2009 10-21 effetto-csi

54
Effetto CSI: Davide Gabrini Digital Forensic Jedi SMAU Academy sikurezza.org Milano, 21.10.2009 Introduzione Scienza Fantascienza Image forensics Enhancement Identificazione Autenticazione On-site On-line Data recovery Contatti leggende e realtà delle indagini digitali SMAU 2009 - Milano, 21.10.2009

description

Talk tenuto presso SMAU 2009 sull'Effetto CSI: l'analisi forense e le indagini digitali tra

Transcript of 2009 10-21 effetto-csi

Page 1: 2009 10-21 effetto-csi

Effetto CSI:

Davide GabriniDigital Forensic Jedi

SMAU Academy

sikurezza.orgMilano, 21.10.2009

Introduzione

Scienza

Fantascienza

Image forensicsEnhancement

Identificazione

Autenticazione

On-site

On-line

Data recovery

Contatti

leggende e realtà delle indagini digitali

SMAU 2009 - Milano, 21.10.2009

Page 2: 2009 10-21 effetto-csi

Effetto CSI:

Davide GabriniDigital Forensic Jedi

SMAU Academy

sikurezza.orgMilano, 21.10.2009

Introduzione

Scienza

Fantascienza

Image forensicsEnhancement

Identificazione

Autenticazione

On-site

On-line

Data recovery

Contatti

leggende e realtà delle indagini digitali

Chi vi parla

Davide ‘Rebus’ GabriniPer chi lavoro non è un mistero.Oltre a ciò:

Consulente tecnico e Perito forense Docente di sicurezza informatica e

computer forensics per Corsisoftware srlCome vedete non sono qui in divisa

Page 3: 2009 10-21 effetto-csi

Effetto CSI:

Davide GabriniDigital Forensic Jedi

SMAU Academy

sikurezza.orgMilano, 21.10.2009

Introduzione

Scienza

Fantascienza

Image forensicsEnhancement

Identificazione

Autenticazione

On-site

On-line

Data recovery

Contatti

leggende e realtà delle indagini digitali

Effetto CSI Con il termine "effetto CSI" si fa

riferimento al modo in cui alcune serie televisive di successo hanno cambiato la percezione che la gente comune ha verso la medicina forense e le perizie scientifiche in generale, alzando le aspettative e richiedendo la stessa qualità di risultati che si può apprezzare in televisione.

(più o meno preso da Wikipedia)

Uno dei campi interessati dal fenomeno è ovviamente quello dell'informatica forense

Page 4: 2009 10-21 effetto-csi

Effetto CSI:

Davide GabriniDigital Forensic Jedi

SMAU Academy

sikurezza.orgMilano, 21.10.2009

Introduzione

Scienza

Fantascienza

Image forensicsEnhancement

Identificazione

Autenticazione

On-site

On-line

Data recovery

Contatti

leggende e realtà delle indagini digitali

La computer forensics è la disciplina che si occupa della

preservazione, dell'identificazione, dello studio, della documentazione

dei computer, o dei sistemi informativi in generale, al fine di evidenziare l’esistenza di prove

nello svolgimento dell’attività investigativa.

(A.Ghirardini: “Computer forensics” – Apogeo)

L’obiettivo è dunque quello di evidenziare dei fatti pertinenti l’indagine da sottoporre a giudizio

Computer Forensics

Page 5: 2009 10-21 effetto-csi

Effetto CSI:

Davide GabriniDigital Forensic Jedi

SMAU Academy

sikurezza.orgMilano, 21.10.2009

Introduzione

Scienza

Fantascienza

Image forensicsEnhancement

Identificazione

Autenticazione

On-site

On-line

Data recovery

Contatti

leggende e realtà delle indagini digitali

Necessità di una metodologia scientifica Nuova specilizzazione di polizia scientifica Pervasività delle tecnologie digitali Loro implicazione in attività delittuose

Lo strumento informatico come mezzo Lo strumento informatico come fine

Nonostante la pervasività, il reale funzionamento della tecnologia resta ai più misterioso

Le tracce digitali possono avere una natura estremamente delicata, che richiede competenze specifiche per la trattazione

Page 6: 2009 10-21 effetto-csi

Effetto CSI:

Davide GabriniDigital Forensic Jedi

SMAU Academy

sikurezza.orgMilano, 21.10.2009

Introduzione

Scienza

Fantascienza

Image forensicsEnhancement

Identificazione

Autenticazione

On-site

On-line

Data recovery

Contatti

leggende e realtà delle indagini digitali

Scopi di un’analisi forense

Confermare o escludere un evento Individuare tracce e informazioni utili

a circostanziarlo Acquisire e conservare le tracce in

maniera idonea, che garantisca integrità e non ripudiabilità

Interpretare e correlare le evidenze acquisite

Riferire con precisione ed efficienza

Page 7: 2009 10-21 effetto-csi

Effetto CSI:

Davide GabriniDigital Forensic Jedi

SMAU Academy

sikurezza.orgMilano, 21.10.2009

Introduzione

Scienza

Fantascienza

Image forensicsEnhancement

Identificazione

Autenticazione

On-site

On-line

Data recovery

Contatti

leggende e realtà delle indagini digitali

Cosa NON è

Fantascienza televisiva: CSI, NCIS, Criminal Minds, RIS ecc. propinano solitamente boiate

…e al cinema è anche peggio ;-)

Anche gli organi di informazione (non del settore) spesso instillano convinzioni del tutto infondate…

Page 8: 2009 10-21 effetto-csi

Effetto CSI:

Davide GabriniDigital Forensic Jedi

SMAU Academy

sikurezza.orgMilano, 21.10.2009

Introduzione

Scienza

Fantascienza

Image forensicsEnhancement

Identificazione

Autenticazione

On-site

On-line

Data recovery

Contatti

leggende e realtà delle indagini digitali

Page 9: 2009 10-21 effetto-csi

Effetto CSI:

Davide GabriniDigital Forensic Jedi

SMAU Academy

sikurezza.orgMilano, 21.10.2009

Introduzione

Scienza

Fantascienza

Image forensicsEnhancement

Identificazione

Autenticazione

On-site

On-line

Data recovery

Contatti

leggende e realtà delle indagini digitali

Image forensics“Forensic image analysis is the application

of image science and domain expertise to interpret the content of an image or the image itself in legal matters” (SWGIT – www.fbi.gov)

Le principali discipline della Forensic Image Analysis includono:

FotogrammetriaComparazione fotograficaAnalisi dei contenutiAutenticazione dell’immagineIdentificazione della sorgente

Page 10: 2009 10-21 effetto-csi

Effetto CSI:

Davide GabriniDigital Forensic Jedi

SMAU Academy

sikurezza.orgMilano, 21.10.2009

Introduzione

Scienza

Fantascienza

Image forensicsEnhancement

Identificazione

Autenticazione

On-site

On-line

Data recovery

Contatti

leggende e realtà delle indagini digitali

CSI e lo zoom

Page 11: 2009 10-21 effetto-csi

Effetto CSI:

Davide GabriniDigital Forensic Jedi

SMAU Academy

sikurezza.orgMilano, 21.10.2009

Introduzione

Scienza

Fantascienza

Image forensicsEnhancement

Identificazione

Autenticazione

On-site

On-line

Data recovery

Contatti

leggende e realtà delle indagini digitali

CSI Miami e lo zoom 2

Page 12: 2009 10-21 effetto-csi

Effetto CSI:

Davide GabriniDigital Forensic Jedi

SMAU Academy

sikurezza.orgMilano, 21.10.2009

Introduzione

Scienza

Fantascienza

Image forensicsEnhancement

Identificazione

Autenticazione

On-site

On-line

Data recovery

Contatti

leggende e realtà delle indagini digitali

Cosa NON si può fare

Avete visto come si ingrandiscono le foto in film come Blade Runner o in serie come CSI e RIS?

Spiacente, ma la realtà, anche digitale, somiglia più a Blow Up…

Non si possono "creare" informazioni che non ci sono

Si possono però enfatizzare informazioni che non si vedono, ma ci sono

Page 13: 2009 10-21 effetto-csi

Effetto CSI:

Davide GabriniDigital Forensic Jedi

SMAU Academy

sikurezza.orgMilano, 21.10.2009

Introduzione

Scienza

Fantascienza

Image forensicsEnhancement

Identificazione

Autenticazione

On-site

On-line

Data recovery

Contatti

leggende e realtà delle indagini digitali

Evidenziazione dettagli

Immagini: www.hyperreview.net

Page 14: 2009 10-21 effetto-csi

Effetto CSI:

Davide GabriniDigital Forensic Jedi

SMAU Academy

sikurezza.orgMilano, 21.10.2009

Introduzione

Scienza

Fantascienza

Image forensicsEnhancement

Identificazione

Autenticazione

On-site

On-line

Data recovery

Contatti

leggende e realtà delle indagini digitali

Oggetto in movimento

Immagini: www.amped.it

Page 15: 2009 10-21 effetto-csi

Effetto CSI:

Davide GabriniDigital Forensic Jedi

SMAU Academy

sikurezza.orgMilano, 21.10.2009

Introduzione

Scienza

Fantascienza

Image forensicsEnhancement

Identificazione

Autenticazione

On-site

On-line

Data recovery

Contatti

leggende e realtà delle indagini digitali

Oggetto in movimento

Immagini: www.amped.it

Page 16: 2009 10-21 effetto-csi

Effetto CSI:

Davide GabriniDigital Forensic Jedi

SMAU Academy

sikurezza.orgMilano, 21.10.2009

Introduzione

Scienza

Fantascienza

Image forensicsEnhancement

Identificazione

Autenticazione

On-site

On-line

Data recovery

Contatti

leggende e realtà delle indagini digitali

Correzione prospettiva

Immagini: www.amped.it

Page 17: 2009 10-21 effetto-csi

Effetto CSI:

Davide GabriniDigital Forensic Jedi

SMAU Academy

sikurezza.orgMilano, 21.10.2009

Introduzione

Scienza

Fantascienza

Image forensicsEnhancement

Identificazione

Autenticazione

On-site

On-line

Data recovery

Contatti

leggende e realtà delle indagini digitali

Correzione prospettiva

Immagini: www.amped.it

Page 18: 2009 10-21 effetto-csi

Effetto CSI:

Davide GabriniDigital Forensic Jedi

SMAU Academy

sikurezza.orgMilano, 21.10.2009

Introduzione

Scienza

Fantascienza

Image forensicsEnhancement

Identificazione

Autenticazione

On-site

On-line

Data recovery

Contatti

leggende e realtà delle indagini digitali

Caccia al pedofilo

Anche manipolazioni più complesse potrebbero rivelarsi invertibili

Immagini: www.interpol.int

Page 19: 2009 10-21 effetto-csi

Effetto CSI:

Davide GabriniDigital Forensic Jedi

SMAU Academy

sikurezza.orgMilano, 21.10.2009

Introduzione

Scienza

Fantascienza

Image forensicsEnhancement

Identificazione

Autenticazione

On-site

On-line

Data recovery

Contatti

leggende e realtà delle indagini digitali

NO, mi dispiace, ma non si può:

…rimuovere il passamontagna dal volto del rapinatore,

…girare l’immagine “dall’altra parte” per vedere in faccia il tizio di spalle,

…girare attorno agli oggetti,…“allargare” l’inquadratura per vedere

dettagli fuori campo,…zoomare all’infinito,…recuperare i colori da un’immagine o

una ripresa in bianco e nero…

Page 20: 2009 10-21 effetto-csi

Effetto CSI:

Davide GabriniDigital Forensic Jedi

SMAU Academy

sikurezza.orgMilano, 21.10.2009

Introduzione

Scienza

Fantascienza

Image forensicsEnhancement

Identificazione

Autenticazione

On-site

On-line

Data recovery

Contatti

leggende e realtà delle indagini digitali

Page 21: 2009 10-21 effetto-csi

Effetto CSI:

Davide GabriniDigital Forensic Jedi

SMAU Academy

sikurezza.orgMilano, 21.10.2009

Introduzione

Scienza

Fantascienza

Image forensicsEnhancement

Identificazione

Autenticazione

On-site

On-line

Data recovery

Contatti

leggende e realtà delle indagini digitali

Identificazione device: ExIF

Immagine: www.tipiloschi.net

Page 22: 2009 10-21 effetto-csi

Effetto CSI:

Davide GabriniDigital Forensic Jedi

SMAU Academy

sikurezza.orgMilano, 21.10.2009

Introduzione

Scienza

Fantascienza

Image forensicsEnhancement

Identificazione

Autenticazione

On-site

On-line

Data recovery

Contatti

leggende e realtà delle indagini digitali

Identificazione device: DQT

Define Quantization Table (DQT)Matrici di quantizzazione utilizzate per la compressione JPEGOgni software che salva un JPEG lascia un'impronta che lo rende riconoscibileSi può riconoscere così se la foto proviene direttamente da una certa fotocamera o se è stata editata da un certo software

Page 23: 2009 10-21 effetto-csi

Effetto CSI:

Davide GabriniDigital Forensic Jedi

SMAU Academy

sikurezza.orgMilano, 21.10.2009

Introduzione

Scienza

Fantascienza

Image forensicsEnhancement

Identificazione

Autenticazione

On-site

On-line

Data recovery

Contatti

leggende e realtà delle indagini digitali

Strumenti per la lettura

Un buon hexeditor 010 editor

+ JPEG template

dqtmd5 JPEGsnoop Hachoir jpegquality

Page 24: 2009 10-21 effetto-csi

Effetto CSI:

Davide GabriniDigital Forensic Jedi

SMAU Academy

sikurezza.orgMilano, 21.10.2009

Introduzione

Scienza

Fantascienza

Image forensicsEnhancement

Identificazione

Autenticazione

On-site

On-line

Data recovery

Contatti

leggende e realtà delle indagini digitali

Identificazione device: Camera ballistic

Identificazione dei difetti (hot e dead pixel)

Inefficace se non ci sono difetti o se vengono corretti dalla fotocamera

Page 25: 2009 10-21 effetto-csi

Effetto CSI:

Davide GabriniDigital Forensic Jedi

SMAU Academy

sikurezza.orgMilano, 21.10.2009

Introduzione

Scienza

Fantascienza

Image forensicsEnhancement

Identificazione

Autenticazione

On-site

On-line

Data recovery

Contatti

leggende e realtà delle indagini digitali

Identificazione device: Camera ballistic

Analisi del rumoreE' possibile isolare un'impronta caratteristica nel rumore di fondoL'impronta è infatti univoca per ogni sensore CCD/CMOSLa caratteristica è indipendente dalle condizioni ambientali e stabile nel ciclo di vita dell'apparatoSi può identificare la specifica camera che ha scattato una determinata foto

Page 26: 2009 10-21 effetto-csi

Effetto CSI:

Davide GabriniDigital Forensic Jedi

SMAU Academy

sikurezza.orgMilano, 21.10.2009

Introduzione

Scienza

Fantascienza

Image forensicsEnhancement

Identificazione

Autenticazione

On-site

On-line

Data recovery

Contatti

leggende e realtà delle indagini digitali

Rilevare le manipolazioni

Spesso è fondamentale scoprire se un'immagine sia stata falsificata

I metodi tradizionali sono sempre validi e costituiscono un buon inizio

Per esempio:Esame dei contorniCoerenza di luci ed ombreEsame dei riflessi

Nel mondo digitale servono però anche altri strumenti…

Page 27: 2009 10-21 effetto-csi

Effetto CSI:

Davide GabriniDigital Forensic Jedi

SMAU Academy

sikurezza.orgMilano, 21.10.2009

Introduzione

Scienza

Fantascienza

Image forensicsEnhancement

Identificazione

Autenticazione

On-site

On-line

Data recovery

Contatti

leggende e realtà delle indagini digitali

EsempiNeal Krawetz, Black Hat 2007

Immagini: http://www.hackerfactor.com

Page 28: 2009 10-21 effetto-csi

Effetto CSI:

Davide GabriniDigital Forensic Jedi

SMAU Academy

sikurezza.orgMilano, 21.10.2009

Introduzione

Scienza

Fantascienza

Image forensicsEnhancement

Identificazione

Autenticazione

On-site

On-line

Data recovery

Contatti

leggende e realtà delle indagini digitali

Error Level Analysis

Page 29: 2009 10-21 effetto-csi

Effetto CSI:

Davide GabriniDigital Forensic Jedi

SMAU Academy

sikurezza.orgMilano, 21.10.2009

Introduzione

Scienza

Fantascienza

Image forensicsEnhancement

Identificazione

Autenticazione

On-site

On-line

Data recovery

Contatti

leggende e realtà delle indagini digitali

Error Level Analysis

Page 30: 2009 10-21 effetto-csi

Effetto CSI:

Davide GabriniDigital Forensic Jedi

SMAU Academy

sikurezza.orgMilano, 21.10.2009

Introduzione

Scienza

Fantascienza

Image forensicsEnhancement

Identificazione

Autenticazione

On-site

On-line

Data recovery

Contatti

leggende e realtà delle indagini digitali

Error Level Analysis

Page 31: 2009 10-21 effetto-csi

Effetto CSI:

Davide GabriniDigital Forensic Jedi

SMAU Academy

sikurezza.orgMilano, 21.10.2009

Introduzione

Scienza

Fantascienza

Image forensicsEnhancement

Identificazione

Autenticazione

On-site

On-line

Data recovery

Contatti

leggende e realtà delle indagini digitali

Error Level Analysis

Page 32: 2009 10-21 effetto-csi

Effetto CSI:

Davide GabriniDigital Forensic Jedi

SMAU Academy

sikurezza.orgMilano, 21.10.2009

Introduzione

Scienza

Fantascienza

Image forensicsEnhancement

Identificazione

Autenticazione

On-site

On-line

Data recovery

Contatti

leggende e realtà delle indagini digitali

DCT Coefficient AnalysisDetecting Doctored JPEG Images Via DCT

Coefficient AnalysisJunfeng He; Zhouchen Lin; Lifeng Wang; Xiaoou Tang

Page 33: 2009 10-21 effetto-csi

Effetto CSI:

Davide GabriniDigital Forensic Jedi

SMAU Academy

sikurezza.orgMilano, 21.10.2009

Introduzione

Scienza

Fantascienza

Image forensicsEnhancement

Identificazione

Autenticazione

On-site

On-line

Data recovery

Contatti

leggende e realtà delle indagini digitali

Cosa NON si può fare

Page 34: 2009 10-21 effetto-csi

Effetto CSI:

Davide GabriniDigital Forensic Jedi

SMAU Academy

sikurezza.orgMilano, 21.10.2009

Introduzione

Scienza

Fantascienza

Image forensicsEnhancement

Identificazione

Autenticazione

On-site

On-line

Data recovery

Contatti

leggende e realtà delle indagini digitali

Per finire in bellezza…

Page 35: 2009 10-21 effetto-csi

Effetto CSI:

Davide GabriniDigital Forensic Jedi

SMAU Academy

sikurezza.orgMilano, 21.10.2009

Introduzione

Scienza

Fantascienza

Image forensicsEnhancement

Identificazione

Autenticazione

On-site

On-line

Data recovery

Contatti

leggende e realtà delle indagini digitali

Page 36: 2009 10-21 effetto-csi

Effetto CSI:

Davide GabriniDigital Forensic Jedi

SMAU Academy

sikurezza.orgMilano, 21.10.2009

Introduzione

Scienza

Fantascienza

Image forensicsEnhancement

Identificazione

Autenticazione

On-site

On-line

Data recovery

Contatti

leggende e realtà delle indagini digitali

La perquisizione alla CSI

Page 37: 2009 10-21 effetto-csi

Effetto CSI:

Davide GabriniDigital Forensic Jedi

SMAU Academy

sikurezza.orgMilano, 21.10.2009

Introduzione

Scienza

Fantascienza

Image forensicsEnhancement

Identificazione

Autenticazione

On-site

On-line

Data recovery

Contatti

leggende e realtà delle indagini digitali

Perché non si fa

Dalla RFC3227 in poi, le best practices internazionali consigliano prudenza…

Quando si può scegliere tra acquisire e analizzare, prima si acquisisce, poi si analizza, non il contrario!

Quando un sistema è spento, è solitamente consigliato non accenderlo

Il solo avvio del sistema operativo causa molteplici alterazioni e la perdita di informazioni potenzialmente rilevanti

Page 38: 2009 10-21 effetto-csi

Effetto CSI:

Davide GabriniDigital Forensic Jedi

SMAU Academy

sikurezza.orgMilano, 21.10.2009

Introduzione

Scienza

Fantascienza

Image forensicsEnhancement

Identificazione

Autenticazione

On-site

On-line

Data recovery

Contatti

leggende e realtà delle indagini digitali

Potenziale invasività Il sistema è spento, quindi in condizione statica

(non facilmente alterabile)Accenderlo significa perturbarlo e perdere la

sicurezza inizialeSenza opportune cautele, si rischia di inquinare

irrimediabilmente il reperto le modifiche apportate sono note? sono documentabili? intaccano significativamente il risultato dell'analisi? ogni modifica distrugge qualcosa!

Occorre quindi operare con cognizione di causa e grande cautela

In ogni caso, MAI permettere l'avvio del sistema operativo residente!

Page 39: 2009 10-21 effetto-csi

Effetto CSI:

Davide GabriniDigital Forensic Jedi

SMAU Academy

sikurezza.orgMilano, 21.10.2009

Introduzione

Scienza

Fantascienza

Image forensicsEnhancement

Identificazione

Autenticazione

On-site

On-line

Data recovery

Contatti

leggende e realtà delle indagini digitali

Controindicazioni “ambientali”

In sede di perquisizione, l'ambiente è spesso ostile…

Le condizioni operative non sono paragonabili a quelle di un laboratorio

L'attrezzatura a disposizione non può che essere limitata

Anche il tempo a disposizione è forzatamente limitato

La fretta è il primo elemento da tenere fuori dalla scena del crimine

Page 40: 2009 10-21 effetto-csi

Effetto CSI:

Davide GabriniDigital Forensic Jedi

SMAU Academy

sikurezza.orgMilano, 21.10.2009

Introduzione

Scienza

Fantascienza

Image forensicsEnhancement

Identificazione

Autenticazione

On-site

On-line

Data recovery

Contatti

leggende e realtà delle indagini digitali

Responso incerto

Un'analisi eseguita in queste condizioni può dare riscontri solo in positivo:

nella migliore delle ipotesi, si può da subito confermare l'esistenza di un'evidence individuata,

ma non individuarla non ne conferma l'assenza con altrettanta certezza!

Page 41: 2009 10-21 effetto-csi

Effetto CSI:

Davide GabriniDigital Forensic Jedi

SMAU Academy

sikurezza.orgMilano, 21.10.2009

Introduzione

Scienza

Fantascienza

Image forensicsEnhancement

Identificazione

Autenticazione

On-site

On-line

Data recovery

Contatti

leggende e realtà delle indagini digitali

Motivi per richiedere un’analisi sul posto Desiderio di avere risposte immediate Indirizzare meglio le stesse operazioni di

perquisizione Possibilità di eseguire triage su quanto

disponibileevitare "saccheggi" indiscriminatiindividuare subito responsabilità in ambienti condivisievidenziare subito le informazioni più rilevanti rispetto a quelle secondarie

Possibilità di procedere ad arresto in flagranza per i reati che lo prevedono

Page 42: 2009 10-21 effetto-csi

Effetto CSI:

Davide GabriniDigital Forensic Jedi

SMAU Academy

sikurezza.orgMilano, 21.10.2009

Introduzione

Scienza

Fantascienza

Image forensicsEnhancement

Identificazione

Autenticazione

On-site

On-line

Data recovery

Contatti

leggende e realtà delle indagini digitali

Perquisizione e crack

Page 43: 2009 10-21 effetto-csi

Effetto CSI:

Davide GabriniDigital Forensic Jedi

SMAU Academy

sikurezza.orgMilano, 21.10.2009

Introduzione

Scienza

Fantascienza

Image forensicsEnhancement

Identificazione

Autenticazione

On-site

On-line

Data recovery

Contatti

leggende e realtà delle indagini digitali

Page 44: 2009 10-21 effetto-csi

Effetto CSI:

Davide GabriniDigital Forensic Jedi

SMAU Academy

sikurezza.orgMilano, 21.10.2009

Introduzione

Scienza

Fantascienza

Image forensicsEnhancement

Identificazione

Autenticazione

On-site

On-line

Data recovery

Contatti

leggende e realtà delle indagini digitali

Nella fantasia, tutto e subito

Page 45: 2009 10-21 effetto-csi

Effetto CSI:

Davide GabriniDigital Forensic Jedi

SMAU Academy

sikurezza.orgMilano, 21.10.2009

Introduzione

Scienza

Fantascienza

Image forensicsEnhancement

Identificazione

Autenticazione

On-site

On-line

Data recovery

Contatti

leggende e realtà delle indagini digitali

NO, non è vero che gli investigatori:…hanno accesso a tutti i database del mondo,

…ovviamente aggiornatissimi,…ovviamente in tempo reale,…per non parlare dei circuiti di videosorveglianza,…e dei satelliti spia,

…possono localizzare un portatile rubato conoscendo solo il numero seriale,

…anche se off-line o spento…

…possono accedere alla registrazione di qualunque telefonata, anche retroattivamente,

…possono craccare qualunque cosa,…e pure alla svelta!

…padroneggiano ogni branca dello scibile umano

Page 46: 2009 10-21 effetto-csi

Effetto CSI:

Davide GabriniDigital Forensic Jedi

SMAU Academy

sikurezza.orgMilano, 21.10.2009

Introduzione

Scienza

Fantascienza

Image forensicsEnhancement

Identificazione

Autenticazione

On-site

On-line

Data recovery

Contatti

leggende e realtà delle indagini digitali

Page 47: 2009 10-21 effetto-csi

Effetto CSI:

Davide GabriniDigital Forensic Jedi

SMAU Academy

sikurezza.orgMilano, 21.10.2009

Introduzione

Scienza

Fantascienza

Image forensicsEnhancement

Identificazione

Autenticazione

On-site

On-line

Data recovery

Contatti

leggende e realtà delle indagini digitali

Recupero dati

Page 48: 2009 10-21 effetto-csi

Effetto CSI:

Davide GabriniDigital Forensic Jedi

SMAU Academy

sikurezza.orgMilano, 21.10.2009

Introduzione

Scienza

Fantascienza

Image forensicsEnhancement

Identificazione

Autenticazione

On-site

On-line

Data recovery

Contatti

leggende e realtà delle indagini digitali

Tempi di copia

I dispositivi di duplicazione forensi più avanzati arrivano anche a 6GB/min

A regime, 500GB si acquisirebbero in circa un'ora e mezza

…peccato che non tutti gli hard disk siano all’altezza…

Page 49: 2009 10-21 effetto-csi

Effetto CSI:

Davide GabriniDigital Forensic Jedi

SMAU Academy

sikurezza.orgMilano, 21.10.2009

Introduzione

Scienza

Fantascienza

Image forensicsEnhancement

Identificazione

Autenticazione

On-site

On-line

Data recovery

Contatti

leggende e realtà delle indagini digitali

Acquisizioni: bitrate IDE (aka EIDE, ATAPI,

UDMA, PATA…)Sempre che non si usino device master e slavesullo stesso bus…

SATA (Serial ATA)1.5 Gbit/s (150MB/s reali)

SATA/300 o SATA II: 3Gbit/s (300MB/s)

SATA 3.0: 6Gbit/s (600MB/s)

SAS (Serial Attached SCSI)3.0Gbit/s e 6,0Gbit/s (300MB/s e 600MB/s)

Modalità VelocitàUDMA0 16.7 MB/sUDMA1 25.0 MB/sUDMA2 33.3 MB/sUDMA3 44.4 MB/sUDMA4 66.7 MB/sUDMA5 100.0 MB/sUDMA6 133 MB/s

Page 50: 2009 10-21 effetto-csi

Effetto CSI:

Davide GabriniDigital Forensic Jedi

SMAU Academy

sikurezza.orgMilano, 21.10.2009

Introduzione

Scienza

Fantascienza

Image forensicsEnhancement

Identificazione

Autenticazione

On-site

On-line

Data recovery

Contatti

leggende e realtà delle indagini digitali

Recupero dati Quando si cancella un file, i dati non

vengono azzerati, ma soltanto dereferenziati L'informazione quindi è ancora sul disco,

ma lo spazio precedentemente occupato risulta ora deallocato

Anche i metadati potrebbero essere "sopravvissuti" in maniera analoga

Per il recupero sono possibili due approcci:Analisi dei metadatiFile carving

Page 51: 2009 10-21 effetto-csi

Effetto CSI:

Davide GabriniDigital Forensic Jedi

SMAU Academy

sikurezza.orgMilano, 21.10.2009

Introduzione

Scienza

Fantascienza

Image forensicsEnhancement

Identificazione

Autenticazione

On-site

On-line

Data recovery

Contatti

leggende e realtà delle indagini digitali

Recupero dati

Analisi dei metadatiStrettamente dipendente dal file systemSe presenti, consentono di ricostruire anche file frammentatiE' possibile recuperare anche il nome del file, i suoi timestamp ecc. ecc.

Page 52: 2009 10-21 effetto-csi

Effetto CSI:

Davide GabriniDigital Forensic Jedi

SMAU Academy

sikurezza.orgMilano, 21.10.2009

Introduzione

Scienza

Fantascienza

Image forensicsEnhancement

Identificazione

Autenticazione

On-site

On-line

Data recovery

Contatti

leggende e realtà delle indagini digitali

Recupero dati File carving

Se il dato è completamente dereferenziato, l'unico recupero possibile è tramite la scansione del BLOB (Binary Large OBject)Vengono ricercate le intestazioni (header, o magic number) identificative di specifici formati di fileSi cerca di interpretare quanto segue come facente parte del file (se esistente, si ricerca anche un footer)Funziona bene per file allocati su cluster contigui, ma non in caso di frammentazioneNon recupera informazioni come nome e posizione originaria del fileSe il BLOB è molto large, il carving può richiedere molte ore di lavoro…

Page 53: 2009 10-21 effetto-csi

Effetto CSI:

Davide GabriniDigital Forensic Jedi

SMAU Academy

sikurezza.orgMilano, 21.10.2009

Introduzione

Scienza

Fantascienza

Image forensicsEnhancement

Identificazione

Autenticazione

On-site

On-line

Data recovery

Contatti

leggende e realtà delle indagini digitali

Recupero dati sovrascritti"Ma mi ha detto mio cuggino che una sola passata di

wiping non basta!"Studi e pubblicazioni a riguardo esistono:

STM (Scanning Tunneling Microscopy)SPM (Scanning Probe Microscopy)MFM (Magnetic Force Microscopy)AFM (Atomic Force Microscopy)

Si basano sull'isteresi dei livelli di magnetizzazione e sul disallineamento delle tracce

Eppure non si ha notizia di laboratori civili che offrano questi servizi…

Page 54: 2009 10-21 effetto-csi

Effetto CSI:

Davide GabriniDigital Forensic Jedi

SMAU Academy

sikurezza.orgMilano, 21.10.2009

Introduzione

Scienza

Fantascienza

Image forensicsEnhancement

Identificazione

Autenticazione

On-site

On-line

Data recovery

Contatti

leggende e realtà delle indagini digitali

Contatti

Davide Rebus Gabrinie-mail:[email protected]@poliziadistato.it

GPG Public Key: (available on keyserver.linux.it)www.tipiloschi.net/rebus.ascKeyID: 0x176560F7

Instant Messaging:MSN [email protected] 115159498Skype therebus<pubblicità>Corsi di computer forensics e sicurezza delle reti:www.corsisoftware.com</pubblicità>

Queste e altre cazzate su www.tipiloschi.net