introduzione

Abbiamo trattato un'introduzione all'analisi forense digitale. Abbiamo parlato di cosa è considerata una prova digitale, cosa viene raccolto sulla scena del crimine, qual è la catena di custodia e come le prove digitali vengono archiviate, elaborate e analizzate. Abbiamo preso un esempio pratico analizzando i metadati di file formattati in PDF e JPG. Abbiamo estratto i dati EXIF dall'immagine e i metadati dal documento PDF. Questo faceva parte di “introduzione alla sicurezza informatica" traccia in TryHackMe.

Appunti sul campo di informatica forense

La medicina legale è l'applicazione della scienza per indagare sui crimini e stabilire i fatti. Con l'utilizzo e la diffusione dei sistemi digitali, come computer e smartphone, è nata una nuova branca della medicina legale per indagare sui crimini correlati: la computer forensics, che successivamente si è evoluta in, forense digitale.

Più formalmente, la digital forensics è l’applicazione dell’informatica per indagare sulle prove digitali per scopi legali. La digital forensics viene utilizzata in due tipi di indagini:

  1. Indagini nel settore pubblico fare riferimento alle indagini condotte dal governo e dalle forze dell'ordine. Farebbero parte di un crimine o di un'indagine civile.
  2. Indagini nel settore privato si riferiscono alle indagini svolte da organi aziendali mediante l'assegnazione di un investigatore privato, interno o esterno. Sono innescati da violazioni delle politiche aziendali.

Sia che si stia indagando su un crimine o su una violazione delle politiche aziendali, parte delle prove sono legate ai dispositivi digitali e ai media digitali. È qui che entra in gioco la digital forensics che cerca di stabilire cosa sia successo. Senza investigatori forensi digitali formati, non sarà possibile elaborare correttamente le prove digitali.

Cosa dovresti fare come investigatore forense digitale? Dopo aver ottenuto l'autorizzazione legale adeguata, il piano di base è il seguente:

  1. Acquisisci le prove: raccogli i dispositivi digitali come laptop, dispositivi di archiviazione e fotocamere digitali. (Nota che laptop e computer richiedono un trattamento speciale se sono accesi; tuttavia, questo non rientra nell'ambito di questa stanza.)
  2. Stabilire una catena di custodia: compilare adeguatamente il modulo correlato (Modulo campione). Lo scopo è garantire che solo gli investigatori autorizzati abbiano accesso alle prove e nessuno possa averle manomesse.
  3. Metti le prove in un contenitore sicuro: vuoi assicurarti che le prove non vengano danneggiate. Nel caso degli smartphone, è necessario assicurarsi che non possano accedere alla rete, in modo che non vengano cancellati da remoto.
  4. Trasporta le prove nel tuo laboratorio forense digitale.

In laboratorio il processo è il seguente:

  1. Recupera le prove digitali dal contenitore sicuro.
  2. Creare una copia forense delle prove: la copia forense richiede un software avanzato per evitare di modificare i dati originali.
  3. Riporta la prova digitale nel contenitore sicuro: lavorerai sulla copia. Se danneggi la copia, puoi sempre crearne una nuova.
  4. Inizia a elaborare la copia sulla tua workstation forense.

I passaggi precedenti sono stati adattati da Guida all'informatica forense e alle indagini, 6a edizione.

Più in generale, secondo l'ex direttore del Defense Computer Forensics Laboratory, Ken Zatyko, la digital forensics comprende:

  • Autorità di ricerca adeguata: gli investigatori non possono iniziare senza l'autorità legale adeguata.
  • Catena di custodia: è necessaria per tenere traccia di chi deteneva le prove in qualsiasi momento.
  • Convalida matematica: utilizzando un tipo speciale di funzione matematica, chiamata funzione hash, possiamo confermare che un file non è stato modificato.
  • Utilizzo di strumenti convalidati: gli strumenti utilizzati nell'analisi forense digitale dovrebbero essere convalidati per garantire che funzionino correttamente. Ad esempio, se stai creando un'immagine di un disco, vuoi assicurarti che l'immagine forense sia identica ai dati sul disco.
  • Ripetibilità: i risultati dell'analisi forense digitale possono essere riprodotti purché siano disponibili le competenze e gli strumenti adeguati.
  • Reporting: L'indagine di digital forensics si conclude con un report che mostra le prove relative al caso scoperto.

Risposte alle sfide

Considera la scrivania nella foto sopra. Oltre allo smartphone, alla fotocamera e alle schede SD, cosa potrebbe interessare alla scienza forense digitale?

È essenziale tenere traccia di chi se ne occupa in qualsiasi momento per garantire che le prove siano ammissibili in tribunale. Come si chiama la documentazione che aiuterebbe a stabilirlo?

Utilizzando pdfinfo, scopri l'autore del file PDF allegato.

Utilizzando eiftool o qualsiasi strumento simile, prova a scoprire dove i rapitori hanno preso l'immagine che hanno allegato al loro documento. Qual è il nome della strada?

Qual è il nome del modello della fotocamera utilizzata per scattare questa foto?

Videoprocedura dettagliata

, , , ,
Mostra commenti

Motasem

Circa l'autore

Creo note sulla sicurezza informatica, note di marketing digitale e corsi online. Fornisco anche consulenza di marketing digitale, inclusi ma non limitati a SEO, annunci Google e Meta e amministrazione CRM.

Visualizza articoli