computer forensics (cyber forensics)

Che cosa è computer forensics?

Computer forensics è l’applicazione di tecniche di indagine e analisi per raccogliere e conservare le prove da un particolare dispositivo di calcolo in un modo che è adatto per la presentazione in un tribunale. L’obiettivo di computer forensics è quello di eseguire un’indagine strutturata e mantenere una catena documentata di prove per scoprire esattamente cosa è successo su un dispositivo informatico e chi ne era responsabile.

Computer forensics-che a volte viene indicato come computer forensic science-essenzialmente è il recupero dei dati con linee guida di conformità legale per rendere le informazioni ammissibili nei procedimenti legali. I termini digital forensics e cyber forensics sono spesso usati come sinonimi per computer forensics.

Digital forensics inizia con la raccolta di informazioni in un modo che mantiene la sua integrità. Gli investigatori analizzano quindi i dati o il sistema per determinare se è stato modificato, come è stato modificato e chi ha apportato le modifiche. L’uso di computer forensics non è sempre legato a un crimine. Il processo forense viene utilizzato anche come parte dei processi di recupero dati per raccogliere dati da un server arrestato, un’unità guasta, un sistema operativo riformattato o altre situazioni in cui un sistema ha smesso inaspettatamente di funzionare.

Perché l’informatica forense è importante?

Nel sistema giudiziario civile e penale, la computer forensics aiuta a garantire l’integrità delle prove digitali presentate nei casi giudiziari. Poiché i computer e altri dispositivi di raccolta dei dati vengono utilizzati più frequentemente in ogni aspetto della vita, le prove digitali-e il processo forense utilizzato per raccogliere, conservare e indagare su di esso-è diventato più importante nella risoluzione di crimini e altre questioni legali.

La persona media non vede mai gran parte delle informazioni che i dispositivi moderni raccolgono. Ad esempio, i computer in auto raccolgono continuamente informazioni su quando un conducente frena, sposta e cambia velocità senza che il conducente sia consapevole. Tuttavia, queste informazioni possono rivelarsi critiche nel risolvere una questione legale o un crimine, e la computer forensics spesso svolge un ruolo nell’identificare e preservare tali informazioni.

Le prove digitali non sono solo utili per risolvere i crimini del mondo digitale, come il furto di dati, le violazioni della rete e le transazioni online illecite. E ‘ anche usato per risolvere i crimini fisico-mondo, come furto con scasso, aggressione, incidenti hit-and-run e omicidio.

Le aziende utilizzano spesso una strategia di gestione dei dati multilivello, governance dei dati e sicurezza della rete per mantenere al sicuro le informazioni proprietarie. Avere dati ben gestiti e sicuri può aiutare a semplificare il processo forense nel caso in cui i dati venissero mai esaminati.

6 modi per proteggere le risorse digitali
Scopri i sei passaggi per creare una protezione resiliente delle risorse digitali.

Le aziende utilizzano anche computer forensics per tenere traccia delle informazioni relative a un compromesso di sistema o di rete, che può essere utilizzato per identificare e perseguire gli aggressori informatici. Le aziende possono anche utilizzare esperti e processi forensi digitali per aiutarli nel recupero dei dati in caso di errore di sistema o di rete causato da un disastro naturale o di altro tipo.

Mentre il mondo diventa più dipendente dalla tecnologia digitale per le funzioni fondamentali della vita, la criminalità informatica è in aumento. Come tale, gli specialisti di computer forense non hanno più il monopolio sul campo. Guarda come la polizia nel Regno Unito sta adottando tecniche forensi informatiche per tenere il passo con l’aumento dei tassi di criminalità informatica.

Tipi di computer forensics

Esistono vari tipi di esami forensi informatici. Ognuno si occupa di un aspetto specifico della tecnologia dell’informazione. Alcuni dei tipi principali includono quanto segue:

  • La scientifica del database. L’esame delle informazioni contenute nei database, sia i dati che i relativi metadati.
  • Email forensics. Il recupero e l’analisi di e-mail e altre informazioni contenute nelle piattaforme di posta elettronica, come orari e contatti.
  • Malware forensics. Spulciando il codice per identificare possibili programmi dannosi e analizzare il loro carico utile. Tali programmi possono includere cavalli di Troia, ransomware o vari virus.
    Tipi di malware
    Vedi la gamma completa di tipi di malware aziende devono fare i conti con oggi.
  • Scientifica della memoria. Raccolta di informazioni memorizzate nella memoria ad accesso casuale (RAM) e nella cache di un computer.
  • Mobile forensics. L’esame dei dispositivi mobili per recuperare e analizzare le informazioni che contengono, tra cui contatti, messaggi di testo in entrata e in uscita, immagini e file video.
  • Forensics di rete. Alla ricerca di prove monitorando il traffico di rete, utilizzando strumenti come un firewall o un sistema di rilevamento delle intrusioni.

Come funziona computer forensics?

Gli investigatori forensi seguono tipicamente procedure standard, che variano a seconda del contesto dell’indagine forense, del dispositivo oggetto di indagine o delle informazioni che gli investigatori stanno cercando. In generale, queste procedure includono i seguenti tre passaggi:

  1. Raccolta dei dati. Le informazioni archiviate elettronicamente devono essere raccolte in modo da mantenerne l’integrità. Ciò comporta spesso l’isolamento fisico del dispositivo in esame per garantire che non possa essere accidentalmente contaminato o manomesso. Gli esaminatori fanno una copia digitale, chiamata anche immagine forense, dei supporti di memorizzazione del dispositivo, e quindi bloccano il dispositivo originale in una struttura sicura o di altro tipo per mantenere le sue condizioni incontaminate. L’indagine è condotta sulla copia digitale. In altri casi, le informazioni disponibili al pubblico possono essere utilizzate per scopi forensi, come i post di Facebook o le spese pubbliche di Venmo per l’acquisto di prodotti o servizi illegali visualizzati sul sito Web di Vicemo.
  2. Analisi. Gli investigatori analizzano copie digitali di supporti di memorizzazione in un ambiente sterile per raccogliere le informazioni per un caso. Vari strumenti sono utilizzati per assistere in questo processo, tra cui l’autopsia di Basis Technology per le indagini sul disco rigido e l’analizzatore di protocollo di rete Wireshark. Un mouse jiggler è utile quando si esamina un computer per impedirgli di addormentarsi e perdere dati di memoria volatili che si perdono quando il computer va a dormire o perde potenza.
  3. Presentazione. Gli investigatori forensi presentano le loro scoperte in un procedimento legale, dove un giudice o una giuria li usa per aiutare a determinare il risultato di una causa. In una situazione di recupero dei dati, gli investigatori forensi presentano ciò che sono stati in grado di recuperare da un sistema compromesso.

Spesso, più strumenti vengono utilizzati nelle indagini computer forensi per convalidare i risultati che producono. Scopri come un ricercatore di Kaspersky Lab in Asia ha creato uno strumento forense open source per la raccolta remota di prove di malware senza compromettere l’integrità del sistema.

Tecniche gli investigatori forensi utilizzano

Gli investigatori utilizzano una varietà di tecniche e applicazioni forensi proprietarie per esaminare la copia che hanno fatto di un dispositivo compromesso. Cercano cartelle nascoste e spazio su disco non allocato per copie di file cancellati, crittografati o danneggiati. Qualsiasi prova trovata sulla copia digitale è accuratamente documentata in un rapporto di accertamento e verificata con il dispositivo originale in preparazione di procedimenti legali che comportano la scoperta, deposizioni o contenzioso effettivo.

Le indagini forensi informatiche utilizzano una combinazione di tecniche e conoscenze specialistiche. Alcune tecniche comuni includono quanto segue:

  • Steganografia inversa. La steganografia è una tattica comune utilizzata per nascondere i dati all’interno di qualsiasi tipo di file digitale, messaggio o flusso di dati. Gli esperti di computer forensic invertono un tentativo di steganografia analizzando l’hashing dei dati che il file in questione contiene. Se un criminale informatico nasconde informazioni importanti all’interno di un’immagine o di un altro file digitale, potrebbe sembrare lo stesso prima e dopo a un occhio inesperto, ma l’hash o la stringa di dati sottostanti che rappresenta l’immagine cambierà.
  • Scientifica stocastica. Qui, gli investigatori analizzano e ricostruiscono l’attività digitale senza l’uso di artefatti digitali. Gli artefatti sono alterazioni involontarie dei dati che si verificano dai processi digitali. Gli artefatti includono indizi relativi a un crimine digitale, come le modifiche agli attributi dei file durante il furto di dati. La scientifica stocastica viene spesso utilizzata nelle indagini sulla violazione dei dati in cui si pensa che l’attaccante sia un insider, che potrebbe non lasciarsi alle spalle artefatti digitali.
  • Analisi cross-drive. Questa tecnica mette in correlazione e riferimenti incrociati le informazioni trovate su più unità di computer per cercare, analizzare e conservare le informazioni rilevanti per un’indagine. Gli eventi che sollevano sospetti vengono confrontati con informazioni su altre unità per cercare somiglianze e fornire contesto. Questo è anche noto come rilevamento delle anomalie.
  • Analisi dal vivo. Con questa tecnica, un computer viene analizzato dall’interno del sistema operativo mentre il computer o il dispositivo è in esecuzione, utilizzando gli strumenti di sistema sul computer. L’analisi esamina i dati volatili, che sono spesso memorizzati nella cache o nella RAM. Molti strumenti utilizzati per estrarre dati volatili richiedono al computer di essere in un laboratorio forense per mantenere la legittimità di una catena di prove.
  • Recupero file cancellati. Questa tecnica comporta la ricerca di un sistema informatico e la memoria per frammenti di file che sono stati parzialmente cancellati in un unico luogo, ma lasciare tracce altrove sulla macchina. Questo è talvolta noto come intaglio di file o intaglio di dati.

Per saperne di più su computer forensic analytics in questo capitolo dal libro Python Forensics: A Workbench for Inventing and Sharing Digital Forensic Technology, di Chet Hosmer. Mostra come utilizzare Python e la tecnologia di sicurezza informatica per preservare le prove digitali.

Come viene usato il computer forensics come prova?

Computer forensics è stato utilizzato come prova dalle forze dell’ordine e nel diritto penale e civile dal 1980. Alcuni casi degni di nota sono i seguenti:

  • Furto segreto commerciale Apple. Un ingegnere di nome Xiaolang Zhang presso la divisione auto autonoma di Apple ha annunciato il suo ritiro e ha detto che sarebbe tornato in Cina per prendersi cura della sua anziana madre. Ha detto al suo manager che aveva intenzione di lavorare in un produttore di auto elettroniche in Cina, sollevando sospetti. Secondo un affidavit del Federal Bureau of Investigation (FBI), il team di sicurezza di Apple ha esaminato l’attività di Zhang sulla rete aziendale e ha scoperto, nei giorni precedenti alle sue dimissioni, di aver scaricato segreti commerciali da database aziendali riservati a cui aveva accesso. È stato incriminato dall’FBI nel 2018.
  • Enron. In uno degli scandali di frode contabile più comunemente citati, Enron, un U. S. energia, materie prime e società di servizi, falsamente riportato miliardi di dollari di entrate prima di andare in bancarotta nel 2001, causando danni finanziari a molti dipendenti e altre persone che avevano investito nella società. Gli analisti informatici forensi hanno esaminato terabyte di dati per comprendere il complesso schema di frode. Lo scandalo è stato un fattore significativo nel passaggio del Sarbanes-Oxley Act del 2002, che ha stabilito nuovi requisiti di conformità contabile per le società pubbliche. La società ha dichiarato fallimento nel 2001.
  • Furto segreto commerciale di Google. Anthony Scott Levandowski, ex dirigente di Uber e Google, è stato accusato di 33 capi di furto di segreti commerciali in 2019. Dal 2009 al 2016, Levandowski ha lavorato nel programma di auto a guida autonoma di Google, dove ha scaricato migliaia di file relativi al programma da un server aziendale protetto da password. È partito da Google e ha creato Otto, una società di autocarri a guida autonoma, che Uber ha acquistato nel 2016, secondo il New York Times. Levandowski dichiararsi colpevole di un conteggio di segreti commerciali furto ed è stato condannato a 18 mesi di carcere e $851.499 in multe e restituzione. Levandowski ha ricevuto un perdono presidenziale nel gennaio 2021.
  • Larry Thomas. Thomas ha sparato e ucciso Rito Llamas-Juarez in 2016 Thomas è stato successivamente condannato con l’aiuto di centinaia di post su Facebook che ha fatto sotto il falso nome di Slaughtertaboi Larro. Uno dei post includeva una foto di lui che indossava un braccialetto che è stato trovato sulla scena del crimine.
  • Michael Jackson. Gli investigatori hanno utilizzato metadati e documenti medici dall’iPhone del medico di Michael Jackson che mostravano che il medico, Conrad Murray, prescriveva quantità letali di farmaci a Jackson, morto nel 2009.
  • Mikayla Munn. Munn annegò il suo neonato nella vasca da bagno della sua stanza del dormitorio dell’Università di Manchester nel 2016. Gli investigatori hanno trovato ricerche su Google sul suo computer contenente la frase “at home abortion”, che sono stati utilizzati per condannarla.

L’omicidio è solo uno dei tanti tipi di criminalità informatica forense può aiutare nella lotta. Scopri come il software di analisi finanziaria forense viene utilizzato per combattere le frodi.

Computer forensics carriere e certificazioni

Computer forensics è diventata una propria area di competenza scientifica, con corsi di accompagnamento e certificazione. Lo stipendio medio annuo per un analista forense informatico entry-level è di circa $65.000, secondo Salary.com. Alcuni esempi di percorsi di carriera cyber forense includono quanto segue:

  • Ingegnere forense. Questi professionisti si occupano della fase di raccolta del processo informatico forense, raccogliendo dati e preparandoli per l’analisi. Aiutano a determinare come un dispositivo non è riuscito.
  • Contabile forense. Questa posizione si occupa di reati che coinvolgono il riciclaggio di denaro e altre transazioni fatte per coprire attività illegali.
  • Analista di sicurezza informatica. Questa posizione riguarda l’analisi dei dati una volta raccolti e il disegno di approfondimenti che possono essere successivamente utilizzati per migliorare la strategia di sicurezza informatica di un’organizzazione.

Un diploma di laurea-e, a volte, un master-in informatica, sicurezza informatica o un campo correlato sono richiesti ai professionisti del computer forense. Ci sono diverse certificazioni disponibili in questo campo, tra cui le seguenti:

  • L’analista forense di CyberSecurity Institute. Questa credenziale è progettata per i professionisti della sicurezza con almeno due anni di esperienza. Gli scenari di test sono basati su casi reali.
  • International Association of Computer Investigative Specialists’ Certified Forensic Computer Examiner. Questo programma si concentra principalmente sulla convalida delle competenze necessarie per garantire business segue stabilito computer forensic linee guida.
  • EC-Computer Hacking Investigatore forense del Consiglio. Questa certificazione valuta la capacità di un richiedente di identificare gli intrusi e raccogliere prove che possono essere utilizzate in tribunale. Copre la ricerca e il sequestro di sistemi informativi, lavorando con prove digitali e altre abilità di cyber forensics.
  • International Society of Forensic Computer Examiner (ISFCE) Certified Computer Examiner. Questo programma forensic examiner richiede una formazione presso un centro di formazione bootcamp autorizzato e i candidati devono firmare il Codice etico e la responsabilità professionale ISFCE.

Scopri di più su una carriera di cyber forensics da questa intervista con Amanda Rousseau, ricercatrice senior di malware a Endgame (ora su Facebook), che ha iniziato la sua carriera eseguendo indagini forensi informatiche presso il Dipartimento della Difesa Cyber Crime Center.

Lascia un commento

Il tuo indirizzo email non sarà pubblicato.