Digital Forensics

DIGITAL
DIGITAL FORENSIC INVESTIGATION
forensic insider
John J. Barbara – Traduzione Luigi Panico
Cancellazione di file e nozioni basilari sulla loro eliminazione
In una conferenza stampa nel mese di luglio 2016, il direttore
ettore dell'FBI James Comey ha riferito che l'ex
segretario di Stato Hillary Clinton ha usato diversi server personali e numerosi dispositivi mobili, per
pe inviare e
ricevere e-mail sulla sua casella di posta elettronica. Ha anche affermato che in un caso il software di posta
elettronica era stato rimosso da un server dismesso.
Gli investigatori forensi del FBI hanno stabilito che "milioni di frammenti di e-mail" erano finiti in modo casuale
e disordinato nello spazio slack o nello spazio non utilizzato del server.
Egli ha inoltre dichiarato che il team di investigatori hanno trovato altre e-mail
mail (o tracce di esse)
ess su altri
dispositivi che hanno avuto accesso al dominio. Ha commentato che possono esserci state altre numerose
email andate distrutte a causa del fatto che "gli avvocati hanno ripulito i dispositivi in modo tale da precludere
il completo recupero forense."
"Abbiamo trovato tracce di questo lavoro su dispositivi o spazi slack”,, ha detto Comey davanti al Congresso.
Tutte le email sono state "cancellat
late dal sistema utilizzando strumenti tecnici fondamentalmente atti a
rimuoverle dai server ed a cancellarle."
cancellarle
Sebbene si usino indifferentemente e in modo intercambiabile i termini '”clean/pulire,
”clean/pulire, erase/cancellare,
delete/eliminare, tuttavia nel linguaggio di analisi forense non hanno il medesimo significato e non sono la
stessa cosa.
Nozioni sull’Hard Drive (Disco)
Un hard disk contiene dischi elettromagnetici double-face
double
impilati (simile in apparenza a un DVD), che può
girare fino a 10.000 girii al minuto. Ogni lato ha una propria testina di lettura/scrittura. I piatti contengono
tracce concentriche (anelli) che sono ulteriormente suddivisi in miliardi di settori,
settori, detti anche segmenti, dove i
dati sono effettivamente memorizzati. I settori possono
possono essere magnetizzati in modo indipendente ( '1') o
smagnetizzazione ( '0'), fornendo così il meccanismo per memorizzare dati digitali. Un settore è la più piccola
unità di memoria fisica ed è quasi sempre di 512 byte.
Prima di poter essere utilizzato un Hard Disk deve essere partizionato (diviso in diverse
divers parti, chiamate anche
volumi) e formattato. La formattazione scrive la struttura di base della directory per il disco fisso che
comprende anche una mappa di tutti i settori.
Un tipico Hard Disk formattato
ato NTFS raggruppa i settori di 512 byte in blocchi di 4096 byte chiamati cluster,
che sono la più piccola quantità di spazio che può essere allocata per memorizzare un file. Dopo l'installazione
del sistema operativo (OS) e delle
le applicazioni, vengono generate le directory e possono essere aggiunti i file.
Cosa succede quando un file viene salvato e poi cancellato?
Supponiamo di dover salvare un file di 792 byte. Sebbene occorrano solo due settori, il sistema operativo
assegnerà un intero cluster (4096
6 bytes) per questo file. Il sistema operativo controlla la mappa, trova i settori
vuoti in un cluster e istruisce la testina di lettura/scrittura di scrivere ed archiviare i dati. Viene assegnato un
pointer per tenere traccia del punto iniziale
i
e finale della
ella scrittura dei dati. Il file viene archiviato nei primi due
settori del cluster,, rispettivamente 512 byte e 280 byte.
Lo spazio del cluster non utilizzato, pari a 3304 byte (4096 – 792),, viene chiamato spazio slack. Il secondo
settore contiene anche uno spazio inutilizzato di 232 byte di memoria dalla fine del file stesso alla fine del
settore. Questo spazio è chiamato RAM slack.
slack Prima che i dati siano scritti essi vengono depositati in un buffer
RAM. Se il buffer è parzialmente occupato da informazioni prima che sia scritto, è possibile che porzioni di
informazioni possano restare memorizzate nella Ram del buffer.
Così il secondo settore sarà costituito da 280 byte provenienti dal file e 232 byte di dati provenienti dalla RAM.
Quando il file è ripulito, cancellato, o eliminato, il sistema operativo modifica il primo carattere del nome del
file, il puntatore del file viene rimosso, la mappa aggiornata, e il cluster che conteneva i dati è contrassegnato
come allocato ed è disponibile per il salvataggio di nuovi dati.
Inizialmente il file appare nel Cestino e vi rimane presente fino al momento dello svuotamento. In realtà, quei
dati non si sono mossi, non sono stati eliminati affatto e sono rimasti ancora nella loro posizione originale nei
due settori entro il cluster assegnato. Anche se non è più accessibile dal sistema operativo o dall'utente, può
essere interamente recuperato utilizzando strumenti forensi. Adesso supponiamo che un secondo file
dimensione di 512 byte debba essere salvato. Il sistema operativo può utilizzare lo stesso cluster in cui è stato
memorizzato il primo file. Tuttavia esiste un problema: il primo settore del cluster, contenente un file
preesistente, viene sovrascritto dal nuovo file di 512 byte. Una volta sovrascritto, la porzione del file originale
non è più recuperabile. I restanti 3584 byte del cluster diventa spazio slack. Il secondo settore contiene ancora
280 byte di dati provenienti dal primo file. Anche se è solo un frammento del file originale, non è stato
sovrascritto e dunque può essere recuperabile. Tuttavia, se si procede a continue sovrascritture con il passar
del tempo diventa sempre più improbabile un recupero dei dati sottostanti.
Cosa succede quando i file vengono puliti?
Per software di “wiping” si intende quello destinato a fare in modo che alcuni o tutti i dati originali
memorizzati su un disco, tablet o smartphone, diventino irrecuperabili da parte di chiunque ci provi utilizzando
strumenti forensi. Nella fase di wiping gli algoritmi di cancellazione differiscono a seconda del prodotto
utilizzato, ma in genere essi alla fine lavorano pressappoco allo stesso modo.
Possono sovrascrivere selettivamente un file, una directory, una partizione o un intero disco con un specifico
carattere numerico (0, 1, etc.) oppure con un carattere alfabetico (a, b, etc.).
A seconda del prodotto sarà possibile eseguire automaticamente più sovrascritture dei dati o consentire
all'utente di selezionare il numero di sovrascritture che si desidera eseguire. Quando sono trattati in questo
modo i dati originali non possono più essere recuperati e sono effettivamente andati perduti in modo
permanente. Ciò che è recuperabile, ma senza alcun valore legale, è il carattere numerico o alfabetico
utilizzato per la cancellazione.
Per quanto riguarda i dispositivi mobili, in genere contengono un Solid State Drive (SSD), che è totalmente
diverso dal funzionamento di un disco magnetico.
La cancellazione di un file da un SSD ha lo stesso effetto di quella praticata su un tradizionale disco rigido
magnetico.
Riepilogo
Sulla base della testimonianza del direttore Comey, si presume che i server contenessero dischi rigidi
tradizionali, elettromagnetici, e i dispositivi mobili contenessero SSD.
Non sappiamo quanti di essi sono stati oggetto di esame, se e quanti file sono stati cancellati ed eliminati,
quante email sono state recuperate negli spazi slack, quanti frammenti sono stati ricostruiti e così via.
Gli analisti forensi dell'FBI hanno i migliori strumenti di analisi forense a disposizione per effettuare esami
forensi con lo scopo di tentare il recupero e il ripristino dei dati cancellati ed eliminati.
Il Direttore Comey ha affermato che l'FBI ha trovato e recuperato posta elettronica da frammenti di email
nello spazio slack, nonostante il fatto che i dispositivi fossero stati trattati in modo da precludere il completo
recupero forense. Di fronte a queste sfide scoraggianti, gli analisti forensi del FBI hanno fatto tuttavia un
ottimo lavoro di recupero dati.
John J. Barbara è titolare di Digital Forensics Consulting LLC che fornisce servizi di consulenza per le aziende e
laboratorio di ricerca digitale forense. Dal 1993 è ispettore di ASCLD /LAB ed ha condotto ispezioni in diverse
discipline forensi. [email protected]
Luigi Panico è amministratore di ASPE Srl che fornisce strumenti di protezione dati con cripto-moduli hardware
di livello militare. [email protected]