L’ACQUISIZIONE DIEVIDENZE DIGITALI NELQUADRO NORMATIVOITALIANOGiuseppe DEZZANIgd@difob.it
Legge 48/2008L’importanza dellaLegge 48/2008per le modifiche introdotte nelCodice di Procedura PenaleDeftConf 2012 - Torin...
Le modifiche al codice di procedurapenale•  1. Allarticolo 244, comma 2, secondo periodo, del codicedi procedura penale so...
Le modifiche al codice di procedurapenale•  2. Allarticolo 247 del codice di procedura penale, dopo ilcomma 1 è inserito i...
Le modifiche al codice di procedurapenale•  7. Allarticolo 259, comma 2, del codice di procedurapenale, dopo il primo peri...
Le modifiche al codice di procedurapenale• Allarticolo 260 del codice di procedurapenale sono apportate le seguentimodific...
Le procedure di Acquisizione• RFC3227Capture as accurate a picture of the system as possibleDeftConf 2012 - Torino - 30 Ma...
Le procedure di Acquisizione• RFC3227Keep detailed notesDeftConf 2012 - Torino - 30 Marzo 2012 22
Le procedure di Acquisizione• RFC3227Note the difference between the system clock and UTC.DeftConf 2012 - Torino - 30 Marz...
Le procedure di Acquisizione• RFC3227Minimise changes to the data as you are collecting it.DeftConf 2012 - Torino - 30 Mar...
Le procedure di Acquisizione• RFC3227Remove external avenues for changeDeftConf 2012 - Torino - 30 Marzo 2012 22
Le procedure di Acquisizione• RFC3227When confronted with a choice between collection andanalysis you should do collection...
Le procedure di Acquisizione• RFC3227Proceed from the volatile to the less volatileDeftConf 2012 - Torino - 30 Marzo 2012 22
Acquisizione della memoria RAM(Windows)DeftConf 2012 - Torino - 30 Marzo 2012 22
Acquisizione della memoria RAM(Windows):DeftConf 2012 - Torino - 30 Marzo 2012 22
Acquisizione della memoria RAM (Linux):Linea di Comando !dd if=/dev/fmem of=“memdump” bs=…Potete/dovete installare una pat...
Acquisizione della memoria RAM (MAC):Mac Memory Readerhttp://cybermarshal.com/index.php/cyber-marshal-utilities/mac-memory...
Acquisizione della memoria RAM (MAC):DeftConf 2012 - Torino - 30 Marzo 2012 22
Acquisizione della memoria RAM (Tutti):Questi tools non calcolano l’hash del file risultatodell’acquisizione, ricordate di...
Acquisizione di un RepertoMa ci ricordiamo di fare sempre tutto ?DeftConf 2012 - Torino - 30 Marzo 2012 22
RepertAPP (Anteprima)Per fare tutto quello che abbiamo detto … e nondimenticare nulla ! Abbiamo realizzato «RepertAPP»Trov...
RepertAPPCosa farà RepertAPP :-  Acquisizione di informazioni sul Caso-  Acquisizione di note-  Verifica dell’orario e cal...
RepertAPPReport :-  Tutti i dati verranno trasmessi ad una casella DROPBOX,in una sottocartella con il nome con cui abbiam...
RingraziamentiGrazieGiuseppe DEZZANIStudio Associato Di.Fo.B. – Torinogd@difob.itDeftConf 2012 - Torino - 30 Marzo 2012 22
Upcoming SlideShare
Loading in …5
×

DEFTCON 2012 - Giuseppe Dezzani - L'acquisizione di evidenze digitali nel quadro normativo italiano

277 views
204 views

Published on

0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total views
277
On SlideShare
0
From Embeds
0
Number of Embeds
2
Actions
Shares
0
Downloads
11
Comments
0
Likes
0
Embeds 0
No embeds

No notes for slide

DEFTCON 2012 - Giuseppe Dezzani - L'acquisizione di evidenze digitali nel quadro normativo italiano

  1. 1. L’ACQUISIZIONE DIEVIDENZE DIGITALI NELQUADRO NORMATIVOITALIANOGiuseppe DEZZANIgd@difob.it
  2. 2. Legge 48/2008L’importanza dellaLegge 48/2008per le modifiche introdotte nelCodice di Procedura PenaleDeftConf 2012 - Torino - 30 Marzo 2012
  3. 3. Le modifiche al codice di procedurapenale•  1. Allarticolo 244, comma 2, secondo periodo, del codicedi procedura penale sono aggiunte, in fine, le seguentiparole:•  «,anche in relazione a sistemi informatici o telematici,adottando misure tecniche dirette ad assicurare laconservazione dei dati originali e ad impedirnelalterazione».DeftConf 2012 - Torino - 30 Marzo 2012 22
  4. 4. Le modifiche al codice di procedurapenale•  2. Allarticolo 247 del codice di procedura penale, dopo ilcomma 1 è inserito il seguente:•  «1-bis. Quando vi è fondato motivo di ritenere che dati,informazioni, programmi informatici o tracce comunquepertinenti al reato si trovino in un sistema informatico otelematico, ancorché protetto da misure di sicurezza, ne èdisposta la perquisizione, adottando misure tecnichedirette ad assicurare la conservazione dei dati originali ead impedirne lalterazione».DeftConf 2012 - Torino - 30 Marzo 2012 22
  5. 5. Le modifiche al codice di procedurapenale•  7. Allarticolo 259, comma 2, del codice di procedurapenale, dopo il primo periodo è inserito il seguente:•  «Quando la custodia riguarda dati, informazioni o programmiinformatici, il custode è altresì avvertito dellobbligo diimpedirne lalterazione o laccesso da parte di terzi, salva, inquestultimo caso, diversa disposizione dellautorità giudiziaria».DeftConf 2012 - Torino - 30 Marzo 2012 22
  6. 6. Le modifiche al codice di procedurapenale• Allarticolo 260 del codice di procedurapenale sono apportate le seguentimodificazioni:•  a) al comma 1, dopo le parole: «con altro mezzo» sono inserite leseguenti: «, anche di carattere elettronico o informatico,»;•  b) al comma 2 è aggiunto, in fine, il seguente periodo: «Quando sitratta di dati, di informazioni o di programmi informatici, la copiadeve essere realizzata su adeguati supporti, mediante procedurache assicuri la conformità della copia alloriginale e la suaimmodificabilità; in tali casi, la custodia degli originali può esseredisposta anche in luoghi diversi dalla cancelleria o dalla segreteria».DeftConf 2012 - Torino - 30 Marzo 2012 22
  7. 7. Le procedure di Acquisizione• RFC3227Capture as accurate a picture of the system as possibleDeftConf 2012 - Torino - 30 Marzo 2012 22
  8. 8. Le procedure di Acquisizione• RFC3227Keep detailed notesDeftConf 2012 - Torino - 30 Marzo 2012 22
  9. 9. Le procedure di Acquisizione• RFC3227Note the difference between the system clock and UTC.DeftConf 2012 - Torino - 30 Marzo 2012 22
  10. 10. Le procedure di Acquisizione• RFC3227Minimise changes to the data as you are collecting it.DeftConf 2012 - Torino - 30 Marzo 2012 22
  11. 11. Le procedure di Acquisizione• RFC3227Remove external avenues for changeDeftConf 2012 - Torino - 30 Marzo 2012 22
  12. 12. Le procedure di Acquisizione• RFC3227When confronted with a choice between collection andanalysis you should do collection first and analysis laterDeftConf 2012 - Torino - 30 Marzo 2012 22
  13. 13. Le procedure di Acquisizione• RFC3227Proceed from the volatile to the less volatileDeftConf 2012 - Torino - 30 Marzo 2012 22
  14. 14. Acquisizione della memoria RAM(Windows)DeftConf 2012 - Torino - 30 Marzo 2012 22
  15. 15. Acquisizione della memoria RAM(Windows):DeftConf 2012 - Torino - 30 Marzo 2012 22
  16. 16. Acquisizione della memoria RAM (Linux):Linea di Comando !dd if=/dev/fmem of=“memdump” bs=…Potete/dovete installare una patch :http://hysteria.sk/~niekt0/foriana/DeftConf 2012 - Torino - 30 Marzo 2012 22
  17. 17. Acquisizione della memoria RAM (MAC):Mac Memory Readerhttp://cybermarshal.com/index.php/cyber-marshal-utilities/mac-memory-readerLinea di comando :Si esegue : mac-memory-reader indicando dove salvare ilfile di risultato.DeftConf 2012 - Torino - 30 Marzo 2012 22
  18. 18. Acquisizione della memoria RAM (MAC):DeftConf 2012 - Torino - 30 Marzo 2012 22
  19. 19. Acquisizione della memoria RAM (Tutti):Questi tools non calcolano l’hash del file risultatodell’acquisizione, ricordate di calcolarlo manualmente perla catena di conservazione.DeftConf 2012 - Torino - 30 Marzo 2012 22
  20. 20. Acquisizione di un RepertoMa ci ricordiamo di fare sempre tutto ?DeftConf 2012 - Torino - 30 Marzo 2012 22
  21. 21. RepertAPP (Anteprima)Per fare tutto quello che abbiamo detto … e nondimenticare nulla ! Abbiamo realizzato «RepertAPP»Troverete a breve la nuova APP su Google Play ed il clientsulla prossima Release di DEFT.DeftConf 2012 - Torino - 30 Marzo 2012 22
  22. 22. RepertAPPCosa farà RepertAPP :-  Acquisizione di informazioni sul Caso-  Acquisizione di note-  Verifica dell’orario e calcolo differenza con UTC-  Acquisizione dei numeri di serie (barcode scanner)-  FotografieDeftConf 2012 - Torino - 30 Marzo 2012 22
  23. 23. RepertAPPReport :-  Tutti i dati verranno trasmessi ad una casella DROPBOX,in una sottocartella con il nome con cui abbiamoetichettato il reperto.-  Generazione Report personalizzato in formato PDF e/oHTML con inclusione del Log dello strumento diduplicazioneDeftConf 2012 - Torino - 30 Marzo 2012 22
  24. 24. RingraziamentiGrazieGiuseppe DEZZANIStudio Associato Di.Fo.B. – Torinogd@difob.itDeftConf 2012 - Torino - 30 Marzo 2012 22

×