ISBN: 0470038624
Autori: Chad Steel
Editore: Wiley Publishing
Lingua: Inglese
Anno: 2006
Pagine: XV+382
Allegati: Nessuno

Se in genere vi sono pochi libri che si occupano di sicurezza informatica in ambiente Windows, ancora meno sono quelli che trattano specificatamente il tema della Computer Forensics in casa Microsoft. Fortunatamente esistono delle eccezioni e, se siete alla ricerca di rarità di questo genere, Windows Forensics è quello che fa per voi.

L’organizzazione del testo è ben concepita e questo è senza dubbio merito anche dell’incredibile esperienza nel settore dell’autore, sia investigativa che didattica. Il libro, è suddiviso idealmente in due sezioni, che coprono rispettivamente il background teorico e le applicazioni pratiche. La prima è costituita dai sei capitoli iniziali: Windows Forensics, Processing the Digital Crime Scene, Windows Forensics Basics, Partitions and File Systems, Directory Structure and Special Files e The Registry. Essi si propongono di fornire una panoramica generale su quei dettagli del sistema operativo Windows che hanno una maggiore rilevanza nella comprensione delle tecniche forensi.

Windows Forensics, ha una finalità puramente introduttiva ed illustra i concetti basilari spiegando a grandi linee cosa sia la Computer Forensics (con cenni alla più specifica Windows Forensics), in cosa consista un’analisi investigativa e come si debba organizzare (persone da coinvolgere, policy, strumenti specifici) un’azienda specializzata in questo settore.

Il secondo capitolo, Processing the Digital Crime Scene, si preoccupa di porre in evidenza gli elementi legati a quella che, seppur digitale, è in ogni caso definita scena del crimine. Sono discussi gli strumenti telematici che potrebbero contenere informazioni investigative utili: i computer, i dispositivi di rete (switch, router, firewall, ecc.), i log contenuti nei server coinvolti, oltre che, naturalmente, i device elettronici più comuni (floppy, CD, ecc.). I paragrafi che seguono costituiscono una descrizione di come si debba procedere dopo l’individuazione delle apparecchiature interessate, dall’acquisizione dei dati alla documentazione del caso.

Windows Forensics Basics illustra l’evoluzione del sistema operativo Windows, per poi concentrarsi sulla descrizione delle forme d’immagazzinamento dati non volatili, ovvero: Floppy Disk, nastri magnetici, CD e DVD, USB Flash Drive e Hard Disk.

I capitoli Partitions and File Systems, Directory Structure and Special Files e The Registry si concentrano maggiormente sul sistema operativo in sé. Sono trattati, da un punto di vista prettamente forense: il Master Boot Record, i file system, le directory, i file e le chiavi più rilevanti che sono presenti nel registro di Windows.

La seconda sezione del libro è incentrata sull’analisi ed, in particolare, si serve del background affrontato precedentemente per mostrare in cosa consista una vera attività investigativa. Il settimo capitolo consiste proprio in una panoramica sulle finalità di questa parte specifica.

Live System Analysis è il capitolo relativo all’analisi del sistema operativo prima che esso subisca uno shutdown. Questa tecnica permette di raccogliere dati sui programmi in esecuzione e gli utenti loggati, sulle connessioni di rete attivate e di poter utilizzare al meglio le informazioni presenti nella RAM.

Forensics Duplication tratta un argomento fondamentale, quanto utopico: la riproduzione completa dei dati contenuti in dispositivo hardware senza alterarne alcuno stato. A tale proposito sono analizzate alcune tecniche relative ai device più comuni.

Il decimo capitolo, File System Analysis, si propone di considerare in modo talvolta generico, e non relativo unicamente al sistema operativo Windows, le tecniche che permettono di operare una buona analisi sulle evidenze investigative presenti nell’hard disk. E’ presente anche un’introduzione all’Hash Analysis.

Log File Analysis affronta l’argomento differenziando tra Event Log (a loro volta ripartiti tra application log, system log e security log) ed Internet Log, che rappresentano invece le informazioni relative alle connessioni d’accesso a determinati servizi web (HTTP, FTP, SMTP, ecc.).

Internet Usage Analysis si preoccupa di spiegare come tracciare l’utilizzo di internet su un determinato PC; attività importante da porre poi in relazione alla policy che ne determina il corretto impiego.

Infine, Email Investigations, considera specificatamente il caso delle comunicazioni che avvengono tramite le e-mail. A tale proposito l’autore si riferisce in modo esplicito ad alcuni dei client disponibili: Outlook/Outlook Express e Lotus Notes.

Seguono sette utili appendici che contengono alcuni dati interessanti (perlopiù dettagli tenici), nonché un esempio di checklist utilizzata nelle investigazioni in computer forensics.

Sono presenti numerosi case study ed approfondimenti che costituiscono un intermezzo gradevole tra un argomento e l’altro. Inoltre i singoli capitoli sono correlati da immagini, tabelle ed esempi concreti, che ne aumentano la chiarezza. Un libro in definitiva accessibile ad una cerchia estesa di utenti ed uno dei pochi a trattare questo tema.

Non è presente un sito di riferimento per l’errata corrige e le risorse proposte alla fine di ogni capitolo sono talvolta irreperibili a causa di link non più disponibili. Le informazioni contenute nell’intero libro sono tranquillamente rintracciabili in rete, seppur non in forma così compatta (bisogna armarsi di pazienza); alcuni argomenti sono poco approfonditi, quindi il target non è elevato.