COMPUTERFORENSICSFAIDATEScrittodaMatteoGiardino

L informatica forense (in inglese, computerforensics) unanuovabrancadellinformatica che si occupa dell analisi di qualsiasi dispositivo elettronico, possaessereutilizzatopermemorizzaredati,alloscopodiestrarreinformazioniutilizzabiliinunprocessogiuridico. Linformaticaforensenonquindiincentratasolosullanalisidicomputermasututtocichecostituisceunamemoriadimassa:Harddisk,pendriveUSB,supportiotticiemagnetici,ecc...Si iniziaaparlaredi informatica forensenel1984,quandoladirezionedell FBIcostituisce una nuova sezione denominata CART (Computer Analysis andResponseTeam)chesioccupadiaiutaregliagentiFBIprocedendoallanalisideidispositivielettronici.L informatica forense introduce la figura professionale del computer forensicsexpert(abbreviatopercomoditacomputerforenser)chelinvestigatoredigitalechesioccupadellosvolgimentodelleindaginidiinformaticaforense.Letecnichedicomputerforensicspossonoessereusatenonsolamenteperverificaresesonostati commessideterminati reati maancheper identificareproblemichepossono essere alla base del malfunzionamento di un sistema informatico, perquesto la computer forensics e la sicurezza informatica hanno molti aspetti incomune.In informatica forense la conservazione dei dati presenti sui supporti dimemoriazzazione importantissimainfattitutteleanalisicondottedevonoessereeseguitenellacosiddettamodalitripetibile; ovverotutteleinformazioniraccoltedevonopoteressereverificabili dachiunquee inqualsiasimomento.Proprioperquestomotivogeneralmentesipreferiscelavoraresudellecopiespecularidisupportidimemoria(detteimmagini)piuttostochesuisupportifisicistessi.Questeindagini,chehannocomeobiettivolaraccoltadiinformazioniutilizzabiliintribunalerichiedonoparticolareattenzioneecauteladapartedelforenserpoichlamancataapplicazionedelleprocedureidoneepotrebbeportareleautoritgiudiziareadattribuireunreatoadunsoggettopiuttostocheaunaltro.La IACIS (International Associationof Computer InvestigativeSpecialist) haemanatoun codicedieticaprofessionale nelqualesonoriportareunaseriediregole di base che il forenser tenuto a seguire per poter svolgere in maniera

correttaunindaginediinformaticaforense.Questocodicedietica(ovviamenteininglese)pubblicatosulsitoufficialeACIS.

STRUMENTIUTILIALFORENSER

Ilforenserpersvolgerealmeglioeintotalesicurezzalesueindaginihabisognodiunaseriedistrumentichepossonoesseresia hardware (comeiwritelocker)siasoftware(adesempioisoftwaredirecuperodati).Isoftwaredisponibiliperleanalisiforensisonosiaapagamento(comeForensicsToolkit)siaopensource(comeCaineeWinTaylor).Generalmente al forenser servono moltissimi software che svolgono ognuno lapropriafunzione,perovviareaquestostatoprogettatoCaine,unadistrodilinuxchecontienemoltissimeutilityusateincampoforense.

CAINE:COMPUTERAIDEDINVESTIGATIONENVIRONMENT

Caine interamentesviluppato inItaliaed attualmentegestitodall espertodicomputer forensics Giovanni Bassetti. Il sito ufficiale del progetto Caine http://www.cainelive.net.DaquestositopossibileeffettuareildownloaddiCaineedi WinTaylorunutilityperWindows,sviluppata in VisualBasic6, chesvolgefunzionimoltosimilialleutilityincluseinCaine.LeutilitypiimportantiincluseinCainesono:

AIR (AutomatedImageRestore):utiliyavanzataperlacreazionediimmaginidisupportidimemoria.

Autopsy:softwarepereseguireanalisisufileeeventualmenterecuperarequellicancellati.

Exif:unsoftwarechepermettediestrarreimetadatiEXIFdallefotografiedigitali. Guymager: creazione di immagini dei supporti di memoria; meno complesso

rispettoadAIR. DvdDisaster:recuperodidatidasupportiotticidanneggiati. Wipe:softwarepercancellarefileinmodochenonsianopirecuperabili. Fundl:softwareperilrecuperorapidodeidaticancellati. Ophcrack:crackingdellepassworddiWindowsutilizzandolerainbowtables. Stegbreak:estrazionedeidatinascostiinfileJPGmediantesteganografia. GtkHash:calcolodell'hashdiunfilemediantediversialgoritmi. Pasco:analisiavanzatadellacachediInternetExplorer. Photorec:softwareperilrecuperodeifilescancellatimediantetecnichedidata

carving.

Cainepuessereinstallatosuqualsiasicomputer,malinstallazionepufacilmenteessereevitatautilizzandolemodalitliveCDeliveUSBchepermettonodiavviareilsistemarispettivamentedaCD(oDVD)odachiavettaUSB. PerlavvioliveCDnecessarioinserireunsupportootticochecontengaifilediCaineeselezionarecomedispositivodiavviodalBiosdelproprioPC,illettoreCD/DVD.

ANALISIFORENSESUUNDRIVEUSBL immagine di un disco viene utilizzata dal forenser per evitare di eliminare oalterare file e informazioni contenuti sul dispositivo di memoria da analizzare.Pereseguireleanalisisipossonousareisingolisoftwareintegratioppureutilizzarelinterfacciacentraledi Cainechepermettedi accederepi velocementeallevarieutility.

Epreferibileutilizzarelinterfacciacentralepoichquestaintegraancheunsistemadireporting,cheallafinedelleindaginipermetteradistampareunreportcontenentetutteleinformazioniriguardantileoperazionieseguitemediantelinterfacciastessa,omedianteleutilityincluseinCaine.

Peravviarelaregistrazionedelleoperazioniequindiperpoterstampareunreportalla fine dell indagini bisogna aprire un nuovo caso utilizzando l interfaccia diCaine.Verra richiesto di inserire il nome dell indagine e quello dell investigatore.Terminata questa procedura si potr iniziare a investigare sul dispositivosequestrato. Si segnala che solamente le operazioni compiute mediante linterfacciacentralevengonoregistratedalsistemadireporting.

STEP1:CREAZIONEDIUNNUOVOCASO

PeravviarelaregistrazionedelleoperazionieffettuatecliccaresuCreateReport.

Suldesktop,fareclicksuCaineInterfaceperavviarelinterfaccadentralediCaine.

Sarnecessarioinserireilnomedellindagineequellodellinvestigatore.Unavoltaterminatolinserimentofare

clicksuOK

Terminatalacreazionedelnuovocaso,possibilecreareun'immaginedelsupportoUSB.PerfarequestouseremoGuymager.Caineintegraancheunaltrostrumentoperlacreazionediimmagini,AIR,chesvolgelamedesimafunzionediGuymagerma pi avanzato pi complicatodautilizzare.LeimmaginidiGuymagerpossonoesseresalvatiintreformati.Ilprimoformato(.exxExpertWitnessFormat)quellodi default ed un formato compresso progettato per le indagini forensi. ExpertWitnesssupportaanchelosplitdell immagineinimmaginipi piccole.DurantequestaindagineuseremoilformatoExpertWitnessFormat.

STEP2:ACQUISIZIONEDELL'IMMAGINE

Il prossimopassoriguardail recuperodeidaticancellaticon Autopsy.Questopossibileperch eliminareunfileutilizzandoilcestinodiWindowsnonvuoldirefarlospariredefinitivamentedallharddisk.OvviamenteifilediventanoinvsibilieperrecuperarlibisognaricorrereaprogrammispecificicomeAutopsy.

Putroppononintuttelesituazionipossibilerecuperarel interofiles:talvoltapossibile che il recupero non sia possibile. Questo caso si verifica solitamentequandoilfilestatosovrascrittodaun'altrofilesosonostatiusatideisoftwareappositidettisoftwarediwipingpercancellaretotalmenteilfile.Questisoftwaresibasanoingeneralesuciclicasualidisovrascritturamiratiasovrascrivereisettoridove si trova il file da cancellare. I software di wiping pi avanzati utilizzanoparticolarialgoritmicomeil DOD(DepartmentOfDefense)oilmetodoGuttman(cheprevede35passaggidisovrascrittura).

SelezionarelaschedaCollectioneselezionareGuymagerperavviareil

programmadiacquisizioneimmagini.

FareclickconiltastodestrosuldispositivodaacquisireefareclicksuAcquirenel

menuatendinacheappare.

Inserireivaridati,lasciareilformatoimmaginepredefinito

(.exx)ecliccaresuOK.Attenderepoichelacquisizionevenga

completata.

STEP3:RECUPERODEIFILESCANCELLATI

NellinterfacciaprincipalediCaine,nellaschedaAnalysis

cliccaresuAutopsyNellafinestraprincipaledi

AutopsycliccaresuNewCaseperaprireunanuovocaso.

Nellafinestracheappareinserireidatidelcasoe

cliccaresuNewCase.PoisuAddHostesuAddImage.Nellafinestracheappare

selezionareAddImageFile.

Inserirelaposizionedellimmagine(Location),

selezionareleopzioniDiskeSymlink.PoiclicaresuNext

esuAdd.

Per iniziare l analisi selezionare ildispositivo che ha un file systemqualsiasi (Fat, Fat32, NTFS, ExFat,ecc..)macomunquediversodaRAW.CliccarepoisuAnalyzeperavviarelanalisi.NellafinestracheapparefareclicksuFileAnalysis nellabarra inaltopervisualizzareifilepresentinelsupporto.

Nellafinestracheapparevengonovisualizzatituttiifile(siacancellatichenon).Quellicancellatisonoevidenziatiinrosso.Cliccaresullarigadel

filedarecuperare.

Adessopossibilevedereunasempliceanteprimadelfile

(cheinquestocasounPDF).NellabarracheapparecliccaresuExportper

recuperareesalvareilfilechestatoselezionato.

CliccaresuSavefileeselezionareilpercorsoincuisalvareilfile.Cliccarepoisu

OK

STEP4:RECUPERODITUTTIIFILESCONFOREMOST

CANCELLAREUNFILEDEFINITIVAMENTE

AvviareForemost,facendoclicksullappositopulsantenellaschedaAnalysisdell

interfacciacentrale.

CliccaresuOpeninputFileeselezionarelimmaginedacuirecuperareifile.Cliccaresu

SelectDirectoryeselezionarelacartelladovesalvareifileestratti.CliccarepoisuRun

Foremost.

AttenderecheForemostestraggaifiles.Cliccaresu

QuitnelmessagiocheindicalafinedelprocessoecliccaresuOpenOutputDirectorypervisualizzareifileestratti.

Per impedire il recupero di un file conprogrammi tipo Autopsy possibile utilizzareWiper, un software di wiping (cancellazionesicura dei dati) che si utilizza mediante ilterminale di Caine. Una volta avviato ilterminale, utilizzando in pulsante Runterminal presente nella scheda Collectiondell interfaccia centralizzata, digitarewipe fnomefile e premere INVIO. Ovviamentenomefilevasostituitoconilpercorsocompletodel file da cancellare. Verr poimostrato unmessaggio di conferma che attester lavvenutacancellazionedelfile.

ESTRAZIONEDEIDATIEXIFDAUNAFOTOExif (Exchangeable image file format) una specifica per il formato dei fileimmagineutilizzatodallafotocameredigitali.LExifsupportaalcuniformatitracuiilJPGaiqualiaggiungedelleetichette(dettemetadati)checontengonoleinformazionirelativeallamarca,al modellodella fotocamera,alladata, all oraincui statascattatae alle impostazioni della fotocameraal momentodello scatto (sensibilitISO,bilanciamentodelbianco,lunghezzafocale,zoom,flash,ecc...).IdatiExifincludonoancheunapiccolaanteprima(detta thumbnail)dellafotoinmododarenderepi veloce il caricamentoper l' anteprimasui displayabassarisoluzione(comequellidellefotocameredigitali).

Le informazioni Exif vengono scritte dal software della fotocamera e durante leoperazionidifotoritoccononsemprevengonoaggiornate.InalcunicasilamodificadiunafotononcomportalaggiornamentodellanteprimaExif,ecosilrecuperodiquestultimapermettediottenereuncopia(seppurabassarisoluzione)dellafotooriginaria. L unico problemadei metadati Exif che possono essere facilmenteeliminatiomodificatienonesisteilmododicapirequandoquestisianostatialteraticon un apposito software. I metadati Exif non costituiscono quindi una vera epropria prova perch chiunque e con poco sforzo pu riuscire a modificarli ocancellarli.

AvviareilterminalediCainefacendoclicksulpulsanteRunTerminalnellaschedaCollectiondellinterfaccia

centrale.

Digitaresudosuepremereinvioperotteneriprivilegidiamministratore(utenteroot).Digitarepoiexifinomefilee

premereINVIO,dovenomefilevarimpiazzatocon

ilpercorsodelfiledaanalizzare.

AllafinedelreportindicatosepresenteunanteprimaExif.SepresentedigitareexifenomefileepremereInvio.Ancheinquestocasobisogna

sostituirenomefile.

AGGIORNAREILTHUMBNAILEXIF

ll programma crer nella stessaposizionenellaqualesi trova il fileunaltro file in formato Jpeg (che pesasolitamente meno di 10 KB) checontienelanteprimaExif.Pereliminarel anteprima Exif da un immagine edimpedire quindi questa analisi si puutilizzareilcomandoexifrnomefile.

Quandosi effettuanooperazionidi fotoritoccosu una foto, raramente ci si ricorda diaggiornare l' anteprima Exif per evitare lapossibilit di ricostruzione dell' immagineoriginaria mediante l' estrazione dellathumbnailExif.AlcuniprogrammicomeGIMPpossono aggiornare l' anteprima Exif. Persalvare il file, alla fine delle operazioni difotoritocco,fareclicksuSaveas..chesitrovanelmenuFile,selezionarel'estensioneJPGepremere Save. Nella finestra che si apreselezionare Save thumbnail e premere dinuovoSave.

STEGANOGRAFIA:ESTRARREDATINASCOSTISteganografiaunaparolachederivadalgrecoesignificascritturanascosta.Lasteganografia unatecnicachepermettedinasconderedeimessaggitestualiallinternodiunfileimmagine(generalmenteinformatoJPG).IlmetodopiutilizzatoperlasteganografialalgoritmoLSB(LeastSignificantBit),chesibasasulfattocheognipixeldiunimmaginecompostodaundifferentecoloreecambiandoilbitmenosignificativodiunpixelilcontenutodellimmaginerimarrlostesso(almenoperl'occhioumano).LalgoritmoLSBrichiedeuncontenitore(limmagineJPG),undato da nascondere (ad esempio un file txt) e una password per cifrare ilmessaggio.

Inseritiildatodanascondere,l'immaginecontenitoreelapassword,lalgoritmoLSBprocedecercandonelcontenitoretuttiibitmenosignificativi,sovrascivendoneognugnoconunbitdelfiledanascondereegenerandocosildatosteganografico.Ovviamenteesisteunlimiteaibitchesipossonosovrascrivereinunimmagine(oltreilqualecisarebberocambiamentitroppovistosinell'immagine)equindiunlimitealla dimensione del file che ci si pu nascondere dentro con una tecnica disteganografia. Il tool preposto, inCaine, anascondere file dentro immagini JPGmediantesteganografia Steghide. Perestrarre il file nascosto inun immaginesenzaconoscerelachiavesiusa invece Stegbreak. Perindividuareuncontenutonascostoinun'immaginesiutilizzaStegdetect.

CliccaresuStedetectnellaschedaAnalysis.Selezionare

InputDirectoryperselezionarelacartellachecontieneleimmaginida

analizzare.

CliccaresuRunStegdetectperavviarelanalisi.Siaprirunafinestradelterminale

dovesarindicatoilrisultatodellanalisi.

Seunimmaginerisultassepositivaaltest,avviareil

terminale,digitaresudosuepremeinvio.Poidigitarestegbreaktpnomefilee

premereInvio.

STEGANOGRAFIACONSTEGHIDE

CALCOLODELL'HASHDIUNFILE

Lafunzionehashunafunzionenoniniettivachemappaunastringadilunghezzaarbitraria in una stringa di lunghezza predefinita. Esistono vari algoritmi chepermettonodicalcolaregli hashdiunfile, masicuramentei pi diffusisonoloSHA1elMD5.Ognialgoritmorestituisceunastringaalfanumericaapartiredaunqualsiasiflussodibitdiqualsiasidimensione(pu essereunfilemaancheunastringa).L'output(ovverolastringadihash)dettodigest.Lhashdiunfiletipicodiessocostituiscequindiunidentificatoreunivocodiquelfile.

Lalunghezzadellhashvariaasecondadellalgoritmo(128bitperl'MD5,160bitperloSHA1o256bitperloSHA256).

Glihashsiusanoinanalisiforense,siapereffettuareconfrontitrafile,sia peresseresicuricheunfilenonsiastatomodificatodurantelindagine.Infattiancheunaminimamodificadel file comporterebbeunavariazionedell hash. Gli hashvengono anche utilizzati per identificare gli errori nella trasmissione di file: ilconfrontotralhashdelfilespeditoediquelloricevutopermettedicapireseunaopi parti del file sonostate alterate durante la trasmissione (molti siti indicanoaccantoadownloadslachecksumMD5oSHA1)IlsoftwarediCainechesioccupadelcalcolodeglihashGtkHash.GtkHashcalcoladidefaultlhashdiognifilechegli viene indicatoutilizzandol algoritmoSHA1eMD5ma possibileabilitare ilcalcolodellhashutilizzandofinoa27algoritmidifferenti.

Acquisitiiprivilegidiutenteroot(comandosudosu)digitaresteghideembedeftesto.xtcfimmagine.jpgppasswordepremereInvio.Ovviamentetesto.txtvasostituitoconilpercorsocompletodelfiledanascondere,immagine.jpgconquellodellimmaginecontenitoreepasswordconlapasswordpercifrareiltesto.Perestrarreiltestonascostonellimmagineincomandosteghideextractsfimmagine.jpgppassword.

RECUPERODATIDAUNCD/DVDDANNEGGIATO

MoltevolteunCDounDVDtalmenterigatocheinserendolonellettoreCD/DVDnon si riesce nemmeno a visualizzare i file che sono contenuti in esso. Perrecuperareidati inessocontenutibisognaallorautilizzareunsoftwarespecificocomeDvdDisasterchepermettedicreareimmagini.isodeisupportidanneggiati.AncheDvdisasterhadeilimiti:tuttiisettoridanneggiati(quindicheDvdisasternonriesce a leggere) vengonoriempiti condegli zero binari, se il CD/DVD troppodanneggiato, Dvdisasterriempir molti settori conil valoreequindimolti settorisarannoilleggibilianchenell'immagineisogenerata.

AvviareGtkHash,cliccandosuMenuepoisuForensics

Tools.

Cliccaresulliconaaformadicartella,inaltoadestra,perselezionareilfile.CliccaresuHashpercalcolarelhash.

CliccaresuViewepoisuPreferencesperpoter

sceglierealtrialgoritmipercalcolarelhash.

AvviareDvdDisasterdalmenuForensicsTools.

SelezionareillettoreCD/DVDcontenenteilsupporto

utilizzandoilmenuatendinanellangoloinaltoasinistra.

Aggiungerelaposizionedellimmagine.isodacrearee

cliccaresuReadnellacolonnadidestra.Attenderelafine

delloperazione.

CliccaresuCreate,chesitrovasottoilpulsanteReadeattendere.Aquestopuntol

immaginedelCD/DVDdanneggiatoprontaperesseremasterizzaconun

softwarecomeBraseroDiscBurner.

DATACARVINGCONPHOTOREC

IlDataCarvingilprocessodiricomposizionediframmentidifiledicomputer,inassenzadimetadatidelfilesystem.Ildatacarvingvieneresopossibiledallanalisidegli header edei footer.Gliheadereifootersonosequenzealfanumerichechesonosemprepresenti inunadeterminataposizionedi untipodi file (gli headerall'iniziodelfileeifooterallafine).Peresempiolheaderdiunfile JPEGsempre 0xFFD8FFIl. Lanalisidiquestesequenzepermettediricostuireunfile.IlprogrammadiCainechesioccupadidatacarving Photorec chepermettedi recuperaredaqualsiasi dispositivo file JPG,MP3,PDF,HTMLeTXTealtri.

ComeinAutopsy,ancheilrecuperodaticonPhotorechadeilimiti.Ancheinquestocaso se un file stato sovrascritto con un software di wiping le possibilit direcuperosonomoltoridotte(senonnulle).

AvviarePhotoRec,cliccandosuMenuepoisuForensicsTools.ScegliereildispostivodaanalizzareepremereInvio.

SelezionarelapartizionedeldispositivoepremereInvio.

AttenderechelanalisisiacomletataepremereInvioper

usciredallapplicazione.

ESPORTAZIONEDELREPORT

Allafinedellindaginepossibileesportareilreportautomaticochecontienetutteleindicazionisulleanalisieffettuateesuisupporticoinvolti(CD,DVD,chiavetteUSB,MemoryCards,ecc...).

IlreportpuessereesportatoinformatoHTMLeinformatoRTF.EsportandoloinRTFsipotrpoiintegrareconeventualinoteeaggiuntedellinvestigatoreutilizzandounqualsiasiwordprocessor,comeAbiword(inclusoinCaine).

SpostarsinellaschedaReportdellinterfacciacentraleefareclicksuHTMLFormat(per

esportareilreportinHTML)osuRTFFormat(peresportarloinHTML).

Nellafinestracheappareselezionarelalinguanellaqualesidesirasiascrittoil

reportepremereOk.

SelezionareilpercorsodidestinazioneecliccaresuOk.

Attenderecheilprocessovengacompletato.

BIBLIOGRAFIADELLEFONTI

AA.VV.,ComputerForensics,Apogeoeditore,Milano2007,p.366,35,00

MichelePetrecca,Steganografia:l'artedinascondereimessaggi,daLinuxMagazine(agosto2009annoXIn8),EdizioniMaster

AlessandroDiNicola,Linvestigatoredigitale,daLinuxMagazine(giugno2010annoXIIn6),EdizioniMaster

AA.VV.,Sullascenadelcrimine,daWinMagazine(luglio2010annoXIIIn7),EdizioniMaster

ContributoridiWikipedia,"Exchangeableimagefileformat",Wikipedia, L'enciclopedialibera,http://it.wikipedia.org/w/index.php?title=Exchangeable_image_file_format&oldid=31766119(indata31maggio2010).

ContributoridiWikipedia,"Steganografia",Wikipedia,L'enciclopedialibera,http://it.wikipedia.org/w/index.php?title=Steganografia&oldid=32070023(indata31maggio2010).

ContributoridiWikipedia,"Informaticaforense",Wikipedia,L'enciclopedialibera,http://it.wikipedia.org/w/index.php?title=Informatica_forense&oldid=31241898(indata31maggio2010).

http://www.cainelive.net/page11/page11.html

http://dvdisaster.net/en/

http://dvdisaster.net/en/index10.html

http://www.denisfrati.it/?p=525