INVESTIGAZIONE DIGITALE : le soluzioni Blueprint LE INVESTIGAZIONI DIGITALI DELL™ Le sfide del mercato • L a mancanza di esperienza e di risorse adeguate, insieme a un volume crescente di dati sospetti, comporta un ritardo di 18 – 241 mesi nel completamento delle indagini. • T empi di investigazione costosi sono spesso impiegati nella gestione della tecnologia, nella copia dei dati e nel mantenimento della sicurezza. • A ccesso remoto ai dati limitato. Gli investigatori devono trovarsi fisicamente in laboratorio per evitare il rischio di una perdita di informazioni. • U n codice dannoso può infettare le workstation degli analisti, con conseguente necessità di reinstallazione del sistema e rischio di contaminazione della prova. • L ’approccio al backup di dati sospetti varia da investigatore a investigatore; col tempo, i dispositivi e i supporti multimediali si deteriorano e rischiano di perdere i dati. Vantaggi della soluzione • S emplifica l’imaging, la condivisione e l’archiviazione di dati tra gli esperti e i team di lavoro, con conseguente significativo aumento della produttività. • S tandardizza l’infrastruttura IT di investigazione e stabilisce un processo chiaro e sicuro di scambio elettronico di informazioni. • M ette in campo forze investigative esperte per l’analisi dei dati sospetti, offrendo un’unica interfaccia utente per un’intera suite di applicazioni di investigazione. LA SFIDA: LO TZUNAMI DIGITALE Negli ultimi anni abbiamo assistito a un significativo aumento delle attività digitali, in termini di volume, velocità, diversificazione e sofisticazione, da parte di criminali e gruppi terroristici in tutto il mondo. Oggi nella maggior parte dei crimini è presente una componente digitale. Non a caso si parla di tzunami digitale. L’aumento dei crimini informatici è stato esacerbato dal rapido progresso dei componenti hardware. La crescente diversificazione di dispositivi elettronici disponibili sul mercato, con capacità di storage e di memoria sempre più ampia, offre ai criminali e ai terroristi numerose opportunità per occultare informazioni dannose. Quasi tutti i PC e i portatili moderni sono dotati di unità disco con capacità di storage di centinaia di gigabyte. Con le nuove unità disco è persino possibile scegliere capacità da 2 o da 4 terabyte. Considerando che con un solo terabyte è possibile archiviare ben 200 DVD, si ottiene la giusta percezione dell’enorme quantità di storage disponibile, problema che andrà aumentando sempre più. Con i PC e i portatili, i telefoni cellulari, le unità flash USB e persino le console di gioco, la polizia e le forze di sicurezza affrontano difficoltà enormi per riprodurre, acquisire prove o fare ipotesi di reato, indicizzare e analizzare la crescente quantità di dati sospetti, preservando al tempo stesso la catena di custodia e proteggendo i cittadini. Una volta inquisito il presunto autore del reato e messi sotto sequestro i beni informatici di sua proprietà, gli organi investigativi e l’autorità giudiziaria incontrano grandi difficoltà nell’esaminare e analizzare i potenziali indizi in tempi brevi e in ambienti IT tutt’altro che perfetti. E nel caso di intere organizzazioni sospettate di attività criminali o terroristiche, il numero di dispositivi da analizzare può aumentare a dismisura. • O ffre l’analisi in sede o remota e la revisione dei dati sospetti e delle prove. • P ermette di eseguire il codice dannoso in un ambiente circoscritto, senza compromettere l’integrità del sistema. • G razie alle configurazioni BURA (Back-Up Recovery and Archiving) e DR (Disaster Recovery - ripristino di emergenza), si determina un processo chiaro che consente la messa in sicurezza della catena di custodia e la condivisione e la distruzione delle informazioni. IMAGING DEI DATI: UN’OPERAZIONE LUNGA Le unità disco devono prima essere copiate o “clonate” per non contaminare i dati originali. Questa è una delle difficoltà maggiori per gli organi investigativi, poiché per preservare i dati copiati dai cloni, hanno bisogno di enormi capacità di storage. Per copiare ed esaminare le unità disco sequestrate e i relativi sistemi potrebbero essere necessarie ore e persino giorni. Queste operazioni vanno eseguite con la massima cura e attenzione ai più piccoli dettagli. Per preservare la catena o la continuità di custodia esistono numerose linee guida piuttosto rigide. È indispensabile documentare le condizioni in base alle quali gli indizi di reato vengono raccolti. Deve essere indicata chiaramente l’identità di ciascun detentore della custodia della prova. Occorre riportare la durata della custodia della prova, indicare le misure di sicurezza in atto per la manipolazione o la conservazione della prova e specificare il modo in cui questa viene trasferita ai successivi custodi. L’esecuzione di tutte queste operazioni richiede in genere molto tempo. ATTUALI PROBLEMI DI ACQUISIZIONE E ANALISI Una volta clonati, i dati vengono acquisiti da investigatori esperti su una o più workstation o PC ad alte prestazioni. Anche in questo caso i tempi possono rivelarsi estremamente lunghi, a seconda della quantità di dati da acquisire prima che possano essere indicizzati, esaminati e analizzati. A causa dell’ampio volume di dati da analizzare e del rischio di perdita di informazioni, gli esperti devono essere fisicamente presenti nel laboratorio per poter eseguire l’analisi. Inoltre, in base alle norme in vigore potrebbero essere vietate le ricerche remote in unità disco poste sotto sequestro a scopo di analisi da parte degli organi investigativi in ambito tecnologico. Non c’è quindi da meravigliarsi dell’enorme ritardo con cui viene completata l’analisi di unità disco poste sotto sequestro (in genere da 18 a 24 mesi). Nella migliore delle ipotesi i dati possono essere condivisi su più file server ma il processo di analisi deve necessariamente essere condotto presso il laboratorio e richiede un’infrastruttura con eccellenti capacità di rete per il continuo trasferimento di dati tra i server centrali e i PC degli analisti. Molto spesso ciò non permette la condivisione dei dati tra analisti appartenenti allo stesso organo investigativo, costretti a lavorare presso sedi remote. La condivisione in tempo reale tra organi investigativi e anche tra organi di investigazione internazionali è attualmente esclusa come possibilità. Di conseguenza, l’unica soluzione attuale per condurre analisi approfondite è la presenza all’interno del laboratorio. Inoltre, nel caso un’immagine clonata contenga un codice dannoso, la workstation utilizzata per l’investigazione potrebbe subire dei danni e potrebbe essere necessaria la reinstallazione completa, con conseguente necessità di ripetere il processo di acquisizione dall’inizio, oppure, nel caso il codice non venga rilevato, potrebbe essere compromessa l’intera catena di custodia. PANORAMICA SULLA SOLUZIONE DI INVESTIGAZIONE DIGITALE L’approccio all’investigazione digitale messo a punto da Dell prevede l’identificazione di processi effettivamente seriali e l’applicazione dei principi propri del Cloud Computing, in base ai quali vengono utilizzate le capacità del data center per permettere l’esame contemporaneo e parallelo degli indizi digitali. CICLO DI VITA DELL’INVESTIGAZIONE DELL 1 2 3 4 5 Acquisizione: una volta clonati, i dati sospetti vengono acquisiti direttamente in un archivio centrale di prove di reato, piuttosto che su una workstation. La soluzione permette l’acquisizione di più dispositivi contemporaneamente. Storage: la copia dei dati direttamente sui sistemi di storage ad alta velocità Dell™ Equallogic™ e EMC permette un efficace scambio dei dati tra i server e le unità di storage, migliorando la produttività. 2 Analisi: è possibile eseguire più sessioni di analisi contemporaneamente su uno o più PC Dell OptiPlex™ con ulteriore aumento di produttività. Presenza: la soluzione permette ad un numero scalabile di team di analisti in sede o remoti di accedere in modo sicuro ai dati del caso in esame per 24 ore al giorno, 7 giorni su 7 e per tutto l’anno. Archiviazione e ricerca: le opzioni a standard industriale BURA consentono di preservare la catena digitale di custodia e lo scambio sicuro dei dati, facilitando la cooperazione su qualsiasi caso. Riservatezza Integrità Permette di impedire l’accesso non autorizzato o la perdita di informazioni Permette di preservare la catena digitale di custodia Accesso condiviso agli indizi di reato digitali per 24h/24, 7gg/7, con una disponibilità pari al 99,999%.* Disponibilità Aumenta la produttività e l’efficienza nelle investigazioni Collaborazione e accessi sicuri in sede o da remoto Interoperabilità e scalabilità Opzioni BURA standard e ricerca dei dati sospetti Esecuzione sicura del codice dannoso Fase 1 (Acquisizione) - Come già avviene in base alle procedure esistenti, Fig 1. Il processo di investigazione digitale suddiviso in 5 fasi separate. i dati sospetti vengono clonati ma, piuttosto che creare l’immagine dei dati su un’unica workstation, i dati vengono acquisiti in un archivio di indizi di reato centrale e non sul PC del singolo analista. Acquisendo i dati direttamente in un data center, si riduce la necessità di un continuo trasferimento degli stessi da un dispositivo a un altro, aumentandone la disponibilità a vantaggio di più analisti che possono così migliorare la loro produttività e la loro efficienza. Fase 2 (Storage) – La memorizzazione di dati sospetti direttamente nel data center permette agli analisti di concentrarsi sull’analisi in corso piuttosto che preoccuparsi dello spazio disponibile sul disco del loro PC per l’archiviazione e l’indicizzazione dei dati. Inoltre, il loro lavoro non subirà rallentamenti per l’esecuzione del backup di altri lavori di investigazione su supporti registrabili come i DVD. La memorizzazione centrale dei dati permette anche la facile condivisione dei dati stessi e del carico di lavoro e riduce il tempo necessario per copiare enormi quantità di dati da un dispositivo a un altro, con conseguente miglioramento della produttività. Persino sulle più moderne reti ad alta velocità, operazioni del genere potrebbero richiedere ore, rendendo inefficienti sia i PC che le risorse di rete. Fase 3 (Analisi) – La memorizzazione centralizzata dei dati sospetti rende possibile l’indicizzazione e l’esame dei dati all’interno del data center su server ad alte prestazioni, piuttosto che utilizzare i PC degli analisti. preservando in tal modo l’integrità del resto del sistema da codice dannoso e virus. Nel caso sia necessario eseguire codice o applicazioni dannosi per dimostrare l’evidenza della prova, l’analista può farlo nella massima sicurezza in ambienti isolati. In passato, il codice dannoso eseguito per errore poteva compromettere l’integrità della prova di reato, la catena di custodia e il tempo impiegato fino a quel momento per l’analisi. Di conseguenza, si rendeva probabilmente necessaria la reinstallazione completa della workstation dell’analista e la ripetizione dei processi di imaging e di analisi. Fase 4 (Presenza) – Una volta esaminati i dati e identificate le potenziali aree di interesse, i team di analisi, che possono comprendere fino a 200 agenti (a seconda delle dimensioni dell’infrastruttura di investigazione), ottengono accesso sicuro alle potenziali prove di reato del caso in esame. Inoltre, la natura standard di questa infrastruttura permette ad esperti qualificati di accedere da remoto con maggiore facilità e in modo sicuro. Pertanto, non è necessaria la presenza in sede per l’esame di casi più complessi e si evitano i rischi legati alla memorizzazione delle prove su CD. Fase 5 (Archiviazione e Ricerca) - Il “Blueprint” Dell™ per le soluzioni di investigazioni digitale modulari fornisce un valido aiuto nella realizzazione di un ambiente modulare e scalabile che possa essere esteso e potenziato per soddisfare la crescente necessità di maggiore potenza di elaborazione e di maggiore capacità di storage. Integrando un’infrastruttura BURA (backup, ripristino e archiviazione) standard è possibile ottimizzare la collaborazione tra gli organi investigativi, anche a livello internazionale. Inoltre, le opzioni BURA basate su standard industriali liberano gli analisti dalle incombenze amministrative, garantiscono congruenza tra i laboratori soprattutto in momenti di difficoltà e riducono i rischi nella catena di custodia legati al backup degli indizi di reato su DVD registrabili e su altri tipi di dispositivi di archiviazione per uso domestico. In tal modo viene facilitato lo scambio sicuro di informazioni tra più laboratori anticrimine. Inoltre, il Blueprint Dell sull’investigazione digitale contiene un componente di ricerca opzionale che permette la correlazione delle informazioni tra i set di dati acquisiti. Grazie a questo componente l’analista è in grado di eseguire rapidamente ricerche in modo simile a come avviene su Internet sull’intero archivio di dati in esame, sia sui contenuti del caso corrente che sul materiale archiviato relativo a casi precedenti. In tal modo, utilizzando software come AccessData FTK e Guidance EnCase è possibile eseguire più sessioni di analisi contemporaneamente su una o più workstation, ottenendo un netto miglioramento della produttività. E ovviamente, il tempo a disposizione degli analisti può essere dedicato all’analisi piuttosto che alla gestione dei dati. Ogni istanza dell’applicazione viene eseguita su un server indipendente, * Equivale ad un massimo di 5 minuti e 35 secondi di inattività in un anno. PANORAMICA SULLA SOLUZIONE DI INVESTIGAZIONE DIGITALE (segue) Figura 2. Uno screenshot della soluzione di investigazione digitale Dell che illustra l’esecuzione contemporanea su una workstation a doppio schermo di più istanze dei software AccessData FTK (versioni 1.8 e 2.2) e Guidance EnCase. RIEPILOGO Il framework di investigazione è rappresentato da una suite di server, storage e servizi software a elevata disponibilità, progettata per l’esame e la memorizzazione di dati di investigazione digitale e per la salvaguardia della sicurezza e dell’integrità dei dati stessi per l’intero ciclo di vita. Gli elementi della soluzione illustrati nella figura 3 riportata sotto comprendono: • S torage della prova – una piattaforma modulare di storage comune, costituita da un insieme di dispositivi di storage ad elevate prestazioni e ad alta capacità. In tal modo i dati possono SOLUZIONE DI INVESTIGAZIONE DELL Archivio Online Elaborazione or St Input ag e or St Disco ad alte prestazioni Storage della prova Dispositivi sequestrati ag Archivio Offline e or St Disco ad alta capacità ity bil ila a Av Virtualizzazione dell’applicazione Servizi di riservatezza ag e Output Nastro su supporti di storage più economici per l’archiviazione a breve termine (Online) e a lungo termine (Offline). • S ervizi di applicazione – tutte le principali applicazioni di investigazione vengono eseguite nel data center, riducendo l’attività e la latenza di rete e migliorando le prestazioni. Ciò permette agli analisti che seguono l’indagine di eseguire più istanze di applicazioni da una singola workstation, senza alcun calo di prestazioni. • S ervizi di integrità – una suite di prodotti software COTS personalizzata che protegge da codici dannosi le applicazioni e i dati contenuti nel sistema. Resta tuttavia possibile per l’analista eseguire il codice e le applicazioni sospette in un’area isolata e sicura. • S ervizi di riservatezza – un perimetro di sicurezza che evita il rischio di perdita dei dati e ne impedisce l’accesso non autorizzato (questi servizi potrebbero essere configurati in base agli standard governativi imposti nel Regno Unito). • G estione del caso – integrazione opzionale con il software esistente di gestione dei casi di investigazione in dotazione agli organi investigativi. Servizi di integrità Gestione del caso Postazioni di analisi Workstation dell’analista essere esaminati in modo rapido e trasferiti senza problemi Fig 3. Rappresentazione della soluzione di investigazione digitale Dell, in cui sono illustrati l’acquisizione, l’analisi e il backup formale, il ripristino e l’archiviazione (BURA). • S ervizi aggiuntivi – Dell™ può aggiungere ulteriori servizi al framework della soluzione, come la traduzione (testuale, audio e video) e la ricerca aziendale. INFORMAZIONI SU DELL™ Dell™ è stata fondata nel 1984 da Michael Dell da un’idea molto semplice: vendendo sistemi informatici direttamente ai consumatori, è più facile comprendere le loro esigenze e fornire le soluzioni informatiche più adeguate in grado di soddisfarle. La strategia di business Dell, in costante evoluzione, unisce il rivoluzionario modello di vendita diretta con i nuovi canali di distribuzione, per raggiungere clienti della sfera pubblica e privata e singoli individui in tutto il mondo. Dell collabora con le forze di sicurezza, gli organi investigativi, i fornitori di integrazioni di sistema (SI, Systems Integrators) e di soluzioni professionali per ridurre la complessità nella manipolazione e l’elaborazione di dati e informazioni sospette. Dell progetta, realizza e personalizza i suoi prodotti e servizi, dalle soluzioni mobili per i veicoli alle soluzioni di investigazione scalabili di livello aziendale. Siamo in grado di fornire agli organi di investigazione accesso remoto sicuro in tempo reale alle informazioni essenziali e garantire loro la collaborazione. Per offrire maggiore rapidità nelle decisioni, immediatezza di azione e maggiore agilità, i prodotti Dell comprendono: • P ortatili Latitude™ per maggiore mobilità e flessibilità lavorativa, incluse le soluzioni a bordo dei veicoli per comunicazioni in tempo reale. • W orkstation Dell Precision™ e server PowerEdge™ per l’esecuzione di applicazioni che richiedono grande potenza elaborativa, come quelle per l’investigazione digitale, applicazioni per la simulazione e la progettazione di data center a basso consumo energetico e applicazioni per il controllo e la gestione dell’infrastruttura. • S oluzioni di storage Dell|EMC2, Dell EqualLogic™ e PowerVault™ che forniscono accesso scalabile, sicuro e interoperativo, e soluzioni BURA (Backup, Recovery and Archiving) per i dati sensibili. • D ell Global Services, servizi a livello mondiale in grado di fornire consulenza pratica ed efficace sulla pianificazione di interventi per la semplificazione dell’infrastruttura IT. Comprendono i servizi di consulenza, installazione e di gestione e i servizi Dell ProSupportTM+. 1. Secondo un articolo pubblicato su The Register il 29 aprile 2009, le forze di polizia richiedono nuovi poteri di indagine remota sulle unità disco http://www.theregister.co.uk/2009/04/29/remote_hard_drive_forensics/ Solo clienti aziendali. Le fotografie non hanno valore contrattuale. Si applicano le Condizioni Generali di vendita di Dell™ consultabili sul sito www.dell.it. Dell™, il logo Dell, Latitude, OptiPlex, Precision, PowerEdge, PowerVault sono marchi registrati e di esclusiva proprietà di Dell Inc. Altri marchi o nomi di marchi potrebbero essere utilizzati in questo documento come riferimento alle entità reclamanti i marchi e i nomi dei propri prodotti. Dell riconosce di non aver alcun titolo di proprietà sui marchi e nomi altrui. Nonostante accurate verifiche, il presente documento potrebbe contenere specifiche errate. Dell™ si scusa anticipatamente per questi errori. Tutti i diritti riservati. Dell SpA - Viale Milanofiori, Palazzo Congressi, 20090 Assago - MI.