Soluzione Dell per l`analisi forense digitale

Soluzione Dell
per l’analisi
forense
digitale
Una sfida:
lo tsunami digitale
Negli ultimi anni si è assistito a un aumento esponenziale in termini di volumi,
velocità, varietà e complessità dell’attività digitale da parte di criminali e
gruppi terroristici in tutto il mondo. La maggior parte dei crimini oggi ha una
componente digitale. Alcuni hanno definito questo fenomeno “tsunami digitale”.
Tale aumento è stato peggiorato dagli incredibili progressi
realizzati nell’ambito dei componenti hardware. La crescente
varietà dei dispositivi elettronici di consumo, dotati di una
sempre maggiore capacità di memoria o storage, offre a
criminali e terroristi numerose opportunità per nascondere
informazioni dannose.
È facile che desktop e notebook siano dotati di un disco rigido
con centinaia di gigabyte di storage. I dischi rigidi più recenti
possono essere offerti con 2 o 4 terabyte di spazio disponibile.
Un solo terabyte permette di memorizzare 200 DVD: si tratta
quindi di una capacità di storage molto ampia che contribuisce
all’aggravarsi del problema.
Le attività connesse alla gestione e all’analisi dei dati digitali
acquisiti da PC, notebook, cellulari, penne USB e persino
console di gioco sono sempre più impegnative per le forze
dell’ordine che sono ormai costrette a clonare, acquisire (o
eseguire il mirroring), indicizzare e analizzare quantità crescenti
di dati sospetti dovendo però preservare referti e reperti, oltre a
proteggere i cittadini.
In caso di incriminazione e sequestro delle risorse
informatiche, le forze dell’ordine sono sottoposte a enormi
pressioni perché devono elaborare e analizzare potenziali
prove in tempi molto brevi e in ambienti informatici non
sempre ottimali. Nel caso di intere organizzazioni a essere
sospettate di attività criminali o terroristiche, il numero di
dispositivi da analizzare aumenta a dismisura.
Le sfide del mercato
Vantaggi della soluzione
• Mancanza di esperienza e risorse e volumi di dati sospetti in
crescita esponenziale che hanno provocato l’accumulo di lavoro
per 18-24 mesi1.
• Semplifica l’acquisizione, la condivisione e l’archiviazione dei
dati tra gli esperti e i team, con un considerevole aumento
della produttività.
• Approccio informatico ad hoc e non strutturato incentrato su
infrastrutture costituite da uno o più computer.
• Consente di standardizzare l’infrastruttura tecnologica per l’analisi
forense e stabilisce un processo chiaro per proteggere gli scambi
informatici di informazioni.
• Analisi costosa dei dati forensi incentrata sulla gestione
delle risorse tecnologiche, sulla duplicazione dei dati
e sulla conservazione sicura di reperti e referti.
• Offre un’unica interfaccia utente per un gruppo di applicazioni
che consente di concentrare l’analisi forense sui dati sospetti.
• Accesso remoto ai dati limitato. Gli investigatori devono trovarsi
in sede per evitare il rischio di fughe di informazioni.
• Offre la possibilità di analizzare ed esaminare i dati sospetti
e le prove in loco o in remoto.
• Le workstation degli analisti possono essere danneggiate da
codici dannosi, il che renderebbe necessaria la ricostruzione dei
sistemi e potrebbe essere la causa di un eventuale inquinamento
delle prove.
• Rende possibile l’esecuzione di un codice dannoso in un ambiente
circoscritto, senza compromettere l’integrità del sistema.
• Gli approcci al backup dei dati sospetti differiscono a seconda
dell’organizzazione che esegue questa operazione. Nel corso
del tempo, è possibile che i dispositivi o i supporti presentino
problemi di funzionamento.
• Consente di definire un processo chiaro per la protezione della
conservazione di reperti e referti e della condivisione dei dati
e per impedirne la distruzione grazie a configurazioni opzionali
di backup, ripristino e archiviazione (BURA) e di ripristino di
emergenza (DR).
L’acquisizione dei dati
richiede tempo
La prima operazione da eseguire è la copia
o “clonazione” dei dischi rigidi per evitare
“contaminazioni” della fonte dei dati. Si
tratta del problema principale che le forze
dell’ordine devono affrontare poiché è
necessaria una capacità di storage elevata.
L’elaborazione e la copia dei dischi
rigidi confiscati e dei relativi sistemi
può richiedere ore, persino giorni.
Queste operazioni vanno eseguite con
meticolosità e attenzione ai dettagli.
Devono essere rispettate linee guida
rigorose per garantire la conservazione
(o continuità) di referti e reperti.
La documentazione deve includere
le condizioni in cui le prove vengono
raccolte. È necessario rendere nota
l’identità di tutti coloro che vi lavorano,
indicare la durata della conservazione
delle prove, le condizioni di sicurezza
in cui vengono eseguite la relativa
gestione o archiviazione, e le modalità di
trasferimento ai successivi depositari. Tutti
questi passaggi richiedono tempo.
Gli attuali problemi
legati all’acquisizione
e all’analisi dei dati
Dopo la clonazione, i dati vengono
acquisiti dagli esperti forensi digitali su una
o più workstation o su computer ad alte
prestazioni. Anche questa fase richiede
molto tempo, in base alla quantità di
informazioni che devono essere acquisite
per poi essere indicizzate, classificate e
analizzate.
A causa dell’elevato volume di dati da
analizzare e del rischio di perdite, gli
esperti devono trovarsi in laboratorio per
eseguire tali analisi. La legislazione locale
può inoltre vietare le ricerche in remoto
sui dischi rigidi sequestrati per le analisi da
parte delle unità per i crimini high tech.
Non sorprende quindi che si assista a un
accumularsi di lavoro arretrato: spesso
il ritardo è di 18-24 mesi1. Nella migliore
delle ipotesi i dati possono essere
condivisi tra server di file, ma l’analisi deve
comunque essere eseguita in laboratorio
e richiede le funzionalità di rete più
avanzate per consentire il trasferimento
di dati continuo tra server centrali e
computer degli analisti. Molto spesso ciò
non permette la condivisione dei dati tra
analisti che collaborano presso la stessa
sede, men che meno se si trovano in siti
diversi. La condivisione in tempo reale
tra diverse agenzie o persino paesi ed
enti sovragovernativi è fuori questione.
Di conseguenza, l’unica soluzione per
eseguire ulteriori analisi attualmente
richiede la presenza in laboratorio.
Se poi l’immagine clonata contiene dei
codici dannosi ciò potrebbe causare danni
alla workstation dell’esperto forense, che
imporrebbero di ricominciare nuovamente
dal processo di acquisizione oppure, se
i danni non vengono rilevati, la catena di
custodia potrebbe essere compromessa.
Soluzione Dell per l’analisi forense digitale
L’ approccio di Dell alle investigazioni forensi digitali utilizza un processo seriale
e applica i principi del cloud computing attraverso le funzionalità dei data
center per consentire l’elaborazione simultanea in parallelo delle prove digitali.
Fase 1 (triage)
Fase 3 (archiviazione)
Utilizzando un notebook ultraresistente
Latitude™ E6400 XFR di Dell e il software di
triage Spektor di Evidence Talks, gli esperti
in crimini digitali hanno l’opportunità di
recuperare velocemente possibili prove
da dispositivi sospetti per visualizzarle sul
posto. In questo modo è possibile non
solo risparmiare tempo, ma tutti i dati
raccolti sono idonei dal punto di vista
probatorio, siano essi esportati in un file
EO1 per essere caricati direttamente nel
data center o acquisiti come immagini con
normale caricamento mediante interfaccia
USB nello storage centrale per essere
quindi trattati in laboratorio.
L’archiviazione di dati sospetti direttamente
nel data center consente agli analisti di
concentrarsi sul proprio lavoro anziché
sullo spazio disponibile nel disco rigido del
proprio computer ai fini dell’archiviazione
e dell’indicizzazione dei dati. Ciò consente
inoltre di evitare rallentamenti per eseguire
il backup di altri progetti forensi su supporti
registrabili quali DVD.
Fase 2 (acquisizione)
Come nelle prassi esistenti, i dati sospetti
vengono clonati, ma invece di trasferire i
dati di immagine su una sola workstation,
i dati vengono acquisiti da un archivio
centrale delle prove e non dal computer di
un singolo analista.
Fornendo immediatamente le
informazioni al data center i trasferimenti
tra dispositivi sono ridotti al minimo,
con un aumento della disponibilità
dei dati stessi per più analisti e con
un considerevole innalzamento della
produttività e dell’efficienza.
L’archiviazione centrale dei dati permette
anche la condivisione più efficiente dei
dati stessi e dei carichi di lavoro, riducendo
altresì il tempo necessario per copiare
set di dati di dimensioni considerevoli da
un dispositivo all’altro, con un ulteriore
incremento della produttività. Anche
con le reti più veloci queste operazioni
possono richiedere ore, impegnando con
scarsa efficienza le risorse informatiche e
di rete.
Ogni istanza delle applicazioni è eseguita
in una sessione indipendente del server,
contribuendo a proteggere il resto del
sistema da codici dannosi e virus, al fine
di preservare l’integrità del sistema stesso.
Laddove è necessaria l’esecuzione di un
codice o applicazioni dannose ai fini di
approfondimento e di studio delle prove,
gli analisti possono eseguirli in ambienti
appositamente predisposti, sicuri e isolati.
In passato, se veniva eseguito per
errore un codice dannoso, ciò poteva
compromettere l’integrità delle presunte
prove, della catena di custodia e del tempo
già dedicato all’analisi. Di conseguenza,
tale evento avrebbe probabilmente
reso necessaria la ricostruzione della
workstation dell’analista e avrebbe imposto
di ricominciare da capo l’acquisizione
dell’immagine e l’analisi.
Ciclo di vita dei dati nelle applicazioni digitali per l’analisi forense di Dell
1. Classificazione
Grazie al resistente notebook Latitude™
E6400 XFR di Dell e al software di
classificazione Spektor di Evidence
Talks, gli analisti forensi possono
accedere rapidamente ai dati contenuti
nei dispositivi sospetti sulla scena
del crimine.
2. Acquisizione
In seguito alla clonazione, i dati sospetti
vengono acquisiti direttamente in
un archivio centrale anziché su una
workstation. La soluzione consente
l’acquisizione dei dati di più dispositivi
contemporaneamente.
L’archiviazione centrale dei dati sospetti
consente di eseguire l’indicizzazione e il
triage all’interno del data center su server
ad elevate prestazioni, invece di utilizzare i
computer dedicati degli analisti.
In questo modo è possibile eseguire
contemporaneamente sessioni multiple
mediante software quali AccessData
FTK e Guidance EnCase su una o
più workstation, con il risultato di un
considerevole aumento della produttività.
E ovviamente gli esperti possono dedicarsi
all’analisi dei dati invece che alla loro
gestione.
Quando i dati sono stati elaborati e sono
state individuate le potenziali aree di
interesse, è possibile assegnare ai team
addetti alla visualizzazione del materiale,
costituiti anche da 200 agenti a seconda
delle dimensioni della struttura forense,
l’accesso sicuro in tempo reale alle
potenziali prove del caso. La natura
formalizzata di questa struttura consente
inoltre un accesso remoto più sicuro
agli esperti qualificati: i team di esame
non devono trovarsi necessariamente in
loco per prestare il proprio supporto in
caso di imprevisti e non vi sono rischi nel
trasferimento delle prove su CD.
Contribuisce
a prevenire la
divulgazione o la fuga
di informazioni
Accesso condiviso
alle prove digitali
24 ore su 24, tutti i
giorni dell’anno
3. Archiviazione
copia dei dati direttamente su
dispositivi di storage ad alta velocità
quali EqualLogic™ Dell™ ed EMC2 facilita
lo scambio dei dati tra server e storage,
con un incremento della produttività
Integrità
Aiuta a preservare i
reperti e referti digitali
Disponibilità
Ottimizza la
produttività e
l’efficienza dell’analisi
dei dati
Accesso e
collaborazione
sicuri in loco o in
remoto
La
Interoperabilità
e
scalabilità
Esecuzione
sicura di codici
dannosi
Opzioni BURA
e di ricerca dei
dati sospetti
formalizzate
Fig. 1. Suddivisione del processo di analisi digitale forense in 5 fasi distinte.
Fase 5 (presentazione)
Fase 4 (analisi)
Riservatezza
4. Analisi
possibile eseguire più sessioni di
analisi contemporaneamente su
uno o più computer OptiPlex™, il che
permette di aumentare ulteriormente
la produttività.
È
Fase 6. (archiviazione e ricerca)
Il progetto Dell “Blueprint” per le
soluzioni digitali forensi modulari può
aiutare a fornire un ambiente modulare
e scalabile che è possibile espandere
e aggiornare per stare al passo con la
crescente domanda di elaborazione
e gli imponenti requisiti di storage.
1
L’integrazione di un’infrastruttura BURA
(backup, ripristino e archiviazione)
formalizzata contribuisce a ottimizzare
la collaborazione tra agenzie e forze
dell’ordine anche di diversi paesi.
5. Presentazione
soluzione garantisce l’accesso
sicuro 24 ore su 24, tutti i giorni
dell’anno, a un numero sempre
maggiore di team addetti alla
visualizzazione in loco o in remoto
dei dati del caso.
La
Le funzionalità BURA basate sugli
standard di settore aiutano inoltre a
sollevare gli analisti dalle incombenze
amministrative, consentono prassi
omogenee tra i diversi laboratori, in
particolare nei momenti di crisi, e
contribuiscono a ridurre i rischi per la
catena digitale di custodia nella quale
sono presenti le copie di backup su
DVD e dispositivi di backup “domestici”
dei dati sospetti. Ciò semplifica
notevolmente il trasferimento sicuro
delle informazioni tra i laboratori che
si occupano di crimini high tech.
6. Archiviazione e ricerca
Le opzioni BURA standard di settore
contribuiscono alla conservazione di
reperti e referti, allo scambio sicuro
dei dati e alla collaborazione in caso
di crisi.
Il progetto digitale per l’analisi forense
di Dell include inoltre la possibilità
di effettuare ricerche per stabilire la
correlazione tra le informazioni dei set
di dati acquisiti. È quindi possibile cercare
tra i dati archiviati nello stesso modo in
cui si effettua una ricerca su Internet,
avendo la possibilità di consultare
i contenuti attivi online e il materiale
archiviato relativo a casi precedenti.
Analisi più rapida dei dati per consegnare
alla giustizia un maggior numero di criminali
Riepilogo
Fig. 2. Soluzione digitale per l’analisi
forense di Dell su una workstation con
doppio schermo durante l’esecuzione
di più istanze di AccessData FTK
(versioni 1.8 e 2.2) e di Guidance Encase
contemporaneamente.
Soluzione Dell
per l’analisi
forense digitale
Storage
Elaborazione
Archivio
online
Archivio
offline
Disco a prestazioni
elevate
Disco ad alta
capacità
Nastro
La soluzione digitale forense è una suite
a elevata disponibilità di servizi server,
di storage e software progettata per
l’elaborazione e l’archiviazione di dati
digitali forensi e per garantire la massima
sicurezza e integrità dei dati in tutto il
ciclo di vita. Gli elementi della soluzione
indicati nella Fig. 3 comprendono:
Disponibilità
Input
Storage delle
prove
Virtualizzazione
delle applicazioni
Servizi per
l’integrità
Output
Dispositivi
ripristinati
Servizi per la
riservatezza
Fig. 3. Soluzione digitale forense
di Dell: acquisizione, analisi
e backup formale, ripristino
e archiviazione (BURA).
Gestione
dei casi
Workstation
per il riesame
Workstation degli analisti
• S
torage delle prove: una piattaforma
modulare di storage comune
costituita da un insieme di dispositivi
con prestazioni e capacità elevate
che permette di elaborare i dati
rapidamente e di trasferirli con facilità
su supporti di storage più economici
per la conservazione per periodi brevi
(online) e per periodi lunghi (offline).
• S
ervizi per le applicazioni: tutte
le principali applicazioni forensi
vengono eseguite nel data center
per ridurre l’attività e la latenza di
rete e aumentare la produttività.
Ciò consente all’analista forense
di eseguire diverse istanze delle
applicazioni in un’unica workstation
senza comprometterne le
prestazioni in alcun modo.
• S
ervizi per l’integrità: una suite
di prodotti software COTS
(Commercial Off the Shelf)
personalizzati progettati per
proteggere le applicazioni e i dati del
sistema da codice non autorizzato
o dannoso, pur consentendo
l’esecuzione controllata di codice o
applicazioni sospetti in un ambiente
sicuro e appositamente predisposto.
• S
ervizi per la riservatezza: un’area
protetta progettata per eliminare le
fughe di dati non autorizzati.
• G
estione dei casi: possibilità
di integrazione con il software
di gestione dei casi esistente
dell’agenzia o delle forze dell’ordine.
• S
ervizi aggiuntivi: Dell fornisce
ulteriori servizi da integrare alla
soluzione, ad esempio la traduzione
di testi, audio e video e la ricerca
di aziende.
Informazioni su Dell
Dell è stata fondata nel 1984 da Michael Dell sulla base di un semplice concetto:
vendendo sistemi informatici direttamente ai clienti, avremmo potuto capire meglio
le loro esigenze e fornire con efficienza le soluzioni più idonee a soddisfarle.
La nostra strategia di business è in continua evoluzione e unisce il nostro
rivoluzionario modello di relazione con il cliente a nuovi canali distributivi che
ci consentono di raggiungere clienti governativi, commerciali e singoli consumatori
in tutto il mondo. Dell collabora con forze di polizia, agenzie di sicurezza, integratori
di sistemi (SI) e fornitori di soluzioni specialistiche per semplificare le complessità
insite nelle attuali procedure di gestione ed elaborazione di dati e informazioni
sospetti. Dell progetta, fabbrica e personalizza prodotti e servizi che vanno dalle
soluzioni mobili per veicoli alle soluzioni forensi digitali scalabili di classe enterprise.
Possiamo fornire alle forze di polizia e alle agenzie di sicurezza l’accesso remoto in
tempo reale e in modo sicuro a informazioni essenziali e progetti in collaborazione.
Per migliori decisioni, azioni più tempestive e maggiore agilità,
la gamma dei prodotti Dell propone:
• N
otebook Latitude™ per utenti che viaggiano spesso, comprese le soluzioni
sui veicoli per le comunicazioni in tempo reale.
• W
orkstation Dell™ Precision™ e server PowerEdge™ per applicazioni ad alta
richiesta di capacità di calcolo come Digital Forensics, data center efficienti
di simulazione e modeling e infrastruttura di comando e di controllo.
• S
oluzioni di storage Dell/EMC, Dell EqualLogic™ e PowerVault™ che consentono
l’accesso scalabile, protetto e interoperabile, oltre a soluzioni BURA (backup,
ripristino e archiviazione) per informazioni sensibili e servizi di intelligence.
• D
ell Global Services è in grado di fornire un insieme di progetti pratici ed eseguibili
per la semplificazione IT che comprendono servizi di consulenza per
le infrastrutture, servizi per l’installazione, servizi gestiti e Dell ProSupport.
1.La polizia richiede nuove possibilità di ricerca remota nei dischi rigidi The Register - Pubblicato il 29 aprile 2009
www.theregister.co.uk/2009/04/29/remote_hard_drive_forensics
EMC è il marchio registrato di EMC Corporation.
Solo clienti aziendali. Dell™, il logo Dell, Latitude, OptiPlex, Precision, PowerEdge, PowerVault sono marchi registrati e
di esclusiva proprietà di Dell Inc. Le foto sono solo a scopo illustrativo; Dell SpA - Viale Milanofiori, Palazzo Congressi,
20090 Assago - MI