Digital forensic: metodologie di analisi della prova digitale
-
Upload
marco-marcellini -
Category
Technology
-
view
19 -
download
1
Transcript of Digital forensic: metodologie di analisi della prova digitale
![Page 1: Digital forensic: metodologie di analisi della prova digitale](https://reader031.fdocument.pub/reader031/viewer/2022020314/58f164d01a28ab4d518b4611/html5/thumbnails/1.jpg)
Ordine degli Ingegneri della Provincia di Arezzo29 marzo 2017
Digital ForensicMetodologie di analisi della prova digitaleMarco Marcellini
![Page 2: Digital forensic: metodologie di analisi della prova digitale](https://reader031.fdocument.pub/reader031/viewer/2022020314/58f164d01a28ab4d518b4611/html5/thumbnails/2.jpg)
Digital forensic: una definizioneDigital forensic: una definizione
• Il processo di identificazione, conservazione, analisi e presentazione della– DIGITAL EVIDENCE, ovvero la prova legale
ottenuta attraverso strumenti digitali;
• La raccolta e analisi di dati secondo una prassi che ne garantisca la libertà da distorsioni e pregiudizi, cercando di ricostruire dati e azioni avvenuti nel passato all’interno del sistema informatico (Vaciago 2012)
![Page 3: Digital forensic: metodologie di analisi della prova digitale](https://reader031.fdocument.pub/reader031/viewer/2022020314/58f164d01a28ab4d518b4611/html5/thumbnails/3.jpg)
Digital forensic: definizioneDigital forensic: definizione
• Computer forensic → Digital forensic
• I cinque punti cardine sono:– IDENTIFICAZIONE– ACQUISIZIONE– CONSERVAZIONE (catena di custodia)– DOCUMENTAZIONE– INTERPRETAZIONE
• del dato digitale
• Nel sistema legislativo italiano tre sono gli strumenti di analisi della prova digitale: accertamenti tecnici, incidente probatorio e perizia
![Page 4: Digital forensic: metodologie di analisi della prova digitale](https://reader031.fdocument.pub/reader031/viewer/2022020314/58f164d01a28ab4d518b4611/html5/thumbnails/4.jpg)
Digital evidence e sistema giuridico:Digital evidence e sistema giuridico:
• ACCERTAMENTI TECNICI - Artt. 359 e 360 c.p.p.
• Art. 359 c.p.p.• Consulenti tecnici del pubblico ministero.
– Il pubblico ministero, quando procede ad accertamenti, rilievi segnaletici, descrittivi o fotografici e ad ogni altra operazione tecnica per cui sono necessarie specifiche competenze, puo nominare e avvalersi di consulenti, che non possono rifiutare la loro opera.
– Il consulente puo essere autorizzato dal pubblico ministero ad assistere a singoli atti di indagine.
![Page 5: Digital forensic: metodologie di analisi della prova digitale](https://reader031.fdocument.pub/reader031/viewer/2022020314/58f164d01a28ab4d518b4611/html5/thumbnails/5.jpg)
Accertamenti tecnici NON RIPETIBILI:Accertamenti tecnici NON RIPETIBILI:
• Art. 360 c.p.p.• (c.1) Quando gli accertamenti previsti dall'articolo
359 riguardano persone, cose o luoghi il cui stato e soggetto a modificazione, il pubblico ministero avvisa, senza ritardo, la persona sottoposta alle indagini, la persona offesa dal reato e i difensori del giorno, dell'ora e del luogo fissati per il conferimento dell'incarico e della facolta di nominare consulenti tecnici.
• (c.3) I difensori nonche i consulenti tecnici eventualmente nominati hanno diritto di assistere al conferimento dell'incarico, di partecipare agli accertamenti e di formulare osservazioni e riserve.
![Page 6: Digital forensic: metodologie di analisi della prova digitale](https://reader031.fdocument.pub/reader031/viewer/2022020314/58f164d01a28ab4d518b4611/html5/thumbnails/6.jpg)
Incidente probatorio:Incidente probatorio:
• Artt. 392 e ss. c.p.p.• 1. Nel corso delle indagini preliminari il pubblico
ministero e la persona sottoposta alle indagini possono chiedere al giudice che si proceda con INCIDENTE PROBATORIO:
...• f) a una perizia o a un esperimento giudiziale, se la
prova riguarda una persona, una cosa o un luogo il cui stato e soggetto a modificazione non evitabile;
• g) a una ricognizione, quando particolari ragioni di urgenza non consentono di rinviare l'atto al dibattimento.
...
![Page 7: Digital forensic: metodologie di analisi della prova digitale](https://reader031.fdocument.pub/reader031/viewer/2022020314/58f164d01a28ab4d518b4611/html5/thumbnails/7.jpg)
La PERIZIA in sede dibattimentale:La PERIZIA in sede dibattimentale:
• Artt. 220 e ss. c.p.p.• 1. La perizia e ammessa quando occorre
svolgere indagini o acquisire dati o valutazioni che richiedono specifiche competenze tecniche, scientifiche o artistiche.
• 2. Salvo quanto previsto ai fini dell'esecuzione della pena o della misura di sicurezza, non sono ammesse perizie per stabilire l'abitualita o la professionalita nel reato, la tendenza a delinquere, il carattere e la personalita dell'imputato e in genere le qualita psichiche indipendenti da cause patologiche.
![Page 8: Digital forensic: metodologie di analisi della prova digitale](https://reader031.fdocument.pub/reader031/viewer/2022020314/58f164d01a28ab4d518b4611/html5/thumbnails/8.jpg)
Indicazioni tecniche che derivano dall’orientamento normativoIndicazioni tecniche che derivano dall’orientamento normativo• Preservare più possibile la ripetibilità dell’analisi
tecnica; quando non possibile, richiedere le notifiche ex art. 360 c.p.p.
• Nella DIGITAL FORENSIC, non esiste una metodologia tecnica stabilita dalla legge, esistono solo BEST PRACTICES
• La RIPETIBILITA’ dell’analisi implica anche la ripetibilità dei risultati ottenuti
![Page 9: Digital forensic: metodologie di analisi della prova digitale](https://reader031.fdocument.pub/reader031/viewer/2022020314/58f164d01a28ab4d518b4611/html5/thumbnails/9.jpg)
Quale software scegliere ?Quale software scegliere ?
• OPEN SOURCE vs SOFTWARE COMM.LE
• In medio stat virtus
![Page 10: Digital forensic: metodologie di analisi della prova digitale](https://reader031.fdocument.pub/reader031/viewer/2022020314/58f164d01a28ab4d518b4611/html5/thumbnails/10.jpg)
Il laboratorio dell’analista forenseIl laboratorio dell’analista forense
• E’ necessaria una buona dotazione di:
– Storage, connessione veloce
– Adattatori e cavi, anche per tecnologie obsolete. Attrezzature portatili
– Collaboratori e laboratori esterni
– Pazienza e creatività…
–
![Page 11: Digital forensic: metodologie di analisi della prova digitale](https://reader031.fdocument.pub/reader031/viewer/2022020314/58f164d01a28ab4d518b4611/html5/thumbnails/11.jpg)
Parte II: saper fareParte II: saper fare
• Le BEST PRACTICES prevedono metodologie specifiche per le fasi di:
– IDENTIFICAZIONE
– ACQUISIZIONE
– CONSERVAZIONE
– DOCUMENTAZIONE
– INTERPRETAZIONE del DATO DIGITALE
Sistema Operativodel dispositivo sequestrato
OBIETTIVO della ricerca(tipo di reato contestato)
SCELTAdel
METODO
![Page 12: Digital forensic: metodologie di analisi della prova digitale](https://reader031.fdocument.pub/reader031/viewer/2022020314/58f164d01a28ab4d518b4611/html5/thumbnails/12.jpg)
HARD-DISK, partizioni, tipi di file systemHARD-DISK, partizioni, tipi di file system
• Write blockers o montaggio read-only
• Capire la struttura del disco con FDISK e GPARTED
• Strumenti per creare IMMAGINE FORENSE
• Calcolo dell’HASH, MD5, SHA1, SHA256
• Tecniche di wiping dei dischi, shred
![Page 13: Digital forensic: metodologie di analisi della prova digitale](https://reader031.fdocument.pub/reader031/viewer/2022020314/58f164d01a28ab4d518b4611/html5/thumbnails/13.jpg)
Memorie volatili: analisi della RAMMemorie volatili: analisi della RAM
• In base all’obiettivo dell’indagine (o al quesito oggetto dell’incarico) può essere un fattore determinante in quanto contiene
• Fondamentale sotto Windows il contenuto dei files “hiberfile.sys” e “pagefile.sys”, che il pc salva in fase di ibernazione e di swapping
Tipologia di files e MAGIC NUMBERSTipologia di files e MAGIC NUMBERS
• xxxxx.yyy → NON FIDARSI DELL’ESTENSIONE di Windows
• Utilizzare il comando file o un editor esadecimale
• ESERCITAZIONE: acquisizione, hash, analisi e data-recovery
![Page 14: Digital forensic: metodologie di analisi della prova digitale](https://reader031.fdocument.pub/reader031/viewer/2022020314/58f164d01a28ab4d518b4611/html5/thumbnails/14.jpg)
LINUX: forensic distro e suite integrateLINUX: forensic distro e suite integrate
• Distribuzioni Linux: Deft e Caine
• Tools per Windows: DART
• Encase-like tools: TSK & Autopsy4
![Page 15: Digital forensic: metodologie di analisi della prova digitale](https://reader031.fdocument.pub/reader031/viewer/2022020314/58f164d01a28ab4d518b4611/html5/thumbnails/15.jpg)
Strumenti per data-recoveryStrumenti per data-recovery
• Il recupero dei dati cancellati attraverso la metodologia del FILE CARVING
• Strumenti open-source e freeware: Photorec e Recuva
• La necessità di garantire la ripetibilità dell’analisi
• Il recupero dei dati cancellati da smartphones e tablet è possibile, ma richiede il rooting del telefono e l’uso di tools specifici
![Page 16: Digital forensic: metodologie di analisi della prova digitale](https://reader031.fdocument.pub/reader031/viewer/2022020314/58f164d01a28ab4d518b4611/html5/thumbnails/16.jpg)
Network forensicsNetwork forensics
• La fonte di informazioni più importante sulle risorse Internet è la rete stessa
• Strumenti come whois, nmap, wireshark consentono di controllare e monitorare le risorse in Rete
• Emergono nuove problematiche d’indagine legate alla diffusione della navigazione anonima (Tor Browser) e del deep web
![Page 17: Digital forensic: metodologie di analisi della prova digitale](https://reader031.fdocument.pub/reader031/viewer/2022020314/58f164d01a28ab4d518b4611/html5/thumbnails/17.jpg)
Phone forensicPhone forensic
• Strumenti di comunicazione altamente specializzati, smartphones e tablet richiedono metodologie specifiche
• Strumenti open non ancora maturi
• ADB shell, rooting, Ios Backup