Corso di INFORMATICA FORENSE (A.A. 2013/2014) - Profili metodologie investigative

CORSO DI INFORMATICA FORENSE – PROFILI E METODOLOGIE

INVESTIGATIVE di ALESSANDRO BONU

Alessandro Bonu

Corso di INFORMATICA FORENSE (A.A. 2013/2014)

Profili e metodologie investigative

DirICTo

Attività seminariale nell’ambito del Corso di Laurea Magistrale in Ingegneria delle Telecomunicazioni – insegnamento di Diritto dell’Informatica e delle Nuove Tecnologie (coordinamento delle attività a cura di Massimo Farina)

CORSO DI INFORMATICA FORENSE - PROFILI E METODOLOGIE INVESTIGATIVE

DI ALESSANDRO BONU

Agenda• Introduzione sui profili e metodologie

• Incarico e regole di ingaggio

• Acquisizione della prova

• Tutela della prova

• Metodologia di analisi

• Definizione di un profilo investigativo

• Conclusioni


DI ALESSANDRO BONU

JFFDF84U4R8FRJU493INFHJDEGWEUID8DH373E37WDBWDUDASKWOSOPFHF64RG4F8FNDFKWDJUDFFHFRYFUFR7HFIEDYE73BEFJNF57HJ484RHEFKEFJF8I8F83H2GDWMX42656E76656E75746921RYFUFG73ED82N8C6RF5QSM6OGT9NHJUE63VDTCF5SC3DWH6TE7GUF7YDHWIJFEHJV78HFUEFUR7CEFEJNIAXUQWU1WUFIDQ9HDWNQD89H374385T7ERYFEDY7D3787

JFFDF84U4R8FRJU493INFHJDEGWEUID8DH373E37WDBWDUDASKWOSOPFHF64RG4F8FNDFKWDJUDFFHFRYFUFR7HFIEDYE73BEFJNF57HJ484RHEFKEFJF8I8F83H2GDWMX42656E76656E75746921RYFUFG73ED82N8C6RF5QSM6OGT9NHJUE63VDTCF5SC3DWH6TE7GUF7YDHWIJFEHJV78HFUEFUR7CEFEJNIAXUQWU1WUFIDQ9HDWNQD89H374385T7ERYFEDY7D3787

B e n v e n u t i !


DI ALESSANDRO BONU

Perché?Per una semplice conversione in caratteri esadecimali della scritta:

42656E76656E75746921

«Benvenuti!»

Mascherato poi con altre «informazioni» simili..


DI ALESSANDRO BONU

Ma se cambiamo qualcosa?

• 53767F87767F86857032

+ 1 alfanumerico = 42656E76656E75746921

• xxxxxxxxxxxxxxxxxxxxxxxx - n lettere e numeri = 42656E76656E75746921

• xxxxxxxxxxxxxxxxxxxxxxxx + n caratteri e - n numeri = 42656E76656E75746921

• xxxxxxxxxxxxxxxxxxxxxxxx + n numeri e - n lettere = 42656E76656E75746921

• xxxxxxxxxxxxxxxxxxxxxxxx x n numeri e +/-n caratteri = 42656E76656E75746921

• E così via! La variante che vorremmo aggiungere sarà la nostra chiave di lettura che si aggiungerà ad un primo livello di occultamento in questo caso esadecimale.


DI ALESSANDRO BONU

Metodologia forense

• Fondamentale è sapere che comportamenti errati

possono invalidare la prova in fase di dibattimento;

• L’esperienza insegna: evitare errori noti

focalizzare le attività su metodologie consolidate e standardizzate;

• L’utilizzo di metodi comuni: consente ai periti della contro parte di verificare i risultati di indagine in

maniera più agevole e incontrovertibile..

o Sia in sede di indagine;

o Sia in sede di dibattimento;

• Il «metodo» consente di sveltire le fasi più noiose e ripetitive, ma ciascun

forenser avrà modo di esprimersi e dimostrare la propria competenza.


DI ALESSANDRO BONU

Profilo informatico

Insieme di funzionalità, strumenti e

contenuti attribuiti ad un utente e riferiti ad

uno specifico contesto operativo

cos’è un profilo


DI ALESSANDRO BONU

Profili Windows

Area di sistema dedicata, in un contesto multiutente


DI ALESSANDRO BONU

Profili Linux

Area di sistema dedicata, in un contesto multiutente


DI ALESSANDRO BONU

Profili social

I dati (dei profili) non risiedono localmente ma sulla rete,questo potrebbe complicare le operazioni di indagine.


DI ALESSANDRO BONU

Profili in ambito CF (Computer Forensics)

• Profilo del forenser:

Competenze tecniche;

Calato sul caso specifico (specificità);

Metodi operativi comuni;

Allestimento di un laboratorio operativo ad hoc.

• Profilo del soggetto investigato:

Attitudini e comportamenti;

Ambiente operativo su cui opera (profili informatici);

Informazioni utili all’indagine.


DI ALESSANDRO BONU

Aspetti preliminari

• Competenze e aspetti tecnici da conoscere bene: modus operandi

una buona base (skill), in contesto di routine;

soggettivo, per ciascun forenser ma sempre con le opportune garanzie.

• Capire, in sede di indagine, aspetti comportamentali del soggetto indagato

che serviranno a focalizzare meglio gli obiettivi da raggiungere.

• Definire una strategia operativa (profilo investigativo) mirata a soddisfare

in modo esaustivo i questi oggetto di incarico e

ai quali ci si dovrà attenere scrupolosamente!


DI ALESSANDRO BONU

Profili investigativi e aree di riferimento

• Computer Forensics;

• Network Forensics;

• Mobile Forensics;

• Embedded System Forensics;

• Software Forensics.


DI ALESSANDRO BONU

Elementi trasversali alle aree specifiche

• Acquisizione dei reperti:

Sequestro fisico o logico.

• Trasporto dei reperti:

Imballo dei reperti e sigillo dei reperti.

• Catena di custodia:

Garanzie di tutela della prova originale.

acquisizione

Tras

por

to

cus todia


DI ALESSANDRO BONU

Computer Forensics (CF)

”l’analisi di dispositivi informatici quali personal computer, server,

sistemi virtuali, memorie di massa, ecc..

utili all'individuazione, la conservazione, la protezione,

l'estrazione, la documentazione, l'impiego ed ogni altra forma

di trattamento del dato informatico al fine di essere valutato in

un processo giuridico”


DI ALESSANDRO BONU

Network Forensics

”l’analisi di apparati e sistemi di rete di rete, senza tralasciare

Internet, utili all'individuazione, la conservazione, la protezione,





DI ALESSANDRO BONU

Mobile Forensics

”l’analisi di dispositivi mobili quali cellulari, i-Pod, sistemi di

comunicazione wireless, telefoni satellitari, ecc..

Utili all'individuazione, la conservazione, la protezione,





DI ALESSANDRO BONU

Embedded System Forensics

”l’analisi di sistemi digitali dotati di CPU (es. i giochi), anche creati

talvolta artigianalmente o partendo da una base (es. arduino),

ecc.. utili all'individuazione, la conservazione, la protezione,





DI ALESSANDRO BONU

Software Forensics

”Tools e strumenti software adeguati (secondo degli standard

riconosciuti) e necessari all'individuazione, la conservazione, la

protezione, l'estrazione, la documentazione, l'impiego ed ogni

altra forma di trattamento del dato informatico al fine di essere

valutato in un processo giuridico”


DI ALESSANDRO BONU

Ma quali software?

• Open Source o Software commerciale? ..eterno dilemma!

• Inevitabilmente saranno entrambi oggetto di utilizzo:

modalità operative di ciascun forenser;

in alcuni ambiti alcuni sono superiori ad altri;

i costi di licenza;

disponibilità dei sorgenti, per gli open source, questo può essere importante

per vagliare le funzionalità del software nello specifico in relazione

ai risultati ottenuti.


DI ALESSANDRO BONU

Dove di concentra l’indagine nella CF

• Memorie di massa (Disk Forensics)

HD, CD, DVD, USB, SSD, Nastri, ecc..

• Memorie volatili (Memory Forensics)

RAM


DI ALESSANDRO BONU

I passi comuni che identificano la CF

• Identificazione dei reperti utili;

• Acquisizione e trasporto delle prove;

• Analisi della copia forense (prove acquisite);

• Refertazione dettagliata dei risultati;

• Presentazione delle evidenze in sede processuale;

esistono altre fasi ma che si applicano a casi e situazioni specifiche

queste sono quelle sempre presenti in un profilo di indagine


DI ALESSANDRO BONU

Identificazione dei reperti

• Specificità in relazione al caso per il quale si opera;

• Identificazione del tipo di supporto (magnetico, ottico, elettronico, ..);

• Identificazione delle interfacce delle memorie di massa;

• Conoscenza delle funzionalità dei BIOS;

• Sistema Operativo utilizzato;

• Tipologia del File System;

• Altre condizioni particolari da valutare:

(ibernazione/sospensione del sistema).


DI ALESSANDRO BONU

Catena di custodia• La catena di custodia è un documento che contiene informazioni e dettagli

in merito alla prova originale e con le copie forensi realizzate e «firmate», a partire dall'acquisizione fino ad arrivare al giorno del processo.

• Vediamone alcuni aspetti:

Attribuire un ID al caso;

Chi è incaricato dell'investigazione;

Descrizione del caso;

Incaricato della duplicazione dei dati;

Data e ora di inizio custodia;

Luogo in cui il supporto è stato rinvenuto;

Produttore del supporto;

Modello del supporto;

Numero di serie del supporto.


DI ALESSANDRO BONU

Copia forense

La copia autenticata dei dati, deve essere eseguita adottando criteri e

misure atte a garantire e salvaguardare il dato originale e impedirne

l’alterazione: errori in questa fase si ripercuotono sulle fasi successive

• Procedure forensi riconosciute;

• Tool specifici, validi e riconosciuti;

• Gestione degli errori, individuazione e documentazione;

• Verbalizzazione e documentazione in dettaglio;

• Firma/Sigillo elettronico (hash) e read-only.


DI ALESSANDRO BONU

L’analisi

• Orientata possibilmente alla copia forense:

non sempre risulta possibile in quanto alcune attività devono essere fatte

direttamente sui reperti;

• Rilevazioni delle informazioni:

quelle utili all’indagine;

• In questa fase si rilevano comportamenti e attitudini (profili) dei soggetti

oggetto di indagine, (vedi caso).

Un caso, personalmente trattato, recita di una persona accusata di

distribuzione di materiale pedopornografico. Venne identificato e sequestrato il

computer del soggetto indiziato e durante le procedure di analisi della copia forense

emersero evidenti dati oggetto di accusa.

Nella fase preliminare di indagine per questo caso furono inserite delle "esche" in rete,

da parte di infiltrati della polizia postale e le stesse vennero rinvenute in fase di analisi.

Unica «attenuante» in sede di refertazione fu il fatto che l'ingente quantitativo di

materiale oggetto di accusa risiedeva palesemente in un'area di download non

organizzata e assieme a tanti altri dati di varia natura e senza il minimo criterio di

custodia o gestione. Questa profilazione fu specificata in sede di refertazione,

presupponendo che dal modus operandi rilevato, il soggetto non era predisposto in

qualche modo alla distribuzione organizzata del materiale incriminato.


DI ALESSANDRO BONU

Attività in sede di analisi

• L’analisi implica una vasta serie di attività:

Informazioni a fini decisionali;

Informazioni utili al posizionamento (geografico) di un utente, di un reperto;

Individuazioni di informazioni temporali, date e variazioni delle stesse;

Identificazione di utenti, per capire chi ha operato;

Rilevazioni di password e cracking per accedere ad aree riservate;

Investigazione trasversale su diversi reperti per determinare e incrociare

elementi utili ai fini dell’indagine;

Ripristino di dati (data-recovery), cancellati o occultati .


DI ALESSANDRO BONU

Refertazione

• Attività determinante in quanto il risultato dell’attività investigativa è un

oggetto documentale;

• Chi lo scrive è un tecnico specializzato;

• Chi lo legge:

Atri tecnici: CTU, CTP;

Legali: Giudice, PM, Avvocati;

Altri organi investigativi;

• Presentazione in sede di dibattimento.


DI ALESSANDRO BONU

Presentazione in sede processuale

• Chi deve convincere:

Un Giudice;

• Chi deve capire di cosa si parla:

La parte;

• Chi deve scoraggiare:

La controparte, nell’obbiettare le nostre evidenze che dovranno apparire

incontrovertibili.


DI ALESSANDRO BONU

L’approccio

• Non esiste una regola generale nel metodo di indagine se non per alcune

fasi comuni, fondamentale è ridurre al minimo rischi ed errori;

• Operare nel contesto della computer forensics richiede elevate

conoscenze informatiche congiunte a buone capacità di analisi,

osservazione e pazienza;

• Le metodologie di base rimangono sempre costanti, ma le tecnologie che

permettono l'acquisizione e l'analisi sono in continua evoluzione;

• Nelle attività di indagine troviamo essenzialmente due casistiche:

• Il computer è il mezzo usato per compiere un’azione criminosa;

• Il computer è a sua volta vittima di un crimine.


DI ALESSANDRO BONU

incarico e regole di ingaggio


DI ALESSANDRO BONU

Le regole di ingaggio CTU

• Le regole consistono in quesiti specifici emanati dal

magistrato in relazione ad un caso specifico e che delineano

circostanze e limiti entro i quali il CTU dovrà operare nel

corso dell’attività di indagine.

• Obbiettivo di tale attività investigativa è pertanto dare

risposta esaustiva e circostanziata ai quesiti oggetto di

incarico.


DI ALESSANDRO BONU

Modalità di ingaggio

• Modalità di incarico e valutazione di fattibilità:

• In relazione a competenze;

• formulazione dei quesiti da parte del magistrato.

• Acquisizione formale dell’incarico:

• tempistiche e modalità di consegna della relazione;

• modalità di acquisizione del materiale oggetto di esame.

• Rispetto delle regole durante i lavori:

• elementi estranei devono essere assolutamente ignorati.

• Relazioni chiarificatrici su richiesta delle parti:

• relazione scritta a corredo della precedente;

• in sede di processo, con linguaggio “semplice”.


DI ALESSANDRO BONU

Determinazione dei rischi

• Inalterabilità della prova originale:

dovrebbe essere ripetibile, non sempre è così.

• «errare humanum est», questo potrebbe determinare un

incidente probatorio e invalidare la prova;

• L’esperienza insegna.. casi pregressi;

casi di studio e documentati.

• Decisamente ridotti dalla competenza in materia;

• Valutare il rispetto della privacy nelle varie fasi operative.


DI ALESSANDRO BONU

Acquisizione della prova


DI ALESSANDRO BONU

Acquisizione delle prove

• Sequestro fisico del reperto;

• Sequestro logico con relativa copia forense nelle

seguenti modalità:

Dead : computer spento;

Live : computer acceso.

• Intercettazione del dato:

Il dato viene acquisito durante la sua trasmissione.


DI ALESSANDRO BONU

Modalità di acquisizione del reperto/prova

• Ritiro in sede di incarico e redazione di apposito verbale di

consegna.

• Consegna da parte della PG presso la sede legale del CTU.

• Acquisizione diretta, con idonea autorizzazione del

magistrato, presso la sede in cui si trova il materiale utile

all’indagine.


DI ALESSANDRO BONU

Acquisizione in sede di incarico

• Materiale cartaceo:

attinente all’attività investigativa;

verbale di consegna sottoscritto dalle parti.

• Apparati /supporti informatici già sequestrati:

apparati catalogati e off-line;

verifica dello stato dei reperti e riscontro dei dettagli acquisiti

in sede di sequestro;



DI ALESSANDRO BONU

Acquisizione presso la sede legale del CTU

• Incaricati da parte del tribunale:

Polizia Giudiziaria;

altri incaricati dal magistrato.

• Modalità di trasporto e custodia del materiale /reperti in consegna:

verifica dello stato dei reperti e riscontro dei dettagli acquisiti;

in sede di sequestro: sigilli.

• Verifica e riscontro dei reperti,



DI ALESSANDRO BONU

Acquisizione diretta da parte del CTU

• Idonea autorizzazione del magistrato da esibire in sede di sequestro;

• Valutazione delle modalità di acquisizione in caso per esempio di apparati

in modalità LIVE;

• Inventario dettagliato delle singole parti interessanti per l’indagine:

(catena di custodia);

• Apposizione dei imballi e sigilli di garanzia per la fase di trasporto dei

reperti;

• Verbale di consegna e sottoscrizione tra le parti di quanto acquisito.


DI ALESSANDRO BONU

Acquisizione: DEAD

• Una volta identificati i reperti, ad esempio un personal

computer (spento) si procede in genere a:

Estrarre dispositivi floppy disk in esso contenuti;

Estrarre i cd rom utilizzando l’apposito foro;

Estrarre eventuali supporti di memoria (USB);

Identificazione del numero e delle caratteristiche tecniche dei

device di memoria presenti nel computer.


DI ALESSANDRO BONU

Acquisizione: LIVE e priorità• Non sempre i reperti da acquisire possono essere delocalizzati;

• In taluni casi è pertanto necessario procedere all’acquisizione dai componenti con volatilità più alta:

• Memoria RAM;• Memoria di swap;• Processi di rete;• Processi di sistema.

• La RAM risulta essere più volatile in quanto vengono effettuati continuamente accessi.

• La memoria di swap ha una priorità inferiore ma comunque alta dato che è usata per lo swap delle pagine della memoria.

• I processi di rete e sistema hanno un tempo di vita che dipende dal tipo di operazioni che il processo deve effettuare.

• I dati sul disco hanno una volatilità molto bassa in quanto persistono anche ad un riavvio del computer.


DI ALESSANDRO BONU

Dati in RAM• Disribuzioni LIVE:

Helix, Caine, BackTrack, ecc..

pensate per funzionare unicamente su RAM, pertanto uno spegnimento

determina una perdita completa del contenuto della memoria e delle

informazioni/attività in essa contenute.

• DUMP della RAM, operazione irripetibile:

L’utilizzo del programma, che consente questa attività, determina una

necessaria modifica del contenuto della memoria.

• Dati presenti in cache:

Esistono dei tool che forzano la sincronizzazione su disco, in questo caso

comunque ci sarebbero variazioni dei dati ma sempre inferiori ad un shutdown

regolare.


DI ALESSANDRO BONU

Dove e cosa cercare..

• Dopo l’acquisizione la nostra attenzione dovrà concentrarsi principalmente su tutta una serie di dati che potrebbero contenere informazioni utili all’indagine: Dati volatili; File di swap; File logici; File di registro delle configurazioni; E-mail; Log delle applicazioni e di sicurezza; File temporanei; Log di sistema; Spazio libero; Cache del browser; History file; File cancellati.


DI ALESSANDRO BONU

Stato del reperto /prova

“La preservazione dello stato della prova assume una rilevanza

fondamentale ai fini dell’utilizzabilità della stessa in sede di

giudizio. Per questo motivo si deve evitare che le prove raccolte

subiscano modificazioni idonee ad alterarne la genuinità.”

• Fondamentale è pertanto preservare lo stato della prova di:

Supporti non modificabili, ma comunque non esenti da problematiche legate a fattori ambientali;

Supporti modificabili, da gestire con molta cautela;

Conservazione logica e fisica.


DI ALESSANDRO BONU

Incidente probatorio

Dall’analisi della prova dipende l’esito dell’indagine, pertanto la stessa non dovrà in alcun modo subire

nessun tipo di manomissione/alterazione


DI ALESSANDRO BONU

La conservazione della prova

• Protezione da cariche elettrostatiche:

Utilizzo di materiali appositi di imballo per prevenire questi problemi.

• Protezione da urti:

Utilizzo di contenitori adeguati e con opportuno imballo.

• Evitare le manomissioni:

Apposizione di sigilli che permettano di verificare eventuali

manomissioni.

Un caso recita di una spia all’interno di un laboratorio di ricerca. Dalle

ricerche venne individuato un PC dal quale venivano scaricate le informazioni

oggetto di indagine. Il PC, dopo essere stato fotografato anche nelle sue

parti interne, venne preso in custodia da una persona di fiducia per il

trasporto verso il laboratorio di analisi.

Quando il PC venne aperto apparve chiaro che il disco rigido era nuovo e non

ricoperto di polvere come il resto dei componenti. Durante il tragitto in treno,

si evidenziò che l’unico momento in cui il PC è rimasto incustodito è stato

durante il pranzo in vagone ristorante. Pertanto è stata individuata come

finestra temporale utile alla sostituzione del device. I sigilli in questo caso

avrebbero evidenziato la manomissione del reperto.


DI ALESSANDRO BONU

La ricerca della prov


DI ALESSANDRO BONU

Dove si trova il dato?

• Sembra banale ma la prima cosa da capire è dove si trova il dato

oggetto di indagine;

• Celare piccoli dispositivi è semplicissimo e anche in fase di

sequestro qualcosa può sfuggire;

• A questo si aggiunga il fatto che all’interno degli stessi dispositivi i

dati potrebbero essere celati utilizzando anche tecniche particolari

(es. steganografia).

Un caso recita di una persona accusata di distribuzione di materiale

pedopornografico. Venne identificato e sequestrato il computer del soggetto

indiziato e si lavorò a lungo per cercare le prove per le quali venne accusato. Si poté

evidenziare il fatto che non ci fossero tracce alcune del materiale indiziato. Si

evidenziò che sul sistema però venivano adoperate, con perizia, operazioni di

routine di pulizie di cache, file temporanei e recenti, inoltre la cancellazione

avveniva non nella modalità classica ma con un deleter sicuro a più passaggi.

I dati rilevanti ai fini dell'indagine furono alla fine due: URL riferite a siti di pedofilia e

tracce su registry sull'utilizzo di un hard disk esterno che però non fu rinvenuto in

sede di perquisizione. Il caso venne archiviato ma il rinvenimento del predetto

device avrebbe molto probabilmente fornito elementi utili ai fini dell'indagine.


DI ALESSANDRO BONU

Occultamento dei dati

• Intenzioni malevole: scrittura malware, diffusione di segreti a danno di terzi, ecc..;

• Intenzioni benevole/lecite

segretezza di dati in ambito privato/lavorativo, ecc..;

• Alcune tecniche.. Critografia:

o tecnica di rappresentazione di un messaggio in una forma tale che l’informazione in essa contenuta possa essere recepita solo dal destinatario.

Steganografia:

o tecnica che si prefigge di nascondere la comunicazione tra due o più interlocutori.


DI ALESSANDRO BONU

Occultamento logico

benvenuti nel corso di Computer Forensics

..una normale immagine, apparentemente!


DI ALESSANDRO BONU

Occultamento fisico

• E’ di rilevante importanza che la parte indagata non sospetti

un eventuale provvedimento a suo carico: perché??

A quanti verrebbe in mente di guardare una ferita?


DI ALESSANDRO BONU

Dove focalizzare l’attenzione

• Di norma i dispositivi oggetto di analisi sono:

Lettori multimediali;

HD esterni;

Supporti USB;

Smartphone;

NAS;

Stampanti

Altri dispositivi in grado di memorizzare dati.


DI ALESSANDRO BONU

E’ sempre possibile sequestrare i reperti?


DI ALESSANDRO BONU

Alcune considerazioni..

• Nella fase del sequestro occorre attenersi a quanto recitano le disposizioni

di legge “..l’autorità giudiziaria acquisisce il corpo del reato o le cose

pertinenti necessarie per l’accertamento dei fatti..”.

• Troppo spesso accade che nel compimento di suddette operazioni,

vengano acquisiti reperti che al fine probatorio risultano inutili.

• Opportuno è pertanto attenersi sempre al caso specifico e valutare

attentamente il profilo del destinatario del provvedimento, sia perché lo

stesso non venga sottovalutato ma soprattutto perché non venga messo in

condizioni tali da limitare l’utilizzo di strumenti utili in ambito

aziendale/lavorativo e non a fine probatorio.


DI ALESSANDRO BONU

La copia forense

• La duplicazione del dato dev’essere tale da non poter essere contestata.

• La duplicazione deve essere 1:1 rispetto al supporto oggetto di indagine e

ricrearne uno identico a livello logico sul quale operare.

• Questo comporta che l’intero device venga replicato, comprendendo

struttura e spazio libero dello stesso.

• Lo spazio impegnato del dispositivo logico, sarà pertanto uguale al

dispositivo fisico a prescindere dall’effettiva quantità di informazioni

contenute.


DI ALESSANDRO BONU

Validazione della copia forense

• Operazione fondamentale è validare la copia logica confrontandola

con l’originale:

Tra le due deve esserci perfetta corrispondenza.

• La validazione può essere eseguita attraverso programmi di hash

come l’MD5 e SHA1 i quali applicano una funzione non invertibile

ed atta alla trasformazione di un testo di lunghezza arbitraria in una

stringa di lunghezza fissata.

• Il risultato dell'hash viene visto come una sorta di impronta digitale

dell’evidenza, esso si definisce anche “valore di hash”.


DI ALESSANDRO BONU

Software e hardware da utilizzare

• Sul mercato sono disponibili diversi software che consentono di effettuare

la copia bit-a-bit di un supporto di memoria:

Dispositivi HW ad hoc, con dei limiti:

o Tecnologia specifica;

o Singoli dischi (raid?).

Software specializzati (es.dd, semplice e in grado si essere mostrato a

livello di file sorgente).

• Ideale, dotarsi di workstation forense con le interfacce più utilizzate sul

mercato.


DI ALESSANDRO BONU

Write Blocker

• Garantisce un blocco dell’accesso in scrittura per mantenere l’integrità

della prova: read-only;

• Esistono due differenti metodologie per garantire il write blocking:

Write blocker software:

o Agisce sull’operazione di «mounting» del disco da parte del

sistema operativo.

Write blocker hardware;

o dispositivo fisico che viene posto tra l’hard disk e la macchina di

acquisizione forense. Questi dispositivi sono anche più

comprensibili per interlocutori non tecnici.


DI ALESSANDRO BONU

Write Blocker hardware


DI ALESSANDRO BONU

Intercettazione del dato

• Definire i target e non acquisire dati indiscriminatamente pena:

Violazione della legge;

Perdita di tempo;

Mancanza degli obbiettivi oggetto di indagine.

• Problemi legati alla connessione in rete (span port):

Il target è l’amministratore di sistema;

Lo switch è troppo esposto ed in evidenza;

Lo switch non dispone delle funzionalità necessarie a monitorare il traffico

• «Man in the middle»:

Impossibilità di raggiungere lo switch;

Deviazione del traffico di rete A > B = A > C > B


DI ALESSANDRO BONU

Man in the middle


DI ALESSANDRO BONU

Relazione tecnica• Sintetica: dato che non necessita di riportare eccessivi particolari tecnici

dell’analisi ma solo ciò che interessa dal punto di vista giuridico.

• Semplificata: colui che legge e valuta l’esito è di principio un fruitore

inesperto nel settore informatico e quindi, nell’ipotesi che sia possibile,

bisogna eliminare terminologie non consuete e spiegare a livello

elementare quanto rilevato.

• Asettica: non deve contenere giudizi personali dell’operatore né tanto

meno valutazioni legali sulle informazioni rilevate a meno che tali

considerazioni non siano state espressamente richieste e inerenti

all’indagine.


DI ALESSANDRO BONU

Conclusioni

Alcune considerazioni che potremo fare in merito alle

metodologie e i profili di indagine è che al di là degli aspetti

puramente tecnici e specialistici, che richiedono comunque

una adeguata competenza, occorre valutare con attenzione

un attento approccio metodologico e calato di volta in volta al

caso di indagine specifico. Metodologia che deve poi astrarre

le sole informazioni atte a dare risposta a quesiti ben precisi e

delineati in sede di incarico. Tutto il resto è noia!


DI ALESSANDRO BONU

Grazie per l’attenzione!

[email protected]

it.linkedin.com/in/abonu

mailto:[email protected]


DI ALESSANDRO BONU66

LICENZAAttribuzione - Non Commerciale - Condividi allo stesso modo 2.5

Tu sei libero: di riprodurre, distribuire, comunicare al pubblico, esporre in pubblico, rappresentare,

eseguire o recitare l'opera di creare opere derivate Alle seguenti condizioni:

Attribuzione. Devi riconoscere il contributo dell'autore originario. Non commerciale. Non puoi usare quest’opera per scopi commerciali. Condividi allo stesso modo. Se alteri, trasformi o sviluppi quest’opera, puoi

distribuire l’opera risultante solo per mezzo di una licenza identica a questa. In occasione di ogni atto di riutilizzazione o distribuzione, devi chiarire agli altri i termini

della licenza di quest’opera. Se ottieni il permesso dal titolare del diritto d'autore, è possibile rinunciare ad ognuna di

queste condizioni. Le tue utilizzazioni libere e gli altri diritti non sono in nessun modo limitati da quanto sopra

Corso di INFORMATICA FORENSE (A.A. 2013/2014) - Profili metodologie investigative

Education

Transcript of Corso di INFORMATICA FORENSE (A.A. 2013/2014) - Profili metodologie investigative