venerdì 13 gennaio 2006

Elementi di computer forensics

Salve a tutti,
la computer forensic e l'incident response...queste due discipline così affascinanti e misteriose.
La domanda è: come si fa a diventare un investigatore informatico?
Bhè da quello che ho capito ci sono soltanto due modi:
1) iscriversi all'albo dei periti informatici (attenzione periti e non ctu) cioè i tecnici del tribunale PENALE e non civile (cause civili con repertamento di prove informatiche sono rarissime).
2) essere chiamati come CTP (Consulenti tecnic di parte) da qualche vostro amico avvocato penalista.
3) The last but least (non è un errore è voluto)  studiare e procurarsi i software e gli hardware per fare la professione del criminologo informatico.

Il punto dolente è, che se ci procuriamo o software e gli hardware, studiamo, ci esercitiamo ecc. si rischia di rimanere anni ed anni senza mai fare nulla, perchè se il punto 1) non dà risultati difficilmente sarete chiamati da qualcuno.

Per quanto riguarda il punto 3) i mezzi per iniziare gratis ci sono, ad esempio la distribuzione knoppix o la F.I.R.E. oppure quella italiana IRItaly, che sono delle suite di tools (linux) per repertare le prove informatiche.
Una delle cose più rilevanti nella forensic è quella di creare l'immagine del disco dell'imputato nel modo più preciso possibile, detto in gergo in raw mode o a bit a bit.
Gli strumenti più in voga sono: Encase (commerciale e non molto preciso) e DD (Disk Dumper) freeware sia per linux che per Microsoft.
Una volta acquisita l'immagine del disco, si può andare a casa e cominciare a fare l'autopsia, sulla vostra immagine, lasciando così l'imputato libero di continuare ad usare il suo pc.
A questo punto ci sono altri strumenti come strings ecc. che permettono di ricercare stringhe in tutta l'immagine, oppure software che rivelano le jpeg, le steganografie, gli ultimi url, ecc. ecc.
Il problema di tutto questo è che non vi è ancora un protocollo standard che disciplina il repertamento delle prove informatiche, la catena di custodia, il come conservare alcune prove, per glii ubiqus computer (ho scritto bene?) , cioè tutti quei computer che non appaiono come computer, tipo i palmari, le playstation, i cellulari smartphones, le memory card, ecc. ecc.
Ecco ho finito....a voi qualche suggerimento
ciao