I produttori di software per analisi forensi e investigazioni digitali stanno lavorando per mettere a punto uno standard per la gestione dei casi di informatica forense. L’obiettivo è definire un formato di immagini e di rappresentazione dei dati comune a tutti i tool e a prescindere dalla tipologia di reperto informatico, in modo tale da rendere interoperabili i dati trattati da sistemi diversi e da software diversi.
Sotto l’ombrello del Centro europeo per la lotta contro il cybercriminale (EC3) di Europol, alcuni esperti di digital forensics dell’Unione europea hanno chiesto l’adozione di un formato digitale comune, il Cyber-investigation Analysis Standard Expression (CASE).
I professionisti che si occupano di analisi in ambito digital forensics utilizzano quotidianamente software di vario tipo – a seconda che si operi in contesti di disk forensics, network forensics, mobile forensics e così via – al fine di acquisire, analizzare ed estrarre dati dai reperti informatici oggetto di investigazione.
Fino a oggi non esiste uno standard ufficiale; solo in ambito digital forensics il formato EWF, sviluppato da Guidance con Encase, rappresenta standard di fatto adottato anche da altri produttori di software. Il tema è critico in particolare nel settore della mobile forensics con la conseguenza che occorre disporre di un notevole numero di strumenti che svolgono operazioni simili tra loro. Inoltre, diversi formati creano anche difficoltà nei procedimenti giudiziari alle difese, imponendo ai consulenti tecnici di parte di disporre di ampia dotazione software per poter controesaminare i dati raccolti dall’accusa.
Il Cyber-Analysis Expression Standard
Il Cyber-Analysis Expression Standard (CASE) si propone di rendere omogeneo il formato dati in uso ai vari tool di digital forensics.
Il CASE è un formato standard sviluppato dalla comunità e definito come un profilo dell’Unified Cyber Ontology (UCO).
Le aziende che attualmente hanno dato disponibilità ad implementare lo standard sono Access data, Cellebrite, Guidance software, I2 – IBM, Magnet forensic, Mercure, MobilEdit, Network miner, Nuix, Oxygen, Volatility, XRY.
Si tratta senza dubbio di un progetto molto interessante per un settore dove i vari consulenti tecnici che operano non dispongono di tutti gli strumenti e molto spesso si trovano a dover intervenire in tempi molto rapidi rispetto ai tempi necessari per svolgere analisi accurate.
CASE è disponibile su GitHub.