Gli strumenti forensi digitali (DFT – Digital Forensic Tool) sono indispensabili per condurre un’analisi forense approfondita e accurata nel campo della sicurezza informatica. La scienza digitale forense, utilizzando questo tipo di strumenti nelle diverse fasi dell’investigazione, consente di identificare, acquisire, analizzare, interpretare e presentare le prove digitali in modo professionale e convincente. Dunque, per garantire la sicurezza dei dati e perseguire con successo i responsabili di attività illecite o violazioni della sicurezza informatica, investire nei DFT può fare la differenza.
La nuova era della scienza digitale forense
Sottocampo della scienza forense chiamato informatica forense o scienza digitale forense, questa branca si concentra sulla ricerca, l’ottenimento, l’elaborazione, l’analisi e la documentazione dei dati archiviati elettronicamente. Il suo contributo è essenziale per le indagini delle forze dell’ordine, dal momento che le prove elettroniche fanno parte di quasi tutte le attività criminali. In questo senso gli strumenti forensi digitali supportano in vario modo i professionisti:
- Gli esperti ne hanno bisogno per scoprire, analizzare e interpretare le prove digitali
- Le forze dell’ordine utilizzano strumenti forensi digitali quando risolvono i crimini
- Le aziende li utilizzano anche per rispondere agli incidenti e recuperare dati
Strumenti forensi digitali: cosa sono e a che cosa servono
Nell’ambito della sicurezza informatica, gli strumenti forensi digitali svolgono un ruolo fondamentale per condurre analisi esaustive e approfondite. Ad esempio, le organizzazioni possono utilizzare strumenti di analisi forense digitale per analizzare come si è verificata una violazione, capire se gli aggressori hanno avuto accesso o eseguito esfiltrazione di dati e come gli autori malintenzionati si sono mossi attraverso la rete. Grazie a questo tipo di informazioni, le aziende possono descrivere accuratamente e spiegare un attacco ai loro stakeholder e alle forze dell’ordine. I DFT, sia hardware che software, possono essere suddivisi in diverse categorie, ognuna delle quali è correlata a una specifica fase dell’investigazione
1. Strumenti per l’identificazione e l’acquisizione delle evidenze
La fase iniziale di un’analisi forense digitale richiede l’identificazione e l’acquisizione delle evidenze digitali. Gli strumenti hardware utilizzati in questa fase includono lettori di dischi rigidi, duplicatori di dati, adattatori per la connessione di dispositivi di archiviazione e hardware per l’acquisizione di immagini di memoria. Allo stesso modo, i software forensi consentono di acquisire in modo sicuro le prove digitali, garantendo l’integrità e la non alterazione dei dati.
2. Strumenti per l’analisi delle prove
Una volta acquisite le evidenze digitali, è necessario analizzarle per individuare informazioni rilevanti per l’investigazione. Gli strumenti software forensi consentono di esaminare i file, analizzare i metadati, recuperare dati cancellati e identificare attività sospette. Questi strumenti possono aiutare gli investigatori a ricostruire gli eventi, identificare le persone coinvolte e determinare le modalità di attacco o violazione.
3. Strumenti per l’interpretazione e la presentazione delle prove
Una volta analizzate le prove digitali, è essenziale interpretarle e presentarle in modo chiaro e comprensibile. Gli strumenti forensi digitali contribuiscono a organizzare meglio le informazioni sotto forma di rapporti dettagliati, creare grafici temporali delle attività, visualizzare le relazioni tra i soggetti coinvolti e presentare le prove in modo convincente durante un processo legale.
4. Strumenti per la protezione delle prove
Durante l’intero processo di analisi forense è fondamentale garantire la protezione delle prove digitali per preservarne l’integrità e l’affidabilità. Gli strumenti hardware e software per la protezione delle prove includono firewall, sistemi di crittografia, software di autenticazione e strumenti per il backup e il ripristino dei dati. Questi strumenti contribuiscono a evitare manipolazioni o alterazioni delle prove digitali.
Evoluzione dei Digital Forensic Tool
L’uso diffuso dei DFT fornisce informazioni sulle tattiche, le tecniche e le procedure dei gruppi criminali informatici. Questi strumenti spaziano da suite di strumenti onnicomprensivi a singoli prodotti dedicati progettati per attività specifiche. Molti esperti di informatica forense utilizzano più strumenti per gestire diversi aspetti del processo forense, a seconda dei requisiti dell’indagine. Di seguito i cinque strumenti più utilizzati nel 2023.
1. Magnet Axiom
Magnet Axiom è comunemente utilizzato per l’analisi di alto livello, supportando l’indagine e l’analisi dei dati informatici, mobili, cloud e veicolari (mezzi e flotte aziendali). Le sue caratteristiche più vantaggiose includono l’automazione e un’interfaccia utente progettata per essere intuitiva e semplice da utilizzare. Axiom offre una visualizzazione ottimizzata, formattando i risultati dell’indagine in modo più chiaro e trasparente, rendendo questo strumento utile anche per investigatori meno tecnici.
2.Cellebrite
Cellebrite è il fornitore di riferimento per gli strumenti forensi digitali dell’ecosistema mobile, offrendo un ampio supporto per i dispositivi portatili e l’estrazione avanzata dei dati. Cellebrite offre diverse piattaforme, tra cui Cellebrite Universal Forensic Extraction Device, Cellebrite Premium Enterprise, Cellebrite Premium as a Service e Cellebrite Inspector. I suoi prodotti possono essere utilizzati in combinazione con altri strumenti forensi digitali. Ad esempio, un investigatore di sicurezza informatica può effettuare l’analisi forense del computer con Magnet Axiom e poi passare a Cellebrite per l’estrazione e l’analisi dei dati mobili.
3. Velociraptor
Velociraptor è uno strumento open source progettato per supportare i team di sicurezza interni al fine di raccogliere prove forensi su tutti gli endpoint. Può rapidamente raccogliere e archiviare i log degli eventi dagli endpoint di un’organizzazione in modo che i team di sicurezza possano esaminarli per individuare attività sospette. Questo leggero DFT è ancora relativamente nuovo sul mercato, ma vanta uno sviluppo costante e una comunità attiva su Discord per la risoluzione di problemi e altro.
4. WireShark
Utilizzato da oltre 20 anni, Wireshark è uno strumento open source per l’analisi di rete che mostra ogni pacchetto di rete inviato e ricevuto da un dispositivo, consentendo all’investigatore di analizzare il tipo di traffico, nonché la sua origine e la sua destinazione. Questo prodotto è adatto per analizzare una potenziale violazione dei dati al fine di individuare dove l’attaccante sta inviando dati compromessi. Wireshark esamina il traffico di rete cablato e wireless per ottenere informazioni sulla connessione e persino il contenuto di un singolo pacchetto.
5. X-Ways Forensics
X-Ways Forensics è uno strumento per investigatori che preferiscono un’analisi manuale approfondita anziché affidarsi all’automazione. Vanta funzionalità tecniche avanzate per l’analisi del disco, come la cattura e la dettagliata descrizione dei contenuti del drive, dello slack space e dello spazio interpartizione. Può essere utilizzato anche su hardware limitato. Gli esperti forensi possono iniziare la loro analisi con altri strumenti, come Magnet Axiom, per poi approfondire l’analisi utilizzando X-Ways.