Il Digital Forensic Research Workshop è una delle conferenze più accreditate del settore. Si svolge annualmente negli Stati Uniti ed è nata concettualmente nel 2002, anno in cui il Governo Americano ha intrapreso un’opera di supporto finanziario mediante il laboratorio dell’aviazione militare. A partire da quel tempo, in cui si prestava la massima attenzione a problematiche di rintraccio delle connessioni di rete e preservation (la fase in cui i dati acquisiti dovrebbero essere mantenuti integri) , in questo momento si guarda a tematiche sicuramente derivate dagli argomenti appena citati, ma sicuramente rappresentative di una evoluzione dello stato dell’arte destinato più alla pratica che alla teoria. Dario Forte è nel Program Tech Comm. Il programma della confrerenza ha un orientamento diretto ai seguenti settori investigativi:
- la gestione dei cosiddetti “volatile data” dati che, per la loro conformazione e le loro caratteristiche, non sono riproducibili, non lasciano tracce durevoli e che, quindi, devono essere acquisite con la massima prontezza ed efficacia.
- I log files e la loro acquisizione, correlazione e utilizzo, sia durante un’investigazione sia durante un processo di gestione incidenti di sicurezza.
- i processi di data carving, cioè le attività di ricerca ed estrazione di dati, più o meno strutturati, che possono essere utili ai fini delle indagini, inclusa l’interazione con i file system e i dati a basso livello, con particolare riferimento sia a formati particolari di files, sia problematiche di tipo fisico e legate alle procedure di imaging cioè di processi di copia “forense” delle informazioni contenute nei vari media.
I “volatile data”
La RFC 3227, contenente le linee guida sulla gestione delle digital evidences, è uno dei documenti di riferimento della comunità scientifica sulla gestione delle prove digitali. Si tratta di un documento che si avvia alla revisione ciclica, ma che è estremamente attuale e utilizzato anche dalle procedure derivate delle associazioni di settore e finanche, in alcuni tratti, dagli standard ISO sul security management. La RFC 3227 dice che, nella fase di preservation, si deve procedere all’acquisizione dei dati a partire dai “più volatili” per arrivare ai “meno volatili”: i primi vengono chiamati “volatile data”, mentre i secondi vengono denominati “data at rest”. Nel mondo reale, cioè in quello dove sussistono esigenze di incident response e di computer forensics da conciliare con quelle aziendali di mitigazione del rischio, quindi di maggiore flessibilità, il problema viene affrontato con soluzioni di live response and analysis, peraltro condivise in sede giudiziaria. Tuttavia, la comunità scientifica ha più volte manifestato l’esigenza di esplorare comunque lo spettro delle possibilità di garantire al massimo l’integrità di base dei dati stessi. Nella maggior parte dei casi, i dati volatili risiedono in RAM. E quando c’è l’esigenza di acquisire questi dati, si opera allo stato con strumenti che, comunque, accedono evidentemente alla RAM medesima, modificandone lo stato iniziale. Più volte, specialmente nelle aule giudiziarie, si è provato, in maniera a dir poco audace, a smontare a priori il risultato degli interventi di preservation sulla RAM stessa. Tuttavia, nelle stesse aule è stato dimostrato che, una volta identificati i punti ove il tool di imaging abbia “lasciato traccia” , non si può escludere a priori la genuinità della RAM copiata. A tal proposito, la ricerca si è indirizzata in due direzioni, una relativa ad un modello di estrazione dati ed analisi, e l’altra correlata ad un possibile strumento di acquisizione ad impatto zero.
Dal punto di vista della modellazione, il Dfrws vede proporre un approccio basato sull’analisi segmentata dello stack, in grado di effettuare un raffronto strutturato tra una baseline predefinita (risultato di un’analisi fondamentale) e le possibili variazioni intervenute durante una particolare operazione. Questo modello ha un’implementazione la quale è stata testata in ambiente Windows, fornendo interessanti risultati. Si tratta però di una ricerca di tipo sperimentale, diversa da Body Snatcher, un tool di acquisizione consistente in un vero e proprio micro sistema operativo bi componente in grado di effettuare l’immagine della memoria con un impatto irrilevante sulla sua genuinità. I creatori di Body Snatcher, infatti, partendo dalle due esigenze fondamentali della computer forensics (Fidelity e Reliability) evidentemente collegate alle esigenze di integrità. Gli studi e i test effettuati confermano la potenziale applicabilità di questa ricerca anche in ambiti più estesi, superando i limiti pratici delle acquisizioni della memoria basate su hardware dedicato, tra l’altro proposte nel 2002.
La gestione dei log files
La ricerca underground sta proponendo delle tematiche di estremo interesse relative alla possibilità di effettuare malicious injection sui dispositivi di logging. Esse presumono l’esistenza di vulnerabilità strutturali dei sistemi di generazione dei log stessi, pertanto si parla di tematiche di sicurezza ricorrenti e ben note. Tuttavia, mentre si parla ancora del rapporto tra SIM, correlazioni e forensics, la ricerca si sta concentrando su tre aspetti interessanti. Il primo riguarda Windows Vista, il secondo l’analisi di sorgenti multiple per la gestione della ricostruzione degli eventi e il terzo l’analisi degli eventi su dispositivi “alternativi” al mondo IT.
Microsoft Vista è sicuramente uno dei sistemi operativi più studiati in questo periodo. Sicuramente lo è per le features crittografiche che, sulla carta, preoccupano gli investigatori, ma lo è anche per i nuovi formati di log, diversi da quelli dei sistemi operativi precedenti della famiglia Windows, ma anche con molte caratteristiche in più. Iniziano ad intravedersi le prime applicazioni non proprietarie per la lettura e l’interpretazione dei log files, nonché le prime definizioni tassonomiche. Stiamo parlando di un nuovo ruolo di XML, sempre più utilizzato, anche da progetti portati avanti dalla Internet Engineering Task Force, quali il famoso IODEF, per l’interscambio in tempo reale delle informazioni legate alle intrusioni e alle violazioni di sicurezza in generale. Il “problema” più importante, comunque, riguarda il formato “non in chiaro” dei log di vista, che richiedono un viewer dedicato, che dal punto di vista della computer forensics potrebbe creare quantomeno un dibattito sulla riproducibilità. Il secondo tema che viene affrontato riguarda la correlazione tra vari log finalizzata al mantenimento della loro integrità e alla definizione della timeline. Con quest’ultimo termine si indica la ricostruzione del vari eventi secondo una sequenza temporale coerente, al fine di determinare un possibile scenario di quanto accaduto. La tendenza è quella di utilizzare i log dei vari servizi di sicurezza (es. IDS) con i syslog e i trace di rete, correlandoli tra loro secondo degli algoritmi sperimentati. Dal punto di vista dei sistemi operativi già largamente utilizzati da aziende e istituzioni segnaliamo FixEvt - A Tool for Automated Log Repair, uno strumento che si propone di effettuare una ricognizione e ripristino dei files di log corrotti, sotto XP/2003, in maniera automatizzata e con un buon range di affidabilità.
Notevole interesse, infine, sta suscitando il logging e la relativa analisi degli eventi generati da dispositivi che non siano appartenenti strettamente alla categoria IT ma che comunque siano in grado di generare trace. Stiamo parlando di dispositivi di sicurezza fisica (per esempio controllo accessi alle facilities) e inclusi in tecnologie di consumo, come per esempio gli antifurti o le scatole nere delle autovetture. Si tratta di fonti di prova molto importanti, da utilizzare evidentemente per ricostruire incidenti (non informatici) e simili circostanze. Uno dei paper che sono stati sottoposti all’esame del comitato tecnico ha proprio riguardato le modalità di logging sicuro degli eventi, nonché le modalità di conservazione e di analisi di log medesimi. Trattandosi di vere e proprie scatole nere, quindi, esistono dei metodi di estrazione e di gestione dei dati da esse risultanti. Anche qui si inizia a parlare di standardizzazione, anche se, in realtà, molti ritengono già sufficiente il formato syslog “puro” per raggiungere l’obiettivo.
L’interazione con i file systems
Di sicuro interesse, infine, la sessione relativa ai file systems, e alle problematiche ad essi correlate sia in ordine alle attività di recupero dati, sia di carving, sia addirittura di imaging. Qui la ricerca ha dimostrato una certa lungimiranza, con particolare riferimento all’utilizzo di tecnologie già disponibili per altri scopi per l’effettuazione di indagini approfondite e distribuite.
In questo momento, infatti, si parla sempre più insistentemente di Massive Threading: cioè di effettuazione di thread investigativi e di ricerca dati in parallelo, che evidentemente richiedono una concreta ed esponenziale potenza di calcolo. La comunità scientifica ritiene che le cosiddette GPU – Graphical Processing Units, per intenderci la classe a cui appartiene NVIDIA G80, siano in grado di risolvere una serie decisamente ampia di problemi, che vanno dalla distributed forensics fino alle attività di decription e code breaking, le cui implementazioni, tra l’altro, sono già disponibili in commercio per clienti accreditati. È opinione comune, quindi, che sia la ricerca sia la comunità degli operativi saranno in grado di sfruttare questo tipo di potenza di calcolo in maniera estesa, altresì con un potenziale risparmio in termini di costi.
Se l’utilizzo delle GPU è comunque correlato alla fase di elaborazione e di messa in opera di ricerche già individuate, sarà infine utile sapere che sono in fase di testing dei nuovi strumenti di data carving e di analisi documentale basati su pattern matching. Questa nuova categoria di strumenti dovrebbe essere in grado di gestire non solo l’analisi forense dei contenuti ma anche processi e tecniche alternative che abbiamo già citato da queste pagine, una per tutti la e discovery.
Questa è solo una breve anticipazione di quello che sta per succedere in queste ore negli USA: Vi terremo aggiornati.
