Forensic & anti-forensic
Sono ormai dieci anni che mi occupo costantemente di computer forensic, prima, ed ora di digital forensic, ma da qualche tempo si parla sempre più insistentemente di anti-forensic.
Iniziamo a spiegare che cosa è la digital fornsic per poi illustrare la sua antitesi.
Come nel mondo reale esistono gli investigatori che, basandosi su tracce lasciate dal bandito riescono a costruire prove, meglio se definito castello accusatorio, tali da incastrare il criminale di turno, cosi nel mondo digitale esistono degli investigatori detti “digital investigators”, che analizzano tracce informatiche, per incastrare cyber criminali.Accademicamente si parla di digital forensic. Siamo tutti abituati, ormai da serie televisive blasonate tipo C.S.I. ad assistere a veri miracoli tipo la riaccensione di computer a prima vista danneggiati irreparabilmente, o a recuperare dati cancellati.
Ebbene, se non con la stessa semplicità e con le medesime tempistiche (ultraveloci),quelle che ho appena accennato sono alcune delle cose che normalmente un investigatore digitale fa, ma proviamo a dare una definizione alla materia.
La digital forensic si occupa dell’acquisizione, dell’identificazione, dello studio, delle informazioni contenute nei sistemi informatici e telematici, al fine di rinvenire e portare alla luce prove utili allo svolgimento dell’attività investigativa.
In altre parole l’obiettivo di questa disciplina è quello di ricostruire e di cercare di capire cosa realmente sia successo, applicando delle procedure scientifiche, ripetibili, di studio dell’oggetto dell’ accertamento (evidence) cosi da produrre delle prove.
Pertanto da quando negli U.S.A. sono stati messi a punto i primi algoritmi matematici attraverso i quali riuscire a far reperire dati cancellati, contestualmente è nata la necessità di “aggirare” queste tecniche, ora divenute vere e proprie procedure in grado di preservare le informazioni.
Appare semplice ora capire che per anti-forensics si deve intendere la somma di tutti quegli escamotages, che servono a mettere in difficoltà se non addirittura a trarre totalmente in inganno i "digital investigators", in modo da riuscire ad occultare o a rendere estremamente diffcile il reperimento di evidenze digitali.
A prima vista sembrerebbe che ad avere interesse a “gabbare “ gli esperti del forensic siano solo i banditi, cosa che è vera per almeno il 90% degli usi, ma a volte non sempre è cosi.
Spesso le aziende, soprattutto quelle molto grandi, tipo banche e simili, si vedono a dover dismettere interi parchi macchine per loro obsoleti perché non in grado di essere conformi agli standard richiesti da programmi particolari, ma che possono essere impiegati ancora per diverso tempo da altri soggetti, vedi ad esempio scuole.
Pertanto si pone un problema: acclarata la lunga persistenza dei dati nelle memorie di massa, nota come Data retention, come posso, io azienda, cancellare i dati in modo da non essere soggetto, ad esempio, di spionaggio industriale?
Ovviamente mediante tecniche di anti-forensic. Per quanto concerne la cancellazione dei dati è intervenuto anche lo stesso Garante per la privacy nella stesura del Codice privacy, evidenziando come sia rilevante il tema del corretto smaltimento delle apparecchiature informatiche suggerendo appositi programmi di wiping o file shredding, la cui funzione è quella di cancellare e sovrascrivere con informazioni casuali sulle singole porzioni delle memorie occupate dl file da cancellare, in maniera tale che i dati in esse originariamente risultino irrecuperabili.
Ovviamente, maggiori saranno le azioni di cancellazione e riscrittura casuale di bit, maggiori saranno le possibilità che il dato non venga recuperato.
Ma anche lo stesso uomo della strada, ad esempio, potrebbe aver bisogno di voler essere tutelato poiché avrebbe la necessità di cancellare tracce di navigazione o di chat…. Sempre in nome della privacy. Certo il discorso cambia se si impiegano queste tecniche allo scopo di ostacolate ed alterare le indagini forensi.
Ci sono programmi, meglio tools, che alterano i metadati dei file così da far attribuire la data di creazione/modifica degli stessi ad un periodo assolutamente difforme da quello reale, oppure esistono applicativi che permettono di inoculare file al’interno dei metadati delle filesystem…
Stefano Zanero in un convegno di un anno fa sul tema disse che questi applicativi lavorano come la colf di casa: come la cameriera nasconde “lo sporco” sotto il tappeto cosi questi tools occultano la prova dove non andresti mai a guardare.
Vedi anche l’impiego degli ormai noti ma ancora ben funzionanti A.D.S. (Alternate Data Strems), o di applicativi che creano filesystem all’interno di filesytem, oppure anche l’impiego di tecniche atte alla cancellazione di file tipo pagefile.sys o hibernate.sys in cui si nascondono informazioni importanti precedentemente memorizzate nella ram.
Personalmente credo che sebbene, soprattutto per quanto concerne la questione sul data retaining , molti siano gli interessi da tutelare e le tecniche più o meno fraudolente da poter impiegare, il vero nemico del digital investigator risiede nella somma di due fattori: la mancanza di tempo e di disponibilità economica.
Spesso infatti la necessità di dover analizzare in breve tempo terabyte di dati non permette all’investigatore di “guardare sotto il tappeto” e spesso si trova a doversi affidare ad applicativi che automatizzano molto le ricerche, ma che possono, come i recenti convegni dei black hat hanno dimostrato, essere “ingannati”, pertanto mai all’investigatore deve sostituirsi il programma.
Come è anche vero che chi cerca di affidarsi solo a software che cancellino tracce, o cancellino approfonditamente files non fanno niente di male e non sempre si può parlare di antiforensic, che personalmente ritengo essere una summa di fine tecniche informatiche, ma spesso solo di accorgimenti che aiutano i pc ad essere più veloci e reattivi.
Anche in questo caso, questi programmi vanno usati solo se si ha coscienza di come lavorano (cosa andranno letteralmente a fare), magari decompilandone il sorgente , poiché spesso si può incorrere in problemi ben più ampi delle soluzioni apportate da questi applicativi; ricordando sempre che non ci si deve mai affidare cecamente ai programmi che sebbene aiutino esiste sempre la differenza tra uomo e macchina.
