Gabriele “Charlie” Guizzardi

Sono affascinato dall’informatica forense, cerco sempre di documentarmi il più possibile su tutti i metodi usati per raccogliere informazioni dentro un PC. Un pò ovviamente contagiato dalle numerose perizie usate nei processi che tanto i telegiornali esaltano. Non sono un esperto della materia, solo un fan, però devo dire che più la studio più ne resto deluso da un certo punto di vista. Deluso perché ci si aspetterebbe una certa infallibilità e invece, dire se una persona stava realmente usando un PC oppure no, non è possibile con esattezza e quindi non capisco come le prove raccolte possano essere usate con assoluta assenza di dubbi in un processo.

Per esempio, una delle attività che si controllano in un PC Windows è quella dell’EventLog (http://support.microsoft.com/kb/308427) che possiamo vedere usando gli Strumenti di amministrazione da Pannello di controllo. Questo registro / database riporta l’attività del computer suddivisa per categorie. Software esterni possono creare la propria categoria in modo da registrare la loro attività dentro l’EventLog.

Ma, se questo è possibile, è anche possibile scrivere quello che si vuole e quando lo si vuole, ecco che chiunque può allora realizzare un programma che scriva una certa attività di sistema in un certo momento. Chi leggerà i log delle attività vedrà che ad una data ora c’è stata una certa attività e penserà quindi che qualcuno stava usando il PC ed invece non è vero.

Per dimostrare questa cosa ho scritto un piccolo programmino in VB2005 che ha una funzione specifica per scrivere nell’EventLog nata con il linguaggio .NET: EventLog(). Con questa funzione si possono modificare tutti i principali campi dell’EventLog scrivendoci dentro quello che vogliamo. Se al mio programmino si aggiunge un timer per automatizzare la cosa ecco che potremo fare in modo che ad un certo orario, nel PC, risulti una certa attività mentre in realtà questa non vi è stata.

Per esempio se scriviamo come Event ID il valore 6006 indichiamo che l’EventLog è stato arrestato (si suppone uno spegnimento del sistema) mentre con 6005 viene indicato il riavvio di EventLog (quindi un riavvio di sistema). Date un occhio a questo piccolo riferimento di Microsoft anche se tradotto malissimo: http://support.microsoft.com/kb/196452.

E’ ovvio che il controllo dell’attività di un PC non si ferma al log di sistema, ci sono decine di controlli e informazioni da recuperare ma se è possibile manipolarle, anche le altre informazioni possono non essere così attendibili.

A voi, adesso, usare la cosa come meglio credete.

   Invia l'articolo in formato PDF a