molto preparata in tale ambiente operativo e scarsamente su MacOS, Linux, ecc., e su file system come ZFS, ReiserFS, ecc.

Oltretutto il digital forensics si è dimostrata una scienza bizzarra perchè racchiude in un solo settore aspetti psicologici, legali, informatici, sociologici, investigativi determinando una scatola di contenuti che la ricerca può orientare in qualsiasi direzione. Il risultato è stato che molti progetti di ricerca nel digital forensics oltre a non avere fondamento pratico non sono risultati di nessuna utilità per la comunità nel settore (addirittura talvolta sono stati fuorvianti).

La frontiera per la ricerca

Si può fare riferimento a [64] e vedere che la ricerca nel digital forensics ha 4 settori principali in cui svilupparsi:

(1) Il trattamento di grandi volumi di dati a scopo decisionale;

Nelle indagini tecniche i dati sono fortemente eterogenei, quelli che interessano veramente sono in genere molto pochi e devono essere acquisiti sempre più in maniera selettiva. Il concetto di preview sui dati da repertare è ormai un obbligo altrimenti ci si perde in procedure di mesi. Una copia selettiva (in Italia indicata anche dalla L. 48/2008 e fortemente "consigliata" dalla privacy) dei dati è indispensabile. come selezionare, quindi, in breve tempo, tra un enorme ammontare di dati, quelli utili?

Un tale task difficilmente potrà essere alla portata semplicemente del tecnico ma neanche può essere totalmente delegato ad un tool (pena la possibilità di perdere evidenti fonti di prova).

Bisogna realizzare qualcosa che assomigli a dei DSS (Decision Support System) che supportino l'invetigatore forense nella sua attività, principalmente sulla scena del crimine. Tecniche di data mining e data warehousing dovranno essere estese al digital forensics in maniera, però, da ottenere sistemi altamente performanti e magari portabili.

(2) L'analisi e l'interpretazione automatica (intelligente?) dei dati;

Ricercare e correlare informazioni sono le due attività tipiche dell'analisi nel digital forensics. Sono peraltro tediose, pesanti e richiedono, nello specialista, un certo acume. Bisogna che i tool di supporto alle analisi forensi delle informazioni inizino ad includere strategie "intelligenti" per la ricerca e la correlazione dei dati, basate sulla semantica e non più solo sulla forma.

Lo stesso hashing va rivisto fortemente, dato il concetto di copia selettiva di cui al punto (1) e tecniche di intelligenza artificiale dovranno essere impiegate e loggate in maniera tale che si possa spiegare non solo quello che lo specialista è riuscito a determinare ma anche per quale motivo vi è arrivato (il processo logico deduttivo). Tale aspetto del perchè di arriva a trovare qualcosa e non solo del cosa si trova diverrà determinante in dibattimento (teoria delle indagini automatiche).

(3) Il trattamento di sistemi digitali non-standard;

Sistemi cellulari, GPS, PDA, dispositivi USB e dispositivi special purpose di varia natura e scopo dovranno essere acceduti per acquisirne le informazioni anche se memorizzate in maniera non standard dal punto di vista industriale. A questo dovrà fare seguito la ricostruzione della loro attività (o possibile attività). In questo divengono fondamentali le tecniche di virtualizzazione che dovranno essere sofisticate al punto di poter ricreare le più strane ed impreviste attività operative per tali sistemi.

(4) Lo sviluppo di nuovi tool

Tutti i risultati che si potranno trovare avanzando nei punti precedenti dovranno trovare sbocco nella realizzazione di nuovi tool il cui funzionamento possa essere certificato e perfettamente tracciato. Un filone determinante in questo senso è quello della creazione di forensic tool che possano essere built-in nei sistemi operativi.

---

Oltre a tali macro-settori esistono dei micro-settori tecnici che sono attualmente i nuovi target del digital forensics:

(a) Data decryption

(b) Database forensics (es. Oracle forensics)

(c) Live digital forensics

(d) Metadata analysis

(e) Ditributed System Forensics (Cloud Computing)

(f) Testing plans for digital forensics tools

...

Conclusioni

Il digital forensics si dimostra ogni giorno di più una materia scientifica intrigante, che richiede grandi e variegate competenze tecnico/legali, ed il cui trend di crescita economico e tecnico è senza pari. In essa la ricerca scientifica può trovare sfogo in molte direzioni tra cui quella (da molti un po' dimenticata) dell'intelligenza artificiale sia simbolica (Data Mining) che numerica (neural networks).