Python Digital Forensics - Introduzione
Questo capitolo ti fornirà un'introduzione a cosa sia la digital forensics e la sua revisione storica. Capirai anche dove puoi applicare la digital forensics nella vita reale e i suoi limiti.
Cos'è la Digital Forensics?
La digital forensics può essere definita come la branca della scienza forense che analizza, esamina, identifica e recupera le prove digitali che risiedono su dispositivi elettronici. È comunemente usato per il diritto penale e le indagini private.
Ad esempio, puoi fare affidamento su prove di estrazione forense digitale nel caso in cui qualcuno rubi alcuni dati su un dispositivo elettronico.
Breve rassegna storica della digital forensics
La storia dei crimini informatici e la revisione storica della digital forensics è spiegata in questa sezione come indicato di seguito:
Anni '70 -'80: primo crimine informatico
Prima di questo decennio, nessun crimine informatico è stato riconosciuto. Tuttavia, se si suppone che ciò accada, le leggi allora esistenti se ne occupano. Successivamente, nel 1978, il primo crimine informatico fu riconosciuto nel Florida Computer Crime Act, che includeva la legislazione contro la modifica o la cancellazione non autorizzata dei dati su un sistema informatico. Ma nel tempo, a causa del progresso della tecnologia, è aumentata anche la gamma di crimini informatici commessi. Per affrontare i crimini legati al diritto d'autore, alla privacy e alla pornografia infantile, sono state approvate varie altre leggi.
Anni '80 -'90: Decennio di sviluppo
Questo decennio è stato il decennio di sviluppo per la digital forensics, tutto a causa della prima indagine in assoluto (1986) in cui Cliff Stoll ha rintracciato l'hacker di nome Markus Hess. Durante questo periodo, si svilupparono due tipi di discipline forensi digitali: la prima era con l'aiuto di strumenti e tecniche ad-hoc sviluppate da professionisti che l'hanno presa come hobby, mentre la seconda è stata sviluppata dalla comunità scientifica. Nel 1992, il termine“Computer Forensics”è stato utilizzato nella letteratura accademica.
2000-2010: Decennio di standardizzazione
Dopo lo sviluppo della digital forensics a un certo livello, c'era la necessità di creare alcuni standard specifici che possono essere seguiti durante lo svolgimento delle indagini. Di conseguenza, vari enti e agenzie scientifiche hanno pubblicato linee guida per la digital forensics. Nel 2002, il gruppo di lavoro scientifico sull'evidenza digitale (SWGDE) ha pubblicato un documento intitolato "Best practice for Computer Forensics". Un altro fiore all'occhiello è stato un trattato internazionale guidato dall'Europa“The Convention on Cybercrime”è stato firmato da 43 nazioni e ratificato da 16 nazioni. Anche dopo tali standard, c'è ancora la necessità di risolvere alcuni problemi che sono stati identificati dai ricercatori.
Processo di Digital Forensics
Dal primo crimine informatico in assoluto nel 1978, c'è stato un enorme incremento nelle attività criminali digitali. A causa di questo incremento, è necessario un modo strutturato per gestirli. Nel 1984 è stato introdotto un processo formalizzato e successivamente è stato sviluppato un gran numero di processi di indagine forense informatica nuovi e migliorati.
Un processo di indagine informatica forense prevede tre fasi principali, come spiegato di seguito:
Fase 1: acquisizione o imaging di oggetti in esposizione
La prima fase della digital forensics prevede il salvataggio dello stato del sistema digitale in modo che possa essere analizzato successivamente. È molto simile a scattare fotografie, campioni di sangue ecc. Da una scena del crimine. Ad esempio, implica l'acquisizione di un'immagine delle aree allocate e non allocate di un disco rigido o di una RAM.
Fase 2: analisi
L'input di questa fase sono i dati acquisiti in fase di acquisizione. Qui, questi dati sono stati esaminati per identificare le prove. Questa fase fornisce tre tipi di prove come segue:
Inculpatory evidences - Queste prove supportano una data storia.
Exculpatory evidences - Queste prove contraddicono una data storia.
Evidence of tampering- Queste prove mostrano che il sistema è stato temperato per evitare l'identificazione. Include l'esame dei file e del contenuto della directory per il recupero dei file eliminati.
Fase 3: presentazione o reportistica
Come suggerisce il nome, questa fase presenta la conclusione e le prove corrispondenti dell'indagine.
Applicazioni di Digital Forensics
La digital forensics si occupa di raccogliere, analizzare e preservare le prove contenute in qualsiasi dispositivo digitale. L'uso della digital forensics dipende dall'applicazione. Come accennato in precedenza, viene utilizzato principalmente nelle seguenti due applicazioni:
Diritto penale
Nel diritto penale, le prove vengono raccolte per sostenere o opporsi a un'ipotesi in tribunale. Le procedure forensi sono molto simili a quelle utilizzate nelle indagini penali ma con requisiti e limitazioni legali differenti.
Investigazione privata
Principalmente il mondo aziendale utilizza la digital forensics per indagini private. Viene utilizzato quando le aziende sospettano che i dipendenti possano svolgere un'attività illegale sui propri computer contraria alla politica aziendale. La digital forensics fornisce una delle migliori rotte da intraprendere per un'azienda o una persona quando indaga su qualcuno per cattiva condotta digitale.
Filiali di Digital Forensics
La criminalità digitale non è limitata ai soli computer, tuttavia hacker e criminali utilizzano anche piccoli dispositivi digitali come tablet, smartphone, ecc. Su larga scala. Alcuni dispositivi hanno una memoria volatile, mentre altri hanno una memoria non volatile. Quindi, a seconda del tipo di dispositivi, la digital forensics ha i seguenti rami:
Computer Forensics
Questa branca della digital forensics si occupa di computer, sistemi embedded e memorie statiche come le unità USB. Un'ampia gamma di informazioni, dai registri ai file effettivi sull'unità, può essere esaminata in informatica forense.
Mobile Forensics
Si occupa dell'analisi dei dati da dispositivi mobili. Questo ramo è diverso dall'analisi forense dei computer nel senso che i dispositivi mobili hanno un sistema di comunicazione integrato che è utile per fornire informazioni utili relative alla posizione.
Forense di rete
Si occupa del monitoraggio e dell'analisi del traffico di rete del computer, sia locale che WAN (wide area network) ai fini della raccolta di informazioni, raccolta di prove o rilevamento di intrusioni.
Database Forensics
Questa branca della digital forensics si occupa dello studio forense dei database e dei loro metadati.
Competenze richieste per le indagini di Digital Forensics
Gli esaminatori forensi digitali aiutano a rintracciare gli hacker, recuperare i dati rubati, seguire gli attacchi informatici alla loro fonte e aiutare in altri tipi di indagini che coinvolgono i computer. Alcune delle competenze chiave richieste per diventare esaminatore forense digitale come discusso di seguito:
Capacità di pensiero eccezionali
Un investigatore forense digitale deve essere un pensatore eccezionale e dovrebbe essere in grado di applicare diversi strumenti e metodologie su un particolare compito per ottenere l'output. Deve essere in grado di trovare diversi modelli e stabilire correlazioni tra di loro.
Abilità tecniche
Un esaminatore forense digitale deve avere buone capacità tecnologiche perché questo campo richiede la conoscenza della rete, come interagisce il sistema digitale.
Appassionato di Cyber Security
Poiché il campo della digital forensics è incentrato sulla risoluzione dei cyber-crimini e questo è un compito noioso, è necessaria molta passione per qualcuno per diventare un asso dell'investigatore digital forensic.
Capacità di comunicazione
Buone capacità di comunicazione sono indispensabili per coordinarsi con i vari team e per estrarre dati o informazioni mancanti.
Abile nella creazione di rapporti
Dopo aver implementato con successo l'acquisizione e l'analisi, un esaminatore forense digitale deve menzionare tutti i risultati nella relazione finale e nella presentazione. Quindi deve avere buone capacità di redazione di rapporti e attenzione ai dettagli.
Limitazioni
L'indagine forense digitale offre alcune limitazioni, come discusso qui:
Necessità di produrre prove convincenti
Una delle principali battute d'arresto delle indagini forensi digitali è che l'esaminatore deve conformarsi agli standard richiesti per le prove in tribunale, poiché i dati possono essere facilmente manomessi. D'altra parte, l'investigatore forense informatico deve avere una conoscenza completa dei requisiti legali, della gestione delle prove e delle procedure di documentazione per presentare prove convincenti in tribunale.
Strumenti investigativi
L'efficacia dell'indagine digitale risiede interamente sull'esperienza dell'esaminatore forense digitale e sulla selezione dello strumento di indagine appropriato. Se lo strumento utilizzato non è conforme a standard specifici, in tribunale, le prove possono essere negate dal giudice.
Mancanza di conoscenza tecnica tra il pubblico
Un altro limite è che alcuni individui non hanno familiarità con la informatica forense; quindi, molte persone non capiscono questo campo. Gli investigatori devono essere sicuri di comunicare i loro risultati con i tribunali in modo tale da aiutare tutti a comprendere i risultati.
Costo
La produzione di prove digitali e la loro conservazione sono molto costose. Quindi questo processo potrebbe non essere scelto da molte persone che non possono permettersi il costo.