SlideShare ist ein Scribd-Unternehmen logo

Profili e Metodologie investigative

Massimo Farina
Massimo Farina

A cura di Alessandro Bonu Attività seminariale nell’ambito del Corso di Laurea Magistrale in Ingegneria delle Telecomunicazioni – insegnamento di Diritto dell’Informatica e delle Nuove Tecnologie. (coordinamento delle attività a cura di Massimo Farina)

Präsentationen & Vorträge
1 von 66
Downloaden Sie, um offline zu lesen
CORSO DI INFORMATICA FORENSE – PROFILI E METODOLOGIE INVESTIGATIVE di ALESSANDRO BONU Alessandro Bonu Corso di INFORMATICA FORENSE (A.A. 2013/2014) Profili e metodologie investigative Attività seminariale nell’ambito del Corso di Laurea Magistrale in Ingegneria delle Telecomunicazioni – insegnamento di Diritto dell’Informatica e delle Nuove Tecnologie (coordinamento delle attività a cura di Massimo Farina) DirICTo
CORSO DI INFORMATICA FORENSE – Profili e metodologie investigative di Alessandro Bonu Agenda • Introduzione sui profili e metodologie • Incarico e regole di ingaggio • Acquisizione della prova • Tutela della prova • Metodologia di analisi • Definizione di un profilo investigativo • Conclusioni
CORSO DI INFORMATICA FORENSE – Profili e metodologie investigative di Alessandro Bonu JFFDF84U4R8FRJU493INFHJDEGWEUID8 DH373E37WDBWDUDASKWOSOPFHF64 RG4F8FNDFKWDJUDFFHFRYFUFR7HFIED YE73BEFJNF57HJ484RHEFKEFJF8I8F83H2 GDWMX42656E76656E75746921RYFUF G73ED82N8C6RF5QSM6OGT9NHJUE63V DTCF5SC3DWH6TE7GUF7YDHWIJFEHJV7 8HFUEFUR7CEFEJNIAXUQWU1WUFIDQ9 HDWNQD89H374385T7ERYFEDY7D3787 JFFDF84U4R8FRJU493INFHJDEGWEUID8 DH373E37WDBWDUDASKWOSOPFHF64 RG4F8FNDFKWDJUDFFHFRYFUFR7HFIED YE73BEFJNF57HJ484RHEFKEFJF8I8F83H2 GDWMX42656E76656E75746921RYFUF G73ED82N8C6RF5QSM6OGT9NHJUE63V DTCF5SC3DWH6TE7GUF7YDHWIJFEHJV7 8HFUEFUR7CEFEJNIAXUQWU1WUFIDQ9 HDWNQD89H374385T7ERYFEDY7D3787 B e n v e n u t i !
CORSO DI INFORMATICA FORENSE – Profili e metodologie investigative di Alessandro Bonu Perché? Per una semplice conversione in caratteri esadecimali della scritta: 42656E76656E75746921 «Benvenuti!» Mascherato poi con altre «informazioni» simili..
CORSO DI INFORMATICA FORENSE – Profili e metodologie investigative di Alessandro Bonu Ma se cambiamo qualcosa? • 53767F87767F86857032 – + 1 alfanumerico = 42656E76656E75746921 • xxxxxxxxxxxxxxxxxxxxxxxx – - n lettere e numeri = 42656E76656E75746921 • xxxxxxxxxxxxxxxxxxxxxxxx – + n caratteri e - n numeri = 42656E76656E75746921 • xxxxxxxxxxxxxxxxxxxxxxxx – + n numeri e - n lettere = 42656E76656E75746921 • xxxxxxxxxxxxxxxxxxxxxxxx – x n numeri e +/-n caratteri = 42656E76656E75746921 • E così via! La variante che vorremmo aggiungere sarà la nostra chiave di lettura che si aggiungerà ad un primo livello di occultamento in questo caso esadecimale.
CORSO DI INFORMATICA FORENSE – Profili e metodologie investigative di Alessandro Bonu Metodologia forense • Fondamentale è sapere che comportamenti errati possono invalidare la prova in fase di dibattimento; • L’esperienza insegna: – evitare errori noti – focalizzare le attività su metodologie consolidate e standardizzate; • L’utilizzo di metodi comuni: – consente ai periti della contro parte di verificare i risultati di indagine in maniera più agevole e incontrovertibile.. • Sia in sede di indagine; • Sia in sede di dibattimento; • Il «metodo» consente di sveltire le fasi più noiose e ripetitive, ma ciascun forenser avrà modo di esprimersi e dimostrare la propria competenza.
CORSO DI INFORMATICA FORENSE – Profili e metodologie investigative di Alessandro Bonu Profilo informatico Insieme di funzionalità, strumenti e contenuti attribuiti ad un utente e riferiti ad uno specifico contesto operativo cos’è un profilo
CORSO DI INFORMATICA FORENSE – Profili e metodologie investigative di Alessandro Bonu Profili Windows Area di sistema dedicata, in un contesto multiutente
CORSO DI INFORMATICA FORENSE – Profili e metodologie investigative di Alessandro Bonu Profili Linux Area di sistema dedicata, in un contesto multiutente
CORSO DI INFORMATICA FORENSE – Profili e metodologie investigative di Alessandro Bonu Profili social I dati (dei profili) non risiedono localmente ma sulla rete, questo potrebbe complicare le operazioni di indagine.
CORSO DI INFORMATICA FORENSE – Profili e metodologie investigative di Alessandro Bonu Profili in ambito CF (Computer Forensics) • Profilo del forenser: – Competenze tecniche; – Calato sul caso specifico (specificità); – Metodi operativi comuni; – Allestimento di un laboratorio operativo ad hoc. • Profilo del soggetto investigato: – Attitudini e comportamenti; – Ambiente operativo su cui opera (profili informatici); – Informazioni utili all’indagine.
CORSO DI INFORMATICA FORENSE – Profili e metodologie investigative di Alessandro Bonu Aspetti preliminari • Competenze e aspetti tecnici da conoscere bene: modus operandi – una buona base (skill), in contesto di routine; – soggettivo, per ciascun forenser ma sempre con le opportune garanzie. • Capire, in sede di indagine, aspetti comportamentali del soggetto indagato che serviranno a focalizzare meglio gli obiettivi da raggiungere. • Definire una strategia operativa (profilo investigativo) mirata a soddisfare in modo esaustivo i questi oggetto di incarico e ai quali ci si dovrà attenere scrupolosamente!
CORSO DI INFORMATICA FORENSE – Profili e metodologie investigative di Alessandro Bonu Profili investigativi e aree di riferimento • Computer Forensics; • Network Forensics; • Mobile Forensics; • Embedded System Forensics; • Software Forensics.
CORSO DI INFORMATICA FORENSE – Profili e metodologie investigative di Alessandro Bonu Elementi trasversali alle aree specifiche • Acquisizione dei reperti: – Sequestro fisico o logico. • Trasporto dei reperti: – Imballo dei reperti e sigillo dei reperti. • Catena di custodia: – Garanzie di tutela della prova originale. acquisizione cus todia
CORSO DI INFORMATICA FORENSE – Profili e metodologie investigative di Alessandro Bonu Computer Forensics (CF) ”l’analisi di dispositivi informatici quali personal computer, server, sistemi virtuali, memorie di massa, ecc.. utili all'individuazione, la conservazione, la protezione, l'estrazione, la documentazione, l'impiego ed ogni altra forma di trattamento del dato informatico al fine di essere valutato in un processo giuridico”
CORSO DI INFORMATICA FORENSE – Profili e metodologie investigative di Alessandro Bonu Network Forensics ”l’analisi di apparati e sistemi di rete di rete, senza tralasciare Internet, utili all'individuazione, la conservazione, la protezione, l'estrazione, la documentazione, l'impiego ed ogni altra forma di trattamento del dato informatico al fine di essere valutato in un processo giuridico”
CORSO DI INFORMATICA FORENSE – Profili e metodologie investigative di Alessandro Bonu Mobile Forensics ”l’analisi di dispositivi mobili quali cellulari, i-Pod, sistemi di comunicazione wireless, telefoni satellitari, ecc.. Utili all'individuazione, la conservazione, la protezione, l'estrazione, la documentazione, l'impiego ed ogni altra forma di trattamento del dato informatico al fine di essere valutato in un processo giuridico”
CORSO DI INFORMATICA FORENSE – Profili e metodologie investigative di Alessandro Bonu Embedded System Forensics ”l’analisi di sistemi digitali dotati di CPU (es. i giochi), anche creati talvolta artigianalmente o partendo da una base (es. arduino), ecc.. utili all'individuazione, la conservazione, la protezione, l'estrazione, la documentazione, l'impiego ed ogni altra forma di trattamento del dato informatico al fine di essere valutato in un processo giuridico”
CORSO DI INFORMATICA FORENSE – Profili e metodologie investigative di Alessandro Bonu Software Forensics ”Tools e strumenti software adeguati (secondo degli standard riconosciuti) e necessari all'individuazione, la conservazione, la protezione, l'estrazione, la documentazione, l'impiego ed ogni altra forma di trattamento del dato informatico al fine di essere valutato in un processo giuridico”
CORSO DI INFORMATICA FORENSE – Profili e metodologie investigative di Alessandro Bonu Ma quali software? • Open Source o Software commerciale? ..eterno dilemma! • Inevitabilmente saranno entrambi oggetto di utilizzo: – modalità operative di ciascun forenser; – in alcuni ambiti alcuni sono superiori ad altri; – i costi di licenza; – disponibilità dei sorgenti, per gli open source, questo può essere importante per vagliare le funzionalità del software nello specifico in relazione ai risultati ottenuti.
CORSO DI INFORMATICA FORENSE – Profili e metodologie investigative di Alessandro Bonu Dove di concentra l’indagine nella CF • Memorie di massa (Disk Forensics) – HD, CD, DVD, USB, SSD, Nastri, ecc.. • Memorie volatili (Memory Forensics) – RAM
CORSO DI INFORMATICA FORENSE – Profili e metodologie investigative di Alessandro Bonu I passi comuni che identificano la CF • Identificazione dei reperti utili; • Acquisizione e trasporto delle prove; • Analisi della copia forense (prove acquisite); • Refertazione dettagliata dei risultati; • Presentazione delle evidenze in sede processuale; esistono altre fasi ma che si applicano a casi e situazioni specifiche queste sono quelle sempre presenti in un profilo di indagine
CORSO DI INFORMATICA FORENSE – Profili e metodologie investigative di Alessandro Bonu Identificazione dei reperti • Specificità in relazione al caso per il quale si opera; • Identificazione del tipo di supporto (magnetico, ottico, elettronico, ..); • Identificazione delle interfacce delle memorie di massa; • Conoscenza delle funzionalità dei BIOS; • Sistema Operativo utilizzato; • Tipologia del File System; • Altre condizioni particolari da valutare: (ibernazione/sospensione del sistema).
CORSO DI INFORMATICA FORENSE – Profili e metodologie investigative di Alessandro Bonu Catena di custodia • La catena di custodia è un documento che contiene informazioni e dettagli in merito alla prova originale e con le copie forensi realizzate e «firmate», a partire dall'acquisizione fino ad arrivare al giorno del processo. • Vediamone alcuni aspetti: – Attribuire un ID al caso; – Chi è incaricato dell'investigazione; – Descrizione del caso; – Incaricato della duplicazione dei dati; – Data e ora di inizio custodia; – Luogo in cui il supporto è stato rinvenuto; – Produttore del supporto; – Modello del supporto; – Numero di serie del supporto.
CORSO DI INFORMATICA FORENSE – Profili e metodologie investigative di Alessandro Bonu Copia forense La copia autenticata dei dati, deve essere eseguita adottando criteri e misure atte a garantire e salvaguardare il dato originale e impedirne l’alterazione: errori in questa fase si ripercuotono sulle fasi successive • Procedure forensi riconosciute; • Tool specifici, validi e riconosciuti; • Gestione degli errori, individuazione e documentazione; • Verbalizzazione e documentazione in dettaglio; • Firma/Sigillo elettronico (hash) e read-only.
CORSO DI INFORMATICA FORENSE – Profili e metodologie investigative di Alessandro Bonu L’analisi • Orientata possibilmente alla copia forense: – non sempre risulta possibile in quanto alcune attività devono essere fatte direttamente sui reperti; • Rilevazioni delle informazioni: – quelle utili all’indagine; • In questa fase si rilevano comportamenti e attitudini (profili) dei soggetti oggetto di indagine, (vedi caso).
CORSO DI INFORMATICA FORENSE – Profili e metodologie investigative di Alessandro Bonu Attività in sede di analisi • L’analisi implica una vasta serie di attività: – Informazioni a fini decisionali; – Informazioni utili al posizionamento (geografico) di un utente, di un reperto; – Individuazioni di informazioni temporali, date e variazioni delle stesse; – Identificazione di utenti, per capire chi ha operato; – Rilevazioni di password e cracking per accedere ad aree riservate; – Investigazione trasversale su diversi reperti per determinare e incrociare elementi utili ai fini dell’indagine; – Ripristino di dati (data-recovery), cancellati o occultati .
CORSO DI INFORMATICA FORENSE – Profili e metodologie investigative di Alessandro Bonu Refertazione • Attività determinante in quanto il risultato dell’attività investigativa è un oggetto documentale; • Chi lo scrive è un tecnico specializzato; • Chi lo legge: – Atri tecnici: CTU, CTP; – Legali: Giudice, PM, Avvocati; – Altri organi investigativi; • Presentazione in sede di dibattimento.
CORSO DI INFORMATICA FORENSE – Profili e metodologie investigative di Alessandro Bonu Presentazione in sede processuale • Chi deve convincere: – Un Giudice; • Chi deve capire di cosa si parla: – La parte; • Chi deve scoraggiare: – La controparte, nell’obbiettare le nostre evidenze che dovranno apparire incontrovertibili.
CORSO DI INFORMATICA FORENSE – Profili e metodologie investigative di Alessandro Bonu L’approccio • Non esiste una regola generale nel metodo di indagine se non per alcune fasi comuni, fondamentale è ridurre al minimo rischi ed errori; • Operare nel contesto della computer forensics richiede elevate conoscenze informatiche congiunte a buone capacità di analisi, osservazione e pazienza; • Le metodologie di base rimangono sempre costanti, ma le tecnologie che permettono l'acquisizione e l'analisi sono in continua evoluzione; • Nelle attività di indagine troviamo essenzialmente due casistiche: • Il computer è il mezzo usato per compiere un’azione criminosa; • Il computer è a sua volta vittima di un crimine.
CORSO DI INFORMATICA FORENSE – Profili e metodologie investigative di Alessandro Bonu incarico e regole di ingaggio
CORSO DI INFORMATICA FORENSE – Profili e metodologie investigative di Alessandro Bonu Le regole di ingaggio CTU • Le regole consistono in quesiti specifici emanati dal magistrato in relazione ad un caso specifico e che delineano circostanze e limiti entro i quali il CTU dovrà operare nel corso dell’attività di indagine. • Obbiettivo di tale attività investigativa è pertanto dare risposta esaustiva e circostanziata ai quesiti oggetto di incarico.
CORSO DI INFORMATICA FORENSE – Profili e metodologie investigative di Alessandro Bonu Modalità di ingaggio • Modalità di incarico e valutazione di fattibilità: • In relazione a competenze; • formulazione dei quesiti da parte del magistrato. • Acquisizione formale dell’incarico: • tempistiche e modalità di consegna della relazione; • modalità di acquisizione del materiale oggetto di esame. • Rispetto delle regole durante i lavori: • elementi estranei devono essere assolutamente ignorati. • Relazioni chiarificatrici su richiesta delle parti: • relazione scritta a corredo della precedente; • in sede di processo, con linguaggio “semplice”.
CORSO DI INFORMATICA FORENSE – Profili e metodologie investigative di Alessandro Bonu Determinazione dei rischi • Inalterabilità della prova originale: – dovrebbe essere ripetibile, non sempre è così. • «errare humanum est», questo potrebbe determinare un incidente probatorio e invalidare la prova; • L’esperienza insegna.. – casi pregressi; – casi di studio e documentati. • Decisamente ridotti dalla competenza in materia; • Valutare il rispetto della privacy nelle varie fasi operative.
CORSO DI INFORMATICA FORENSE – Profili e metodologie investigative di Alessandro Bonu Acquisizione della prova
CORSO DI INFORMATICA FORENSE – Profili e metodologie investigative di Alessandro Bonu Acquisizione delle prove • Sequestro fisico del reperto; • Sequestro logico con relativa copia forense nelle seguenti modalità: – Dead : computer spento; – Live : computer acceso. • Intercettazione del dato: – Il dato viene acquisito durante la sua trasmissione.
CORSO DI INFORMATICA FORENSE – Profili e metodologie investigative di Alessandro Bonu Modalità di acquisizione del reperto/prova • Ritiro in sede di incarico e redazione di apposito verbale di consegna. • Consegna da parte della PG presso la sede legale del CTU. • Acquisizione diretta, con idonea autorizzazione del magistrato, presso la sede in cui si trova il materiale utile all’indagine.
CORSO DI INFORMATICA FORENSE – Profili e metodologie investigative di Alessandro Bonu Acquisizione in sede di incarico • Materiale cartaceo: – attinente all’attività investigativa; – verbale di consegna sottoscritto dalle parti. • Apparati /supporti informatici già sequestrati: – apparati catalogati e off-line; – verifica dello stato dei reperti e riscontro dei dettagli acquisiti in sede di sequestro; – verbale di consegna sottoscritto dalle parti.
CORSO DI INFORMATICA FORENSE – Profili e metodologie investigative di Alessandro Bonu Acquisizione presso la sede legale del CTU • Incaricati da parte del tribunale: – Polizia Giudiziaria; – altri incaricati dal magistrato. • Modalità di trasporto e custodia del materiale /reperti in consegna: – verifica dello stato dei reperti e riscontro dei dettagli acquisiti; in sede di sequestro: sigilli. • Verifica e riscontro dei reperti, – verbale di consegna sottoscritto dalle parti.
CORSO DI INFORMATICA FORENSE – Profili e metodologie investigative di Alessandro Bonu Acquisizione diretta da parte del CTU • Idonea autorizzazione del magistrato da esibire in sede di sequestro; • Valutazione delle modalità di acquisizione in caso per esempio di apparati in modalità LIVE; • Inventario dettagliato delle singole parti interessanti per l’indagine: (catena di custodia); • Apposizione dei imballi e sigilli di garanzia per la fase di trasporto dei reperti; • Verbale di consegna e sottoscrizione tra le parti di quanto acquisito.
CORSO DI INFORMATICA FORENSE – Profili e metodologie investigative di Alessandro Bonu Acquisizione: DEAD • Una volta identificati i reperti, ad esempio un personal computer (spento) si procede in genere a: – Estrarre dispositivi floppy disk in esso contenuti; – Estrarre i cd rom utilizzando l’apposito foro; – Estrarre eventuali supporti di memoria (USB); – Identificazione del numero e delle caratteristiche tecniche dei device di memoria presenti nel computer.
CORSO DI INFORMATICA FORENSE – Profili e metodologie investigative di Alessandro Bonu Acquisizione: LIVE e priorità • Non sempre i reperti da acquisire possono essere delocalizzati; • In taluni casi è pertanto necessario procedere all’acquisizione dai componenti con volatilità più alta: • Memoria RAM; • Memoria di swap; • Processi di rete; • Processi di sistema. • La RAM risulta essere più volatile in quanto vengono effettuati continuamente accessi. • La memoria di swap ha una priorità inferiore ma comunque alta dato che è usata per lo swap delle pagine della memoria. • I processi di rete e sistema hanno un tempo di vita che dipende dal tipo di operazioni che il processo deve effettuare. • I dati sul disco hanno una volatilità molto bassa in quanto persistono anche ad un riavvio del computer.
CORSO DI INFORMATICA FORENSE – Profili e metodologie investigative di Alessandro Bonu Dati in RAM • Disribuzioni LIVE: – Helix, Caine, BackTrack, ecc.. pensate per funzionare unicamente su RAM, pertanto uno spegnimento determina una perdita completa del contenuto della memoria e delle informazioni/attività in essa contenute. • DUMP della RAM, operazione irripetibile: – L’utilizzo del programma, che consente questa attività, determina una necessaria modifica del contenuto della memoria. • Dati presenti in cache: – Esistono dei tool che forzano la sincronizzazione su disco, in questo caso comunque ci sarebbero variazioni dei dati ma sempre inferiori ad un shutdown regolare.
CORSO DI INFORMATICA FORENSE – Profili e metodologie investigative di Alessandro Bonu Dove e cosa cercare.. • Dopo l’acquisizione la nostra attenzione dovrà concentrarsi principalmente su tutta una serie di dati che potrebbero contenere informazioni utili all’indagine: – Dati volatili; – File di swap; – File logici; – File di registro delle configurazioni; – E-mail; – Log delle applicazioni e di sicurezza; – File temporanei; – Log di sistema; – Spazio libero; – Cache del browser; – History file; – File cancellati.
CORSO DI INFORMATICA FORENSE – Profili e metodologie investigative di Alessandro Bonu Stato del reperto /prova “La preservazione dello stato della prova assume una rilevanza fondamentale ai fini dell’utilizzabilità della stessa in sede di giudizio. Per questo motivo si deve evitare che le prove raccolte subiscano modificazioni idonee ad alterarne la genuinità.” • Fondamentale è pertanto preservare lo stato della prova di: – Supporti non modificabili, ma comunque non esenti da problematiche legate a fattori ambientali; – Supporti modificabili, da gestire con molta cautela; – Conservazione logica e fisica.
CORSO DI INFORMATICA FORENSE – Profili e metodologie investigative di Alessandro Bonu Incidente probatorio Dall’analisi della prova dipende l’esito dell’indagine, pertanto la stessa non dovrà in alcun modo subire nessun tipo di manomissione/alterazione
CORSO DI INFORMATICA FORENSE – Profili e metodologie investigative di Alessandro Bonu La conservazione della prova • Protezione da cariche elettrostatiche: – Utilizzo di materiali appositi di imballo per prevenire questi problemi. • Protezione da urti: – Utilizzo di contenitori adeguati e con opportuno imballo. • Evitare le manomissioni: – Apposizione di sigilli che permettano di verificare eventuali manomissioni.
CORSO DI INFORMATICA FORENSE – Profili e metodologie investigative di Alessandro Bonu La ricerca della prova
CORSO DI INFORMATICA FORENSE – Profili e metodologie investigative di Alessandro Bonu Dove si trova il dato? • Sembra banale ma la prima cosa da capire è dove si trova il dato oggetto di indagine; • Celare piccoli dispositivi è semplicissimo e anche in fase di sequestro qualcosa può sfuggire; • A questo si aggiunga il fatto che all’interno degli stessi dispositivi i dati potrebbero essere celati utilizzando anche tecniche particolari (es. steganografia).
CORSO DI INFORMATICA FORENSE – Profili e metodologie investigative di Alessandro Bonu Occultamento dei dati • Intenzioni malevole: – scrittura malware, diffusione di segreti a danno di terzi, ecc..; • Intenzioni benevole/lecite – segretezza di dati in ambito privato/lavorativo, ecc..; • Alcune tecniche.. – Critografia: • tecnica di rappresentazione di un messaggio in una forma tale che l’informazione in essa contenuta possa essere recepita solo dal destinatario. – Steganografia: • tecnica che si prefigge di nascondere la comunicazione tra due o più interlocutori.
CORSO DI INFORMATICA FORENSE – Profili e metodologie investigative di Alessandro Bonu Occultamento logico benvenuti nel corso di Computer Forensics ..una normale immagine, apparentemente!
CORSO DI INFORMATICA FORENSE – Profili e metodologie investigative di Alessandro Bonu Occultamento fisico A quanti verrebbe in mente di guardare una ferita? • E’ di rilevante importanza che la parte indagata non sospetti un eventuale provvedimento a suo carico: perché??
CORSO DI INFORMATICA FORENSE – Profili e metodologie investigative di Alessandro Bonu Dove focalizzare l’attenzione • Di norma i dispositivi oggetto di analisi sono: – Lettori multimediali; – HD esterni; – Supporti USB; – Smartphone; – NAS; – Stampanti – Altri dispositivi in grado di memorizzare dati.
CORSO DI INFORMATICA FORENSE – Profili e metodologie investigative di Alessandro Bonu E’ sempre possibile sequestrare i reperti?
CORSO DI INFORMATICA FORENSE – Profili e metodologie investigative di Alessandro Bonu Alcune considerazioni.. • Nella fase del sequestro occorre attenersi a quanto recitano le disposizioni di legge “..l’autorità giudiziaria acquisisce il corpo del reato o le cose pertinenti necessarie per l’accertamento dei fatti..”. • Troppo spesso accade che nel compimento di suddette operazioni, vengano acquisiti reperti che al fine probatorio risultano inutili. • Opportuno è pertanto attenersi sempre al caso specifico e valutare attentamente il profilo del destinatario del provvedimento, sia perché lo stesso non venga sottovalutato ma soprattutto perché non venga messo in condizioni tali da limitare l’utilizzo di strumenti utili in ambito aziendale/lavorativo e non a fine probatorio.
CORSO DI INFORMATICA FORENSE – Profili e metodologie investigative di Alessandro Bonu La copia forense • La duplicazione del dato dev’essere tale da non poter essere contestata. • La duplicazione deve essere 1:1 rispetto al supporto oggetto di indagine e ricrearne uno identico a livello logico sul quale operare. • Questo comporta che l’intero device venga replicato, comprendendo struttura e spazio libero dello stesso. • Lo spazio impegnato del dispositivo logico, sarà pertanto uguale al dispositivo fisico a prescindere dall’effettiva quantità di informazioni contenute.
CORSO DI INFORMATICA FORENSE – Profili e metodologie investigative di Alessandro Bonu Validazione della copia forense • Operazione fondamentale è validare la copia logica confrontandola con l’originale: Tra le due deve esserci perfetta corrispondenza. • La validazione può essere eseguita attraverso programmi di hash come l’MD5 e SHA1 i quali applicano una funzione non invertibile ed atta alla trasformazione di un testo di lunghezza arbitraria in una stringa di lunghezza fissata. • Il risultato dell'hash viene visto come una sorta di impronta digitale dell’evidenza, esso si definisce anche “valore di hash”.
CORSO DI INFORMATICA FORENSE – Profili e metodologie investigative di Alessandro Bonu Software e hardware da utilizzare • Sul mercato sono disponibili diversi software che consentono di effettuare la copia bit-a-bit di un supporto di memoria: – Dispositivi HW ad hoc, con dei limiti: • Tecnologia specifica; • Singoli dischi (raid?). – Software specializzati (es.dd, semplice e in grado si essere mostrato a livello di file sorgente). • Ideale, dotarsi di workstation forense con le interfacce più utilizzate sul mercato.
CORSO DI INFORMATICA FORENSE – Profili e metodologie investigative di Alessandro Bonu Write Blocker • Garantisce un blocco dell’accesso in scrittura per mantenere l’integrità della prova: read-only; • Esistono due differenti metodologie per garantire il write blocking: – Write blocker software: • Agisce sull’operazione di «mounting» del disco da parte del sistema operativo. – Write blocker hardware; • dispositivo fisico che viene posto tra l’hard disk e la macchina di acquisizione forense. Questi dispositivi sono anche più comprensibili per interlocutori non tecnici.
CORSO DI INFORMATICA FORENSE – Profili e metodologie investigative di Alessandro Bonu Write Blocker hardware
CORSO DI INFORMATICA FORENSE – Profili e metodologie investigative di Alessandro Bonu Intercettazione del dato • Definire i target e non acquisire dati indiscriminatamente pena: – Violazione della legge; – Perdita di tempo; – Mancanza degli obbiettivi oggetto di indagine. • Problemi legati alla connessione in rete (span port): – Il target è l’amministratore di sistema; – Lo switch è troppo esposto ed in evidenza; – Lo switch non dispone delle funzionalità necessarie a monitorare il traffico • «Man in the middle»: – Impossibilità di raggiungere lo switch; – Deviazione del traffico di rete A > B = A > C > B
CORSO DI INFORMATICA FORENSE – Profili e metodologie investigative di Alessandro Bonu Man in the middle
CORSO DI INFORMATICA FORENSE – Profili e metodologie investigative di Alessandro Bonu Relazione tecnica • Sintetica: dato che non necessita di riportare eccessivi particolari tecnici dell’analisi ma solo ciò che interessa dal punto di vista giuridico. • Semplificata: colui che legge e valuta l’esito è di principio un fruitore inesperto nel settore informatico e quindi, nell’ipotesi che sia possibile, bisogna eliminare terminologie non consuete e spiegare a livello elementare quanto rilevato. • Asettica: non deve contenere giudizi personali dell’operatore né tanto meno valutazioni legali sulle informazioni rilevate a meno che tali considerazioni non siano state espressamente richieste e inerenti all’indagine.
CORSO DI INFORMATICA FORENSE – Profili e metodologie investigative di Alessandro Bonu Conclusioni Alcune considerazioni che potremo fare in merito alle metodologie e i profili di indagine è che al di là degli aspetti puramente tecnici e specialistici, che richiedono comunque una adeguata competenza, occorre valutare con attenzione un attento approccio metodologico e calato di volta in volta al caso di indagine specifico. Metodologia che deve poi astrarre le sole informazioni atte a dare risposta a quesiti ben precisi e delineati in sede di incarico. Tutto il resto è noia!
CORSO DI INFORMATICA FORENSE – Profili e metodologie investigative di Alessandro Bonu Grazie per l’attenzione! alessandro.bonu@gmail.com it.linkedin.com/in/abonu
CORSO DI INFORMATICA FORENSE – Profili e metodologie investigative di Alessandro Bonu 66 Attribuzione - Non Commerciale - Condividi allo stesso modo 3.0 o Tu sei libero: • di riprodurre, distribuire, comunicare al pubblico, esporre in pubblico, rappresentare, eseguire o recitare l'opera; • di modificare quest’opera; • Alle seguenti condizioni:  Attribuzione. Devi attribuire la paternità dell’opera nei modi indicati dall’autore o da chi ti ha dato l’opera in licenza e in modo tale da non suggerire che essi avallino te o il modo in cui tu usi l’opera.  Non commerciale. Non puoi usare quest’opera per fini commerciali.  Condividi allo stesso modo. Se alteri, trasformi quest’opera, o se la usi per crearne un’altra, puoi distribuire l’opera risultante solo con una licenza identica o equivalente a questa. o In occasione di ogni atto di riutilizzazione o distribuzione, devi chiarire agli altri i termini della licenza di quest’opera. o Se ottieni il permesso dal titolare del diritto d'autore, è possibile rinunciare ad ognuna di queste condizioni. o Le tue utilizzazioni libere e gli altri diritti non sono in nessun modo limitati da quanto sopra

Empfohlen

Linee guida in materia di computer forensics
Linee guida in materia di computer forensicsLinee guida in materia di computer forensics
Linee guida in materia di computer forensicsEmanuele Florindi
 
Old_Informatica forense: gli strumenti operativi
Old_Informatica forense: gli strumenti operativiOld_Informatica forense: gli strumenti operativi
Old_Informatica forense: gli strumenti operativiEmanuele Florindi
 
Corso di Informatica forense: dall'informatica giuridica all'informatica forense
Corso di Informatica forense: dall'informatica giuridica all'informatica forenseCorso di Informatica forense: dall'informatica giuridica all'informatica forense
Corso di Informatica forense: dall'informatica giuridica all'informatica forenseEmanuele Florindi
 
Corso di Informatica forense: dall'informatica giuridica all'informatica forense
Corso di Informatica forense: dall'informatica giuridica all'informatica forenseCorso di Informatica forense: dall'informatica giuridica all'informatica forense
Corso di Informatica forense: dall'informatica giuridica all'informatica forenseEmanuele Florindi
 
Old_Informatica forense: dall'informatica giuridica all'informatica forense
Old_Informatica forense: dall'informatica giuridica all'informatica forenseOld_Informatica forense: dall'informatica giuridica all'informatica forense
Old_Informatica forense: dall'informatica giuridica all'informatica forenseEmanuele Florindi
 
La copia forense: modalità operative (pt. 1)
La copia forense: modalità operative (pt. 1)La copia forense: modalità operative (pt. 1)
La copia forense: modalità operative (pt. 1)Alessandro Bonu
 
Rimozione sicura dei dati: be clean
Rimozione sicura dei dati: be clean Rimozione sicura dei dati: be clean
Rimozione sicura dei dati: be clean Emanuele Florindi
 
Giuseppe Vaciago, Cybercrime, Digital Investigation e Digital Forensics
Giuseppe Vaciago, Cybercrime, Digital Investigation e Digital ForensicsGiuseppe Vaciago, Cybercrime, Digital Investigation e Digital Forensics
Giuseppe Vaciago, Cybercrime, Digital Investigation e Digital ForensicsAndrea Rossetti
 

Empfohlen

Linee guida in materia di computer forensics
Linee guida in materia di computer forensicsLinee guida in materia di computer forensics
Linee guida in materia di computer forensicsEmanuele Florindi
 
Old_Informatica forense: gli strumenti operativi
Old_Informatica forense: gli strumenti operativiOld_Informatica forense: gli strumenti operativi
Old_Informatica forense: gli strumenti operativiEmanuele Florindi
 
Corso di Informatica forense: dall'informatica giuridica all'informatica forense
Corso di Informatica forense: dall'informatica giuridica all'informatica forenseCorso di Informatica forense: dall'informatica giuridica all'informatica forense
Corso di Informatica forense: dall'informatica giuridica all'informatica forenseEmanuele Florindi
 
Corso di Informatica forense: dall'informatica giuridica all'informatica forense
Corso di Informatica forense: dall'informatica giuridica all'informatica forenseCorso di Informatica forense: dall'informatica giuridica all'informatica forense
Corso di Informatica forense: dall'informatica giuridica all'informatica forenseEmanuele Florindi
 
Old_Informatica forense: dall'informatica giuridica all'informatica forense
Old_Informatica forense: dall'informatica giuridica all'informatica forenseOld_Informatica forense: dall'informatica giuridica all'informatica forense
Old_Informatica forense: dall'informatica giuridica all'informatica forenseEmanuele Florindi
 
La copia forense: modalità operative (pt. 1)
La copia forense: modalità operative (pt. 1)La copia forense: modalità operative (pt. 1)
La copia forense: modalità operative (pt. 1)Alessandro Bonu
 
Rimozione sicura dei dati: be clean
Rimozione sicura dei dati: be clean Rimozione sicura dei dati: be clean
Rimozione sicura dei dati: be clean Emanuele Florindi
 
Giuseppe Vaciago, Cybercrime, Digital Investigation e Digital Forensics
Giuseppe Vaciago, Cybercrime, Digital Investigation e Digital ForensicsGiuseppe Vaciago, Cybercrime, Digital Investigation e Digital Forensics
Giuseppe Vaciago, Cybercrime, Digital Investigation e Digital ForensicsAndrea Rossetti
 
7 laboratorio-di-analisi-forense bonu-04.02 (1)
7 laboratorio-di-analisi-forense bonu-04.02 (1)7 laboratorio-di-analisi-forense bonu-04.02 (1)
7 laboratorio-di-analisi-forense bonu-04.02 (1)Massimo Farina
 
Fonti di prova digitali
Fonti di prova digitaliFonti di prova digitali
Fonti di prova digitaliGennaro Esposito
 
Dal Sequestro al Report
Dal Sequestro al ReportDal Sequestro al Report
Dal Sequestro al Reportguest649bb5
 
22 Ottobre 2008: Dal Sequestro al Report
22 Ottobre 2008: Dal Sequestro al Report22 Ottobre 2008: Dal Sequestro al Report
22 Ottobre 2008: Dal Sequestro al Reportatomikramp
 
Giuseppe Vaciago Profili giuridici dell'indagine digitale 08 09 18 Ordine Ber...
Giuseppe Vaciago Profili giuridici dell'indagine digitale 08 09 18 Ordine Ber...Giuseppe Vaciago Profili giuridici dell'indagine digitale 08 09 18 Ordine Ber...
Giuseppe Vaciago Profili giuridici dell'indagine digitale 08 09 18 Ordine Ber...Andrea Rossetti
 
02.segue.contrattidigitali
02.segue.contrattidigitali02.segue.contrattidigitali
02.segue.contrattidigitaliEmanuele Florindi
 
Dark net.1203
Dark net.1203Dark net.1203
Dark net.1203Emanuele Florindi
 
Legal Open Document - OpenSentenze
Legal Open Document - OpenSentenzeLegal Open Document - OpenSentenze
Legal Open Document - OpenSentenzeMonica Palmirani
 
Corso di INFORMATICA FORENSE (A.A. 2013/2014) - Il Laboratorio di analisi ne...
Corso di INFORMATICA FORENSE (A.A. 2013/2014) - Il Laboratorio di analisi ne...Corso di INFORMATICA FORENSE (A.A. 2013/2014) - Il Laboratorio di analisi ne...
Corso di INFORMATICA FORENSE (A.A. 2013/2014) - Il Laboratorio di analisi ne...Alessandro Bonu
 
Intercettazioni e posta elettronica: le misure di sicurezza per i gestori
Intercettazioni e posta elettronica: le misure di sicurezza per i gestoriIntercettazioni e posta elettronica: le misure di sicurezza per i gestori
Intercettazioni e posta elettronica: le misure di sicurezza per i gestoriBabel
 
VII corso per difensori di ufficio - I mezzi di ricerca delle prove
VII corso per difensori di ufficio - I mezzi di ricerca delle proveVII corso per difensori di ufficio - I mezzi di ricerca delle prove
VII corso per difensori di ufficio - I mezzi di ricerca delle proveGiovanni Fiorino
 
Digital forensics presentazione 2010
Digital forensics presentazione 2010Digital forensics presentazione 2010
Digital forensics presentazione 2010Pasquale Lopriore
 
Captatori Informatici
Captatori InformaticiCaptatori Informatici
Captatori InformaticiFrancesco Paolo Micozzi
 
Il “captatore informatico”uno strumento d'indagine tra esigenze investigative...
Il “captatore informatico”uno strumento d'indagine tra esigenze investigative...Il “captatore informatico”uno strumento d'indagine tra esigenze investigative...
Il “captatore informatico”uno strumento d'indagine tra esigenze investigative...Giovanni Fiorino
 
Intercettazioni e analisi vocale metodi e tecniche per il riconoscimento del ...
Intercettazioni e analisi vocale metodi e tecniche per il riconoscimento del ...Intercettazioni e analisi vocale metodi e tecniche per il riconoscimento del ...
Intercettazioni e analisi vocale metodi e tecniche per il riconoscimento del ...Massimo Farina
 
La navigazione sicura nel web
La navigazione sicura nel webLa navigazione sicura nel web
La navigazione sicura nel webgmorelli78
 
La tutela dei diritti
La tutela dei dirittiLa tutela dei diritti
La tutela dei dirittidonatella carli Moretti
 
Il Laboratorio di analisi forense
Il Laboratorio di analisi forenseIl Laboratorio di analisi forense
Il Laboratorio di analisi forenseMassimo Farina
 
Analisi e interpretazione degli elementi di prova digitali: Standard ISO 2704...
Analisi e interpretazione degli elementi di prova digitali: Standard ISO 2704...Analisi e interpretazione degli elementi di prova digitali: Standard ISO 2704...
Analisi e interpretazione degli elementi di prova digitali: Standard ISO 2704...Alessandro Bonu
 
Vincenzo Calabrò - Modalità di intervento del Consulente Tecnico
Vincenzo Calabrò - Modalità di intervento del Consulente TecnicoVincenzo Calabrò - Modalità di intervento del Consulente Tecnico
Vincenzo Calabrò - Modalità di intervento del Consulente TecnicoVincenzo Calabrò
 
Informatica come Scienza Forense - ONIF
Informatica come Scienza Forense - ONIFInformatica come Scienza Forense - ONIF
Informatica come Scienza Forense - ONIFosservatorionazionaleinformaticaforense
 
Smau Milano 2014 Filippo Novario
Smau Milano 2014 Filippo NovarioSmau Milano 2014 Filippo Novario
Smau Milano 2014 Filippo NovarioSMAU
 

Weitere ähnliche Inhalte

Was ist angesagt?

7 laboratorio-di-analisi-forense bonu-04.02 (1)
7 laboratorio-di-analisi-forense bonu-04.02 (1)7 laboratorio-di-analisi-forense bonu-04.02 (1)
7 laboratorio-di-analisi-forense bonu-04.02 (1)Massimo Farina
 
Dal Sequestro al Report
Dal Sequestro al ReportDal Sequestro al Report
Dal Sequestro al Reportguest649bb5
 
22 Ottobre 2008: Dal Sequestro al Report
22 Ottobre 2008: Dal Sequestro al Report22 Ottobre 2008: Dal Sequestro al Report
22 Ottobre 2008: Dal Sequestro al Reportatomikramp
 
Giuseppe Vaciago Profili giuridici dell'indagine digitale 08 09 18 Ordine Ber...
Giuseppe Vaciago Profili giuridici dell'indagine digitale 08 09 18 Ordine Ber...Giuseppe Vaciago Profili giuridici dell'indagine digitale 08 09 18 Ordine Ber...
Giuseppe Vaciago Profili giuridici dell'indagine digitale 08 09 18 Ordine Ber...Andrea Rossetti
 
Legal Open Document - OpenSentenze
Legal Open Document - OpenSentenzeLegal Open Document - OpenSentenze
Legal Open Document - OpenSentenzeMonica Palmirani
 
Corso di INFORMATICA FORENSE (A.A. 2013/2014) - Il Laboratorio di analisi ne...
Corso di INFORMATICA FORENSE (A.A. 2013/2014) - Il Laboratorio di analisi ne...Corso di INFORMATICA FORENSE (A.A. 2013/2014) - Il Laboratorio di analisi ne...
Corso di INFORMATICA FORENSE (A.A. 2013/2014) - Il Laboratorio di analisi ne...Alessandro Bonu
 

Was ist angesagt? (9)

7 laboratorio-di-analisi-forense bonu-04.02 (1)
7 laboratorio-di-analisi-forense bonu-04.02 (1)7 laboratorio-di-analisi-forense bonu-04.02 (1)
7 laboratorio-di-analisi-forense bonu-04.02 (1)
 
Fonti di prova digitali
Fonti di prova digitaliFonti di prova digitali
Fonti di prova digitali
 
Dal Sequestro al Report
Dal Sequestro al ReportDal Sequestro al Report
Dal Sequestro al Report
 
22 Ottobre 2008: Dal Sequestro al Report
22 Ottobre 2008: Dal Sequestro al Report22 Ottobre 2008: Dal Sequestro al Report
22 Ottobre 2008: Dal Sequestro al Report
 
Giuseppe Vaciago Profili giuridici dell'indagine digitale 08 09 18 Ordine Ber...
Giuseppe Vaciago Profili giuridici dell'indagine digitale 08 09 18 Ordine Ber...Giuseppe Vaciago Profili giuridici dell'indagine digitale 08 09 18 Ordine Ber...
Giuseppe Vaciago Profili giuridici dell'indagine digitale 08 09 18 Ordine Ber...
 
02.segue.contrattidigitali
02.segue.contrattidigitali02.segue.contrattidigitali
02.segue.contrattidigitali
 
Dark net.1203
Dark net.1203Dark net.1203
Dark net.1203
 
Legal Open Document - OpenSentenze
Legal Open Document - OpenSentenzeLegal Open Document - OpenSentenze
Legal Open Document - OpenSentenze
 
Corso di INFORMATICA FORENSE (A.A. 2013/2014) - Il Laboratorio di analisi ne...
Corso di INFORMATICA FORENSE (A.A. 2013/2014) - Il Laboratorio di analisi ne...Corso di INFORMATICA FORENSE (A.A. 2013/2014) - Il Laboratorio di analisi ne...
Corso di INFORMATICA FORENSE (A.A. 2013/2014) - Il Laboratorio di analisi ne...
 

Andere mochten auch

Intercettazioni e posta elettronica: le misure di sicurezza per i gestori
Intercettazioni e posta elettronica: le misure di sicurezza per i gestoriIntercettazioni e posta elettronica: le misure di sicurezza per i gestori
Intercettazioni e posta elettronica: le misure di sicurezza per i gestoriBabel
 
VII corso per difensori di ufficio - I mezzi di ricerca delle prove
VII corso per difensori di ufficio - I mezzi di ricerca delle proveVII corso per difensori di ufficio - I mezzi di ricerca delle prove
VII corso per difensori di ufficio - I mezzi di ricerca delle proveGiovanni Fiorino
 
Digital forensics presentazione 2010
Digital forensics presentazione 2010Digital forensics presentazione 2010
Digital forensics presentazione 2010Pasquale Lopriore
 
Il “captatore informatico”uno strumento d'indagine tra esigenze investigative...
Il “captatore informatico”uno strumento d'indagine tra esigenze investigative...Il “captatore informatico”uno strumento d'indagine tra esigenze investigative...
Il “captatore informatico”uno strumento d'indagine tra esigenze investigative...Giovanni Fiorino
 
Intercettazioni e analisi vocale metodi e tecniche per il riconoscimento del ...
Intercettazioni e analisi vocale metodi e tecniche per il riconoscimento del ...Intercettazioni e analisi vocale metodi e tecniche per il riconoscimento del ...
Intercettazioni e analisi vocale metodi e tecniche per il riconoscimento del ...Massimo Farina
 
La navigazione sicura nel web
La navigazione sicura nel webLa navigazione sicura nel web
La navigazione sicura nel webgmorelli78
 

Andere mochten auch (8)

Intercettazioni e posta elettronica: le misure di sicurezza per i gestori
Intercettazioni e posta elettronica: le misure di sicurezza per i gestoriIntercettazioni e posta elettronica: le misure di sicurezza per i gestori
Intercettazioni e posta elettronica: le misure di sicurezza per i gestori
 
VII corso per difensori di ufficio - I mezzi di ricerca delle prove
VII corso per difensori di ufficio - I mezzi di ricerca delle proveVII corso per difensori di ufficio - I mezzi di ricerca delle prove
VII corso per difensori di ufficio - I mezzi di ricerca delle prove
 
Digital forensics presentazione 2010
Digital forensics presentazione 2010Digital forensics presentazione 2010
Digital forensics presentazione 2010
 
Captatori Informatici
Captatori InformaticiCaptatori Informatici
Captatori Informatici
 
Il “captatore informatico”uno strumento d'indagine tra esigenze investigative...
Il “captatore informatico”uno strumento d'indagine tra esigenze investigative...Il “captatore informatico”uno strumento d'indagine tra esigenze investigative...
Il “captatore informatico”uno strumento d'indagine tra esigenze investigative...
 
Intercettazioni e analisi vocale metodi e tecniche per il riconoscimento del ...
Intercettazioni e analisi vocale metodi e tecniche per il riconoscimento del ...Intercettazioni e analisi vocale metodi e tecniche per il riconoscimento del ...
Intercettazioni e analisi vocale metodi e tecniche per il riconoscimento del ...
 
La navigazione sicura nel web
La navigazione sicura nel webLa navigazione sicura nel web
La navigazione sicura nel web
 
La tutela dei diritti
La tutela dei dirittiLa tutela dei diritti
La tutela dei diritti
 

Ähnlich wie Profili e Metodologie investigative

Il Laboratorio di analisi forense
Il Laboratorio di analisi forenseIl Laboratorio di analisi forense
Il Laboratorio di analisi forenseMassimo Farina
 
Analisi e interpretazione degli elementi di prova digitali: Standard ISO 2704...
Analisi e interpretazione degli elementi di prova digitali: Standard ISO 2704...Analisi e interpretazione degli elementi di prova digitali: Standard ISO 2704...
Analisi e interpretazione degli elementi di prova digitali: Standard ISO 2704...Alessandro Bonu
 
Vincenzo Calabrò - Modalità di intervento del Consulente Tecnico
Vincenzo Calabrò - Modalità di intervento del Consulente TecnicoVincenzo Calabrò - Modalità di intervento del Consulente Tecnico
Vincenzo Calabrò - Modalità di intervento del Consulente TecnicoVincenzo Calabrò
 
Smau Milano 2014 Filippo Novario
Smau Milano 2014 Filippo NovarioSmau Milano 2014 Filippo Novario
Smau Milano 2014 Filippo NovarioSMAU
 
Forensic Profiling with Digital Data
Forensic Profiling with Digital DataForensic Profiling with Digital Data
Forensic Profiling with Digital Datapiccimario
 
Corporate Forensics
Corporate ForensicsCorporate Forensics
Corporate Forensicswfurlan
 
Politiche e strumenti per le indagini nell'Informatica Forense
Politiche e strumenti per le indagini nell'Informatica ForensePolitiche e strumenti per le indagini nell'Informatica Forense
Politiche e strumenti per le indagini nell'Informatica ForenseAntonio Notarangelo
 
Computer forensics: utilizzabilità ed analisi della prova digitale
Computer forensics: utilizzabilità ed analisi della prova digitaleComputer forensics: utilizzabilità ed analisi della prova digitale
Computer forensics: utilizzabilità ed analisi della prova digitaleEmanuele Florindi
 
Il Diritto Processuale Penale dell’Informatica e le Investigazioni Informatiche
Il Diritto Processuale Penale dell’Informatica e le Investigazioni InformaticheIl Diritto Processuale Penale dell’Informatica e le Investigazioni Informatiche
Il Diritto Processuale Penale dell’Informatica e le Investigazioni InformaticheVincenzo Calabrò
 
Il ruolo dei dispositivi informatici
Il ruolo dei dispositivi informaticiIl ruolo dei dispositivi informatici
Il ruolo dei dispositivi informaticiMassimo Farina
 
Vincenzo Calabrò - Tracciabilita' delle Operazioni in Rete e Network Forensics
Vincenzo Calabrò - Tracciabilita' delle Operazioni in Rete e Network ForensicsVincenzo Calabrò - Tracciabilita' delle Operazioni in Rete e Network Forensics
Vincenzo Calabrò - Tracciabilita' delle Operazioni in Rete e Network ForensicsVincenzo Calabrò
 
Digital forensic: metodologie di analisi della prova digitale
Digital forensic: metodologie di analisi della prova digitaleDigital forensic: metodologie di analisi della prova digitale
Digital forensic: metodologie di analisi della prova digitaleMarco Marcellini
 
Giuseppe Dezzani, Intercettazioni e VoIP
Giuseppe Dezzani, Intercettazioni e VoIPGiuseppe Dezzani, Intercettazioni e VoIP
Giuseppe Dezzani, Intercettazioni e VoIPAndrea Rossetti
 
Tecniche di riconoscimento del parlante
Tecniche di riconoscimento del parlanteTecniche di riconoscimento del parlante
Tecniche di riconoscimento del parlanteMassimo Farina
 
Ceh course v8 Narthar
Ceh course v8 NartharCeh course v8 Narthar
Ceh course v8 NartharNarthar
 
LA PROVA INFORMATICA NEL PROCESSO PENALE - Aspetti Tecnici e Giuridici
LA PROVA INFORMATICA NEL PROCESSO PENALE - Aspetti Tecnici e GiuridiciLA PROVA INFORMATICA NEL PROCESSO PENALE - Aspetti Tecnici e Giuridici
LA PROVA INFORMATICA NEL PROCESSO PENALE - Aspetti Tecnici e Giuridicidenis frati
 
Digital Forensics - Fabio Massa.pptx
Digital Forensics - Fabio Massa.pptxDigital Forensics - Fabio Massa.pptx
Digital Forensics - Fabio Massa.pptxFabioMassa2
 
Methodologies and techniques for forensic analysis of mobile phone devices
Methodologies and techniques for forensic analysis of mobile phone devicesMethodologies and techniques for forensic analysis of mobile phone devices
Methodologies and techniques for forensic analysis of mobile phone devicesMariagrazia Cinti
 

Ähnlich wie Profili e Metodologie investigative (20)

Il Laboratorio di analisi forense
Il Laboratorio di analisi forenseIl Laboratorio di analisi forense
Il Laboratorio di analisi forense
 
Analisi e interpretazione degli elementi di prova digitali: Standard ISO 2704...
Analisi e interpretazione degli elementi di prova digitali: Standard ISO 2704...Analisi e interpretazione degli elementi di prova digitali: Standard ISO 2704...
Analisi e interpretazione degli elementi di prova digitali: Standard ISO 2704...
 
Vincenzo Calabrò - Modalità di intervento del Consulente Tecnico
Vincenzo Calabrò - Modalità di intervento del Consulente TecnicoVincenzo Calabrò - Modalità di intervento del Consulente Tecnico
Vincenzo Calabrò - Modalità di intervento del Consulente Tecnico
 
Informatica come Scienza Forense - ONIF
Informatica come Scienza Forense - ONIFInformatica come Scienza Forense - ONIF
Informatica come Scienza Forense - ONIF
 
Smau Milano 2014 Filippo Novario
Smau Milano 2014 Filippo NovarioSmau Milano 2014 Filippo Novario
Smau Milano 2014 Filippo Novario
 
Forensic Profiling with Digital Data
Forensic Profiling with Digital DataForensic Profiling with Digital Data
Forensic Profiling with Digital Data
 
Corporate Forensics
Corporate ForensicsCorporate Forensics
Corporate Forensics
 
Politiche e strumenti per le indagini nell'Informatica Forense
Politiche e strumenti per le indagini nell'Informatica ForensePolitiche e strumenti per le indagini nell'Informatica Forense
Politiche e strumenti per le indagini nell'Informatica Forense
 
Computer forensics: utilizzabilità ed analisi della prova digitale
Computer forensics: utilizzabilità ed analisi della prova digitaleComputer forensics: utilizzabilità ed analisi della prova digitale
Computer forensics: utilizzabilità ed analisi della prova digitale
 
Il Diritto Processuale Penale dell’Informatica e le Investigazioni Informatiche
Il Diritto Processuale Penale dell’Informatica e le Investigazioni InformaticheIl Diritto Processuale Penale dell’Informatica e le Investigazioni Informatiche
Il Diritto Processuale Penale dell’Informatica e le Investigazioni Informatiche
 
Il ruolo dei dispositivi informatici
Il ruolo dei dispositivi informaticiIl ruolo dei dispositivi informatici
Il ruolo dei dispositivi informatici
 
Computer Forensics
Computer ForensicsComputer Forensics
Computer Forensics
 
Vincenzo Calabrò - Tracciabilita' delle Operazioni in Rete e Network Forensics
Vincenzo Calabrò - Tracciabilita' delle Operazioni in Rete e Network ForensicsVincenzo Calabrò - Tracciabilita' delle Operazioni in Rete e Network Forensics
Vincenzo Calabrò - Tracciabilita' delle Operazioni in Rete e Network Forensics
 
Digital forensic: metodologie di analisi della prova digitale
Digital forensic: metodologie di analisi della prova digitaleDigital forensic: metodologie di analisi della prova digitale
Digital forensic: metodologie di analisi della prova digitale
 
Giuseppe Dezzani, Intercettazioni e VoIP
Giuseppe Dezzani, Intercettazioni e VoIPGiuseppe Dezzani, Intercettazioni e VoIP
Giuseppe Dezzani, Intercettazioni e VoIP
 
Tecniche di riconoscimento del parlante
Tecniche di riconoscimento del parlanteTecniche di riconoscimento del parlante
Tecniche di riconoscimento del parlante
 
Ceh course v8 Narthar
Ceh course v8 NartharCeh course v8 Narthar
Ceh course v8 Narthar
 
LA PROVA INFORMATICA NEL PROCESSO PENALE - Aspetti Tecnici e Giuridici
LA PROVA INFORMATICA NEL PROCESSO PENALE - Aspetti Tecnici e GiuridiciLA PROVA INFORMATICA NEL PROCESSO PENALE - Aspetti Tecnici e Giuridici
LA PROVA INFORMATICA NEL PROCESSO PENALE - Aspetti Tecnici e Giuridici
 
Digital Forensics - Fabio Massa.pptx
Digital Forensics - Fabio Massa.pptxDigital Forensics - Fabio Massa.pptx
Digital Forensics - Fabio Massa.pptx
 
Methodologies and techniques for forensic analysis of mobile phone devices
Methodologies and techniques for forensic analysis of mobile phone devicesMethodologies and techniques for forensic analysis of mobile phone devices
Methodologies and techniques for forensic analysis of mobile phone devices
 

Mehr von Massimo Farina

28459 - Privacy e Comunicazioni Commerciali: le linee guida in materia di att...
28459 - Privacy e Comunicazioni Commerciali: le linee guida in materia di att...28459 - Privacy e Comunicazioni Commerciali: le linee guida in materia di att...
28459 - Privacy e Comunicazioni Commerciali: le linee guida in materia di att...Massimo Farina
 
Seminario di Diritto dell’Informatica e delle Nuove Tecnologie
Seminario di Diritto dell’Informatica e delle Nuove TecnologieSeminario di Diritto dell’Informatica e delle Nuove Tecnologie
Seminario di Diritto dell’Informatica e delle Nuove TecnologieMassimo Farina
 
Seminario di Diritto dell’Informatica e delle Nuove Tecnologie
Seminario di Diritto dell’Informatica e delle Nuove TecnologieSeminario di Diritto dell’Informatica e delle Nuove Tecnologie
Seminario di Diritto dell’Informatica e delle Nuove TecnologieMassimo Farina
 
Diritto dell’Informatica e delle Nuove Tecnologie
Diritto dell’Informatica e delle Nuove TecnologieDiritto dell’Informatica e delle Nuove Tecnologie
Diritto dell’Informatica e delle Nuove TecnologieMassimo Farina
 
Diritto dell’Informatica e delle Nuove Tecnologie
Diritto dell’Informatica e delle Nuove TecnologieDiritto dell’Informatica e delle Nuove Tecnologie
Diritto dell’Informatica e delle Nuove TecnologieMassimo Farina
 
Corso Diritto dell'Informatica e delle Nuove Tecnologie
Corso Diritto dell'Informatica e delle Nuove TecnologieCorso Diritto dell'Informatica e delle Nuove Tecnologie
Corso Diritto dell'Informatica e delle Nuove TecnologieMassimo Farina
 
Corso Diritto dell'Informatica e delle Nuove Tecnologie
Corso Diritto dell'Informatica e delle Nuove TecnologieCorso Diritto dell'Informatica e delle Nuove Tecnologie
Corso Diritto dell'Informatica e delle Nuove TecnologieMassimo Farina
 
Corso Diritto dell'Informatica e delle Nuove Tecnologie
Corso Diritto dell'Informatica e delle Nuove TecnologieCorso Diritto dell'Informatica e delle Nuove Tecnologie
Corso Diritto dell'Informatica e delle Nuove TecnologieMassimo Farina
 
Cybercrime: investigazione forense e mitigazione (p.1)
Cybercrime: investigazione forense e mitigazione (p.1)Cybercrime: investigazione forense e mitigazione (p.1)
Cybercrime: investigazione forense e mitigazione (p.1)Massimo Farina
 
Cloud computing: aspetti giuridici - Ordine Ingegneri di Cagliari
Cloud computing: aspetti giuridici - Ordine Ingegneri di CagliariCloud computing: aspetti giuridici - Ordine Ingegneri di Cagliari
Cloud computing: aspetti giuridici - Ordine Ingegneri di CagliariMassimo Farina
 
La tutela dei Domain Names: i segni distintivi
La tutela dei Domain Names: i segni distintiviLa tutela dei Domain Names: i segni distintivi
La tutela dei Domain Names: i segni distintiviMassimo Farina
 
RISCHI E TUTELE SULL’USO DEI WEARABLE DEVICE
RISCHI E TUTELE SULL’USO DEI WEARABLE DEVICERISCHI E TUTELE SULL’USO DEI WEARABLE DEVICE
RISCHI E TUTELE SULL’USO DEI WEARABLE DEVICEMassimo Farina
 
Il giornale del consumatore N.245
Il giornale del consumatore N.245Il giornale del consumatore N.245
Il giornale del consumatore N.245Massimo Farina
 
I CONTRATTI DEL SOFTWARE
I CONTRATTI DEL SOFTWAREI CONTRATTI DEL SOFTWARE
I CONTRATTI DEL SOFTWAREMassimo Farina
 
La Privacy per gli studi legali
La Privacy per gli studi legaliLa Privacy per gli studi legali
La Privacy per gli studi legaliMassimo Farina
 
Il Codice della Privacy nella P.A.
Il Codice della Privacy nella P.A.Il Codice della Privacy nella P.A.
Il Codice della Privacy nella P.A.Massimo Farina
 
Privacy e Videosorveglianza Il NUOVO “DECALOGO” 2010
Privacy e Videosorveglianza Il NUOVO “DECALOGO” 2010Privacy e Videosorveglianza Il NUOVO “DECALOGO” 2010
Privacy e Videosorveglianza Il NUOVO “DECALOGO” 2010Massimo Farina
 
Linee guida in materia di trattamento di dati personali
Linee guida in materia di trattamento di dati personaliLinee guida in materia di trattamento di dati personali
Linee guida in materia di trattamento di dati personaliMassimo Farina
 
Privacy e Videosorveglianza - Decalogo 2010........un anno dopo
Privacy e Videosorveglianza - Decalogo 2010........un anno dopoPrivacy e Videosorveglianza - Decalogo 2010........un anno dopo
Privacy e Videosorveglianza - Decalogo 2010........un anno dopoMassimo Farina
 
La responsabilità d’impresa D.lgs. 231/01
La responsabilità d’impresa D.lgs. 231/01La responsabilità d’impresa D.lgs. 231/01
La responsabilità d’impresa D.lgs. 231/01Massimo Farina
 

Mehr von Massimo Farina (20)

28459 - Privacy e Comunicazioni Commerciali: le linee guida in materia di att...
28459 - Privacy e Comunicazioni Commerciali: le linee guida in materia di att...28459 - Privacy e Comunicazioni Commerciali: le linee guida in materia di att...
28459 - Privacy e Comunicazioni Commerciali: le linee guida in materia di att...
 
Seminario di Diritto dell’Informatica e delle Nuove Tecnologie
Seminario di Diritto dell’Informatica e delle Nuove TecnologieSeminario di Diritto dell’Informatica e delle Nuove Tecnologie
Seminario di Diritto dell’Informatica e delle Nuove Tecnologie
 
Seminario di Diritto dell’Informatica e delle Nuove Tecnologie
Seminario di Diritto dell’Informatica e delle Nuove TecnologieSeminario di Diritto dell’Informatica e delle Nuove Tecnologie
Seminario di Diritto dell’Informatica e delle Nuove Tecnologie
 
Diritto dell’Informatica e delle Nuove Tecnologie
Diritto dell’Informatica e delle Nuove TecnologieDiritto dell’Informatica e delle Nuove Tecnologie
Diritto dell’Informatica e delle Nuove Tecnologie
 
Diritto dell’Informatica e delle Nuove Tecnologie
Diritto dell’Informatica e delle Nuove TecnologieDiritto dell’Informatica e delle Nuove Tecnologie
Diritto dell’Informatica e delle Nuove Tecnologie
 
Corso Diritto dell'Informatica e delle Nuove Tecnologie
Corso Diritto dell'Informatica e delle Nuove TecnologieCorso Diritto dell'Informatica e delle Nuove Tecnologie
Corso Diritto dell'Informatica e delle Nuove Tecnologie
 
Corso Diritto dell'Informatica e delle Nuove Tecnologie
Corso Diritto dell'Informatica e delle Nuove TecnologieCorso Diritto dell'Informatica e delle Nuove Tecnologie
Corso Diritto dell'Informatica e delle Nuove Tecnologie
 
Corso Diritto dell'Informatica e delle Nuove Tecnologie
Corso Diritto dell'Informatica e delle Nuove TecnologieCorso Diritto dell'Informatica e delle Nuove Tecnologie
Corso Diritto dell'Informatica e delle Nuove Tecnologie
 
Cybercrime: investigazione forense e mitigazione (p.1)
Cybercrime: investigazione forense e mitigazione (p.1)Cybercrime: investigazione forense e mitigazione (p.1)
Cybercrime: investigazione forense e mitigazione (p.1)
 
Cloud computing: aspetti giuridici - Ordine Ingegneri di Cagliari
Cloud computing: aspetti giuridici - Ordine Ingegneri di CagliariCloud computing: aspetti giuridici - Ordine Ingegneri di Cagliari
Cloud computing: aspetti giuridici - Ordine Ingegneri di Cagliari
 
La tutela dei Domain Names: i segni distintivi
La tutela dei Domain Names: i segni distintiviLa tutela dei Domain Names: i segni distintivi
La tutela dei Domain Names: i segni distintivi
 
RISCHI E TUTELE SULL’USO DEI WEARABLE DEVICE
RISCHI E TUTELE SULL’USO DEI WEARABLE DEVICERISCHI E TUTELE SULL’USO DEI WEARABLE DEVICE
RISCHI E TUTELE SULL’USO DEI WEARABLE DEVICE
 
Il giornale del consumatore N.245
Il giornale del consumatore N.245Il giornale del consumatore N.245
Il giornale del consumatore N.245
 
I CONTRATTI DEL SOFTWARE
I CONTRATTI DEL SOFTWAREI CONTRATTI DEL SOFTWARE
I CONTRATTI DEL SOFTWARE
 
La Privacy per gli studi legali
La Privacy per gli studi legaliLa Privacy per gli studi legali
La Privacy per gli studi legali
 
Il Codice della Privacy nella P.A.
Il Codice della Privacy nella P.A.Il Codice della Privacy nella P.A.
Il Codice della Privacy nella P.A.
 
Privacy e Videosorveglianza Il NUOVO “DECALOGO” 2010
Privacy e Videosorveglianza Il NUOVO “DECALOGO” 2010Privacy e Videosorveglianza Il NUOVO “DECALOGO” 2010
Privacy e Videosorveglianza Il NUOVO “DECALOGO” 2010
 
Linee guida in materia di trattamento di dati personali
Linee guida in materia di trattamento di dati personaliLinee guida in materia di trattamento di dati personali
Linee guida in materia di trattamento di dati personali
 
Privacy e Videosorveglianza - Decalogo 2010........un anno dopo
Privacy e Videosorveglianza - Decalogo 2010........un anno dopoPrivacy e Videosorveglianza - Decalogo 2010........un anno dopo
Privacy e Videosorveglianza - Decalogo 2010........un anno dopo
 
La responsabilità d’impresa D.lgs. 231/01
La responsabilità d’impresa D.lgs. 231/01La responsabilità d’impresa D.lgs. 231/01
La responsabilità d’impresa D.lgs. 231/01
 

Profili e Metodologie investigative

  • 1. CORSO DI INFORMATICA FORENSE – PROFILI E METODOLOGIE INVESTIGATIVE di ALESSANDRO BONU Alessandro Bonu Corso di INFORMATICA FORENSE (A.A. 2013/2014) Profili e metodologie investigative Attività seminariale nell’ambito del Corso di Laurea Magistrale in Ingegneria delle Telecomunicazioni – insegnamento di Diritto dell’Informatica e delle Nuove Tecnologie (coordinamento delle attività a cura di Massimo Farina) DirICTo
  • 2. CORSO DI INFORMATICA FORENSE – Profili e metodologie investigative di Alessandro Bonu Agenda • Introduzione sui profili e metodologie • Incarico e regole di ingaggio • Acquisizione della prova • Tutela della prova • Metodologia di analisi • Definizione di un profilo investigativo • Conclusioni
  • 3. CORSO DI INFORMATICA FORENSE – Profili e metodologie investigative di Alessandro Bonu JFFDF84U4R8FRJU493INFHJDEGWEUID8 DH373E37WDBWDUDASKWOSOPFHF64 RG4F8FNDFKWDJUDFFHFRYFUFR7HFIED YE73BEFJNF57HJ484RHEFKEFJF8I8F83H2 GDWMX42656E76656E75746921RYFUF G73ED82N8C6RF5QSM6OGT9NHJUE63V DTCF5SC3DWH6TE7GUF7YDHWIJFEHJV7 8HFUEFUR7CEFEJNIAXUQWU1WUFIDQ9 HDWNQD89H374385T7ERYFEDY7D3787 JFFDF84U4R8FRJU493INFHJDEGWEUID8 DH373E37WDBWDUDASKWOSOPFHF64 RG4F8FNDFKWDJUDFFHFRYFUFR7HFIED YE73BEFJNF57HJ484RHEFKEFJF8I8F83H2 GDWMX42656E76656E75746921RYFUF G73ED82N8C6RF5QSM6OGT9NHJUE63V DTCF5SC3DWH6TE7GUF7YDHWIJFEHJV7 8HFUEFUR7CEFEJNIAXUQWU1WUFIDQ9 HDWNQD89H374385T7ERYFEDY7D3787 B e n v e n u t i !
  • 4. CORSO DI INFORMATICA FORENSE – Profili e metodologie investigative di Alessandro Bonu Perché? Per una semplice conversione in caratteri esadecimali della scritta: 42656E76656E75746921 «Benvenuti!» Mascherato poi con altre «informazioni» simili..
  • 5. CORSO DI INFORMATICA FORENSE – Profili e metodologie investigative di Alessandro Bonu Ma se cambiamo qualcosa? • 53767F87767F86857032 – + 1 alfanumerico = 42656E76656E75746921 • xxxxxxxxxxxxxxxxxxxxxxxx – - n lettere e numeri = 42656E76656E75746921 • xxxxxxxxxxxxxxxxxxxxxxxx – + n caratteri e - n numeri = 42656E76656E75746921 • xxxxxxxxxxxxxxxxxxxxxxxx – + n numeri e - n lettere = 42656E76656E75746921 • xxxxxxxxxxxxxxxxxxxxxxxx – x n numeri e +/-n caratteri = 42656E76656E75746921 • E così via! La variante che vorremmo aggiungere sarà la nostra chiave di lettura che si aggiungerà ad un primo livello di occultamento in questo caso esadecimale.
  • 6. CORSO DI INFORMATICA FORENSE – Profili e metodologie investigative di Alessandro Bonu Metodologia forense • Fondamentale è sapere che comportamenti errati possono invalidare la prova in fase di dibattimento; • L’esperienza insegna: – evitare errori noti – focalizzare le attività su metodologie consolidate e standardizzate; • L’utilizzo di metodi comuni: – consente ai periti della contro parte di verificare i risultati di indagine in maniera più agevole e incontrovertibile.. • Sia in sede di indagine; • Sia in sede di dibattimento; • Il «metodo» consente di sveltire le fasi più noiose e ripetitive, ma ciascun forenser avrà modo di esprimersi e dimostrare la propria competenza.
  • 7. CORSO DI INFORMATICA FORENSE – Profili e metodologie investigative di Alessandro Bonu Profilo informatico Insieme di funzionalità, strumenti e contenuti attribuiti ad un utente e riferiti ad uno specifico contesto operativo cos’è un profilo
  • 8. CORSO DI INFORMATICA FORENSE – Profili e metodologie investigative di Alessandro Bonu Profili Windows Area di sistema dedicata, in un contesto multiutente
  • 9. CORSO DI INFORMATICA FORENSE – Profili e metodologie investigative di Alessandro Bonu Profili Linux Area di sistema dedicata, in un contesto multiutente
  • 10. CORSO DI INFORMATICA FORENSE – Profili e metodologie investigative di Alessandro Bonu Profili social I dati (dei profili) non risiedono localmente ma sulla rete, questo potrebbe complicare le operazioni di indagine.
  • 11. CORSO DI INFORMATICA FORENSE – Profili e metodologie investigative di Alessandro Bonu Profili in ambito CF (Computer Forensics) • Profilo del forenser: – Competenze tecniche; – Calato sul caso specifico (specificità); – Metodi operativi comuni; – Allestimento di un laboratorio operativo ad hoc. • Profilo del soggetto investigato: – Attitudini e comportamenti; – Ambiente operativo su cui opera (profili informatici); – Informazioni utili all’indagine.
  • 12. CORSO DI INFORMATICA FORENSE – Profili e metodologie investigative di Alessandro Bonu Aspetti preliminari • Competenze e aspetti tecnici da conoscere bene: modus operandi – una buona base (skill), in contesto di routine; – soggettivo, per ciascun forenser ma sempre con le opportune garanzie. • Capire, in sede di indagine, aspetti comportamentali del soggetto indagato che serviranno a focalizzare meglio gli obiettivi da raggiungere. • Definire una strategia operativa (profilo investigativo) mirata a soddisfare in modo esaustivo i questi oggetto di incarico e ai quali ci si dovrà attenere scrupolosamente!
  • 13. CORSO DI INFORMATICA FORENSE – Profili e metodologie investigative di Alessandro Bonu Profili investigativi e aree di riferimento • Computer Forensics; • Network Forensics; • Mobile Forensics; • Embedded System Forensics; • Software Forensics.
  • 14. CORSO DI INFORMATICA FORENSE – Profili e metodologie investigative di Alessandro Bonu Elementi trasversali alle aree specifiche • Acquisizione dei reperti: – Sequestro fisico o logico. • Trasporto dei reperti: – Imballo dei reperti e sigillo dei reperti. • Catena di custodia: – Garanzie di tutela della prova originale. acquisizione cus todia
  • 15. CORSO DI INFORMATICA FORENSE – Profili e metodologie investigative di Alessandro Bonu Computer Forensics (CF) ”l’analisi di dispositivi informatici quali personal computer, server, sistemi virtuali, memorie di massa, ecc.. utili all'individuazione, la conservazione, la protezione, l'estrazione, la documentazione, l'impiego ed ogni altra forma di trattamento del dato informatico al fine di essere valutato in un processo giuridico”
  • 16. CORSO DI INFORMATICA FORENSE – Profili e metodologie investigative di Alessandro Bonu Network Forensics ”l’analisi di apparati e sistemi di rete di rete, senza tralasciare Internet, utili all'individuazione, la conservazione, la protezione, l'estrazione, la documentazione, l'impiego ed ogni altra forma di trattamento del dato informatico al fine di essere valutato in un processo giuridico”
  • 17. CORSO DI INFORMATICA FORENSE – Profili e metodologie investigative di Alessandro Bonu Mobile Forensics ”l’analisi di dispositivi mobili quali cellulari, i-Pod, sistemi di comunicazione wireless, telefoni satellitari, ecc.. Utili all'individuazione, la conservazione, la protezione, l'estrazione, la documentazione, l'impiego ed ogni altra forma di trattamento del dato informatico al fine di essere valutato in un processo giuridico”
  • 18. CORSO DI INFORMATICA FORENSE – Profili e metodologie investigative di Alessandro Bonu Embedded System Forensics ”l’analisi di sistemi digitali dotati di CPU (es. i giochi), anche creati talvolta artigianalmente o partendo da una base (es. arduino), ecc.. utili all'individuazione, la conservazione, la protezione, l'estrazione, la documentazione, l'impiego ed ogni altra forma di trattamento del dato informatico al fine di essere valutato in un processo giuridico”
  • 19. CORSO DI INFORMATICA FORENSE – Profili e metodologie investigative di Alessandro Bonu Software Forensics ”Tools e strumenti software adeguati (secondo degli standard riconosciuti) e necessari all'individuazione, la conservazione, la protezione, l'estrazione, la documentazione, l'impiego ed ogni altra forma di trattamento del dato informatico al fine di essere valutato in un processo giuridico”
  • 20. CORSO DI INFORMATICA FORENSE – Profili e metodologie investigative di Alessandro Bonu Ma quali software? • Open Source o Software commerciale? ..eterno dilemma! • Inevitabilmente saranno entrambi oggetto di utilizzo: – modalità operative di ciascun forenser; – in alcuni ambiti alcuni sono superiori ad altri; – i costi di licenza; – disponibilità dei sorgenti, per gli open source, questo può essere importante per vagliare le funzionalità del software nello specifico in relazione ai risultati ottenuti.
  • 21. CORSO DI INFORMATICA FORENSE – Profili e metodologie investigative di Alessandro Bonu Dove di concentra l’indagine nella CF • Memorie di massa (Disk Forensics) – HD, CD, DVD, USB, SSD, Nastri, ecc.. • Memorie volatili (Memory Forensics) – RAM
  • 22. CORSO DI INFORMATICA FORENSE – Profili e metodologie investigative di Alessandro Bonu I passi comuni che identificano la CF • Identificazione dei reperti utili; • Acquisizione e trasporto delle prove; • Analisi della copia forense (prove acquisite); • Refertazione dettagliata dei risultati; • Presentazione delle evidenze in sede processuale; esistono altre fasi ma che si applicano a casi e situazioni specifiche queste sono quelle sempre presenti in un profilo di indagine
  • 23. CORSO DI INFORMATICA FORENSE – Profili e metodologie investigative di Alessandro Bonu Identificazione dei reperti • Specificità in relazione al caso per il quale si opera; • Identificazione del tipo di supporto (magnetico, ottico, elettronico, ..); • Identificazione delle interfacce delle memorie di massa; • Conoscenza delle funzionalità dei BIOS; • Sistema Operativo utilizzato; • Tipologia del File System; • Altre condizioni particolari da valutare: (ibernazione/sospensione del sistema).
  • 24. CORSO DI INFORMATICA FORENSE – Profili e metodologie investigative di Alessandro Bonu Catena di custodia • La catena di custodia è un documento che contiene informazioni e dettagli in merito alla prova originale e con le copie forensi realizzate e «firmate», a partire dall'acquisizione fino ad arrivare al giorno del processo. • Vediamone alcuni aspetti: – Attribuire un ID al caso; – Chi è incaricato dell'investigazione; – Descrizione del caso; – Incaricato della duplicazione dei dati; – Data e ora di inizio custodia; – Luogo in cui il supporto è stato rinvenuto; – Produttore del supporto; – Modello del supporto; – Numero di serie del supporto.
  • 25. CORSO DI INFORMATICA FORENSE – Profili e metodologie investigative di Alessandro Bonu Copia forense La copia autenticata dei dati, deve essere eseguita adottando criteri e misure atte a garantire e salvaguardare il dato originale e impedirne l’alterazione: errori in questa fase si ripercuotono sulle fasi successive • Procedure forensi riconosciute; • Tool specifici, validi e riconosciuti; • Gestione degli errori, individuazione e documentazione; • Verbalizzazione e documentazione in dettaglio; • Firma/Sigillo elettronico (hash) e read-only.
  • 26. CORSO DI INFORMATICA FORENSE – Profili e metodologie investigative di Alessandro Bonu L’analisi • Orientata possibilmente alla copia forense: – non sempre risulta possibile in quanto alcune attività devono essere fatte direttamente sui reperti; • Rilevazioni delle informazioni: – quelle utili all’indagine; • In questa fase si rilevano comportamenti e attitudini (profili) dei soggetti oggetto di indagine, (vedi caso).
  • 27. CORSO DI INFORMATICA FORENSE – Profili e metodologie investigative di Alessandro Bonu Attività in sede di analisi • L’analisi implica una vasta serie di attività: – Informazioni a fini decisionali; – Informazioni utili al posizionamento (geografico) di un utente, di un reperto; – Individuazioni di informazioni temporali, date e variazioni delle stesse; – Identificazione di utenti, per capire chi ha operato; – Rilevazioni di password e cracking per accedere ad aree riservate; – Investigazione trasversale su diversi reperti per determinare e incrociare elementi utili ai fini dell’indagine; – Ripristino di dati (data-recovery), cancellati o occultati .
  • 28. CORSO DI INFORMATICA FORENSE – Profili e metodologie investigative di Alessandro Bonu Refertazione • Attività determinante in quanto il risultato dell’attività investigativa è un oggetto documentale; • Chi lo scrive è un tecnico specializzato; • Chi lo legge: – Atri tecnici: CTU, CTP; – Legali: Giudice, PM, Avvocati; – Altri organi investigativi; • Presentazione in sede di dibattimento.
  • 29. CORSO DI INFORMATICA FORENSE – Profili e metodologie investigative di Alessandro Bonu Presentazione in sede processuale • Chi deve convincere: – Un Giudice; • Chi deve capire di cosa si parla: – La parte; • Chi deve scoraggiare: – La controparte, nell’obbiettare le nostre evidenze che dovranno apparire incontrovertibili.
  • 30. CORSO DI INFORMATICA FORENSE – Profili e metodologie investigative di Alessandro Bonu L’approccio • Non esiste una regola generale nel metodo di indagine se non per alcune fasi comuni, fondamentale è ridurre al minimo rischi ed errori; • Operare nel contesto della computer forensics richiede elevate conoscenze informatiche congiunte a buone capacità di analisi, osservazione e pazienza; • Le metodologie di base rimangono sempre costanti, ma le tecnologie che permettono l'acquisizione e l'analisi sono in continua evoluzione; • Nelle attività di indagine troviamo essenzialmente due casistiche: • Il computer è il mezzo usato per compiere un’azione criminosa; • Il computer è a sua volta vittima di un crimine.
  • 31. CORSO DI INFORMATICA FORENSE – Profili e metodologie investigative di Alessandro Bonu incarico e regole di ingaggio
  • 32. CORSO DI INFORMATICA FORENSE – Profili e metodologie investigative di Alessandro Bonu Le regole di ingaggio CTU • Le regole consistono in quesiti specifici emanati dal magistrato in relazione ad un caso specifico e che delineano circostanze e limiti entro i quali il CTU dovrà operare nel corso dell’attività di indagine. • Obbiettivo di tale attività investigativa è pertanto dare risposta esaustiva e circostanziata ai quesiti oggetto di incarico.
  • 33. CORSO DI INFORMATICA FORENSE – Profili e metodologie investigative di Alessandro Bonu Modalità di ingaggio • Modalità di incarico e valutazione di fattibilità: • In relazione a competenze; • formulazione dei quesiti da parte del magistrato. • Acquisizione formale dell’incarico: • tempistiche e modalità di consegna della relazione; • modalità di acquisizione del materiale oggetto di esame. • Rispetto delle regole durante i lavori: • elementi estranei devono essere assolutamente ignorati. • Relazioni chiarificatrici su richiesta delle parti: • relazione scritta a corredo della precedente; • in sede di processo, con linguaggio “semplice”.
  • 34. CORSO DI INFORMATICA FORENSE – Profili e metodologie investigative di Alessandro Bonu Determinazione dei rischi • Inalterabilità della prova originale: – dovrebbe essere ripetibile, non sempre è così. • «errare humanum est», questo potrebbe determinare un incidente probatorio e invalidare la prova; • L’esperienza insegna.. – casi pregressi; – casi di studio e documentati. • Decisamente ridotti dalla competenza in materia; • Valutare il rispetto della privacy nelle varie fasi operative.
  • 35. CORSO DI INFORMATICA FORENSE – Profili e metodologie investigative di Alessandro Bonu Acquisizione della prova
  • 36. CORSO DI INFORMATICA FORENSE – Profili e metodologie investigative di Alessandro Bonu Acquisizione delle prove • Sequestro fisico del reperto; • Sequestro logico con relativa copia forense nelle seguenti modalità: – Dead : computer spento; – Live : computer acceso. • Intercettazione del dato: – Il dato viene acquisito durante la sua trasmissione.
  • 37. CORSO DI INFORMATICA FORENSE – Profili e metodologie investigative di Alessandro Bonu Modalità di acquisizione del reperto/prova • Ritiro in sede di incarico e redazione di apposito verbale di consegna. • Consegna da parte della PG presso la sede legale del CTU. • Acquisizione diretta, con idonea autorizzazione del magistrato, presso la sede in cui si trova il materiale utile all’indagine.
  • 38. CORSO DI INFORMATICA FORENSE – Profili e metodologie investigative di Alessandro Bonu Acquisizione in sede di incarico • Materiale cartaceo: – attinente all’attività investigativa; – verbale di consegna sottoscritto dalle parti. • Apparati /supporti informatici già sequestrati: – apparati catalogati e off-line; – verifica dello stato dei reperti e riscontro dei dettagli acquisiti in sede di sequestro; – verbale di consegna sottoscritto dalle parti.
  • 39. CORSO DI INFORMATICA FORENSE – Profili e metodologie investigative di Alessandro Bonu Acquisizione presso la sede legale del CTU • Incaricati da parte del tribunale: – Polizia Giudiziaria; – altri incaricati dal magistrato. • Modalità di trasporto e custodia del materiale /reperti in consegna: – verifica dello stato dei reperti e riscontro dei dettagli acquisiti; in sede di sequestro: sigilli. • Verifica e riscontro dei reperti, – verbale di consegna sottoscritto dalle parti.
  • 40. CORSO DI INFORMATICA FORENSE – Profili e metodologie investigative di Alessandro Bonu Acquisizione diretta da parte del CTU • Idonea autorizzazione del magistrato da esibire in sede di sequestro; • Valutazione delle modalità di acquisizione in caso per esempio di apparati in modalità LIVE; • Inventario dettagliato delle singole parti interessanti per l’indagine: (catena di custodia); • Apposizione dei imballi e sigilli di garanzia per la fase di trasporto dei reperti; • Verbale di consegna e sottoscrizione tra le parti di quanto acquisito.
  • 41. CORSO DI INFORMATICA FORENSE – Profili e metodologie investigative di Alessandro Bonu Acquisizione: DEAD • Una volta identificati i reperti, ad esempio un personal computer (spento) si procede in genere a: – Estrarre dispositivi floppy disk in esso contenuti; – Estrarre i cd rom utilizzando l’apposito foro; – Estrarre eventuali supporti di memoria (USB); – Identificazione del numero e delle caratteristiche tecniche dei device di memoria presenti nel computer.
  • 42. CORSO DI INFORMATICA FORENSE – Profili e metodologie investigative di Alessandro Bonu Acquisizione: LIVE e priorità • Non sempre i reperti da acquisire possono essere delocalizzati; • In taluni casi è pertanto necessario procedere all’acquisizione dai componenti con volatilità più alta: • Memoria RAM; • Memoria di swap; • Processi di rete; • Processi di sistema. • La RAM risulta essere più volatile in quanto vengono effettuati continuamente accessi. • La memoria di swap ha una priorità inferiore ma comunque alta dato che è usata per lo swap delle pagine della memoria. • I processi di rete e sistema hanno un tempo di vita che dipende dal tipo di operazioni che il processo deve effettuare. • I dati sul disco hanno una volatilità molto bassa in quanto persistono anche ad un riavvio del computer.
  • 43. CORSO DI INFORMATICA FORENSE – Profili e metodologie investigative di Alessandro Bonu Dati in RAM • Disribuzioni LIVE: – Helix, Caine, BackTrack, ecc.. pensate per funzionare unicamente su RAM, pertanto uno spegnimento determina una perdita completa del contenuto della memoria e delle informazioni/attività in essa contenute. • DUMP della RAM, operazione irripetibile: – L’utilizzo del programma, che consente questa attività, determina una necessaria modifica del contenuto della memoria. • Dati presenti in cache: – Esistono dei tool che forzano la sincronizzazione su disco, in questo caso comunque ci sarebbero variazioni dei dati ma sempre inferiori ad un shutdown regolare.
  • 44. CORSO DI INFORMATICA FORENSE – Profili e metodologie investigative di Alessandro Bonu Dove e cosa cercare.. • Dopo l’acquisizione la nostra attenzione dovrà concentrarsi principalmente su tutta una serie di dati che potrebbero contenere informazioni utili all’indagine: – Dati volatili; – File di swap; – File logici; – File di registro delle configurazioni; – E-mail; – Log delle applicazioni e di sicurezza; – File temporanei; – Log di sistema; – Spazio libero; – Cache del browser; – History file; – File cancellati.
  • 45. CORSO DI INFORMATICA FORENSE – Profili e metodologie investigative di Alessandro Bonu Stato del reperto /prova “La preservazione dello stato della prova assume una rilevanza fondamentale ai fini dell’utilizzabilità della stessa in sede di giudizio. Per questo motivo si deve evitare che le prove raccolte subiscano modificazioni idonee ad alterarne la genuinità.” • Fondamentale è pertanto preservare lo stato della prova di: – Supporti non modificabili, ma comunque non esenti da problematiche legate a fattori ambientali; – Supporti modificabili, da gestire con molta cautela; – Conservazione logica e fisica.
  • 46. CORSO DI INFORMATICA FORENSE – Profili e metodologie investigative di Alessandro Bonu Incidente probatorio Dall’analisi della prova dipende l’esito dell’indagine, pertanto la stessa non dovrà in alcun modo subire nessun tipo di manomissione/alterazione
  • 47. CORSO DI INFORMATICA FORENSE – Profili e metodologie investigative di Alessandro Bonu La conservazione della prova • Protezione da cariche elettrostatiche: – Utilizzo di materiali appositi di imballo per prevenire questi problemi. • Protezione da urti: – Utilizzo di contenitori adeguati e con opportuno imballo. • Evitare le manomissioni: – Apposizione di sigilli che permettano di verificare eventuali manomissioni.
  • 48. CORSO DI INFORMATICA FORENSE – Profili e metodologie investigative di Alessandro Bonu La ricerca della prova
  • 49. CORSO DI INFORMATICA FORENSE – Profili e metodologie investigative di Alessandro Bonu Dove si trova il dato? • Sembra banale ma la prima cosa da capire è dove si trova il dato oggetto di indagine; • Celare piccoli dispositivi è semplicissimo e anche in fase di sequestro qualcosa può sfuggire; • A questo si aggiunga il fatto che all’interno degli stessi dispositivi i dati potrebbero essere celati utilizzando anche tecniche particolari (es. steganografia).
  • 50. CORSO DI INFORMATICA FORENSE – Profili e metodologie investigative di Alessandro Bonu Occultamento dei dati • Intenzioni malevole: – scrittura malware, diffusione di segreti a danno di terzi, ecc..; • Intenzioni benevole/lecite – segretezza di dati in ambito privato/lavorativo, ecc..; • Alcune tecniche.. – Critografia: • tecnica di rappresentazione di un messaggio in una forma tale che l’informazione in essa contenuta possa essere recepita solo dal destinatario. – Steganografia: • tecnica che si prefigge di nascondere la comunicazione tra due o più interlocutori.
  • 51. CORSO DI INFORMATICA FORENSE – Profili e metodologie investigative di Alessandro Bonu Occultamento logico benvenuti nel corso di Computer Forensics ..una normale immagine, apparentemente!
  • 52. CORSO DI INFORMATICA FORENSE – Profili e metodologie investigative di Alessandro Bonu Occultamento fisico A quanti verrebbe in mente di guardare una ferita? • E’ di rilevante importanza che la parte indagata non sospetti un eventuale provvedimento a suo carico: perché??
  • 53. CORSO DI INFORMATICA FORENSE – Profili e metodologie investigative di Alessandro Bonu Dove focalizzare l’attenzione • Di norma i dispositivi oggetto di analisi sono: – Lettori multimediali; – HD esterni; – Supporti USB; – Smartphone; – NAS; – Stampanti – Altri dispositivi in grado di memorizzare dati.
  • 54. CORSO DI INFORMATICA FORENSE – Profili e metodologie investigative di Alessandro Bonu E’ sempre possibile sequestrare i reperti?
  • 55. CORSO DI INFORMATICA FORENSE – Profili e metodologie investigative di Alessandro Bonu Alcune considerazioni.. • Nella fase del sequestro occorre attenersi a quanto recitano le disposizioni di legge “..l’autorità giudiziaria acquisisce il corpo del reato o le cose pertinenti necessarie per l’accertamento dei fatti..”. • Troppo spesso accade che nel compimento di suddette operazioni, vengano acquisiti reperti che al fine probatorio risultano inutili. • Opportuno è pertanto attenersi sempre al caso specifico e valutare attentamente il profilo del destinatario del provvedimento, sia perché lo stesso non venga sottovalutato ma soprattutto perché non venga messo in condizioni tali da limitare l’utilizzo di strumenti utili in ambito aziendale/lavorativo e non a fine probatorio.
  • 56. CORSO DI INFORMATICA FORENSE – Profili e metodologie investigative di Alessandro Bonu La copia forense • La duplicazione del dato dev’essere tale da non poter essere contestata. • La duplicazione deve essere 1:1 rispetto al supporto oggetto di indagine e ricrearne uno identico a livello logico sul quale operare. • Questo comporta che l’intero device venga replicato, comprendendo struttura e spazio libero dello stesso. • Lo spazio impegnato del dispositivo logico, sarà pertanto uguale al dispositivo fisico a prescindere dall’effettiva quantità di informazioni contenute.
  • 57. CORSO DI INFORMATICA FORENSE – Profili e metodologie investigative di Alessandro Bonu Validazione della copia forense • Operazione fondamentale è validare la copia logica confrontandola con l’originale: Tra le due deve esserci perfetta corrispondenza. • La validazione può essere eseguita attraverso programmi di hash come l’MD5 e SHA1 i quali applicano una funzione non invertibile ed atta alla trasformazione di un testo di lunghezza arbitraria in una stringa di lunghezza fissata. • Il risultato dell'hash viene visto come una sorta di impronta digitale dell’evidenza, esso si definisce anche “valore di hash”.
  • 58. CORSO DI INFORMATICA FORENSE – Profili e metodologie investigative di Alessandro Bonu Software e hardware da utilizzare • Sul mercato sono disponibili diversi software che consentono di effettuare la copia bit-a-bit di un supporto di memoria: – Dispositivi HW ad hoc, con dei limiti: • Tecnologia specifica; • Singoli dischi (raid?). – Software specializzati (es.dd, semplice e in grado si essere mostrato a livello di file sorgente). • Ideale, dotarsi di workstation forense con le interfacce più utilizzate sul mercato.
  • 59. CORSO DI INFORMATICA FORENSE – Profili e metodologie investigative di Alessandro Bonu Write Blocker • Garantisce un blocco dell’accesso in scrittura per mantenere l’integrità della prova: read-only; • Esistono due differenti metodologie per garantire il write blocking: – Write blocker software: • Agisce sull’operazione di «mounting» del disco da parte del sistema operativo. – Write blocker hardware; • dispositivo fisico che viene posto tra l’hard disk e la macchina di acquisizione forense. Questi dispositivi sono anche più comprensibili per interlocutori non tecnici.
  • 60. CORSO DI INFORMATICA FORENSE – Profili e metodologie investigative di Alessandro Bonu Write Blocker hardware
  • 61. CORSO DI INFORMATICA FORENSE – Profili e metodologie investigative di Alessandro Bonu Intercettazione del dato • Definire i target e non acquisire dati indiscriminatamente pena: – Violazione della legge; – Perdita di tempo; – Mancanza degli obbiettivi oggetto di indagine. • Problemi legati alla connessione in rete (span port): – Il target è l’amministratore di sistema; – Lo switch è troppo esposto ed in evidenza; – Lo switch non dispone delle funzionalità necessarie a monitorare il traffico • «Man in the middle»: – Impossibilità di raggiungere lo switch; – Deviazione del traffico di rete A > B = A > C > B
  • 62. CORSO DI INFORMATICA FORENSE – Profili e metodologie investigative di Alessandro Bonu Man in the middle
  • 63. CORSO DI INFORMATICA FORENSE – Profili e metodologie investigative di Alessandro Bonu Relazione tecnica • Sintetica: dato che non necessita di riportare eccessivi particolari tecnici dell’analisi ma solo ciò che interessa dal punto di vista giuridico. • Semplificata: colui che legge e valuta l’esito è di principio un fruitore inesperto nel settore informatico e quindi, nell’ipotesi che sia possibile, bisogna eliminare terminologie non consuete e spiegare a livello elementare quanto rilevato. • Asettica: non deve contenere giudizi personali dell’operatore né tanto meno valutazioni legali sulle informazioni rilevate a meno che tali considerazioni non siano state espressamente richieste e inerenti all’indagine.
  • 64. CORSO DI INFORMATICA FORENSE – Profili e metodologie investigative di Alessandro Bonu Conclusioni Alcune considerazioni che potremo fare in merito alle metodologie e i profili di indagine è che al di là degli aspetti puramente tecnici e specialistici, che richiedono comunque una adeguata competenza, occorre valutare con attenzione un attento approccio metodologico e calato di volta in volta al caso di indagine specifico. Metodologia che deve poi astrarre le sole informazioni atte a dare risposta a quesiti ben precisi e delineati in sede di incarico. Tutto il resto è noia!
  • 65. CORSO DI INFORMATICA FORENSE – Profili e metodologie investigative di Alessandro Bonu Grazie per l’attenzione! alessandro.bonu@gmail.com it.linkedin.com/in/abonu
  • 66. CORSO DI INFORMATICA FORENSE – Profili e metodologie investigative di Alessandro Bonu 66 Attribuzione - Non Commerciale - Condividi allo stesso modo 3.0 o Tu sei libero: • di riprodurre, distribuire, comunicare al pubblico, esporre in pubblico, rappresentare, eseguire o recitare l'opera; • di modificare quest’opera; • Alle seguenti condizioni:  Attribuzione. Devi attribuire la paternità dell’opera nei modi indicati dall’autore o da chi ti ha dato l’opera in licenza e in modo tale da non suggerire che essi avallino te o il modo in cui tu usi l’opera.  Non commerciale. Non puoi usare quest’opera per fini commerciali.  Condividi allo stesso modo. Se alteri, trasformi quest’opera, o se la usi per crearne un’altra, puoi distribuire l’opera risultante solo con una licenza identica o equivalente a questa. o In occasione di ogni atto di riutilizzazione o distribuzione, devi chiarire agli altri i termini della licenza di quest’opera. o Se ottieni il permesso dal titolare del diritto d'autore, è possibile rinunciare ad ognuna di queste condizioni. o Le tue utilizzazioni libere e gli altri diritti non sono in nessun modo limitati da quanto sopra