Cyber Forensics - Acquisizione e analisi dei dati

download Cyber Forensics - Acquisizione e analisi dei dati

If you can't read please download the document

Transcript of Cyber Forensics - Acquisizione e analisi dei dati

LINUX DAY NAPOLI 2010

CYBER FORENSICS:
ACQUISIZIONE E ANALISI DEI DATI

A CURA DI MARCO FERRIGNO

- Developer of the Italian Debian GNU/Linux HOWTOs -

Jabber ID: [email protected]

[email protected]

Analisi forense

PROPEDEUTICITA':

NOZIONI BASILARI SULL'UTILIZZO DI SISTEMI UNIX-LIKE,

NOZIONI BASILARI SUI FILESYSTEM.

COSA IMPAREREMO DA QUESTO TALK:

CONCETTO DI COMPUTER FORENSICS,

METODOLOGIE E SOFTWARE PER L'ACQUISIZIONE DI DATI DI UN SISTEMA POSTO SOTTO SEQUESTRO

METODOLOGIE E SOFTWARE DI ANALISI DI UN SISTEMA INFORMATICO.

Analisi forense: cos' realmente?

E' LA DISCIPLINA CHE CONCERNE LE ATTIVITA' DI INDIVIDUAZIONE, ESTRAZIONE, CONSERVAZIONE, PROTEZIONE E OGNI ALTRA FORMA DI TRATTAMENTO E INTERPRETAZIONE DEL DATO MEMORIZZATO SU SUPPORTO INFORMATICO AL FINE DI ESSERE VALUTATO COME PROVA NEI PROCESSI GIUDIZIARI.

IL TRATTAMENTO DEL REPERTO INFORMATICO E' SUDDIVISO IN 4 FASI:

ACQUISIZIONE (TARGET INFORMATICO)*

ANALISI (TARGET INFORMATICO)*

INDIVIDUAZIONE DEL REATO (TARGET GIURIDICO PROCEDURALE)

VALUTAZIONE DEL REATO (TARGET GIURIDICO PROCEDURALE)

*ARGOMENTO DELLA SEDUTA CON L'AUSILIO DI STRUMENTI OPEN SOURCE

Analisi forense:
normativa rilevante in ambito giuridico

LA LEGGE N. 48/2008 RIVESTE UNA GRANDE IMPORTANZA PER LA TEMATICA

DELLA COMPUTER FORENSICS. IN SINTESI LA SUDDETTA LEGGE PREVEDE:

MODIFICHE AL CODICE PENALE CONCERNENTI LA CRIMINALITA' INFORMATICA,

INCLUSIONE DI DELITTI INFORMATICI E TRATTAMENTO ILLECITO DI DATI NEL CATALOGO DEI REATI PER I QUALI E' PREVISTA LA RESPONSABILITA' AMMINISTRATIVA DEGLI ENTI,

MODIFICHE AL CODICE DI PROCEDURA PENALE VOLTE A RENDERE OBBLIGATORIO PER LE FORZE DI POLIZIA L'UTILIZZO DI SPECIFICHE METODOLOGIE NEL CORSO DELLE INDAGINI INFORMATICHE,

MODIFICA DI PARTE DELLA DISCIPLINA SULLA DATA RETENTION CONTENUTA NELL'ART. 132 DEL D.LGS 196/2003 (PROTEZIONE DEI DATI PERSONALI)

Analisi forense:
l'acquisizione del dato

ACQUISIZIONE == ESTRAPOLAZIONE DEI DATI DAI LORO SUPPORTI ORIGINARI.

ATTENZIONE: E'LA FASE PIU' DELICATA E COMPLESSA IN ASSOLUTO, SE L'ACQUISIZIONE DI UN REPERTO VIENE ESEGUITA IN MODO NON CONFORME, L'ANALISI NON RISULTEREBBE VALIDA IN AMBITO DIBATTIMENTALE.

QUANDO ACQUISIRE IL DATO:

NELL' IMMEDIATEZZA DELL'INTERVENTO (SCENA DEL CRIMINE),

OPPURE IN UN SECONDO MOMENTO, IN LABORATORIO, ATTRAVERSO IL SEQUESTRO GIUDIZIARIO DEI SUPPORTI

MODI DI ACQUISIRE IL DATO:

ADOTTARE UNA PRECISA METODOLOGIA IN MODO DA COSTRUIRE PROVE ATTENDIBILI E INATTACCABILI IN SEDE DIBATTIMENTALE (A SECONDA DEL CASO),

COPIA FEDELE MEDIANTE BIT-STREAMING (NON SOLO DATI MA ANCHE TRACCE DI DATI CANCELLATI, NASCOSTI O CRITTOGRAFATI) ONDE EVITARE DI ALTERARE IL REPERTO ORIGINALE.

Analisi forense:
software open source per l'acquisizione

SOLUZIONI A CODICE APERTO:

DATASET DEFINITION (DD): TOOL SOLITAMENTE UTILIZZATO PER EFFETTUARE COPIE DI VARI TIPI DI SUPPORTI, SIANO ESSI AD ACCESSO CASUALE O SEQUENZIALE. E' TIPICAMENTE UTILIZZATO CON I BLOCK DEVICE.

QUAL'E' L'IDEA?

DD SFRUTTA L'ASTRAZIONE FORNITA DA UNIX PER RIUSCIRE A VEDERE QUALUNQUE DISPOSITIVO COME FOSSE UN NASTRO E NE COPIA OGNI SINGOLO BYTE SU UN ALTRO FILE

CARATTERISTICHE:

AL CONTRARIO DEI TOOLS PENSATI PER IL BACKUP, DD NON ESEGUE ALCUNA OTTIMIZZAZIONE NE' COMPRESSIONE, ANZI, I TEMPI DI COPIA ELEVATI GARANTISCONO UN'ASSOLUTA FEDELTA' TRA LA COPIA E IL DATO ORIGINALE

VARIANTI:

DDRESCUE: AL CONTRARIO DI DD, TENTA DI LEGGERE BLOCCHI DANNEGGIATI

DCFLDD: HASHING MULTIPLO E SCRITTURA SU LOG

Analisi forense:
software open source per l'acquisizione

IL PRIMO STEP E' L'ACQUISIZIONE DEL DEVICE RISCONTRATO MEDIANTE IL COMANDO fdisk -l CHE DA' COME OUTPUT LA LISTA DEI DISPOSITIVI ATTUALMENTE COLLEGATI AL SISTEMA

LA SINTASSI CHE CI PERMETTE DI CREARE UNA BIT-STREAM DEL DEVICE SARA'

PER DD:

dd if=/sorgente of=/destinazione

PER DDRESCUE:

dd_rescue /sorgente /destinazione/chiavettausb.img

IL PROGRAMMA TERMINERA' SENZA DARE ALCUN MESSAGGIO DI AVVENUTA ACQUISIZIONE PERTANTO BISOGNA RISCONTRARE A MANO L'ESISTENZA DEL FILE chiavettausb.img

PER DCFLDD:

dclfdd if=/sorgente of=/destinazione

Apertura terminale [da menu o ALT+F2, nome terminale]

Output di fdisk -l, localizzazione della partizione da analizzare (/dev/sdc)

DD applicato sull'intero device con interruzione inaspettata (o volontaria!)

DD applicato su una parte del device

DD applicato sull'intero device

DDRESCUE in azione

DCFLDD in azione

Analisi forense:
integrit del dato acquisito

L' IMPORTANZA DEL HASHING E DEL SUO OUTPUT: L' IMPRONTA DIGITALE

IMPORTANZA DEL CONFRONTO DEL VALORE OTTENUTO PRIMA E DOPO L'ANALISI (LA PROVA E' VALIDA SE I VALORI CORRISPONDONO)

ATTENZIONE: IN CASO CONTRARIO SI PASSA AL CONTROLLO DEGLI OUTPUT MEDIANTE MD5SUM E SHA1SUM

SINTASSI MD5SUM:

md5sum /dev/nomedevice/ PER IL DEVICE

md5sum /home/utente/analisi/chiavettausb.img PER L'IMMAGINE ACQUISITA

SINTASSI SHA1SUM:

sha1sum /dev/nomedevice/ PER IL DEVICE

sha1sum /home/utente/analisi/chiavettausb.img PER L'IMMAGINE ACQUISITA

Analisi forense:
AFF (Advanced Forensics Format)

AFF E' UNA RECENTE IMPLEMENTAZIONE OPEN SOURCE DISTRIBUITA SOTTO LICENZA BSD

CARATTERISTICA PRINCIPALE:

ANALOGAMENTE ALLA NORMALE BIT-STREAM IMAGE, AFF MEMORIZZA L'IMMAGINE IN MANIERA COMPRESSA ED INDIRIZZABILE CONSENTENDO LA MEMORIZZAZIONE DI META INFORMAZIONI SIA ALL'INTERNO DEL FILE CHE IN UN FILE ESTERNO COLLEGATO A QUELLO DI RIFERIMENTO.

ALTRE CARATTERISTICHE:

ACQUISIZIONE ED HASHING (SHA1 E MD5) AVVENGO IN CONTEMPORANEA,

PERMETTE L'APERTURA E LA LETTURA SENZA DOVER DECOMPRIMERE L'IMMAGINE

VISUALIZZAZIONE DETTAGLIATA SU SEGMENTI, META INFORMAZIONI, DATI SULLO HASH ....

PRODUCE FILE COMPRESSI PICCOLI.

Analisi forense:
acquisizione di device in sistemi RAID

LE OPERAZIONI FIN'ORA ELENCATE POSSONO ESSERE ESEGUITE IN SCENARI DIVERSI, A SECONDA DELLE CARATTERISTICHE DEL HARDWARE DEI DEVICE CHE DOBBIAMO ACQUISIRE

ATTENZIONE: RAID HARDWARE VS RAID SOFTWARE

UN ESEMPIO: HARD DISK IN RAID 5!

LA SINGOLA ACQUISIZIONE DEI DISPOSITIVI SARA' TOTALMENTE INUTILE PERCHE' NON AVENDO A DISPOSIZIONE GLI ALGORITMI UTILIZZATI DAL CONTROLLER RAID, NON SAREMO MAI IN GRADO DI LEGGERE IN MODO CORRETTO I DATI, PERTANTO IL REPERTO IN QUESTIONE SARA' INUTILIZZABILE

SOLUZIONE RAID HARDWARE:

ATTUARE L'ACQUISIZIONE LOCALMENTE AVVIANDO IL COMPUTER IN MODO TALE CHE IL CONTROLLER RENDA DISPONIBILE LA CORRETTA LETTURA DEL SISTEMA RAID PER POI POTER UTILIZZARE UN LIVE CD LINUX ACQUISENDO IL CONTENUTO DEL RAID COME SE FOSSE UN NORMALE HARD DISK STAND ALONE

SOLUZIONE RAID SOFTWARE:

E' D'OBBLIGO EFFETTUARE UNA COPIA DEI SINGOLI DISCHI NON POTENDO PREDETERMINARE, A PRIORI, CHE NON VI SIANO DATI AL DI FUORI DEL RAID!

Analisi forense: utilizzo di un live cd linux

DEFT, CAINE ED HELIX SONO DEI SISTEMI PER L'ANALISI FORENSE CONTENUTI IN UN SUPPORTO FISICO

ALCUNI PERMETTONO ANCHE DI LAVORARE LIVE SU ALTRI SISTEMI OPERATIVI. IN CASO CONTRARIO E' POSSIBILE EFFETTUARE UN BOOT DA CD-ROM (E NON SOLO) PER RITROVARSI IN UN AMBIENTE LINUX COMPLETO CON DECINE DI PROGRAMMI SPECIALIZZATI PER L'ANALISI FORENSE.

Analisi forense: utilizzo di un live cd linux

SPECIFICHE PARTICOLARITA':

DRIVER: HELIX IN PARTICOLARE INCORPORA UN NUMERO DI DRIVER (ANCHE PROPRIETARI) PER LA GESTIONE DI CONTROLLER DISCHI MOLTO SUPERIORE A QUELLO DELLE ALTRE DISTRIBUZIONI. LO SCOPO E' QUELLO DI FORNIRE UN SUPPORTO AI SISTEMI RAID QUANTO PIU' AMPIO POSSIBILE

INTERFACCIA: HANNO TUTTE UNA GUI SOLITAMENTE PIU' LEGGERA DEI COMUNI KDE E GNOME. DEFT E' L'UNICA CHE PARTE DI DEFAULT SENZA INTERFACCIA GRAFICA. TALE PARTICOLARITA' E' UTILE NEI SISTEMI CON POCA RAM

UTILIZZO: A GARANTIRE UN ULTERIORE LEGGEREZZA NESSUNA DELLE DISTRO CITATE UTILIZZERA' UN FILESYSTEM O UNA PARTIZIONE COME SWAP, ANCHE SE L'UTENTE CERCA DI FORZARE TALE COMPORTAMENTO

FILE SYSTEM: IL KERNEL E' COMPILATO IN MODO TALE DA VEDERE TUTTI I FILE SYSTEM SUPPORTATI DA LINUX, COMPRESI QUELLI MENO COMUNI E QUELLI ORAMAI OBSOLETI

TOOL: SI E' CERCATO DI INCLUDE QUALUNQUE TOOL OPEN SOURCE PER ANALISI FORENSE DISPONIBILE. INCORPORANDO ANCHE TOOLS GRATUITI NON OPEN SOURCE

Analisi forense: l'analisi del dato

LA PROCEDURA D' ANALISI VA ESEGUITA ESCLUSIVAMENTE SULLE COPIE FEDELI DEI DEVICE ACQUISITI

L'ANALISI DEVE ESSERE IN GRADO DI RINTRACCIARE TUTTE LE POSSIBILI PROVE INFORMATICHE UTILI AI FINI PROBATORI

NON TUTTE LE INFORMAZIONI, SONO FACILI DA VISUALIZZARE UN ESEMPIO:

I DATI CANCELLATI!

SOLUZIONE:

NELL'AMBITO DEI SOFTWARE OPEN SOURCE IL PROGRAMMA LEADER PER L'ANALISI FORENSE DI REPERTI E' LO SLEUTH KIT (INSIEME DI TOOLS RICHIAMABILI A LINEA DI COMANDO) UTILIZZABILE ANCHE MEDIANTE UNA WEB GUI: AUTOPSY

Analisi forense: Autopsy

SLEUTH KIT ED AUTOPSY COSTITUISCONO UN OTTIMO FRAMEWORK OPEN SOURCE PER L'ANALISI DI IMMAGINI E DEVICE CON SUPPORTO AD ALCUNI DEI PIU' DIFFUSI FILESYSTEM:

FAT 12, 16, 32 (DOS-LIKE, WINDOWS-LIKE)

NTFS (WINDOWS NT SERIES)

EXT2, EXT3 (GNU/LINUX)

UFS (UNIX, BSD)

ISO 9660 (CD-ROM)

ZFS (SOLARIS)

RAW

SWAP

MANCA, PURTROPPO, IL SUPPORTO PER HFS E HFS+ (MAC OS)

Analisi forense:
Autopsy - caratteristiche

INTERFACCIA GRAFICA E AMBIENTE DI COLLEGAMENTO DEI VARI PROGRAMMI,

GARANZIA DI INALTERABILITA' DEI DATI ANALIZZATI (ACCESSO IN SOLA LETTURA),

CALCOLO DI HASH MD5,

ACCURATA ANALISI DI DEVICE,

RECUPERO ED ESPORTAZIONE DI FILE CANCELLATI ,

RICERCA CON PAROLE CHIAVE SU FILE, SETTORI ALLOCATI E NON ALLOCATI,

ANALISI DI OGNI SINGOLO INODE DEL DEVICE ACQUISITO,

CREAZIONE DI TIMELINE,

CREAZIONE DI REPORT RIASSUNTIVI

Analisi del reperto utilizzando Autopsy

AUTOPSY SUPPORTA NATIVAMENTE SIA BIT-STREAM GREZZE, COME QUELLE ACQUISITE MEDIANTE DD ( E DERIVATI) SIA BIT-STREAM AVANZATE, COME QUELLE ACQUISITE IN FORMATO AFF O ENCASE*

ATTENZIONE: LA FASE DI ANALISI NON E' PER NULLA STANDARDIZZABILE

*SOFTWARE CLOSED SOURCE LEADER NELLA COMPUTER FORENSICS.

Analisi del reperto utilizzando Autopsy

Recupero file cancellati

Analisi del reperto utilizzando Autopsy

Timeline

Analisi forense: la Timeline

NELL'INFORMATICA FORENSE PER TIMELINE SI INTENDE UNA FOTOGRAFIA DI TUTTI GLI EVENTI STORICI AVVENUTI IN UN DETERMINATO SISTEMA..

ESSA VIENE CREATA METTENDO IN ORDINE CRONOLOGICO TUTTI GLI EVENTI SUCCESSIVI IN UN DETERMINATO TEMPO DI VITA DEL SISTEMA POSTO AD ANALISI

PERCHE' LA NECESSITA DI UNA TIMELINE? PERCHE' UN ELEMENTO FONDAMENTALE NELLA SCENA DEL CRIMINE E' IL TEMPO

ESEMPIO: CASO TIPICO IN CUI LE FORZE DELL'ORDINE HANNO A CHE FARE CON UN CADAVERE, LA PRIMA COSA CHIESTA AL MEDICO LEGALE E' STABILIRE DATA ED ORA DEL DECESSO

IMPORTANTE: AVERE DEI PUNTI DI RIFERIMENTO TEMPORALI AIUTA LA RICERCA E L'ANALISI DEI DATI .

PRECISAZIONE: LA TIMELINE VIENE CREATA A SECONDA DELLA DATA DEL SISTEMA, PERTANTO, AD ESEMPIO, SE IL PROPRIETARIO DEL PC CHE STIAMO ANALIZZANDO NON HA IMPOSTATO CORRETTAMENTE LA DATA DEL SISTEMA OPERATIVO I RIFERIMENTI TEMPORALI RISULTANO INATTENDIBILI .

Analisi forense: limiti e ostacoli

CRITTOGRAFIA: NESSUNO DEI PROTOCOLLI SIMMETRICI UTILIZZATI FIN'ORA (3DES, AES-128, AES-254, BLOWFISH, TWOFISH) PRESENTA VULNERABILITA' TALI DA RENDERLI ATTACCABILI CON METODI CRITTOANALITICI ATTI A RIDURRE LA VARIABILITA' DELLO SPAZIO DI CHIAVI

SOLUZIONE 1: ATTACCO DI FORZA BRUTA (METTETE IN PREVENTIVO QUALCHE MIGLIAIO DI ANNI PER PROVARE TUTTE LE COMBINAZIONI POSSIBILI !!!)

SOLUZIONIE 2: AGGIRARE L'OSTACOLO. COME:

FILE TEMORANEI

FILE CANCELLATI

BACKUP

STEGANOGRAFIA: TECNICA DI CRITTOGRAFIA GRAZIE ALLA QUALE E' POSSIBILE INSERIRE DELLE INFORMAZIONI NASCOSTE ALL'INTERNO DI UN FILE VETTORE

SOLUZIONE: DATO CHE IN QUESTO CASO IL RISULTATO NON E' PER NULLA CERTO, ANZI, SI POTREBBE UTILIZZARE IL PROGRAMMA STEGANOGRAFICO CHE POTREBBE AVER CREATO IL FILE E INDOVINARE LA PASSWORD CORRETTA (BASSISSIMA PROBABILITA' DI SUCCESSO !!!)

DATA HIDING & VIRTUALIZZAZIONE

Analisi forense: casi reali

FURTO DI UN PORTATILE

ANTEFATTO

VIENE RUBATO UN PORTATILE A UN INGEGNERE DI UNA NOTA SOCIETA'. IL PORTATILE VIENE RITROVATO 3 GIORNI DOPO DALLA POLIZIA

RICHIESTA

VERIFICARE COSA SIA ACCADUTO AI DATI IN QUEI GIORNI

OPERAZIONI & TECNICHE UTILIZZATE

SMONTAGGIO DEL DISCO, COLLEGAMENTO DELLO STESSO AD UNA MACCHINA DI ANALISI E UTILIZZO DI DD PIU' VALIDAZIONE TRAMITE HASH

DEFINIZIONE ED ANALISI DI UNA TIMELINE GENERATA GRAZIE AD AUTOPSY SERVIRA' A CAPIRE COSA E' ACCADUTO NEI GIORNI IN CUI IL PORTATILE NON E' STATO TRA LE MANI DEL LEGITTIMO PROPRIETARIO

RISULTATO

IL PORTATILE E' STATO ACCESO UN' ORA DOPO IL FURTO. TUTTI I FILE DI TIPO AUTOCAD (*.DWG) SONO STATI LETTI E SONO STATI COPIATI SU UN SUPPORTO USB COLLEGATO AL SISTEMA. IL FURTO NON E' STATO CASUALE !

Analisi forense: casi reali

INTECETTAZIONI SU SKYPE

ANTEFATTO

UN PUBBLICO MINISTERO SOSPETTA DI ATTIVITA' EVERSIVA UN INDIVIDUO CHE COMUNICA REGOLARMENTE TRAMITE SKYPE

RICHIESTA

OTTENERE IL TRAFFICO IN CHIARO IN MODO DA DETERMINARE LE ATTIVITA' DEL SOSPETTO

OPERAZIONI & TECNICHE UTILIZZATE

REALIZZAZIONE DI UN TROJAN IN GRADO DI COLLEGARSI AI CANALI DI ENTRATA E USCITA DELLA SCHEDA AUDIO E DI REGISTRARNE IL FLUSSO AI FINI DI INTERCETTAZIONE. VIENE GENERATO UN PROBLEMA E VIENE SPEDITO A CASA DEL SOSPETTO UN DIAGNOSTICO CONTENENTE UN TROJAN.

IL TROJAN SPEDISCE I DATI TRAMITE UN SERVER FTP APPOSITAMENTE PREPARATO

RISULTATO

I FILE AUDIO EVIDENZIANO L'ATTIVITA' EVERSIVA DEL SOSPETTO

Analisi forense: casi reali

SPIONAGGIO INDUSTRIALE

ANTEFATTO

UN'AZIENDA LEADER IN UN MERCATO DI NICCHIA ALTAMENTE SPECIALIZZATO SCOPRE CHE ALCUNE FABBRICHE IN UNA NAZIONE STRANIERA PRODUCONO PEZZI DI RICAMBIO PER I SUOI APPARECCHI, MACCHINE CHE DATA LA SPECIFICITA' SONO A TUTTI GLI EFFETTI PEZZI UNICI E PER LE QUALI NON SEMBRA IPOTIZZABILE NE' POSSIBILE L'INVESTIMENTO, DA PARTE DI UN'AZIENDA CONCORRENTE, DELLE RISORSE ECONOMICHE NECESSARIE PER ALIMENTARE UN REPARTO DI RICERCA E SVILUPPO IN GRADO DI ALLINEARE I PEZZI DI RICAMBIO ALLE PERFORMANCE OFFERTE DALLA DITTA TITOLARE DEI BREVETTI. LA SITUAZIONE E' RESA PIU' SOSPETTA DAL FATTO CHE L'ORDINE DEI PEZZI DI RICAMBIO AVVIENE CON GLI STESSI CODICI DEI PEZZI ORIGINALI

RICHIESTA

TROVARE RISCONTRO IN UNA FUGA DI INFORMAZIONI

OPERAZIONI & TECNICHE UTILIZZATE (1/2)

UTILIZZANDO IL SOFTWARE CHE HA DATO ORIGINE AL PROGETTO, SE NE MODIFICA UN PEZZO DELLO STESSO. TALE OPERAZIONE E' UTILE PER CAPIRE SE IL PROGETTO E' MODIFICATO DALL'INTERNO DELL'AZIENDA O SE MAGARI E' OTTENUTO TRAMITE UN'OPERAZIONE DI REVERSE ENGINEERING.

Analisi forense: casi reali

OPERAZIONI & TECNICHE UTILIZZATE (2/2)

VIENE USATA A MO' DI SONDA UNA MACCHINA LINUX POSTA SULLA BACK-BONE AZIENDALE CON UNA VERSIONE DI SNORT IN GRADO DI INTERCETTARE IL CODICE DEL PEZZO MODIFICATO E DI SALVARE IL TRAFFICO DI RETE CONSEGUENTE. LO SCOPO, NATURALMENTE, E' CAPIRE CHI POSSA AVER AVUTO ACCESSO AD UN FILE CONTENENTE IL PROGETTO DI UN PEZZO OBSOLETO. IL PEZZO VIENE ORDINATO AD UNA DELLE FABBRICHE CONCORRENTI. DAL PASSAGGIO PRECEDENTE, LA SONDA HA EVIDENZIATO IL PLOTTAGGIO DEL PROGETTO DA PARTE DI UN UTENTE (CON NATURALMENTE UN SET DI REGOLE CREATE AD HOC BASATE SU KEYWORDS E CODICI DI PROGETTO). AL DI FUORI DELL'ORARIO DI LAVORO VIENE ESEGUITO IL PLOTTING DEL PEZZO MODIFICATO E SI PROVVEDE AL SALVATAGGIO DEL TRAFFICO E DEI LOG DEL DATABASE CHE CONTIENE TUTTI I PROGETTI AZIENDALI. IL PEZZO MODIFICATO REALIZZATO VIENE CONSEGNATO AL CLIENTE, ONDE DESTARE ALTRI SOSPETTI DI ALLERTA SU CONTROSPIONAGGIO INDUSTRIALE

RISULTATO

E' STATO DIMOSTRATO CHE UN IMPIEGATO SOTTRAEVA I PROGETTI DAI DATABASE DELL'AZIENDA. IL FATTO CHE IL PEZZO MODIFICATO SIA STATO CONSEGNATO AL CLIENTE HA DIMOSTRATO SENZA OMBRA DI DUBBIO CHE NON SIA STATO OTTENUTO STUDIANDO UNA MACCHINA REALE

Boxroom e non solo!

ALLESTIMENTO DI UN LABORATORIO DI ANALISI,

METODOLOGIE DI ANALISI E LAVORO DI SQUADRA,

ANALISI DI UN SISTEMA WINDOWS,

ANALISI DI UN SISTEMA MAC OS X,

ANALISI DI UN SISTEMA LINUX,

ANALISI DEI SUPPORTI OTTICI,

MOBILE FORENSICS,

ANALISI DI MEDIA NON CONVENZIONALI,

NETWORK FORENSICS

Conclusioni

NON C'E' NULLA DI PEGGIO DEL NON SAPERE CHE COSA HAI DAVANTI

Muokkaa otsikon tekstimuotoa napsauttamalla

Muokkaa jsennyksen tekstimuotoa napsauttamalla

Toinen jsennystaso

Kolmas jsennystaso

Neljs jsennystaso

Viides jsennystaso

Kuudes jsennystaso

Seitsems jsennystaso

Kahdeksas jsennystaso

Yhdekss jsennystaso