La disciplina detta Computer Forensic è di questi tempi piuttosto in voga, per via anche di alcuni fatti di cronaca.
In sostanza si occupa del recupero delle evidenze (“prove”) di origine informatica destinate ad essere utilizzate in sede legale.
E’ strettamente legata alla information security, ma il punto di vista è quasi totalmente differente. Spesso per ottenere prove valide e decisive si deve sfruttare una qualche debolezza nelle difese di un sistema informatico. O si devono adottare strumenti più da criminale informatico che da esperto di sicurezza. Non è raro il caso in cui si ricorra a programmi per spezzare cifrature o rivelare password per accedere al contenuto di un supporto.
Per chi vuole avere un “assaggio” di come funzioni il tutto, ho creato una simulazione di caso reale. Se volete cimentarvi e mettere alla prova le vostre abilità di Sherlock digitali, continuate a leggere
La storia (completamente inventata, ed ovviamente ogni riferimento a situazioni e casi reali è una coincidenza e nulla più), è questa:
Una società di ricerca finanziata dal governo ha messo a punto un nuovo sistema di cifratura che consentirebbe un vantaggio consistente alla nazione, permettendo comunicazioni virtualmente inviolabili. Ovviamente se anche altre nazioni ottengono lo stesso sistema si perde il vantaggio, per cui il livello di segretezza del progetto è massimo.
C’è un problema: il responsabile della sicurezza informatica della società si è accorto di un accesso insolito ad alcuni file del progetto, in particolare allo schema elettronico del dispositivo.
Indagando con discrezione ha individuato il responsabile di questi accessi, anche se ovviamente le prove sono molto labili e non utilizzabili in giudizio.
Con l’aiuto delle forze dell’ordine è riuscito a prendere con le mani nel sacco il presunto colpevole, ma l’unica irregolarità rilevata è un pen drive USB trovato indosso al sospetto. Ad un primo esame nel pen drive non sembrano essere presenti file sospetti, ed il problema è che in questa situazione potrà contestare al sospetto soltanto una violazione delle politiche di sicurezza aziendali, che vietano di introdurre qualsiasi dispositivo o supporto di memorizzazione nell’azienda. In questo caso il massimo che può capitare è un richiamo ufficiale ed una multa salata, ma niente di più.
Se invece si riuscisse a trovare prova che dentro il pen drive vi sono file appartenenti al progetto del sistema crittografico la cosa assumerebbe ben altri contorni. In particolare il file che si sospetta sia presente nel pen drive dovrebbe essere uno schema elettronico.
Il vostro compito è analizzare l’immagine del pen drive e verificare se all’interno esista un file con uno schema elettronico, nascosto o meno.
Queste le regole d’ingaggio:
- Il pen drive è formattato con filesystem FAT
- Non è stata usata nessuna crittografia, non ci sono password da scoprire
- Non sono stati usati programmi sviluppati appositamente (posso assicurare che sarebbe stato impossibile recuperare alcunché dal pen drive, in questo caso)
- Il file, se c’è, è in un formato assolutamente comune, non è stata utilizzata una applicazione dedicata agli schemi elettronici, altrimenti sarebbe stato impossibile aprire il file senza quella applicazione
Regole per aggiudicarsi la vittoria:
- verificare se vi è effettivamente uno schema elettronico nascosto nel pen-drive
- dove è nascosto
- in che formato file è memorizzato
- la procedura ripetibile per estrarlo dal pen drive, sempre ammettendo che il file ci sia
- la soluzione dovrà essermi inviata direttamente per posta elettronica al mio indirizzo, e farà fede la data ed ora riportata dal mio server di posta. Non sono accettati altri mezzi di invio della soluzione. I commenti a questo articolo sono chiusi per questo motivo.
Il premio: Ovviamente la pubblicazione su questo sito della soluzione con nome e cognome del vincitore e se il vincitore possiede un sito web, un link al suo sito dal blogroll (NB: per ovvi motivi saranno esclusi siti che possiedano a mio insindacabile giudizio contenuti poco appropriati o contrari all’etica, ad esempio, siti a contenuto sessuale esplicito, siti contenenti software pirata o palesemente illegale, siti di lamer e “acari” vari, splog e simili…).
Se decidete di partecipare implicitamente accettate tutte le regole qui descritte.
A questo punto non mi rimane che augurarvi buona caccia.
L’immagine del pen drive, ottenuta con il comando dd è qui (dimensione 2,6M).
Pingback: DenisFrati.it » Blog Archive » Compiti a casa…materia? Computer Forensics, naturalmente!!
Pingback: Test di Computer Forensics: i risultati — Il non-blog di Mario Pascucci