L’analista forense è una professione cruciale nell'era di Internet e può diventare un percorso di carriera gratificante e lucrativo.

Definizione di Analisi Forense

L’analisi forense, a volte anche chiamata analisi forense digitale, è l'applicazione di tecniche di investigazione scientifica di crimini e attacchi digitali. 

Jason Jordaan, principale scienziato forense presso DFIRLABS, definisce la Forensic Analysis come "l'identificazione, la conservazione, l'esame e l'analisi delle prove digitali, utilizzando un processo scientificamente accettato e convalidato, e la presentazione finale di tali prove in tribunale"

Questa è una definizione piuttosto esaustiva, anche se c'è un “ma”: il termine viene talvolta usato per descrivere qualsiasi tipo di indagine sugli attacchi informatici, anche quando il sistema giudiziario non sono coinvolti. E gli specialisti di analisi forense lavorano sia nel settore pubblico che in quello privato. Andrea Covino, analista forense di Fata informatica e docente di analisi forense fornisce una descrizione più generalizzata: "La figura dell’analista forense si è evoluta nel tempo, ora gli analisti forensi sono chiamati ad operare ogni volta che si verifica una violazione, e lavorano per identificare l'attacco, capirne la fonte e recuperare tutti i dati compromessi. Spesso quest’attività viene fatta all’interno di team di incidente response in di SOC o CERT e non necessariamente sempre in affiancamento all’autorità giudiziaria."

Come viene utilizzata nelle indagini l’Analisi Forense

Ci sono una serie di modelli di Analisi forense che definiscono in che modo i forensic analyst devono procedere nella loro ricerca per raccogliere e analizzare le prove. Benché essi possano variare, la maggior parte dei processi seguono quattro passi fondamentali:

•    Collezione: l’acquisizione delle prove digitali. Questo processo spesso comporta il sequestro di beni fisici come computer, telefoni o hard disk; bisogna stare particolarmente attenti a non perdere o danneggiare alcun dato. In questa fase si può fare la copia di determinati strumenti di archiviazione, al fine di mantenere gli originali come prove d’esempio. 

•    Esame: fase in cui vengono utilizzati vari metodi per identificare ed estrarre i dati. Questo processo può essere ulteriormente suddiviso in preparazione, estrazione e identificazione. Si può decidere di trattare con un sistema “dal vivo” (per esempio, accendendo un computer portatile sequestrato) o morto (per esempio, collegando un disco rigido sequestrato a un computer di laboratorio). Con “Identificazione” si intende determinare se singole parti di dati sono rilevanti per il caso in questione – possono anche essere presenti limitazioni.

•    Analisi: fase in cui i dati raccolti vengono utilizzati per provare (o confutare!) il caso in fase di costruzione da parte degli esaminatori. Per ogni elemento relativo ai dati, gli esaminatori risponderanno alle domande di base su di esso - chi lo ha creato? chi lo ha modificato? come è stato creato? Quando è successo tutto questo? - e tentare di determinare la connessione al caso.

•    Rapporto: i dati e l'analisi sono sintetizzati in un formato comprensibile ai non addetti ai lavori. Essere in grado di creare tali rapporti è un'abilità assolutamente cruciale per chiunque sia interessato alla scienza forense digitale.

Strumenti utilizzati

Qualsiasi analista forense ha a disposizione una vasta gamma di strumenti. Da una parte troviamo gli strumenti open source monouso come il packet sniffer Wireshark o Hashkeeper, un programma gratuito che aiuta a velocizzare l'esame dei file di database; dall'altra, ci sono potenti software commerciali con molteplici funzioni e funzionalità di reportistica come Encase, o CAINE, un'intera distribuzione Linux dedicata al lavoro forense.

Suddividiamo strumenti in una serie di categorie auto esplicative:

• Strumenti di acquisizione dati e dischi

• Visualizzatori di file

• Strumenti di analisi dei file

• Strumenti di analisi del registry

• Strumenti di analisi di Internet

• Strumenti di analisi e-mail

• Strumenti di analisi dei dispositivi mobili

• Strumenti forensi di rete

• Strumenti di database forense

Lavori nell’analisi forense

I lavori nel campo dell’indagine forense tendono ad avere titoli come "investigatore", "tecnico" o "analista", a seconda del livello di anzianità e specializzazione. La maggior parte dei posti di lavoro nel settore digitale forense si trovano nel settore pubblico - nelle forze dell'ordine, per le agenzie statali o nazionali, o per i laboratori di criminalistica.

Tuttavia, le grandi aziende stanno iniziando a gestire i propri laboratori, creando un altro percorso redditizio per i professionisti della digital forensics. 

Certificazioni di Analisi Forense

In principio, gli analisti forensi provenivano da uno sfondo informatico più generale, e spesso erano amministratori di sistemi esperti che erano già a loro agio con molti degli strumenti di base utilizzati nell’analisi forense. Tuttavia, in linea con la crescente specializzazione all'interno del settore, per poter operare in questo settore è sempre più richiesta una certificazione che attesti specifiche competenze.

In Fata Informatica lavoriamo nel campo della IT security dal 1994, conosciamo bene cosa richiede il mercato e come bisogna lavorare in questo settore.  

Nel 2018 abbiamo deciso di mettere sul mercato il corso Certified Professional Forensic Analyst che è finalizzato alla creazione dello specialista di analisi forensi, che all'interno dei team di sicurezza coordina e gestisce i processi di raccolta dati e di successiva analisi.

Il corso comprende: video lezione in e-learning, corso fruibile h24, esercitazioni e laboratori, materiale scaricabile online ed esame finale con certificazione CPFA ed è tenuto da Andrea Covino.

Tweet