Il documento tratta della quantificazione e identificazione delle alterazioni dei dati nell'informatica forense, evidenziando l'importanza della corretta gestione dei reperti informatici per l'ammissibilità delle prove. Viene presentato uno studio che analizza le modifiche ai dati attraverso 47 test su sistemi diversi, dimostrando che il 90% delle operazioni comporta semplicemente l'accesso ai file. Si sottolinea che il reperto informatico è delicato e richiede attenzione alle linee guida per evitare alterazioni dannose.

1. Quantificazione ed
individuazione delle alterazioni
dei dati nell'ambito di indagini
di Informatica Forense
Relatore:
Marco Roccetti 24 Novembre 2011
Correlatore: Bologna
Cesare Maioli Mariagrazia Cinti

2. Indice dei contenuti
Informatica Forense – definizione ed evoluzione
Corretta gestione del reperto informatico
Un caso reale di scorretta gestione
Presentazione dello studio
Analisi e confronto dei dati più significativi

3. Informatica Forense, ossia?
Disciplina
che deriva dalla
Computer Unisce
Forensics competenze
americana informatiche
a specifiche
Si occupa della conoscenze
raccolta e analisi giuridiche
dei dati digitali
per il loro utilizzo
a fini processuali

4. Le fasi operative
1
2
3
4

5. Ma si sa, la teoria è diversa dalla pratica
È facile che si
verifichino
alterazioni
dei dati
Queste
potrebbero
compromettere
l’ammissibilità di “[...] Vi è il pericolo che Alberto Stasi non
una prova riesca più a provare il proprio alibi. [...] Ma vi
A favore è ugualmente il pericolo di un pregiudizio al
o contro fondamentale valore neutro dell'accertamento
l’indagato della verità.”

6. Obiettivi dello studio
Rispondere alla domanda:
in caso di utilizzo scorretto del reperto informatico,
quante e quali alterazioni si verificano?
Come?
Attuando dei test, ossia delle azioni semplici che ad un operatore
inesperto sembrerebbe ragionevole provare
Congelando la macchina ed analizzando, con un toolkit forense,
le alterazioni che si sono verificate
Mettendo a confronto i risultati

7. Modalità operative
Un’immagine forense per ogni test,
per garantirne l’indipendenza

8. Ipotizzando diversi scenari
47 test
SO e applicativi
molto diffusi
con 33 test
configurazioni
di default
Macchine con e senza 80 test
protezione antivirus totali

9. Sistema operativo: Windows XP
Alterazioni
rilevate dopo
una determinata
data sul
File System
Calcolate le
occorrenze
per le seguenti
tipologie:
m “written” Il file è stato modificato
a “accessed” Il file è stato acceduto
c “changed” I metadati del file (MFT) sono cambiati
b “created” Il file è stato creato
e tutte le loro possibili combinazioni

10. Unplugging VS Shutdown

11. Standard user VS Admin user

12. Office VS OpenOffice

13. Internet Explorer VS Mozilla Firefox

14. Utilizzare la funzione “Cerca” di
Windows non è una buona idea
Test 41

15. In conclusione
Tutte le immagini analizzate condividono gli stessi risultati:
90% operazioni: accesso (a)
10% operazioni restanti: (m), (c), (b) in modo variabile
Il reperto
informatico è
delicato Quando lo si
tratta occorre
attenersi alle
linee guida!