INVESTIGAZIONE
DIGITALE :
le soluzioni Blueprint
LE INVESTIGAZIONI
DIGITALI DELL™
Le sfide del mercato
• L
a mancanza di esperienza e di risorse
adeguate, insieme a un volume
crescente di dati sospetti, comporta
un ritardo di 18 – 241 mesi nel
completamento delle indagini.
• T
empi di investigazione costosi sono
spesso impiegati nella gestione della
tecnologia, nella copia dei dati e nel
mantenimento della sicurezza.
• A
ccesso remoto ai dati limitato.
Gli investigatori devono trovarsi
fisicamente in laboratorio per evitare
il rischio di una perdita di informazioni.
• U
n codice dannoso può infettare
le workstation degli analisti, con
conseguente necessità di
reinstallazione del sistema e rischio
di contaminazione della prova.
• L
’approccio al backup di dati sospetti
varia da investigatore a investigatore;
col tempo, i dispositivi e i supporti
multimediali si deteriorano
e rischiano di perdere i dati.
Vantaggi della soluzione
• S
emplifica l’imaging, la condivisione
e l’archiviazione di dati tra gli esperti
e i team di lavoro, con conseguente
significativo aumento della produttività.
• S
tandardizza l’infrastruttura IT di
investigazione e stabilisce un processo
chiaro e sicuro di scambio elettronico
di informazioni.
• M
ette in campo forze investigative
esperte per l’analisi dei dati sospetti,
offrendo un’unica interfaccia utente
per un’intera suite di applicazioni
di investigazione.
LA SFIDA: LO TZUNAMI DIGITALE
Negli ultimi anni abbiamo assistito a un significativo aumento delle attività digitali, in termini
di volume, velocità, diversificazione e sofisticazione, da parte di criminali e gruppi terroristici
in tutto il mondo. Oggi nella maggior parte dei crimini è presente una componente digitale.
Non a caso si parla di tzunami digitale.
L’aumento dei crimini informatici è stato esacerbato dal rapido progresso dei componenti hardware.
La crescente diversificazione di dispositivi elettronici disponibili sul mercato, con capacità di storage
e di memoria sempre più ampia, offre ai criminali e ai terroristi numerose opportunità per occultare
informazioni dannose.
Quasi tutti i PC e i portatili moderni sono dotati di unità disco con capacità di storage di centinaia
di gigabyte. Con le nuove unità disco è persino possibile scegliere capacità da 2 o da 4 terabyte.
Considerando che con un solo terabyte è possibile archiviare ben 200 DVD, si ottiene la giusta
percezione dell’enorme quantità di storage disponibile, problema che andrà aumentando sempre più.
Con i PC e i portatili, i telefoni cellulari, le unità flash USB e persino le console di gioco, la polizia e le forze
di sicurezza affrontano difficoltà enormi per riprodurre, acquisire prove o fare ipotesi di reato, indicizzare
e analizzare la crescente quantità di dati sospetti, preservando al tempo stesso la catena di custodia e
proteggendo i cittadini.
Una volta inquisito il presunto autore del reato e messi sotto sequestro i beni informatici
di sua proprietà, gli organi investigativi e l’autorità giudiziaria incontrano grandi
difficoltà nell’esaminare e analizzare i potenziali indizi in tempi brevi e in ambienti
IT tutt’altro che perfetti.
E nel caso di intere organizzazioni sospettate di attività criminali o terroristiche,
il numero di dispositivi da analizzare può aumentare a dismisura.
• O
ffre l’analisi in sede o remota e la
revisione dei dati sospetti e delle prove.
• P
ermette di eseguire il codice dannoso
in un ambiente circoscritto, senza
compromettere l’integrità del sistema.
• G
razie alle configurazioni BURA
(Back-Up Recovery and Archiving)
e DR (Disaster Recovery - ripristino
di emergenza), si determina un
processo chiaro che consente la messa
in sicurezza della catena di custodia
e la condivisione e la distruzione
delle informazioni.
IMAGING DEI DATI:
UN’OPERAZIONE LUNGA
Le unità disco devono prima essere copiate o “clonate” per non
contaminare i dati originali. Questa è una delle difficoltà maggiori
per gli organi investigativi, poiché per preservare i dati copiati
dai cloni, hanno bisogno di enormi capacità di storage.
Per copiare ed esaminare le unità disco sequestrate e i relativi
sistemi potrebbero essere necessarie ore e persino giorni.
Queste operazioni vanno eseguite con la massima cura
e attenzione ai più piccoli dettagli.
Per preservare la catena o la continuità di custodia esistono
numerose linee guida piuttosto rigide. È indispensabile
documentare le condizioni in base alle quali gli indizi di reato
vengono raccolti.
Deve essere indicata chiaramente l’identità di ciascun detentore
della custodia della prova. Occorre riportare la durata della
custodia della prova, indicare le misure di sicurezza in atto per
la manipolazione o la conservazione della prova e specificare
il modo in cui questa viene trasferita ai successivi custodi.
L’esecuzione di tutte queste operazioni richiede in genere
molto tempo.
ATTUALI PROBLEMI
DI ACQUISIZIONE
E ANALISI
Una volta clonati, i dati vengono acquisiti da investigatori esperti
su una o più workstation o PC ad alte prestazioni. Anche in questo
caso i tempi possono rivelarsi estremamente lunghi, a seconda della
quantità di dati da acquisire prima che possano essere indicizzati,
esaminati e analizzati.
A causa dell’ampio volume di dati da analizzare e del rischio
di perdita di informazioni, gli esperti devono essere fisicamente
presenti nel laboratorio per poter eseguire l’analisi. Inoltre,
in base alle norme in vigore potrebbero essere vietate le ricerche
remote in unità disco poste sotto sequestro a scopo di analisi
da parte degli organi investigativi in ambito tecnologico.
Non c’è quindi da meravigliarsi dell’enorme ritardo con cui
viene completata l’analisi di unità disco poste sotto sequestro
(in genere da 18 a 24 mesi). Nella migliore delle ipotesi i dati
possono essere condivisi su più file server ma il processo di analisi
deve necessariamente essere condotto presso il laboratorio
e richiede un’infrastruttura con eccellenti capacità di rete per
il continuo trasferimento di dati tra i server centrali e i PC degli
analisti. Molto spesso ciò non permette la condivisione dei
dati tra analisti appartenenti allo stesso organo investigativo,
costretti a lavorare presso sedi remote. La condivisione in tempo
reale tra organi investigativi e anche tra organi di investigazione
internazionali è attualmente esclusa come possibilità.
Di conseguenza, l’unica soluzione attuale per condurre analisi
approfondite è la presenza all’interno del laboratorio. Inoltre,
nel caso un’immagine clonata contenga un codice dannoso, la
workstation utilizzata per l’investigazione potrebbe subire dei
danni e potrebbe essere necessaria la reinstallazione completa,
con conseguente necessità di ripetere il processo di acquisizione
dall’inizio, oppure, nel caso il codice non venga rilevato, potrebbe
essere compromessa l’intera catena di custodia.
PANORAMICA SULLA SOLUZIONE DI INVESTIGAZIONE DIGITALE
L’approccio all’investigazione digitale messo a punto da Dell prevede l’identificazione di processi
effettivamente seriali e l’applicazione dei principi propri del Cloud Computing, in base ai quali vengono
utilizzate le capacità del data center per permettere l’esame contemporaneo e parallelo degli indizi digitali.
CICLO DI VITA DELL’INVESTIGAZIONE DELL
1
2
3
4
5
Acquisizione: una volta clonati, i dati sospetti vengono
acquisiti direttamente in un archivio centrale di prove di reato,
piuttosto che su una workstation. La soluzione permette
l’acquisizione di più dispositivi contemporaneamente.
Storage: la copia dei dati direttamente sui sistemi
di storage ad alta velocità Dell™ Equallogic™ e EMC
permette un efficace scambio dei dati tra i server e le
unità di storage, migliorando la produttività.
2
Analisi: è possibile eseguire più sessioni
di analisi contemporaneamente su uno o più
PC Dell OptiPlex™ con ulteriore aumento
di produttività.
Presenza: la soluzione permette ad un
numero scalabile di team di analisti in sede o
remoti di accedere in modo sicuro ai dati del
caso in esame per 24 ore al giorno, 7 giorni su
7 e per tutto l’anno.
Archiviazione e ricerca: le opzioni
a standard industriale BURA consentono
di preservare la catena digitale di custodia
e lo scambio sicuro dei dati, facilitando la
cooperazione su qualsiasi caso.
Riservatezza
Integrità
Permette di impedire
l’accesso non
autorizzato o la
perdita di informazioni
Permette di
preservare la
catena digitale di
custodia
Accesso condiviso
agli indizi di reato digitali
per 24h/24, 7gg/7,
con una disponibilità
pari al 99,999%.*
Disponibilità
Aumenta la
produttività e
l’efficienza nelle
investigazioni
Collaborazione e
accessi sicuri in sede
o da remoto
Interoperabilità
e
scalabilità
Opzioni BURA
standard e ricerca
dei dati sospetti
Esecuzione sicura
del codice
dannoso
Fase 1 (Acquisizione) - Come già avviene in base alle procedure esistenti,
Fig 1. Il processo di investigazione digitale suddiviso in 5 fasi separate.
i dati sospetti vengono clonati ma, piuttosto che creare l’immagine dei
dati su un’unica workstation, i dati vengono acquisiti in un archivio
di indizi di reato centrale e non sul PC del singolo analista. Acquisendo
i dati direttamente in un data center, si riduce la necessità di un continuo
trasferimento degli stessi da un dispositivo a un altro, aumentandone
la disponibilità a vantaggio di più analisti che possono così migliorare
la loro produttività e la loro efficienza.
Fase 2 (Storage) – La memorizzazione di dati sospetti direttamente
nel data center permette agli analisti di concentrarsi sull’analisi in corso
piuttosto che preoccuparsi dello spazio disponibile sul disco del loro
PC per l’archiviazione e l’indicizzazione dei dati. Inoltre, il loro lavoro
non subirà rallentamenti per l’esecuzione del backup di altri lavori di
investigazione su supporti registrabili come i DVD.
La memorizzazione centrale dei dati permette anche la facile
condivisione dei dati stessi e del carico di lavoro e riduce il tempo
necessario per copiare enormi quantità di dati da un dispositivo a un
altro, con conseguente miglioramento della produttività. Persino sulle
più moderne reti ad alta velocità, operazioni del genere potrebbero
richiedere ore, rendendo inefficienti sia i PC che le risorse di rete.
Fase 3 (Analisi) – La memorizzazione centralizzata dei dati sospetti
rende possibile l’indicizzazione e l’esame dei dati all’interno del data
center su server ad alte prestazioni, piuttosto che utilizzare i PC
degli analisti.
preservando in tal modo l’integrità del resto del sistema da codice
dannoso e virus. Nel caso sia necessario eseguire codice o applicazioni
dannosi per dimostrare l’evidenza della prova, l’analista può farlo nella
massima sicurezza in ambienti isolati.
In passato, il codice dannoso eseguito per errore poteva compromettere
l’integrità della prova di reato, la catena di custodia e il tempo
impiegato fino a quel momento per l’analisi. Di conseguenza, si rendeva
probabilmente necessaria la reinstallazione completa della workstation
dell’analista e la ripetizione dei processi di imaging e di analisi.
Fase 4 (Presenza) – Una volta esaminati i dati e identificate le potenziali
aree di interesse, i team di analisi, che possono comprendere fino a 200
agenti (a seconda delle dimensioni dell’infrastruttura di investigazione),
ottengono accesso sicuro alle potenziali prove di reato del caso in esame.
Inoltre, la natura standard di questa infrastruttura permette ad esperti
qualificati di accedere da remoto con maggiore facilità e in modo
sicuro. Pertanto, non è necessaria la presenza in sede per l’esame
di casi più complessi e si evitano i rischi legati alla memorizzazione
delle prove su CD.
Fase 5 (Archiviazione e Ricerca) - Il “Blueprint” Dell™ per le soluzioni
di investigazioni digitale modulari fornisce un valido aiuto nella
realizzazione di un ambiente modulare e scalabile che possa essere
esteso e potenziato per soddisfare la crescente necessità di maggiore
potenza di elaborazione e di maggiore capacità di storage.
Integrando un’infrastruttura BURA (backup, ripristino e archiviazione)
standard è possibile ottimizzare la collaborazione tra gli organi
investigativi, anche a livello internazionale. Inoltre, le opzioni BURA
basate su standard industriali liberano gli analisti dalle incombenze
amministrative, garantiscono congruenza tra i laboratori soprattutto
in momenti di difficoltà e riducono i rischi nella catena di custodia
legati al backup degli indizi di reato su DVD registrabili e su altri tipi
di dispositivi di archiviazione per uso domestico. In tal modo viene
facilitato lo scambio sicuro di informazioni tra più laboratori anticrimine.
Inoltre, il Blueprint Dell sull’investigazione digitale contiene
un componente di ricerca opzionale che permette la correlazione delle
informazioni tra i set di dati acquisiti. Grazie a questo componente
l’analista è in grado di eseguire rapidamente ricerche in modo simile
a come avviene su Internet sull’intero archivio di dati in esame,
sia sui contenuti del caso corrente che sul materiale archiviato
relativo a casi precedenti.
In tal modo, utilizzando software come AccessData FTK e Guidance
EnCase è possibile eseguire più sessioni di analisi contemporaneamente
su una o più workstation, ottenendo un netto miglioramento della
produttività. E ovviamente, il tempo a disposizione degli analisti può
essere dedicato all’analisi piuttosto che alla gestione dei dati.
Ogni istanza dell’applicazione viene eseguita su un server indipendente,
* Equivale ad un massimo di 5 minuti e 35 secondi di inattività in un anno.
PANORAMICA SULLA SOLUZIONE DI
INVESTIGAZIONE DIGITALE (segue)
Figura 2. Uno screenshot della soluzione di investigazione digitale Dell che illustra l’esecuzione contemporanea su una workstation a doppio schermo
di più istanze dei software AccessData FTK (versioni 1.8 e 2.2) e Guidance EnCase.
RIEPILOGO
Il framework di investigazione è rappresentato da una suite di
server, storage e servizi software a elevata disponibilità, progettata
per l’esame e la memorizzazione di dati di investigazione digitale
e per la salvaguardia della sicurezza e dell’integrità dei dati stessi
per l’intero ciclo di vita. Gli elementi della soluzione illustrati nella
figura 3 riportata sotto comprendono:
• S
torage della prova – una piattaforma modulare di storage
comune, costituita da un insieme di dispositivi di storage ad
elevate prestazioni e ad alta capacità. In tal modo i dati possono
SOLUZIONE DI INVESTIGAZIONE DELL
Archivio
Online
Elaborazione
or
St
Input
ag
e
or
St
Disco ad alte
prestazioni
Storage
della prova
Dispositivi
sequestrati
ag
Archivio
Offline
e
or
St
Disco ad alta
capacità
ity
bil
ila
a
Av
Virtualizzazione
dell’applicazione
Servizi di
riservatezza
ag
e
Output
Nastro
su supporti di storage più economici per l’archiviazione
a breve termine (Online) e a lungo termine (Offline).
• S
ervizi di applicazione – tutte le principali applicazioni
di investigazione vengono eseguite nel data center,
riducendo l’attività e la latenza di rete e migliorando
le prestazioni. Ciò permette agli analisti che seguono
l’indagine di eseguire più istanze di applicazioni da una
singola workstation, senza alcun calo di prestazioni.
• S
ervizi di integrità – una suite di prodotti software COTS
personalizzata che protegge da codici dannosi le applicazioni
e i dati contenuti nel sistema. Resta tuttavia possibile per
l’analista eseguire il codice e le applicazioni sospette in
un’area isolata e sicura.
• S
ervizi di riservatezza – un perimetro di sicurezza che evita
il rischio di perdita dei dati e ne impedisce l’accesso non
autorizzato (questi servizi potrebbero essere configurati in
base agli standard governativi imposti nel Regno Unito).
• G
estione del caso – integrazione opzionale con il software
esistente di gestione dei casi di investigazione in dotazione
agli organi investigativi.
Servizi
di integrità
Gestione
del caso
Postazioni
di analisi
Workstation dell’analista
essere esaminati in modo rapido e trasferiti senza problemi
Fig 3. Rappresentazione della soluzione di investigazione digitale Dell,
in cui sono illustrati l’acquisizione, l’analisi e il backup formale,
il ripristino e l’archiviazione (BURA).
• S
ervizi aggiuntivi – Dell™ può aggiungere ulteriori servizi
al framework della soluzione, come la traduzione
(testuale, audio e video) e la ricerca aziendale.
INFORMAZIONI SU DELL™
Dell™ è stata fondata nel 1984 da Michael Dell da un’idea molto semplice: vendendo sistemi
informatici direttamente ai consumatori, è più facile comprendere le loro esigenze e fornire
le soluzioni informatiche più adeguate in grado di soddisfarle.
La strategia di business Dell, in costante evoluzione, unisce il rivoluzionario modello di vendita
diretta con i nuovi canali di distribuzione, per raggiungere clienti della sfera pubblica e privata
e singoli individui in tutto il mondo.
Dell collabora con le forze di sicurezza, gli organi investigativi, i fornitori di integrazioni di sistema
(SI, Systems Integrators) e di soluzioni professionali per ridurre la complessità nella manipolazione
e l’elaborazione di dati e informazioni sospette.
Dell progetta, realizza e personalizza i suoi prodotti e servizi, dalle soluzioni mobili per i veicoli alle
soluzioni di investigazione scalabili di livello aziendale. Siamo in grado di fornire agli organi
di investigazione accesso remoto sicuro in tempo reale alle informazioni essenziali e garantire loro
la collaborazione.
Per offrire maggiore rapidità nelle decisioni, immediatezza di azione e maggiore agilità,
i prodotti Dell comprendono:
• P
ortatili Latitude™ per maggiore mobilità e flessibilità lavorativa, incluse le soluzioni a bordo dei
veicoli per comunicazioni in tempo reale.
• W
orkstation Dell Precision™ e server PowerEdge™ per l’esecuzione di applicazioni che richiedono
grande potenza elaborativa, come quelle per l’investigazione digitale, applicazioni per
la simulazione e la progettazione di data center a basso consumo energetico e applicazioni per
il controllo e la gestione dell’infrastruttura.
• S
oluzioni di storage Dell|EMC2, Dell EqualLogic™ e PowerVault™ che forniscono accesso scalabile,
sicuro e interoperativo, e soluzioni BURA (Backup, Recovery and Archiving) per i dati sensibili.
• D
ell Global Services, servizi a livello mondiale in grado di fornire consulenza pratica ed efficace
sulla pianificazione di interventi per la semplificazione dell’infrastruttura IT. Comprendono i servizi
di consulenza, installazione e di gestione e i servizi Dell ProSupportTM+.
1. Secondo un articolo pubblicato su The Register il 29 aprile 2009, le forze di polizia richiedono nuovi poteri di indagine remota sulle unità disco
http://www.theregister.co.uk/2009/04/29/remote_hard_drive_forensics/
Solo clienti aziendali. Le fotografie non hanno valore contrattuale. Si applicano le Condizioni Generali di vendita di Dell™ consultabili sul sito www.dell.it. Dell™, il logo Dell, Latitude, OptiPlex,
Precision, PowerEdge, PowerVault sono marchi registrati e di esclusiva proprietà di Dell Inc. Altri marchi o nomi di marchi potrebbero essere utilizzati in questo documento come riferimento
alle entità reclamanti i marchi e i nomi dei propri prodotti. Dell riconosce di non aver alcun titolo di proprietà sui marchi e nomi altrui. Nonostante accurate verifiche, il presente documento
potrebbe contenere specifiche errate. Dell™ si scusa anticipatamente per questi errori. Tutti i diritti riservati. Dell SpA - Viale Milanofiori, Palazzo Congressi, 20090 Assago - MI.