Computer Forensics

2,105
-1

Published on

Computer Forensics
Luca Basili, Walter Falistocco e Daniele Branchesi - classe 5° segione G -
Linux Day – ITIS “E. Divini”, San Severino Marche il, 24 Ottobre 2009

Published in: Education, Technology
0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total Views
2,105
On Slideshare
0
From Embeds
0
Number of Embeds
0
Actions
Shares
0
Downloads
83
Comments
0
Likes
0
Embeds 0
No embeds

No notes for slide

Computer Forensics

  1. 2. La Digital Forensics è la disciplina scientifica che serve per identificare , acquisire ed analizzare una prova digitale preservandola da eventuali alterazioni.
  2. 3. <ul><li>Quando si pensa alle perizie informatiche, si associano spesso a reati informatici, infatti ogni reato oggi ha a che fare con i dispositivi digitali i cosiddetti CyberCrimes: </li></ul><ul><ul><li>le truffe su internet </li></ul></ul><ul><ul><li>il phishing </li></ul></ul><ul><ul><li>il falso in bilancio </li></ul></ul><ul><ul><li>gli omicidi </li></ul></ul><ul><ul><li>la pedopornografia </li></ul></ul><ul><ul><li>il terrorismo. </li></ul></ul>
  3. 4. Non bisogna credere che la perizia su un computer o su una sim card vada compiuta solo a seguito di un crimine “prettamente” informatico, perché nel momento in cui qualcuno commette un reato, c’è l’alta probabilità che abbia pianificato, ricercato, scritto e conservato qualcosa su una memoria digitale, sia esso un hard disk, dei DVD o CD-ROM. Normalmente si cerca di comprendere la verità con i sistemi classici, con l’analisi di carte , fascicoli e testimonianze (a volte inattendibili), quando magari si potrebbe risparmiare tempo ed avere prove compromettenti individuando un documento elettronico in cui l’indagato pianificava,ad esempio, l’omicidio della moglie.
  4. 5. È compito degli investigatori del futuro adottare un protocollo comune di custodia ed analisi dei dati, per evitare che le prove non vengano alterate, conservando le informazioni indispensabili per l’indagine investigativa .
  5. 6. Esistono due software con distribuzioni Linux legate alla Computer Forensics :
  6. 7. <ul><li>CAINE (Computer Aided INvestigative Environment) offre un ambiente completo ed organizzato con tutti i programmi necessari per aiutare le attività investigative. Ha una interfaccia gradevole e funziona come live-cd cosi da non intaccare minimamente il sistema su cui gira. </li></ul>
  7. 8. - HELIX, ottimo per la indipendenza da Windows e senza possibilità che i dati rilevati possano venire “inquinati”, in quanto non necessita di installazione,  si avvia direttamente da Cd e dispone di molti strumenti dedicati, anche se non facili da usare, alla computer forensics.
  8. 9. La Digital Forensics si snoda attraverso quattro fasi principali: 1) Identificazione 2) Acquisizione 3) Analisi e valutazione 4) Rapporto
  9. 10. Identificazione Lo sheet “Grissom Analyzer” raccoglie 4 strumenti destinati all’identificazione da svolgersi sulla macchina, i dispositivi o l’immagine da analizzare. Questi tool ci mostrano le caratteristiche delle partizioni, dell’immagine e del file system. È inoltre presente LRRP che consente di raccogliere informazioni sulle caratteristiche del dispositivo e sulla configurazione hardware della macchina sospetta. LRRP registra se i dispositivi oggetto di analisi sono montati e nel caso in quale modalità.
  10. 11. Acquisizione Lo sheet “Acquisizione” palesa immediatamente la funzione dei tools che raccoglie! Attraverso questo pannello è possibile procedere all’acquisizione dell’immagine del dispositivo sorgente utilizzando il noto strumento AIR (Automated Image Restore) oppure avviare il terminale per utilizzare i classici tool di duplicazione.
  11. 12. Analisi e valutazione Lo sheet “Analisi” raccoglie i tools più classici della disciplina, quali Autopsy, Foremost, Scalpel, Stegdetect e OphCrack. Cliccando il tasto corrispondente ad Autopsy viene automaticamente avviato Firefox, con impostato il corretto indirizzo locale, mentre scegliendo Foremost e Scalpel si ha la possibilità di scegliere o editare i file di configurazione per il carving. Sono inoltre presenti SFDumper per il recupero selettivo dei file e FUndl (File Undelete) , per il recupero dei soli file cancellati.
  12. 13. Rapporto Lo sheet “Rapporto” consente di aggiungere proprie note utilizzando la funzione “Rapporto personale” e di creare il rapporto in formato RTF o HTML. Attraverso il pulsante “Cartella Report” sarà possibile accedere al file di log e rapporto generato.
  13. 14. Vi ringraziamo per l’attenzione Luca Basili Walter Falistocco Daniele Branchesi
  1. A particular slide catching your eye?

    Clipping is a handy way to collect important slides you want to go back to later.

×