Crimine informatico e informatica forense: Principi, pratiche e algoritmi moderni

Titolo originale:

Cyber Crime and Forensic Computing: Modern Principles, Practices, and Algorithms

Contenuto del libro:

Questo libro presenta uno studio completo dei diversi strumenti e delle tecniche disponibili per eseguire le indagini forensi di rete. Inoltre, vengono esaminati i vari aspetti della network forensics, le tecnologie correlate e i loro limiti. Questo aiuta i professionisti e i ricercatori della sicurezza a comprendere meglio il problema, l'attuale spazio di soluzione e l'ambito di ricerca futuro per rilevare e indagare le varie intrusioni di rete contro tali attacchi in modo efficiente. L'informatica forense sta rapidamente acquisendo importanza, poiché la quantità di crimini che coinvolgono i sistemi digitali è in costante aumento. Inoltre, questo settore è ancora poco sviluppato e pone molte sfide tecniche e legali. Il rapido sviluppo di Internet nell'ultimo decennio sembra aver favorito un aumento degli episodi di attacchi online. Sono molte le ragioni che spingono gli aggressori a portare a termine gli attacchi senza paura. Ad esempio, la velocità con cui è possibile effettuare un attacco, l'anonimato fornito dal mezzo, la natura del mezzo in cui le informazioni digitali vengono rubate senza che vengano effettivamente rimosse, la maggiore disponibilità di potenziali vittime e l'impatto globale degli attacchi sono alcuni degli aspetti. L'analisi forense viene eseguita a due livelli diversi: Computer Forensics e Network Forensics.

La computer forensics si occupa della raccolta e dell'analisi dei dati provenienti da sistemi informatici, reti, flussi di comunicazione e supporti di memorizzazione in modo ammissibile in un tribunale. La scienza forense delle reti si occupa dell'acquisizione, della registrazione o dell'analisi di eventi di rete al fine di scoprire informazioni probanti sulla fonte degli attacchi alla sicurezza in un tribunale. La network forensics non è un altro termine per indicare la sicurezza di rete. Si tratta di una fase estesa della sicurezza di rete, poiché i dati per l'analisi forense vengono raccolti da prodotti di sicurezza come firewall e sistemi di rilevamento delle intrusioni. I risultati dell'analisi dei dati vengono utilizzati per indagare sugli attacchi. L'analisi forense di rete si riferisce generalmente alla raccolta e all'analisi dei dati di rete, come il traffico di rete, i registri del firewall, i registri IDS, ecc. Tecnicamente, fa parte del campo già esistente e in espansione della digital forensics.

Analogamente, la network forensics è definita come "l'uso di tecniche scientificamente provate per raccogliere, fondere, identificare, esaminare, correlare, analizzare e documentare prove digitali provenienti da fonti digitali multiple, che elaborano e trasmettono attivamente, allo scopo di scoprire fatti relativi all'intento pianificato o al successo misurato di attività non autorizzate volte a interrompere, corrompere o compromettere i componenti del sistema, nonché di fornire informazioni per assistere nella risposta o nel recupero da queste attività". La scienza forense di rete svolge un ruolo significativo nella sicurezza delle organizzazioni odierne. Da un lato, aiuta a conoscere i dettagli degli attacchi esterni, assicurando che simili attacchi futuri vengano sventati. Inoltre, le analisi forensi di rete sono essenziali per indagare sugli abusi degli insider, che costituiscono il secondo tipo di attacco più costoso all'interno delle organizzazioni. Infine, le forze dell'ordine necessitano di indagini forensi di rete per i crimini in cui un computer o un sistema digitale è l'obiettivo di un crimine o viene usato come strumento per perpetrare un crimine. La sicurezza di rete protegge il sistema dagli attacchi, mentre la scienza forense di rete si concentra sulla registrazione delle prove dell'attacco. I prodotti per la sicurezza di rete sono generalizzati e cercano possibili comportamenti dannosi. Questo monitoraggio è un processo continuo e viene eseguito durante tutto il giorno.

Tuttavia, la scienza forense di rete comporta un'indagine post mortem dell'attacco e viene avviata dopo la notifica del crimine. Esistono molti strumenti che aiutano a catturare i dati trasferiti sulle reti in modo da poter indagare su un attacco o sull'intento malevolo delle intrusioni. Allo stesso modo, in letteratura sono stati proposti diversi framework di network forensic.