Gli investigatori che si occupano di attacchi informatici spesso hanno la necessità di viaggiare in lungo e in largo per raccogliere le prove direttamente dai computer infettati dagli attacchi informatici. Per superare questa necessità un esperto di Kaspersky Lab ha sviluppato uno strumento semplice che può acquisire da remoto tutti i dati importanti che riguardano l’attacco senza rischiare di contaminarli o di perderli. Si tratta di BitScout, un tool completo per l’investigazione forense da remoto dei sistemi live ed è gratuito per tutti gli investigatori.
Nella maggior parte degli attacchi informatici, gli utenti dei sistemi compromessi sono vittime di criminali non identificati. Le vittime di solito accettano di collaborare e di aiutare i ricercatori di sicurezza a trovare il vettore di infezione o altri dettagli sui criminali. Quella di dover percorrere lunghe distanze per raccogliere prove cruciali, come i campioni di malware provenienti da computer infetti, è già da tempo una preoccupazione per i ricercatori forensi poiché comporta ritardi nelle indagini e costi più alti. Più tempo è necessario per comprendere le dinamiche di un attacco, tanto più tempo sarà necessario prima che i criminali vengano identificati e gli utenti protetti. Tuttavia, le alternative richiedono tool costosi e una conoscenza approfondita per gestirli, oppure comportano il rischio di contaminare o perdere le prove nel passaggio da un computer all’altro.
Per risolvere il problema, Vitaly Kamluk, Director del Global Research and Analysis Team di Kaspersky Lab per l’area Asia Pacifica (APAC), ha creato uno strumento digitale open source che consente di raccogliere da remoto informazioni forensi cruciali, acquisire l’immagine del disco completo tramite la rete o attraverso lo storage collegato localmente o semplicemente assistere da remoto alla gestione degli incidenti malware. Le prove possono essere visualizzate e analizzate sia da remoto che localmente mentre l’archiviazione dei dati di origine rimane intatta grazie ad un affidabile isolamento container-based.
“La necessità di analizzare gli incidenti di sicurezza nel modo più efficiente e rapido possibile è sempre più importante in quanto i criminali informatici sono sempre più abili e attenti. Ma anche la rapidità a tutti i costi non è una risposta. È importante assicurarsi che le prove non vengano contaminate e che le indagini quindi siano affidabili e i risultati possano essere attendibili per essere utilizzati in tribunale se necessario. Non ho trovato un tool che ci consentisse di ottenere tutto questo in modo semplice e gratuito, così ho deciso di crearne uno”, ha dichiarato Vitaly Kamluk, Director del Global Research and Analysis Team di Kaspersky Lab per l’area Asia in Asia Pacific (APAC).