Database Forensics per Computer, cos’è e come si effettua
Numerose aziende e società, a prescindere dal settore in cui operano o dal servizio che erogano, si servono di una banca dati digitale (database) per la gestione di tutti le informazioni rilevanti inerenti alla propria attività d’impresa. I database sono strutture digitali di cruciale importanza ma, al contempo, possono essere oggetto di attacchi dall’esterno, da parte di soggetti estranei che intendono violare i sistemi di sicurezza per acquisire in maniera fraudolenta le informazioni. Per prevenire o accertare questo genere di “crimine digitale” esiste un apparato di discipline scientifiche (l’informatica forense) che si occupa di individuare tutti gli elementi che possano costituire una prova digitale; per quanto riguarda, nello specifico, le banche dati, le tecniche di investigazione fanno capo ad una scienza denominata database forensics: vediamo di seguito di cosa si tratta e come viene svolta dai tecnici incaricati.
Cos’è la database forensics
La “database forensics” (scienza forense dei database) è una branca dell’informatica forense che, come si può intuire dal nome stesso, si occupa in particolar modo di analizzare le banche dati digitali.Come spiega Salvatore Piccinni – Managing Director Head of Southern Europe di Inside Intelligence & Security Investigations, la database forensics non va confusa con un’altra disciplina, la database recovery (ripristino banca dati); la prima, infatti, è rivolta principalmente all’analisi scientifica di un database fallato nel tentativo di ricostruire i metadati (ossia un’informazione in grado di “descrivere” un insieme di dati) ed altre informazioni all’interno di un “set”. La database recovery, invece, implica l’applicazione di tecniche di ripristino in grado di riportare la banca dati all’interno dell’ambiente operativo nel quale si trovava in precedenza (oppure, in alternativa, riportarlo ad un punto tale da rendere possibile un backup). Questa distinzione è importante perché anche un database che non mostra particolari “sintomi”potrebbe aver bisogno di essere sottoposto ad un’analisi tecnica forense, soprattutto nel caso in cui si registrino attività di natura “sospetta”.
In genere, le indagini tecniche vengono predisposte quando si verifica un errore di sistema, quando si registra una cancellazione di dati (o quando vi sono delle incongruenze) oppure il comportamento degli utenti è tale da destare sospetto.
Cos’è la computer database forensics
All’interno della database forensics è possibile distinguere un altro tipo di procedura investigativa, la computer database forensics; si tratta della forma più ‘antica’ di informativa forense in quanto opera su dispositivi di memorizzazione dei dati, come ad esempio desktop, chiavi USB, hard disk esterni e simili. Rispetto alla database forensics – con la quale condivide l’approccio e le tecniche investigativi – questa branca dell’informatica forense è specializzata nell’analisi di dispositivi di memorizzazione dei dati collocati all’interno di computer e simili; l’analisi forense delle banche dati, invece, può essere implementata su qualsiasi database; i modelli principali sono:Oracle (Relational Database Management System), MySQL (Relational Database Management System), Microsoft SQL Server (Relational Database Management System), PostgresSQL (Relational Database Management System)eMongoDB (Document Stores).
Come si effettua la database forensics sui computer
Nel caso in cui un’azienda o una società ritenga di aver bisogno di un’analisi forense dei propri database, può disporre delle apposite indagini, rivolgendosi ad un’agenzia di investigazione privata specializzata in indagini forensi e computer forensics. Il mandato può essere conferito in prima persona dal titolare dell’azienda che richiede il servizio o, come accade più di frequente, dal legale rappresentante della stessa.A garanzia dello svolgimento di un lavoro accurato, secondo le adeguate tecniche professionali, è bene che il mandante si accerti che gli incaricati siano in possesso delle opportune certificazioni, ed in particolare il CCFP (Certified Cyber Forensics Professional).
Prima di procedere alla fase operativa vera e propria, le parti concordano – in forma contrattuale –le modalità di trattamento dei dati che verranno estrapolati durante le analisi: si tratta di un accordo di riservatezza, che impone ai tecnici incaricati di assicurare la riservatezza e l’integrità dei dati raccolti ed analizzati (al mandante viene in genere fornito anche un elenco con i nominativi di tutti i soggetti che prenderanno parte all’indagine).
La prima fase pratica delle operazioni di indagine consiste nell’acquisizione del dispositivo (o dei dispositivi) di memorizzazione; i tecnici incaricati provvedono alla messa in sicurezza, che consiste nell’isolamento del device, in modo tale da evitare che la struttura fisica e i dati contenuti al suo interno possano essere danneggiati o alterati. Molto spesso, per facilitare le operazioni di analisi, si procede alla duplicazione integrale del dispositivo, così da preservare l’originale e poter, al contempo, lavorare in totale sicurezza sui dati acquisiti separatamente.
Lo step successivo prevede la catalogazione dei dati, modulata sulla base degli obiettivi che l’indagine, nel suo complesso, intende ottenere (dal momento che non tutte le informazioni memorizzate da un determinato dispositivi possono essere fattivamente utili). Completata questa fase, i tecnici incaricati procedono all’analisi vera e propria: grazie ai recenti sviluppa di questa scienza, l’uso di appositi software è sempre più diffuso, benché si tratti di un ambito di studio non ancora particolarmente sviluppato.
I dati acquisiti vengono analizzati in vario modo, utilizzando varie tecniche: le più diffuse sono la “cross-drive analysis” e la “live analysis”; la prima consiste nell’analisi incrociata dei dati rilevati da due database diversi mentre la seconda prevede l’utilizzo di tecniche forensi standard e si presta particolarmente ad esaminare i sistemi di encrypting; in sintesi, il sistema viene esaminato mentre è ancora in funzione. Questi, ed altri approcci professionali all’indagine forense, sono accomunati dal medesimo obiettivo: individuare le tracce e le prove di attività sospette, ossia elementi con valore probatorio nei confronti di un possibile crimine digitale.
Va ricordato come costituisca “prova digitale”(digitalevidence) un qualsiasi elemento, in formato digitale, in grado di assumere valore probatorio rispetto ad un processo di accertamento di una violazione o di un crimine “digitale”, ossia perpetrato ai danni di un sistema, di una struttura o di una rete informatici oppure a danno di un dispositivo digitale, allo scopo di accedere o alterare, in maniera fraudolenta, dati e informazioni di qualsiasi natura. Per tanto, i tecnici incaricati di svolgere le verifiche forensi, puntano principalmente ad individuare riscontri oggettivi ed inconfutabili che testimoniano, ad esempio, un’intrusione non autorizzata all’interno di un database da parte di un soggetto che ha poi modificato, alterato, acquisito o eliminato dati sui quali non aveva alcun diritto. Da ciò ne consegue quanto possa essere importante la database forensics non solo per individuare violazioni di questo tipo, ma anche per “testare” il livello di sicurezza di una banca dati che – per definizione – assolve ad un ruolo fondamentale per la privacy e la protezione del segreto aziendale. Al termine di tutte le procedure investigative, i tecnici incaricati stilano una relazione tecnica, un documento all’interno del quale descrivono il lavoro svolto ed i risultati ottenuti rispetto agli obiettivi concordati preliminarmente con il mandante delle indagini.