3. Le modifiche al codice di procedura
penale
• 1. All'articolo 244, comma 2, secondo periodo, del codice
di procedura penale sono aggiunte, in fine, le seguenti
parole:
• «,anche in relazione a sistemi informatici o telematici,
adottando misure tecniche dirette ad assicurare la
conservazione dei dati originali e ad impedirne
l'alterazione».
DeftConf 2012 - Torino - 30 Marzo 2012 22
4. Le modifiche al codice di procedura
penale
• 2. All'articolo 247 del codice di procedura penale, dopo il
comma 1 è inserito il seguente:
• «1-bis. Quando vi è fondato motivo di ritenere che dati,
informazioni, programmi informatici o tracce comunque
pertinenti al reato si trovino in un sistema informatico o
telematico, ancorché protetto da misure di sicurezza, ne è
disposta la perquisizione, adottando misure tecniche
dirette ad assicurare la conservazione dei dati originali e
ad impedirne l'alterazione».
DeftConf 2012 - Torino - 30 Marzo 2012 22
5. Le modifiche al codice di procedura
penale
• 7. All'articolo 259, comma 2, del codice di procedura
penale, dopo il primo periodo è inserito il seguente:
• «Quando la custodia riguarda dati, informazioni o programmi
informatici, il custode è altresì avvertito dell'obbligo di
impedirne l'alterazione o l'accesso da parte di terzi, salva, in
quest'ultimo caso, diversa disposizione dell'autorità giudiziaria».
DeftConf 2012 - Torino - 30 Marzo 2012 22
6. Le modifiche al codice di procedura
penale
• All'articolo 260 del codice di procedura
penale sono apportate le seguenti
modificazioni:
• a) al comma 1, dopo le parole: «con altro mezzo» sono inserite le
seguenti: «, anche di carattere elettronico o informatico,»;
• b) al comma 2 è aggiunto, in fine, il seguente periodo: «Quando si
tratta di dati, di informazioni o di programmi informatici, la copia
deve essere realizzata su adeguati supporti, mediante procedura
che assicuri la conformità della copia all'originale e la sua
immodificabilità; in tali casi, la custodia degli originali può essere
disposta anche in luoghi diversi dalla cancelleria o dalla segreteria».
DeftConf 2012 - Torino - 30 Marzo 2012 22
7. Le procedure di Acquisizione
• RFC3227
Capture as accurate a picture of the system as possible
DeftConf 2012 - Torino - 30 Marzo 2012 22
8. Le procedure di Acquisizione
• RFC3227
Keep detailed notes
DeftConf 2012 - Torino - 30 Marzo 2012 22
9. Le procedure di Acquisizione
• RFC3227
Note the difference between the system clock and UTC.
DeftConf 2012 - Torino - 30 Marzo 2012 22
10. Le procedure di Acquisizione
• RFC3227
Minimise changes to the data as you are collecting it.
DeftConf 2012 - Torino - 30 Marzo 2012 22
11. Le procedure di Acquisizione
• RFC3227
Remove external avenues for change
DeftConf 2012 - Torino - 30 Marzo 2012 22
12. Le procedure di Acquisizione
• RFC3227
When confronted with a choice between collection and
analysis you should do collection first and analysis later
DeftConf 2012 - Torino - 30 Marzo 2012 22
13. Le procedure di Acquisizione
• RFC3227
Proceed from the volatile to the less volatile
DeftConf 2012 - Torino - 30 Marzo 2012 22
16. Acquisizione della memoria RAM (Linux):
Linea di Comando !
dd if=/dev/fmem of=“memdump” bs=…
Potete/dovete installare una patch :
http://hysteria.sk/~niekt0/foriana/
DeftConf 2012 - Torino - 30 Marzo 2012 22
17. Acquisizione della memoria RAM (MAC):
Mac Memory Reader
http://cybermarshal.com/index.php/cyber-marshal-utilities/
mac-memory-reader
Linea di comando :
Si esegue : mac-memory-reader indicando dove salvare il
file di risultato.
DeftConf 2012 - Torino - 30 Marzo 2012 22
19. Acquisizione della memoria RAM (Tutti):
Questi tools non calcolano l’hash del file risultato
dell’acquisizione, ricordate di calcolarlo manualmente per
la catena di conservazione.
DeftConf 2012 - Torino - 30 Marzo 2012 22
20. Acquisizione di un Reperto
Ma ci ricordiamo di fare sempre tutto ?
DeftConf 2012 - Torino - 30 Marzo 2012 22
21. RepertAPP (Anteprima)
Per fare tutto quello che abbiamo detto … e non
dimenticare nulla ! Abbiamo realizzato «RepertAPP»
Troverete a breve la nuova APP su Google Play ed il client
sulla prossima Release di DEFT.
DeftConf 2012 - Torino - 30 Marzo 2012 22
22. RepertAPP
Cosa farà RepertAPP :
- Acquisizione di informazioni sul Caso
- Acquisizione di note
- Verifica dell’orario e calcolo differenza con UTC
- Acquisizione dei numeri di serie (barcode scanner)
- Fotografie
DeftConf 2012 - Torino - 30 Marzo 2012 22
23. RepertAPP
Report :
- Tutti i dati verranno trasmessi ad una casella DROPBOX,
in una sottocartella con il nome con cui abbiamo
etichettato il reperto.
- Generazione Report personalizzato in formato PDF e/o
HTML con inclusione del Log dello strumento di
duplicazione
DeftConf 2012 - Torino - 30 Marzo 2012 22