LA SFIDA: LO TZUNAMI DIGITALENegli ultimi anni abbiamo assistito a un significativo aumento delle attività digitali, in termini di volume, velocità, diversificazione e sofisticazione, da parte di criminali e gruppi terroristici in tutto il mondo. Oggi nella maggior parte dei crimini è presente una componente digitale. Non a caso si parla di tzunami digitale.

L’aumento dei crimini informatici è stato esacerbato dal rapido progresso dei componenti hardware.

La crescente diversificazione di dispositivi elettronici disponibili sul mercato, con capacità di storage

e di memoria sempre più ampia, offre ai criminali e ai terroristi numerose opportunità per occultare

informazioni dannose.

Quasi tutti i PC e i portatili moderni sono dotati di unità disco con capacità di storage di centinaia

di gigabyte. Con le nuove unità disco è persino possibile scegliere capacità da 2 o da 4 terabyte.

Considerando che con un solo terabyte è possibile archiviare ben 200 DVD, si ottiene la giusta

percezione dell’enorme quantità di storage disponibile, problema che andrà aumentando sempre più.

Con i PC e i portatili, i telefoni cellulari, le unità flash USB e persino le console di gioco, la polizia e le forze

di sicurezza affrontano difficoltà enormi per riprodurre, acquisire prove o fare ipotesi di reato, indicizzare

e analizzare la crescente quantità di dati sospetti, preservando al tempo stesso la catena di custodia e

proteggendo i cittadini.

Una volta inquisito il presunto autore del reato e messi sotto sequestro i beni informatici

di sua proprietà, gli organi investigativi e l’autorità giudiziaria incontrano grandi

difficoltà nell’esaminare e analizzare i potenziali indizi in tempi brevi e in ambienti

IT tutt’altro che perfetti.

E nel caso di intere organizzazioni sospettate di attività criminali o terroristiche,

il numero di dispositivi da analizzare può aumentare a dismisura.

LE INVESTIGAZIONI DIGITALI DELL™ Le sfide del mercato

• Lamancanzadiesperienzaedirisorseadeguate, insieme a un volume crescente di dati sospetti, comporta un ritardo di 18 – 241 mesi nel completamento delle indagini.

• Tempidiinvestigazionecostosisonospesso impiegati nella gestione della tecnologia, nella copia dei dati e nel mantenimento della sicurezza.

• Accessoremotoaidatilimitato. Gli investigatori devono trovarsi fisicamente in laboratorio per evitare il rischio di una perdita di informazioni.

• Uncodicedannosopuòinfettarele workstation degli analisti, con conseguente necessità di reinstallazione del sistema e rischio di contaminazione della prova.

• L’approccioalbackupdidatisospettivaria da investigatore a investigatore; col tempo, i dispositivi e i supporti multimediali si deteriorano e rischiano di perdere i dati.

Vantaggi della soluzione

• Semplifical’imaging,lacondivisionee l’archiviazione di dati tra gli esperti e i team di lavoro, con conseguente significativo aumento della produttività.

• Standardizzal’infrastrutturaITdiinvestigazione e stabilisce un processo chiaro e sicuro di scambio elettronico di informazioni.

• Metteincampoforzeinvestigativeesperte per l’analisi dei dati sospetti, offrendo un’unica interfaccia utente per un’intera suite di applicazioni di investigazione.

• Offrel’analisiinsedeoremotaelarevisione dei dati sospetti e delle prove.

• Permettedieseguireilcodicedannosoin un ambiente circoscritto, senza compromettere l’integrità del sistema.

• GraziealleconfigurazioniBURA (Back-UpRecoveryandArchiving) eDR(DisasterRecovery-ripristino diemergenza),sideterminaun processo chiaro che consente la messa in sicurezza della catena di custodia e la condivisione e la distruzione delle informazioni.

INVESTIGAZIONE DIGITALE :LeSOLUzIOnIBLUePRInT

IMAGING DEI DATI: Un’OPeRAzIOne LUNGALe unità disco devono prima essere copiate o “clonate” per non contaminare i dati originali. Questa è una delle difficoltà maggiori per gli organi investigativi, poiché per preservare i dati copiati dai cloni, hanno bisogno di enormi capacità di storage.

Per copiare ed esaminare le unità disco sequestrate e i relativi sistemi potrebbero essere necessarie ore e persino giorni. Queste operazioni vanno eseguite con la massima cura e attenzione ai più piccoli dettagli.

Per preservare la catena o la continuità di custodia esistono numerose linee guida piuttosto rigide. È indispensabile documentare le condizioni in base alle quali gli indizi di reato vengono raccolti.

Deve essere indicata chiaramente l’identità di ciascun detentore della custodia della prova. Occorre riportare la durata della custodia della prova, indicare le misure di sicurezza in atto per la manipolazione o la conservazione della prova e specificare il modo in cui questa viene trasferita ai successivi custodi. L’esecuzione di tutte queste operazioni richiede in genere molto tempo.

ATTUALIPROBLeMI DI ACQUISIZIONE E ANALISIUna volta clonati, i dati vengono acquisiti da investigatori esperti su una o più workstation o PC ad alte prestazioni. Anche in questo caso i tempi possono rivelarsi estremamente lunghi, a seconda della quantità di dati da acquisire prima che possano essere indicizzati, esaminati e analizzati.

A causa dell’ampio volume di dati da analizzare e del rischio di perdita di informazioni, gli esperti devono essere fisicamente presenti nel laboratorio per poter eseguire l’analisi. Inoltre, in base alle norme in vigore potrebbero essere vietate le ricerche remote in unità disco poste sotto sequestro a scopo di analisi da parte degli organi investigativi in ambito tecnologico.

Non c’è quindi da meravigliarsi dell’enorme ritardo con cui viene completata l’analisi di unità disco poste sotto sequestro (ingenereda18a24mesi).nellamiglioredelleipotesiidatipossono essere condivisi su più file server ma il processo di analisi deve necessariamente essere condotto presso il laboratorio

e richiede un’infrastruttura con eccellenti capacità di rete per il continuo trasferimento di dati tra i server centrali e i PC degli analisti. Molto spesso ciò non permette la condivisione dei dati tra analisti appartenenti allo stesso organo investigativo, costretti a lavorare presso sedi remote. La condivisione in tempo reale tra organi investigativi e anche tra organi di investigazione internazionali è attualmente esclusa come possibilità.

Di conseguenza, l’unica soluzione attuale per condurre analisi approfondite è la presenza all’interno del laboratorio. Inoltre, nel caso un’immagine clonata contenga un codice dannoso, la workstation utilizzata per l’investigazione potrebbe subire dei danni e potrebbe essere necessaria la reinstallazione completa, con conseguente necessità di ripetere il processo di acquisizione dall’inizio, oppure, nel caso il codice non venga rilevato, potrebbe essere compromessa l’intera catena di custodia.

PAnORAMICASULLASOLUzIOne DI INVESTIGAZIONE DIGITALE

Fig 1. Il processo di investigazione digitale suddiviso in 5 fasi separate.Fase 1 (Acquisizione) - Come già avviene in base alle procedure esistenti,

i dati sospetti vengono clonati ma, piuttosto che creare l’immagine dei dati su un’unica workstation, i dati vengono acquisiti in un archivio di indizi di reato centrale e non sul PC del singolo analista. Acquisendo i dati direttamente in un data center, si riduce la necessità di un continuo trasferimento degli stessi da un dispositivo a un altro, aumentandone la disponibilità a vantaggio di più analisti che possono così migliorare la loro produttività e la loro efficienza.

Fase 2 (Storage) – La memorizzazione di dati sospetti direttamente nel data center permette agli analisti di concentrarsi sull’analisi in corso piuttosto che preoccuparsi dello spazio disponibile sul disco del loro PC per l’archiviazione e l’indicizzazione dei dati. Inoltre, il loro lavoro non subirà rallentamenti per l’esecuzione del backup di altri lavori di investigazione su supporti registrabili come i DVD.

La memorizzazione centrale dei dati permette anche la facile condivisione dei dati stessi e del carico di lavoro e riduce il tempo necessario per copiare enormi quantità di dati da un dispositivo a un altro, con conseguente miglioramento della produttività. Persino sulle più moderne reti ad alta velocità, operazioni del genere potrebbero richiedere ore, rendendo inefficienti sia i PC che le risorse di rete.

Fase 3 (Analisi) – La memorizzazione centralizzata dei dati sospetti rende possibile l’indicizzazione e l’esame dei dati all’interno del data center su server ad alte prestazioni, piuttosto che utilizzare i PC degli analisti.

In tal modo, utilizzando software come AccessData FTK e Guidance EnCase è possibile eseguire più sessioni di analisi contemporaneamente su una o più workstation, ottenendo un netto miglioramento della produttività. E ovviamente, il tempo a disposizione degli analisti può essere dedicato all’analisi piuttosto che alla gestione dei dati.

Ogni istanza dell’applicazione viene eseguita su un server indipendente,

preservando in tal modo l’integrità del resto del sistema da codice dannoso e virus. Nel caso sia necessario eseguire codice o applicazioni dannosi per dimostrare l’evidenza della prova, l’analista può farlo nella massima sicurezza in ambienti isolati.

In passato, il codice dannoso eseguito per errore poteva compromettere l’integrità della prova di reato, la catena di custodia e il tempo impiegato fino a quel momento per l’analisi. Di conseguenza, si rendeva probabilmente necessaria la reinstallazione completa della workstation dell’analista e la ripetizione dei processi di imaging e di analisi.

Fase 4 (Presenza) – Una volta esaminati i dati e identificate le potenziali aree di interesse, i team di analisi, che possono comprendere fino a 200 agenti(asecondadelledimensionidell’infrastrutturadiinvestigazione),ottengono accesso sicuro alle potenziali prove di reato del caso in esame.

Inoltre, la natura standard di questa infrastruttura permette ad esperti qualificati di accedere da remoto con maggiore facilità e in modo sicuro. Pertanto, non è necessaria la presenza in sede per l’esame di casi più complessi e si evitano i rischi legati alla memorizzazione delle prove su CD.

Fase 5 (Archiviazione e Ricerca) - Il “Blueprint” Dell™ per le soluzioni di investigazioni digitale modulari fornisce un valido aiuto nella realizzazione di un ambiente modulare e scalabile che possa essere esteso e potenziato per soddisfare la crescente necessità di maggiore potenza di elaborazione e di maggiore capacità di storage.

Integrandoun’infrastrutturaBURA(backup,ripristinoearchiviazione)standard è possibile ottimizzare la collaborazione tra gli organi investigativi,anchealivellointernazionale.Inoltre,leopzioniBURAbasate su standard industriali liberano gli analisti dalle incombenze amministrative, garantiscono congruenza tra i laboratori soprattutto in momenti di difficoltà e riducono i rischi nella catena di custodia legati al backup degli indizi di reato su DVD registrabili e su altri tipi di dispositivi di archiviazione per uso domestico. In tal modo viene facilitato lo scambio sicuro di informazioni tra più laboratori anticrimine.

Inoltre, il Blueprint Dell sull’investigazione digitale contiene un componente di ricerca opzionale che permette la correlazione delle informazioni tra i set di dati acquisiti. Grazie a questo componente l’analista è in grado di eseguire rapidamente ricerche in modo simile a come avviene su Internet sull’intero archivio di dati in esame, sia sui contenuti del caso corrente che sul materiale archiviato relativo a casi precedenti.

L’approccio all’investigazione digitale messo a punto da Dell prevede l’identificazione di processi effettivamente seriali e l’applicazione dei principi propri del Cloud Computing, in base ai quali vengono utilizzate le capacità del data center per permettere l’esame contemporaneo e parallelo degli indizi digitali.

CICLO DI VITA DELL’INVESTIGAZIONE DELLAcquisizione: una volta clonati, i dati sospetti vengono acquisiti direttamente in un archivio centrale di prove di reato, piuttosto che su una workstation. La soluzione permette l’acquisizione di più dispositivi contemporaneamente.

1

2

3

4

5

Riservatezza

Permette di impedire l’accesso non

autorizzato o la perdita di informazioni

Integrità

Permette di preservare la

catena digitale di custodia

Disponibilità

Aumenta la produttività e

l’efficienza nelle investigazioni

Opzioni BURA standard e ricerca dei dati sospetti

Esecuzione sicura del codice dannoso

Interoperabilità e

scalabilità

Collaborazione e accessi sicuri in sede

o da remoto

Accesso condiviso agli indizi di reato digitali

per 24h/24, 7gg/7, con una disponibilità

pari al 99,999%.*

Storage: la copia dei dati direttamente sui sistemi di storage ad alta velocità Dell™ Equallogic™ e EMC2 permette un efficace scambio dei dati tra i server e le unità di storage, migliorando la produttività.

Analisi: è possibile eseguire più sessioni di analisi contemporaneamente su uno o più PC Dell OptiPlex™ con ulteriore aumento di produttività.

Presenza: la soluzione permette ad un numero scalabile di team di analisti in sede o remoti di accedere in modo sicuro ai dati del caso in esame per 24 ore al giorno, 7 giorni su 7 e per tutto l’anno.

Archiviazione e ricerca: le opzioni a standard industriale BURA consentono di preservare la catena digitale di custodia e lo scambio sicuro dei dati, facilitando la cooperazione su qualsiasi caso.

* Equivale ad un massimo di 5 minuti e 35 secondi di inattività in un anno.

Il framework di investigazione è rappresentato da una suite di server, storage e servizi software a elevata disponibilità, progettata per l’esame e la memorizzazione di dati di investigazione digitale e per la salvaguardia della sicurezza e dell’integrità dei dati stessi per l’intero ciclo di vita. Gli elementi della soluzione illustrati nella figura 3 riportata sotto comprendono:

• Storagedellaprova – una piattaforma modulare di storage comune, costituita da un insieme di dispositivi di storage ad elevate prestazioni e ad alta capacità. In tal modo i dati possono

essere esaminati in modo rapido e trasferiti senza problemi

su supporti di storage più economici per l’archiviazione abrevetermine(Online)ealungotermine(Offline).

• Servizidiapplicazione– tutte le principali applicazioni di investigazione vengono eseguite nel data center, riducendo l’attività e la latenza di rete e migliorando le prestazioni. Ciò permette agli analisti che seguono l’indagine di eseguire più istanze di applicazioni da una singola workstation, senza alcun calo di prestazioni.

• Servizidiintegrità–una suite di prodotti software COTS personalizzata che protegge da codici dannosi le applicazioni eidaticontenutinelsistema.Restatuttaviapossibileperl’analista eseguire il codice e le applicazioni sospette in un’area isolata e sicura.

• Servizidiriservatezza– un perimetro di sicurezza che evita il rischio di perdita dei dati e ne impedisce l’accesso non autorizzato (questi servizi potrebbero essere configurati in baseaglistandardgovernativiimpostinelRegnoUnito).

• Gestionedelcaso–integrazione opzionale con il software esistente di gestione dei casi di investigazione in dotazione agli organi investigativi.

• Serviziaggiuntivi–Dell™ può aggiungere ulteriori servizi al framework della soluzione, come la traduzione (testuale,audioevideo)elaricercaaziendale.

RIePILOGO

PAnORAMICASULLASOLUzIOneDIInVeSTIGAzIOneDIGITALe(segue)

Figura 2. Uno screenshot della soluzione di investigazione digitale Dell che illustra l’esecuzione contemporanea su una workstation a doppio schermo dipiùistanzedeisoftwareAccessDataFTK(versioni1.8e2.2)eGuidanceenCase.

Fig3.RappresentazionedellasoluzionediinvestigazionedigitaleDell,in cui sono illustrati l’acquisizione, l’analisi e il backup formale, ilripristinoel’archiviazione(BURA).

Availability

Storage

Storage

Storage

SOLUZIONE DI INVESTIGAZIONE DELL

Elaborazione

Disco ad alte prestazioni

Storage della prova

Archivio Online

Disco ad alta capacità

Virtualizzazione dell’applicazione

Servizi di riservatezza

Archivio Offline

Nastro

Postazioni di analisi

Dispositivi sequestrati

Workstation dell’analista

Input

Output

Servizi di integrità

Gestione del caso

Dell™ è stata fondata nel 1984 da Michael Dell da un’idea molto semplice: vendendo sistemi informatici direttamente ai consumatori, è più facile comprendere le loro esigenze e fornire le soluzioni informatiche più adeguate in grado di soddisfarle.

La strategia di business Dell, in costante evoluzione, unisce il rivoluzionario modello di vendita diretta con i nuovi canali di distribuzione, per raggiungere clienti della sfera pubblica e privata e singoli individui in tutto il mondo.

Dell collabora con le forze di sicurezza, gli organi investigativi, i fornitori di integrazioni di sistema (SI,SystemsIntegrators)edisoluzioniprofessionaliperridurrelacomplessitànellamanipolazione e l’elaborazione di dati e informazioni sospette.

Dell progetta, realizza e personalizza i suoi prodotti e servizi, dalle soluzioni mobili per i veicoli alle soluzioni di investigazione scalabili di livello aziendale. Siamo in grado di fornire agli organi di investigazione accesso remoto sicuro in tempo reale alle informazioni essenziali e garantire loro la collaborazione.

Per offrire maggiore rapidità nelle decisioni, immediatezza di azione e maggiore agilità, i prodotti Dell comprendono:

• PortatiliLatitude™permaggioremobilitàeflessibilitàlavorativa,incluselesoluzioniabordodeiveicoli per comunicazioni in tempo reale.

• WorkstationDellPrecision™eserverPoweredge™perl’esecuzionediapplicazionicherichiedonogrande potenza elaborativa, come quelle per l’investigazione digitale, applicazioni per la simulazione e la progettazione di data center a basso consumo energetico e applicazioni per il controllo e la gestione dell’infrastruttura.

• SoluzionidistorageDell|eMC2, Dell EqualLogic™ e PowerVault™ che forniscono accesso scalabile, sicuroeinteroperativo,esoluzioniBURA(Backup,RecoveryandArchiving)peridatisensibili.

• DellGlobalServices,servizialivellomondialeingradodifornireconsulenzapraticaedefficacesulla pianificazione di interventi per la semplificazione dell’infrastruttura IT. Comprendono i servizi di consulenza, installazione e di gestione e i servizi Dell ProSupportTM+.

INFORMAZIONI SU DELL™

1.SecondounarticolopubblicatosuTheRegisteril29aprile2009,leforzedipoliziarichiedononuovipoteridiindagineremotasulleunitàdisco http://www.theregister.co.uk/2009/04/29/remote_hard_drive_forensics/

Solo clienti aziendali. Le fotografie non hanno valore contrattuale. Si applicano le Condizioni Generali di vendita di Dell™ consultabili sul sito www.dell.it. Dell™, il logo Dell, Latitude, OptiPlex, Precision, PowerEdge, PowerVault sono marchi registrati e di esclusiva proprietà di Dell Inc. Altri marchi o nomi di marchi potrebbero essere utilizzati in questo documento come riferimento alle entità reclamanti i marchi e i nomi dei propri prodotti. Dell riconosce di non aver alcun titolo di proprietà sui marchi e nomi altrui. Nonostante accurate verifiche, il presente documento potrebbe contenere specifiche errate. Dell™ si scusa anticipatamente per questi errori. Tutti i diritti riservati. Dell SpA - Viale Milanofiori, Palazzo Congressi, 20090 Assago - MI.