Phenquestions
Nel 2015 una rete di corruzione israeliana integrata da uomini di polizia e pubblici ministeri di primo piano come Ruti David è stata scoperta mentre lanciava e lanciava false accuse contro cittadini che avevano pagato o rifiutato di pagare la corruzione. Quando un poliziotto chiave, Ronal Fisher, è stato arrestato, il suo telefono cellulare è stato confiscato per ulteriori ricerche, il telefono di Fisher è stato crittografato e la polizia israeliana non è stata in grado, per molto tempo, di decrittografare il contenuto che danneggiava le indagini e risultava nel rapido rilascio di ufficiali. È qui che entra in gioco l'informatica forense per analizzare e recuperare qualsiasi informazione compatibile con le prove.
Lo scopo della computer forensics è ricostruire gli eventi in un dispositivo al fine di raccogliere prove o tracce di esso per supportare o negare un reclamo davanti a un tribunale. Ecco perché il compito principale degli agenti forensi del computer è recuperare i dati, anche i dati cancellati o crittografati. La differenza tra il software utilizzato da un agente informatico forense e un normale utente che recupera i dati persi è il registro di controllo che documenta la procedura e gli eventi in un formato legalmente accettabile, in alcuni casi gli agenti registrano l'intero processo in video ma l'attività stessa è tra il più semplice poiché quando cancelliamo le informazioni da un disco rigido non stiamo rimuovendo i dati ma contrassegnando il settore come libero per memorizzare nuove informazioni, fino a quando le nuove informazioni non raggiungono il settore del disco le informazioni possono essere ripristinate, per evitare ciò dobbiamo cancellare i nostri dati piuttosto che rimuoverli semplicemente.
Computer Forensics è addirittura in grado di recuperare i dati non salvati archiviati nella memoria RAM, ecco perché esistono strumenti per lavorare sulle immagini del dispositivo e sulle sessioni live, questo secondo metodo è noto come Analisi dal vivo ed è il primo passo quando il dispositivo da ricercare è acceso.
Metodi più moderni come Stocastico Forense ci permettono di sapere se i dati sono stati trapelati identificando i timestamp relativi a un'attività come la copia di un file, cosa impossibile prima poiché istruzioni come la copia non lasciano tracce nel sistema.
L'informatica forense riguarda principalmente il recupero e la decrittografia dei dati, ma consente anche di rilevare elementi compromettenti all'interno di un sistema come malware, codice dannoso o attacchi di hacking contro un dispositivo.
Quando il procuratore argentino Alberto Nisman è stato assassinato poche ore prima di presentare le accuse contro l'ex presidente, gli agenti informatici hanno trovato connessioni intrusive remote al suo personal computer che conducevano le indagini contro il suo assistente informatico.
Kali Linux, la distribuzione Linux più popolare per le attività di sicurezza viene fornita con gli strumenti più potenti e popolari per svolgere attività di informatica forense senza bisogno di conoscenze precedenti. Dal momento che Kali può essere lanciato come live cd/usb è un'ottima opzione per esplorare questi strumenti che presenterò nel prossimo articolo.
Spero che questa introduzione all'informatica forense ti sia stata utile. Continua a seguire LinuxHint per ulteriori tutorial e aggiornamenti su Linux.
