Le fasi del sequestro



Похожие документы
Marco Giorgi. Palazzo di Giustizia di Torino 30 marzo 2012

Analisi forense di un sistema informatico

SISTEMI DI ELABORAZIONE DELLE INFORMAZIONI

Informatica Forense TECNICHE DI TRATTAMENTO DEI REPERTI INFORMATICI.

Architettura dei computer

Modalità di intervento del Consulente Tecnico

Il Software. Il software del PC. Il BIOS

Software relazione. Software di base Software applicativo. Hardware. Bios. Sistema operativo. Programmi applicativi

DEFT Linux e la Computer Forensics. Stefano Fratepietro

Procedure di utilizzo e di descrizione applicativa

ANALISI FORENSE. irecovery_analisi_forence.indd 1 21/01/14 17:48

Case study e tecniche di intervento nello spionaggio industriale. Stefano Fratepietro e Litiano Piccin

Comunicazioni sicure su Internet: https e SSL. Fisica dell Informazione

La Firma Digitale La sperimentazione nel Comune di Cuneo. Pier Angelo Mariani Settore Elaborazione Dati Comune di Cuneo

Quasar Sistemi S.r.l.

RETI DI CALCOLATORI. Crittografia. La crittografia

Elementi probatori negli illeciti

Archivi e database. Prof. Michele Batocchi A.S. 2013/2014

Identità e autenticazione

Gennaio. SUAP On Line i pre-requsiti informatici: La firma digitale

Dispensa di Informatica I.1

Introduzione. Corso di Informatica giuridica (corso propedeutico) Facoltà di Giurisprudenza LIUC

CONCETTI BASE dell'informatica Cose che non si possono non sapere!

Capitolo Silberschatz

Virus informatici Approfondimenti tecnici per giuristi

Software di base. Corso di Fondamenti di Informatica

Università degli Studi di Genova Facoltà di Ingegneria Elettronica

Nozioni di Informatica di base. dott. Andrea Mazzini

Programmazione in Java e gestione della grafica (I modulo) Lezione 1: Presentazione corso

I componenti di un Sistema di elaborazione. Memoria centrale. È costituita da una serie di CHIP disposti su una scheda elettronica

MODULO 01. Come è fatto un computer

DEFT Linux. Soluzioni al servizio dell operatore informatico forense

Introduzione alla programmazione in C

Funzioni in C. Violetta Lonati

FAW Forensics Acquisition of Website

Informatica - A.A. 2010/11

Il computer: un grande amico!

La CASSAFORTE DIGITALE per

ISIS C.Facchinetti Sede: via Azimonti, Castellanza Modulo Gestione Qualità UNI EN ISO 9001 : 2008

IRSplit. Istruzioni d uso 07/10-01 PC

Informatica Generale

Firma Digitale. dott. Andrea Mazzini

MANUALE MOODLE STUDENTI. Accesso al Materiale Didattico

INFORMATICA, IT e ICT

NOZIONI ELEMENTARI DI HARDWARE E SOFTWARE

1.4b: Hardware. (Memoria Centrale)

Sommario. Tesina di Sicurezza su reti EnCase di Artuso Tullio, Carabetta Domenico, De Maio Giovanni. Computer Forensic (1) Computer Forensic (2)

Sicurezza e rispetto della privacy, finalmente non in conflitto.

Sistemi Operativi IMPLEMENTAZIONE DEL FILE SYSTEM. D. Talia - UNICAL. Sistemi Operativi 9.1

Consiglio regionale della Toscana. Regole per il corretto funzionamento della posta elettronica

LABORATORIO DI SISTEMI

Corso in Computer Digital Forensics (Esperto in Investigazioni Digitali) Certificazione EC- Council inclusa!

Scheda di approfondimento gioco I pixel

Strutturazione logica dei dati: i file

Il computer: primi elementi

La firma digitale CHE COSA E'?

Introduzione alla teoria dei database relazionali. Come progettare un database

GLOSSARIO/DEFINIZIONI

12. Implementazione di un File System Struttura a livelli Allocazione contigua

gestione e modifica di immagini fotografiche digitali

La Firma Grafometrica (la firma apposta su tablet con una particolare penna) è ammessa e anzi favorita dalla normativa vigente, ed in particolare:

Informatica 1 Lezione 1

COMPUTER FORENSICS ELEMENTI BASE E METODOLOGIA DI INVESTIGAZIONE DIGITALE. Roberto Obialero GCFA, GCFW, SSP-GHD

C. P. U. MEMORIA CENTRALE

Sistemi Operativi IMPLEMENTAZIONE DEL FILE SYSTEM. Implementazione del File System. Struttura del File System. Implementazione

HARDWARE. Relazione di Informatica

Linux e Open Source: Libero! Non "gratis"...

Sistemi Operativi. Interfaccia del File System FILE SYSTEM : INTERFACCIA. Concetto di File. Metodi di Accesso. Struttura delle Directory

Visual basic base Lezione 01. L'ambiente di sviluppo

La firma digitale e le sue possibili applicazioni

GLOSSARIO/DEFINIZIONI

Informatica. Il software (S.O.) e ancora sulle basi numeriche

Database. Si ringrazia Marco Bertini per le slides

ISTITUTO COMPRENSIVO ENEA TALPINO Nembro. Curricolo verticale COMPETENZE DIGITALI

La soluzione software per Avvocati e Studi legali

Cosa è un foglio elettronico

Materiali per il modulo 1 ECDL. Autore: M. Lanino

Unità di Misura Informatiche

Excel. A cura di Luigi Labonia. luigi.lab@libero.it

Box Backup. Backup criptato incrementale. Francesco Versaci. 15 novembre 2007 Montebelluna. Montebelluna Linux User Group

Concetti fondamentali della Tecnologia Dell informazione Parte prima

Comunità della Val di Non La Firma Digitale

Sistema operativo: Gestione della memoria

Elementi di informatica

La Firma Digitale. Manuale d uso Fornitore. Introduzione alla Firma Digitale. Aprile 2015

All interno del computer si possono individuare 5 componenti principali: SCHEDA MADRE. MICROPROCESSORE che contiene la CPU MEMORIA RAM MEMORIA ROM

Corso di Basi di Dati e Conoscenza

Protezione. Protezione. Protezione. Obiettivi della protezione

Il Personal Computer. Cos è Lo schema di massima Che cosa ci possiamo fare. 1

COME E COMPOSTO IL PC -

BASI DI DATI per la gestione dell informazione. Angelo Chianese Vincenzo Moscato Antonio Picariello Lucio Sansone

Транскрипт:

Le fasi del sequestro Dr. Stefano Fratepietro stefano@yourside.it Contenuti Individuazione il sequestro problematiche frequenti Acquisizione Tecnologie più diffuse Blocker hardware Strumenti software Algoritmi di hashing Dr. Stefano Fratepietro - Creative Commons License steve.yourside.it 2

Organizzazione della giornata Quattro ore teoriche con approfondimenti introduttivi tecnico forensi Quattro ore pratichè di attività informatico forense in laboratorio Fate domande! Dr. Stefano Fratepietro - Creative Commons License steve.yourside.it 3 Una definizione essenziale L informatica forense è la disciplina che concerne le attività di individuazione, conservazione, protezione, estrazione, documentazione e ogni altra forma di trattamento e interpretazione del dato memorizzato su supporto informatico, al fine di essere valutato come prova nei processi giudiziari Dr. Stefano Fratepietro - Creative Commons License steve.yourside.it 4

Le 4 fasi del trattamento del reperto informatico Individuazione Acquisizione Analisi Rappresentazione Dr. Stefano Fratepietro - Creative Commons License steve.yourside.it 5 Individuazione L'individuazione del reperto informatico deve essere esaustiva ed approfondita non potendo riguardare solo supporti informatici Tutto ciò che possa contenere dei dati Non solo computer: centralina di una automobile ad esempio Dr. Stefano Fratepietro - Creative Commons License steve.yourside.it 6

Cosa porre a sequestro Computer Dispositivi di storange comuni (hard disk e penne usb) e non comuni (orologi strani, coltellini svizzeri) Floppy, CD, DVD, HD DVD o Blueray Ipod Macchine fotografiche digitali Console Cellulari, palmari, smarthphone Tutto ciò che possa contenere dati informatici Dr. Stefano Fratepietro - Creative Commons License steve.yourside.it 7 Acquisizione I Insieme delle procedure e dei metodi che permettono di creare una copia fedele del reperto posto a sequestro E' la fase più delicata Se l'acquisizione del reperto risultasse eseguita utilizzando modi non conformi, una controparte potrebbe utilizzare tale argomento per ripudiare il dato acquisito Dr. Stefano Fratepietro - Creative Commons License steve.yourside.it 8

Acquisizione II Secondo le necessità investigative, l'acquisizione può essere effettuata nell'immediatezza dell'intervento in laboratorio attraverso il sequestro giudiziario dei supporti Dr. Stefano Fratepietro - Creative Commons License steve.yourside.it 9 Acquisizione perchè viene eseguita? Per permettere una analisi del reperto senza correre il rischio che i dati vengano alterati Per poter preservare nel tempo i dati acquisiti Comodità Dr. Stefano Fratepietro - Creative Commons License steve.yourside.it 10

Accesso in sola lettura E' fondamentale che le acquisizioni vengano fatte mediante software o sistemi che accedano in sola lettura al dispositivo In Linux è d'obbligo utilizzare il comando mount -t filesystem ro /dev/x /path Esistono dispositivi hardware chiamati Write blocker che proteggono l'accesso in scrittura Dr. Stefano Fratepietro - Creative Commons License steve.yourside.it 11 Write blocker I Dispositivo hardware che permette l'accesso controllato in sola lettura al dispositivo collegato Blocca le scritture indirette del sistema operativo Illude il sistema operativo facendo credere che ha accesso anche in scrittura (ma non è vero) Dr. Stefano Fratepietro - Creative Commons License steve.yourside.it 12

Write blocker II Write blocker USB 2.0 Dr. Stefano Fratepietro - Creative Commons License steve.yourside.it 13 Algoritmi di hashing Sono funzioni che data una sequenza definita di bit restituiscono un valore univoco L'algoritmo restituisce una stringa di numeri e lettere a partire da un qualsiasi flusso di bit di qualsiasi dimensione L'output è detto Digest La lunghezza dei valori di hash varia a seconda degli algoritmi utilizzati L'algoritmo non è invertibile, cioè dal digest non si può ricavare la sequenza di bit Dr. Stefano Fratepietro - Creative Commons License steve.yourside.it 14

Algoritmi utilizzati Md5 (RFC1321) prende in input una stringa di lunghezza arbitraria e ne produce in output un'altra a 128 bit (ovvero con lunghezza fissa di 32 valori esadecimali, indipendentemente dalla stringa di input) Sha1 (RFC3174) prende in input una stringa di lunghezza arbitraria e ne produce in output un'altra a 160 bit (ovvero con lunghezza fissa di 40 valori esadecimali, indipendentemente dalla stringa di input) Dr. Stefano Fratepietro - Creative Commons License steve.yourside.it 15 Collisioni I Non esiste una vera corrispondenza biunivoca tra l'hash e la sequenza di bit Dato che le combinazioni di bit possibili, con dimensione finita maggiore dell'hash, sono più degli hash possibili, ad almeno un hash corrisponderanno più combinazioni possibili Dr. Stefano Fratepietro - Creative Commons License steve.yourside.it 16

Collisioni II Quando due sequenze di bit producono lo stesso hash si parla di collisione La qualità di una funzione di hash è misurata direttamente in base alla difficoltà nell'individuare due testi che generino una collisione. Un singolo gruppo di ricercatori riusci a generare una collisione dimostrando che gli algoritmi SNEFRU, MD2, MD4 ed MD5 non sono sicuri Dr. Stefano Fratepietro - Creative Commons License steve.yourside.it 17 Modalità di acquisizione Acquisizione di dispositivi semplici Si smonta il dispositivo e lo si collega su una postazione atta all'acquisizione Acquisizione on the fly direttamente sul sistema posto ad analisi Acquisizione di dispositivi complessi In caso di sistemi RAID è quasi d'obbligo una acquisizione on the fly direttamente sul sistema posto ad analisi Dr. Stefano Fratepietro - Creative Commons License steve.yourside.it 18

Procedure per l'acquisizione Individuazione del device Assicurarsi di avere accesso in sola lettura al device Calcolo hash del device Acquisizione del device con copia su un altro supporto Calcolo hash della copia del device Verifica degli hash calcolati Dr. Stefano Fratepietro - Creative Commons License steve.yourside.it 19 Acquisizione mediante strumenti open source dd crea una bitstream del device dd_rescue come dd ma più evoluto aimage bitstream compressa EnCase like Dr. Stefano Fratepietro - Creative Commons License steve.yourside.it 20

Scenari strani Scenario realmente accaduto: Acquisizione di un nuovo modello di hard disk appena uscito sul mercato Non esiste ancora un adattatore in commercio per poterlo utilizzare al di fuori dal suo sistema Dr. Stefano Fratepietro - Creative Commons License steve.yourside.it 21 Acquisizione di un dispositivo complesso Hard disk Hitachi con piattina non standard Dr. Stefano Fratepietro - Creative Commons License steve.yourside.it 22

Scenari strani Cosa fare in questi casi? Dr. Stefano Fratepietro - Creative Commons License steve.yourside.it 23 Acquisizione utilizzando sistemi live cd Linux Dr. Stefano Fratepietro - Creative Commons License steve.yourside.it 24

Analisi Riproducibilità delle operazioni eseguite Eseguendo operazioni identiche bisogna ottenere sempre lo stesso risultato Questa caratteristica garantisce che, nella dialettica del processo, qualsiasi rilievo sollevato da una parte in merito ad un reperto informatico possa essere verificato anche dalle altre parti Dr. Stefano Fratepietro - Creative Commons License steve.yourside.it 25 Preservazione Memorizzare l'acquisizione dei dispositivi in supporti non riscrivibili in duplice copia CD DVD Blue ray (nel futuro prossimo) Verbale riassuntivo di consegna totale cd/dvd totale file listato dei comandi eseguiti Dr. Stefano Fratepietro - Creative Commons License steve.yourside.it 26

Verifica post masterizzazione Dopo la masterizzazione eseguire sempre il controllo di masterizzazione corretta Verifica degli hash delle immagini Da eseguire su un computer diverso da quello della masterizzazione Dr. Stefano Fratepietro - Creative Commons License steve.yourside.it 27 Bibliografia La perizia e la consulenza tecnica, Dr. Donato Caccavella CEDAM Elementi di informatica forense, prof. Cesare Maioli - dm.unibo.it/~maioli/docs/fti_informatica_3009.doc Slides del corso di Informatica Forense, Dr. Stefano Fratepietro steve.yourside.it Dr. Stefano Fratepietro - Creative Commons License steve.yourside.it 28

2026 © DocPlayer.it Privacy Policy | Terms of Service | Feed-back