Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.

Diario di un computer forense

1,805 views

Published on

A cura di Andrea Cappai
Attività seminariale nell’ambito del Corso di Laurea Magistrale in Ingegneria delle Telecomunicazioni – insegnamento di Diritto dell’Informatica e delle Nuove Tecnologie.
(coordinamento delle attività a cura di Massimo Farina)

  • Be the first to comment

  • Be the first to like this

Diario di un computer forense

  1. 1. CORSO DI INFORMATICA FORENSE – Titolo lezione di AUTORE Andrea Cappai Corso di INFORMATICA FORENSE (A.A. 2013/2014) DIARIO DI UN COMPUTER FORENSER DirICTo Attività seminariale nell’ambito del Corso di Laurea Magistrale in Ingegneria delle Telecomunicazioni – insegnamento di Diritto dell’Informatica e delle Nuove Tecnologie (coordinamento delle attività a cura di Massimo Farina)
  2. 2. CORSO DI INFORMATICA FORENSE – Titolo lezione di AUTORE DIARIO DI UN COMPUTER FORENSER • Definizione di Digital Forensics; • Metodologia forense; • Introduzione alla Digital Forensics; • Case study ed esercizi tecnici; • Il futuro (grigio) della Digital Forensics. Corso di Informatica Forense – DIARIO DI UN COMPUTER FORENSER di ANDREA CAPPAI
  3. 3. CORSO DI INFORMATICA FORENSE – Titolo lezione di AUTORE DEFINIZIONE DI DIGITAL FORENSICS L’unico protocollo applicabile è il metodo scientifico, ovvero la modalità tipica con cui la scienza procede per raggiungere una conoscenza della realtà oggettiva, affidabile, verificabile e condivisibile (Wikipedia). La Digital Forensics è quella disciplina scientifica che regola l’identificazione, l’acquisizione, la preservazione, l’analisi ed il reporting di fonti di prova digitali al fine di renderle utilizzabili in un processo giuridico. Corso di Informatica Forense – DIARIO DI UN COMPUTER FORENSER di ANDREA CAPPAI
  4. 4. CORSO DI INFORMATICA FORENSE – Titolo lezione di AUTORE DEFINIZIONE DI DIGITAL FORENSICS Le fasi della Digital Forensics sono: identificazione, acquisizione, preservazione, analisi, reporting. Le copie post mortem di un dispositivo di memorizzazione di massa, laddove possibile, vanno effettuate bit-a-bit con verifica di codice hash, una funzione matematica che genera un codice univoco e non reversibile. Esso consiste, da una parte, nella raccolta di evidenza empirica e misurabile attraverso l’osservazione e l’esperimento; dall’altra, nella formulazione di ipotesi e teorie da sottoporre nuovamente al vaglio dell’esperimento. Corso di Informatica Forense – DIARIO DI UN COMPUTER FORENSER di ANDREA CAPPAI
  5. 5. CORSO DI INFORMATICA FORENSE – Titolo lezione di AUTORE DEFINIZIONE DI DIGITAL FORENSICS Un investigatore deve essere in grado di avvicinarsi a un sistema informativo per determinare se esso sia stato utilizzato in attività illecite o non autorizzate, avendo cura di non alterare le possibili prove. La scena del crimine può quindi essere un computer, un supporto rimovibile, una rete o qualsiasi altro medium digitale. Poiché la disciplina coinvolge la materia legale, il valore di una prova in sede processuale varia a seconda della legislazione. Quindi è necessario sapere come e che tipo di prova può essere considerata valida in Italia. Corso di Informatica Forense – DIARIO DI UN COMPUTER FORENSER di ANDREA CAPPAI
  6. 6. CORSO DI INFORMATICA FORENSE – Titolo lezione di AUTORE METODOLOGIA FORENSE La Computer Forensics è una nuova branca della Polizia scientifica, ragion per cui si prospettano due situazioni; • ad ogni caso si scoprono nuovi metodi analisi e di approccio alla situazione; • la stessa evidenza, affidata a periti diversi o addirittura allo stesso forenser in due tempi diversi, potrebbe produrre risultati differenti. E’ necessario un metodo di lavoro che permetta di evitare ai forenser gli stessi errori, reinventare le stesse cose. In questo modo si potrebbero ottenere una serie di vantaggi. Corso di Informatica Forense – DIARIO DI UN COMPUTER FORENSER di ANDREA CAPPAI Corso di Informatica Forense – DIARIO DI UN COMPUTER FORENSER di ANDREA CAPPAI E’ necessario un metodo di lavoro che permetta di evitare ai forenser gli stessi errori, reinventare le stesse cose. In questo modo si potrebbero ottenere una serie di vantaggi.
  7. 7. CORSO DI INFORMATICA FORENSE – Titolo lezione di AUTORE METODOLOGIA FORENSE • Normalizzazione dei risultati Applicando la stessa metodologia sarebbe possibile ottenere risultati molto simili pur rivolgendosi a periti diversi, almeno per le fasi più sensibili, come l’acquisizione delle evidenze. •Minore dispersione di energie La mancanza di comunicazione e una legislazione carente fanno sì che ogni forenser debba affrontare gli stessi problemi già affrontati da altri e debba trovarvi soluzione. Ciò, inevitabilmente, complica il lavoro e ruba tempo ed energie all’unica fase in cui la personalità del perito può esprimersi, ovvero quella dell’analsi delle evidenze. Corso di Informatica Forense – DIARIO DI UN COMPUTER FORENSER di ANDREA CAPPAI Corso di Informatica Forense – DIARIO DI UN COMPUTER FORENSER di ANDREA CAPPAI
  8. 8. CORSO DI INFORMATICA FORENSE – Titolo lezione di AUTORE METODOLOGIA FORENSE • Minore possibilità alla controparte Applicare un metodo che abbia già superato più volte le forche caudine del dibattimento eviterebbe di dare agio agli avvocati di parte, di trovare un vizio di forma o un cavillo legale che possa invalidare tutto il lavoro svolto. • Verificabilità dei risultati L’uso di un metodo comune permetterebbe ai periti di parte avversa di controllare in maniera più semplice e incontrovertibile i risultati ottenuti dagli investigatori. Corso di Informatica Forense – DIARIO DI UN COMPUTER FORENSER di ANDREA CAPPAI Corso di Informatica Forense – DIARIO DI UN COMPUTER FORENSER di ANDREA CAPPAI
  9. 9. CORSO DI INFORMATICA FORENSE – Titolo lezione di AUTORE INTRODUZIONE ALLA DIGITAL FORENSICS • Dove possibile affiancarsi ad un esperto; • Prendere confindenza con i sistemi operativi Linux; • Studiare le Best Practices; • Informarsi su gruppi, mailing list, forum; • Conoscenze base sugli articoli di legge; • Sperimentare; • STUDIARE, STUDIARE, STUDIARE; Corso di Informatica Forense – DIARIO DI UN COMPUTER FORENSER di ANDREA CAPPAI Corso di Informatica Forense – DIARIO DI UN COMPUTER FORENSER di ANDREA CAPPAI
  10. 10. CORSO DI INFORMATICA FORENSE – Titolo lezione di AUTORE CASO # 1 – FURTO DI INFORMAZIONI Corso di Informatica Forense – DIARIO DI UN COMPUTER FORENSER di ANDREA CAPPAI Corso di Informatica Forense – DIARIO DI UN COMPUTER FORENSER di ANDREA CAPPAI
  11. 11. CORSO DI INFORMATICA FORENSE – Titolo lezione di AUTORE CASO # 1 – FURTO DI INFORMAZIONI • Si indagava in merito alla rilevazione ed utilizzazione di segreti di ufficio (ex art. 326 C. P.), la cui diffusione ha compromesso la cattura di un pericolo latitante. • Il P. M. riferiva che l’ipotesi di reato era da concentrarsi sul suo notebook, dal quale probabilmente erano state effettuate copie illegittime di alcuni file word. • Analizzando i file word saltò subito all’occhio che essi avevano grandi dimensioni, quindi si ipotizzò che questi erano stati copiati mediante dispositivo esterno (verosimilmente penna USB) e non inviati via mail (operazione lunga e rischiosa). Corso di Informatica Forense – DIARIO DI UN COMPUTER FORENSER di ANDREA CAPPAI
  12. 12. CORSO DI INFORMATICA FORENSE – Titolo lezione di AUTORE CASO # 1 – FURTO DI INFORMAZIONI • Ipotizzando che i dati fossero memorizzati in una penna USB si procedete ad una perquisizione informatica ai sensi dell’art. 247 C. P., al fine di verificare i vari dispositivi USB che erano stati connessi al notebook. Corso di Informatica Forense – DIARIO DI UN COMPUTER FORENSER di ANDREA CAPPAI Corso di Informatica Forense – DIARIO DI UN COMPUTER FORENSER di ANDREA CAPPAI
  13. 13. CORSO DI INFORMATICA FORENSE – Titolo lezione di AUTORE CASO # 1 – FURTO DI INFORMAZIONI Vendor_ID e Product_ID sono una coppia di numeri univoca che identificano l’hardware e il relativo produttore. Unica casa costruttrice che vendono con lo stesso Vendor_ID e Product_ID. Corso di Informatica Forense – DIARIO DI UN COMPUTER FORENSER di ANDREA CAPPAI PENNA USB Corso di Informatica Forense – DIARIO DI UN COMPUTER FORENSER di ANDREA CAPPAI
  14. 14. CORSO DI INFORMATICA FORENSE – Titolo lezione di AUTORE CASO # 1 – FURTO DI INFORMAZIONI MARCA Vendor_ID:Product_ID KRAUN AAAA:0001 MYFLASH AAAA:0001 KINGSTON BBBB:0010 MAXELL CCCC:1234 SANDISK AAAA:0001 • Stesso driver per gestire periferiche diverse Corso di Informatica Forense – DIARIO DI UN COMPUTER FORENSER di ANDREA CAPPAI Corso di Informatica Forense – DIARIO DI UN COMPUTER FORENSER di ANDREA CAPPAI
  15. 15. CORSO DI INFORMATICA FORENSE – Titolo lezione di AUTORE CASO # 1 – FURTO DI INFORMAZIONI • SEMPLICE Tool freeware USBDeview fornito dalla NirSodt, programma non installante ed eseguibile da una penna USB contenente tool forensi • COMPLESSO Analizzare le chiavi di Registro di Sistema APPROCCI Corso di Informatica Forense – DIARIO DI UN COMPUTER FORENSER di ANDREA CAPPAI Corso di Informatica Forense – DIARIO DI UN COMPUTER FORENSER di ANDREA CAPPAI
  16. 16. CORSO DI INFORMATICA FORENSE – Titolo lezione di AUTORE CASO # 1 – FURTO DI INFORMAZIONI • L’analisi del Registro di Sistema mediante il comando Regedit oppure con software ad hoc come AccessData Registry Viewer. • Nella seguente chiave di registro troviamo le informazioni relative alle penne USB: HKEY_LOCAL_MACHINESYSTEMControlSetXXXEnumUSBST OR La sottochiave di Disk&Ven_XXX&Prod_XXX&RevXXX ci fornisce il numero seriale del dispositivo ma anche la data e orario di collegamento del dispositivo Corso di Informatica Forense – DIARIO DI UN COMPUTER FORENSER di ANDREA CAPPAI Corso di Informatica Forense – DIARIO DI UN COMPUTER FORENSER di ANDREA CAPPAI
  17. 17. CORSO DI INFORMATICA FORENSE – Titolo lezione di AUTORE CASO # 1 – FURTO DI INFORMAZIONI - Registro di Sistema Corso di Informatica Forense – DIARIO DI UN COMPUTER FORENSER di ANDREA CAPPAI Corso di Informatica Forense – DIARIO DI UN COMPUTER FORENSER di ANDREA CAPPAI
  18. 18. CORSO DI INFORMATICA FORENSE – Titolo lezione di AUTORE CASO # 1 – FURTO DI INFORMAZIONI • Il file setupapi.dev.log (o setupapi.log) fornisce la data di prima installazione e anche il Serial Number del dispositivo. - setupapi.dev.log Corso di Informatica Forense – DIARIO DI UN COMPUTER FORENSER di ANDREA CAPPAI Corso di Informatica Forense – DIARIO DI UN COMPUTER FORENSER di ANDREA CAPPAI
  19. 19. CORSO DI INFORMATICA FORENSE – Titolo lezione di AUTORE CASO # 1 – FURTO DI INFORMAZIONI • Una volta individuata la data di prima connessione e il Serial Number della probabile penna USB, abbiamo analizzato la seguente chiave di registro: HKEY_LOCAL_MACHINESYSTEMControlDeviceClasses{XXXXXXXX- YYYYY-ZZZZ} che fornisce la data di ultima connessione del dispositivo Corso di Informatica Forense – DIARIO DI UN COMPUTER FORENSER di ANDREA CAPPAI Corso di Informatica Forense – DIARIO DI UN COMPUTER FORENSER di ANDREA CAPPAI
  20. 20. CORSO DI INFORMATICA FORENSE – Titolo lezione di AUTORE CASO # 1 – FURTO DI INFORMAZIONI Riassumendo: Nel periodo di interesse è risultata una penna USB (Kingston DataTravel), non di proprietà del P. M., connessa al Notebook in questione. • Chi poteva accedere al Notebook? • L’ufficio era accessibile a chiunque? • La penna USB aveva la disponibilità esclusiva? Corso di Informatica Forense – DIARIO DI UN COMPUTER FORENSER di ANDREA CAPPAI Corso di Informatica Forense – DIARIO DI UN COMPUTER FORENSER di ANDREA CAPPAI
  21. 21. CORSO DI INFORMATICA FORENSE – Titolo lezione di AUTORE CASO # 1 – FURTO DI INFORMAZIONI L’ufficio del magistrato non aveva particolari misura di sicurezza e nel giorno di interesse tutti i suoi collaboratori erano in servizio. Ragion per cui, furono avvisate le parti e si procedette con una perquisizione reale all’interno delle stanze dei collaboratori, rinvenendo 4 penne USB. Corso di Informatica Forense – DIARIO DI UN COMPUTER FORENSER di ANDREA CAPPAI Corso di Informatica Forense – DIARIO DI UN COMPUTER FORENSER di ANDREA CAPPAI
  22. 22. CORSO DI INFORMATICA FORENSE – Titolo lezione di AUTORE CASO # 1 – FURTO DI INFORMAZIONI Si analizzarono le penne e si evinse che la presunta pen drive incriminata era nella disponibilità di un Ispettore. Venne fatta in loco una copia bitstream del dispositivo, non si trovò nulla nell’area allocata dal file system. PHOTOREC – Data Carving PHOTOREC è un programma open source che permette di realizzare il data carving, ovvero un’attività di ricerca di file presenti su memorie di massa o loro immagini raw, bypassando il file system e effettuando ricerche a basso livello, cioè bit a bit, al fine di scovare dati recuperabili, anche nei casi in cui il dispositivo o il filesystem risultano seriamente danneggiati o riformattati. Corso di Informatica Forense – DIARIO DI UN COMPUTER FORENSER di ANDREA CAPPAI Corso di Informatica Forense – DIARIO DI UN COMPUTER FORENSER di ANDREA CAPPAI Corso di Informatica Forense – DIARIO DI UN COMPUTER FORENSER di ANDREA CAPPAI
  23. 23. CORSO DI INFORMATICA FORENSE – Titolo lezione di AUTORE CASO # 1 – FURTO DI INFORMAZIONI - PHOTOREC 6.14, Data Recovery Utility Corso di Informatica Forense – DIARIO DI UN COMPUTER FORENSER di ANDREA CAPPAI Corso di Informatica Forense – DIARIO DI UN COMPUTER FORENSER di ANDREA CAPPAI
  24. 24. CORSO DI INFORMATICA FORENSE – Titolo lezione di AUTORE CASO # 1 – FURTO DI INFORMAZIONI Si sceglie il dispositivo dal quale recuperare i dati, mediante l’opzione Search si seleziona su che file system andranno salvati i file recuperati e successivamente dove cercare i dati (area non allocata). Corso di Informatica Forense – DIARIO DI UN COMPUTER FORENSER di ANDREA CAPPAI Corso di Informatica Forense – DIARIO DI UN COMPUTER FORENSER di ANDREA CAPPAI
  25. 25. CORSO DI INFORMATICA FORENSE – Titolo lezione di AUTORE CASO # 1 – FURTO DI INFORMAZIONI Settati tutti i parametri si avvia la fase di recupero il cui avanzamento verrà mostrato a video in tempo reale. Terminata l’operazione di recupero, PHOTOREC produce un file di log dove vengono riportate tutte le attività svolte. Terminata l’operazione di recupero, PHOTOREC fù in grado di recuperare i tre file Word, contenenti le Ordinanze di Custodia Cautelare oggetto dell’indagine. Corso di Informatica Forense – DIARIO DI UN COMPUTER FORENSER di ANDREA CAPPAI Corso di Informatica Forense – DIARIO DI UN COMPUTER FORENSER di ANDREA CAPPAI
  26. 26. CORSO DI INFORMATICA FORENSE – Titolo lezione di AUTORE CASO # 2 – PEDOPORNOGRAFIA ONLINE Corso di Informatica Forense – DIARIO DI UN COMPUTER FORENSER di ANDREA CAPPAI Corso di Informatica Forense – DIARIO DI UN COMPUTER FORENSER di ANDREA CAPPAI
  27. 27. CORSO DI INFORMATICA FORENSE – Titolo lezione di AUTORE CASO # 2 – PEDOPORNOGRAFIA ONLINE Dopo oltre un mese di ricerche non trovammo alcuna prova nel hard- disk in sequestro. Usammo vari software di recupero dati, ma nessuno di questi restituì alcun risultato utile ai fini dell’indagine. Purtroppo il computer era stato ripetutamente deframmentato e i file di interesse sovrascritti. Le chiavi di ricerca, lo storico delle ricerche su Emule, mostravano tracce di file a contenuto pedopornografico. Pensammo che forse l’utente avrebbe potuto dimenticare qualcosa, infatti ci venne in mente di analizzare il file di swap di windows (pagefile.sys). L’idea di usare un editor esadecimale su un file di 2GB non era entusiasmante. Corso di Informatica Forense – DIARIO DI UN COMPUTER FORENSER di ANDREA CAPPAI Corso di Informatica Forense – DIARIO DI UN COMPUTER FORENSER di ANDREA CAPPAI
  28. 28. CORSO DI INFORMATICA FORENSE – Titolo lezione di AUTORE CASO # 2 – PEDOPORNOGRAFIA ONLINE Per cui usammo FOREMOST un tool per fare il carving sui file di swap. Provammo e trovammo le immagini che stavamo cercando. Essendo le immagini su un file di swap, non era possibile determinare se queste fossero state conservate o solamente visionate tramite il browser. Non furono utili ai fini dell’indagine ma questo ci fece capire che un tool per il carving (PHOTOREC o FOREMOST) sulle partizioni di swap o sui file di hybernation, devono sempre essere presenti negli strumenti di analisi. Corso di Informatica Forense – DIARIO DI UN COMPUTER FORENSER di ANDREA CAPPAI Corso di Informatica Forense – DIARIO DI UN COMPUTER FORENSER di ANDREA CAPPAICorso di Informatica Forense – DIARIO DI UN COMPUTER FORENSER di ANDREA CAPPAI
  29. 29. CORSO DI INFORMATICA FORENSE – Titolo lezione di AUTORE CASO # 2 – PEDOPORNOGRAFIA ONLINE - FOREMOST Corso di Informatica Forense – DIARIO DI UN COMPUTER FORENSER di ANDREA CAPPAI Corso di Informatica Forense – DIARIO DI UN COMPUTER FORENSER di ANDREA CAPPAI
  30. 30. CORSO DI INFORMATICA FORENSE – Titolo lezione di AUTORE CASO # 2 – PEDOPORNOGRAFIA ONLINE - Log FOREMOST Corso di Informatica Forense – DIARIO DI UN COMPUTER FORENSER di ANDREA CAPPAI Corso di Informatica Forense – DIARIO DI UN COMPUTER FORENSER di ANDREA CAPPAI NB: Si consiglia di allegare tutti i log forniti dai software utilizzati
  31. 31. CORSO DI INFORMATICA FORENSE – Titolo lezione di AUTORE CASO # 3 – SPYPHONE Corso di Informatica Forense – DIARIO DI UN COMPUTER FORENSER di ANDREA CAPPAI Corso di Informatica Forense – DIARIO DI UN COMPUTER FORENSER di ANDREA CAPPAI
  32. 32. CORSO DI INFORMATICA FORENSE – Titolo lezione di AUTORE CASO # 3 – SPYPHONE Ci venne consegnato un telefono cellulare Nokia modello E7 per eseguire ricerca su eventuali programmi spia installati al suo interno. Venne inserita una SIM non attiva e procedemmo all’estrapolazione e alla successiva analisi dei dati mediante l’ausilio di OXYGEN FORENSIC SUITE. Dalla analisi delle app, dei servizi attivi non notammo nulla di anomalo. Venne controllato anche il tabulato telefonico alla ricerca di eventuali anomalie ma sembrò che non ci fosse nulla di rilevante. Corso di Informatica Forense – DIARIO DI UN COMPUTER FORENSER di ANDREA CAPPAI Corso di Informatica Forense – DIARIO DI UN COMPUTER FORENSER di ANDREA CAPPAI
  33. 33. CORSO DI INFORMATICA FORENSE – Titolo lezione di AUTORE CASO # 3 – SPYPHONE - OXYGEN FORENSIC SUITE Corso di Informatica Forense – DIARIO DI UN COMPUTER FORENSER di ANDREA CAPPAI Corso di Informatica Forense – DIARIO DI UN COMPUTER FORENSER di ANDREA CAPPAI
  34. 34. CORSO DI INFORMATICA FORENSE – Titolo lezione di AUTORE CASO # 3 – SPYPHONE Iniziammo la ricerca di parole chiavi attinenti il caso in esame mediante l’ausilio del OXYGEN e un risultato interessante lo ottenemmo grazie all’ IMEI e al numero del telefono. Trovammo un file di testo denominato traxURL.txt dove veniva riportato un link ad un sito seguito da indicazioni su IMEI e numero di telefono in oggetto. http://www.XXXXXX.com/track.php;+393485YYYY;354 86404ZZZZZZ; Corso di Informatica Forense – DIARIO DI UN COMPUTER FORENSER di ANDREA CAPPAI Corso di Informatica Forense – DIARIO DI UN COMPUTER FORENSER di ANDREA CAPPAI
  35. 35. CORSO DI INFORMATICA FORENSE – Titolo lezione di AUTORE CASO # 3 – SPYPHONE Corso di Informatica Forense – DIARIO DI UN COMPUTER FORENSER di ANDREA CAPPAI Corso di Informatica Forense – DIARIO DI UN COMPUTER FORENSER di ANDREA CAPPAI - File traxURL.txt
  36. 36. CORSO DI INFORMATICA FORENSE – Titolo lezione di AUTORE CASO # 3 – SPYPHONE Inserendo dei campi casuali ci compaiono delle schermate con indicazioni su Storico Chiamate, sms, mail ed altri campi che lasciarono intendere che avevamo trovato quello che stavamo cercando. Logicamente i file di log erano vuoti in quanto il nostro account non era valido. Corso di Informatica Forense – DIARIO DI UN COMPUTER FORENSER di ANDREA CAPPAI Corso di Informatica Forense – DIARIO DI UN COMPUTER FORENSER di ANDREA CAPPAI Venne copiato il link trovato(eliminando numero e IMEI) su un browser e ci appare una pagina bianca con due campi da inserire: User e Password.
  37. 37. CORSO DI INFORMATICA FORENSE – Titolo lezione di AUTORE CASO # 3 – SPYPHONE Corso di Informatica Forense – DIARIO DI UN COMPUTER FORENSER di ANDREA CAPPAI Corso di Informatica Forense – DIARIO DI UN COMPUTER FORENSER di ANDREA CAPPAI -Schermata login SpyPhone
  38. 38. CORSO DI INFORMATICA FORENSE – Titolo lezione di AUTORE CASO # 3 – SPYPHONE Corso di Informatica Forense – DIARIO DI UN COMPUTER FORENSER di ANDREA CAPPAI Corso di Informatica Forense – DIARIO DI UN COMPUTER FORENSER di ANDREA CAPPAI -Schermata impostazioni SpyPhone
  39. 39. CORSO DI INFORMATICA FORENSE – Titolo lezione di AUTORE CASO # 3 – SPYPHONE Non ci restava che trovare user e password per poter accedere al account del telefono spiato. Ragion per cui decidemmo di contattare i fornitori del servizio ed acquistammo un software spia. Ci venne inviato il software e successivamente username e password per accedere al sito/server contenente le informazioni sul telefono controllato. Installammo il software nel nostro telefono (previo invio IMEI del telefono spiato alla società che forniva il software). Usammo il nostro telefono in modo da simulare una situazione reale e quindi il trasferimento dei dati spiati al server. Corso di Informatica Forense – DIARIO DI UN COMPUTER FORENSER di ANDREA CAPPAI Corso di Informatica Forense – DIARIO DI UN COMPUTER FORENSER di ANDREA CAPPAI
  40. 40. CORSO DI INFORMATICA FORENSE – Titolo lezione di AUTORE CASO # 3 – SPYPHONE Estrapolammo il contenuto del nostro telefono spiato in cerca di dati utili per il proseguo per l’indagine, ma purtroppo trovammo anche nel nostro caso il link con l’IMEI e il numero del nostro telefono ma nessuna informazione su username e password per accere al sito. Dalle ulteriori analisi scoprimmo che il servizio dello spyphone era quasi impossibile da trovare e inoltre la trasmissione dei dati (al sito) avveniva mediante connessione GPRS/UMTS con costi aggiuntivi difficilmente rintracciabili nella bolletta. Corso di Informatica Forense – DIARIO DI UN COMPUTER FORENSER di ANDREA CAPPAI Corso di Informatica Forense – DIARIO DI UN COMPUTER FORENSER di ANDREA CAPPAI Con le username e password fornite dalla società fornitrice del software entrammo nel server/sito e trovammo tutti i dati catturati dal nostro telefono.
  41. 41. CORSO DI INFORMATICA FORENSE – Titolo lezione di AUTORE CASO # 3 – SPYPHONE Purtroppo capimmo che nel telefono non erano presente tracce del log al sito ma solo della connessione per inviare i dati. L’unica strada da percorrere era supporre che “lo spione” avesse commesso l’errore di aver effettuato l’accesso dal telefono. Per capire se fosse stato commesso questo passo falso, venne effettuato un accesso al server dal nostro telefono spiato con una successiva acquisizione del cellulare per eseguire un analisi approfondita. Corso di Informatica Forense – DIARIO DI UN COMPUTER FORENSER di ANDREA CAPPAI Corso di Informatica Forense – DIARIO DI UN COMPUTER FORENSER di ANDREA CAPPAI Nella web cache del nostro telefono trovammo un file di log dove veniva riportato il link al server seguito da username e password separati da uno spazio (entrambi in esadecimale)
  42. 42. CORSO DI INFORMATICA FORENSE – Titolo lezione di AUTORE CASO # 3 – SPYPHONE Con nostra sorpresa trovammo nella web cache lo stesso log nel telefono oggetto di analisi, ossia: http://www.xxxpanel.com/track.php;61646d696e2070617373776f 7264 61646d696e2070617373776f7264 in questa stringa era presente username e password per accedere al sito. Mediante un semplice convertitore HEX->Testo ottenemmo che 61646d696e admin 70617373776f7264 password Corso di Informatica Forense – DIARIO DI UN COMPUTER FORENSER di ANDREA CAPPAI Corso di Informatica Forense – DIARIO DI UN COMPUTER FORENSER di ANDREA CAPPAI admin e password erano le “complicate” chiavi di accesso al server (il 20 in esadecimale sta ad indicare lo spazio). Provammo la combinazione e riuscimmo a dimostrare che il Nokia E/ conteneva un software spia.
  43. 43. CORSO DI INFORMATICA FORENSE – Titolo lezione di AUTORE CASO # 4 – WHATSAPP FORENSIC Corso di Informatica Forense – DIARIO DI UN COMPUTER FORENSER di ANDREA CAPPAI Corso di Informatica Forense – DIARIO DI UN COMPUTER FORENSER di ANDREA CAPPAI
  44. 44. CORSO DI INFORMATICA FORENSE – Titolo lezione di AUTORE CASO # 4 – WHATSAPP FORENSIC Analisi di uno smartphone Samsung S3 con Android 4.1.2 mediante l’utilizzo del UFED e Physical Analyzer Il database contenente i messaggi di WhatsApp è di tipo SqlLite 3.0 e si trova in: datacom.whatsappdatabasesmsgstore.db Se viene cancellato un record i SQLBrowser o SQLite non vedono i record cancellati e quindi non è possibile eseguire query per recuperare i messaggi. Ragion per cui prima dell'acquisizione fisica tramite UFED Touch del mio Samsung S3 con Android 4.1.2, si è provveduto a cancellare due (il primo ed il terzo) messaggi di una conversazione dal mio WhatsApp, come in figura: Corso di Informatica Forense – DIARIO DI UN COMPUTER FORENSER di ANDREA CAPPAI Corso di Informatica Forense – DIARIO DI UN COMPUTER FORENSER di ANDREA CAPPAI
  45. 45. CORSO DI INFORMATICA FORENSE – Titolo lezione di AUTORE CASO # 4 – WHATSAPP FORENSIC Corso di Informatica Forense – DIARIO DI UN COMPUTER FORENSER di ANDREA CAPPAI Corso di Informatica Forense – DIARIO DI UN COMPUTER FORENSER di ANDREA CAPPAI Finita l'acquisizione ed ottenuto il file DumpData.bin, siamo andati ad aprire con il viewer esadecimale il file msgstoredb.db e a cercare le parole chiave dei messaggi cancellati, ottenendo una visualizzazione esadecimale come questa:
  46. 46. CORSO DI INFORMATICA FORENSE – Titolo lezione di AUTORE CASO # 4 – WHATSAPP FORENSIC Corso di Informatica Forense – DIARIO DI UN COMPUTER FORENSER di ANDREA CAPPAI Corso di Informatica Forense – DIARIO DI UN COMPUTER FORENSER di ANDREA CAPPAI
  47. 47. CORSO DI INFORMATICA FORENSE – Titolo lezione di AUTORE CASO # 4 – WHATSAPP FORENSIC Il messaggio si compone del numero del mittente, seguito da un numero, che rappresenta la data senza l'ora, del messaggio in Unix Epoch Time, ossia il numero di secondi passati dal 01/01/1970 alle 00:00:00, con una semplice conversione con programmi come DCode o http://www.epochconverter.com, si ricava che il numero: 1385917163 è la data 01 Dec 2013 alle ore 15:28:33, quindi l'orario non è esatto. Bisogna trovare la data e l'ora (timestamp) esatta di questo messaggio, facendo un po' di prove e confrontando con i messaggi in chiaro, scopriamo che i primi sei (6) byte successivi alla fine del testo del messaggio, rappresentano il timestamp dello stesso con data ed ora corretti. Corso di Informatica Forense – DIARIO DI UN COMPUTER FORENSER di ANDREA CAPPAI Corso di Informatica Forense – DIARIO DI UN COMPUTER FORENSER di ANDREA CAPPAI
  48. 48. CORSO DI INFORMATICA FORENSE – Titolo lezione di AUTORE CASO # 4 – WHATSAPP FORENSIC Infatti preleviamo i 6 byte successivi del primo messaggio: 01 42 AE FF E8 20 e 01 42 AF 1F BA 5F e li traduciamo in decimale con la calcolatrice e poi convertiamo il numero in Unix Milliseconds Time, infatti qui il timestamp è in millisecondi e non in secondi, poi impostiamo DCode in UTC+1 (siamo in Italia in ora solare quindi UTC+1). Otteniamo 1385915476000 che trasformato corrisponde a domenica 01 Dicembre 2013 alle ore 17:31:16 +01 Corso di Informatica Forense – DIARIO DI UN COMPUTER FORENSER di ANDREA CAPPAI Corso di Informatica Forense – DIARIO DI UN COMPUTER FORENSER di ANDREA CAPPAI
  49. 49. CORSO DI INFORMATICA FORENSE – Titolo lezione di AUTORE CASO # 4 – WHATSAPP FORENSIC Stessa procedura per l’altro messaggio: 1385917561439 che corrisponde a domenica 01 Dicembre 2013 alle ore 18:06:01 +01 Corso di Informatica Forense – DIARIO DI UN COMPUTER FORENSER di ANDREA CAPPAI Corso di Informatica Forense – DIARIO DI UN COMPUTER FORENSER di ANDREA CAPPAI
  50. 50. CORSO DI INFORMATICA FORENSE – Titolo lezione di AUTORE CASO # 4 – WHATSAPP FORENSIC Corso di Informatica Forense – DIARIO DI UN COMPUTER FORENSER di ANDREA CAPPAI Corso di Informatica Forense – DIARIO DI UN COMPUTER FORENSER di ANDREA CAPPAI Concludiamo avendo estratto due messaggi cancellati, abbiamo ricavato il mittente, il destinatario, il testo ed il timestamp.
  51. 51. CORSO DI INFORMATICA FORENSE – Titolo lezione di AUTORE CASO # 5 – ANTIFORENSIC HW Corso di Informatica Forense – DIARIO DI UN COMPUTER FORENSER di ANDREA CAPPAI Corso di Informatica Forense – DIARIO DI UN COMPUTER FORENSER di ANDREA CAPPAI
  52. 52. CORSO DI INFORMATICA FORENSE – Titolo lezione di AUTORE CASO # 5 – ANTIFORENSIC HW Ricapitolando… • Obiettivo della forense: ricostruire “cosa è successo” • Obiettivo più preciso: applicare metodi scientifici (=ripetibili) di analisi delle evidenze informatiche al fine di produrre delle prove • Fasi  Raccolta dell'evidenza (acquisizione)  Identificazione delle prove  Valutazione ed analisi tecnico/legale  Presentazione dei risultati Corso di Informatica Forense – DIARIO DI UN COMPUTER FORENSER di ANDREA CAPPAI Corso di Informatica Forense – DIARIO DI UN COMPUTER FORENSER di ANDREA CAPPAI
  53. 53. CORSO DI INFORMATICA FORENSE – Titolo lezione di AUTORE CASO # 5 – ANTIFORENSIC HW Quali fasi dipendono significativamente dalla tecnologia?  Raccolta dell'evidenza: uso di tool per l'acquisizione quanto più possibile ripetibile delle fonti di prova, e per la loro custodia e verifica  Identificazione delle prove: uso di tool per l'analisi e la ricostruzione, tipicamente, da file system Corso di Informatica Forense – DIARIO DI UN COMPUTER FORENSER di ANDREA CAPPAI Corso di Informatica Forense – DIARIO DI UN COMPUTER FORENSER di ANDREA CAPPAI
  54. 54. CORSO DI INFORMATICA FORENSE – Titolo lezione di AUTORE CASO # 5 – ANTIFORENSIC HW Interferendo si può compromettere l'analisi  Transitoriamente: se si interferisce con la fase di identificazione in modo ovviabile  Definitivamente: se si interferisce con la fase di acquisizione, o comunque si modifica l'evidenza in modo non ovviabile Corso di Informatica Forense – DIARIO DI UN COMPUTER FORENSER di ANDREA CAPPAI Corso di Informatica Forense – DIARIO DI UN COMPUTER FORENSER di ANDREA CAPPAI
  55. 55. CORSO DI INFORMATICA FORENSE – Titolo lezione di AUTORE CASO # 5 – ANTIFORENSIC HW Anti Forensic: Insieme di tecniche che mirano a confondere i tool, o usare i tool e i loro risultati per confondere l'analista forense Andiamo a colpire dove fa male:  Scala dei tempi  Log  Recupero di file cancellati  Identificazione di file ed eseguibili  Steganografia e metodi per nascondere dati Corso di Informatica Forense – DIARIO DI UN COMPUTER FORENSER di ANDREA CAPPAI Corso di Informatica Forense – DIARIO DI UN COMPUTER FORENSER di ANDREA CAPPAI
  56. 56. CORSO DI INFORMATICA FORENSE – Titolo lezione di AUTORE CASO # 5 – ANTIFORENSIC HW HID: Human Interface Device (FALSO ALIBI) Basato su un processore Atmel che esegue comandi memorizzati su una SD • Atmel 32bit AVR RISC-based; • MicroSD card reader; • Connettore standard USB Tipo A. Corso di Informatica Forense – DIARIO DI UN COMPUTER FORENSER di ANDREA CAPPAI Corso di Informatica Forense – DIARIO DI UN COMPUTER FORENSER di ANDREA CAPPAI
  57. 57. CORSO DI INFORMATICA FORENSE – Titolo lezione di AUTORE CASO # 5 – ANTIFORENSIC HW HID: Human Interface Device  Navigare su Internet;  Inviare una mail;  Scrivere un documento;  Scrivere del codice. Corso di Informatica Forense – DIARIO DI UN COMPUTER FORENSER di ANDREA CAPPAI Corso di Informatica Forense – DIARIO DI UN COMPUTER FORENSER di ANDREA CAPPAI
  58. 58. CORSO DI INFORMATICA FORENSE – Titolo lezione di AUTORE CASO # 5 – ANTIFORENSIC HW Elementi di analisi per identificare il device USB Corso di Informatica Forense – DIARIO DI UN COMPUTER FORENSER di ANDREA CAPPAI Corso di Informatica Forense – DIARIO DI UN COMPUTER FORENSER di ANDREA CAPPAI
  59. 59. CORSO DI INFORMATICA FORENSE – Titolo lezione di AUTORE CASO # 5 – ANTIFORENSIC HW Elementi di analisi per identificare il device USB Corso di Informatica Forense – DIARIO DI UN COMPUTER FORENSER di ANDREA CAPPAI Corso di Informatica Forense – DIARIO DI UN COMPUTER FORENSER di ANDREA CAPPAI
  60. 60. CORSO DI INFORMATICA FORENSE – Titolo lezione di AUTORE CASO # 5 – ANTIFORENSIC HW Conclusione:  Un attacco del genere non viene riconosciuto visto che risulta installata una tastiera USB e non una penna USB con del codice all’interno;  L’hw potrebbe essere nascosto in device insospettabili (es. mouse, Printer) Corso di Informatica Forense – DIARIO DI UN COMPUTER FORENSER di ANDREA CAPPAI Corso di Informatica Forense – DIARIO DI UN COMPUTER FORENSER di ANDREA CAPPAI
  61. 61. CORSO DI INFORMATICA FORENSE – Titolo lezione di AUTORE IL FUTURO DELLA DIGITAL FORENSIC Fonte: https://docs.google.com/file/d/0B5O5baJ0lza9bTZ2QVFPcGhuTTZyejFjRG5xTUFyNllTSTdj/edit Corso di Informatica Forense – DIARIO DI UN COMPUTER FORENSER di ANDREA CAPPAI Corso di Informatica Forense – DIARIO DI UN COMPUTER FORENSER di ANDREA CAPPAI
  62. 62. CORSO DI INFORMATICA FORENSE – Titolo lezione di AUTORE IL FUTURO DELLA DIGITAL FORENSIC I dischi auto-criptanti e auto-cancellanti Al giorno oggi dobbiamo constatare la presenza sul mercato di particolari hard disk che, una volta inizializzati su un computer tramite dei microcodici nei loro firmware, raccolgono alcune informazioni sul sistema ospite, sicché nel momento in cui dovessero esser spostati su un altro sistema, anche solo ai fini di effettuare una copia forense ed anche con l’uso del write blocker, questi potrebbero far partire una procedura interna di self-crypting o self-wiping, il che significherebbe perdere irrimediabilmente i loro contenuto. Nel caso in cui un modello di hard disk con il self-encrypting sia rubato e tenti di connettersi a un sistema non-familiare, il disco rigido e l’host iniziano un processo di autenticazione. Se il tentativo di autenticazione ha esito negativo, il disco può essere configurato per negare l’accesso o cripto/cancellare i dati sensibili. Corso di Informatica Forense – DIARIO DI UN COMPUTER FORENSER di ANDREA CAPPAI Corso di Informatica Forense – DIARIO DI UN COMPUTER FORENSER di ANDREA CAPPAI
  63. 63. CORSO DI INFORMATICA FORENSE – Titolo lezione di AUTORE IL FUTURO DELLA DIGITAL FORENSIC BitLocker Drive Encryption I vostri dati sono protetti con crittografia dell’intero volume del sistema operativo Windows. Se il computer è dotato di un TPM compatibile, BitLocker utilizza il TPM per bloccare le chiavi di crittografia che proteggono i dati. Di conseguenza, le chiavi non sono accessibili finché il TPM ha verificato lo stato del computer. La crittografia dell’intero volume protegge tutti i dati, compreso il sistema operativo, il registro di Windows, i files temporanei, e il files di ibernazione. Le chiavi necessarie per decriptare i dati rimangono bloccati dal TPM, quindi un attaccante non può leggere i dati semplicemente rimuovendo il disco rigido e installandolo in un altro computer. Il TPM è un microchip progettato per fornire funzioni relative alla sicurezza di base, che coinvolgono principalmente le chiavi di crittografia. Il TPM è di solito installato sulla scheda madre di un computer desktop o portatile, e comunica con il resto del sistema usando un bus hardware. Corso di Informatica Forense – DIARIO DI UN COMPUTER FORENSER di ANDREA CAPPAI Corso di Informatica Forense – DIARIO DI UN COMPUTER FORENSER di ANDREA CAPPAI
  64. 64. CORSO DI INFORMATICA FORENSE – Titolo lezione di AUTORE IL FUTURO DELLA DIGITAL FORENSIC BitLocker Drive Encryption Computer che incorporano un TPM hanno la capacità di creare chiavi crittografiche e crittografare loro in modo che possano essere decifrati solo dal TPM. Se anche si riuscisse a ricavare una key per il decrypting poi servirebbe anche l’eventuale password per l’unlock del disco. Corso di Informatica Forense – DIARIO DI UN COMPUTER FORENSER di ANDREA CAPPAI Corso di Informatica Forense – DIARIO DI UN COMPUTER FORENSER di ANDREA CAPPAI SSD e l’auto corrosione I dischi allo stato solido subiscono il fenomeno dell’”auto-corrosione”, ossia quando si cancella un file, il comando TRIM del sistema operativo dice al controller del disco di cancellarlo, quindi il file va nella garbage collection. Poichè gli SSD seguono la regola del wear leveling e per cancellare un file devono prima scrivere, le operazioni di cancellazione non sono in tempo reale, ma in background e gestite dal controller, poi una volta cancellati i blocchi, non si recupera più il file, poiché sovrascritto.
  65. 65. CORSO DI INFORMATICA FORENSE – Titolo lezione di AUTORE IL FUTURO DELLA DIGITAL FORENSIC Quindi, quando si stacca un SSD e lo si attacca ad un altro computer, il write blocker non blocca l’auto-corrosione, dato che il fenomeno si attiva dall’interno, appena il controller riceve corrente elettrica. L’unico sistema per bypassare questo problema è quello di effettuare il chip-off, ossia il dissaldamento dei chip di memoria del disco ed il conseguente dump, con tutta la difficoltà che ne deriva, sia tecnica sia di ricostruzione dei dati. Corso di Informatica Forense – DIARIO DI UN COMPUTER FORENSER di ANDREA CAPPAI Corso di Informatica Forense – DIARIO DI UN COMPUTER FORENSER di ANDREA CAPPAI SSD e l’auto corrosione A questa lista si aggiungono altre difficoltà: i dispositivi mobili (cellulari, tablet, ecc.) sono tanti e in differenti modelli, i sw/hw per il dump e le analisi sono pochi, limitati e costosi e con aggiornamenti lenti rispetto all’uscita impetuosa di nuovi modelli e sistemi operativi. Inoltre, molti dati sono attualmente sui Cloud, quindi sparsi su più server nel mondo. Altro
  66. 66. CORSO DI INFORMATICA FORENSE – Titolo lezione di AUTORE IL FUTURO DELLA DIGITAL FORENSIC Investigator weakness – sempre più Gb/Tb da gestire, costi, complessità, si parla di dischi di parecchi gigabyte o terabyte, Raid, usare tecniche di data hiding e a quel punto le analisi da condurre porterebbero via moltissime risorse in termini di tempo e denaro, costringendo l’investigatore a lavorare con serie difficoltà. Corso di Informatica Forense – DIARIO DI UN COMPUTER FORENSER di ANDREA CAPPAI Corso di Informatica Forense – DIARIO DI UN COMPUTER FORENSER di ANDREA CAPPAI Altro Awareness – Aumentano le competenze e la consapevolezza tecnica degli utenti: oggi criptano, cancellano in maniera sicura, usano pw, data storare online, macchine virtuali, TOR, TrueCrypt, PGP, AxCrypt, Bitlocker, Live distro, Secure Eraser, Wipe, Ccleaner, Disk Eraser, UPX, ecc. • ATA HDD PW – una banalità anche se vecchia ma ancora un bell’ostacolo. Ci sono due modalità di ATA Password security, HIGH e MAXIMUM, se la security è HIGH si può sbloccare il disco con la password USER o quella MASTER (di fabbrica), se è MAXIMUM solo con la password USER.
  67. 67. CORSO DI INFORMATICA FORENSE – Titolo lezione di AUTORE IL FUTURO DELLA DIGITAL FORENSIC Una conseguenza dell’uso di questi strumenti è che la regola del pull-the- plug (staccare la spina) su apparati accesi, va rivista e meditata, visto che dopo lo spegnimento ci si potrebbe trovare di fronte ad un sistema completamente criptato o inaccessibile. Usare TOR su un computer implica render le proprie navigazioni ed iscrizioni a siti completamente anonime, infatti, la navigazione con TOR attivato non lascia tracce sul computer, si possono raggiungere siti che esistono solo nella anonymity network e non raggiungibili dal normale web, ma presenti solo sul deep web o dark web, una serie di servizi (hidden services) e siti funzionanti solo sui computer degli utenti e non registrati su alcun DNS e ogni collegamento è criptato. La moneta utilizzata è il bitcoin o il litecoin, cripto-valute virtuali peer-to-peer, senza intermediari appunto, che rendono pressoché impossibile la tracciatura. Corso di Informatica Forense – DIARIO DI UN COMPUTER FORENSER di ANDREA CAPPAI Corso di Informatica Forense – DIARIO DI UN COMPUTER FORENSER di ANDREA CAPPAI Esempi e conseguenze
  68. 68. CORSO DI INFORMATICA FORENSE – Titolo lezione di AUTORE IL FUTURO DELLA DIGITAL FORENSIC Dulcis in fundo, esiste anche una gnu/linux distro chiamata TAILS, che permette un bootstrap da pendrive o dvd-rom, già configurata per l’utilizzo di TOR e altri servizi di anonimizzazione e che non lascia alcuna traccia su hard disk o su pendrive, considerando che all’uscita opera un wiping (cancellazione sicura) di ogni residuo d’informazione (questo per la versione su pendrive usb). Corso di Informatica Forense – DIARIO DI UN COMPUTER FORENSER di ANDREA CAPPAI Corso di Informatica Forense – DIARIO DI UN COMPUTER FORENSER di ANDREA CAPPAI Esempi e conseguenze
  69. 69. CORSO DI INFORMATICA FORENSE – Titolo lezione di AUTORE IL FUTURO DELLA DIGITAL FORENSIC La nostra L. 48/2008 recita in più articoli: “...quando sussistono i presupposti e le altre condizioni ivi previsti, gli ufficiali di polizia giudiziaria, adottando misure tecniche dirette ad assicurare la conservazione dei dati originali e ad impedirne l’alterazione, procedono altresì alla perquisizione di sistemi informatici o telematici, ancorché protetti da misure di sicurezza, quando hanno fondato motivo di ritenere che in questi si trovino occultati dati, informazioni, programmi informatici o tracce comunque pertinenti al reato che possono essere cancellati o dispersi.“. Corso di Informatica Forense – DIARIO DI UN COMPUTER FORENSER di ANDREA CAPPAI Corso di Informatica Forense – DIARIO DI UN COMPUTER FORENSER di ANDREA CAPPAI Conclusioni
  70. 70. CORSO DI INFORMATICA FORENSE – Titolo lezione di AUTORE IL FUTURO DELLA DIGITAL FORENSIC Corso di Informatica Forense – DIARIO DI UN COMPUTER FORENSER di ANDREA CAPPAI Corso di Informatica Forense – DIARIO DI UN COMPUTER FORENSER di ANDREA CAPPAI Conclusioni Inoltre: “... In relazione ai dati, alle informazioni e ai programmi informatici o ai sistemi informatici o telematici, gli ufficiali della polizia giudiziaria adottano, altresì, le misure tecniche o impartiscono le prescrizioni necessarie ad assicurarne la conservazione e ad impedirne l’alterazione e l’accesso e provvedono, ove possibile, alla loro immediata duplicazione su adeguati supporti, mediante una procedura che assicuri la conformità della copia all’originale e la sua immodificabilità. Se del caso, sequestrano il corpo del reato e le cose a questo pertinenti”.
  71. 71. CORSO DI INFORMATICA FORENSE – Titolo lezione di AUTORE IL FUTURO DELLA DIGITAL FORENSIC Corso di Informatica Forense – DIARIO DI UN COMPUTER FORENSER di ANDREA CAPPAI Corso di Informatica Forense – DIARIO DI UN COMPUTER FORENSER di ANDREA CAPPAI Conclusioni Di fronte a tali tecnologie e mutamenti culturali, va da sè che l’operatività dell’investigatore informatico sarà sempre più limitata e difficoltosa; molti dati andranno dispersi o non saranno recuperabili e quello descritto in questo contesto è solo la punta dell’iceberg, perché sicuramente nasceranno nuove tecnologie e sistemi di difficile approccio, mentre la tecnologia a disposizione dell’investigatore ha un andamento molto più lento, considerando che molti strumenti software sono ricavati da reverse engineering e che non riescono ad aggiornarsi così velocemente.
  72. 72. CORSO DI INFORMATICA FORENSE – Titolo lezione di AUTORE IL FUTURO DELLA DIGITAL FORENSIC Corso di Informatica Forense – DIARIO DI UN COMPUTER FORENSER di ANDREA CAPPAI Corso di Informatica Forense – DIARIO DI UN COMPUTER FORENSER di ANDREA CAPPAI Conclusioni L’unica costante nell’evoluzione e nella race condition tra strumenti forensi e mondo informatico in veloce divenire e mutamento è l’uso del nostro cervello, della metodologia scientifica e del problem-solving. Gli operatori dovranno cercare di adattare i loro mezzi e le loro conoscenze al fine di trarre il massimo delle informazioni possibili, anche se non si utilizzeranno i metodi finora conosciuti, il viaggio è cominciato, le nubi si avvicinano, apriamo gli ombrelli dunque! https://docs.google.com/file/d/0B5O5baJ0lza9bTZ2QVFPcGhuTTZyejFjRG5xTUFyNllTSTdj/ edit
  73. 73. CORSO DI INFORMATICA FORENSE – Titolo lezione di AUTORE BIBLIOGRAFIA E SITOGRAFIA • Computer Forensics – A. Ghirardini, G. Faggioli - Apogeo • https://groups.google.com/forum/#!forum/cfitaly • Computer Forensics e Indagini Digitali – S. Aterno, G. Costabile, M. Mattiucci, G. Mazzaraco – Experta Edizioni • Indagini Digitali – N. Bassetti – Settima Edizione •http://www.marcomattiucci.it/ Corso di Informatica Forense – DIARIO DI UN COMPUTER FORENSER di ANDREA CAPPAI •http://goo.gl/nw5c Corso di Informatica Forense – DIARIO DI UN COMPUTER FORENSER di ANDREA CAPPAI •http://www.4n6.it/doc/meeting2013/Antiforensics_v0_lite.pdf •https://www.facebook.com/kareltecnologie
  74. 74. CORSO DI INFORMATICA FORENSE – Titolo lezione di AUTORE Grazie per la cortese attenzione Andrea Cappai andreacappai@kareltecnologie.com Corso di Informatica Forense – DIARIO DI UN COMPUTER FORENSER di ANDREA CAPPAI Corso di Informatica Forense – DIARIO DI UN COMPUTER FORENSER di ANDREA CAPPAI
  75. 75. CORSO DI INFORMATICA FORENSE – Titolo lezione di AUTORE 75 Attribuzione - Non Commerciale - Condividi allo stesso modo 3.0 o Tu sei libero: • di riprodurre, distribuire, comunicare al pubblico, esporre in pubblico, rappresentare, eseguire o recitare l'opera; • di modificare quest’opera; • Alle seguenti condizioni:  Attribuzione. Devi attribuire la paternità dell’opera nei modi indicati dall’autore o da chi ti ha dato l’opera in licenza e in modo tale da non suggerire che essi avallino te o il modo in cui tu usi l’opera.  Non commerciale. Non puoi usare quest’opera per fini commerciali.  Condividi allo stesso modo. Se alteri, trasformi quest’opera, o se la usi per crearne un’altra, puoi distribuire l’opera risultante solo con una licenza identica o equivalente a questa. o In occasione di ogni atto di riutilizzazione o distribuzione, devi chiarire agli altri i termini della licenza di quest’opera. o Se ottieni il permesso dal titolare del diritto d'autore, è possibile rinunciare ad ognuna di queste condizioni. o Le tue utilizzazioni libere e gli altri diritti non sono in nessun modo limitati da quanto sopra Corso di Informatica Forense – DIARIO DI UN COMPUTER FORENSER di ANDREA CAPPAI

×