Blog di Exodus1984

Tecnologia, informatica, natura, e l'intero universo.... :-)

 

AREA PERSONALE

 

ARCHIVIO MESSAGGI

 
 << Marzo 2024 >> 
 
LuMaMeGiVeSaDo
 
        1 2 3
4 5 6 7 8 9 10
11 12 13 14 15 16 17
18 19 20 21 22 23 24
25 26 27 28 29 30 31
 
 

FACEBOOK

 
 
Citazioni nei Blog Amici: 3
 

 

« Terrorismo e privacy: co...Assistenze informatiche:... »

Computer Forensics: le investigazioni digitali.

Post n°138 pubblicato il 14 Febbraio 2016 da exodus1984

Cari bloggers questo mese parliamo di distribuzioni per la Computer
Forensics, ma lo scopo di questo post è in realtà quello di far
capire alle persone il rapporto privacy/sicurezza che di questi
tempi è bene tenere sempre presente.

Premetto che adoro le distribuzioni per la Computer Forensics, ma
questo è solo un mio personale vizio informatico. ;-))
Devo dire che usando queste distro, ho potuto risolvere migliaia
di problemi, e quindi oggi dovevo assolutamente fare un nuovo
post su questo argomento per rendere giustizia al grande lavoro
che viene svolto dai programmatori dei tool forensi e dagli
sviluppatori delle distribuzioni che li raccolgono e li rendono
disponibili a tutti. :-)

Iniziamo dunque con le dovute spiegazioni, molti dei miei utenti
avevano chiesto se la sicurezza informatica dei loro sistemi
poteva essere compromessa dall'uso indiscriminato di particolari
distribuzioni create per la Computer Forensics, infatti questo
post vuole trattare proprio questo argomento per comprendere
come vengono usate queste distribuzioni, ma molte volte è l'etica
personale dell'operatore che decide se effettuare o meno una
ricerca mirata di informazioni violando la privacy degli utenti.

Le distribuzioni per la computer forensics, sono state sviluppate
proprio per questo motivo, ovvero trovare tracce informatiche che
possano essere usate come prova valida di un crimine.
E i crimini informatici ormai sono all'ordine del giorno, non sono
da meno il terrorismo e le truffe informatiche, ma la computer
forensics si è evoluta e oggi viene usata sempre di più anche per
crimini che non hanno a che fare con la tecnologia in particolare.

Trovare le prove informatiche per i presunti terroristi, oggi
può essere un problema, in quanto esistono sezioni di sviluppo
per il software gestite direttamente in questo caso dall'isis.
E le distribuzioni per la Computer Forensics come se la cavano?
Direi che se la cavano abbastanza bene, anche se le cifrature
sviluppate e distribuite dai suddetti gruppi terroristici hanno
al loro interno una notevole tecnologia in grado di dare molto
filo da torcere alle varie sezioni di Intelligence del mondo.

Le cifrature che utilizzano "chiavi effimere", ovvero che sono
valide per il solo transito dei dati, sono anche quelle che possono
dare i maggiori problemi per poter trovare delle prove valide
durante un'indagine informatica a questi livelli.
La cifratura dei dati viene fatta in diversi modi, ma tutti hanno
sempre un nucleo di partenza che converte i dati in altre sequenze
di dati più o meno comprensibili ad un eventuale osservatore.
Trovare evidenze digitali per il problema della cifratura è stato
ed è sempre più difficile, ma in alcuni casi è stato risolto
trovando i colpevoli, chi si ricorda gli avvenimenti della rete
Tor può capire bene di cosa sto parlando. :-)

Parlando ancora di digital forensics, ci si rende conto che ormai
questa disciplina ci porta davvero molto lontano, e che se appena
quindici anni fa parlare di evidenze digitali era considerata
pura eresia, oggi si trovano "esperti forensi" un po dappertutto
ma il consiglio che posso dare è certamente questo: affidatevi
solo a professionisti, perché molti di questi "esperti" potrebbero
non risolvere il caso che voi avete affidato a loro, e le vostre
prove fisiche potrebbero andare perdute per sempre, lasciando le
vostre indagini ad un punto morto.

Il nuovo mercato che oggi si apre alla Digital Forensics, è molto
vasto, e in questo oceano di dati, troviamo anche i classici
"squali informatici", ovvero esperti improvvisati che tentano di
fare parecchi soldi sfruttando le loro poche conoscenze informatiche
prendendo lavori sia da aziende che da privati cittadini.
Dunque, posso capire la necessità delle aziende che devono difendersi
dallo spionaggio industriale, ma i cittadini??? ;-))
Il privato cittadino è sempre molto curioso di sapere tutto quello
che fanno gli altri suoi vicini, o quello che la moglie fa al
computer, se ha l'amante o meno, allora entra in gioco la curiosità
e il semplice cittadino si trasforma in un investigatore digitale.

Da tutto questo, si evince che la privacy può essere violata in
diversi modi, usando appunto anche le distribuzioni forensi.

Un banale esempio di una scena del crimine:

la moglie usa i social network, il marito geloso controlla a sua
insaputa il pc della moglie cercando delle evidenze digitali, poi
riesce a ricostruire l'evento e ad incastrare la moglie... ;-)))

Non vi dico quante volte mi è stato chiesto di effettuare questo
tipo di indagine, che esula però dai miei impegni informatici e
pertanto ho sempre risposto di non essere disponibile a svolgerle.
Le evidenze digitali che vengono cercate e usate dagli "esperti"
improvvisati sono proprio queste, gelosie tra moglie e marito e
il controllo dei figli e dei loro telefoni cellulari. ;-)

Da una parte la Digital Forensics applicata ai figli va bene per
sapere se compiono atti illegali o se frequentano cattive compagnie.
Dalla parte della privacy invece si potrebbero creare delle
divergenze che potrebbero portare allo scontro i membri di tutta
la famiglia.
  
Per una normativa sulla Digital Forensics, potete cercare in rete
lo standard ISO27037.

Continuiamo a fare le nostre valutazioni, le distribuzioni
GNU/Linux costruite per trovare le evidenze digitali, possono
come in questi casi, essere usate benissimo anche per altri scopi
non previsti dalla distribuzione stessa.
Come per tutte le cose, abbiamo anche qui un lato buono e un lato
oscuro, e talvolta, il confine tra i due è davvero effimero...;-)

Pertanto, che cosa abbiamo visto in questo semplice post?
Abbiamo capito che il confine tra il bene e il male esiste ed è
basato essenzialmente sull'etica formata dal singolo operatore,
ma a volte gli operatori improvvisati varcano questo confine
senza rendersi conto delle conseguenze, violando l'etica
professionale che un vero esperto deve sempre avere e la privacy
dei singoli utenti.

Esistono distribuzioni GNU/Linux create per distruggere qualsiasi
archivio informatico, queste tecniche fanno parte di quella che
viene definita oggi Anti-Digital-Forensics, ovvero l'altro lato
della medaglia della Digital-Forensics.

In questo campo troviamo le cifrature di livello avanzato, come
quelle utilizzate nei propri plug-in di comunicazione dall'isis,
Gimf e Ftc, in programmi di messaggistica istantanea come Pidgin.
Le piattaforme di cifratura più diffuse nei moderni gruppi
terroristici sono il plug-in Asrar Al-Dardashah, sviluppato dal
Gimf nel 2013, quindi Tashfeer Al-jawwal sempre del 2013 usato
per i telefoni che si basano sul sistema operativo Symbian e
Android.
In seguito al deterioramento dei rapporti tra i vari gruppi, nel
2013 l'isis ha sviluppato Asrar Al-Ghurabaa, mentre una alternativa
è stata proposta dal Ftc nel dicembre dello stesso anno con il
nome di Amn Al-Mujahid.
Da tutto questo si evince che l'informazione cifrata è ad oggi
il dato più ricercato e piu studiato, non solo in ambito forense
ma anche come abbiano visto, sia da delinquenti che da terroristi.

Esistono poi altri sistemi che consentono di distruggere interi
terabyte di dati in pochi secondi, lasciando gli investigatori
digitali praticamente a bocca asciutta, senza avere la minima
possibilità di recuperare più alcuna informazione utile.
In questo caso se l'archivio era anche cifrato, allora le cose
si complicano e i risultati di una indagine di questo tipo non
sono affatto scontati o prevedibili...;-))

Per capire meglio le investigazioni digitali su computer, esistono
alcuni tool liberi, che permettono agli utenti del sistema operativo
Windows di capire cosa non va nel loro computer oppure se e come
può essere stato usato da altre persone e per fare cosa, lasciando
l'utente originale come succede spesso, nei guai anche con la
giustizia... ;-)

Per usare questi tool dovete scaricare un unico eseguibile da
questo sito web:

http://win-ufo.org/downloads.shtml

il peso è di circa 340 Mb, quindi fate attenzione se scaricate
da reti mobili per poi trasferirlo sul sistema, in base al vostro
piano tariffario potrebbe costarvi tempo e denaro, meglio se
usate un wifi libero o una connessione a ore. :-)

Potete usare anche un altro software per Windows scaricabile a
questo indirizzo web:

http://www.sleuthkit.org/autopsy/

Come spiega la pagina, Autopsy è un sistema grafico di
interfacciamento a The Sleuth Kit una libreria di comandi per
l'investigazione del filesystem a linea di comando.

Per gli utenti GNU/Linux che vogliono provare a spippolare un
computer facendo gli investigatori digitali, devo segnalare i
miei due progetti D.F. preferiti:

C.A.IN.E.
Computer Aided Investigative Environment

http://www.caine-live.net/

DEFT
Digital Evidence & Forensic Toolkit

http://www.deftlinux.net/it/


Per le persone che lo hanno chiesto, volevo precisare che il sistema
RATTO 7 non fa parte di quelle che si possono definire davvero
"distribuzioni per Computer Forensics", come i progetti sopra
elencati che seguo, ma fa parte di un programma per l'anonimato
e la privacy, e per questo motivo alcuni utenti hanno pensato
che questo sistema potesse essere usato anche per l'Anti-Digital-
Forensics che è tutta un'altra cosa.

Durante le mie ricerche, studio sempre i sistemi anti-forensics
per costruire poi alcuni programmi che possano rilevare tutti i
particolari tentativi di nascondere le tracce, e vi posso garantire
che si impara molto guardando i due lati di questa medaglia. :-))

Essere anonimi non vuole dire essere per forza anche dei volgari
delinquenti, il sistema RATTO ha salvato migliaia di installazioni
negli ultimi anni, ed è stato usato per i test di darknet
intelligence sulle reti cifrate, viene usato oggi come base di
apprendimento per corsi informatici e per lo sviluppo di nuovi
programmi e servizi per la navigazione su rete cifrata.

IL progetto "RATTO" è quindi giustamente "anonimo", anche se a
suo tempo ne ho parlato apertamente su questo blog, e rispondendo
alla domanda che era stata fatta per questo post, la risposta è
"SI", si può usare anche una distribuzione per la Computer Forensics
per violare la privacy di qualsiasi utente. :-))

Concludendo, rispondo ad un'ultima domanda fatta durante la prima
preparazione di questo post: il mio profilo psicologico è di tipo
investigativo, ma questo non vuole dire che io debba fare per forza
questo tipo di lavoro, e non ha nulla a che vedere con le
distribuzioni GNU/Linux per le investigazioni forensi, anche se
le uso parecchio per le mie ricerche.

Usare una distribuzione per la computer forensics non vuole dire
essere un investigatore digitale, io sono semplicemente una persona
normale a cui piace sperimentare e creare nuovi programmi per fare
cose diverse sulle varie reti cifrate e in chiaro. :-)
Conoscere il proprio profilo psicologico è utile per decidere
quale strada prendere, è utile per migliorarsi e per cercare di
fare ancora meglio quello che ci piace, ma come dicevo prima, non
devo essere per forza un investigatore...(e non lo sono...) ;-)))
(di questa cosa, ne riparleremo più avanti...) :-)

Quindi, cari utenti e cari bloggers, usate questi strumenti per
divertirvi e per imparare, ma soprattutto seguite la giusta etica
e non fatevi passare per "professionisti" se non lo siete, ci
sono davvero troppi falsi investigatori digitali che sfruttano
queste situazioni per fare soldi facili.
 
Bene, spero di avere chiarito tutte le situazioni informatiche che
mi erano state richieste con buona insistenza, e come sempre un
saluto a tutti voi, buona navigazione e buon divertimento. ;-))

 
 
 
Vai alla Home Page del blog
 
 

INFO


Un blog di: exodus1984
Data di creazione: 06/03/2012
 

CERCA IN QUESTO BLOG

  Trova
 

ULTIME VISITE AL BLOG

Udine_accommodationgiangi194624Santina3mizardellorsarocco250maya2009Sensivillatonibaretta0cromosomoColuiCheVaPhon31rpb.rettificadanypellDukewoflstefano.morgan
 

CHI PUÒ SCRIVERE SUL BLOG

Solo l'autore può pubblicare messaggi in questo Blog e tutti gli utenti registrati possono pubblicare commenti.
 
RSS (Really simple syndication) Feed Atom
 
 
 

© Italiaonline S.p.A. 2024Direzione e coordinamento di Libero Acquisition S.á r.l.P. IVA 03970540963