A lecture at University of Milan about "data carving" Una lezione all'Università di Milano sul recupero delle informazione nascoste e cancellate da un computer o un supporto informatico.

1. Il recupero delle informazioni
cancellate o nascoste
Avv. Edoardo E. Artese
Dott. Fabio P. Prolo
STUDIO LEGALE FERRARI ARTESE, Via Fontana 2, Milano
info@fa-lex.com

2. IL RECUPERO DEI
FILE CANCELLATI

3. Perché si recupera
un file cancellato?
1) Curiosità
2) Investigazione
3) Necessità

4. Curiosità:
Un utente entra in possesso di un dispositivo
altrui (computer, smartphone, tablet etc.) e
decide di esplorarlo.
Rischi:
- Art. 167 D. Lgs. 196/2003
«Trattamento illecito di dati»
- Art. 615 ter c.p. «Accesso abusivo a
sistema informatico o telematico»

5. Investigazione:
Esigenze processuali possono spingere professionisti del settore a
ricercare, oltre ai dati visibili, anche quelli cancellati. L’investigatore
informatico ha solitamente a disposizione strumenti (hardware e software)
molto potenti e costosi.
Soggetti:
- Forze dell’Ordine
- Consulenti tecnici

6. Necessità:
Un utente può aver necessità di recuperare
file cancellati accidentalmente o
volontariamente.
Cause della cancellazione:
- Supporto rovinato
- Dato cancellato volontariamente

7. Possibilità di successo
Variano a seconda:
- del sistema utilizzato per la cancellazione
- dalle cause della cancellazione
- dal sistema utilizzato per il recupero
- del tempo trascorso dalla cancellazione

8. LE PROCEDURE DI RECUPERO
• Il recupero dati c.d. semplice
• Il Data Carving

9. Il semplice recupero
Consiste nel rimuovere uno strato
«superficiale» di memoria per
recuperare file cancellati in maniera
semplice, recenti o risalenti nel tempo.

10. Il Data Carving
Consiste nello scavare nella memoria
di un supporto al fine di recuperare
più informazioni possibili da una
massa di dati apparentemente
informe.

11. Una corretta definizione di carving:
«Carving is the term most often used to indicate the act of recovering a
file from unstructured digital forencis. The term unstructured indicates
that the original digital image does not contain useful filesystem
information which may be used to assist in this recovery. Typically,
forensic analysts resort to carving techniques as an avenue of last resort
due to the difficulty of current techniques. Most current techniques rely
on manual inspection of the file to be recovered and manually
reconstructing this file using trial and error. Manual processing is
typically impractical for modern disk images which might contain
hundreds of thousands of files.”
- M. I. Choen, Advanced Carving Techniques
in Digital Investigation, 4 (2007), pp. 119-128

12. Cosa si recupera?
Il recupero può riguardare qualsiasi tipo di
file: documenti, immagini, file di sistema,
temporanei, di log etc.
I file non devono per forza essere integri,
bastano anche dei frammenti per ottenere un
file completo o, comunque, un’informazione
utile.

13. Come si recupera?
…..i Tools

14. Gli strumenti possono essere:
- Hardware
Utilizzati se i dati di interesse sono stati corrotti o i
supporti danneggiati. La loro efficienza si basa
sulla potenza di calcolo.
- Software
Utilizzati per dare un senso ai file recuperati.

15. I software
Esistono due tipologie di software per il recupero dati:
- Software di Data Recovery
Funzionano solo se le informazioni nel file system sono
integre, ossia se sono reperibili tutti i cluster. Possono
recuperare, ma non ricostruire. E’ una delle forme di
recupero c.d. semplici.
- Software di Data Carving
Recuperano anche semplici frammenti e ricostruiscono i
file logicamente procedendo byte per byte. Funzionano a
prescindere dall’integrità del cluster.

16. PRO e CONTRO
• I programmi di data recovery :
- recuperano il nome del file;
- recuperano il percorso di salvatggio del file;
- sono inefficaci verso i sistemi di cancellazione
completa (wiping , shredding o semplice
formattazione);
- sono inefficaci verso file i cancellati da tempo.
• I programmi di data carving :
- non recuperano il nome del file;
- non recuperano il percorso di
salvatggio del file;
- presentano spesso file recuperati ma
incompleti o contenenti errori;
- sono sempre efficaci.

17. Hands On: Free Undelete 2.0

18. TEST
1) Download del programma (3 fasi)

19. TEST

20. TEST

21. TEST
2) Installazione (8 fasi)

22. TEST

23. TEST

24. TEST

25. TEST

26. TEST

27. TEST

28. TEST

29. TEST
3. Aggiungiamo dei file di prova (jpeg e PDF) su una chiavetta da 2GB (3 fasi)

30. TEST

31. TEST
…e rimuoviamoli.

32. TEST
4. Lanciamo FreeUndelete 2.0

33. TEST
5. Recuperiamo i nostri file cancellati (9 fasi)

34. TEST

35. TEST

36. TEST

37. TEST

38. TEST

39. TEST

40. TEST

41. TEST

42. TEST

43. TEST

44. IL RECUPERO DELLE
INFORMAZIONI
NASCOSTE

45. I metadati
Come suggerisce la parola stessa, i metadati sono
dati contenuti in altri dati ( o più precisamente in
file).
Sono dati nascosti!

46. Molti file non portano con se
solamente il contenuto che
racchiudono direttamente (il
testo in un file .doc o un
immagine in un .jpeg) ma anche
ulteriori informazioni, spesso
nascoste ad una ricerca
superficiale.

47. Alcuni esempi di metadati:
- Autore del file
- Software usato per la creazione
- Chiavi di registro del software
- Parti cancellate del file (es. precedenti revisioni)
- Orari di stampa, di ultima modifica etc.

48. La pericolosità dei metadati:
Il curioso caso de «La proposta di
legge per Internet territorio della
libertà dei diritti e dei doveri»

49. TEST

50. TEST

51. TEST

52. Proteggere i propri dati (o metadati)
Oltre che proteggere interamente i file tramite sistemi
crittografici, è possibile nascondere anche solo i
metadati presenti nei nostri documenti.
La maggior parte dei software infatti mette a
disposizione dell’utente delle opzioni che permettono
di decidere quali dati rendere visibili e quali no.

53. TEST
1. File-> Opzioni

54. TEST
2. Centro Protezione -> Impostazioni

55. TEST
3. Opzioni -> Rimuovi…

56. Preservare l’integrità e la disponibilità
del dato:
L’arte del Backup

57. Il Backup è una copia di sicurezza o
di riserva delle informazioni presenti
su una memoria di massa di un
qualsiasi supporto.
E’ il modo più semplice
ed efficace per
recuperare dati perduti.

58. I tre fattori essenziali:
i) La cadenza temporale del backup
ii)Il luogo del back up
iii)I dati del backup

59. I. La cadenza temporale del backup:
- Il backup automatizzato
- Gli obblighi di legge ai sensi dell’Allegato B
del D. Lgs. 196/2003

60. II. Il luogo del back up:
- Il backup in locale
- Il backup su supporto
esterno
- Il backup in cloud

61. Un esempio di backup in cloud

62. III. Il tipo di dati:
- Copia immagine di un disco rigido
- Copia selettiva di directory e singoli file

63. Il fattore X
LA SICUREZZA
Anche i backup devono essere protetti!
Al backup devono essere applicate le stesse misure
di sicurezza utilizzate per copia originale.
Non avrebbe senso, ad esempio, avere un hard
disk cifrato e un backup in chiaro

64. Hands On: Cobian Backup 10

65. 1. Scarico e installo Cobian Backup 10

66. 2. Creo un nuovo «task»

67. 3. Scelgo i dati

68. 4. Scelgo la cadenza temporale

69. 5. Scelgo un’eventuale compressione

70. 6. Scelgo un’eventuale sistema crittografico

71. Il backup su dispositivi diversi dal computer

72. iTunes: il backup dei dispositivi Apple.

73. Il backup dei dispositivi Androida. Il sistema «nativo»
b. Un App: Easy Backup

74. Riferimenti
La presente lezione è tratta da
Giovanni Ziccardi
L’Avvocato Hacker
Capitolo XIX – Capitolo XX

75. FINE
Avv. Edoardo E. Artese
Dott. Fabio P. Prolo
edoardo.artese@fa-lex.com
f.prolo@fa-lex.com