Nella maggior parte degli attacchi informatici, gli utenti dei sistemi compromessi sono vittime di criminali non identificati. Le vittime di solito accettano di collaborare e di aiutare i ricercatori di sicurezza a trovare il vettore di infezione o altri dettagli sui criminali. Quella di dover percorrere lunghe distanze per raccogliere prove cruciali, come i campioni di malware provenienti da computer infetti, è già da tempo una preoccupazione per i ricercatori forensi poiché comporta ritardi nelle indagini e costi più alti. Più tempo è necessario per comprendere le dinamiche di un attacco, tanto più tempo sarà necessario prima che i criminali vengano identificati e gli utenti protetti. Tuttavia, le alternative richiedono tool costosi e una conoscenza approfondita per gestirli, oppure comportano il rischio di contaminare o perdere le prove nel passaggio da un computer all’altro.
Per risolvere il problema, Vitaly Kamluk, Director del Global Research and Analysis Team di Kaspersky Lab per l’area Asia Pacifica (APAC), ha creato uno strumento digitale open source che consente di raccogliere da remoto informazioni forensi cruciali, acquisire l’immagine del disco completo tramite la rete o attraverso lo storage collegato localmente o semplicemente assistere da remoto alla gestione degli incidenti malware. Le prove possono essere visualizzate e analizzate sia da remoto che localmente mentre l’archiviazione dei dati di origine rimane intatta grazie ad un affidabile isolamento container-based.
“La necessità di analizzare gli incidenti di sicurezza nel modo più efficiente e rapido possibile è sempre più importante in quanto i criminali informatici sono sempre più abili e attenti. Ma anche la rapidità a tutti i costi non è una risposta. È importante assicurarsi che le prove non vengano contaminate e che le indagini quindi siano affidabili e i risultati possano essere attendibili per essere utilizzati in tribunale se necessario. Non ho trovato un tool che ci consentisse di ottenere tutto questo in modo semplice e gratuito, così ho deciso di crearne uno”, ha dichiarato Vitaly Kamluk, Director del Global Research and Analysis Team di Kaspersky Lab per l’area Asia in Asia Pacific (APAC).
Gli esperti di Kaspersky Lab lavorano a stretto contatto con le forze dell’ordine in tutto il mondo per supportare l’analisi tecnica delle indagini relative al cyber crimine. Questo consente di avere una visione unica delle sfide che le forze dell’ordine affrontano quotidianamente nel tentativo di contrastare il moderno crimine informatico. Lo scenario della sicurezza informatica è sempre più complesso e sofisticato al punto che gli investigatori necessitano di strumenti che possano adattarsi alle esigenze del proprio lavoro. BitScout è un buon esempio. Può essere adattato alle particolari esigenze di un investigatore e migliorato e aggiornato con funzionalità aggiuntive e software personalizzati. Cosa più importante è che si tratta di un tool gratuito, basato su soluzioni open source ed è completamente trasparente: invece di affidarsi a strumenti di terze parti con codice proprietario, gli esperti possono utilizzare il codice open source di BitScout per costruire il proprio tool completo per l’indagine forense digitale.
Le funzionalità di BitScout includono:
- Acquisizione di immagini disco anche con uno staff non qualificato
- Formazione delle persone on-the-go (sessione condivisa dei view-only terminal)
- Trasferimento di frammenti complessi di dati al proprio laboratorio per un’ispezione più approfondita
- Esecuzione delle Yara rule e scansione antivirus da remoto su sistemi offline (indispensabile contro i rootkit)
- Ricerca e visualizzazione di chiavi di registro (autorun, servizi, dispositivi USB collegati)
- File carving da remoto dei file (recupero di file eliminati)
- Ripristino del sistema remoto se l’accesso è autorizzato dal proprietario
- Scansione remota di altri nodi di rete (utile per la risposta remota degli incidenti)
