Informatica forense
Introduzione al digital forensics
Il digital forensics è l'applicazione di un metodo investigativo di tipo scientifico nei media digitali. Lo scopo è evidenziare fatti oggettivi che dovranno essere poi sottoposti a giudizio in sede processuale e che possano quindi essere utili all'attività investigativa. È importante perché negli scenari odierni la tecnologia è essenziale e quindi è necessario avere esperti specializzati in questa disciplina.
Definizione del digital forensics
In sintesi, è una branca della scienza forense che si occupa dell'identificazione, della preservazione, dello studio e dell'analisi delle informazioni contenute in sistemi di memorie digitali o virtuali (ovvero supporti informatici in generale). Il tutto al fine di evidenziare l'esistenza di elementi di prova utili allo svolgimento dell'attività investigativa. Pertanto, la sua funzione è di studio delle scene del crimine che interessano argomenti informatici e multimediali (ovvero il web).
Componenti del computer
Il computer è un elaboratore, un apparato programmabile atto all'elaborazione automatica di informazioni. Per poter elaborare, questi devono essere programmati in modo da fargli compiere una serie di azioni che portano a un risultato. È necessario fornirgli dei dati in input e le istruzioni per eseguire i calcoli di cui abbiamo necessità; l'elaborazione dei dati con il software appropriato ci permetterà di avere in output i risultati.
Parti di un dispositivo digitale
- Parte fisica: hardware (la si può toccare). È formata da un insieme di componenti (es. componenti elettrici, meccanici, ...). Le tradizionali analisi forensi si effettuano qui (es. analisi impronte digitali, residui organici).
- Parte logica: software. Rappresentato dai programmi e dai dati memorizzati in esso. Si studiano elementi digitali come per esempio i file, i dati sul dispositivo o in altri supporti esterni (es. chiavetta USB, il cloud). Lo scopo è la ricerca del dato nella forma digitale (quindi nei file, nei dati, nelle chiavette).
Sistema operativo
Il sistema operativo è un software residente nella memoria di massa di un computer che viene eseguito al momento dell'accensione del calcolatore. Le attività che svolge includono:
- Gestire le risorse hardware centralizzate e periferiche
- Amministrare le memorie
- Consentire l'accesso ai programmi applicativi
Il file
Il file non risiede nella memoria secondaria (memoria fisica = RAM) ma risiede nella memoria primaria (memoria di transito che serve a salvare il contenuto nella memoria secondaria). Non ha materia fisica e può essere rubato facendo una copia (non lecita) del file, così che il proprietario non se ne accorga. Può essere alterato; qui subentra quindi la sicurezza del dato e del file.
Scena del crimine e digital forensics
In una scena del crimine, un dispositivo non può essere gestito prima di aver adottato delle metodologie specifiche. La persona che si occupa di questo è l'esperto di scienze forensi. Quest'ultimo studia il fenomeno criminoso nella sua complessità e raccoglie gli elementi rinvenuti nella scena del crimine (proiettili, impronte digitali, di scarpe, residui organici) e li analizza in maniera tecnico-scientifica.
Legge e scienze forensi
La legge 397 ha acconsentito all'accusa e alla difesa di rivolgersi a un esperto di scienze forensi per analizzare una scena del crimine. Quindi anche loro possono effettuare analisi. Le scienze forensi sono tante:
- Digital forensics: si occupa della preservazione, dello studio e delle analisi di dati contenuti nei dispositivi digitali. Scopo: evidenziare prove utili all'attività investigativa.
- Balistica: indagini rivolte verso delitti dove si sono utilizzate armi da fuoco.
- Tossicologia forense: scopo di applicare metodologie analitiche a campioni biologici per determinare le relazioni causa-effetto tra la presenza di una sostanza (veleno) o altre sostanze tossicologiche che hanno provocato la morte nella vittima.
- Biologia/antropologia forense: disciplina che studia i resti umani e ha lo scopo di fornire informazioni utili sulla causa della morte del cadavere.
- Genetica forense: studia le tracce del DNA del cadavere tramite l'analisi di un capello, ad esempio.
- Psicologia forense/giuridica: settore della psicologia che si occupa dei processi psicologici relativi ai diversi aspetti delle dimensioni legate ai crimini.
Sotto settori della digital forensics
La digital forensics è un macrosettore nel quale troviamo altre specializzazioni. Infatti, è formata da 5 sotto settori:
- Computer forensics: si occupa dell'analisi dei computer (notebook, server di rete, computer desktop). In essa c'è un'ulteriore specializzazione relativa all'analisi del sistema operativo installato (es. Windows, Linux).
- Network forensics: analizza le reti e i flussi di dati ed essa ha altri 2 settori:
- Web forensics: si interessa della ricerca di tracce di navigazione, concentrandosi soprattutto nella ricerca di attività svolte nel deep e nel dark web.
- Social network forensics: si concentra sullo studio delle informazioni derivanti dai social network.
- Mobile forensics: analizza i dati sui dispositivi mobili (es. iPhone), anche essa ha un sotto settore perché dipende dal sistema installato nel dispositivo e quindi ci si deve specializzare in uno di essi (es. Android, iOS, Windows Mobile,...).
- Cloud forensics: analizza i dati salvati nel cloud computing. Il dato che metto sul drive è il mio, ma risiede non si sa dove e quindi è molto complesso analizzarlo.
- Video forensics: analizza i filmati, i video di sorveglianza, etc. Qui entra in gioco un aspetto delicato perché si presenta la legge sulla privacy e quindi l'analisi va fatta subito perché, secondo la legge, non si possono tenere per troppo tempo i video. Un altro motivo per il quale i video vanno visti immediatamente è perché molte telecamere auto cancellano le registrazioni dopo un tot. di tempo.
Salvaguardia del dato
Altro aspetto del digital forensics è la salvaguardia del dato: devo garantire l'inalterabilità del dato nel dispositivo fino a quando non vengono utilizzati e per farlo devo usare delle metodologie ben precise. Questi dati possono essere analizzati sia dall'accusa che dalla difesa e molte volte arrivano a due conclusioni diverse e si scontrano.
Preservazione del dato
Ma come lo preservo? Dobbiamo congelarlo: dobbiamo porre in essere degli accorgimenti tecnologici in grado di impedire scritture anche accidentali nei bit, nell'unità minima di memorizzazione della prova. E per farlo si ricorre alle tecniche di crittografia. La norma internazionale prevede che per poter fare un'accurata analisi dei dati dobbiamo utilizzare un sistema crittografico tramite un algoritmo chiamato ashing. Esso:
- Duplica il dato originale,
- Rielabora la stringa dell'algoritmo sulla copia,
- Ottiene il risultato che è una stringa esadecimale
- E se i due risultati sono identici vuol dire che sto lavorando su una copia perfettamente identica all'originale.
Finite le analisi, si risottopongono tutte le varie copie al test dell'algoritmo di ashing e se i risultati sono identici all'originale vuol dire che tutto quello che ho trovato era dentro l'originale. Se anche un solo bit è diverso, significa che posso aver alterato anche accidentalmente e quindi quello che ho trovato non ha validità; devo ripetere le analisi. Queste tecniche della digital forensics si applicano dopo che si è verificato un reato, prima arriva la sicurezza.
Differenza tra digital forensics e sicurezza
La prima differenza tra digital forensics e sicurezza riguarda il fatto che la sicurezza è l'elemento di contrasto a un possibile crimine mentre il digital forensics opera dopo il reato e analizza il crimine già commesso. La sicurezza ha 2 settori:
- Sicurezza informatica: riguarda il dispositivo ed è un perimetro che metto attorno ai miei dati per evitare che qualcuno danneggi i miei dati e si occupa di aumentare il livello di sicurezza dei sistemi per garantire la sicurezza delle informazioni.
- Sicurezza delle reti (networking): riguarda il flusso dei dati da un punto ad un altro. Ogni volta che comunichiamo in rete è tracciabile, quindi se non adotto sistemi di sicurezza che rendano i miei dati non leggibili agli occhi di intercettatori, sottopongo le mie comunicazioni al rischio di essere captate. Infatti, nelle aziende molto spesso usano sistemi di comunicazioni che utilizzano la crittografia.
Network forensics
Network forensics (fa parte della sicurezza) significa fare analisi forensics a un sistema di trasmissione dati. Quando parliamo di sistema di trasmissione dati dobbiamo fare riferimento alle reti.
Reti
Le reti sono le strutture di interconnessione, ma anche le diverse macchine, insieme di hardware e software, che sono l'oggetto dell'interconnessione e tutti gli apparati a supporto dell'interconnessione stessa. È costituita da supporti fisici (es. collegamenti satellitari, radio, basati su tecnologia GSM, GPRS, UMTS, su rame, fibra ottica, wireless, ecc.), ma prevale soprattutto la componente virtuale. Utilizzano il protocollo TCP/IP:
- Rete PAN: "personal area network" cioè è quando tutti i dispositivi sono collegati in un raggio distretto (10m es.).
- Rete LAN: "local area network" sarebbe quando mi collego ad un wifi che sia di un edificio o di casa mia.
- Rete MAN: "metropolitan area network" rete che sta in città alla quale posso collegarmi.
- Rete WAN/geografica: "wide area network" rete estesa (può stare anche dall'altra parte del mondo).
TCP/IP
TCP/IP (Transmission Control Protocol/Internet Protocol) è il protocollo che crea un collegamento tra il dispositivo del mittente e il dispositivo del destinatario. Caratteristiche: i dati (voce, immagini, mail) che invio, attraversano un numero imprecisato di nodi prima di giungere a destinazione. Quindi questo protocollo trasporta messaggi, foto, mail e il suo invio non segue una stessa strada.
Commutazione di pacchetto
Si utilizza una tecnica di trasmissione chiamata commutazione di pacchetto: il messaggio che invio è preso dal dispositivo di trasmissione, è diviso in N. pacchetti di identica lunghezza, all'interno dei quali è inserito un codice univoco identificativo e trasmessi lungo il canale trasmissivo. Ogni pacchetto, nella trasmissione:
- Prende strade diverse.
- Ma quando arriva a destinazione, il dispositivo di arrivo prende tutti i pacchetti.
- E li riassembla seguendo l'ordine cronologico.
- Infine li manda al destinatario.
Storia della rete
Si utilizzano questi sistemi di comunicazione perché la rete che utilizziamo è figlia di una rete militare (fine anni '60) (ARPANET). È stata fatta per consentire la comunicazione a prescindere da eventuali attacchi che si fossero avuti sul suolo americano da nemici esterni. Quindi il sistema prevedeva che in caso di interruzione della comunicazione su un punto, le comunicazioni potevano essere estradate seguendo altri percorsi per arrivare infine al destinatario. La rete ARPANET diventa internet quando viene demilitarizzata alla fine degli anni '80, ma eredita la sua struttura.
Internet
Internet significa reti interconnesse (tra di loro tramite i router). Ogni dispositivo collegato in rete ha un IP unico: cioè il provider mi assegna per tutta la navigazione questo indirizzo IP univoco così se effettuo qualche reato posso essere rintracciabile. Quindi ogni cosa che faccio in rete lascia una traccia legata al MAC address (indirizzo fisico), alla SIM e all'indirizzo IP. Le informazioni possono essere però intercettate, lette, modificate e copiate nei nodi di interconnessione delle reti. Quindi devo adottare tecniche che fanno sì che anche se il messaggio viene intercettato sia incomprensibile.
Crittografia e sicurezza dei dati
La maggior parte dei messaggi viaggia in chiaro cioè in maniera leggibile. I moderni browser ci dicono quali sono i siti sicuri o no cioè che usano o no la crittografia. Posso adottare contromisure per proteggermi quando invio qualcosa a un destinatario per far sì che ciò che invio sia cifrato. Strumenti che posso usare:
- Nella navigazione web devo usare il protocollo di trasporto con HTTP con finale S (HTTPS). S = security. Tutti i siti devono usarlo, ma se un sito non lo usa il browser ce lo segnala.
- IP Security: standard per reti a pacchetto, scopo: usare connessioni sicure su reti IP.
- TLS: sono protocolli di sicurezza che creano canale sicuro che consente di trasferire informazioni in sicurezza tramite chiavi di crittografia.
- VPN: rete di telecomunicazione privata che usa la rete pubblica all'interno della quale viene creato un tunnel virtuale, tra 2 dispositivi, all'interno del quale transita il canale di comunicazione crittografato.
Tipi di crittografia
- Simmetrica
- Asimmetrica: riguarda la parte più legale (tipo le firme digitali).
Reti interconnesse
Le reti locali sono collegate a reti esterne e se non avessi collegato queste reti, non sarei collegata a internet.
Firewall
Il firewall è una componente di difesa perimetrale di una rete e deve controllare gli accessi nella rete: può garantire l'accesso a chi è autorizzato a entrare (quindi può essere attivo) e negarlo a chi non lo è (passivo).
Intercettazione
L'intercettazione è la captazione segreta ad opera di un terzo effettuata con strumenti tecnologici, delle comunicazioni tra due o più persone. Tutti gli stati membri dell'UE autorizzano, in casi particolari, l'intercettazione delle comunicazioni per ragioni di tutela dell'ordine pubblico o per l'attuazione di provvedimenti dell'autorità giudiziaria.
Intercettazione illecita
L'intercettazione illecita può configurarsi o come una violazione del diritto alla vita privata di una persona oppure può essere la premessa per un uso illegale dei dati intercettati (es. estremi di carte di credito) per scopi di lucro o sabotaggio.
Tipi di intercettazioni
- Telefoniche: avviene in vari modi e l'intercettatore telefonico fa intercettazioni con o senza la collaborazione dell'operatore telefonico. La linea telefonica viene duplicata e le conversazioni in copia vengono estratte in supporti magnetici e vengono poi protette. Le intercettazioni telefoniche standard sono fatte attraverso il controllo delle centrali di commutazione C.O. Poi arrivò la fibra ottica, la rete dati e i provider per ottimizzare il flusso e per risparmiare hanno portato la telefonia nella rete. Quindi viaggia nella rete dati e non più nella rete telefonica standard. Infatti, se non funziona il wifi non funziona nemmeno la rete telefonica. Perciò cambiano anche le intercettazioni telefoniche che confluiscono ormai nell'intercettazione informatica.
- Ambientali: realizzate con microspie, microfono, telecamere con microfono e sono detti microfoni occulti: trasmettono il suono via radio a una stazione ricevente. Ci sono più tipi di microfoni:
- Microfoni direzionali
- Microfoni a contatto
- Informatiche: grazie ai software può fare sia l'ambientale che la telefonica. Fatte attraverso dei captatori informatici. Due tipi:
- Software malware che è intrusivo (cioè capta informazioni). Un trojan è un classico software malware usato. Esso ha una doppia caratteristica: lo installa l'utente cliccando su qualche link in qualche email, in qualche sito non sicuro (mediante il web quindi) o tramite l'inserimento di una chiavetta USB (quindi in maniera fisica). Ha due componenti: la componente che si installa nella vittima (file server) e il client che controlla il server. Quindi posso fare quello che voglio una volta che l'utente l'ha installato. Può raccogliere email, sms, chiamate, messaggi, cronologie, catturare schermate, registrare telefonate, usare il telefono per fare intercettazioni ambientali (il telefono diventa un microfono), attivare la fotocamera, sfruttare il GPS per vedere dove ci troviamo.
- IMSI catcher: è un codice univoco assegnato dal sistema (torre di comunicazione) che serve ad identificare ogni abbonato (la mia SIM è associata alla mia persona e quindi questo codice mi può identificare). La propagazione del segnale GSM avviene mediante BTS (torri dotate di antenne che espandono il segnale GSM in un territorio vasto). Quando ci spostiamo da una BTS a un'altra, vuol dire che l'apparato telefonico (noi) si sta spostando. Quindi il cellulare comunica spesso (tra i 10-15m) con la BTS. Durante queste comunicazioni, la torre ci dà questo IMSI e questo codice identifica la torre di comunicazione perciò attraverso esso sappiamo dove il dispositivo (con la nostra SIM = noi) si trova e come e dove si muove. Funziona come un falso ripetitore che trae informazioni importanti da un punto di vista investigativo: spostamenti del cellulare tra una torre e l'altra e le torri a cui mi sono collegato. Oltretutto, rileva anche l'IMEI del telefono cioè il codice univoco di ogni telefono e rileva marca e modello dell'apparecchio. Alcune versioni permettono anche di ascoltare chiamate e captare messaggi.
Smartphone e VOIP
Tutti i dispositivi che erano una volta separati (fotocamera, cronometro, calcolatrice), ora sono uniti in un dispositivo chiamato smartphone. Il VOIP trasforma la nostra voce mentre parliamo al telefono in un codice binario che verrà poi convertito in un file.
Codice binario
Il codice binario rappresenta tutto ciò che faccio viene convertito in esso. Nel nostro mondo l'utente lavora al livello 6 (ci sono 7 livelli), ma il dispositivo non capisce il linguaggio dell'utente e quindi lo trasforma.
Scarica il documento per vederlo tutto.
Scarica il documento per vederlo tutto.
Scarica il documento per vederlo tutto.
Scarica il documento per vederlo tutto.
Scarica il documento per vederlo tutto.
Scarica il documento per vederlo tutto.
Scarica il documento per vederlo tutto.
Scarica il documento per vederlo tutto.
Scarica il documento per vederlo tutto.
Scarica il documento per vederlo tutto.
Scarica il documento per vederlo tutto.
Scarica il documento per vederlo tutto.
Scarica il documento per vederlo tutto.
Scarica il documento per vederlo tutto.
Scarica il documento per vederlo tutto.
Scarica il documento per vederlo tutto.
Scarica il documento per vederlo tutto.
Scarica il documento per vederlo tutto.