Informatica forense – Acquisizione di evidenze da Internet

iStock_000026158132Small-300x225In questo post descrivo una procedura per l’acquisizione di potenziali fonti di prova digitale dalla rete che sia il più possibile solida. L’acquisizione dalla rete di pagine web, file o altri tipi di contenuto è problematica dal punto di vista dell’informatica forense e in particolare della necessità di garantire l’integrità delle evidenze. Inoltre l’accesso ai server dove fisicamente risiedono i contenuti è spesso difficile se non altro per motivi geografici e c’è sempre la possibilità che il contenuto venga modificato, alterato o cancellato.

Principi generali

  • Tutte le attività svolte è opportuno siano videoregistrate, ovviamente in un unico file e senza interruzioni
  • Anche il traffico di rete scambiato durante le operazioni va catturato nella sua interezza. Correlato alla registrazione video, il file contenente l’intero traffico scambiato tra la postazione di lavoro e il o i server in esame garantisce la veridicità del contenuto visualizzato o scaricato.
  • Come in tutte le attività svolte nel corso di investigazioni digitali, gli strumenti software usati vanno documentati in dettaglio – comprese le versioni esatte – in sede di relazione tecnica, compreso l’ambiente in cui si è operato.
  • Dei risultati ottenuti (registrazione video, registrazione del traffico, eventuali file scaricati) vanno calcolati gli hash per cristallizzarne l’integrità. Eventualmente si possono apporre firma digitale e marcatura temporale (a norma di legge) per certificare il momento dell’acquisizione (o almeno porre un limite ultimo).

Procedura

1 Iniziare la registrazione video

2 Verifiche di integrità

Si verifica che la directory di lavoro non contenga alcun file, così da assicurare che eventuali file saranno effettivamente scaricati da remoto e non già presenti e che effettivamente non sono presenti file video oppure contenenti il traffico generato.

pwd
 ls

Si verifica successivamente che il sistema di risoluzione dei domi a dominio (DNS) effettivamente stia operando correttamente, in modo da assicurare che l’indirizzo IP di destinazione dell’analisi sia quello reale. Viene visualizzata la configurazione del sistema DNS della stazione di analisi, verificando così che i server DNS configurati sono remoti e possibilmente ben conosciuti (nell’esempio si tratta dei server pubblici di Google).

cat/etc/resolv.conf
nameserver 8.8.8.8
nameserver 8.8.4.4

La data e l’ora va verificata attraverso una fonte esterna, ad esempio un server ntp, ma prima si verifica anche la configurazione del client ntp della stazione di analisi.

cat /etc/ntp.conf
 server time.euro.apple.com.
ntpd -q
date

3 Iniziare la registrazione del traffico

4 Acquisizione

L’analista può adesso procedere a visitare i siti e le risorse da esaminare, navigando normalmente ed eventualmente scaricando file di interesse nella directory di lavoro. Nel caso il traffico non sia crittato (https) sarà possibile anche estrarre successivamente dal traffico scambiato pagine, immagini e file visualizzati.

5 Conclusione

Acquisite le risorse di interesse si può concludere la cattura del traffico, verificare che questi file e altri eventualmente scaricati siano presenti nella directory, calcolare i relativi hash e concludere anche la registrazione video. Se lo si ritiene necessario i file contenenti la registrazione dell’attività (video e traffico di rete) possono essere firmati digitalmente. La firma digitale e la marca temporale hanno valore legale in Italia.

6 Analisi

La fase di analisi a rigore è successiva a quella di acquisizione e le attività da svolgere naturalmente variano in funzione degli scopi delle operazione e dello specifico caso. Tra le possibilità più utili si possono però almeno citare l’estrazione degli oggetti dal traffico scambiato (il formato .pcap è lo standard de facto) e la ricostruzione delle interazioni tra client e server che si sono svolte.

Aggiungi ai preferiti : Permalink.

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *