Digital Forensics: l’arma in più per analizzare i dati cancellati in un computer
Sono numerose le situazioni in cui si vorrebbe che i dati sparissero veramente, potenzialmente per nascondere tracce di comportamenti criminali. All’opposto, altri sperano che siano recuperabili, ad esempio se sono chiamati a mettere insieme delle prove.
Consideriamo il seguente scenario: un dipendente si dimette e si unisce a un’organizzazione concorrente che lavora su un prodotto simile. L’azienda sospetta che la persona abbia condiviso informazioni proprietarie con la nuova realtà prima di dimettersi. Tuttavia, il dipendente ha restituito il suo portatile, con i dati utente “cancellati”. In questo contesto, l’azienda cosa può capire sull’utilizzo del computer?
La domanda che ci si pone è se le prove digitali possano essere effettivamente e completamente cancellate o offuscate. Anche se alcuni pensano ancora il contrario, sta diventando sempre più chiaro che la semplice “cancellazione” dei dati non significa necessariamente che questi siano realmente spariti.
Esistono infatti strumenti che vanno oltre la cancellazione per eliminare le informazioni in modo sicuro. Per confondere ulteriormente le acque, il termine “cancellazione” può assumere significati molto diversi. Può riferirsi alla semplice eliminazione, alla riformattazione di un’unità o alla sovrascrittura sicura dei dati più volte, in modo che non siano davvero recuperabili. Analizziamo come la digital forensics può essere utilizzata per determinare il livello di cancellazione dei dati e recuperare le prove digitali.
Usare la digital forensics per ripristinare i dati cancellati
Gli ispettori forensi digitali di Palo Alto Networks hanno imparato a scavare sempre un po’ più a fondo quando un computer viene indicato come “ripulito”. Spesso la loro analisi può fornire risposte o informazioni rilevanti, anche solo confermando quando e come è avvenuta la cancellazione. In molti casi, tuttavia, possono recuperare dati eliminati e prove che aiutano a rivelare indizi utili a capire come sia stato utilizzato un computer.
Nella sua forma più semplice, la digital forensics riguarda la raccolta, la conservazione, e l’analisi dei dati memorizzati su supporti digitali. Un ispettore forense digitale utilizza metodologie affidabili, ripetibili e il meno invasive possibile per i dati, in modo che tutte le azioni e i processi possano essere illustrate e ripetute in tribunale.
Ogni azione compiuta da un utente su un computer può lasciare un’impronta digitale. Gli esperti utilizzano strumenti e tecniche per scoprire queste tracce analizzando i dati a livello fisico o di disco. Ad esempio, si può individuare l’ora in cui un utente si è collegato al Wi-Fi di un bar, scoprire la cronologia delle chat tra due colleghi, identificare i dispositivi di archiviazione esterni collegati in passato e altro.
L’analisi forense racconta insomma la storia di come un utente ha interagito con il suo dispositivo, specialmente nel caso in cui abbia preso provvedimenti per nascondere le sue tracce o cancellare i dati. Nel mondo digitale, ciò che è eliminato, spesso non lo è veramente. Qui di seguito due esempi di come la digital forensics ha svelato le dinamiche e scoperto azioni pericolose.
Il recupero dei dati rivela un furto di IP di estesa portata
Facendo riferimento allo scenario del dipendente che cambia azienda, la digital forensics ha scoperto il furto di proprietà intellettuale e la distruzione dei dati. Un esperto ha recuperato frammenti di file precedentemente cancellati e altri artefatti forensi essenziali dal portatile dell’ex lavoratore e ha trovato le prove che indicavano l’accesso tramite porta USB a revisioni del codice, piani di rollout e altre informazioni proprietarie mentre il portatile era collegato alla rete di un’azienda concorrente (il nuovo datore di lavoro) giorni dopo le sue dimissioni.
La rivelazione più grave è stata la scoperta delle azioni intraprese dal dipendente per cancellare i file in massa e coprire le sue tracce. Pochi giorni prima di restituire il suo portatile all’ex datore di lavoro, ha installato uno strumento di accesso remoto e ha ricevuto una connessione in entrata da un indirizzo IP, collegato alla posizione remota di un tecnico esterno della società, sospettato di esserne complice. Pochi secondi dopo la connessione avvenuta con successo, si sono verificate cancellazioni di massa sul portatile. Senza l’uso della digital forensics, l’azienda non avrebbe mai scoperto gli atti illeciti compiuti dall’ex dipendente e dal tecnico in outsourcing.
La digital forensic per dimostrare il furto di file
In un’altra occasione, un’azienda sospettava che un dipendente avesse sottratto proprietà intellettuale proprio prima di lasciare il posto di lavoro, ma non aveva modo di provarlo. Un esame iniziale del suo portatile Mac ha rilevato che la maggior parte dei file e delle cartelle era stata cancellata. Tuttavia, la digital forensic ha dimostrato che l’ex dipendente aveva collegato il portatile di lavoro al suo account iCloud personale, sincronizzato diverse cartelle contenenti dati proprietari per poi cancellarle dal portatile pochi giorni prima di dimettersi.
Gli esperti hanno analizzato gli artefatti forensi e i log di sistema che hanno catturato le registrazioni di quelle cartelle, il tempo approssimativo della sincronizzazione iCloud e le successive cancellazioni dal portatile. Le prove hanno rivelato che i dati sono stati salvati in una time capsule personale nello stesso periodo. Questi risultati hanno supportato la base legale per richiedere un esame dei dispositivi personali del dipendente.
Come illustrano questi esempi, nonostante i dati sembrino essere spariti, non significa che lo siano davvero. La digital forensics è stata utilizzata per risalire a come questi individui hanno rubato informazioni al datore di lavoro, cercando poi di distruggere i dati e coprire le loro tracce. È probabile che in entrambi i casi i colpevoli non si fossero resi conto che un esperto forense avesse la capacità di ripercorrere quelle tracce e scoprire la verità.