Digital Forensics Best Practices. Di Nanni Bassetti

Dimensione: px
Iniziare la visualizzazioe della pagina:

Download "Digital Forensics Best Practices. Di Nanni Bassetti www.nannibassetti.com"

Transcript

1 Digital Forensics Best Practices Di

2 Chi sono Mi occupo di digital forensics dal 2005/2006, project manager di CAINE (distro usata in tutto il mondo) Fondatore di CFI (Computer Forensics Italy) Scrittore di parecchi articoli scientifici e software free/open source per la D.F. Membro fondatore di ONIF (Osservatorio Nazionale Informatica Forense). Coinvolto in casi di rilevanza nazionale come: * Consulente tecnico informatico di parte civile nel caso del transessuale "Brenda" (caso Brenda-Marrazzo). * CTP (Consulente tecnico di parte) per gli Avv. Vito Russo ed Emilia Velletri nel caso Sarah Scazzi (Avetrana (Ta)) * Consulente tecnico informatico di parte civile nel caso della scomparsa di Roberto Straccia * Consulente tecnico informatico di parte civile nel caso della scomparsa della piccola Angela Celentano 2

3 Definizione La Digital Forensics è la disciplina scientifica che serve per identificare, acquisire ed analizzare una fonte di prova digitale, preservandola da eventuali alterazioni. Scientifica: ripetibile (Galileo Galilei) è la modalità tipica con cui la scienza procede per raggiungere una conoscenza della realtà oggettiva, affidabile, verificabile e condivisibile. Esso consiste, da una parte, nella raccolta di evidenza empirica e misurabile attraverso l'osservazione e l'esperimento; dall'altra, nella formulazione di ipotesi e teorie da sottoporre nuovamente al vaglio dell'esperimento. POPPER: ciò che conta di una teoria scientifica non è la sua genesi soggettiva, ma il fatto che essa sia espressa in forma criticabile e falsificabile sul piano oggettivo. Fonte di prova: deve garantire il suo uso in tribunale 3

4 Chi NON è il digital forensics expert Il ragazzo che installa i programmi Il negozio di computer L'amico bravo suggerito da uno non del settore Quello che si qualifica coi tesserini Gli informatici che fanno altro... I non informatici che hanno la passione nel tempo libero Il cuggggino :-D 4

5 Chi è il digital forensics expert NESSUNO Chi ha delle pubblicazioni online/offline Chi ha un C.V. qualificante Chi sviluppa sw. Digital forensics Chi conosce i sw e hw della digital forensics Chi conosce leggi e metodologie della digital forensics 5

6 La STORIA 1984 FBI Magnetic Media Program created... this later becomes the Computer Analysis and Response Team (CART) 1995 International Organization on Computer Evidence (IOCE) formed RFC3227 -Guidelines for Evidence Collection and Archiving (2002) USA Department of Justice -Searchingand SeizingComputers(2002) USA IACP -Best Practices for Seizing Electronic Evidence (2006) USA DoJ Electronic Crime Scene Investigation v. 2 (2008) UK ACPO Computer Based Evidence Guidelines v.4 (2008) - Association of Chief Police Officers (ACPO) guidelines Computer Forensics Tool Testing (CFTT) by NIST (National Institute of Standards and Technology) 6

7 La Storia Gli esperti britannici sono conformi con l'associazione dei capi di polizia (ACPO) le linee guida. Questi sono costituiti da quattro principi come segue: Principio 1: Nessuna azione intrapresa dalle forze dell'ordine o dai loro agenti dovrebbe cambiare i dati memorizzati su uno dei supporti informatici o di archiviazione che successivamente possono essere fatti valere in tribunale. Principio 2: In circostanze eccezionali, quando una persona si trova nella necessità di accedere ai dati originali conservati su un computer o su supporti di memorizzazione, che tale persona sia competente a farlo ed essere in grado di testimoniare e spiegare la rilevanza e le implicazioni delle loro azioni. Principio 3: Il metodo adottato o altri documenti di tutti i processi applicati alla raccolta delle evidenze elettroniche deve essere creato e conservato. Una terza parte indipendente deve essere in grado di esaminare i processi e ottenere lo stesso risultato. Principio 4: Il responsabile delle indagini ha la responsabilità generale di assicurare che il diritto e tali principi siano rispettati. 7

8 Definizione I campi d azione della Digital Forensics sono: 1) 2) 3) 4) 5) 6) 7) 8) 9) 10) Indagini interne ad una azienda Supporto alla Polizia Giudiziaria ed ai PM (CTU/CTP/Periti/CT) Supporto ai privati indagati (CTP) Valutazione danni Spionaggio Frode Pedopornografia Violazione policy Ricatto Terrorismo 8

9 I MITI

10 LE BUFALE INFORMATICHE cracking di password complesse con la semplice pressione compulsiva di tasti; recuperare file cancellati con velocità inimmaginabile riconoscimenti facciali accessi a tutte le reti e database del mondo analisi di qualsiasi telefonino, contenuti decriptati al volo Zoom esagerati!

11 LE BUFALE INFORMATICHE La duplicazione dei dischi è lenta e noiosa. nel recupero di file cancellati il tempo è il nemico, infatti per operazioni simili la famosa barra d'avanzamento ricompare e rimane con noi per svariate ore o giorni

12 NEI FILM È COSÌ:

13 NELLA REALTÀ È COSÌ:

14 PASSWORD CRACKING Che bello sarebbe lanciare un programmino che in pochi minuti trova la password di un file criptato o l'accesso ad un sito web, a un firewall, a un PC o altro. "... ah... codice criptato a 128 bit... difficile... ma non per me!" ed in meno di 30 secondi lo ha gia' scardinato... Ehmmm....

15 RETI In molti film fanno vedere come alcuni hacker o forze dell'ordine riescano ad accedere ovunque, si collegano alle reti di ogni Ente, azienda, ecc., in tempo reale. Ma è possibile? In alcuni casi proprio no, perché non tutti i sistemi sono raggiungibili da Internet: alcune reti infatti sono delle LAN senza affaccio sulla Rete né tanto meno raggiungibili via Web. Alcune di queste reti a volte possono essere collegate a computer che a loro volta hanno un accesso a Internet, ma anche in questi casi l'accesso è quasi impossibile, e di certo non si ottiene in quattro e quattr'otto come si vede al cinema. Non esistono database in rete di tutto, dalle moquette dei tappetini delle auto, alle marche di bulloni...in Italia non c'è ancora nemmeno la banca dati del DNA!!!!

16 RETI Fatte le dovute (e poche) eccezioni non esistono cose simili: non ci si collega e controlla un satellite militare così con due click, non ci si collega alla rete Wi-Fi di un privato che sta a centinaia di miglia di distanza, non è possibile usare la webcam di qualcuno senza prima averlo infettato con qualcosa, non è possibile ascoltare le conversazioni telefoniche di qualcuno se non si ha infettato il telefono (non sempre possibile e/o illegale) o messo sotto intercettazione (solo forze dell'ordine), non si entra nelle reti o ricevono informazioni sensibili (tabulati e altro di gestori telefonici, Enti, aziende, social network, Google, etc.) al volo e senza passare dalle richieste dell'autorità Giudiziaria.

17 TELEFONI E ancora, i telefonini spenti non comunicano con le celle, e non si possono usare per intercettazioni ambientali a meno che non siano opportunamente modificati via software o hardware. I cellulari accesi invece si possono usare come microspie, se sotto intercettazione o infettati, altrimenti non c'è modo, specialmente da parte di privati, di agganciarsi al telefonino di Tizio e sentire i fatti suoi senza averlo mai infettato con qualcosa. Gli SMS non vengono conservati dai gestori telefonici, infatti quest'ultimi forniscono solo i tabulati di mittente, destinatario, data ed ora, ma non il testo del messaggio, anche se ci sarà sempre un "cugggino" che ha un "amico" nella Telecom che dirà il contrario.

18 SuperZOOOM!!!!

19 SuperZOOOM!!!! Fonte:

20 CONCLUSIONI Insomma la digital forensics è spesso lenta e noiosa, e si scontra sovente contro le limitazioni tecnologiche degli strumenti e delle conoscenze: i sistemi proprietari sono in aumento, i sistemi crittografici sempre più diffusi, i dati viaggiano sulle "nuvole" e sono in mano a Big Company dislocate su tutto il globo, ma l'effetto CSI e l'ignoranza informatica permettono di accettare qualunque cosa, creando richieste assurde da parte di chi si rivolge al digital forensics expert. Si pensa che tutto è possibile, tutto è veloce e non ci sono differenze tra sistemi operativi, hardware, reti e quant'altro, è tutto "informatica". Chiudo ricordando la super-chicca di "Indipendence Day" (R. Emmerich 1996) film nel quale si sviluppa un virus su un Mac, lo si carica sull'astronave madre degli alieni invasori e funziona. Strano che nel mondo reale un virus per Windows non funzioni su Mac o Linux e viceversa, ma poi si riesca a scrivere un virus per un computer alieno.

21 Definizione Le fasi principali sono 4: 1)Identificazione 2)Acquisizione 3)Analisi e valutazione 4)Presentazione 21

22 L identificazione ed acquisizione Sulla scena del crimine bisogna, innanzi tutto, identificare ogni dispositivo che possa contenere prove (digital evidences), per poi acquisirlo. 22

23 L identificazione ed acquisizione Attualmente i dispositivi digitali che possono contenere le prove sono tantissimi e spesso sono così, inseriti nel nostro habitat da non farci più caso. Esempi: 1) Computers 2) Memory cards 3) Nastri digitali 23

24 L identificazione ed acquisizione 5) SIM cards 6) Cd-DVD rom 7) Smart printers 8) Smart Fax 9) Lettori MP3/AVI 10) Playstation et similia 11) ecc. 24

25 L identificazione ed acquisizione 25

26 L identificazione ed acquisizione Al momento dell analisi della scena si dovrà capire cosa prendere per poi analizzarlo. Durante i sequestri si potrebbero ignorare o tralasciare alcuni dispositivi che potrebbero contenere informazioni preziose. 26

27 L identificazione ed acquisizione Non è detto che la prova, la cosidetta smoking gun sia sul computer di casa. Anzi potrebbe essere su un DVD con la copertina degli Aristogatti di Walt Disney 27

28 L identificazione ed acquisizione Nella fase di sequestro si potrebbero commettere degli errori. Questo perché la D.F. è ancora una scienza senza protocollo comune. Non ci si preoccupa della ripetibilità del metodo utilizzato 28

29 L identificazione ed acquisizione Non ci si preoccupa della preservazione della prova Non ci si preoccupa della catena di custodia e del corretto modo di presentare i risultati delle indagini informatiche (reporting) 29

30 L identificazione ed acquisizione La D.F. si divide in 2 branche la live analisys e la post mortem Ognuna di esse ha regole diverse, dato che la live è un analisi su un sistema acceso ed in funzione La post mortem è su un sistema spento 30

31 Sulla scena del crimine 31

32 Sulla scena del crimine EVITARE di: 1) Aver fretta. 2) Improvvisarsi esperti su sistemi sconosciuti. 3) Usare strumenti non collaudati e/o improvvisati. 4) Esprimere pareri personali, NOI siamo TECNICI non Avvocati o Psicologi. 5) Rilevare sempre il tempo e la data usando strumenti affidabili e attenzione al formato (GMT o UTC). 32

33 Sulla scena del crimine 33

34 Sulla scena del crimine 34

35 Sulla scena del crimine Mobile Forensics Gabbia di Faraday UFED CellDek XRY 35

36 Sulla scena del crimine 36

37 Impacchettamento Conservazione del disco originale e creazione della catena di custodia, ossia seriale, hash, passaggi di mano, ecc. Foto by Massimiliano Graziani 37

38 E se troviamo un RAID? 38

39 Arrivano le Live DISTRO! OPEN SOURCE: Live distro Linux: 1.CAINE 2.DEFT 3.FORLEX 4.FCCU 5.HELIX 6.PALADIN 39

40 40

41 Write Blocker & Co. 41

42 Write Blocker & Co. Foto: Wikipedia HDD Imaing source : 42

43 Write Blocker & Co. FONTE: I write-blocker sono di tre tipologie fondamentali: (a) Firmware based: orientati ad impiegare le primitive del BIOS ed a gestire la loro inibizione in qualsiasi tipo di scrittura; (b) Software o Driver based: sono software di basso livello (in ambiente windows dei driver) orientati ad intercettare qualsiasi interruzione hardware o software che diriga qualsiasi tipo di scrittura verso la memoria di massa considerata. In questo caso è quindi il sistema operativo ad impedire l'alterazione e non il BIOS. Sempre di conseguenza eventuali bug del sistema operativo hanno un immediato effetto sulla garanzia di funzionamento del write-blocker. (c) Hardware based: sono veri e propri dispositivi elettronici che "tagliano" il bus di comunicazione tra unità di storage fisica e scheda madre (generalmente) e si interpongono come intermediari valutando ed eventualmente inibendo tutto ciò che entra ed esce dal dispositivo target. 43

44 L identificazione ed acquisizione Analisi Post Mortem Il dispositivo è spento quindi è necessario acquisire tutti i dati presenti sul disco rigido in maniera raw o bit a bit. Così da avere un clone perfetto o un file immagine dell hard disk, compresi i files cancellati e lo slack space su un supporto esterno previamente sterilizzato (wiping) oppure nuovo. Verificare tutto con i codici di hash MD5 e SHA1 44

45 La codifica HASH HASH -> Fonte: Wikipedia Nel linguaggio scientifico, l'hash è una funzione univoca operante in un solo senso (ossia, che non può essere invertita), atta alla trasformazione di un testo di lunghezza arbitraria in una stringa di lunghezza fissa, relativamente limitata. Tale stringa rappresenta una sorta di "impronta digitale" del testo in chiaro, e viene detta valore di hash, checksum crittografico o message digest. L(lenght)= X bits, 4 bits (nibble) sono una cifra Hex quindi X/4=numero cifrehex generate. MD5: L=128bits genera una stringa di 128/4=32 hex chars 45

46 Fonte: Wikipedia 46

47 La codifica HASH Fonte: Wikipedia Un attacco preimage su un hash è un tentativo di trovare un messaggio che abbia uno specifico valore hash. Ci sono due tipi di attacchi preimage: Primo attacco preimage: Dato un hash h, trovare un messaggio m tale che hash (m) = h. Secondo preimage attacco: Dato un messaggio fisso m1, Trovare un messaggio diverso m2 tale che hash (m2) = hash (m1). 47

48 La codifica HASH Fonte: Wikipedia Un attacco collisione su un hash è un tentativo di trovare due contenuti che generino lo stesso hash. hash(m1)=hash(m2) Differisce dal second preimage nel fatto che non c è un m1 preordinato. 48

49 La codifica HASH There are two categories of attacks. Attacks against the "collision-free" property: A "collision attack" allows an attacker to find two messages M1 and M2 that have the same hash value in fewer than 2^(L/2) attempts. Attacks against the "one-way" property: A "first-preimage attack" allows an attacker who knows a desired hash value to find a message that results in that value in fewer than 2^L attempts. A "second-preimage attack" allows an attacker who has a desired message M1 to find another message M2 that has the same hash value in fewer than 2^L attempts. The two preimage attacks are very similar. In a first-preimage attack, you know a hash value but not the message that created it, and you want to discover any message with the known hash value; in the second-preimage attack, you have a message and you want to find a second message that has the same hash. Attacks that can find one type of preimage can often find the other as well. All the currently known practical or almost-practical attacks on MD5 and SHA-1 are collision attacks. A preimaging attack that costs trillions of dollars and takes decades to preimage one desired hash value or one message is not practical; one that costs a few thousand dollars and takes a few weeks might be very practical. 49

50 ACQUISIZIONE Ci troviamo in un posto dove ci sono solo portatili da acquisire, abbiamo solo un portatile, ci obbligano ad acquisire in situ che facciamo? Accettiamo la ridicola velocità dell USB 2.0? :-D 50

51 L Attrezzatura portatile 54

52 55

53 MOBILE DEVICES PDA, Cell Phone & Digital Camera Personal digital assistants, cell phones e le digital cameras possono conservare dati direttamente nella memoria interna o possono contenere memorie rimovibili. Se il dispositivo è off, non metterlo in on. (in pratica non accenderlo!) 56

54 MOBILE DEVICES Lasciare accesi i mobile device serve ad evitare che all accensione si presentino password o altri blocchi. Se possibile, fotografare il display e le schermate. Etichettare e acquisire tutti i cavi (compresi quelli di alimentazione) e portarli insieme al dispositivo. Mantenere il dispositivo in carica. Se il dispositivo non può essere mantenuto in carica, l analisi deve essere fatta prima che si scarichi la batteria per collezionare più dati possibili, che potrebbero andar persi dopo lo spegnimento e la riaccensione. Sequestrare media aggiuntivi (memory sticks, compact flash, etc) e tenerle lontano da fonti magnetiche o radio. Documentare ogni passo fatto. 57

55 Telefoni & Co. 58

56 Telefoni & Co. 59

57 Telefoni & Co. 60

58 61

59 Telefoni & Co. 62

60 Telefoni & Co. 63

61 Telefoni & Co. 64

62 Telefoni & Co. 65

63 Telefoni & Co. 66

64 Telefoni & Co. 67

65 Telefoni & Co. 68

66 Telefoni & Co. CHIP-OFF JTAG 69

67 Telefoni & Co. 70

68 I LIMITI

69 NASCONDERSI ONLINE

70 NASCONDERSI ONLINE

71 NASCONDERSI ONLINE

72 NASCONDERSI ONLINE

73 NASCONDERSI ONLINE OpenNIC: , , Google: , OpenDns: ,

74 NASCONDERSI ONLINE

75 NASCONDERSI ONLINE

76 TOR

77 TOR TAIL TAIL distro Linux per rimanere anonimi

78 TOR

79 Sicure criptate online client che criptano anonime e r er

80 Sicure

81 Sicure

82 Sicure

83 BitCoin Pagare con i BitCoin cripto-valuta peer to peer Fonte- Wikipedia

84 BitCoin

85 Altri sistemi VPN Eliminare documenti recenti Private browsing App IM e Chat poco diffuse Uso macchine virtuali su supporti esterni

86 Altri sistemi Awareness Aumentano le competenze e la consapevolezza tecnica delle persone, oggi criptano, cancellano in maniera sicura, usano pw, data storare online, macchine virtuali, TOR, TrueCrypt, PGP, AxCrypt, Bitlocker, Live distro, Secure Eraser, Wipe, Ccleaner, Disk Eraser, UPX, ecc.?

87

88 Private Browsing Navigazione anonima

89 TrueCrypt creazione di un volume criptato Possiamo creare un volume, criptato, che sul nostro PC apparirà come un file,(es. ppp.sec), questo file però può esser montato come Volume ed apparire come, per esempio, DISCO M, nel quale si possono inserire vari file.

90 Digital Forensics The Future

91 Digital Forensics The Future I dischi Toshiba da 2,5 tipo MK6461GSYG. Nel caso in cui un modello di col self-encryptig viene rubato e tenta di connettersi a un sistema non-familiare, il disco rigido e l'host iniziano un processo di autenticazione. Se il tentativo di autenticazione ha esito negativo, il disco può essere configurato per negare l'accesso o cripto/cancellare i dati sensibili.

92 Digital Forensics The Future Come funziona il lavoro di BitLocker Drive Encryption? I vostri dati sono protetti con crittografia dell'intero volume del sistema operativo Windows. Se il computer è dotato di un TPM compatibile, BitLocker utilizza il TPM per bloccare le chiavi di crittografia che proteggono i dati. Di conseguenza, le chiavi non sono accessibili finché il TPM ha verificato lo stato del computer. La crittografia dell'intero volume protegge tutti i dati, compreso il sistema operativo, il registro di Windows, i file temporanei, e il file di ibernazione. Poiché le chiavi necessarie per decriptare i dati rimangono bloccati dal TPM, un attaccante non può leggere i dati semplicemente rimuovendo il disco rigido e installandolo in un altro computer. When the computer is started, the TPM chip provides the decryption key for the partition only after comparing a hash of several operating system configuration values. If the drive is removed from the computer it was encrypted on and placed in another computer system, the drive will not decrypt without the password recovery key. Additionally, if changes are detected in the basic input output system (BIOS), or any of the startup files, the TPM will not release the decryption key and the drive will not unlock without the password recovery key, all of which may cause challenges to the forensic examiner if the password recovery key is not available pdf

93 Digital Forensics The Future Che cosa è un TPM?. Il TPM è un microchip progettato per fornire funzioni relative alla sicurezza di base, che coinvolgono principalmente le chiavi di crittografia. Il TPM è di solito installato sulla scheda madre di un computer desktop o portatili, e comunica con il resto del sistema usando un bus hardware. Computer che incorporano un TPM hanno la capacità di creare chiavi crittografiche e crittografare loro in modo che possano essere decifrati solo dal TPM.

94 Digital Forensics The Future Se anche si riuscisse a ricavare una key per il decrypting poi servirebbe anche l'eventuale password per l'unlock del disco.. Se durante l'avvio del computer viene rilevata una condizione che potrebbe rappresentare un rischio per la protezione, ad esempio errori del disco, una modifica al BIOS o a un qualsiasi file di avvio, BitLocker blocca l'unità e richiede una password di ripristino speciale per sbloccarla. Assicurarsi di creare la password di ripristino quando si attiva BitLocker per la prima volta, altrimenti potrebbe non essere più possibile accedere ai file. BitLocker utilizza in genere il chip Trusted Platform Module (TPM) nel computer per archiviare le chiavi utilizzate per sbloccare il disco rigido crittografato. Quando si accede al computer, BitLocker richiede a TPM le chiavi per il disco rigido e lo sblocca. Poiché TPM invia le chiavi a BitLocker immediatamente dopo che è stato eseguito l'accesso al computer, la protezione del computer dipende dalla complessità della password di accesso. Se è stata creata una password complessa che impedisce l'accesso agli utenti non autorizzati, il disco rigido protetto tramite BitLocker resterà bloccato. drive-encryption

95 Digital Forensics The Future Con Windows 8.1 la crittografia del disco. è sempre attiva. Microsoft ha infatti deciso di applicare la protezione crittografica ai tablet o ai PC usando la funzione "device encryption" in modo automatico - in passato invece era l'utente a dover attivare la crittografia manualmente.

96 Digital Forensics The Future SSD e l'auto corrosione.. I dischi allo stato solido subiscono il fenomeno dell' auto-corrosione, ossia quando si cancella un file, il comando TRIM del sistema operativo dice al controller del disco di cancellarlo, quindi il file va nella garbage collection. Poichè gli SSD seguono la regola del wear leveling e per cancellare un file devono prima scrivere, le operazioni di cancellazione non sono in tempo reale, ma in background e gestite dal controller, poi una volta cancellati i blocchi, non si recupera più il file, poiché sovrascritto. Quindi, quando si stacca un SSD e lo si attacca ad un altro computer, il write blocker non blocca l'auto-corrosione, dato che il fenomeno si attiva dall'interno, appena il controller riceve corrente elettrica.

97 Digital Forensics The Future A group of scientists from University of California [4] designed an FPGA-based device providing direct access to flash chips of the SSD drive while bypassing the controller. The researchers estimated the cost of their prototype as $1000, while their estimate for building production units using microcontrollers instead of FPGA's was as little as $200.

98 Digital Forensics The Future.

99 Digital Forensics The Future. IL CLOUD Molti esperti riconoscono che non vi è alcun metodo universale per l'estrazione di prove in modo ammissibile da applicazioni cloud-based, e in alcuni casi, solo poche prove sono estraibili. Come tale, il cloud computing rappresenta uno degli sviluppi tecnologici, che presenta una sfida continua per i legislatori, funzionari di polizia, e gli analisti di computer forensic. O detto in altro modo, la sfida per gli ispettori legali e forze dell'ordine è quello di determinare il "chi, cosa, quando, dove, come, e perché" delle attività criminali basate su cloud.

100 Digital Forensics The Future IL CLOUD. SaaS (Software as a Service) - Pensiamo a Gmail, Facebook, ecc. In genere il client è il browser, tutto è online, gli elementi cancellati dove sono? Come si recuperano? Ci sono gli snapshot e le tracce di eventuali client (Dropbox, GoogleDrive, ecc.), ci sono i log? Chi li possiede? Per quanto tempo? Si dipende quasi in toto dal gestore della SaaS. PaaS (Platform as a Service) Pensiamo a Windows Azure, Google App Engine, ecc. Sono piattaforme per lo sviluppo di applicazioni, si ha controllo solo sui layer dati ed application. IaaS (Infrastructure as a Service) qui si può avere più libertà di manovra, dato che può essere un computer virtualizzato, quindi il cliente ha completa autonomia sulla macchina. In tutti i casi comunque si è dipendenti dal fornitore del cloud, che è formato da macchine virtuali, che per il load balancing spesso si spostano nella rete e distribuiscono i carichi tra i vari computer che formano la nuvola.

101 Digital Forensics The Future ALTRO. Dispositivi mobili (cellulari, tablet, ecc.) sempre più modelli, ci sono i cinesi, i sw/hw per il dump ed analisi sono pochi, limitati e costosi e con aggiornamenti lenti rispetto all uscita impetuosa di nuovi modelli e sistemi operativi. Investigator weakness sempre più Gb/Tb da gestire, costi, complessità, si parla di dischi di parecchi gigabyte o terabyte, Raid, usare tecniche di data hiding e a quel punto le analisi da condurre porterebbero via moltissime risorse in termini di tempo e denaro, costringendo l'investigatore a lavorare alla grossa. Awareness Aumentano le competenze e la consapevolezza tecnica delle persone, oggi criptano, cancellano in maniera sicura, usano pw, data storare online, macchine virtuali, TOR, TrueCrypt, PGP, AxCrypt, Bitlocker, Live distro, Secure Eraser, Wipe, Ccleaner, Disk Eraser, UPX, ecc.?

102 Digital Forensics The Future ALTRO. ATA HDD PW una banalità pure vecchia, ma ancora un bell'ostacolo. Ci sono due modalità di ATA Password security, HIGH e MAXIMUM, se la security è HIGH si può sbloccare il disco con la password USER o quella MASTER (di fabbrica), se è MAXIMUM solo con la password USER.

103 L'OPEN SOURCE

104 E L'OPEN SOURCE?. In scenari simili l'open Source ed il Free/libre Software potrebbero giocare un ruolo importante... I PRO: 1) Sviluppo costante da parte della community. 2) Controllo del software e possibilità di migliorarlo ed aggiornarlo 3) Attenzione verso cose minori 4) Sviluppo dei propri tools 5) Per il cybercrime Linux is better! Molti tool analisi di rete e molti sistemi di rete sono basati su Linux. I CONTRO: 1) Frammentazione dei team di sviluppo. 2) Difficoltà negli aggiornamenti/testing. 3) Documentazione spesso scarsa. 4) Spesso solo per utenti esperti.

105 E L'OPEN SOURCE? Attenzione verso cose minori. ESEMPI: Parser per BBThumbs.db presente nei BlackBerry (pre OS 5)

106 E L'OPEN SOURCE?. Zenrecovery - script in python che permete di estrarre i dati dal lettore multimediale (ZEN) e verificare i file in esso contenuti!

107 E L'OPEN SOURCE?. Crearsi piccoli frameworks ma efficienti!

108 E L'OPEN SOURCE? Esempi:. Facebook forensics Open Source Tools aggiornati? Facebook forensics Commercial Tools aggiornati! Open Source su sistemi complessi/proprietari Reverse Engineering Tempo/risorse umane. Commercial su sistemi complessi/proprietari Reverse Engineering o Accordi Tempo/risorse umane $$$

109 E L'OPEN SOURCE? QUINDI?. Creare dei team Creare documentazione Creare dei repository per gli update Esser sempre più user friendly e meno geekkosi :-)

110 %20Enforcement.pdf

111 %20Enforcement.pdf

112 FIREBrick - O.S. Hardware/Software

113 Operatività CHECKLIST 1) Controllare se i PC sono accesi. 1.1) Verificare che non vi siano volumi criptati (in caso affermativo chiedere passwords e/o analizzare live). 1.2) Spegnerli col distacco dell'alimentazione. 2) I PC spenti si sequestrano: perchè serve avere il PC per leggere orario BIOS ed eventualmente capirne l architettura degli hard disk (es. se sono RAID). 3) Domandare: 3.1) Ci sono altri dati su altri supporti oltre i PC (es. cd-rom, pendrive, hd esterni), backup (196/03) ) In caso affermativo sequestrare. 3.2) Chiedere eventuali passwords e/o buste con le passwords come da D.Lgs. 196/ ) Ci sono software proprietari che usano per l'elaborazione dati? 3.4) Ci sono connessioni internet per trasmissioni dei dati che ci interessano? 3.4.1) In caso affermativo c'è connessione dedicata? (oppure chiedere il provider es. Wind, Telecom, ecc. e relative password ed username) 3.4.2) Ci sono software proprietari di trasmissione? 3.4.3) Ci sono dati memorizzati su host remoti? 122

114 Operatività 3.5) Ci sono Fax/Stampanti con memoria? 3.5.1In caso affermativo sequestrare o vedere in loco. 4) Domandare fattura, documentazione varia per capire la tipologia degli hard disk. 5) In caso di mancanza di risposte sulla tipologia degli hard disk: 5.1) Spiegare che si andrà ad aprire per motivi tecnici: capire la capienza e la tipologia degli hard disk. 5.2) Indossare i guanti in lattice (per elettricita statica/non lasciare impronte), scaricarsi da possibile elettricità elettrostatica, aprire il case, leggere l'etichette dei dischi ed eventualmente fotografare/videoregistrare tutto. 5.3) Spiegare che non si sta alterando alcun dato ma solo leggendo delle etichette. 6) Imballare tutto e portare via. 7) Fissare una data per l'acquisizione (duplicazione) dei supporti. Questa lista è di massima e sarebbe utile controllarla ed aggiornarla a seconda del caso che si andrà ad affrontare. 123

115 Check this out! Usare i guanti elettrostatici. Fotografare e documentare tutte le fasi di acquisizione Utilizzare dischi affidabili. Consigliabile l utilizzare del write blocker hardware per proteggere i dischi sorgente Calcolare sempre il codice hash del disco sorgente e dei file interessanti Utilizzare buste elettrostatiche e impacchettare i dischi in contenitori anticaduta Analizzare i dispositivi in ambiente sicuro. Garantire la riservatezza, integrità e disponibilità dei dati trattati A fine incarico, ove possibile, non conservare i dati acquisiti. Di fronte ad un sistema non conosciuto non improvvisare ma prendere le opportune precauzioni con i giusti tempi. 124

116 Live Analysis Se sulla scena criminis l informazione si trova su un sistema acceso? Se il computer non può essere spento per motivi di sicurezza? (es. computer medicali, militari, videosorveglianza, ecc.) Se lo spegnimento del computer creasse danno anche a terzi? (es. server di posta elettronica, database server, ecc,) 125

117 Live Analysis Altri casi: Il disco è criptato Ciò che si cerca è in RAM L accesso al sistema è biometrico (impronta, retina, ecc.) Allora si esegue un analisi live del sistema: Uso di determinati tool Reporting di tutte le operazioni svolte Si procede seguendo l ordine di volatilità 126

118 Live Analysis Registri di sistema Memoria cache Memoria delle periferiche (es. tabelle di routing) Processi in esecuzione Dischi Dati di log remoto e dati di controllo rilevanti per il sistema in esame Configurazione fisica del sistema informatico Topologia della rete Floppy CD/DVD e supporti ottici 127

119 L identificazione ed acquisizione Non ci soffermeremo molto sulle regole dell analisi live perché è legata ad un evento in fieri ed è meno frequente RAM dump (win32dd, mdd, memimage, FTK Imager) Acquisition of volatile system information (processes, sysinternals, nirsoft, wft, ecc.) Logical copying of files Live acquisition of the entire system (FTK Imager, dd, ecc.) Si ricordino dei semplici principi: 128

120 L identificazione ed acquisizione 1) 2) 3) 4) 5) 6) 7) 8) 9) Non spegnere il sistema con la procedura di spegnimento Non usare programmi della macchina sospetta Dump della RAM (quando e se possibile) Cercare di copiare i media bit a bit Lanciare un programma di listing dei processi, utenti, insomma salvare tutte le informazioni di runtime Scollegarlo dalla rete se non serve essere connessi Documentare tutto quello che si sta facendo Eseguire tutti i tools (esterni) di Live Analisys Principio di inderterminazione di Heisenberg (gatto di Schroedinger) 129

121 Fonte: Each of these can be used independently or in conjunction with other methods depending on the scope of the search. Random Access Memory (RAM) dump A RAM dump copies data currently residing in the system memory. Recovering this data has several limitations that must be recognized. Ownership and related date and time information is not included and data may not be readable. When attempting to read the data, it may not appear in the same order as originally written and additional steps may be necessary to ensure that the data is in a format useful to the investigator. Data contained in the system s memory may include unsaved documents, recent chat sessions, user passwords, and other similar type information. Recovering data from the system s memory is done by utilizing a system level interface to raw memory tools such as dd or WinTaylor with the input file "/dev/mem" or \\.\PhysicalMemory (depending on your operating system). These tools can be run from the system or an external device. Whether run from the system or an external device, portions of the memory will be overwritten. The recovered data can be exported to an external storage device. Careful documentation of this procedure will ensure the integrity of the recovered data. 130

122 Fonte: Acquisition of volatile system information The base operating system and running applications in many cases keep volatile data, which is never stored on a physical drive. Additional information that may be obtained through a live acquisition includes: 1. Running processes a snapshot in time of what was running on the machine at the time. 2. Operating System Information - open files, active network ports, network connections including IP information, firewall configuration. 3. Unsaved data data that may not have been written to storage media or cached in RAM. 4. Shared network drives or folders knowledge of and access to data stored on networked drives, permissions. 5. Connected network users other users may have access to the data through a network share or logged into a remote shell. 131

123 Fonte: Logical acquisition of selected files This procedure is typically used on network systems to copy logical files to removable media. Before accessing files, ownership, security and related date and time information should be captured using tools that preserve this data. Copying can be accomplished through the use of forensic tools or system migration tools. There may be instances where data is successfully recovered although the data becomes useless due to dependencies on system hardware or software. A visual verification of the copied data should be conducted independent of the original source to ensure that no such dependencies exist. Many other considerations may exist depending on the system s hardware and software architecture. Software on a system will access files as it runs. Files in this state can be described as open or locked. In many situations this data is a primary target of the acquisition. Special steps may be required to access this data. For instance when encountering a database or application, typically a tool is available to backup or export all data from that application. In addition to exporting data, it may be beneficial to first logically copy files used by that application. Encrypted data from Encrypted File System (EFS) files, Bitlocker, encrypted disk images, Pretty Good Privacy (PGP), and other encryption software may not be recoverable if the system is shut down. As long as encrypted files, folders or disks are open, they may be in a readable state and acquired through a live acquisition. If the system is turned off, the encrypted files may not be accessible. 132

124 Fonte: Live Acquisition of Entire System Live acquisition of the entire system would include a ram dump, acquisition of volatile system information, and copying of logical files. Depending on the circumstances, it may be beneficial to image the volume(s) while the system is still running. It is recommended that the acquisition be conducted in this order. This should only be attempted if the option of shutting down and imaging the drive is unavailable. Many encrypted systems emulate a storage device (e.g., under Linux a block device similar to that used to access a hard drive). If the system has encrypted file systems mounted or attached, it might be possible to image at the decrypted layer (e.g.,"/dev/loop0" block device under Linux). Benefits There are many benefits to conducting a live acquisition. Additional data is captured that will not be available when conducting a static acquisition. The ability to capture data from a running system allows the system to continue serving its data. While the static acquisition of a system may be desired, the pros and cons of each method must be weighed to conform to the limitations encountered while conducting the search. 133

125 L Analisi 1. L analisi va effettuata sempre sulle copie e MAI sull originale. 2. Si usino tools accettati de facto dalla comunità scientifica 3. Open Source Vs Closed Source 4. L esperienza e la fantasia 5. Il profiling 134

126 L Analisi Tutte le analisi e ricerche devono essere eseguite sulla copia (meglio se copia della copia) In ambiente virtuale (VMWare, Qemu, VirtualBox,ecc.) Questo per il fine della ripetibilità 135

127 L Analisi I tools possono essere commerciali o open source, l importante che siano accettati dalla comunità dei C.F. experts, al fine di fugare dubbi sull affidabilità dello strumento usato. In caso di sviluppo di strumenti nuovi, è utile fornire il codice sorgente. 136

128 L Analisi I tools commerciali potrebbero avere varie problematiche, come tutto ciò di cui non si conosce il sorgente: 1) Bugs 2) Formati troppo proprietari 3) Fine dello sviluppo del sw 137

129 L Analisi I tools Open Source hanno dei vantaggi indiscutibili: 1) Controllo dei Bugs da parte della community degli sviluppatori 2) Formati aperti e compatibili 3) Sorgenti aperti a tutti -> Si sa cosa fanno 138

130 L Analisi La scelta NON deve essere radicale, ci sono sw commerciali che fanno cose che gli open source non fanno e viceversa 139

131 L Analisi TOOLS CLOSED SOURCE: Encase(GuidanceSoftware) ForensicToolkit (Access Data) X-WaysForensic(X-Ways) P2 Commander(Paraben Corporation) Pro Discover(TechnologyPathways) Macintosh Forensic(Blackbag) 140

132 L Analisi Non bastano solo i tools a scoprire le prove ci vuole anche: Esperienza Fantasia Arte Magia ;-) A volte le prove sono in posti introvabili, protette da password, dentro le immagini (steganografia), nelle thumbnails, in files con headers modificati, su server internet, ecc. ecc. 141

133 L Analisi PROFILING Per risparmiare tempo è utile dedicare un po di tempo a studiare il suspect ed il suo profilo psicologico.magari così basterà aprire la cartella IMMAGINI ed abbiamo la prova che cercavamo. Approcci Deduttivo: idea generale scendo nel particolare. (adattativo) Induttivo: dal particolare vado al generale (base statistica) 142

134 Reporting e Presentazione Dall acquisizione sino alla consegna delle prove il tutto deve essere documentato con i moduli della CATENA DI CUSTODIA (verbali), in modo da avere sempre la tracciabilità della prova. Alla fine dell analisi, bisognerà ricostruire gli eventi accaduti sul dispositivo analizzato e tutti i passi eseguiti per l analisi, per poi spiegarli nel report finale da consegnare a chi di competenza (PM, Avvocati, P.G., ecc.) [Premessa (riportante i quesiti e l incarico) Operazioni svolte Risposta ai quesiti Conclusioni] 143

135 Reporting e Presentazione Il report non deve essere scritto in linguaggio stregonesco informatico, ma deve essere il più semplice e chiaro possibile, per ovvie ragioni. Le prove vanno registrate su supporti ottici/magnetici e codificate con hash MD5, SHA1 e poi creare un file che contiene i codici che a sua volta dovrà essere criptato al fine di non dare la possibilità di alterare le prove con rimasterizzazioni Personalmente firmo anche col pennarello i supporti consegnati 144

136 LA FORENSICS STATION Un computer abbastanza potente Hard disk esterni firewire/usb2/ata/sata Write blocker Software O.S. / C.S. Scheda di rete (alta velocità) Masterizzatore DVD 145

137 ACCERTAMENTI TECNICI RIPETIBILI E NON RIPETIBILI Accertamenti tecnici (fonte ) PREMESSA: E opportuno premettere che la dizione Accertamenti Tecnici Ripetibili non è contemplata nel c.p.p., si può però affermare che rientrano in questa categoria tutti quelli a cui fa riferimento l Art. 359 c.p.p. e cioè tutti gli accertamenti svolti dai consulenti Tecnici del P.M. ma con i limiti previsti dall Art. 360 c.p.p. la cui dizione Accertamenti Tecnici non Ripetibili impone precisi obblighi al P.M.. E ovvio pertanto che tutto quanto non rientra nelle disposizioni del predetto articolo 360 è chiaramente ripetibile. L Art. 359 c.p.p. (Consulenti tecnici del P.M.) prevede che il P.M., quando procede ad accertamenti, rilievi segnaletici, descrittivi o fotografici e ad ogni altra operazione tecnica per cui sono necessarie specifiche competenze, può nominare e avvalersi di consulenti, che non possono rifiutare la loro opera. Il consulente può essere autorizzato dal P.M. ad assistere a singoli atti di indagine. L Art. 360 c.p.p. (Accertamenti Tecnici Non Ripetibili) prevede che, quando gli accertamenti previsti dall artt. 359 riguardano persone, cose o luoghi il cui stato è soggetto a modificazione, il P.M. avvisa, senza ritardo, la persona sottoposta alle indagini, la persona offesa dal reato e i difensori del giorno, dell ora e del luogo fissati per il conferimento dell incarico e della facoltà di nominare consulenti tecnici. I difensori nonché i consulenti tecnici eventualmente nominati, hanno diritto di assistere al conferimento dell incarico, di partecipare agli accertamenti e di formulare osservazioni o riserve. 146

138 Cenni utili a comprendere la: Ratifica della Convenzione di Budapest Nuova legge sul Cybercrime Legge n. 48 del

139 Testo finale dell art. 247 Casi e forme delle perquisizioni. 1. Quando vi è fondato motivo di ritenere che taluno occulti sulla persona il corpo del reato o cose pertinenti al reato, è disposta perquisizione personale. Quando vi è fondato motivo di ritenere che tali cose si trovino in un determinato luogo ovvero che in esso possa eseguirsi l'arresto dell'imputato o dell'evaso, è disposta perquisizione locale. 1-bis. Quando vi e` fondato motivo di ritenere che dati, informazioni, programmi informatici o tracce comunque pertinenti al reato si trovino in un sistema informatico o telematico, ancorché protetto da misure di sicurezza, ne e` disposta la perquisizione, adottando misure tecniche dirette ad assicurare la conservazione dei dati originali e ad impedirne l alterazione. 2. La perquisizione è disposta con decreto motivato. 3. L'autorità giudiziaria può procedere personalmente ovvero disporre che l'atto sia compiuto da ufficiali di polizia giudiziaria delegati con lo stesso decreto. 148

140 Testo finale - Art. 244 cpp Casi e forme delle ispezioni. 1. L'ispezione delle persone, dei luoghi e delle cose è disposta con decreto motivato quando occorre accertare le tracce e gli altri effetti materiali del reato. 2. Se il reato non ha lasciato tracce o effetti materiali, o se questi sono scomparsi o sono stati cancellati o dispersi, alterati o rimossi, l'autorità giudiziaria descrive lo stato attuale e, in quanto possibile, verifica quello preesistente, curando anche di individuare modo, tempo e cause delle eventuali modificazioni. L'autorità giudiziaria può disporre rilievi segnaletici, descrittivi e fotografici e ogni altra operazione tecnica, anche in relazione a sistemi informatici o telematici, adottando misure tecniche dirette ad assicurare la conservazione dei dati originali e ad impedirne l alterazione. 149

141 Art. 352 CPP Perquisizioni 1. Nella flagranza del reato (382) o nel caso di evasione (385 c.p.), gli ufficiali di polizia giudiziaria (57) procedono a perquisizione personale o locale (247 s.) quando hanno fondato motivo di ritenere che sulla persona si trovino occultate cose o tracce pertinenti al reato che possono essere cancellate o disperse ovvero che tali cose o tracce si trovino in un determinato luogo o che ivi si trovi la persona sottoposta alle indagini o i evaso. 1-bis. Nella flagranza del reato, ovvero nei casi di cui al comma 2 quando sussistono i presupposti e le altre condizioni ivi previsti, gli ufficiali di polizia giudiziaria, adottando misure tecniche dirette ad assicurare la conservazione dei dati originali e ad impedirne l alterazione, procedono altresì alla perquisizione di sistemi informatici o telematici, ancorché protetti da misure di sicurezza, quando hanno fondato motivo di ritenere che in questi si trovino occultati dati, informazioni, programmi informatici o tracce comunque pertinenti al reato che possono essere cancellati o dispersi. 150

142 2. Quando si deve procedere alla esecuzione di un'ordinanza che dispone la custodia cautelare ( , 292) o di un ordine che dispone la carcerazione (656) nei confronti di persona imputata o condannata per uno dei delitti previsti dall'art. 380 ovvero al fermo di una persona indiziata di delitto (384), gli ufficiali di polizia giudiziaria (113 att.) possono altresì procedere a perquisizione personale o locale se ricorrono i presupposti indicati nel comma 1 e sussistono particolari motivi di urgenza che non consentono la emissione di un tempestivo decreto di perquisizione. 3. La perquisizione domiciliare può essere eseguita anche fuori dei limiti temporali dell'art. 251 quando il ritardo potrebbe pregiudicarne l'esito. 4. La polizia giudiziaria trasmette senza ritardo, e comunque non oltre le quarantotto ore, al pubblico ministero del luogo dove la perquisizione è stata eseguita il verbale delle operazioni compiute. Il pubblico ministero, se ne ricorrono i presupposti, nelle quarantotto ore successive, convalida la perquisizione. Art. 354 CPP Accertamenti urgenti sui luoghi, sulle cose e sulle persone. Sequestro. 1. Gli ufficiali e gli agenti di polizia giudiziaria curano che le tracce e le cose pertinenti al reato siano conservate e che lo stato dei luoghi e delle cose non venga mutato prima dell'intervento del pubblico ministero. 2. Se vi è pericolo che le cose, le tracce e i luoghi indicati nel comma 1 si alterino o si disperdano o comunque si modifichino e il pubblico ministero non può intervenire tempestivamente, ovvero non ha ancora assunto la direzione delle indagini, gli ufficiali di polizia giudiziaria compiono i necessari accertamenti e rilievi sullo stato dei luoghi e delle cose. In relazione ai dati, alle informazioni e ai programmi informatici o ai sistemi informatici o telematici, gli ufficiali della polizia giudiziaria adottano, altresì, le misure tecniche o impartiscono le prescrizioni necessarie ad assicurarne la conservazione e ad impedirne l alterazione e l accesso e provvedono, ove possibile, alla loro immediata duplicazione su adeguati supporti, mediante una procedura che assicuri la conformità della copia all originale e la sua immodificabilità. Se del caso, sequestrano il corpo del reato e le cose a questo pertinenti. 151

143 Ispezione ex art 246 cpp e ss. Il computer, e non solo quello ovviamente, può assumere la veste di mero contenitore della prova del crimine, ad esempio può immagazzinare il piano di una rapina o le mail intercorse tra i complici. In tal caso non sarà necessaria un azione di sequestro, ma potrà essere operata in contraddittorio una semplice masterizzazione delle tracce pertinenti al reato, con lo strumento di polizia giudiziaria più appropriato, come ad esempio un ispezione delegata ex art. 246 cpp. 152

144 Acquisizione Ecco a voi Mr. BBThumbs.dat 153

145 Acquisizione 154

146 Analisi 155

147 Analisi Ecco a voi Mr. BBThumbs.dat BBThumbs.dat è in STORE/home/user/ (multimedia directories) e nella memorycard. SDCard/BlackBerry/(multimedia directories) Se vi capita un BlackBerry (pre OS 5) e qualcuno vi dice di recuperare tutti i file, ma non tutti sono recuperabili o vanno confrontati con un backup ecco che bbthumbs.dat ci viene d aiuto. 156

148 Analisi Ecco a voi Mr. BBThumbs.dat Per le immagini si comporta come thumbs.db, per le note vocali come solo file name e timestamps Se non posso fare un dump fisico del telefono, però bbthumbs (hidden file) nel dump logico c è e mi fa da spione. 157

149 Analisi Ecco a voi Mr. BBThumbs.dat Ma chi dice che è un file che cascia tutto? Un po il forum della BlackBerry, ma anche il confronto con altri. Inoltre becco il BBT.py, tool in python che realizza un timestamp in GMT+0 corretto, (All times for thumbnails are expressed in device local time regardless of the time zone ), ma con l attributo l (--local), mi dava un GMT+1, ma io a Luglio sono in GMT+2.facciamolo presente all autore, che modifica il tool col Device Time eliminando (GMT e Local). 158

150 Analisi Ecco a voi Mr. BBThumbs.dat Infatti il BB OS memorizza su Fat16 col device time e non in GMT+0 e le primitive Python prendevano il tempo as is non adeguandolo al time della macchina che sta analizzando. Anche DCode, prendendo il byte del bbthumbs.dat col timestamps, fornisce il timestamp esatto solo se in UTC+0, perché in sostanza, questi software prendono il tempo dai bytes e non sanno come son stati scritti, con che aggiustamento temporale o in GMT+0 159

151 Ecco a voi Mr. BBThumbs.dat 160

152 Analisi Ecco a voi Mr. BBThumbs.dat Per chi non ha letto nella slide precedente: Change Log: + 0.5b - Fixed an issue with how timestamps are handled (thanks to for pointing this out) by Sheran Gunasekera https://github.com/sheran/bbt e ringrazio anche Shafik Punja 161

153 Analisi BBT.py in action! 162

154 Analisi Ecco a voi Mr. BBThumbs.dat Prendere i primi 8 bytes dopo il nome file, convertirli in decimale e poi darli a DCode e scegliere UNIX time milliseconds. UTC+0 (che non c entra, perché cmq lui prende il device time) 163

155 Analisi BBThumbs.dat visto in esadecimale, timestamps 8 bytes dopo il nome file 164

156 Analisi convertirli in decimale e poi darli a DCode 165

157 Analisi il numero decimale va messo in 13 cifre (aggiungiamo 000 alla fine), per avere le corrette conversioni in Hex 166

158 Lo strano caso di McAfee EE * Acquisiamo più hard disk * Chiediamo se ci sono password e ce le forniscono * Chiediamo se ci sono programmi di criptazione e ci rispondo di No/Bho/Cosa sono? * Controlliamo a campione e le immagini dei dischi acquisiti si montano, quindi sono in chiaro. 167

159 Lo strano caso di McAfee EE * Arriviamo in laboratorio ed un immagine non si monta! * Controlliamo con MMLS e editor HEX e notiamo che il disco è criptato. * Virtualizziamo l immagine. * Ci appare la richiesta di password di Mr. McAfee Endpoint Encryption 168

160 Lo strano caso di McAfee EE 169

161 Lo strano caso di McAfee EE Dopodichè nonostante la username e la password fossero giuste: 170

162 Lo strano caso di McAfee EE Creare un BartPe Live CD-Rom, che sarebbe un CD avviabile basato sul sistema operativo Windows, nel quale è possibile inserire un plugin (programma) specifico per decrittare i dischi criptati con McAfee Encryption Endpoint, ossia il Wintech Safeboot scaricato liberamente al seguente indirizzo: https://kc.mcafee.com/resources/sites/mcafee/content/live/ CORP_KNOWLEDGEBASE/66000/KB66802/en_US/Wintec h_ _plugin.zip 171

163 172

164 Lo strano caso di McAfee EE Si procede a creare un disco in formato VDI per VirtualBox partendo dal formato raw (bit a bit) delle copie effettuate: sudo VBoxManage internalcommands convertdd file.dd file.vdi In seguito si imposta la macchina virtuale su VirtualBox, sul singolo disco criptato e si fa partire la suddetta macchina virtuale dalla ISO (immagine del cd-rom BartPe) del BartPe. 173

165 Lo strano caso di McAfee EE Al termine del boot del cd-rom BartPe si imposta la data al 16/11/20XX nel sistema live così da poter inserire l Authorise Code: 1234, codice giornaliero, da menù Wintech ed autenticarsi con Authenticate with SBFS, in seguito inserire la password fornitaci e si procede alla decrittazione del disco. Si conclude riconvertendo il file VDI in file DD (raw) tramite il comando: sudo VBoxManage internalcommands converttoraw file.vdi file.dd IT S A KIND OF MAGIC ;-) 174

166 CONDIVISIONE Sulla mailing list CFI qualcuno chiede come montare un file system MTP. FDISK ed MMLS non danno risultati. L'immagine del disco è di un lettore multimediale 175

167 CONDIVISIONE MTP: un protocollo di trasmissione dei dati, non un filesystem. L' MTP (Media Transfer Protocol) è un set di estensioni del PTP (Picture Transfer Protocol) creato da Microsoft, per consentire l'uso di lettori MP3, macchine fotografiche digitali e altri dispositivi digitali portatili. 176

168 CONDIVISIONE RICHIEDO L'OUTPUT DI xxd -l 512 disco.dd Ed ottengo: 1) fsstat: cannot determine file system type 2) segue output dei primi byte della partizione: d42 4c4b a d e f 0000 a * fff ffff * Ecc. ecc. Non ho info perchè non mi ha passato la parte ASCII. Quindi provvedo da solo

169 CONDIVISIONE Ricavo le stringhe: MBLK, minif, cfs ASK TO GOOGLE! 178

170 CONDIVISIONE Non ho info perchè non mi ha passato la parte ASCII. Quindi provvedo da solo

171 CONDIVISIONE Sempre grazie all'amico GOOGLE trovo il seguente link: https://gist.github.com/ Che porta ad uno script in python chiamato zenrecovery.py che permetterà al nostro amico di montare l'immagine del lettore multimediale e verificare i file in esso contenuti! 180

172 Strange facts Skype chat Usiamo SkypeLogViewer (Nirsoft) per leggere il contenuto del file main.db e visualizziamo le chat e le chiamate. Ma nella sottocartella /chatsync c'è dell'altro... I file.dat, che a volte possono contenere vecchie chat non più presenti nel main.db...contro ogni specifica Skype!!!! 181

173 Strange facts IPod/IPhone Timestamps Il filesystem HFS+ salva i timestamps in formato UTC/GMT Absolute time, insomma calcola il numero di secondi passati dal 01/01/ :00:00 al tempo attuale sul meridiano di Greenwich. Ma quando IOS scrive questo tipo di Timestamp all'interno delle plist, abbiamo che lo calcola sul local time del dispositivo, quindi comprendendo il fuso orario + il DST (Daylight Time Saving). 182

174 Analisi L ANALISI FISICA L analisi fisica comporta l identificazione ed il recupero dei dati su tutto il drive fisico non considerando il file system, quindi senza alcun organizzazione logica. I metodi applicabili sono: keyword searching, file carving ed estrazione delle tabelle di partizione e dello spazio inutilizzato sul drive fisico. Questo tipo di ricerca ed estrazione hanno delle limitazioni, perché l informazione non è organizzata dal file system, quindi i dati allocati in settori non contigui diventano veramente difficili da trovare, se non impossibili. Dice Brian Carrier, (creatore di Sleuthkit ed Autopsy), che questa tipologia (sector by sector) di ricerca va utilizzata per casi MOLTO importanti e se pensiamo di applicarla, anche solo ad un hard disk di 10Gb, ecco i tempi che ci vorrebbero: 10 GB = 20,971,520 sectors 5 sec / sector > 3 anni (senza interruzione) 184

175 Analisi LO SAPEVATE CHE? 185

176 Analisi I TimeStamps nell NTFS: From:http://computer-forensics.sans.org/blog/2010/11/02/digitalforensics-time-stamp-manipulation 186

177 Analisi Creare un tool per le proprie esigenze: Trovare i file duplicati #!/bin/bash DIR="folder" # File's Folder OUT="filetmp.txt" # File output hash md5sum $DIR/* > $OUT echo "Uniq" awk '!x[$1]++' FS=" " $OUT echo "Duplicate" awk 'x[$1]++' FS=" " $OUT 187

178 Analisi Creare un tool per le proprie esigenze: Estrarre gli headers #!bin/bash # MagicFinder.sh by ls > dir.txt echo "Magic numbers" > magic_num.txt for I in $(cat dir.txt) do echo $I >> magic_num.txt xxd -l 20 $I >> magic_num.txt done 188

179 Analisi 189

180 Analisi ffind -f ntfs -o 32 pen2.dd istat -f ntfs -o 32 pen2.dd less file: //$LogFile Using ISTAT we can see the $LogFile $FILE_NAME Attribute Values: metadata: Flags: Hidden, System istat -f ntfs -o 32 pen1.dd less Name: $LogFile <...> Parent MFT Entry: 5 Sequence: 5 $FILE_NAME Attribute Values: Allocated Size: Flags: Hidden, System Actual Size: Name: $LogFile Created: Tue Mar 18 15:05: Parent MFT Entry: 5 Sequence: 5 File Modified: Tue Mar 18 15:05:19 Allocated Size: Actual Size: MFT Modified: Tue Mar 18 15:05:19 Created: Tue Mar 18 15:05: File Modified: Tue Mar 18 15:05:19 Accessed: Tue Mar 18 15:05: MFT Modified: Tue Mar 18 15:05: Accessed: Tue Mar 18 15:05:

181 Analisi I metadati di un file Word, visionati col tasto Proprietà di Windows ci forniscono l orario adeguato al DST attuale e non su quello presente il giorno della creazione del file. L unico modo per avere ora certa è l estrazione dei metadati tramite tool di lettura degli exif: es. exiftool di Phil Harvey 191

182 Analisi Proprietà il 6/Luglio/2011 Proprietà il 6/Gennaio/

Limiti e miti forensi. L'Open Source ci può salvare? BY NANNI BASSETTI

Limiti e miti forensi. L'Open Source ci può salvare? BY NANNI BASSETTI IL FUTURO DELLA DIGITAL FORENSICS Limiti e miti forensi. L'Open Source ci può salvare? BY NANNI BASSETTI Nanni Bassetti 1 INTRODUZIONE ABOUT ME CHI SONO Mi occupo di digital forensics dal 2005/2006, sono

Dettagli

Open Source Digital Forensics. Nanni Bassetti http://www.nannibassetti.com

Open Source Digital Forensics. Nanni Bassetti http://www.nannibassetti.com Open Source Digital Forensics Di www.nannibassetti.com 1 Chi sono Mi occupo di digital forensics dal 2005/2006, project manager di CAINE (distro usata in tutto il mondo) Fondatore di CFI (Computer Forensics

Dettagli

Limiti e miti forensi. L'Open Source ci può salvare? BY NANNI BASSETTI

Limiti e miti forensi. L'Open Source ci può salvare? BY NANNI BASSETTI IL FUTURO DELLA DIGITAL FORENSICS Limiti e miti forensi. L'Open Source ci può salvare? BY NANNI BASSETTI Nanni Bassetti 1 INTRODUZIONE ABOUT ME CHI SONO Mi occupo di digital forensics dal 2005/2006, sono

Dettagli

Digital forensics L ANALISI

Digital forensics L ANALISI Digital forensics È la tipologia di computer forensics che viene effettuata sul supporto da analizzare quando il dispositivo è SPENTO, è dunque necessario acquisire i dati in maniera raw o bit a bit in

Dettagli

LE BASI TECNICHE DELLE INVESTIGAZIONI DIGITALI. Università degli Studi di Milano 23 Novembre 2012 Mattia Epifani mattia.epifani@digital-forensics.

LE BASI TECNICHE DELLE INVESTIGAZIONI DIGITALI. Università degli Studi di Milano 23 Novembre 2012 Mattia Epifani mattia.epifani@digital-forensics. LE BASI TECNICHE DELLE INVESTIGAZINI DIGITALI Università degli Studi di Milano 23 Novembre 2012 Mattia Epifani mattia.epifani@digital-forensics.it Digital Forensics La Digital Forensics (Informatica Forense)

Dettagli

LE BASI TECNICHE DELLE INVESTIGAZIONI DIGITALI. Università degli Studi di Milano 23 Novembre 2012 Mattia Epifani mattia.epifani@digital-forensics.

LE BASI TECNICHE DELLE INVESTIGAZIONI DIGITALI. Università degli Studi di Milano 23 Novembre 2012 Mattia Epifani mattia.epifani@digital-forensics. LE BASI TECNICHE DELLE INVESTIGAZINI DIGITALI Università degli Studi di Milano 23 Novembre 2012 Mattia Epifani mattia.epifani@digital-forensics.it Digital Forensics La Digital Forensics (Informatica Forense)

Dettagli

Forensic Science Overview Parma 15 novembre 2008 - Magg. CC Ing. Marco Mattiucci -

Forensic Science Overview Parma 15 novembre 2008 - Magg. CC Ing. Marco Mattiucci - Raggruppamento Carabinieri Investigazioni Scientifiche Forensic Science Overview Parma 15 novembre 2008 - Magg. CC Ing. Marco Mattiucci - Ordinamento Raggruppamento Carabinieri Investigazioni Scientifiche

Dettagli

Strumenti e Metodi della Computer Forensics

Strumenti e Metodi della Computer Forensics Strumenti e Metodi della Computer Forensics N. Bassetti Abstract. Descriveremo i metodi e gli strumenti usati nella disciplina della digital forensics. Il focus è sul metodo scientifico e le abilità necessarie

Dettagli

Modalità di intervento del Consulente Tecnico

Modalità di intervento del Consulente Tecnico Modalità di intervento del Consulente Tecnico Osservatorio CSIG di Reggio Calabria Corso di Alta Formazione in Diritto dell'informatica IV edizione 1 Il consulente tecnico Il Consulente Tecnico può raccogliere

Dettagli

Marco Giorgi. Palazzo di Giustizia di Torino 30 marzo 2012

Marco Giorgi. Palazzo di Giustizia di Torino 30 marzo 2012 Marco Giorgi Palazzo di Giustizia di Torino 30 marzo 2012 Post mortem (Dopo lo spegnimento del sistema) Si smonta il dispositivo e lo si collega ad un PC dedicato all'acquisizione Live forensics (Direttamente

Dettagli

DIVISIONE DIGITAL & MOBILE FORENSICS. www.pp-analisiforense.it

DIVISIONE DIGITAL & MOBILE FORENSICS. www.pp-analisiforense.it DIVISIONE DIGITAL & MOBILE FORENSICS www.pp-analisiforense.it FEDERAZIONE ITALIANA ISTITUTI INVESTIGAZIONI - INFORMAZIONI - SICUREZZA ASSOCIATO: FEDERPOL Divisione Digital & Mobile Forensics www.pp-analisiforense.it

Dettagli

Live Forensics. Fabio Fulgido Gaetano Rocco Mario Fiore Vitale

Live Forensics. Fabio Fulgido Gaetano Rocco Mario Fiore Vitale Live Forensics Fabio Fulgido Gaetano Rocco Mario Fiore Vitale Sommario Computer Forensics Metodologie forensi Live forensics Distribuzioni DEFT Helix CAINE Analisi Forense dei dati volatili Tipologie di

Dettagli

02/10/2010 ABILITA INFORMATICHE E TELEMATICHE. Introduzione. Excursus Normativo. Digital Forensics (A.A. 2010-2011)

02/10/2010 ABILITA INFORMATICHE E TELEMATICHE. Introduzione. Excursus Normativo. Digital Forensics (A.A. 2010-2011) ABILITA INFORMATICHE E TELEMATICHE Digital Forensics (A.A. 2010-2011) 1 Introduzione La ICT ha pervaso così tanto la Società attuale da produrre significativi impatti a livello economico, sociologico e

Dettagli

Arma dei Carabinieri Raggruppamento CC Investigazioni Scientifiche Reparto Tecnologie Informatiche

Arma dei Carabinieri Raggruppamento CC Investigazioni Scientifiche Reparto Tecnologie Informatiche Arma dei Carabinieri Raggruppamento CC Investigazioni Scientifiche Reparto Tecnologie Informatiche LA SICUREZZA CHE VERRA : scenari futuri e tecnologie emergenti Conferenza Roma, 28 giugno 2012 Sala Conferenze

Dettagli

Sommario. Tesina di Sicurezza su reti EnCase di Artuso Tullio, Carabetta Domenico, De Maio Giovanni. Computer Forensic (1) Computer Forensic (2)

Sommario. Tesina di Sicurezza su reti EnCase di Artuso Tullio, Carabetta Domenico, De Maio Giovanni. Computer Forensic (1) Computer Forensic (2) Sommario Tesina di Sicurezza su reti di Artuso Tullio, Carabetta Domenico, De Maio Giovanni Computer Forensic Capisaldi per una corretta analisi Overview Preview Acquisizione di prove Eliminazione sicura

Dettagli

LA COMPUTER FORENSICS IN CAMERA BIANCA C.F. 2014/2015 ( RECOVERY DATA FROM CHIP E MOBILE FORENSICS)

LA COMPUTER FORENSICS IN CAMERA BIANCA C.F. 2014/2015 ( RECOVERY DATA FROM CHIP E MOBILE FORENSICS) LA COMPUTER FORENSICS IN CAMERA BIANCA C.F. 2014/2015 ( RECOVERY DATA FROM CHIP E MOBILE FORENSICS) Relatori e consulenti esterni: Mr FONTANAROSA Giuseppe Contractor e Founder RDI RECUPERO DATI ITALIA

Dettagli

Guida all installazione degli Hard Disk SATA ed alla configurazione del RAID

Guida all installazione degli Hard Disk SATA ed alla configurazione del RAID Guida all installazione degli Hard Disk SATA ed alla configurazione del RAID 1. Guida all installazione degli Hard Disk SATA...2 1.1 Installazione di Hard disk Serial ATA (SATA)...2 1.2 Creare un dischetto

Dettagli

Guida all installazione degli Hard Disk SATA ed alla configurazione del RAID

Guida all installazione degli Hard Disk SATA ed alla configurazione del RAID Guida all installazione degli Hard Disk SATA ed alla configurazione del RAID 1. Guida all installazione degli Hard Disk SATA... 2 1.1 Installazione di Hard disk Serial ATA (SATA)... 2 1.2 Creare un dischetto

Dettagli

gli smartphone come digital evidence

gli smartphone come digital evidence Dalla computer forensics alla mobile forensics: gli smartphone come digital evidence Security Summit 14 Marzo 2013 Marco Scarito Cosa vedremo Definizione di Digital Forensics e Digital Evidence Identificazione

Dettagli

Digital Forensics Best Practices

Digital Forensics Best Practices Digital Forensics Best Practices Di www.nannibassetti.com http://www.cfitaly.net 1 Definizione La Digital Forensics è la disciplina scientifica che serve per identificare, acquisire ed analizzare una prova

Dettagli

ANALISI FORENSE. irecovery_analisi_forence.indd 1 21/01/14 17:48

ANALISI FORENSE. irecovery_analisi_forence.indd 1 21/01/14 17:48 ANALISI FORENSE irecovery_analisi_forence.indd 1 21/01/14 17:48 COSA è L informatica forense è la scienza che studia l individuazione, la conservazione, la protezione, l estrazione, la documentazione,

Dettagli

Il recupero delle informazioni cancellate o nascoste

Il recupero delle informazioni cancellate o nascoste Il recupero delle informazioni cancellate o nascoste Avv. Edoardo E. Artese Dott. Fabio P. Prolo STUDIO LEGALE FERRARI ARTESE, Via Fontana 2, Milano info@fa-lex.com IL RECUPERO DEI FILE CANCELLATI Perché

Dettagli

Indice generale. Introduzione. Capitolo 1 Panoramica generale... 1. Capitolo 2 Il panorama giuridico italiano... 7

Indice generale. Introduzione. Capitolo 1 Panoramica generale... 1. Capitolo 2 Il panorama giuridico italiano... 7 Introduzione Ringraziamenti...xv...xix Capitolo 1 Panoramica generale... 1 Che cos è la Computer Forensics?... 1 Applicazioni della Computer Forensics... 3 Una metodologia forense... 4 Una filosofia di

Dettagli

LA TECHNOLOGY TRANSFER PRESENTA EOGHAN CASEY COMPUTER FORENSICS WORKSHOP NETWORK FORENSICS WORKSHOP ROMA 13-15 GIUGNO 2011 ROMA 16-17 GIUGNO 2011

LA TECHNOLOGY TRANSFER PRESENTA EOGHAN CASEY COMPUTER FORENSICS WORKSHOP NETWORK FORENSICS WORKSHOP ROMA 13-15 GIUGNO 2011 ROMA 16-17 GIUGNO 2011 LA TECHNOLOGY TRANSFER PRESENTA EOGHAN CASEY COMPUTER FORENSICS NETWORK FORENSICS ROMA 13-15 GIUGNO 2011 ROMA 16-17 GIUGNO 2011 VISCONTI PALACE HOTEL - VIA FEDERICO CESI, 37 info@technologytransfer.it

Dettagli

Interstudio L INGEGNERE NELLE NUVOLE. App, WEB App e Cloud. ing. Sauro Agostini. Architectural & Engineering Software. venerdì 11 ottobre 13

Interstudio L INGEGNERE NELLE NUVOLE. App, WEB App e Cloud. ing. Sauro Agostini. Architectural & Engineering Software. venerdì 11 ottobre 13 Architectural & Engineering Software L INGEGNERE NELLE NUVOLE App, WEB App e Cloud ing. Sauro Agostini Mitterand 1981 Reagan Battaglin Alice IBM PC 5150 Alonso C ERA UNA VOLTA IL DOS Non è una rivoluzione,

Dettagli

Polizia Postale e delle Comunicazioni. INDAGINI DIGITALI Camerino 2 Maggio 2011

Polizia Postale e delle Comunicazioni. INDAGINI DIGITALI Camerino 2 Maggio 2011 INDAGINI DIGITALI Camerino 2 Maggio 2011 Decreto del Ministero dell Interno 30 Marzo 1998 istituisce SERVIZIO POLIZIA POSTALE E DELLE COMUNICAZIONI Coordinamento operativo degli uffici periferici - Compartimenti;

Dettagli

DEFT Linux. Soluzioni al servizio dell operatore informatico forense

DEFT Linux. Soluzioni al servizio dell operatore informatico forense DEFT Linux Soluzioni al servizio dell operatore informatico forense Dott. Stefano Fratepietro stefano@deftlinux.net Creative Commons Attribuzione-Non opere derivate 2.5 Roma, 23 gennaio - ICAA 2010 Computer

Dettagli

Corso: Informatica+ Andrea Cremonini. Lezione del 20/10/2014

Corso: Informatica+ Andrea Cremonini. Lezione del 20/10/2014 Corso: Informatica+ Andrea Cremonini Lezione del 20/10/2014 1 Cosa è un computer? Un elaboratore di dati e immagini Uno smartphone Il decoder di Sky Una console di gioco siamo circondati! andrea.cremon

Dettagli

MODULO 01. Come è fatto un computer

MODULO 01. Come è fatto un computer MODULO 01 Come è fatto un computer MODULO 01 Unità didattica 02 Guardiamo dentro alla scatola: l hardware In questa lezione impareremo: a conoscere le parti che permettono a un computer di elaborare e

Dettagli

Printer Driver. Prima di procedere con l utilizzo del driver stampante, leggere il file Readme. Prima dell utilizzo del software 4-152-267-42(1)

Printer Driver. Prima di procedere con l utilizzo del driver stampante, leggere il file Readme. Prima dell utilizzo del software 4-152-267-42(1) 4-152-267-42(1) Printer Driver Guida per l installazione Questa guida descrive l installazione del driver stampante per Windows 7, Windows Vista, Windows XP e. Prima dell utilizzo del software Prima di

Dettagli

INFORMATION TECNOLOGY. a cura di Alessandro Padovani padoale@email.it

INFORMATION TECNOLOGY. a cura di Alessandro Padovani padoale@email.it INFORMATION TECNOLOGY 2 a cura di Alessandro Padovani padoale@email.it LE MEMORIE - 1 MEMORIA CENTRALE (O PRINCIPALE) Da questa memoria l unità centrale estrae i dati che servono per eseguire i programmi

Dettagli

Book 1. Conoscere i computer. Cos'è un dispositivo: Hardware, Software, Sistemi operativi e Applicazioni.

Book 1. Conoscere i computer. Cos'è un dispositivo: Hardware, Software, Sistemi operativi e Applicazioni. Book 1 Conoscere i computer Cos'è un dispositivo: Hardware, Software, Sistemi operativi e Applicazioni. Centro Servizi Regionale Pane e Internet Redazione a cura di Roger Ottani, Grazia Guermandi, Sara

Dettagli

Modulo 1. Concetti di base della Tecnologia dell Informazione ( Parte 1.7) Rielaborazione dal WEB: prof. Claudio Pellegrini - Sondrio

Modulo 1. Concetti di base della Tecnologia dell Informazione ( Parte 1.7) Rielaborazione dal WEB: prof. Claudio Pellegrini - Sondrio Modulo 1 Concetti di base della Tecnologia dell Informazione ( Parte 1.7) Rielaborazione dal WEB: prof. Claudio Pellegrini - Sondrio La sicurezza dei sistemi informatici Tutti i dispositivi di un p.c.

Dettagli

Mobile Forensics. Sistemi Radiomobili GSM ed. IISFA Forum 2009 Bologna, 8 maggio 2009 Magg. CC Ing. Marco Mattiucci

Mobile Forensics. Sistemi Radiomobili GSM ed. IISFA Forum 2009 Bologna, 8 maggio 2009 Magg. CC Ing. Marco Mattiucci IISFA Forum 2009 Mobile Forensics Mobile Forensics Repertamento ed Analisi di Sistemi Radiomobili GSM ed UMTS: la ripetibilità. IISFA Forum 2009 Bologna, 8 maggio 2009 Magg. CC Ing. Marco Mattiucci Mobile

Dettagli

Vs Suite di Encryption

Vs Suite di Encryption Vs Suite di Encryption Introduzione Data at Rest Con il termine Data at Rest si intende qualsiasi tipo di dato, memorizzato in forma di documento elettronico (fogli di calcolo, documenti di testo, ecc.

Dettagli

Le fasi del sequestro

Le fasi del sequestro Le fasi del sequestro Dr. Stefano Fratepietro stefano@yourside.it Contenuti Individuazione il sequestro problematiche frequenti Acquisizione Tecnologie più diffuse Blocker hardware Strumenti software Algoritmi

Dettagli

L ultima versione rilasciata è a pagamento. Il caricamento del CD su un sistema Windows consente di avere a disposizione un ampio campionario di

L ultima versione rilasciata è a pagamento. Il caricamento del CD su un sistema Windows consente di avere a disposizione un ampio campionario di Ordine degli Ingegneri della Provincia di Roma Helix Helix3 è un LiveCD basato su Linux per l Incident Response, l aquisizione dei dischi e dei dati volatili, la ricerca della cronologia di internet e

Dettagli

DI NECESSITÀ, VIRTÙ : APPUNTI PER UNA STRATEGIA GLOBALE AL CONTRASTO DEL CYBERCRIME. L ESPERIENZA DEL POOL REATI INFORMATICI DELLA PROCURA DI MILANO

DI NECESSITÀ, VIRTÙ : APPUNTI PER UNA STRATEGIA GLOBALE AL CONTRASTO DEL CYBERCRIME. L ESPERIENZA DEL POOL REATI INFORMATICI DELLA PROCURA DI MILANO MESSAGGIO DEL PRESIDENTE DI IISFA ITALIA...XIII INTRODUZIONE... XVII CAPITOLO PRIMO DI NECESSITÀ, VIRTÙ : APPUNTI PER UNA STRATEGIA GLOBALE AL CONTRASTO DEL CYBERCRIME. L ESPERIENZA DEL POOL REATI INFORMATICI

Dettagli

Il protocollo FTP (1/3)

Il protocollo FTP (1/3) FTP Server e Client Il protocollo FTP (1/3) Il File Transfer Protocol (FTP) (protocollo di trasferimento file), è un Protocollo per la trasmissione di dati tra host basato su TCP. Un server FTP offre svariate

Dettagli

1) Una periferica di input è: A) il mouse B) il monitor C) la stampante

1) Una periferica di input è: A) il mouse B) il monitor C) la stampante CONOSCENZE DI INFORMATICA 1) Una periferica di input è: A) il mouse B) il monitor C) la stampante 2) Una memoria in sola lettura con la particolarità di essere cancellata in particolari condizioni è detta:

Dettagli

INSTALLARE PALLADIO USB DATA CABLE IN WINDOWS XP/ME/2000/98

INSTALLARE PALLADIO USB DATA CABLE IN WINDOWS XP/ME/2000/98 rev. 1.0-02/2002 Palladio USB Data Cable INSTALLARE PALLADIO USB DATA CABLE IN WINDOWS XP/ME/2000/98 (tutti i KIT, escluso KIT MOTOROLA V6x-T280) La procedura di installazione del Palladio USB Data Cable

Dettagli

Implementazione del File System

Implementazione del File System Implementazione del file system Implementazione del File System Struttura del file system. Realizzazione del file system. Implementazione delle directory. Metodi di allocazione. Gestione dello spazio libero.

Dettagli

Lezione 11. Sistemi operativi. Marco Cesati System Programming Research Group Università degli Studi di Roma Tor Vergata.

Lezione 11. Sistemi operativi. Marco Cesati System Programming Research Group Università degli Studi di Roma Tor Vergata. Lezione 11 system Sistemi operativi 12 maggio 2015 System Programming Research Group Università degli Studi di Roma Tor Vergata SO 15 11.1 Di cosa parliamo in questa lezione? L interfaccia : system 1 Il

Dettagli

KEVIN CARDWELL. Certification ROMA 15-19 GIUGNO 2009 VISCONTI PALACE HOTEL - VIA FEDERICO CESI, 37

KEVIN CARDWELL. Certification ROMA 15-19 GIUGNO 2009 VISCONTI PALACE HOTEL - VIA FEDERICO CESI, 37 LA TECHNOLOGY TRANSFER PRESENTA KEVIN CARDWELL Q/FE (Qualified Forensic Expert) Certification ROMA 15-19 GIUGNO 2009 VISCONTI PALACE HOTEL - VIA FEDERICO CESI, 37 info@technologytransfer.it www.technologytransfer.it

Dettagli

International Information System Forensics Association Italy Chapter. Information Forensics nel nuovo panorama tecnico e normativo italiano

International Information System Forensics Association Italy Chapter. Information Forensics nel nuovo panorama tecnico e normativo italiano International Information System Forensics Association Italy Chapter Information Forensics nel nuovo panorama Slide di: Gerardo Costabile IISFA CIFI ISACA CGEIT e Giuseppe Mazzaraco IISFA CIFI ACFE CFE

Dettagli

Creare una memory stick USB bootable con cui avviare Windows XP

Creare una memory stick USB bootable con cui avviare Windows XP http://www.aprescindere.com Pag. 1 di 12 Creare una memory stick USB bootable con cui avviare Windows XP Creare una memory stick USB bootable con cui avviare Windows XP Perché avere una memory stick bootable

Dettagli

Indice. settembre 2008 Il File System 2

Indice. settembre 2008 Il File System 2 Il File System Indice 4. Il File System 5. Vantaggi del FS 6. Protezione 7. Condivisione 8. I file - 1 9. I file - 2 10. Attributi dei file 11. Directory 12. Livelli di astrazione - 1 13. Livelli di astrazione

Dettagli

Dall acquisizione del materiale alla formazione della prova informatica

Dall acquisizione del materiale alla formazione della prova informatica Dall acquisizione del materiale alla formazione della prova informatica Cosimo Anglano Centro Studi sulla Criminalita Informatica & Dipartimento di Informatica Universita del Piemonte Orientale, Alessandria

Dettagli

Retrospect 7.7 Integrazione della Guida per l'utente

Retrospect 7.7 Integrazione della Guida per l'utente Retrospect 7.7 Integrazione della Guida per l'utente 2011 Retrospect, Inc. Portions 1989-2010 EMC Corporation. Tutti i diritti riservati. Guida per l'utente di Retrospect 7.7, prima edizione. L'uso di

Dettagli

IL COMPUTER. INTRODUZIONE - un po di storia CPU

IL COMPUTER. INTRODUZIONE - un po di storia CPU IL COMPUTER INTRODUZIONE - un po di storia Il computer è una macchina, uno strumento diventato ormai indispensabile nella vita di tutti i giorni per la maggior parte delle persone dei Paesi sviluppati.

Dettagli

MODULO 01. Come è fatto un computer

MODULO 01. Come è fatto un computer MODULO 01 Come è fatto un computer MODULO 01 Unità didattica 02 Guardiamo dentro alla scatola: l hardware In questa lezione impareremo: a conoscere le parti che permettono a un computer di elaborare e

Dettagli

Il Computer. Per capire che cosa è il computer, occorre partire dal concetto di:

Il Computer. Per capire che cosa è il computer, occorre partire dal concetto di: Il Computer Cos'è il computer? Per capire che cosa è il computer, occorre partire dal concetto di: INFORMATICA = INFORmazione automatica E' la scienza che si occupa del trattamento automatico delle informazioni.

Dettagli

CLOUD COMPUTING. Che cos è il Cloud

CLOUD COMPUTING. Che cos è il Cloud CLOUD COMPUTING Che cos è il Cloud Durante la rivoluzione industriale, le imprese che si affacciavano per la prima volta alla produzione dovevano costruirsi in casa l energia che, generata da grandi macchine

Dettagli

DFA Open Day 2014. DEFT come strumento di Incident Response. Paolo Dal Checco. 5 giugno 2014, Università degli Studi di Milano

DFA Open Day 2014. DEFT come strumento di Incident Response. Paolo Dal Checco. 5 giugno 2014, Università degli Studi di Milano DFA Open Day 2014! DEFT come strumento di Incident Response! Paolo Dal Checco 5 giugno 2014, Università degli Studi di Milano Incidente Informatico RFC 2350: Expectations for Computer Security Incident

Dettagli

Laboratorio di Amministrazione di Sistema (CT0157) parte A : domande a risposta multipla

Laboratorio di Amministrazione di Sistema (CT0157) parte A : domande a risposta multipla Laboratorio di Amministrazione di Sistema (CT0157) parte A : domande a risposta multipla 1. Which are three reasons a company may choose Linux over Windows as an operating system? (Choose three.)? a) It

Dettagli

Stellar Phoenix Mac Data Recovery 7.0. Guida all'installazione

Stellar Phoenix Mac Data Recovery 7.0. Guida all'installazione Stellar Phoenix Mac Data Recovery 7.0 Guida all'installazione Introduzione Stellar Phoenix Mac Data Recovery v7 è una soluzione completa per tutti i problemi di perdita di dati. La perdita di dati può

Dettagli

Guida all installazione degli Hard Disk SATA ed alla configurazione del RAID

Guida all installazione degli Hard Disk SATA ed alla configurazione del RAID Guida all installazione degli Hard Disk SATA ed alla configurazione del RAID 1. Guida all installazione degli Hard Disk SATA... 2 1.1 Installazione di Hard disk Serial ATA (SATA)... 2 1.2 Creare un dischetto

Dettagli

Investigare nel personal computer: le best pratices di digital forensics e la registrazione sonora e visiva degli eventi

Investigare nel personal computer: le best pratices di digital forensics e la registrazione sonora e visiva degli eventi SEMINARIO CORSO DI INFORMATICA GIURIDICA PROF. GIOVANNI ZICCARDI A.A. 2013-2014 Investigare nel personal computer: le best pratices di digital forensics e la registrazione sonora e visiva degli eventi

Dettagli

Guida alla copia dei backup dei giochi xbox360

Guida alla copia dei backup dei giochi xbox360 Guida alla copia dei backup dei giochi xbox360 Questa guida spiega solo come copiare i backup dei giochi, magari perché il gioco non va bene, si blocca e quindi volete ri-copiarlo su un'altra qualità di

Dettagli

Indice generale. Prefazione...xiii. Introduzione...xvii. Struttura del libro...xxi. Ringraziamenti...xxiii. Panoramica generale...

Indice generale. Prefazione...xiii. Introduzione...xvii. Struttura del libro...xxi. Ringraziamenti...xxiii. Panoramica generale... Indice generale Prefazione...xiii Introduzione...xvii I dati non sono più dove ci si aspettava che fossero...xvii Struttura del libro...xxi Requisiti per la lettura...xxi Convenzioni utilizzate nel testo...xxii

Dettagli

Con questo termine si individuano tutti i componenti fisici dei sistemi informatici. Tutto quello che si può toccare è hardware.

Con questo termine si individuano tutti i componenti fisici dei sistemi informatici. Tutto quello che si può toccare è hardware. 2008-10-28 - pagina 1 di 7 Informatica (Informazione Automatica) memorizzare elaborazione trasmissione (telematica) Complessità operazione testo audio immagini video realtà virtuale memorizzare 1 10 100

Dettagli

IL PRIVATE CLOUD DELLA FRIENDS' POWER

IL PRIVATE CLOUD DELLA FRIENDS' POWER IL PRIVATE CLOUD DELLA FRIENDS' POWER Evoluzione al Cloud Computing Condivisione dei lavori Integrazione con Android & iphone Cos è il Cloud: le forme e i vantaggi Durante la rivoluzione industriale, le

Dettagli

roberto.albiero@cnr.it

roberto.albiero@cnr.it 2.2 Gestione dei file 2.2.1 Concetti fondamentali Un file (termine inglese che significa archivio) è un insieme di informazioni codificate ed organizzate come una sequenza di byte; queste informazioni

Dettagli

Elementi hardware di un personal computer desktop 2012

Elementi hardware di un personal computer desktop 2012 IIS Bonfantini Novara -Laboratorio di informatica 2012 Pagina 1 PERSONAL COMPUTER I personal computer sono quelli usati per lavoro d'ufficio o in ambito domestico da un solo utente per volta. Un ulteriore

Dettagli

ThinkVantage Fingerprint Software

ThinkVantage Fingerprint Software ThinkVantage Fingerprint Software 12 2 1First Edition (August 2005) Copyright Lenovo 2005. Portions Copyright International Business Machines Corporation 2005. All rights reserved. U.S. GOVERNMENT USERS

Dettagli

SERVER NAS. Di Louise Jimenez. RELATORE: Julia Totaro REFERENTE TECNICO: Luca Cesana

SERVER NAS. Di Louise Jimenez. RELATORE: Julia Totaro REFERENTE TECNICO: Luca Cesana SERVER NAS Di Louise Jimenez RELATORE: Julia Totaro REFERENTE TECNICO: Luca Cesana Classe III B Operatore Elettronico ID: 110612 Anno scolastico 2014/15 INDICE Introduzione.1 Com è collegato un NAS con

Dettagli

Sistema Operativo Compilatore

Sistema Operativo Compilatore MASTER Information Technology Excellence Road (I.T.E.R.) Sistema Operativo Compilatore Maurizio Palesi Salvatore Serrano Master ITER Informatica di Base Maurizio Palesi, Salvatore Serrano 1 Il Sistema

Dettagli

jt - joetex - percorsi didattici

jt - joetex - percorsi didattici jt - joetex - percorsi didattici Primi passi con linux Avvio della macchina Spegnere (o riavviare) il Computer Installare su HD il programma Linux EduKnoppix a. Avvio della macchina Una volta spento il

Dettagli

Security by Virtualization

Security by Virtualization Metro Olografix Hacking Party Security by Virtualization 19 Maggio 2007 Pescara Marco Balduzzi Le ragioni della sfida I convenzionali meccanismi di protezione vengono alterati ed evasi

Dettagli

ipod Touch & iphone Forensics Giovanni Mastroianni Luisa Siniscalchi Domenico Voto

ipod Touch & iphone Forensics Giovanni Mastroianni Luisa Siniscalchi Domenico Voto ipod Touch & iphone Forensics Giovanni Mastroianni Luisa Siniscalchi Domenico Voto Indice Dispositivi ios Panoramica Software Architettura ed evoluzione Sicurezza Analisi Forense Analisi Logica Analisi

Dettagli

Introduzione Kerberos. Orazio Battaglia

Introduzione Kerberos. Orazio Battaglia Orazio Battaglia Il protocollo Kerberos è stato sviluppato dal MIT (Massachusetts Institute of Tecnology) Iniziato a sviluppare negli anni 80 è stato rilasciato come Open Source nel 1987 ed è diventato

Dettagli

DataTraveler Locker+ Il DataTraveler Locker+ è conforme allo standard di

DataTraveler Locker+ Il DataTraveler Locker+ è conforme allo standard di DataTraveler Locker+ Questa guida all uso costituisce un utile supporto per gli utenti dell applicazione di sicurezza DataTraveler Locker+. Per ottenere ulteriore supporto, visitate il nostro sito di supporto

Dettagli

Corso di Informatica Modulo L2 2-Installazione

Corso di Informatica Modulo L2 2-Installazione Corso di Informatica Modulo L2 2-Installazione 1 Prerequisiti Uso pratico elementare di un sistema operativo Concetto di macchina virtuale Scaricare e installare software 2 1 Introduzione Sebbene le istruzioni

Dettagli

Co o Fo z on - Mo ulo A nz o f l g l. 05 ong T S o g. G n l on z on o l o u n o g l. o 9. - 8. An D C l. A olo Vi P n no, 9 - il no

Co o Fo z on - Mo ulo A nz o f l g l. 05 ong T S o g. G n l on z on o l o u n o g l. o 9. - 8. An D C l. A olo Vi P n no, 9 - il no Co o Fo z on - Mo ulo A nz o f l g l 05 ong T S o g o 9. - 8. A olo Vi P n no, 9 - il no G n l on z on o l o u n o g l An D C l Indice dell intervento Analisi del problema Tipi di tecnologie possibili

Dettagli

Architettura del Personal Computer AUGUSTO GROSSI

Architettura del Personal Computer AUGUSTO GROSSI Il CASE o CABINET è il contenitore in cui vengono montati la scheda scheda madre, uno o più dischi rigidi, la scheda video, la scheda audio e tutti gli altri dispositivi hardware necessari per il funzionamento.

Dettagli

1) Introduzione ai sistemi operativi (O.S.=operative system)

1) Introduzione ai sistemi operativi (O.S.=operative system) 1) Introduzione ai sistemi operativi (O.S.=operative system) Sistema Operativo: è un componente del software di base di un computer che gestisce le risorse hardware e software, fornendo al tempo stesso

Dettagli

Cosa devo fare? Capitolo Pagina Prima della sostituzione. Ho caricato tutti i dati archiviati di Outlook (.pst) che sono necessari 3.

Cosa devo fare? Capitolo Pagina Prima della sostituzione. Ho caricato tutti i dati archiviati di Outlook (.pst) che sono necessari 3. GWP W7 User Guide 04.04.2013 Validità per il rollout con 20.06.2013 Modifiche per Client LifeCycle Lista di controllo Nome computer Data migrazione Eseguito da Data sostituzione HW Cosa devo fare? Capitolo

Dettagli

Il tuo manuale d'uso. SONY VAIO VGN-NS12M http://it.yourpdfguides.com/dref/3764073

Il tuo manuale d'uso. SONY VAIO VGN-NS12M http://it.yourpdfguides.com/dref/3764073 Può anche leggere le raccomandazioni fatte nel manuale d uso, nel manuale tecnico o nella guida di installazione di SONY VAIO VGN-NS12M. Troverà le risposte a tutte sue domande sul manuale d'uso (informazioni,

Dettagli

Computer Forensics nel nuovo panorama tecnico investigativo italiano

Computer Forensics nel nuovo panorama tecnico investigativo italiano Computer Forensics nel nuovo panorama tecnico investigativo italiano a cura di Massimiliano Graziani CIFI CFE ACE OPSA Board of Directors IISFA Italian Chapter Senior Security Consultant Visiant Security

Dettagli

Born T Develop. VICOLO ANDREA GLORIA, 1 PADOVA 35132 TELEFONO: 049 2023938 EMAIL: info@borntodevelop.com

Born T Develop. VICOLO ANDREA GLORIA, 1 PADOVA 35132 TELEFONO: 049 2023938 EMAIL: info@borntodevelop.com Born T Develop VICOLO ANDREA GLORIA, 1 PADOVA 35132 TELEFONO: 049 2023938 EMAIL: info@borntodevelop.com ARGOMENTI TRATTATI Hardware Comprendere il termine hardware Comprendere cosa è un personal computer

Dettagli

L organizzazione dei dati

L organizzazione dei dati L organizzazione dei dati Directory In informatica, una directory (chiamata anche cartella, folder o direttorio), è un entità nel file system che contiene un gruppo di file e altre directory. Il termine

Dettagli

UFED Physical Analyzer

UFED Physical Analyzer UFED Physical Analyzer Nuovissimo servizio di acquisizione Forense di Cellulari, IPHONE, BlackBerry e Palmari. Il servizio di acquisizione ed analisi fisica si colloca in aggiunta al servizio di acquisizione

Dettagli

Guida all installazione degli Hard Disk SATA ed alla configurazione del RAID

Guida all installazione degli Hard Disk SATA ed alla configurazione del RAID Guida all installazione degli Hard Disk SATA ed alla configurazione del RAID 1. Guida all installazione degli Hard Disk SATA... 2 1.1 Installazione di Hard disk Serial ATA (SATA)... 2 2. Guida alla configurazione

Dettagli

Indice documento. 1. Introduzione 1 1 2 2 2 3 3 3 4 4 4-8 9 9 9 9 10 10-12 13 14 14-15 15 15-16 16-17 17-18 18

Indice documento. 1. Introduzione 1 1 2 2 2 3 3 3 4 4 4-8 9 9 9 9 10 10-12 13 14 14-15 15 15-16 16-17 17-18 18 Indice documento 1. Introduzione a. Il portale web-cloud b. Cloud Drive c. Portale Local-Storage d. Vantaggi e svantaggi del cloud backup del local backup 2. Allacciamento a. CTera C200 b. CTera CloudPlug

Dettagli

Università degli Studi di Genova Facoltà di Ingegneria Elettronica

Università degli Studi di Genova Facoltà di Ingegneria Elettronica Università degli Studi di Genova Facoltà di Ingegneria Elettronica Analisi e Recupero Dati da Hard Disk in ambito Forense e studio delle metodologie con strumenti Hardware e Software Relatore: Chiar.mo

Dettagli

Crittografia. Crittografia Definizione. Sicurezza e qualità dei servizi su internet. 2009 Università degli Studi di Pavia, C.

Crittografia. Crittografia Definizione. Sicurezza e qualità dei servizi su internet. 2009 Università degli Studi di Pavia, C. Definizione La crittografia è la scienza che utilizza algoritmi matematici per cifrare e decifrare i dati. La criptoanalisi è la scienza che analizza e decifra i dati crittografati senza conoscerne a priori

Dettagli

Tracciabilità delle operazioni in rete e network forensics

Tracciabilità delle operazioni in rete e network forensics Tracciabilità delle operazioni in rete e network forensics Diritto e Nuove Tecnologie Campus 4 giugno 2011 www.vincenzocalabro.it 1 Premessa Siamo ormai arrivati a quello che Mark Weiser nel lontanissimo

Dettagli

PROGRAMMA FORMATIVO: ARCHITETTURA DEI COMPUTERS, PERIFERICHE, SOFTWARE APPLICATIVO, SISTEMI OPERATIVI, INTERNET E SERVIZI, WEB, RETI DI COMPUTER

PROGRAMMA FORMATIVO: ARCHITETTURA DEI COMPUTERS, PERIFERICHE, SOFTWARE APPLICATIVO, SISTEMI OPERATIVI, INTERNET E SERVIZI, WEB, RETI DI COMPUTER PROGRAMMA FORMATIVO: ARCHITETTURA DEI COMPUTERS, PERIFERICHE, SOFTWARE APPLICATIVO, SISTEMI OPERATIVI, INTERNET E SERVIZI, WEB, RETI DI COMPUTER Architettura dei calcolatori (hardware e software base )

Dettagli

EW1015 R3 Convertitore USB-IDE/SATA 1 ITALIANO

EW1015 R3 Convertitore USB-IDE/SATA 1 ITALIANO EW1015 R3 Convertitore USB-IDE/SATA 1 ITALIANO 2 ITALIANO EW1015 R3 - Convertitore USB-IDE/SATA Contenuti 1.0 Introduzione... 2 1.1 Funzioni e caratteristiche... 2 1.2 Contenuto della confezione... 3 1.3

Dettagli

Formazione e Apprendimento in Rete Open source. Il cloud computing. Dropbox e Google Drive ambienti di condivisione e collaborazione

Formazione e Apprendimento in Rete Open source. Il cloud computing. Dropbox e Google Drive ambienti di condivisione e collaborazione Formazione e Apprendimento in Rete Open source Il cloud computing Dropbox e Google Drive ambienti di condivisione e collaborazione Formazione insegnanti Generazione Web Lombardia Il Cloud, metafora per

Dettagli

Appunti di informatica. Lezione 6 anno accademico 2015-2016 Mario Verdicchio

Appunti di informatica. Lezione 6 anno accademico 2015-2016 Mario Verdicchio Appunti di informatica Lezione 6 anno accademico 2015-2016 Mario Verdicchio RAM disco La RAM è basata su dispositivi elettronici, che funzionano con tempi molto rapidi, ma che necessitano di alimentazione

Dettagli

Telecomando Programmabile da PC Manuale d Uso (Modalità USB)

Telecomando Programmabile da PC Manuale d Uso (Modalità USB) Telecomando Programmabile da PC Manuale d Uso (Modalità USB) Guida Rapida Primo Passo Preparare il telecomando programmabile installando 3 batterie tipo AAA. (Quando lo si connette al PC togliere le batterie)

Dettagli

Internet. Cos è Il Web La posta elettronica. www.vincenzocalabro.it 1

Internet. Cos è Il Web La posta elettronica. www.vincenzocalabro.it 1 Internet Cos è Il Web La posta elettronica www.vincenzocalabro.it 1 Cos è E una RETE di RETI, pubblica. Non è una rete di calcolatori. I computer che si collegano ad Internet, devono prima essere collegati

Dettagli

sdforexcontest2009 Tool

sdforexcontest2009 Tool sdforexcontest2009 Tool Guida all istallazione e rimozione. Per scaricare il tool del campionato occorre visitare il sito dell organizzatore http://www.sdstudiodainesi.com e selezionare il link ForexContest

Dettagli

Manuale Utente. Contents. Your journey, Our technology. 6. Come aggiornare le mappe 6. 1. Introduzione 2. 2. Installazione di Geosat Suite 2

Manuale Utente. Contents. Your journey, Our technology. 6. Come aggiornare le mappe 6. 1. Introduzione 2. 2. Installazione di Geosat Suite 2 Manuale Utente Contents 1. Introduzione 2 2. Installazione di Geosat Suite 2 3. Prima connessione 2 4. Operazioni Base 3 4.1 Come avviare la Suite 3 4.2 Come chiudere la Suite 4 4.3 Come cambiare la lingua

Dettagli

FAQ Dell Latitude ON Flash

FAQ Dell Latitude ON Flash FAQ Dell Latitude ON Flash 1. Tutti i computer Dell supportano Latitude ON Flash? No, Latitude ON Flash attualmente è disponibile sono sui seguenti computer Dell: Dell Latitude E4200 Dell Latitude E4300

Dettagli

informatica 30 maggio 2011

informatica 30 maggio 2011 L informatica Forense: profili critici i della prova informatica 30 maggio 2011 volatilità modificabilità alterabilità Nuove Reti e nuovi strumenti Legge n. 48 del 2008 Ratifica della convenzione di Budapest

Dettagli