Digital Forensics Tools Catalogue, un punto di riferimento per la … · 2019-02-26 · Necessità...

ii

“articoli/EpifaniTurchiCatalogo” — 2017/5/16 — 14:06 — page 407 — #407 ii

ii

ii

Digital Forensics Tools Catalogue, un punto di riferimentoper la comunità degli esperti forensi

MATTIA EPIFANI, FABRIZIO TURCHI∗

SOMMARIO: 1. Introduzione – 2. Necessità di un Digital Forensics Tools Catalogue– 3. Digital Forensics Tools Catalogue – 3.1. Dati descrittivi di ogni tool – 3.2.Consultazione del Catalogo – 4. Prospettive future

1. INTRODUZIONE

Il progetto Evidence1 ha avuto, fra i suoi principali obiettivi, quello difornire alla Commissione europea una road map (linee guida, raccomanda-zioni, guide operative, standard tecnici, ecc.) per creare un quadro comunea livello europeo, attualmente mancante, per l’applicazione uniforme e siste-matica delle nuove tecnologie nella raccolta, nel trattamento e nello scambiodi prove digitali.

Questa road map dovrebbe comprendere soluzioni standard in grado diaiutare i decisori politici a conseguire l’adozione e/o l’introduzione di unanormativa efficiente in materia di trattamento e scambio della prova digitale,e, contestualmente, fornire, a tutti gli attori coinvolti (ad es., forze di poli-zia, autorità giudiziarie, avvocati, ecc.) un background giuridico/tecnologicocomune che permetta loro di trattare le prove digitali nel rispetto di regole estandard comuni.

Uno dei principali obiettivi intermedi del progetto è stato quello di pre-parare una visione d’insieme degli standard utilizzati per il trattamento e loscambio di prove digitali nei paesi membri dell’Unione europea. Il risulta-to di questo studio è sommariamente rappresentato in fig. 12 dove sono sta-

∗ M. Epifani è esperto in informatica forense; F. Turchi è tecnologo presso l’Istituto diTeoria e Tecniche dell’Informazione Giuridica del CNR di Firenze. M. Epifani ha svoltoquesto lavoro in qualità di assegnista di ricerca presso lo stesso Istituto.

1 European Informatics Data Exchange Framework for Court and Evidence, www.evidenceproject.eu.

2 La fig. 1 rappresenta una visione semplificata del processo complessivo relativo al tratta-mento della prova digitale. Infatti il flusso non è sequenziale, perché in alcuni casi si ritornaindietro a fasi precedenti, ad esempio può capitare che dopo un’analisi sorga la necessità di ac-quisire altri dati da dispositivi digitali che nella prima acquisizione erano stati ignorati. Inoltrealcuni processi concorrenti non sono stati rappresentati: ad esempio, il mantenere una docu-mentazione su tutte le azioni compiute, il mantenimento della chain of custody, o la richiestadi autorizzazione per compiere determinati azioni investigative.

Edizioni Scientifiche Italiane ISSN 0390-0975 ISBN 978-88-495-3285-2

Informatica e diritto, XLI annata, Vol. XXIV, 2015, n. 1-2, pp. 407-423

ii


ii

ii

408 Informatica e diritto /Trattamento e scambio della prova digitale in Europa

Fig. 1 – Fasi di gestione della prova digitale - timeline

te individuate otto distinte fasi relative al trattamento della prova digitale, apartire dall’evento che dà inizio al caso investigativo (incident event).

Nel preparare questo studio sugli standard applicati al trattamento dellaprova digitale, è stata raccolta un’ampia collezione di strumenti (tool) forensie sulla base di questo vasto elenco è stato creato un Digital Forensics ToolsCatalogue composto da informazioni rilevanti su software forensi relativi allefasi di acquisizione e analisi, processi descritti a vari livelli di dettaglio neglistandard tecnici ISO/IEC 27037, 27042 e 270433.

2. NECESSITÀ DI UN DIGITAL FORENSICS TOOLS CATALOGUE

La crescente complessità delle attività di un analista forense dipende damolteplici fattori. Tra i principali si possono indicare: il crescente numerodi dispositivi, i differenti sistemi operativi, la grande quantità di applicazionie le differenti tipologie di file da elaborare e interpretare.

Ad esempio, considerando un’indagine forense relativa a un’intrusioneinformatica all’interno di un server aziendale, caso investigativo piuttostocomune, si possono presentare le seguenti attività:

– analisi dei file di log dei dispositivi di rete e del sistema operativo (ad es.,registri eventi di Windows);

3 ISO/IEC 27037:2012, Guidelines for identification, collection, acquisition, and preserva-tion of digital evidence; ISO/IEC 27042:2015, Guidelines for the analysis and interpretation ofdigital evidence; ISO/IEC 27043:2015, Incident investigation principles and processes.

ISSN 0390-0975 ISBN 978-88-495-3285-2 Edizioni Scientifiche Italiane

ii


ii

ii

M. Epifani, F. Turchi / Digital Forensics Tools Catalogue, un punto di riferimento ... 409

– esame e interpretazione delle configurazioni del sistema operativo stesso;– analisi di specifici file generati dall’utente o dal sistema operativo stesso

(ad es., collegamenti di tipo LNK4 o JumpList5);– acquisizione e analisi dei dati di smartphone per:

– individuare contatti con diversi soggetti;– selezionare e interpretare messaggi SMS o le conversazioni attraverso

sistemi di chat (ad es., WhatsApp, Telegram, Skype);– selezionare e interpretare le attività effettuate tramite social network

(ad es., Facebook, Twitter, ecc.).L’efficacia di un’indagine investigativa forense dipende principalmente dal-

le conoscenze dell’analista forense e dalla sua capacità di saper individuare,in tempi rapidi e con precisione, i possibili elementi di interesse, ma si fondaanche sulla disponibilità di tool forensi che permettano una interpretazio-ne rapida dei dati, attraverso operazioni di estrazione e interpretazione deicontenuti.

Fino a qualche tempo fa le attività di acquisizione e analisi forensi veni-vano principalmente svolte utilizzando software onnicomprensivi (ForensicToolkits) che permettono di realizzare analisi esaurienti di un sistema. Oggiquesti tool, pur svolgendo un ruolo fondamentale nelle attività investigative,possono non essere sufficienti in casi particolari, in quanto potrebbero nonessere in grado di interpretare uno specifico artifact6 o una specifica tipologiadi file. Ad esempio nei casi di analisi di archivi di posta elettronica (cioè ca-selle e-mail) salvati all’interno di un personal computer, esistono dei formatileggibili e interpretabili solo da specifici tool.

Per le motivazioni brevemente delineate, la disponibilità di un Catalogodi tool forensi, organizzato per tipologia e arricchito con le specifiche carat-teristiche supportate, permette all’analista forense di individuare, in tempirapidi, lo strumento più consono al caso investigativo in esame.

Inoltre, anche nei casi in cui l’analista conosca o possieda già un softwareper una specifica analisi, il Catalogo può essere utilizzato per individuare soft-

4 I file con estensione LNK, noti anche come i collegamenti offerti dal sistema operativo,sono file di collegamento che consentono l’accesso ad un file da un’altra posizione sul disco.Essi assumono le caratteristiche dei file ai quali fanno riferimento.

5 Le JumpList, integrate nei sistemi operativi Windows a partire dalla versione 7,permettono di accedere rapidamente ai file ed alle cartelle che si utilizzano più spesso.

6 Per artifact si intende tutti gli elementi ricavabili dalle informazioni registrate dal sistemao dalle attività dell’utente che possono essere rilevanti per l’indagine. Ad esempio, riferendosial sistema operativo Windows, tipici artifact sono: file scaricati, file aperti o creati, programmieseguiti, file cancellati, utilizzo di penne USB, utilizzo del browser web, ecc.


ii


ii

ii


ware simili in grado di fornire le stesse caratteristiche e quindi di poter con-frontare e validare i risultati ottenuti ripetendo l’analisi con uno strumentodifferente. Questo utilizzo risulta particolarmente interessante quando ci sitrovi davanti a dati particolari, la cui errata interpretazione (ad es., interpre-tazione di data e ora, ecc.) può avere gravi conseguenze su tutti i soggetticoinvolti, sia dal punto di vista giuridico sia dal punto di vista sociale.

3. DIGITAL FORENSICS TOOLS CATALOGUE

Allo stato attuale il Digital Forensics Tools Catalogue, da ora in poi “Cata-logo”, comprende i più significativi strumenti forensi relativi alle fasi di ac-quisizione (461 tool) e analisi (1031 tool). Il numero totale dei tool registratinel Catalogo è dunque pari, attualmente, a 1.4827.

L’intera collezione è stata strutturata utilizzando una classificazione sche-maticamente illustrata nella fig. 2 (ramo Analisi) e fig. 3 (ramo Acquisizione).Tutti i dati presenti nel Catalogo sono in lingua inglese.

Fig. 2 – Classificazione ramo Analisi

7 Il numero totale di tool non corrisponde alla somma fra i tool per l’analisi e quelli perl’acquisizione, in quanto alcuni tool sono presenti in entrambi i rami.


ii


ii

ii


Fig. 3 – Classificazione ramo Acquisizione

Gli elementi della classificazione del ramo Analisi hanno il seguente signi-ficato:1. Computer Forensics: tool per l’analisi di File System, Sistemi Operativi,

Applicazioni, comprendenti le seguenti categorie:a) File System: tool per l’analisi dei metadata dei principali File System

(ad es., FAT, NTFS, HFS+, ecc.)b) Operating System, suddivisa in:

– Windows: tool per l’analisi di sistemi operativi Windows, in parti-colare per gli Artifacts (ad es., Registro, Eventi, Prefetch, JumpLi-st, Cestino, Thumbnails, ecc.)

– Mac/Apple: tool per l’analisi di sistemi operativi Apple e in par-ticolare per gli Artifacts (ad es., Plist configuration file, Fsevents,Log file, ecc.)

– Linux: tool per l’analisi di sistemi operativi Linuxc) Application

– Browser: tool per l’analisi di artifacts legati a Browser. Sono staticonsiderati i più comuni Browser (Internet Explorer, Mozilla Fire-fox, Google Chrome, Apple Safari, Opera) con le tipiche informa-zioni di interesse (Cronologia, Cache, Cookies, Downloads, ecc.)

– Chat: tool per l’analisi di file di configurazione e di log relativi aChat. Sono state prese in considerazione le più comuni applicazio-ni di Chat (Skype, Facebook Messenger, Yahoo Messenger, ecc.)

– Cloud Storage: tool per l’analisi dei file di configurazione rela-tivi a Cloud Storage. Sono state prese in considerazione le più


ii


ii

ii


comuni applicazioni di Cloud Storage (Dropbox, Google Drive,OneDrive, ecc.)

– Email: tool per l’analisi di archivi di tipo Email. Sono stati presi inconsiderazione i più comuni formati di archivio Email (MicrosoftOutlook, Lotus Notes, Microsoft Exchange, Thunderbird, ecc.)

– Peer To Peer: tool per l’analisi di file di configurazione e dati rela-tivi a Peer To Peer. Sono stati presi in considerazione i più comuniservizi di Peer To Peer (eMule, Torrent, LimeWire, ecc.)

– Social Networking: tool per l’analisi di file di configurazione e da-ti relativi a Social Network. Sono stati considerati i più comuniservizi di Social Network (Facebook, Linkedin, Twitter, ecc.)

d) Virtualization: tool per l’analisi di ambienti di Virtualizzazione comeVMware vSphere, VirtualBox, ecc.

e) CD/DVD: tool per l’analisi di supporti ottici (CD, DVD, BlueRay,ecc.)

2. File Analysis: tool per l’analisi di file (visualizzazione contenuti, metadati,ecc.)a) File Viewer: tool per visualizzare il contenuto di file in diversi formati

(Immagini, Audio, Video, MS Office, PDF, Compressi, ecc.)b) File Metadata Extraction: tool per estrarre i metadati interni dai più

comuni formati di file (Immagini, Audio, Video, MS Office, PDF,ecc.)

c) Database file: tool per interpretare/visualizzare file database in variformati (SQLite, ESE, MySql, ecc.)

d) Image file: tool per analizzare file immaginie) Video file: tool per analizzare file videof) Audio file: tool per analizzare file audio

3. Mobile Forensics: tool per l’analisi di dispositivi mobili (Smartphone/Tablet,SIM Card, Sat Nav, ecc.)a) Smartphone/Tablet, classificati in base al supporto sia per le app na-

tive sia per quelle sviluppate da terze parti:– iOS: tool per l’analisi di dispositivi iOS– Android: tool per l’analisi di dispositivi Android– Windows Phone: tool per l’analisi di dispositivi Windows Phone– Blackberry: tool per l’analisi di dispositivi Blackberry– Symbian: tool per l’analisi di dispositivi Symbian– Chinese: tool per l’analisi di dispositivi cinesi– Others: tool per l’analisi di dispositivi di altri produttori


ii


ii

ii


b) SIM Card: tool per l’analisi di schede SIMc) Nav: tool per l’analisi di dispositivi satellitari

4. Network Forensics: tool per l’analisi del Traffico di Rete (NetFlow, PCAP),e dei relativi file di log Proxy Server e reti WiFi

5. Memory/Live Forensics: tool per l’analisi della memoria RAM e di file ditipo Hibernation

6. Malware Forensics: tool per l’analisi dei Malware. I tool sono classificatiin base al tipo di analisi (ad es., Automated, Behavioral, Code, Sandbox,ecc.)

7. Anti Forensics: tool per aggirare tecniche anti-forensia) Password Cracking/Recovery: tool per scoprire (break) password e

recuperare i file protetti in modo cifratob) Stego Analysis tool per determinare testo immerso in immagini attra-

verso la tecnica di steganografia.8. Cross Analysis: tool utili per eseguire analisi in aree multiple

a) File Recovery/Carving: tool per recuperare file cancellatib) Keyword Search: tool per eseguire ricerche su un insieme di file attra-

verso parole (keyword)c) Timeline: file per creare timeline8

9. Forensics/E-Discovery Toolkit: tool omnicomprensivi in grado di eseguiretipi diversi di analisi su molteplici Artifacts (ad es., sistemi operativi, ap-plicazioni, memoria, ecc.) e differenti caratteristiche (ad es., file carving,timeline, password cracking, ecc.)

10. Forensics Utilities: vari tool per usi diversificati (ricerca/generazione ha-shing, convertitori di ora, editori esadecimali, ecc.)

Gli elementi della classificazione del ramo Acquisizione hanno il seguentesignificato:1. Disk duplication: tool hardware e software per l’acquisizione (copia fo-

rense) di dispositivi di memoria (ad es., hard disk, pen drive, schede dimemoria, ecc.)a) Hardware Write Blocker: dispositivi hardware per impedire la scrit-

tura su dispositivi di memoria durante la fase di copia forense. Sonocaratterizzati dalle interfacce supportate (ad es., SATA, PATA, USB,Firewire, ecc.)

8 La rappresentazione cronologica e concatenata degli eventi accaduti in un determi-nato arco temporale, estratta analizzando le tracce digitali all’interno di un determinatodispositivo.


ii


ii

ii


b) Software Write Blocker: tool software per impedire la scrittura sudispositivi di memoria durante la fase di copia forense

c) Hardware Disk Imaging: dispositivi hardware per creare immagini/co-pie forensi. Sono caratterizzati alle interfacce supportate in input e inoutput (ad es., SATA, PATA, USB, Firewire, ecc.)

d) Software Disk Imaging: tool software per creare immagini/copie fo-rensi, sia stand alone, distribuzione live o software installato

e) Disk wiping tool per creare supporti di memoria puliti, da usare permemorizzare copie forensi. La fase di pulizia viene attuata attraver-so una formattazione a basso livello, ricoprendo ogni traccia fisicapresente sul dispositivo

2. Network: tool per acquisire traffico di rete sia cablato sia wireless3. Mobile device: tool per l’acquisizione di dispositivi mobili (Smartpho-

ne/Tablet, SIM Card, dispositivi satellitari, ecc.)a) Smartphone/Tablet

– iOS: tool per l’acquisizione di dispositivi con sistema operativoiOS. I tool sono caratterizzati secondo lo specifico tipo di acqui-sizione supportata (fisica, a livello di file system, logica, backup,cloud, ecc.)

– Android: tool per l’acquisizione di dispositivi con sistema opera-tivo Android. I tool sono caratterizzati secondo lo specifico tipodi acquisizione supportata (fisica, a livello di file system, logica,backup, cloud, ecc.)

– Blackberry tool per l’acquisizione di dispositivi con sistema opera-tivo BlackBerry. I tool sono caratterizzati secondo lo specifico ti-po di acquisizione supportata (fisica, a livello di file system, logica,backup, cloud, ecc.)

– Symbian: tool per l’acquisizione di dispositivi con sistema opera-tivo Symbian. I tool sono caratterizzati secondo lo specifico tipodi acquisizione supportata (fisica, a livello di file system, logica,backup, cloud, ecc.)

– Windows Phone: tool per l’acquisizione di dispositivi con siste-ma operativo WindowsPhone. I tool sono caratterizzati secondolo specifico tipo di acquisizione supportata (fisica, a livello di filesystem, logica, backup, cloud, ecc.)

– Chinese: tool per l’acquisizione di dispositivi cinesi– Others: tool per l’acquisizione di dispositivi con altri sistemi ope-

rativi


ii


ii

ii


b) SIM Card: tool per l’acquisizione di schede SIMc) Nav: tool per l’acquisizione di dispositivi Satellitari

4. Live acquisition: tool per l’acquisizione live (a dispositivo acceso) da com-puter (cattura della RAM, processo, connessioni di rete, file aperti, inci-dent response, ecc.).

5. Internet/Cloud: tool per l’acquisizione di dati da servizi remoti (ad es.,Siti/Pagine Web, Accounts Email, Social Network, Cloud Storage, ecc.)

4. DATI DESCRITTIVI DI OGNI TOOL

Ogni tool è rappresentato dai seguenti dati:– Nome: rappresenta il nome assegnato al tool dallo sviluppatore– Descrizione: contiene la descrizione estesa delle caratteristiche del tool,

tratta dal sito ufficiale corrispondente. In fase di visualizzazione vie-ne mostrata solo una parte di essa, al passaggio del mouse è possibilevederla in maniera completa

– Tipo licenza: può assumere i valori: Open Source, Freeware, Commer-cial, Multi (quando il tool può avere più di una modalità di licenza)

– Categoria: rappresenta uno degli elementi della classificazione illustra-ta precedentemente. Ogni tool può assumere più di una categoria, intal caso il tool viene rappresentato con occorrenze multiple

– Sistema operativo: può assumere i valori: Windows, Mac, Linux, Stan-dalone, Online, Hardware, Multi. Rappresenta il sistema operativo sulquale il tool può essere eseguito

– Sviluppatore: rappresenta l’autore e può essere una singola persona,un’organizzazione o una comunità open source

– Test report: è la url di un test condotto sul tool. Generalmente si trattadi test condotti da organizzazioni note nel campo della digital forensicse che mettono a disposizione il risultato della prova sul web in paginepubbliche

– Riferimenti utili: contiene una lista di risorse web utili relative al tool;possono contenere documentazione ufficiale e non, test non ufficiali,opinioni o commenti sulla qualità del tool

– Caratteristiche: ogni categoria è, per la maggior parte dei casi, collega-ta a una più caratteristiche, a cui sono associati uno o più valori cheesprimono le capacità del tool nell’eseguire l’analisi o l’acquisizione,su quella specifica categoria. Ad esempio, scegliendo come “Catego-


ii


ii

ii


ria”: Computer Forensics – Operating System – Windows il sistemavisualizzerà le seguenti Caratteristiche:• Registry• Events• Prefetch• Thumbnails• Recycle Bin• Jumplist• Other.

Ognuna di queste Caratteristiche assume uno o più valori, ad esempio perRegistry si hanno i valori: Generic, MUI Cache, Network Info, ShellBags,USB Tracking, User Info, User Assist. Questi valori sono i possibili tipi diinformazioni estraibili dal Registro di Windows, quindi ogni tool può esserein grado di estrarre informazioni da Registro e in caso positivo può esserein grado di estrarre le informazioni relative ai Valori presentati per tale Ca-ratteristica. Ci sono tre casi possibili nell’ambito della relazione Categorie –Caratteristiche, poi ogni Caratteristica può assumere valore multipli.– Categorie senza Caratteristica: ad es. Anti Forensics - Stego Analysis– Categorie con una sola Caratteristica: ad es. Computer Forensics - File

System– Categorie con più di una Caratteristica: ad es. Computer Forensics -

Application - Browser

5. CONSULTAZIONE DEL CATALOGO

Nella sua attuale versione online9, la pagina principale del Catalogo sipresenta divisa in due frame:– il frame di sinistra è dedicato alla preparazione della query e contiene gli

elementi più importanti per la sua composizione;– il frame di destra contiene, generalmente, i risultati estratti da una query.

Inizialmente il frame di destra mostra le Categorie disponibili nello sti-le tag cloud10, dove l’importanza di ogni etichetta (Categoria) viene messa inevidenza utilizzando un colore e soprattutto una dimensione del carattere di-

9 Vedi wp4.evidenceproject.eu.10 Una nuvola di etichette (tag), o di parole che le rappresenta visivamente, distinte per co-

lore e dimensione. La dimensione è usata per esprimere la frequenza o la popolarità di un’eti-chetta nell’ambito di uno specifico insieme di altre etichette. Questo tipo di visualizzazioneviene spesso usata nelle pagine web.


ii


ii

ii


versa: più è grande la dimensione più tool contiene la Categoria. Al passaggiodel mouse il sistema mostra un tooltip con il numero dei tool appartenentialla relativa Categoria. A partire da questa visualizzazione è possibile lancia-re una query, attivando il link su ogni specifica Categoria/Etichetta, in talcaso il sistema estrae tutti i tool della Categoria selezionata.

Nel frame di sinistra il primo radio button permette di selezionare unospecifico ramo del Catalogo: il ramo dell’Analisi o quello dell’Acquisizione.

Ogni volta che si seleziona un ramo, alcuni contenuti del frame paginacambiano in maniera coerente con la scelta selezionata. Ad esempio:

– il numero totale di tool presenti nel ramo;– la struttura e gli elementi del campo Categoria (Category);– gli hyperlink relativi alla mappa concettuale della Classificazione (Mind

Map) e a quello della visualizzazione in stile tag cloud.La query si prepara sulla base dei campi: Nome (Name), Tipo Licenza (Li-

cense Type) Categoria (Category), Sistema Operativo (Operating System),Sviluppatore (Developer), Caratteristiche/Valori (Features/Values).

Il combo box Categoria rappresenta uno degli elementi principali dell’in-terfaccia. Vediamo come preparare le queries utilizzando questo campo.

Un primo esempio di query consiste, dopo aver selezionato il ramo Ana-lysis, nello scegliere l’elemento Computer Forensics – Operating System –Windows. Il sistema visualizza i valori nel Pannello delle Caratteristiche(Features Panel) illustrati nella fig. 4.

Fig. 4 – Valori del Features Panel nel casodi Categoria Computer Forensics - Operating System - Windows


ii


ii

ii


A questo punto premendo il bottone Ricerca (Search) il sistema estrarrà evisualizzerà tutti gli attuali 119 tool appartenenti alla Categoria selezionata;ma i valori mostrati nel Features Panel permettono di preparare una querypiù specifica estraendo solo e soltanto quei tool della Categoria selezionatautili per una specifica attività forense. Ad esempio, se si è interessati solo acondurre un’analisi forense sul Prefetch di Windows 10, è possibile seleziona-re la relativa casella di controllo, premere nuovamente il bottone di Ricercae ottenere la desiderata lista di tool adatti all’attività forense in corso, comemostrato in fig. 5.

Fig. 5 – Utilizzo dei Valori del Features Panelper estrarre solo i tool relativi a Prefetch per Windows 10

Un secondo esempio di query consiste, dopo aver selezionato il ramoAnalysis, nello scegliere l’elemento Mobile Forensics – Smartphone/Tablet– iOS. Il sistema visualizza i seguenti valori nel Pannello delle Caratteristiche(Features Panel) illustrati nella fig. 6.

A questo punto premendo il bottone Ricerca (Search) il sistema estrarràe visualizzerà tutti gli attuali 42 tool appartenenti alla Categoria selezionata,ma, ancora una volta, utilizzando i valori mostrati nel Features Panel è possi-bile preparare una query più specifica estraendo, ad esempio, solo e soltantoquei tool della Categoria in grado di eseguire un’analisi forense per l’applica-zione Chat Viber, selezionando la relativa casella si controllo. Se si preme di


ii


ii

ii


Fig. 6 – Valori del Features Panel nel casodi Categoria Mobile Forensics - Smartphone/Tablet - iOS

nuovo il bottone di Ricerca si può ottenere la lista di tool adatti all’attivitàforense in corso, come parzialmente mostrato in fig. 7.

La lista dei Risultati, mostrati nel frame di destra contiene tutti gli ele-menti informativi definiti per ogni singolo tool, vedi fig. 8. Meritano unaspiegazione aggiuntiva i seguenti campi:

– nel campo Nome (Name) è stato attivato un hyperlink al sito ufficialedel tool, dove è possibile reperire tutte le informazioni relative (ad es.,descrizioni dettagliate, versioni, novità, test, tipi di licenze, ecc.);

– sotto il campo Nome (Name) possono apparire delle icone numerate,su cui è attivato un hyperlink a test ufficiali pubblicati su siti pubblicida parte di organizzazioni specializzate in informatica forense (ad es.,NIST11).

11 Il National Institute of Standards and Technology - NIST è un’agenzia del governo degliStati Uniti che si occupa della gestione delle tecnologie.


ii


ii

ii


Fig. 7 – Utilizzo dei Valori del Features Panelper estrarre solo i tool relativi a Chat Viber for iOS

– il campo Descrizione (Description) spiega le funzionalità del tool ene viene visualizzata solo una parte quando il testo è particolarmen-te esteso, come nel caso del terzo risultato (Forensic Assistant), in talcaso passando con il mouse sull’espressione more. . . , appare il testo didescrizione completo, come mostrato in fig. 9;

– sui valori dei campi Licenza (License) e Sistema Operativo (OperatingSystem, abbreviato con O.S.) è attivo un hyperlink che permette diselezionare i tool della Categoria che hanno nel campo selezionato ilvalore mostrato. Se, dai Risultati mostrati in fig. 8, si attiva il link sulvalore Windows del campo Sistema Operativo si otterranno tutti i tooldella Categoria selezionata che si eseguono su Windows;

– nel campo Riferimenti Utili (Useful References) vengono visualizzatidei collegamenti a risorse relative al tool.


ii


ii

ii


Fig. 8 – Frame di destra contente i Risultati di una query

Fig. 9 – Visualizzazione completa del campo Descrizioneal passaggio del mouse su more. . .

Infine sul frame di sinistra è presente un hyperlink alla pagina di Aiu-to (Help), che fornisce un’esposizione dettagliata su: Classificazione usata,struttura del Catalogo e come usare l’interfaccia (fig. 10).


ii


ii

ii


Fig. 10 – La pagina di Help del Catalogo

6. PROSPETTIVE FUTURE

Sulla base dell’elevato numero di tool presenti nel Catalogo, l’aggiorna-mento e l’estensione del suo contenuto può essere garantito solo attraversola creazione di una rete di esperti del settore che, in maniera collaborativa,possano dare il proprio contributo affinché il Catalogo diventi un punto diriferimento nella comunità della digital forensics.

A questo scopo è stata lanciata un’iniziativa di collaborazione compren-dente più 30 esperti che attraverso uno specifico questionario creato e di-stribuito online e tramite la consultazione diretta dei contenuti del Cata-logo, hanno fornito un’ampia raccolta di feedback. Gli esperti sono statiselezionati differenziando ruoli e locazioni geografiche:

– rappresentanti di forze di polizia di Belgio, Francia, Grecia, Italia eStati Uniti;

– esperti di informatica forense di Francia, Italia, Norvegia, Spagna eStati Uniti;

– organizzazioni con elevate competenze in informatica forense, comeil Netherland Forensics Institute - NFI in Olanda12, il Center for Cyberand Information Security - CCIS in Norvegia13, il SysAdmin, Audit,

12 Vedi www.forensicinstitute.nl.13 Vedi ccis.no.


ii


ii

ii


Networking, and Security Institute - SANS14, l’International Informa-tion System Forensics Association - IISFA15 e l’Osservatorio NazionaleInformatica Forense - ONIF in Italia16.

È stato pianificato il rilascio di un editore web per il Catalogo in mo-do da permettere di intervenire direttamente nei contenuti per mantener-lo aggiornato e per estenderlo. L’accesso a tale editore, la cui architetturaè rappresentata in fig. 9, sarà disponibile attraverso un accesso controllato(login/password) e concesso solo a membri della lista ristretta di esperti giàindividuata per l’acquisizione del primo feedback.

Alcune nuove funzionalità sono state già previste e comprendono i se-guenti punti:

– sviluppo di una versione per dispositivi mobili e desktop funzionanteanche senza connessione Internet e aggiornabile on demand;

– possibilità di esportare tutto o parte del Catalogo in un formato open(ad es., JSON, XML, CSV, ecc.);

– mantenere una rete collaborativa di esperti sia per ricevere feedbacksia per dare la possibilità, ad un ristretto gruppo di essi, di interveniredirettamente nei contenuti attraverso l’editore web;

– tenere traccia delle versioni dei tool per visualizzarne eventuali diffe-renze in funzionalità;

– citare i casi, con il relativo collegamento ipertestuale al testo, dovelo specifico tool è stato usato con successo (ossia le potenziali proveestratte tramite l’utilizzo del tool sono state accettate in dibattimento);

– implementare un sistema di RSS per inviare avvisi di aggiornamentodei contenuti del Catalogo a chiunque ne sia interessato, oppure imple-mentare una newsletter automatica, a cadenza settimanale o mensile,per avvisare gli interessati di aggiornamenti.

Il Catalogo può diventare un punto di riferimento nell’ambito della co-munità forense: a testimonianza dell’interesse suscitato da questa iniziativa,l’Interpol si è resa disponibile a supportare il mantenimento dei suoi contenu-ti, attraverso il laboratorio di digital forensics più all’avanguardia, localizzatoin Singapore, e diffondendone l’utilizzo in tutte le sedi presenti nei 190 Paesimembri.

14 Vedi www.sans.org.15 Vedi www.iisfa.net.16 Vedi www.onif.it.


Digital Forensics Tools Catalogue, un punto di riferimento per la … · 2019-02-26 · Necessità...

Documents

Transcript of Digital Forensics Tools Catalogue, un punto di riferimento per la … · 2019-02-26 · Necessità...