DIM-AM DIM-AM
Parlando di acquisizione dei dischi, molto spesso si riduce l’argomento all'acquisizione locale di un disco. È facile immaginare che non avendo a disposizione localmente un disco su cui riversare la copia è praticamente impossibile fare un’acquisizione locale. Ed è anche utile considerare come l’acquisizione non vada vincolata ai soli dischi fissi ma anche all’acquisizione di dati volatili come possono essere quelli contenuti nella RAM al momento del sequestro del PC. Esistono diversi tool che permettono di acquisire dischi rigidi o di fare il dump della RAM, tuttavia però questi compiti vengono suddivisi in tool diversi ed è difficile trovare uno strumento che integri al suo interno tutte le funzioni che abbracciano in modo completo l’argomento dell’acquisizione.
Il DIM-AM non necessita di DIM per funzionare.
A questo scopo è nato il D.I.M. A.M. (Digital Investigation Manager Acquisition Module). È un modulo software progettato per interfacciarsi con il D.I.M. per facilitare l'acquisizione di fonti di prova digitali.
Il D.I.M.-A.M. si pone l’obiettivo di interfacciarsi con diverse famiglie di write blocker presenti sul mercato e grazie all'utilizzo di binari Open Source trusted permette la copia bitstream di dispositivi fisici quali:
- HDD
- Ide,
- Sata,
- Scsi
- Usb.
Vista la parte “hardware” del modulo di acquisizione ora possiamo analizzare le diverse funzioni che il D.I.M.-A.M. implementa. La più elementare è la copia locale di un disco collegato al computer in uso.
Il modulo di acquisizione in esame rende, inoltre possibile la copia in remoto, acquisendo dunque l'immagine di un disco collegato ad una workstation remota.
Le funzioni elencate finora riguardano la parte classica dell’acquisizione, ossia l’acquisizione di un disco rigido. Per fornire quindi una completa suite di strumenti utili e indispensabili per l’acquisizione sono state inserite altre utilità. Dovendo scrivere un'immagine di dispositivo all'interno di un altro disco è prassi effettuare una “formattazione” sicura dei dati presenti su esso, ecco che è stato introdotto lo strumento di wiping dei dischi il cui scopo è di cancellare in modo più approfondito e irreversibile il contenuto logico di un dispositivo di memorizzazione di massa.
Un altro utile strumento implementato è il dump della RAM che permette di salvare tutto il contenuto volatile della memoria di sistema in un file che può essere successivamente analizzato. Infine, ovviamente non per importanza, la gestione degli Hash è automatica come il logging delle azioni dell'utente, tutto viene registrato per permettere una futura documentazione completa e approfondita.
La fase di acquisizione ha subito un testing preliminare seguendo le caratteristiche specificate dal NIST per validare gli strumenti di computer forensic, in questo modo stabilità e precisione sono state testate con molte ore di prove garantendo così un affidabilità comparabile con i più severi controlli esistenti al mondo per questo tipo di software. Dal momento che l’end-user del modulo non è un PC ma è un utente, è stato progettato per essere User-Friendly, presenta un wizard di facile comprensione che passo passo indirizza l'utente in una copia Forensically Compliant. Infine, essendo D.I.M.-A.M. integrato nella suite D.I.M., permette un veloce passaggio di dati dalla fase di acquisizione a quella di organizzazione e di documentazione tipica di D.I.M.. Dopo un'acquisizione è infatti possibile importare in modo automatico i dati del disco acquisito nel database.