Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.
Ordine degli Ingegneri della Provincia di Arezzo
29 marzo 2017
Digital Forensic
Metodologie di analisi della prova digital...
Digital forensic: una definizioneDigital forensic: una definizione
• Il processo di identificazione,
conservazione, analis...
Digital forensic: definizioneDigital forensic: definizione
• Computer forensic → Digital forensic
• I cinque punti cardine...
Digital evidence e sistema giuridico:Digital evidence e sistema giuridico:
• ACCERTAMENTI TECNICI - Artt. 359 e 360
c.p.p....
Accertamenti tecnici NON RIPETIBILI:Accertamenti tecnici NON RIPETIBILI:
• Art. 360 c.p.p.
• (c.1) Quando gli accertamenti...
Incidente probatorio:Incidente probatorio:
• Artt. 392 e ss. c.p.p.
• 1. Nel corso delle indagini preliminari il pubblico
...
La PERIZIA in sede dibattimentale:La PERIZIA in sede dibattimentale:
• Artt. 220 e ss. c.p.p.
• 1. La perizia è ammessa q...
Indicazioni tecniche che derivano
dall’orientamento normativo
Indicazioni tecniche che derivano
dall’orientamento normativ...
Quale software scegliere ?Quale software scegliere ?
• OPEN SOURCE vs SOFTWARE COMM.LE
• In medio stat virtus
Il laboratorio dell’analista forenseIl laboratorio dell’analista forense
• E’ necessaria una buona dotazione di:
– Storage...
Parte II: saper fareParte II: saper fare
• Le BEST PRACTICES prevedono metodologie
specifiche per le fasi di:
– IDENTIFICA...
HARD-DISK, partizioni, tipi di file systemHARD-DISK, partizioni, tipi di file system
• Write blockers o montaggio read-onl...
Memorie volatili: analisi della RAMMemorie volatili: analisi della RAM
• In base all’obiettivo dell’indagine (o al quesito...
LINUX: forensic distro e suite integrateLINUX: forensic distro e suite integrate
• Distribuzioni Linux: Deft e Caine
• Too...
Strumenti per data-recoveryStrumenti per data-recovery
• Il recupero dei dati cancellati attraverso la
metodologia del FIL...
Network forensicsNetwork forensics
• La fonte di informazioni più importante sulle
risorse Internet è la rete stessa
• Str...
Phone forensicPhone forensic
• Strumenti di comunicazione altamente
specializzati, smartphones e tablet richiedono
metodol...
Upcoming SlideShare
Loading in …5
×

Digital forensic: metodologie di analisi della prova digitale

188 views

Published on

Digital Forensic, metodologie di analisi della prova digitale. Una rassegna delle tecniche e dei software di individuazione, conservazione, analisi e presentazione della prova digitale. Dopo l'inquadramento legislativo (articoli del codice di procedura penale che regolano l'attivita' del consulente tecnico), vengono prese in esame le strumentazioni necessarie e le problematiche tecniche legate ai diversi dispositivi (computer, smartphone, server, reti, cloud) e ai diversi sistemi operativi. Focus sulle tecniche di recupero dei dati cancellati (data-recovery) e sull'utilizzo di strumenti open source per l'informatica forense. Materiale utilizzato per il workshop "informatica forense" da me tenuto presso l'Ordine degli Ingegneri di Arezzo

Published in: Technology
  • Be the first to comment

  • Be the first to like this

Digital forensic: metodologie di analisi della prova digitale

  1. 1. Ordine degli Ingegneri della Provincia di Arezzo 29 marzo 2017 Digital Forensic Metodologie di analisi della prova digitale Marco Marcellini
  2. 2. Digital forensic: una definizioneDigital forensic: una definizione • Il processo di identificazione, conservazione, analisi e presentazione della – DIGITAL EVIDENCE, ovvero la prova legale ottenuta attraverso strumenti digitali; • La raccolta e analisi di dati secondo una prassi che ne garantisca la libertà da distorsioni e pregiudizi, cercando di ricostruire dati e azioni avvenuti nel passato all’interno del sistema informatico (Vaciago 2012)
  3. 3. Digital forensic: definizioneDigital forensic: definizione • Computer forensic → Digital forensic • I cinque punti cardine sono: – IDENTIFICAZIONE – ACQUISIZIONE – CONSERVAZIONE (catena di custodia) – DOCUMENTAZIONE – INTERPRETAZIONE • del dato digitale • Nel sistema legislativo italiano tre sono gli strumenti di analisi della prova digitale: accertamenti tecnici, incidente probatorio e perizia
  4. 4. Digital evidence e sistema giuridico:Digital evidence e sistema giuridico: • ACCERTAMENTI TECNICI - Artt. 359 e 360 c.p.p. • Art. 359 c.p.p. • Consulenti tecnici del pubblico ministero. – Il pubblico ministero, quando procede ad accertamenti, rilievi segnaletici, descrittivi o fotografici e ad ogni altra operazione tecnica per cui sono necessarie specifiche competenze, può nominare e avvalersi di consulenti, che non possono rifiutare la loro opera. – Il consulente può essere autorizzato dal pubblico ministero ad assistere a singoli atti di indagine.
  5. 5. Accertamenti tecnici NON RIPETIBILI:Accertamenti tecnici NON RIPETIBILI: • Art. 360 c.p.p. • (c.1) Quando gli accertamenti previsti dall'articolo 359 riguardano persone, cose o luoghi il cui stato è soggetto a modificazione, il pubblico ministero avvisa, senza ritardo, la persona sottoposta alle indagini, la persona offesa dal reato e i difensori del giorno, dell'ora e del luogo fissati per il conferimento dell'incarico e della facoltà di nominare consulenti tecnici. • (c.3) I difensori nonché i consulenti tecnici eventualmente nominati hanno diritto di assistere al conferimento dell'incarico, di partecipare agli accertamenti e di formulare osservazioni e riserve.
  6. 6. Incidente probatorio:Incidente probatorio: • Artt. 392 e ss. c.p.p. • 1. Nel corso delle indagini preliminari il pubblico ministero e la persona sottoposta alle indagini possono chiedere al giudice che si proceda con INCIDENTE PROBATORIO: ... • f) a una perizia o a un esperimento giudiziale, se la prova riguarda una persona, una cosa o un luogo il cui stato è soggetto a modificazione non evitabile; • g) a una ricognizione, quando particolari ragioni di urgenza non consentono di rinviare l'atto al dibattimento. ...
  7. 7. La PERIZIA in sede dibattimentale:La PERIZIA in sede dibattimentale: • Artt. 220 e ss. c.p.p. • 1. La perizia è ammessa quando occorre svolgere indagini o acquisire dati o valutazioni che richiedono specifiche competenze tecniche, scientifiche o artistiche. • 2. Salvo quanto previsto ai fini dell'esecuzione della pena o della misura di sicurezza, non sono ammesse perizie per stabilire l'abitualità o la professionalità nel reato, la tendenza a delinquere, il carattere e la personalità dell'imputato e in genere le qualità psichiche indipendenti da cause patologiche.
  8. 8. Indicazioni tecniche che derivano dall’orientamento normativo Indicazioni tecniche che derivano dall’orientamento normativo • Preservare più possibile la ripetibilità dell’analisi tecnica; quando non possibile, richiedere le notifiche ex art. 360 c.p.p. • Nella DIGITAL FORENSIC, non esiste una metodologia tecnica stabilita dalla legge, esistono solo BEST PRACTICES • La RIPETIBILITA’ dell’analisi implica anche la ripetibilità dei risultati ottenuti
  9. 9. Quale software scegliere ?Quale software scegliere ? • OPEN SOURCE vs SOFTWARE COMM.LE • In medio stat virtus
  10. 10. Il laboratorio dell’analista forenseIl laboratorio dell’analista forense • E’ necessaria una buona dotazione di: – Storage, connessione veloce – Adattatori e cavi, anche per tecnologie obsolete. Attrezzature portatili – Collaboratori e laboratori esterni – Pazienza e creatività… –
  11. 11. Parte II: saper fareParte II: saper fare • Le BEST PRACTICES prevedono metodologie specifiche per le fasi di: – IDENTIFICAZIONE – ACQUISIZIONE – CONSERVAZIONE – DOCUMENTAZIONE – INTERPRETAZIONE del DATO DIGITALE Sistema Operativo del dispositivo sequestrato OBIETTIVO della ricerca (tipo di reato contestato) SCELTA del METODO
  12. 12. HARD-DISK, partizioni, tipi di file systemHARD-DISK, partizioni, tipi di file system • Write blockers o montaggio read-only • Capire la struttura del disco con FDISK e GPARTED • Strumenti per creare IMMAGINE FORENSE • Calcolo dell’HASH, MD5, SHA1, SHA256 • Tecniche di wiping dei dischi, shred
  13. 13. Memorie volatili: analisi della RAMMemorie volatili: analisi della RAM • In base all’obiettivo dell’indagine (o al quesito oggetto dell’incarico) può essere un fattore determinante in quanto contiene • Fondamentale sotto Windows il contenuto dei files “hiberfile.sys” e “pagefile.sys”, che il pc salva in fase di ibernazione e di swapping Tipologia di files e MAGIC NUMBERSTipologia di files e MAGIC NUMBERS • xxxxx.yyy → NON FIDARSI DELL’ESTENSIONE di Windows • Utilizzare il comando file o un editor esadecimale • ESERCITAZIONE: acquisizione, hash, analisi e data-recovery
  14. 14. LINUX: forensic distro e suite integrateLINUX: forensic distro e suite integrate • Distribuzioni Linux: Deft e Caine • Tools per Windows: DART • Encase-like tools: TSK & Autopsy4
  15. 15. Strumenti per data-recoveryStrumenti per data-recovery • Il recupero dei dati cancellati attraverso la metodologia del FILE CARVING • Strumenti open-source e freeware: Photorec e Recuva • La necessità di garantire la ripetibilità dell’analisi • Il recupero dei dati cancellati da smartphones e tablet è possibile, ma richiede il rooting del telefono e l’uso di tools specifici
  16. 16. Network forensicsNetwork forensics • La fonte di informazioni più importante sulle risorse Internet è la rete stessa • Strumenti come whois, nmap, wireshark consentono di controllare e monitorare le risorse in Rete • Emergono nuove problematiche d’indagine legate alla diffusione della navigazione anonima (Tor Browser) e del deep web
  17. 17. Phone forensicPhone forensic • Strumenti di comunicazione altamente specializzati, smartphones e tablet richiedono metodologie specifiche • Strumenti open non ancora maturi • ADB shell, rooting, Ios Backup

×