giovedì 2 ottobre 2008

LA FAUNA DELLA COMPUTER FORENSICS

Di Admin (del 16/09/2008 @ 09:07:53, in Computer Forensics, linkato 207 volte)
Come si misura la competenza?
Negli ultimi tempi si è dibattuto parecchio su quello che serve per poter parlare, insegnare o operare nella computer forensics e a mio vedere sono uscite varie realtà:

A) I MEGALOMANI: prima solo di pronunciare le parole "computer forensics" devi:
1) Aver fatto un numero vicino al diametro di Giove di CTU e CTP! Scherzi a parte è un numero ed è sempre imprecisato....forse volutamente....se ne hai fatte 5,10, 100 non si sa ...c'è sempre quello che dice che son poche...la qualità di queste CT? Mha!...non conta...per questi della categoria A, contano solo le "misure" (potremmo ribattezzarli i pornodivi). 2) Devi aver dibattuto in tribunale, sempre per un numero di volte imprecisato, contro gli avvocati più temibili del pianeta, quelli clonati dalle cellule di Bill Gates e Linus Torvald, con un'iniezione di DNA di Perry Mason ed un pò di DNA di cane lupo, insomma figure mitologiche o estremamente rare.
3) Devi aver fatto anni ed anni (sempre per un numero imprecisato) di apprendistato con i grandissimi (grandi è troppo poco) della CF, in pratica quei 4 gatti più famosi, che dovrebbero aprirsi un residence per ospitare tutti i loro apprendisti....ah certo se fai affiancamento ad uno NON conosciuto dai MEGALOMANI, non hai fatto niente....perchè anche chi lavora da anni nel settore non è nessuno se non è "riconosciuto" da uno di loro.
4) Devi aver pranzato, cenato e preso l'aperitivo con un numero imprecisato di PM! Attenzione non basta parlare coi PM, bisogna avere quasi un rapporto intimo, per potersi fregiare di essere un CT completo.
5) Per concludere, devi avere qualche certificazioncina internazionale, completamente inutile, ma che fa tanto fico!

B) I SUPERFICIALI:
1) Categoria diffusissima specialmente in Italia, loro prendono tutto, insegnano, prendono le CT, ne hanno anche tante (per la felicità dei megalomani), ma magari non sanno nemmeno cos'è un codice hash o che il copia ed incolla non è "forense".
2) Loro hanno sempre a che fare con questi "rarissimi" (ironico) AVVOCATI normali, che non capiscono una mazza di Best Practices. e di informatica e che le loro perizie non le contestano mai.
3) Sono tantissimi e spesso si rivolgono ai Megalomani o agli Studiosi (categoria che vedremo in seguito), per chiedere consigli.
4) Tendono spesso ad usare i tool di c.f. più semplici e più costosi, ma di fronte a parole come "offset", ti guardano in maniera interrogativa.

C) GLI STUDIOSI:
1) Categoria poco diffusa, composta da persone che hanno varie esperienze informatiche, hanno studiato molto, usano le best practices e quello che hanno fatto o detto è sempre stato circostanziato e dimostrato o dimostrabile.
2) Hanno poche consulenze, dovute non ad imperizia, ma a opportunità della vita, però quelle poche son sempre state fatte con tutti i crismi e qualità.
3) Hanno la passione per la divulgazione, scrivono sul web, nei forum, sui magazine cartacei, magari si autopubblicano ed hanno un feedback positivo da tantissima gente.
4) In genere non dicono o scrivono cose inesatte (per quanto sempre esseri umani sono), però vengo attaccati dalla cat. A (i megalomani), senza motivi reali o tecnico/scientifici.
5) Già il fatto di aver studiato, scritto, fatto delle CT, ecc. li differenzia da moltissimi altri informatici comuni, NON è da tutti farsi pubblicare sulle riviste, anche se in certi settori ristretti semba essere una cosa normale....Loro per tutto il resto del mondo, e sono tante persone, sono degli esempi, perchè tanti sono informatici, ma pochi hanno fatto anche UNA sola CT o hanno pubblicato qualcosa.
6) Hanno sempre un gran successo quando parlano in pubblico o insegnano, sempre feedback positivi da parte di pubblico eterogeneo, non vengono quasi mai attaccati sui FATTI, ma sempre su concetti fumosi.
7) I loro nemici giurati sono i megalomani, quest'ultimi non sopportano, che qualcuno, che non faccia parte del loro giro, sia ammirato, senza essere mai stato nemmeno una volta a cena con Brian Carrier.....ma che scandalo!Ah però se Brian Carrier o Grundy fanno al "paria" dei complimenti....i megalomani glissano su questo... ;)

CONCLUSIONE:

La computer forensics in Italia è variegata, è fatta da tante realtà diverse, spesso cambiano da procura a procura di città in città.
Alla fine, quelli della categoria B sono quelli che vanno meglio di tutti, lavorano tanto, sono nell'ombra, attingono dalle categorie A e C e nessuno li critica.
Sì perchè quelli della categoria A tendono ad attaccare ferocemente quelli della C, ma a dare dei buffetti paterni a quelli della B, che invece dovrebbero incarnare tutto ciò che loro odiano. Ma chissà cosa odiano realmente quelli della A, forse odiano chi diventa più popolare di loro e non chi fa REALMENTE male il lavoro di CT.

Penso che se uno segue, con rigore scientifico e passione le best practices, si tiene sempre aggiornato, si mantiene sempre sul tecnico, sarà un buon CT, a prescindere dal numero delle sue consulenze....i bit non chiedono i curricula....e l'esperienze sono sempre diverse!
Uno può aver fatto 100 CT a cercar file JPG cancellati....ed un'altro ne ha fatte 5 tutte diverse, tutte con problematiche difficili da risolvere....chi vale di più? Uno può anche non averne fatta nemmeno una di CT però studia e simula nei propri laboratori le casistiche più comuni e quelle più strane....alla fine se riesce ad estrarre i dati da un hard disk di un amico o del proprio laboratorio (chiaramente applicando le best practices), perchè non dovrebbe riuscirci durante una CT? (parlo di un discorso squisitamente tecnico)
Il metodo quello è!
RICORDIAMO che la computer forensics è una disciplina INTELLETTUALE e non sportiva.....l'allenamento e l'esperienza si fanno STUDIANDO, anche da casi gestiti da altri, fa tutto bagaglio di esperienza, magari da sfruttare quando ci si troverà in casi similari.....è tutto nella mente, non nei muscoli!

Nessun commento: