INFORMATICA - LIVE DIGITAL FORENSICS

Quando non si può fare a meno di agire sulla scena del crimine, cosa accade? ...talvolta l'analisi deve iniziare prima della copia e/o del sequestro fisico...

Marzo 2008

Premessa

Per iniziare si va ad analizzare la procedura di repertamento fisico dei personal computer che per anni è stata promulgata come la migliore possibile. Essa richiede con apparente certezza che il computer sulla scena del crimine deve essere spento senza che il sistema operativo ne sia avveduto (spegnimento forzato mediante l'alimentazione elettrica).

Non considerando, al momento, i danni di natura elettrica/elettronica che tale procedura può implicare nella macchina si può velocemente cercare di capire la giustificazione di un'attività imposta in maniera così deterministica e sulla quale possono nascere molti dubbi. Tale procedura è nata dalla necessità di impiegare personale non specializzato nel repertamento fisico e sequestro di piccoli sistemi computerizzati. Nessuno quindi evita di considerare che la metodologia dello spegnimento forzato determina perdite di dati, soprattutto in ambito RAM (e quindi generalmente in tutto ciò che dei processi possono gestire a runtime) ma:

- si è ritenuto (a ragione) che il costo di queste perdite fosse minimo rispetto a far interagire un non specialista con la macchina ad ottenerne direttamente informazioni;

- si riesce a ridurre al minimo la sovrascrittura dei dati cancellati sulle memorie di massa attive.

Problema

Sfortunatamente la complessità anche dei "piccoli" sistemi nonchè quella scontata dei grandi sistemi (server) rende attualmente sempre più grande la perdita di dati inerente lo spegnimento forzato da cui sebbene la citata procedura dia mediamente garanzie notevoli all'indagato è sempre più vero che elimina spesso fonti di prova determinanti.

La ripresa video dei dati visualizzati sullo schermo è un palliativo utile ma non sufficiente a registrare molte delle possibili evidenze presenti a runtime in RAM. Si pensi alle seguenti indicative situazioni:

- comunicazioni con dati non persistenti come ad esempio le chat o le webmail sussistono per la massima parte in RAM e quindi la loro degradazione nello spegnimento forzato è pressoché totale;

- cripto: possono esistere protezioni cripto per intere partizioni che al momento dell'impiego della macchina sono abbassate per evidenti necessità di impiego della memoria di massa; allo spegnimento del sistema l'accesso alla partizione cripto può risultare complicata se non impossibile; lo stesso può verificarsi su singoli file protetti.

- Server: per grandi sistemi l'idea di spegnerli per repertare è frutto solo dell'ignoranza. Le costruzioni dati che possono risultare al loro interno sono in generale così complesse che pensare di repertare dei dati in maniera raw per poi ricostruirli in maniera sensata e completa determina un problema impossibile da risolvere.

- necessità di analisi di qualsiasi servizio "live" attivo sulla macchina.

- prelievo delle password che "sostano" in RAM.

Nelle condizioni segnalate ed in molte altre è necessario accedere alla macchina direttamente con competenza e prontezza.

La tendenza "live"

Si va di seguito a considerare la sequenza delle attività che normalmente va a formare l'approccio della computer forensics:

1) Identificazione;

2) Repertamento dati (copia);

3) Preparazione del materiale da analizzare (filtraggio dei dati rilevanti, indexing, ecc.);

4) Analisi;

5) Report.

In quello che possiamo chiamare computer forensics "statico o dead" queste fasi possono essere modularizzate ed impermeabilizzate tanto che diverse aziende e centri di polizia operanti nel settore hanno suddiviso strutturalmente le loro aree funzionali basandosi pedissequamente su tale sequenza (un settore svolge solo identificazione e repertamento fisico, un altro realizza solo immagini di memorie di massa, ecc.).

Ad oggi si sta configurando un nuovo modello operativo in cui le suddette fasi costituiscono sistemi interagenti che operano secondo uno schema non necessariamente sequenziale. Se si ammette, infatti, la possibilità di interagire sulla scena del crimine con la macchina reperto, si ammette che:

- ad una identificazione ne possano seguire altre successivamente più raffinate (basate sulle nuove info acquisiste sulla macchina);

- il repertamento dati è generalmente una copia parziale di dati raramente di tipo bitstream che può spaziare da copie di elementi cancellati o parzialmente distrutti fino a file e cartelle;

- alcuni dati da copiare possono emergere durante l'interazione con la macchina per cui il repertamento dati avviene a fasi incrementali;

- preparazione ed analisi sono ridotti al minimo durante l'interazione con il sistema proprio per diminuire la possibilità di causare cambiamenti "troppo" importanti delle memorie digitali in analisi e lasciare la parte approfondita di essi all'approccio statico (post spegnimento della macchina);

- il reporting non è quello del forensics statico, il quale si propone di spiegare le operazioni in dettaglio e presentarle in dibattimento - in questo caso il reporting andrebbe chiamato logging, ossia il tracciamento documentale o multimediale (video e log file) delle attività svolge a runtime - in termini di polizia giudiziaria una sorta di verbale tecnico.

E' importante sottolineare quindi che le attività principali dal punto di vista tecnico nel computer forensics statico, ossia preparazione ed analisi, divengono minime nell'attività live. A questo va aggiunto il punto principale che, mentre l'approccio statico tende a generare attività ripetibili dal punto di vista sia tecnico che legale, le attività live sono intrinsecamente irripetibili da cui l'assoluta necessità di un affidabile logging.

L'irripetibilità del live forensics è:

a) di natura tecnica: non esiste infatti possibilità di realizzare analisi e repertamento dati live senza modificare almeno una parte della memoria del sistema;

b) di natura temporale: la situazione della macchina (stato) all'atto dell'attività è frutto del momento e la sua complessità è tale da non poter sicuramente essere riprodotta;

c) relativo all'osservabilità: lo stato di un computer reperto attivo, in tutte le sue variabili, non è completamente osservabile perchè la sonda che si dovrebbe inserire per compiere tale osservazione andrebbe a modificarne proprio lo stato.

Regole di massima nel "live forensics"

In questo neo-settore del digital forensics, attuale frontiera dello stesso, non esistono training assestati validi per l'Italia nè tool specifici (di natura forense e non sys/net administrator). L'elemento essenziale è attualmente la preparazione tecnico/legale della persona che opera e la sua capacità di impiego e realizzazione di strumenti adatti all'ambito legale di applicazione.

Alcune regole di massima riguardano il fare attenzione allo stato evidente della macchina e quindi screen saver attivi, la lista dei processi, l'alimentazione elettrica, la presenza di cripto system (hardware/software), le periferiche e le connessioni wire/wireless presenti, ecc.

L'acquisizione (repertamento) dei dati può avvenire in diversi modi:

1) Computer forense collegato a reperto tramite connessione Ethernet: vi è la necessità di configurare il reperto per la connessione (firewall, privilegi, ecc.) e di impiegare un tool client/server forense per l'ispezione di RAM e device (istallazione...) - il vantaggio è che si può operare dall'esterno per la massima parte e lo scaricamento dati può essere piuttosto semplice;

2) Drive esterni: si sfruttano le connessioni USB, firewire, ecc. del reperto per connettere una memoria di massa o file server esterno - si deve impiegare il reperto direttamente per tutta l'attività (pericoloso) - procurarsi memorie di massa esterne è in generale semplice e poco costoso;

3) Ripresa video e printscreen: in genere usati come elemento aggiuntivo ad uno dei precedenti o sostitutivo dei seguenti;

4) Altri metodi estremi non validissimi ma impiegabili in caso di urgenza e di non necessità di impiego dei dati ricavati in dibattimento: masterizzare un CD/DVD sul reperto (qualora presente il masterizzatore); salvare i dati presenti nella RAM sull'hard disk del reperto; ecc.

Per finire rimane abbastanza ovvio che eseguire software del reperto senza una precisa idea di cosa eseguano è un rischio notevole e che, se si vuole operare direttamente sulla macchina è meglio impiegare la linea di comando invece delle interfacce grafiche che muovono notevoli quantità di dati.

Conclusioni

Personalmente, in base ai tool attualmente disponibili, tratto la live forensics con molta cautela e limito il suo impiego ai casi in cui risulta indispensabile, ossia nei quali non esistono altre metodologie tecniche per operare. Uno dei grandi vantaggi del "live" è la velocità di esecuzione dell'accertamento da cui la magistratura ed i legali in genere tendono a vederla di buon occhio. Bisogna però ricordare uno dei principi fondamentali del forensics (non solo quello digitale) secondo il quale "...la fretta è il primo elemento da tener fuori dalla scena del crimine!" e per convincersi di ciò basta ricordare sempre che risolvere un caso in fretta è bello ma ottenere risultati distorti può non solo annullare anni di indagine pregressa ma anche rovinare la vita di innocenti.