CORSO DI INFORMATICA FORENSE – Il ruolo del computer
di Luca Savoldi
Luca Savoldi
Corso di INFORMATICA FORENSE (A.A. 2013/2014)
Il ruolo del computer e dei dispositivi informatici nell’azione criminale
DirICTo
Attività seminariale nell’ambito del Corso di Laurea Magistrale in Ingegneria delle Telecomunicazioni – insegnamento di Diritto dell’Informatica e delle Nuove Tecnologie (coordinamento delle attività a cura di Massimo Farina)
CORSO DI INFORMATICA FORENSE – Il ruolo dei dispositivi informatici nell’azione criminale
di Luca Savoldi
CORSO DI INFORMATICA FORENSE – Il ruolo dei dispositivi informatici nell’azione criminale
di Luca Savoldi
CORSO DI INFORMATICA FORENSE – Il ruolo dei dispositivi informatici nell’azione criminale
di Luca Savoldi
CORSO DI INFORMATICA FORENSE – Il ruolo dei dispositivi informatici nell’azione criminale
di Luca Savoldi
CORSO DI INFORMATICA FORENSE – Il ruolo dei dispositivi informatici nell’azione criminale
di Luca Savoldi
CORSO DI INFORMATICA FORENSE – Il ruolo dei dispositivi informatici nell’azione criminale
di Luca Savoldi
•Il 60% della popolazione mondiale (tutti inclusi) possiede almeno un telefonino.
•Il 51% compra un nuovo spazzolino almeno una volta all’anno
CORSO DI INFORMATICA FORENSE – Il ruolo dei dispositivi informatici nell’azione criminale
di Luca Savoldi
CORSO DI INFORMATICA FORENSE – Il ruolo dei dispositivi informatici nell’azione criminale
di Luca Savoldi
CORSO DI INFORMATICA FORENSE – Il ruolo del computer
di Luca Savoldi
STERMINIO DELLA FAMIGLIA KINDER Analisi caso reale
CORSO DI INFORMATICA FORENSE – Il ruolo dei dispositivi informatici nell’azione criminale
di Luca Savoldi
Serial Killer famiglia Kinder
1
CORSO DI INFORMATICA FORENSE – Il ruolo dei dispositivi informatici nell’azione criminale
di Luca Savoldi
Serial Killer famiglia Kinder
2
CORSO DI INFORMATICA FORENSE – Il ruolo dei dispositivi informatici nell’azione criminale
di Luca Savoldi
Serial Killer famiglia Kinder
3
CORSO DI INFORMATICA FORENSE – Il ruolo dei dispositivi informatici nell’azione criminale
di Luca Savoldi
• In una giornata tra app e servizi il nostro smatphone viene tracciato da almeno 20 sorgenti
• Vengono tracciate più di 100 posizioni
• Queste, in primo livello, sono registrate su almeno 100 server. Impossibile stabilire i livelli successivi
Siamo continuamente tracciati
CORSO DI INFORMATICA FORENSE – Il ruolo dei dispositivi informatici nell’azione criminale
di Luca Savoldi
• Per mancanza di una legislazione unica è difficile recuperare queste informazioni dai server
• Su un dispositivo, sebbene non dovrebbe essere così, si possono recuperare buona parte di queste informazioni (molte più su Android)
..ma nessuno ci può dare l’informazione
CORSO DI INFORMATICA FORENSE – Il ruolo dei dispositivi informatici nell’azione criminale
di Luca Savoldi
Regola n.1 della computer forensics: l’acquisizione deve essere RIPETIBILE
•Bisogna “congelare” il dato informatico ed esaminare successivamente una copia dell’originale…
•Se viene commesso un errore non si può cliccare sul tasto “annulla”…
Ctrl Z Ctrl Z Ctrl Z (o cmd Z..)
CORSO DI INFORMATICA FORENSE – Il ruolo del computer
di Luca Savoldi
Computer Forensics
Computer Forensics
Disciplina che si occupa:
• dell'identificazione
• dell’acquisizione
• della preservazione
• dello studio e analisi
• della documentazione
delle memorie rilevate nei computer o sistemi informativi in
generale, al fine di evidenziare prove per scopi di indagine.
CORSO DI INFORMATICA FORENSE – Il ruolo dei dispositivi informatici nell’azione criminale
di Luca Savoldi
• Con la Legge 48/2008 sono state introdotte una serie di modifiche nel Codice di Procedura Penale che di fatto riconoscono la digital evidence e ne normano il trattamento.
Cosa dice la Legge
CORSO DI INFORMATICA FORENSE – Il ruolo dei dispositivi informatici nell’azione criminale
di Luca Savoldi
•Articolo 244, comma 2 del codice di procedura penale: «..,anche in relazione a sistemi informatici o telematici, adottando misure tecniche dirette ad assicurare la conservazione dei dati originali e ad impedirne l'alterazione» •Articolo 247 del codice di procedura penale: «Comma 1-bis. Quando vi e fondato motivo di ritenere che dati, informazioni, programmi informatici o tracce comunque pertinenti al reato si trovino in un sistema informatico o telematico, ancorche protetto da misure di sicurezza, ne e disposta la perquisizione, adottando misure tecniche dirette ad assicurare la conservazione dei dati originali e ad impedirne l'alterazione.»
Cosa dice la Legge
CORSO DI INFORMATICA FORENSE – Il ruolo dei dispositivi informatici nell’azione criminale
di Luca Savoldi
• Articolo 260 del codice di procedura penale: • Comma 1: «..con altro mezzo» .. «, anche di carattere elettronico o
informatico,»
• Comma 2: «Quando si tratta di dati, di informazioni o di programmi informatici, la copia deve essere realizzata su adeguati supporti, mediante procedura che assicuri la conformita della copia all'originale e la sua immodificabilita; in tali casi, la custodia degli originali puo essere disposta anche in luoghi diversi dalla cancelleria o dalla segreteria»
Cosa dice la Legge
CORSO DI INFORMATICA FORENSE – Il ruolo dei dispositivi informatici nell’azione criminale
di Luca Savoldi
Rilevare sempre lo scarto orario durante le acquisizioni.
•Ma non dimentichiamoci anche dei LOG. Uno degli errori classici che avviene nell’interpretazione dei LOG, è quella di non dare importanza ai simboli e numeri rappresentati vicino l’ora… Abbiamo orari GMT, UTC (Zulu)…..
L’importanza del TEMPO
CORSO DI INFORMATICA FORENSE – Il ruolo dei dispositivi informatici nell’azione criminale
di Luca Savoldi
Una fase del repertamento: • Rilevazione dello scarto
orario dal bios del computer analizzato:
• Avere sempre un orologio
preciso e sincronizzato
• Accedete al bios solo dopo aver scollegato le memorie di massa
Fare foto o, meglio, riprendere con una videocamera!
L’importanza del TEMPO
CORSO DI INFORMATICA FORENSE – Il ruolo del computer
di Luca Savoldi
EVITARE ASSOLUTAMENTE:
• FRETTA: vi farà perdere la concentrazione e “agevolerà” l’errore umano
• STRUMENTI IMPROVVISATI e non collaudati
• STRESS da troppo lavoro
• Collaboratori agitati che non vedono l’ora di accendere quel maledetto PC
• Di improvvisare, ovvero fare cose di cui non si ha padronanza assoluta
CORSO DI INFORMATICA FORENSE – Il ruolo del computer
di Luca Savoldi
Computer Forensics
Alcune best practices:
• Maneggiare sempre i reperti con guanti elettrostatici
• Fotografare e documentare tutte le fasi di acquisizione
• Eseguire sempre il wipe sicuro dei dischi di destinazione conservandone un log
• Utilizzare sempre il write blocker hardware per proteggere i dischi sorgente
• Calcolare sempre l’impronta hash del disco sorgente e dei file interessanti
• Custodire sempre i dischi in buste elettrostatiche e in contenitori anticaduta
• Eseguire l’analisi in ambiente sterile (?)
• Garantire la riservatezza, integrità e disponibilità dei dati trattati
Alcuni consigli:
• Effettuare la copia in formato DD in porzioni da 2 Gb (portabilità e compatibilità)
• Di fronte ad un sistema non conosciuto non improvvisare ma prendere le
opportune precauzioni con i giusti tempi (vedi RAID con controller proprietario o
sistemi Legacy)
CORSO DI INFORMATICA FORENSE – Il ruolo del computer
di Luca Savoldi
Dati, metadati e l'utilità dell'HASH
Normative e best practices parlano di:
Sigillo digitale = HASH
Catena di Custodia = Chain of Custody
Sono elementi “fondamentali” per la
formazione della “prova informatica”
NON SONO OPTIONAL !!!
CORSO DI INFORMATICA FORENSE – Il ruolo del computer
di Luca Savoldi
Allegare al reperto sempre il documento di
Catena di Custodia (Chain of Custody)
Questo documento riporta tutti dati
utili a tracciare le attività svolte sulla
digital evidence custodita.
Dati fondamentali sono ad esempio
i codici di hash, i dati fisici del disco,
chi, come, quando, dove e perché ha
avuto accesso alla digital evidence.
CORSO DI INFORMATICA FORENSE – Il ruolo dei dispositivi informatici nell’azione criminale
di Luca Savoldi
•La catena di custodia è un’operazione relativamente semplice ma deve essere eseguita correttamente e con molta attenzione
•Anche il supporto/dispositivo oggetto dell’analisi deve essere protetto in modo premuroso
La catena di custodia
CORSO DI INFORMATICA FORENSE – Il ruolo del computer
di Luca Savoldi
Catena di Custodia
•Terminata l’acquisizione procedere immediatamente alla custodia del disco originale. •Operazione fondamentale: creare in questa fase la Catena di Custodia
La catena di custodia
CORSO DI INFORMATICA FORENSE – Il ruolo del computer
di Luca Savoldi
Catena di Custodia
• Proteggere il
supporto • (esempio) inserire il
supporto in una busta elettrostatica e poi avvolgerlo con un involucro antiurto
La catena di custodia
CORSO DI INFORMATICA FORENSE – Il ruolo del computer
di Luca Savoldi
Catena di Custodia
• Inserire tutto dentro una busta
La catena di custodia
CORSO DI INFORMATICA FORENSE – Il ruolo del computer
di Luca Savoldi
Catena di Custodia
• Porre le firme da coprire con nastro antieffrazione o ceralacca
La catena di custodia
CORSO DI INFORMATICA FORENSE – Il ruolo del computer
di Luca Savoldi
Catena di Custodia
• Ripiegate poi la busta e ripetete la stessa operazione. Si può usare anche spago con ceralacca o altro.....
La catena di custodia
CORSO DI INFORMATICA FORENSE – Il ruolo del computer
di Luca Savoldi
Gli strumenti: HW: Write Blocker semplici ed avanzati
SW Open: CAINE e DEFT
SW Closed Freeware: USB Write Blocker,
AccessData FTK Imager, MFT Ripper, ecc.
SW Closed: FTK, Encase, X-Ways Forensics, Paraben Replicator, Chat Examiner,
ecc.
CORSO DI INFORMATICA FORENSE – Il ruolo del computer
di Luca Savoldi
Strumenti Computer Forensic
CORSO DI INFORMATICA FORENSE – Il ruolo del computer
di Luca Savoldi
• Logicube Celldek
Strumenti Mobile Forensic
CORSO DI INFORMATICA FORENSE – Il ruolo del computer
di Luca Savoldi
CAINE is an Italian GNU/Linux live
distribution created as a project of Digital
Forensics .
Windows Side Ready
CORSO DI INFORMATICA FORENSE – Il ruolo del computer
di Luca Savoldi
Xubuntu Kernel 2.6.31 (Linux side)
DEFT Extra 2.0 (Computer Forensic GUI) with
the best freeware Windows Computer
Forensic s tools
CORSO DI INFORMATICA FORENSE – Il ruolo dei dispositivi informatici nell’azione criminale
di Luca Savoldi
CORSO DI INFORMATICA FORENSE – Il ruolo dei dispositivi informatici nell’azione criminale
di Luca Savoldi
40
Attribuzione - Non Commerciale - Condividi allo stesso modo 3.0
o Tu sei libero:
• di riprodurre, distribuire, comunicare al pubblico, esporre in pubblico, rappresentare, eseguire o recitare l'opera;
• di modificare quest’opera;
• Alle seguenti condizioni: Attribuzione. Devi attribuire la paternità dell’opera nei modi indicati
dall’autore o da chi ti ha dato l’opera in licenza e in modo tale da non suggerire che essi avallino te o il modo in cui tu usi l’opera.
Non commerciale. Non puoi usare quest’opera per fini commerciali. Condividi allo stesso modo. Se alteri, trasformi quest’opera, o se la usi per
crearne un’altra, puoi distribuire l’opera risultante solo con una licenza identica o equivalente a questa.
o In occasione di ogni atto di riutilizzazione o distribuzione, devi chiarire agli altri i termini della licenza di quest’opera.
o Se ottieni il permesso dal titolare del diritto d'autore, è possibile rinunciare ad ognuna di queste condizioni.
o Le tue utilizzazioni libere e gli altri diritti non sono in nessun modo limitati da quanto sopra
Top Related