A lecture at University of Milan about "data carving"
Una lezione all'Università di Milano sul recupero delle informazione nascoste e cancellate da un computer o un supporto informatico.
Profili giuridici nell'utilizzo dei social network
Il recupero delle informazioni cancellate e nascoste
1. Il recupero delle informazioni
cancellate o nascoste
Avv. Edoardo E. Artese
Dott. Fabio P. Prolo
STUDIO LEGALE FERRARI ARTESE, Via Fontana 2, Milano
info@fa-lex.com
4. Curiosità:
Un utente entra in possesso di un dispositivo
altrui (computer, smartphone, tablet etc.) e
decide di esplorarlo.
Rischi:
- Art. 167 D. Lgs. 196/2003
«Trattamento illecito di dati»
- Art. 615 ter c.p. «Accesso abusivo a
sistema informatico o telematico»
5. Investigazione:
Esigenze processuali possono spingere professionisti del settore a
ricercare, oltre ai dati visibili, anche quelli cancellati. L’investigatore
informatico ha solitamente a disposizione strumenti (hardware e software)
molto potenti e costosi.
Soggetti:
- Forze dell’Ordine
- Consulenti tecnici
6. Necessità:
Un utente può aver necessità di recuperare
file cancellati accidentalmente o
volontariamente.
Cause della cancellazione:
- Supporto rovinato
- Dato cancellato volontariamente
7. Possibilità di successo
Variano a seconda:
- del sistema utilizzato per la cancellazione
- dalle cause della cancellazione
- dal sistema utilizzato per il recupero
- del tempo trascorso dalla cancellazione
8. LE PROCEDURE DI RECUPERO
• Il recupero dati c.d. semplice
• Il Data Carving
9. Il semplice recupero
Consiste nel rimuovere uno strato
«superficiale» di memoria per
recuperare file cancellati in maniera
semplice, recenti o risalenti nel tempo.
10. Il Data Carving
Consiste nello scavare nella memoria
di un supporto al fine di recuperare
più informazioni possibili da una
massa di dati apparentemente
informe.
11. Una corretta definizione di carving:
«Carving is the term most often used to indicate the act of recovering a
file from unstructured digital forencis. The term unstructured indicates
that the original digital image does not contain useful filesystem
information which may be used to assist in this recovery. Typically,
forensic analysts resort to carving techniques as an avenue of last resort
due to the difficulty of current techniques. Most current techniques rely
on manual inspection of the file to be recovered and manually
reconstructing this file using trial and error. Manual processing is
typically impractical for modern disk images which might contain
hundreds of thousands of files.”
- M. I. Choen, Advanced Carving Techniques
in Digital Investigation, 4 (2007), pp. 119-128
12. Cosa si recupera?
Il recupero può riguardare qualsiasi tipo di
file: documenti, immagini, file di sistema,
temporanei, di log etc.
I file non devono per forza essere integri,
bastano anche dei frammenti per ottenere un
file completo o, comunque, un’informazione
utile.
14. Gli strumenti possono essere:
- Hardware
Utilizzati se i dati di interesse sono stati corrotti o i
supporti danneggiati. La loro efficienza si basa
sulla potenza di calcolo.
- Software
Utilizzati per dare un senso ai file recuperati.
15. I software
Esistono due tipologie di software per il recupero dati:
- Software di Data Recovery
Funzionano solo se le informazioni nel file system sono
integre, ossia se sono reperibili tutti i cluster. Possono
recuperare, ma non ricostruire. E’ una delle forme di
recupero c.d. semplici.
- Software di Data Carving
Recuperano anche semplici frammenti e ricostruiscono i
file logicamente procedendo byte per byte. Funzionano a
prescindere dall’integrità del cluster.
16. PRO e CONTRO
• I programmi di data recovery :
- recuperano il nome del file;
- recuperano il percorso di salvatggio del file;
- sono inefficaci verso i sistemi di cancellazione
completa (wiping , shredding o semplice
formattazione);
- sono inefficaci verso file i cancellati da tempo.
• I programmi di data carving :
- non recuperano il nome del file;
- non recuperano il percorso di
salvatggio del file;
- presentano spesso file recuperati ma
incompleti o contenenti errori;
- sono sempre efficaci.
45. I metadati
Come suggerisce la parola stessa, i metadati sono
dati contenuti in altri dati ( o più precisamente in
file).
Sono dati nascosti!
46. Molti file non portano con se
solamente il contenuto che
racchiudono direttamente (il
testo in un file .doc o un
immagine in un .jpeg) ma anche
ulteriori informazioni, spesso
nascoste ad una ricerca
superficiale.
47. Alcuni esempi di metadati:
- Autore del file
- Software usato per la creazione
- Chiavi di registro del software
- Parti cancellate del file (es. precedenti revisioni)
- Orari di stampa, di ultima modifica etc.
48. La pericolosità dei metadati:
Il curioso caso de «La proposta di
legge per Internet territorio della
libertà dei diritti e dei doveri»
52. Proteggere i propri dati (o metadati)
Oltre che proteggere interamente i file tramite sistemi
crittografici, è possibile nascondere anche solo i
metadati presenti nei nostri documenti.
La maggior parte dei software infatti mette a
disposizione dell’utente delle opzioni che permettono
di decidere quali dati rendere visibili e quali no.
57. Il Backup è una copia di sicurezza o
di riserva delle informazioni presenti
su una memoria di massa di un
qualsiasi supporto.
E’ il modo più semplice
ed efficace per
recuperare dati perduti.
58. I tre fattori essenziali:
i) La cadenza temporale del backup
ii)Il luogo del back up
iii)I dati del backup
59. I. La cadenza temporale del backup:
- Il backup automatizzato
- Gli obblighi di legge ai sensi dell’Allegato B
del D. Lgs. 196/2003
60. II. Il luogo del back up:
- Il backup in locale
- Il backup su supporto
esterno
- Il backup in cloud
62. III. Il tipo di dati:
- Copia immagine di un disco rigido
- Copia selettiva di directory e singoli file
63. Il fattore X
LA SICUREZZA
Anche i backup devono essere protetti!
Al backup devono essere applicate le stesse misure
di sicurezza utilizzate per copia originale.
Non avrebbe senso, ad esempio, avere un hard
disk cifrato e un backup in chiaro