Informatica forense: che cos’è e a cosa serve

L’informatica forense è una branca della scienza digitale forense ed è legata alle prove acquisite da computer e altri dispositivi di memorizzazione digitale. In questo articolo di  Giorgio Perego vediamo cos’è, a cosa serve e qual è il ruolo di analista forense.

L’analista forense: cosa fa

Fino a qualche anno fa gli esperti di analisi forense erano al servizio quasi esclusivamente delle forze di polizia e delle autorità giudiziarie per ricercare informazioni su computer, device ed altro.

Negli ultimi tempi, invece, il ruolo di analista forense è stato valorizzato grazie alle nuove normative in tema di protezione dei dati, in particolare grazie al GDPR (Regolamento Generale sulla Protezione dei Dati).

Analisi forense e GDPR

Il GDPR ha rivoluzionato le regole a livello europeo ed extraeuropeo. Oggi infatti tutte le società di cyber security sottolineano l’importanza dei servizi di analisi forense e consigliano alle aziende di avere strumenti che consentano di registrare tutte le informazioni necessarie.

Uno degli obblighi più importanti del Regolamento Europeo riguarda l’obbligo di notifica entro 72 ore di eventuali violazioni informatiche subite dall’azienda. Le informazioni più specifiche possono essere fornite anche in un secondo momento.

L’azienda violata ha però l’obbligo di essere in grado di ricostruire quanto accaduto e analizzarne le conseguenze. Da qui entra in gioco l’analisi forense approfondita.

A rendere più stringente questa esigenza è il regime sanzionatorio introdotto con il GDPR: una violazione può costare fino a 20 milioni di euro o il 4% del fatturato globale dell’azienda.

Informatica forense: come funziona

La funzione dell’informatica forense non è solo quella di fare l’analisi dell’accaduto per ricostruire l’anatomia dell’attacco. La sua parte fondamentale infatti è quella di ricostruire le attività dei pirati informatici nella fase di response.

Gli attacchi informatici attualmente perpetrati dai cyber criminali verso le aziende hanno raggiunto un livello di complessità piuttosto alto. Pertanto è solo grazie ad un’analisi approfondita e veloce delle strategie utilizzate dai cyber che è possibile implementare un’azione di contrasto efficace.

L’analisi forense consente ad esempio di individuare eventuali backdoor lasciate dai cyber criminali nei sistemi attaccati per mettere a segno la violazione. Si tratta dei punti di accesso primari che i cyber criminali hanno utilizzato per navigare all’interno della rete aziendale.

Il SIEM, Security Information and Event Management

 L’analisi forense è fondamentale in fase di remediation, infatti la sua funzione si estende ben al di là della parte d’emergenza. Un’analisi dettagliata porta ad individuare gli anelli deboli nella catena della cyber security e agire per correggere le vulnerabilità trovate.

La parte di analisi è affidata a esperti del settore, ovviamente questa fase è fattibile se utilizza un SIEM (Security Information and Event Management) la migliore garanzia per avere a disposizione i dati necessari.

Infatti i sistemi SIEM hanno proprio la funzione di registrare tutti i log relativi agli eventi che succedono all’interno della rete aziendale (network aziendale).

Quali strumenti utilizzano gli esperti di analisi forense?

Ci sono diversi tool/software sia su Windows che su kali Linux da utilizzare per fare analisi forense. Uno di questi è FTK Imager che funziona sotto Windows ed è anche free, scaricabile dal sito www.bit4law.com.

Quando l’hard disk da copiare è cifrato la copia forense di un hard disk cifrato genera una copia bit a bit cifrata. Qualora fosse disponibile la password è possibile accedere ai dati in chiaro, in caso contrario ciò non è possibile.

Consulta anche i seguenti canali

Il canale youtube Byte Yok

Il Cam TV Giorgio Perego