Cari lettori di Tecnogaalxy, oggi parleremo di analisi forense, chissà quante volte avete sentito parlare in questo periodo di questa cosa.

Ma cos’è e a cosa serve l’analisi forense?

L’informatica forense è una branca della scienza digitale forense legata alle prove acquisite da computer e altri dispositivi di memorizzazione digitale.

Fino a qualche anno fa gli esperti di analisi forense erano ricercati solo dalle forze di polizia e autorità giudiziarie per ricercare informazioni su computer, device etc….

Questo ruolo è stato valorizzato e reso diciamo pubblico grazie alle nuove normative in tema di protezione dei dati in particolare parliamo del famoso GDPR (Regolamento Generale sulla Protezione dei Dati).

Il GDPR ha rivoluzionato le regole a livello europeo ed extraeuropeo, infatti oggi tutte le società di cyber security sottolineano l’importanza dei servizi di analisi forense e consigliano alle aziende di avere strumenti che consentano di registrare tutte le informazioni necessarie.

Uno degli obblighi più importanti del regolamento europeo (entrato in vigore il 25 maggio 2018), riguarda l’obbligo di notifica entro 72 ore di eventuali violazioni informatiche subite dall’azienda.

Le informazioni più specifiche possono essere fornite anche in un secondo momento, l’azienda violata ha però l’obbligo di essere in grado di ricostruire quanto accaduto e analizzarne le conseguenze.

Da qui entra in gioco l’analisi forense approfondita, a rendere più (stringente) questa esigenza è il regime sanzionatorio introdotto con il GDPR :

  1.  Una violazione può costare fino a 20 milioni di euro o il 4% del fatturato globale dell’azienda. PAZZESCO!!!

Ci sono aziende che spendono più in caffè che nella sicurezza informatica

Torniamo a noi…. la funzione dell’informatica forense non è solo quella di fare l’analisi dell’accaduto per ricostruire l’anatomia dell’attacco, ma la sua parte fondamentale è quella di ricostruire le attività dei pirati informatici nella fase di response.

Gli attacchi informatici che vengono fatti attualmente dai cyber criminali, verso le aziende, hanno raggiunto un livello di complessità alto, solo grazie ad un’analisi approfondita (nello stesso tempo veloce) delle strategie utilizzate dai cyber , consente di implementare sul campo un’azione di contrasto efficace.

L’analisi forense consente ad esempio di individuare eventuali backdoor lasciate dai cyber criminali nei sistemi attaccati,  (sono i punti di accesso primari che i cyber criminali hanno utilizzato per navigare all’interno della rete aziendale) per mettere a segno la violazione.

Di solito quando un’azienda viene attaccata, il cyber criminale ha avuto accesso ai sistemi qualche mese prima, in modo da prepararsi il campo di attacco, si parla di alcuni mesi, c’è prima tutta la parte di raccolta dati da parte del cyber criminale, per cercare di trovare un punto da sfruttare per entrare nel sistema.

L’analisi forense è fondamentale in fase di remediation, infatti la sua funzione si estende ben al di là della parte d’emergenza , infatti l’analisi dettagliata porta ad individuare gli anelli deboli nella catena della cyber security e agire per correggere le vulnerabilità trovate.

La parte di analisi è affidata a esperti del settore, ovviamente questa fase è fattibile se utilizza un SIEM (Security Information and Event Management) la migliore garanzia per avere a disposizione i dati necessari.

Infatti i sistemi SIEM hanno proprio la funzione di registrare tutti i log relativi agli eventi che succedono all’interno della rete aziendale (network aziendale).

Quali strumenti utilizzano gli esperti di analisi forense?

Ci sono diversi tool/software sia su Windows che su kali Linux da utilizzare per fare analisi forence, uno di questi è FTK Imager che funziona sotto Windows ed è anche free, scaricabile dal seguente link: https://www.bit4law.com/.

Quando l’hard disk da copiare è cifrato la copia forense di un hard disk cifrato genera una copia bit a bit cifrata.

Qualora fosse disponibile la password è possibile accedere ai dati in chiaro, in caso contrario ciò non è possibile.

Vediamo come è possibile acquisire una copia forense del supporto decifrato quando si interviene su un computer già acceso procedendo con un’acquisizione live oppure su un hard disk decifrato a volo, collegandolo a un write blocker, per un’acquisizione post mortem.

FTK Imager consente di visualizzare un’anteprima del contenuto di un volume fisico, di un volume logico o di un’immagine forense, permette anche la visualizzazione dei contenuti,  inoltre consente di eseguire la copia forense di un computer, di hard disk, di SSD e di ogni altro supporto di memorizzazione e di eseguire la copia forense della RAM.

Vediamo le funzionalità di FTK Imager

  • Crea immagini forensi di dischi rigidi locali, floppy disk, dischi Zip, CD e DVD
  • Crea copia di intere cartelle o singoli file da vari punti all’interno del file system del supporto in esame
  • Effettua il dump della memoria RAM
  • Visualizza in anteprima file e cartelle su dischi rigidi locali, unità di rete, floppy disk, dischi Zip, CD e DVD
  • Visualizza in anteprima il contenuto delle immagini forensi memorizzate sul computer, su un supporto esterno o su un’unità di rete
  • Esegue ricerche per parola chiave per ASCII ed esadecimale
  • monta un’immagine per una vista di sola lettura tramite l’esplora risorse di Windows
  • Esporta file e cartelle da immagini forensi
  • Visualizza e recupera i file che sono stati eliminati dal Cestino, che non siano stati ancora sovrascritti
  • Calcola l’hash di dischi rigidi locali, floppy disk, dischi Zip, CD e DVD
  • Calcola l’hash di un’immagine forense
  • Infine calcola l’hash dei vari file contenuti in un’immagine forense o in un file system

Ti aspetto sul mio canale YouTube

Come sempre fatene buon uso facendo dei test su vostri device / computer , farli su device/computer non vostri è illegale.

Al prossimo articolo 😊

N.B.: Non mi assumo nessuna responsabilità dell’uso che farete della guida, in quanto stilata per uso didattico e formativo.

Giorgio Perego

IT Manager

Leggi anche:

Ti è stato di aiuto questo articolo? Aiuta questo sito a mantenere le varie spese con una donazione a piacere cliccando su questo link. Grazie!

Seguici anche su Telegram cliccando su questo link per rimanere sempre aggiornato sugli ultimi articoli e le novità riguardanti il sito.

Se vuoi fare domande o parlare di tecnologia puoi entrare nel nostro gruppo Telegram cliccando su questo link.

© Tecnogalaxy.it - Vietato riprodurre il contenuto di questo articolo.