Recupero dati e file system
Di fronte all’enorme vastità dell’informatica e di fronte alla continua evoluzione del mondo del software, è davvero superficiale e illusorio credere di poter recuperare ogni sorta di dato da qualsiasi tipo di supporto.
Questo lo sanno benissimo quasi tutti i tecnici e gli investigatori del settore, ma è una realtà che a volte viene sottovalutata certamente dai non addetti ai lavori.
Nel settore del computer forensic sono relativamente nuovo, anzi direi di non avere esperienza se non per qualche base teorica e di studio personale, ma all’inizio della mia esperienza nel mondo dei compatibili IBM ricordo di esser passato da windows a linux nel giro di poco tempo installando una vecchia distribuzione e scoprendo l’esistenza del filesystem ext2 e della swap.
Successivamente, alle prime ricompilazioni del kernel, scoprivo l’esistenza di ulteriori filesystem e quindi sistemi operativi capaci di organizzare i dati secondo dei criteri diversi, lontani dalla usuale concezione a cui windows ci abitua. La conoscenza di altri sistemi operativi diversi da windows, inoltre, offre la possibilità di usare un pc per “fare altro”.
Ogni diversa organizzazione di dati su un supporto quindi non è detto che sia “comprensibile” da un altro sistema operativo, basti pensare che windows in condizioni di default (ma questo si capisce bene, per una scelta commerciale precisa) non riesce a leggere e scrivere partizioni ext3 di linux nonostante l’ormai enorme diffusione di questo sistema operativo.
Di fronte ad un supporto di archiviazione da dover analizzare, quindi, stabilire il filesystem può non essere immediato senza avere sufficienti strumenti.
Tuttavia, nella maggior parte dei casi gli investigatori si trovano davanti filesystem FAT/NTFS/ISO9660 con i dati che stanno cercando catalogati ordinatamente ed inoltre, usando software capaci di riconoscere e recuperare un buon numero di file, risparmiano una buona parte di lavoro non necessitando di una conoscenza tecnica approfondita.
Oltre tutto spesso l’indagato non prende rigide precauzioni riguardo l’occultamento dei dati sul supporto, talvolta a vantaggio di una più veloce e pratica modalità di accesso ai dati stessi, talvolta per non perdersi dietro a procedimenti di cifratura considerati noiosi, talvolta convinto di non correre alcun rischio, talvolta convinto di non compiere addirittura alcuna attività illecita.
Questo vale ovviamente per quanto concerne i casi per così dire più “semplici” e diffusi, riferiti a pedopornografia, pirateria informatica varia di basso profilo, casi in cui l’indagato magari non si preoccupa di adottare sofisticate tecniche di occultamento dei file.
Tutto diventa più difficile quando i reati sono più seri sotto il profilo tecnico, quando chi li compie possiede una conoscenza tecnica qualche gradino superiore e, mettendo in conto la possibilità di essere
scoperto, prende qualche precauzione considerevole riguardo l’archiviazione sicura dei dati.
Il riconoscimento di dati coerenti su un supporto ed il relativo recupero, generalmente non incontra particolari intoppi a meno di non trovare ostacoli per quello che riguarda la cifratura. Allo stato attuale non risulta possibile recuperare ad esempio dati cifrati con crittografia PGP, allo stesso modo tanti sanno che non è possibile recuperare dati cifrati con truecrypt. Gli strumenti di cifratura e la buona abitudine di proteggere certi dati non sono tuttavia consuetudini tanto diffuse da parte dell’utenza media, non tutti gli utenti adottano tecniche fuori dal comune sufficienti a proteggere i propri dati, tanti utenti non adottano alcuna tecnica affatto.
Nel settore del computer forensic sono relativamente nuovo, anzi direi di non avere esperienza se non per qualche base teorica e di studio personale, ma all’inizio della mia esperienza nel mondo dei compatibili IBM ricordo di esser passato da windows a linux nel giro di poco tempo installando una vecchia distribuzione e scoprendo l’esistenza del filesystem ext2 e della swap.
Successivamente, alle prime ricompilazioni del kernel, scoprivo l’esistenza di ulteriori filesystem e quindi sistemi operativi capaci di organizzare i dati secondo dei criteri diversi, lontani dalla usuale concezione a cui windows ci abitua. La conoscenza di altri sistemi operativi diversi da windows, inoltre, offre la possibilità di usare un pc per “fare altro”.
Ogni diversa organizzazione di dati su un supporto quindi non è detto che sia “comprensibile” da un altro sistema operativo, basti pensare che windows in condizioni di default (ma questo si capisce bene, per una scelta commerciale precisa) non riesce a leggere e scrivere partizioni ext3 di linux nonostante l’ormai enorme diffusione di questo sistema operativo.
Di fronte ad un supporto di archiviazione da dover analizzare, quindi, stabilire il filesystem può non essere immediato senza avere sufficienti strumenti.
Tuttavia, nella maggior parte dei casi gli investigatori si trovano davanti filesystem FAT/NTFS/ISO9660 con i dati che stanno cercando catalogati ordinatamente ed inoltre, usando software capaci di riconoscere e recuperare un buon numero di file, risparmiano una buona parte di lavoro non necessitando di una conoscenza tecnica approfondita.
Oltre tutto spesso l’indagato non prende rigide precauzioni riguardo l’occultamento dei dati sul supporto, talvolta a vantaggio di una più veloce e pratica modalità di accesso ai dati stessi, talvolta per non perdersi dietro a procedimenti di cifratura considerati noiosi, talvolta convinto di non correre alcun rischio, talvolta convinto di non compiere addirittura alcuna attività illecita.
Questo vale ovviamente per quanto concerne i casi per così dire più “semplici” e diffusi, riferiti a pedopornografia, pirateria informatica varia di basso profilo, casi in cui l’indagato magari non si preoccupa di adottare sofisticate tecniche di occultamento dei file.
Tutto diventa più difficile quando i reati sono più seri sotto il profilo tecnico, quando chi li compie possiede una conoscenza tecnica qualche gradino superiore e, mettendo in conto la possibilità di essere
scoperto, prende qualche precauzione considerevole riguardo l’archiviazione sicura dei dati.
Il riconoscimento di dati coerenti su un supporto ed il relativo recupero, generalmente non incontra particolari intoppi a meno di non trovare ostacoli per quello che riguarda la cifratura. Allo stato attuale non risulta possibile recuperare ad esempio dati cifrati con crittografia PGP, allo stesso modo tanti sanno che non è possibile recuperare dati cifrati con truecrypt. Gli strumenti di cifratura e la buona abitudine di proteggere certi dati non sono tuttavia consuetudini tanto diffuse da parte dell’utenza media, non tutti gli utenti adottano tecniche fuori dal comune sufficienti a proteggere i propri dati, tanti utenti non adottano alcuna tecnica affatto.