Cyber Forensic

Cyber Forensic
LINUX DAY NAPOLI 2010 CYBER FORENSICS: ACQUISIZIONE E ANALISI DEI DATI A CURA DI MARCO FERRIGNO - Developer of the Italian Debian GNU/Linux HOWTOs - Jabber ID: m.ferrigno@xmpp.jp marko.ferrigno@gmail.com
Analisi forense PROPEDEUTICITA': NOZIONI BASILARI SULL'UTILIZZO DI SISTEMI UNIX-LIKE, NOZIONI BASILARI SUI FILESYSTEM. COSA IMPAREREMO DA QUESTO TALK: CONCETTO DI COMPUTER FORENSICS, METODOLOGIE E SOFTWARE PER L'ACQUISIZIONE DI DATI DI UN SISTEMA POSTO SOTTO SEQUESTRO METODOLOGIE E SOFTWARE DI ANALISI DI UN SISTEMA INFORMATICO.
Analisi forense: cos'è realmente? E' LA DISCIPLINA CHE CONCERNE LE ATTIVITA' DI INDIVIDUAZIONE, ESTRAZIONE, CONSERVAZIONE, PROTEZIONE E OGNI ALTRA FORMA DI TRATTAMENTO E INTERPRETAZIONE DEL DATO MEMORIZZATO SU SUPPORTO INFORMATICO AL FINE DI ESSERE VALUTATO COME PROVA NEI PROCESSI GIUDIZIARI. IL TRATTAMENTO DEL REPERTO INFORMATICO E' SUDDIVISO IN 4 FASI: ACQUISIZIONE (TARGET INFORMATICO)* ANALISI (TARGET INFORMATICO)* INDIVIDUAZIONE DEL REATO (TARGET GIURIDICO PROCEDURALE) VALUTAZIONE DEL REATO (TARGET GIURIDICO PROCEDURALE) *ARGOMENTO DELLA SEDUTA CON L'AUSILIO DI STRUMENTI OPEN SOURCE
Analisi forense: normativa rilevante in ambito giuridico LA LEGGE N. 48/2008 RIVESTE UNA GRANDE IMPORTANZA PER LA TEMATICA DELLA COMPUTER FORENSICS. IN SINTESI LA SUDDETTA LEGGE PREVEDE: MODIFICHE AL CODICE PENALE CONCERNENTI LA CRIMINALITA' INFORMATICA, INCLUSIONE DI DELITTI INFORMATICI E TRATTAMENTO ILLECITO DI DATI NEL CATALOGO DEI REATI PER I QUALI E' PREVISTA LA RESPONSABILITA' AMMINISTRATIVA DEGLI ENTI, MODIFICHE AL CODICE DI PROCEDURA PENALE VOLTE A RENDERE OBBLIGATORIO PER LE FORZE DI POLIZIA L'UTILIZZO DI SPECIFICHE METODOLOGIE NEL CORSO DELLE INDAGINI INFORMATICHE, MODIFICA DI PARTE DELLA DISCIPLINA SULLA DATA RETENTION CONTENUTA NELL'ART. 132 DEL D.LGS 196/2003 (PROTEZIONE DEI DATI PERSONALI)
Analisi forense: l'acquisizione del dato ACQUISIZIONE == ESTRAPOLAZIONE DEI DATI DAI LORO SUPPORTI ORIGINARI. ATTENZIONE: E'LA FASE PIU' DELICATA E COMPLESSA IN ASSOLUTO, SE L'ACQUISIZIONE DI UN REPERTO VIENE ESEGUITA IN MODO NON CONFORME, L'ANALISI NON RISULTEREBBE VALIDA IN AMBITO DIBATTIMENTALE. QUANDO ACQUISIRE IL DATO: NELL' IMMEDIATEZZA DELL'INTERVENTO (SCENA DEL CRIMINE), OPPURE IN UN SECONDO MOMENTO, IN LABORATORIO, ATTRAVERSO IL SEQUESTRO GIUDIZIARIO DEI SUPPORTI MODI DI ACQUISIRE IL DATO: ADOTTARE UNA PRECISA METODOLOGIA IN MODO DA COSTRUIRE PROVE ATTENDIBILI E INATTACCABILI IN SEDE DIBATTIMENTALE (A SECONDA DEL CASO), COPIA FEDELE MEDIANTE BIT-STREAMING (NON SOLO DATI MA ANCHE TRACCE DI DATI CANCELLATI, NASCOSTI O CRITTOGRAFATI) ONDE EVITARE DI ALTERARE IL REPERTO ORIGINALE.
Analisi forense: software open source per l'acquisizione SOLUZIONI A CODICE APERTO: DATASET DEFINITION (DD): TOOL SOLITAMENTE UTILIZZATO PER EFFETTUARE COPIE DI VARI TIPI DI SUPPORTI, SIANO ESSI AD ACCESSO CASUALE O SEQUENZIALE. E' TIPICAMENTE UTILIZZATO CON I BLOCK DEVICE. QUAL'E' L'IDEA? DD SFRUTTA L'ASTRAZIONE FORNITA DA UNIX PER RIUSCIRE A VEDERE QUALUNQUE DISPOSITIVO COME FOSSE UN NASTRO E NE COPIA OGNI SINGOLO BYTE SU UN ALTRO FILE CARATTERISTICHE: AL CONTRARIO DEI TOOLS PENSATI PER IL BACKUP, DD NON ESEGUE ALCUNA OTTIMIZZAZIONE NE' COMPRESSIONE, ANZI, I TEMPI DI COPIA ELEVATI GARANTISCONO UN'ASSOLUTA FEDELTA' TRA LA COPIA E IL DATO ORIGINALE VARIANTI: DDRESCUE: AL CONTRARIO DI DD, TENTA DI LEGGERE BLOCCHI DANNEGGIATI DCFLDD: HASHING MULTIPLO E SCRITTURA SU LOG
Analisi forense: software open source per l'acquisizione IL PRIMO STEP E' L'ACQUISIZIONE DEL DEVICE RISCONTRATO MEDIANTE IL COMANDO “fdisk -l” CHE DA' COME OUTPUT LA LISTA DEI DISPOSITIVI ATTUALMENTE COLLEGATI AL SISTEMA LA SINTASSI CHE CI PERMETTE DI CREARE UNA BIT-STREAM DEL DEVICE SARA' PER DD: “dd if=/sorgente of=/destinazione” PER DDRESCUE: “dd_rescue /sorgente /destinazione/chiavettausb.img” IL PROGRAMMA TERMINERA' SENZA DARE ALCUN MESSAGGIO DI AVVENUTA ACQUISIZIONE PERTANTO BISOGNA RISCONTRARE A MANO L'ESISTENZA DEL FILE “chiavettausb.img” PER DCFLDD: “dclfdd if=/sorgente of=/destinazione”
Apertura terminale [da menu o ALT+F2, nome terminale] Output di “fdisk -l”, localizzazione della partizione da analizzare (/dev/sdc)
DD applicato sull'intero device con interruzione inaspettata (o volontaria!) DD applicato su una parte del device DD applicato sull'intero device
DDRESCUE in azione
DCFLDD in azione
Analisi forense: integrità del dato acquisito L' IMPORTANZA DEL HASHING E DEL SUO OUTPUT: L' IMPRONTA DIGITALE IMPORTANZA DEL CONFRONTO DEL VALORE OTTENUTO PRIMA E DOPO L'ANALISI (LA PROVA E' VALIDA SE I VALORI CORRISPONDONO) ATTENZIONE: IN CASO CONTRARIO SI PASSA AL CONTROLLO DEGLI OUTPUT MEDIANTE MD5SUM E SHA1SUM SINTASSI MD5SUM: “md5sum /dev/nomedevice/” PER IL DEVICE “md5sum /home/utente/analisi/chiavettausb.img” PER L'IMMAGINE ACQUISITA SINTASSI SHA1SUM: “sha1sum /dev/nomedevice/” PER IL DEVICE “sha1sum /home/utente/analisi/chiavettausb.img” PER L'IMMAGINE ACQUISITA
Analisi forense: AFF (Advanced Forensics Format) AFF E' UNA RECENTE IMPLEMENTAZIONE OPEN SOURCE DISTRIBUITA SOTTO LICENZA BSD CARATTERISTICA PRINCIPALE: ANALOGAMENTE ALLA NORMALE BIT-STREAM IMAGE, AFF MEMORIZZA L'IMMAGINE IN MANIERA COMPRESSA ED INDIRIZZABILE CONSENTENDO LA MEMORIZZAZIONE DI META INFORMAZIONI SIA ALL'INTERNO DEL FILE CHE IN UN FILE ESTERNO COLLEGATO A QUELLO DI RIFERIMENTO. ALTRE CARATTERISTICHE: ACQUISIZIONE ED HASHING (SHA1 E MD5) AVVENGO IN CONTEMPORANEA, PERMETTE L'APERTURA E LA LETTURA SENZA DOVER DECOMPRIMERE L'IMMAGINE VISUALIZZAZIONE DETTAGLIATA SU SEGMENTI, META INFORMAZIONI, DATI SULLO HASH .... PRODUCE FILE COMPRESSI PICCOLI.
Analisi forense: acquisizione di device in sistemi RAID LE OPERAZIONI FIN'ORA ELENCATE POSSONO ESSERE ESEGUITE IN SCENARI DIVERSI, A SECONDA DELLE CARATTERISTICHE DEL HARDWARE DEI DEVICE CHE DOBBIAMO ACQUISIRE ATTENZIONE: RAID HARDWARE VS RAID SOFTWARE UN ESEMPIO: HARD DISK IN RAID 5! LA SINGOLA ACQUISIZIONE DEI DISPOSITIVI SARA' TOTALMENTE INUTILE PERCHE' NON AVENDO A DISPOSIZIONE GLI ALGORITMI UTILIZZATI DAL CONTROLLER RAID, NON SAREMO MAI IN GRADO DI LEGGERE IN MODO CORRETTO I DATI, PERTANTO IL REPERTO IN QUESTIONE SARA' INUTILIZZABILE SOLUZIONE RAID HARDWARE: ATTUARE L'ACQUISIZIONE LOCALMENTE AVVIANDO IL COMPUTER IN MODO TALE CHE IL CONTROLLER RENDA DISPONIBILE LA CORRETTA LETTURA DEL SISTEMA RAID PER POI POTER UTILIZZARE UN LIVE CD LINUX ACQUISENDO IL CONTENUTO DEL RAID COME SE FOSSE UN NORMALE HARD DISK STAND ALONE SOLUZIONE RAID SOFTWARE: E' D'OBBLIGO EFFETTUARE UNA COPIA DEI SINGOLI DISCHI NON POTENDO PREDETERMINARE, A PRIORI, CHE NON VI SIANO DATI AL DI FUORI DEL RAID!
Analisi forense: utilizzo di un live cd linux DEFT, CAINE ED HELIX SONO DEI SISTEMI PER L'ANALISI FORENSE CONTENUTI IN UN SUPPORTO FISICO ALCUNI PERMETTONO ANCHE DI LAVORARE LIVE SU ALTRI SISTEMI OPERATIVI. IN CASO CONTRARIO E' POSSIBILE EFFETTUARE UN BOOT DA CD-ROM (E NON SOLO) PER RITROVARSI IN UN AMBIENTE LINUX COMPLETO CON DECINE DI PROGRAMMI SPECIALIZZATI PER L'ANALISI FORENSE.
Analisi forense: utilizzo di un live cd linux SPECIFICHE PARTICOLARITA': DRIVER: HELIX IN PARTICOLARE INCORPORA UN NUMERO DI DRIVER (ANCHE PROPRIETARI) PER LA GESTIONE DI CONTROLLER DISCHI MOLTO SUPERIORE A QUELLO DELLE ALTRE DISTRIBUZIONI. LO SCOPO E' QUELLO DI FORNIRE UN SUPPORTO AI SISTEMI RAID QUANTO PIU' AMPIO POSSIBILE INTERFACCIA: HANNO TUTTE UNA GUI SOLITAMENTE PIU' LEGGERA DEI COMUNI KDE E GNOME. DEFT E' L'UNICA CHE PARTE DI DEFAULT SENZA INTERFACCIA GRAFICA. TALE PARTICOLARITA' E' UTILE NEI SISTEMI CON POCA RAM UTILIZZO: A GARANTIRE UN ULTERIORE LEGGEREZZA NESSUNA DELLE DISTRO CITATE UTILIZZERA' UN FILESYSTEM O UNA PARTIZIONE COME SWAP, ANCHE SE L'UTENTE CERCA DI FORZARE TALE COMPORTAMENTO FILE SYSTEM: IL KERNEL E' COMPILATO IN MODO TALE DA VEDERE TUTTI I FILE SYSTEM SUPPORTATI DA LINUX, COMPRESI QUELLI MENO COMUNI E QUELLI ORAMAI OBSOLETI TOOL: SI E' CERCATO DI INCLUDE QUALUNQUE TOOL OPEN SOURCE PER ANALISI FORENSE DISPONIBILE. INCORPORANDO ANCHE TOOLS GRATUITI NON OPEN SOURCE
Analisi forense: l'analisi del dato LA PROCEDURA D' ANALISI VA ESEGUITA ESCLUSIVAMENTE SULLE COPIE FEDELI DEI DEVICE ACQUISITI L'ANALISI DEVE ESSERE IN GRADO DI RINTRACCIARE TUTTE LE POSSIBILI PROVE INFORMATICHE UTILI AI FINI PROBATORI NON TUTTE LE INFORMAZIONI, SONO FACILI DA VISUALIZZARE UN ESEMPIO: I DATI CANCELLATI! SOLUZIONE: NELL'AMBITO DEI SOFTWARE OPEN SOURCE IL PROGRAMMA LEADER PER L'ANALISI FORENSE DI REPERTI E' LO SLEUTH KIT (INSIEME DI TOOLS RICHIAMABILI A LINEA DI COMANDO) UTILIZZABILE ANCHE MEDIANTE UNA WEB GUI: AUTOPSY
Analisi forense: Autopsy SLEUTH KIT ED AUTOPSY COSTITUISCONO UN OTTIMO FRAMEWORK OPEN SOURCE PER L'ANALISI DI IMMAGINI E DEVICE CON SUPPORTO AD ALCUNI DEI PIU' DIFFUSI FILESYSTEM: FAT 12, 16, 32 (DOS-LIKE, WINDOWS-LIKE) NTFS (WINDOWS NT SERIES) EXT2, EXT3 (GNU/LINUX) UFS (UNIX, BSD) ISO 9660 (CD-ROM) ZFS (SOLARIS) RAW SWAP MANCA, PURTROPPO, IL SUPPORTO PER HFS E HFS+ (MAC OS)
Analisi forense: Autopsy - caratteristiche INTERFACCIA GRAFICA E AMBIENTE DI COLLEGAMENTO DEI VARI PROGRAMMI, GARANZIA DI INALTERABILITA' DEI DATI ANALIZZATI (ACCESSO IN SOLA LETTURA), CALCOLO DI HASH MD5, ACCURATA ANALISI DI DEVICE, RECUPERO ED ESPORTAZIONE DI FILE CANCELLATI , RICERCA CON PAROLE CHIAVE SU FILE, SETTORI ALLOCATI E NON ALLOCATI, ANALISI DI OGNI SINGOLO INODE DEL DEVICE ACQUISITO, CREAZIONE DI TIMELINE, CREAZIONE DI REPORT RIASSUNTIVI
Analisi del reperto utilizzando Autopsy AUTOPSY SUPPORTA NATIVAMENTE SIA BIT-STREAM GREZZE, COME QUELLE ACQUISITE MEDIANTE DD (… E DERIVATI) SIA BIT-STREAM AVANZATE, COME QUELLE ACQUISITE IN FORMATO AFF O ENCASE* ATTENZIONE: LA FASE DI ANALISI NON E' PER NULLA STANDARDIZZABILE *SOFTWARE CLOSED SOURCE LEADER NELLA COMPUTER FORENSICS.
Analisi del reperto utilizzando Autopsy Recupero file cancellati
Analisi del reperto utilizzando Autopsy Timeline
Analisi forense: la Timeline NELL'INFORMATICA FORENSE PER TIMELINE SI INTENDE UNA FOTOGRAFIA DI TUTTI GLI EVENTI STORICI AVVENUTI IN UN DETERMINATO SISTEMA.. ESSA VIENE CREATA METTENDO IN ORDINE CRONOLOGICO TUTTI GLI EVENTI SUCCESSIVI IN UN DETERMINATO TEMPO DI VITA DEL SISTEMA POSTO AD ANALISI PERCHE' LA NECESSITA DI UNA TIMELINE? PERCHE' UN ELEMENTO FONDAMENTALE NELLA SCENA DEL CRIMINE E' IL TEMPO ESEMPIO: CASO TIPICO IN CUI LE FORZE DELL'ORDINE HANNO A CHE FARE CON UN CADAVERE, LA PRIMA COSA CHIESTA AL MEDICO LEGALE E' STABILIRE DATA ED ORA DEL DECESSO IMPORTANTE: AVERE DEI PUNTI DI RIFERIMENTO TEMPORALI AIUTA LA RICERCA E L'ANALISI DEI DATI . PRECISAZIONE: LA TIMELINE VIENE CREATA A SECONDA DELLA DATA DEL SISTEMA, PERTANTO, AD ESEMPIO, SE IL PROPRIETARIO DEL PC CHE STIAMO ANALIZZANDO NON HA IMPOSTATO CORRETTAMENTE LA DATA DEL SISTEMA OPERATIVO I RIFERIMENTI TEMPORALI RISULTANO INATTENDIBILI .
Analisi forense: limiti e ostacoli CRITTOGRAFIA: NESSUNO DEI PROTOCOLLI SIMMETRICI UTILIZZATI FIN'ORA (3DES, AES-128, AES-254, BLOWFISH, TWOFISH) PRESENTA VULNERABILITA' TALI DA RENDERLI ATTACCABILI CON METODI CRITTOANALITICI ATTI A RIDURRE LA VARIABILITA' DELLO SPAZIO DI CHIAVI SOLUZIONE 1: ATTACCO DI FORZA BRUTA (METTETE IN PREVENTIVO QUALCHE MIGLIAIO DI ANNI PER PROVARE TUTTE LE COMBINAZIONI POSSIBILI !!!) SOLUZIONIE 2: AGGIRARE L'OSTACOLO. COME: FILE TEMORANEI FILE CANCELLATI BACKUP STEGANOGRAFIA: TECNICA DI CRITTOGRAFIA GRAZIE ALLA QUALE E' POSSIBILE INSERIRE DELLE INFORMAZIONI NASCOSTE ALL'INTERNO DI UN FILE VETTORE SOLUZIONE: DATO CHE IN QUESTO CASO IL RISULTATO NON E' PER NULLA CERTO, ANZI, SI POTREBBE UTILIZZARE IL PROGRAMMA STEGANOGRAFICO CHE POTREBBE AVER CREATO IL FILE E INDOVINARE LA PASSWORD CORRETTA (BASSISSIMA PROBABILITA' DI SUCCESSO !!!) DATA HIDING & VIRTUALIZZAZIONE
Analisi forense: casi reali FURTO DI UN PORTATILE ANTEFATTO VIENE RUBATO UN PORTATILE A UN INGEGNERE DI UNA NOTA SOCIETA'. IL PORTATILE VIENE RITROVATO 3 GIORNI DOPO DALLA POLIZIA RICHIESTA VERIFICARE COSA SIA ACCADUTO AI DATI IN QUEI GIORNI OPERAZIONI & TECNICHE UTILIZZATE SMONTAGGIO DEL DISCO, COLLEGAMENTO DELLO STESSO AD UNA MACCHINA DI ANALISI E UTILIZZO DI DD PIU' VALIDAZIONE TRAMITE HASH DEFINIZIONE ED ANALISI DI UNA TIMELINE GENERATA GRAZIE AD AUTOPSY SERVIRA' A CAPIRE COSA E' ACCADUTO NEI GIORNI IN CUI IL PORTATILE NON E' STATO TRA LE MANI DEL LEGITTIMO PROPRIETARIO RISULTATO IL PORTATILE E' STATO ACCESO UN' ORA DOPO IL FURTO. TUTTI I FILE DI TIPO AUTOCAD (*.DWG) SONO STATI LETTI E SONO STATI COPIATI SU UN SUPPORTO USB COLLEGATO AL SISTEMA. IL FURTO NON E' STATO CASUALE !
Analisi forense: casi reali INTECETTAZIONI SU SKYPE ANTEFATTO UN PUBBLICO MINISTERO SOSPETTA DI ATTIVITA' EVERSIVA UN INDIVIDUO CHE COMUNICA REGOLARMENTE TRAMITE SKYPE RICHIESTA OTTENERE IL TRAFFICO IN CHIARO IN MODO DA DETERMINARE LE ATTIVITA' DEL SOSPETTO OPERAZIONI & TECNICHE UTILIZZATE REALIZZAZIONE DI UN TROJAN IN GRADO DI COLLEGARSI AI CANALI DI ENTRATA E USCITA DELLA SCHEDA AUDIO E DI REGISTRARNE IL FLUSSO AI FINI DI INTERCETTAZIONE. VIENE GENERATO UN PROBLEMA E VIENE SPEDITO A CASA DEL SOSPETTO UN DIAGNOSTICO CONTENENTE UN TROJAN. IL TROJAN SPEDISCE I DATI TRAMITE UN SERVER FTP APPOSITAMENTE PREPARATO RISULTATO I FILE AUDIO EVIDENZIANO L'ATTIVITA' EVERSIVA DEL SOSPETTO
Analisi forense: casi reali SPIONAGGIO INDUSTRIALE ANTEFATTO UN'AZIENDA LEADER IN UN MERCATO DI NICCHIA ALTAMENTE SPECIALIZZATO SCOPRE CHE ALCUNE FABBRICHE IN UNA NAZIONE STRANIERA PRODUCONO PEZZI DI RICAMBIO PER I SUOI APPARECCHI, MACCHINE CHE DATA LA SPECIFICITA' SONO A TUTTI GLI EFFETTI PEZZI UNICI E PER LE QUALI NON SEMBRA IPOTIZZABILE NE' POSSIBILE L'INVESTIMENTO, DA PARTE DI UN'AZIENDA CONCORRENTE, DELLE RISORSE ECONOMICHE NECESSARIE PER ALIMENTARE UN REPARTO DI RICERCA E SVILUPPO IN GRADO DI ALLINEARE I PEZZI DI RICAMBIO ALLE PERFORMANCE OFFERTE DALLA DITTA TITOLARE DEI BREVETTI. LA SITUAZIONE E' RESA PIU' SOSPETTA DAL FATTO CHE L'ORDINE DEI PEZZI DI RICAMBIO AVVIENE CON GLI STESSI CODICI DEI PEZZI ORIGINALI RICHIESTA TROVARE RISCONTRO IN UNA FUGA DI INFORMAZIONI OPERAZIONI & TECNICHE UTILIZZATE (1/2) UTILIZZANDO IL SOFTWARE CHE HA DATO ORIGINE AL PROGETTO, SE NE MODIFICA UN PEZZO DELLO STESSO. TALE OPERAZIONE E' UTILE PER CAPIRE SE IL PROGETTO E' MODIFICATO DALL'INTERNO DELL'AZIENDA O SE MAGARI E' OTTENUTO TRAMITE UN'OPERAZIONE DI REVERSE ENGINEERING.
Analisi forense: casi reali OPERAZIONI & TECNICHE UTILIZZATE (2/2) VIENE USATA A MO' DI SONDA UNA MACCHINA LINUX POSTA SULLA BACK-BONE AZIENDALE CON UNA VERSIONE DI SNORT IN GRADO DI INTERCETTARE IL CODICE DEL PEZZO MODIFICATO E DI SALVARE IL TRAFFICO DI RETE CONSEGUENTE. LO SCOPO, NATURALMENTE, E' CAPIRE CHI POSSA AVER AVUTO ACCESSO AD UN FILE CONTENENTE IL PROGETTO DI UN PEZZO OBSOLETO. IL PEZZO VIENE ORDINATO AD UNA DELLE FABBRICHE CONCORRENTI. DAL PASSAGGIO PRECEDENTE, LA SONDA HA EVIDENZIATO IL PLOTTAGGIO DEL PROGETTO DA PARTE DI UN UTENTE (CON NATURALMENTE UN SET DI REGOLE CREATE AD HOC BASATE SU KEYWORDS E CODICI DI PROGETTO). AL DI FUORI DELL'ORARIO DI LAVORO VIENE ESEGUITO IL PLOTTING DEL PEZZO MODIFICATO E SI PROVVEDE AL SALVATAGGIO DEL TRAFFICO E DEI LOG DEL DATABASE CHE CONTIENE TUTTI I PROGETTI AZIENDALI. IL PEZZO MODIFICATO REALIZZATO VIENE CONSEGNATO AL CLIENTE, ONDE DESTARE ALTRI SOSPETTI DI ALLERTA SU CONTROSPIONAGGIO INDUSTRIALE RISULTATO E' STATO DIMOSTRATO CHE UN IMPIEGATO SOTTRAEVA I PROGETTI DAI DATABASE DELL'AZIENDA. IL FATTO CHE IL PEZZO MODIFICATO SIA STATO CONSEGNATO AL CLIENTE HA DIMOSTRATO SENZA OMBRA DI DUBBIO CHE NON SIA STATO OTTENUTO STUDIANDO UNA MACCHINA REALE
Boxroom … e non solo! ALLESTIMENTO DI UN LABORATORIO DI ANALISI, METODOLOGIE DI ANALISI E LAVORO DI SQUADRA, ANALISI DI UN SISTEMA WINDOWS, ANALISI DI UN SISTEMA MAC OS X, ANALISI DI UN SISTEMA LINUX, ANALISI DEI SUPPORTI OTTICI, MOBILE FORENSICS, ANALISI DI MEDIA NON CONVENZIONALI, NETWORK FORENSICS
Conclusioni “ NON C'E' NULLA DI PEGGIO DEL NON SAPERE CHE COSA HAI DAVANTI … “

Check these out next

Cyber Forensic

Recommended

More Related Content

Slideshows for you(7)

Similar to Cyber Forensic(20)

More from NaLUG(20)

Recently uploaded(20)

Cyber Forensic