Non è una immagine tratta dal serial C.S.I, si tratta di un computer portatile attrezzato per indagine forense.

L’informatica forense è la scienza che studia l’individuazione, la conservazione, la protezione, l‘estrazione, la documentazione e ogni altra forma di trattamento dei dati informatici in modo che possano essere utilizzati in un processo giuridico. Inoltre questa branca informatica studia le tecniche e gli strumenti per l’esame dei sistemi informatici. Quotidianamente vediamo l’informatica coinvolta in serial TV, (vedi C.S.I.), dove agenti speciali utilizzano i computer per risalire ad informazioni segretissime, che altrimenti rimarrebbero sepolte per sempre. I programmi utilizzati in questi telefilm, chissà perchè sono sempre dotati di animazioni tridimensionali e sintesi vocale, ma in che linguaggio sono stati creati??? Flash e Action Script 3?

Nel mondo reale invece, l’estetica è l’ultima cosa di cui abbiamo bisogno, quando si parla di legge, processi giuridici, giudici, avvocati, quello che conta sono le prove giuridiche. Nell’ambito dell’informatica forense, assume notevole importanza l’assicurare che i dati non vengano alterati, né durante la fase di acquisizione, né durante i passaggi successivi. Vengono quindi utilizzate determinate metodologie operative, protocolli ben stabiliti, al momento del sequestro dei sistemi informatici. Una grande rilevanza assumono algoritmi di hash come MD5 e SHA1 per generare chiavi univoche per ciascun file e garantire l’integrità degli stessi.

Adesso che abbiamo capito di cosa si tratta, passiamo alla pratica. Uno degli strumenti più efficaci, ma soprattutto gratuiti (ed Opensource) che abbiamo a disposizione si chiama Helix. Helix è un laboratorio su Live Cd, che si contraddistingue per una caratteristica importante, non può in alcun modo scrivere nell’hard disk ne sui supporti di memorizzazione di massa del Pc sul quale è in esecuzione. Tuttavia permette di masterizzare dei CD o DVD per l’esportazione dei dati. Se volete clonare l’hard disk incriminato su un altro HD ethernet potete scegliere l’opzione all’avvio. I principali strumenti che avrete a disposizione installando Helix sono i seguenti:

• Adepto: Esegue una copia del disco selezionato ed esegue l’hash del file-immagine

• Retriever: Esegue una ricerca sui dispositivi di immagini, audio e video

• RegViewer: Visualizzatore del Registro di Windows

• HexEditor: Editor Esadecimale

• Ethereal: Strumento per l’analisi delle reti

• Clam AV e F-Prot: Software antivirus

• Galleta: Cookie analyzer per Internet Explorer

• Autopsy: Web front-end a sleuthkit.

Potete trovare la lista completa del contenuto di Helix Live Cd su questa pagina ufficiale

Senza dubbio c’è bisogno di spendere due parole a proposito di Autospy, (il nome dice già tutto). Autopsy è un front-end grafico al celebre “The Sleuth Kit (TSK)”, una serie di tools a riga di comando per sistemi Unix. Autopsy supporta numerosi tipi di file systems, FAT, Ext2/3, NTFS, UFS ed ISO 9660. Se vi interessa sapere cosa è capace di fare Autopsy, ecco l’elenco completo dei tools forniti con Sleuth Kit.

Parlando di Software commerciale invece, una citazione è d’obbligo per il famoso Encase, la suite investigativa di “Guidance Software” più utilizzata nel settore. I punti di forti di Encase sono senza dubbio il continuo aggiornamento del software e la presenza di strumenti investigativi specifici per singole applicazioni che windows: Msn Messenger, Yahoo Messenger, etc… Buona investigazione.

Crittografia…argomento interessante, come possiamo proteggere password, numeri di carta di credito, documenti personali, foto riservate, in modo che nessuno possa vederli? C’è un solo modo, la crittografia, tutto il resto è roba inutile…

Cosa vuol dire in poche parole crittografia?

Vuol dire nascondere il contenuto di un file. Ciò avviene tramite algoritmi matematici molto complessi in modo che sia assolutamente impossibile risalire ai dati originali senza conoscere la chiave crittografica.

L’FBI volendo riuscirebbe a leggere il contenuta dei miei files crittografati?

Assolutamente NO. Usando un sistema crittografico simmetrico forte, nel nostro caso sarà AES a 256 bit (Advanced Encryption Standard) le tecnologie attualmente in uso non permettono di rompere l’algoritmo in un tempo sufficentemente breve, ci vorebbero computer superpotenti e migliaia di anni di computazione…ne vale davvero la pena?

Ok, mi hai convinto, veniamo al dunque!

C’è un modo semplice e rapido di fare tutto ciò con Ubuntu, si chiama Easycrypt, è una GUI per truecrypt e permette di creare dei file crittografati che possono essere esplorati come se fossero dei dischi virtuali e poi richiusi quando abbiamo finito. Vediamo come fare per installare entrambi i programmi.

1. Primo passo, scarichiamo truecrypt in formato .deb da qui e installiamo con sudo dpkg -i nomefile.deb
   
2. Per installare Easycrypt invece aggiungiamo queste righe al file /etc/apt/sources.list

deb http://ppa.launchpad.net/stevenharperuk/ubuntu hardy main restricted universe multiverse

deb-src http://ppa.launchpad.net/stevenharperuk/ubuntu hardy main restricted universe multiverse

e installiamo il tutto con:

sudo aptitude update; sudo aptitude install easycrypt

adesso possiamo lanciare easycrypt e modificarne le impostazioni a piacimento cliccandolo nella traybar

dopodiche possiamo creare un nuovo crypt…

…il crypt sarà contenuto in un file creato da noi, quindi lo potremo trasportare anche su dispositivi usb, cd,etc…

.. inserire la password 2 volte, scegliere la dimensione massima del volume virtuale e l’algoritmo desiderato. Il gioco è fatto.

Ieri mattina il legale che difende un imputato in una indagine in cui era coinvolto un computer sequestrato si è recato in un ufficio della Polizia Postale per ottenere una copia certificata dell’hard disk contenuto in quel computer. Si tratta di un diritto fondamentale della difesa: poter verificare l’integrità dei dati, recuperare informazioni utili per la propria tesi difensiva, analizzare su quali basi vengono formulate le accuse. Si tratta cioè di un elemento chiave per stabilire una strategia difensiva, rilevante in ogni contesto, tanto più se di natura penale. Ma quella copia così dei dati l’avvocato non l’ha più fatta…il motivo?

Per ottenere la copia di un disco da 120 gigabyte, come accaduto ieri, bisogna pagare circa 4o.000 €!

Ma dico…siamo impazziti? Chiedere la copia di un CD invece costa soltanto 258,23 €, qui in basso il listino prezzi!

Sì, è vero, il l’hard disk viene successivamente riconsegnato all’accusato. Ma quando? In genere passano circa 7 anni dal momento del sequestro. E il lavoro di quella persona? La sua vita affettiva? Nulla di quell’ harddisk può essere rilasciato senza il pagamento di una somma stratosferica. Ciò significa per difendersi dalle accuse, a un cittadino di medio reddito non rimane che appellarsi semmai in un secondo momento al magistrato, chiedere che venga effettuata una perizia per conto del tribunale; ma il giudice non ha alcun obbligo di accettare tale richiesta e inoltre non è detto che la perizia sia la cosa più conveniente per la difesa in quel momento.

Morale della favola…Crittografate tutto…così in caso di sequestro avrete il coltello dalla parte del manico! Vedi articolo: Come crittografare i vostri dati in 5 minuti con Linux