Digital Forensics
Transcript
Digital Forensics
DIGITAL DIGITAL FORENSIC INVESTIGATION forensic insider John J. Barbara – Traduzione Luigi Panico Cancellazione di file e nozioni basilari sulla loro eliminazione In una conferenza stampa nel mese di luglio 2016, il direttore ettore dell'FBI James Comey ha riferito che l'ex segretario di Stato Hillary Clinton ha usato diversi server personali e numerosi dispositivi mobili, per pe inviare e ricevere e-mail sulla sua casella di posta elettronica. Ha anche affermato che in un caso il software di posta elettronica era stato rimosso da un server dismesso. Gli investigatori forensi del FBI hanno stabilito che "milioni di frammenti di e-mail" erano finiti in modo casuale e disordinato nello spazio slack o nello spazio non utilizzato del server. Egli ha inoltre dichiarato che il team di investigatori hanno trovato altre e-mail mail (o tracce di esse) ess su altri dispositivi che hanno avuto accesso al dominio. Ha commentato che possono esserci state altre numerose email andate distrutte a causa del fatto che "gli avvocati hanno ripulito i dispositivi in modo tale da precludere il completo recupero forense." "Abbiamo trovato tracce di questo lavoro su dispositivi o spazi slack”,, ha detto Comey davanti al Congresso. Tutte le email sono state "cancellat late dal sistema utilizzando strumenti tecnici fondamentalmente atti a rimuoverle dai server ed a cancellarle." cancellarle Sebbene si usino indifferentemente e in modo intercambiabile i termini '”clean/pulire, ”clean/pulire, erase/cancellare, delete/eliminare, tuttavia nel linguaggio di analisi forense non hanno il medesimo significato e non sono la stessa cosa. Nozioni sull’Hard Drive (Disco) Un hard disk contiene dischi elettromagnetici double-face double impilati (simile in apparenza a un DVD), che può girare fino a 10.000 girii al minuto. Ogni lato ha una propria testina di lettura/scrittura. I piatti contengono tracce concentriche (anelli) che sono ulteriormente suddivisi in miliardi di settori, settori, detti anche segmenti, dove i dati sono effettivamente memorizzati. I settori possono possono essere magnetizzati in modo indipendente ( '1') o smagnetizzazione ( '0'), fornendo così il meccanismo per memorizzare dati digitali. Un settore è la più piccola unità di memoria fisica ed è quasi sempre di 512 byte. Prima di poter essere utilizzato un Hard Disk deve essere partizionato (diviso in diverse divers parti, chiamate anche volumi) e formattato. La formattazione scrive la struttura di base della directory per il disco fisso che comprende anche una mappa di tutti i settori. Un tipico Hard Disk formattato ato NTFS raggruppa i settori di 512 byte in blocchi di 4096 byte chiamati cluster, che sono la più piccola quantità di spazio che può essere allocata per memorizzare un file. Dopo l'installazione del sistema operativo (OS) e delle le applicazioni, vengono generate le directory e possono essere aggiunti i file. Cosa succede quando un file viene salvato e poi cancellato? Supponiamo di dover salvare un file di 792 byte. Sebbene occorrano solo due settori, il sistema operativo assegnerà un intero cluster (4096 6 bytes) per questo file. Il sistema operativo controlla la mappa, trova i settori vuoti in un cluster e istruisce la testina di lettura/scrittura di scrivere ed archiviare i dati. Viene assegnato un pointer per tenere traccia del punto iniziale i e finale della ella scrittura dei dati. Il file viene archiviato nei primi due settori del cluster,, rispettivamente 512 byte e 280 byte. Lo spazio del cluster non utilizzato, pari a 3304 byte (4096 – 792),, viene chiamato spazio slack. Il secondo settore contiene anche uno spazio inutilizzato di 232 byte di memoria dalla fine del file stesso alla fine del settore. Questo spazio è chiamato RAM slack. slack Prima che i dati siano scritti essi vengono depositati in un buffer RAM. Se il buffer è parzialmente occupato da informazioni prima che sia scritto, è possibile che porzioni di informazioni possano restare memorizzate nella Ram del buffer. Così il secondo settore sarà costituito da 280 byte provenienti dal file e 232 byte di dati provenienti dalla RAM. Quando il file è ripulito, cancellato, o eliminato, il sistema operativo modifica il primo carattere del nome del file, il puntatore del file viene rimosso, la mappa aggiornata, e il cluster che conteneva i dati è contrassegnato come allocato ed è disponibile per il salvataggio di nuovi dati. Inizialmente il file appare nel Cestino e vi rimane presente fino al momento dello svuotamento. In realtà, quei dati non si sono mossi, non sono stati eliminati affatto e sono rimasti ancora nella loro posizione originale nei due settori entro il cluster assegnato. Anche se non è più accessibile dal sistema operativo o dall'utente, può essere interamente recuperato utilizzando strumenti forensi. Adesso supponiamo che un secondo file dimensione di 512 byte debba essere salvato. Il sistema operativo può utilizzare lo stesso cluster in cui è stato memorizzato il primo file. Tuttavia esiste un problema: il primo settore del cluster, contenente un file preesistente, viene sovrascritto dal nuovo file di 512 byte. Una volta sovrascritto, la porzione del file originale non è più recuperabile. I restanti 3584 byte del cluster diventa spazio slack. Il secondo settore contiene ancora 280 byte di dati provenienti dal primo file. Anche se è solo un frammento del file originale, non è stato sovrascritto e dunque può essere recuperabile. Tuttavia, se si procede a continue sovrascritture con il passar del tempo diventa sempre più improbabile un recupero dei dati sottostanti. Cosa succede quando i file vengono puliti? Per software di “wiping” si intende quello destinato a fare in modo che alcuni o tutti i dati originali memorizzati su un disco, tablet o smartphone, diventino irrecuperabili da parte di chiunque ci provi utilizzando strumenti forensi. Nella fase di wiping gli algoritmi di cancellazione differiscono a seconda del prodotto utilizzato, ma in genere essi alla fine lavorano pressappoco allo stesso modo. Possono sovrascrivere selettivamente un file, una directory, una partizione o un intero disco con un specifico carattere numerico (0, 1, etc.) oppure con un carattere alfabetico (a, b, etc.). A seconda del prodotto sarà possibile eseguire automaticamente più sovrascritture dei dati o consentire all'utente di selezionare il numero di sovrascritture che si desidera eseguire. Quando sono trattati in questo modo i dati originali non possono più essere recuperati e sono effettivamente andati perduti in modo permanente. Ciò che è recuperabile, ma senza alcun valore legale, è il carattere numerico o alfabetico utilizzato per la cancellazione. Per quanto riguarda i dispositivi mobili, in genere contengono un Solid State Drive (SSD), che è totalmente diverso dal funzionamento di un disco magnetico. La cancellazione di un file da un SSD ha lo stesso effetto di quella praticata su un tradizionale disco rigido magnetico. Riepilogo Sulla base della testimonianza del direttore Comey, si presume che i server contenessero dischi rigidi tradizionali, elettromagnetici, e i dispositivi mobili contenessero SSD. Non sappiamo quanti di essi sono stati oggetto di esame, se e quanti file sono stati cancellati ed eliminati, quante email sono state recuperate negli spazi slack, quanti frammenti sono stati ricostruiti e così via. Gli analisti forensi dell'FBI hanno i migliori strumenti di analisi forense a disposizione per effettuare esami forensi con lo scopo di tentare il recupero e il ripristino dei dati cancellati ed eliminati. Il Direttore Comey ha affermato che l'FBI ha trovato e recuperato posta elettronica da frammenti di email nello spazio slack, nonostante il fatto che i dispositivi fossero stati trattati in modo da precludere il completo recupero forense. Di fronte a queste sfide scoraggianti, gli analisti forensi del FBI hanno fatto tuttavia un ottimo lavoro di recupero dati. John J. Barbara è titolare di Digital Forensics Consulting LLC che fornisce servizi di consulenza per le aziende e laboratorio di ricerca digitale forense. Dal 1993 è ispettore di ASCLD /LAB ed ha condotto ispezioni in diverse discipline forensi. [email protected] Luigi Panico è amministratore di ASPE Srl che fornisce strumenti di protezione dati con cripto-moduli hardware di livello militare. [email protected]