Ordine degli Ingegneri della Provincia di Arezzo29 marzo 2017

Digital ForensicMetodologie di analisi della prova digitaleMarco Marcellini

Digital forensic: una definizioneDigital forensic: una definizione

• Il processo di identificazione, conservazione, analisi e presentazione della– DIGITAL EVIDENCE, ovvero la prova legale

ottenuta attraverso strumenti digitali;

• La raccolta e analisi di dati secondo una prassi che ne garantisca la libertà da distorsioni e pregiudizi, cercando di ricostruire dati e azioni avvenuti nel passato all’interno del sistema informatico (Vaciago 2012)

Digital forensic: definizioneDigital forensic: definizione

• Computer forensic → Digital forensic

• I cinque punti cardine sono:– IDENTIFICAZIONE– ACQUISIZIONE– CONSERVAZIONE (catena di custodia)– DOCUMENTAZIONE– INTERPRETAZIONE

• del dato digitale

• Nel sistema legislativo italiano tre sono gli strumenti di analisi della prova digitale: accertamenti tecnici, incidente probatorio e perizia

Digital evidence e sistema giuridico:Digital evidence e sistema giuridico:

• ACCERTAMENTI TECNICI - Artt. 359 e 360 c.p.p.

• Art. 359 c.p.p.• Consulenti tecnici del pubblico ministero.

– Il pubblico ministero, quando procede ad accertamenti, rilievi segnaletici, descrittivi o fotografici e ad ogni altra operazione tecnica per cui sono necessarie specifiche competenze, puo nominare e avvalersi di consulenti, che non possono rifiutare la loro opera.

– Il consulente puo essere autorizzato dal pubblico ministero ad assistere a singoli atti di indagine.

Accertamenti tecnici NON RIPETIBILI:Accertamenti tecnici NON RIPETIBILI:

• Art. 360 c.p.p.• (c.1) Quando gli accertamenti previsti dall'articolo

359 riguardano persone, cose o luoghi il cui stato e soggetto a modificazione, il pubblico ministero avvisa, senza ritardo, la persona sottoposta alle indagini, la persona offesa dal reato e i difensori del giorno, dell'ora e del luogo fissati per il conferimento dell'incarico e della facolta di nominare consulenti tecnici.

• (c.3) I difensori nonche i consulenti tecnici eventualmente nominati hanno diritto di assistere al conferimento dell'incarico, di partecipare agli accertamenti e di formulare osservazioni e riserve.

Incidente probatorio:Incidente probatorio:

• Artt. 392 e ss. c.p.p.• 1. Nel corso delle indagini preliminari il pubblico

ministero e la persona sottoposta alle indagini possono chiedere al giudice che si proceda con INCIDENTE PROBATORIO:

...• f) a una perizia o a un esperimento giudiziale, se la

prova riguarda una persona, una cosa o un luogo il cui stato e soggetto a modificazione non evitabile;

• g) a una ricognizione, quando particolari ragioni di urgenza non consentono di rinviare l'atto al dibattimento.

...

La PERIZIA in sede dibattimentale:La PERIZIA in sede dibattimentale:

• Artt. 220 e ss. c.p.p.• 1. La perizia e ammessa quando occorre

svolgere indagini o acquisire dati o valutazioni che richiedono specifiche competenze tecniche, scientifiche o artistiche.

• 2. Salvo quanto previsto ai fini dell'esecuzione della pena o della misura di sicurezza, non sono ammesse perizie per stabilire l'abitualita o la professionalita nel reato, la tendenza a delinquere, il carattere e la personalita dell'imputato e in genere le qualita psichiche indipendenti da cause patologiche.

Indicazioni tecniche che derivano dall’orientamento normativoIndicazioni tecniche che derivano dall’orientamento normativo• Preservare più possibile la ripetibilità dell’analisi

tecnica; quando non possibile, richiedere le notifiche ex art. 360 c.p.p.

• Nella DIGITAL FORENSIC, non esiste una metodologia tecnica stabilita dalla legge, esistono solo BEST PRACTICES

• La RIPETIBILITA’ dell’analisi implica anche la ripetibilità dei risultati ottenuti

Quale software scegliere ?Quale software scegliere ?

• OPEN SOURCE vs SOFTWARE COMM.LE

• In medio stat virtus

Il laboratorio dell’analista forenseIl laboratorio dell’analista forense

• E’ necessaria una buona dotazione di:

– Storage, connessione veloce

– Adattatori e cavi, anche per tecnologie obsolete. Attrezzature portatili

– Collaboratori e laboratori esterni

– Pazienza e creatività…

–

Parte II: saper fareParte II: saper fare

• Le BEST PRACTICES prevedono metodologie specifiche per le fasi di:

– IDENTIFICAZIONE

– ACQUISIZIONE

– CONSERVAZIONE

– DOCUMENTAZIONE

– INTERPRETAZIONE del DATO DIGITALE

Sistema Operativodel dispositivo sequestrato

OBIETTIVO della ricerca(tipo di reato contestato)

SCELTAdel

METODO

HARD-DISK, partizioni, tipi di file systemHARD-DISK, partizioni, tipi di file system

• Write blockers o montaggio read-only

• Capire la struttura del disco con FDISK e GPARTED

• Strumenti per creare IMMAGINE FORENSE

• Calcolo dell’HASH, MD5, SHA1, SHA256

• Tecniche di wiping dei dischi, shred

Memorie volatili: analisi della RAMMemorie volatili: analisi della RAM

• In base all’obiettivo dell’indagine (o al quesito oggetto dell’incarico) può essere un fattore determinante in quanto contiene

• Fondamentale sotto Windows il contenuto dei files “hiberfile.sys” e “pagefile.sys”, che il pc salva in fase di ibernazione e di swapping

Tipologia di files e MAGIC NUMBERSTipologia di files e MAGIC NUMBERS

• xxxxx.yyy → NON FIDARSI DELL’ESTENSIONE di Windows

• Utilizzare il comando file o un editor esadecimale

• ESERCITAZIONE: acquisizione, hash, analisi e data-recovery

LINUX: forensic distro e suite integrateLINUX: forensic distro e suite integrate

• Distribuzioni Linux: Deft e Caine

• Tools per Windows: DART

• Encase-like tools: TSK & Autopsy4

Strumenti per data-recoveryStrumenti per data-recovery

• Il recupero dei dati cancellati attraverso la metodologia del FILE CARVING

• Strumenti open-source e freeware: Photorec e Recuva

• La necessità di garantire la ripetibilità dell’analisi

• Il recupero dei dati cancellati da smartphones e tablet è possibile, ma richiede il rooting del telefono e l’uso di tools specifici

Network forensicsNetwork forensics

• La fonte di informazioni più importante sulle risorse Internet è la rete stessa

• Strumenti come whois, nmap, wireshark consentono di controllare e monitorare le risorse in Rete

• Emergono nuove problematiche d’indagine legate alla diffusione della navigazione anonima (Tor Browser) e del deep web

Phone forensicPhone forensic

• Strumenti di comunicazione altamente specializzati, smartphones e tablet richiedono metodologie specifiche

• Strumenti open non ancora maturi

• ADB shell, rooting, Ios Backup