DigitalForensic PDF

Digital Forensic
Alfredo De Santis
Marzo 2011
Sommario
Introduzione
Principi e Metodologie (con aspetti legali)
Tecniche Antiforensi
Indagine forense su sistemi Windows
Alibi Digitale Falso
Sommario
Introduzione
Che cos?
Sorgenti potenziali per evidenza digitale
Digital Forensic: Che cos?
Investigazione ed analisi delle tracce
digitali per trovare evidenza legale
Include identificazione, preservazione,
estrazione, documentazione ed
interpetrazione dellevidenza digitale
trovata
Digital Forensic Science
Una definizione
The use of scientifically derived and proven
methods toward the preservation, collection,
val i dati on, i denti fi cati on, anal ysi s,
i nterpretati on, documentati on and
presentation of digital evidence derived
from digital sources for the purpose of
facilitating or furthering the reconstruction
of events found to be criminal, or helping to
anticipate unauthorized actions shown to be
disruptive to planned operations.
Digital Forensics Research Workshop I, 2001
Complessit analisi
Enorme quantit di raw data, cio
sequenze di bit, da analizzare
Occorrono tool di analisi per
interpetrare i dati ad un livello di
astrazione superiore
Livello di
astrazione
Dati input
Regole
interpretazione
Errore (tool, abilit
investigatore, astrazione,
attaccante che copre tracce)
Dati output
Universo digitale in espansione
Nel 2006 informazione digitale creata e catturata
nel mondo
161 exabyte
Exabyte = 1.024 petabytes = 1.073.741.824 gigabytes
Tra 2006 e 2010 crescita da 161 a 988
Alcune stime:
Numero email mailbox da 253 milioni nel 1998 a 1,6
miliardi nel 2006, con traffico di 6 exabyte
Numero di immagini catturate da macchine fotografiche
150 miliardi e da cellulari 100 miliardi (500 nel 2010)

Studio IDC ed EMC, 2007
Utenti Internet nel mondo
Evidenza digitale in device elettroniche
Computer
Device per controllo accessi
Telefoni e Segreterie telefoniche
Fotocamere e videocamere digitali
Hard Drive
Memory Card
Modem
Componenti Rete
Stampanti
Device Storage
Scanner
Cellulari
Fotocopiatrici
Skimmer carta di credito
Orologi digitali
Macchine fax
Navigatori GPS
Computer
Hard Drive
Memory Card
Modem
Componenti Rete
Stampanti
Device Storage
Scanner
Cellulari
Fotocopiatrici
Orologi digitali
Macchine fax
Navigatori GPS
File creati da utente
File in chiaro (immagini, video,
audio, calendari, rubriche, attivit
Internet, documenti, email, )
File protetti da utente
Cifrati, nascosti, Steganografia
Sistema operativo
Backup, file configurazione,
cookie, history, log file, file
sistema, file temporanei, swap file
Altro
File cancellati, metadati,
partizioni, slack space, data,
tempo e password,
Computer
Hard Drive
Memory Card
Modem
Componenti Rete
Stampanti
Device Storage
Scanner
Cellulari
Fotocopiatrici
Orologi digitali
Macchine fax
Navigatori GPS
Smart Card
Dongle
Scanner biometrici
Computer
Hard Drive
Memory Card
Modem
Componenti Rete
Stampanti
Device Storage
Scanner
Cellulari
Fotocopiatrici
Orologi digitali
Macchine fax
Navigatori GPS
Messaggi
Messaggi cancellati
Numeri chiamati
Numeri chiamanti (caller identification information)
Ultimo numero chiamato
Rubrica
Computer
Hard Drive
Memory Card
Modem
Componenti Rete
Stampanti
Device Storage
Scanner
Cellulari
Fotocopiatrici
Orologi digitali
Macchine fax
Navigatori GPS
Immagini
Video
Time stamp
Memoria rimovibile
Geolocalizzazione
Computer
Hard Drive
Memory Card
Modem
Componenti Rete
Stampanti
Device Storage
Scanner
Cellulari
Fotocopiatrici
Orologi digitali
Macchine fax
Navigatori GPS
Come per Computer
Computer
Hard Drive
Memory Card
Modem
Componenti Rete
Stampanti
Device Storage
Scanner
Cellulari
Fotocopiatrici
Orologi digitali
Macchine fax
Navigatori GPS
Router, hub, switch,
Server

Computer
Hard Drive
Memory Card
Modem
Componenti Rete
Stampanti
Device Storage
Scanner
Cellulari
Fotocopiatrici
Orologi digitali
Macchine fax
Navigatori GPS
Documenti
Hard drive
File log
Cartuccia inchiostro,
Network identity
Time e date stamp

Computer
Hard Drive
Memory Card
Modem
Componenti Rete
Stampanti
Device Storage
Scanner
Cellulari
Fotocopiatrici
Orologi digitali
Macchine fax
Navigatori GPS
CD
DVD
BR
Vecchie device:
Floppy disk
Nastri

Computer
Hard Drive
Memory Card
Modem
Componenti Rete
Stampanti
Device Storage
Scanner
Cellulari
Fotocopiatrici
Orologi digitali
Macchine fax
Navigatori GPS
La stessa device!
Individuazione scanner usato
per pedopornografia,
falsificazione banconote, frodi
con assegni,

Computer
Hard Drive
Memory Card
Modem
Componenti Rete
Stampanti
Device Storage
Scanner
Cellulari
Fotocopiatrici
Orologi digitali
Macchine fax
Navigatori GPS
Rubrica
Calendario
Memo
Caller identification information
Email
Password
Messaggi
Attivit Internet
Immagini, audio, video

Computer
Hard Drive
Memory Card
Modem
Componenti Rete
Stampanti
Device Storage
Scanner
Cellulari
Fotocopiatrici
Orologi digitali
Macchine fax
Navigatori GPS
Documenti in memoria
History
Time e data stamp
Log utilizzo
Computer
Hard Drive
Memory Card
Modem
Componenti Rete
Stampanti
Device Storage
Scanner
Cellulari
Fotocopiatrici
Orologi digitali
Macchine fax
Navigatori GPS
Numero carta di credito
Data scadenza
Nome utente
Indirizzo utente
Computer
Hard Drive
Memory Card
Modem
Componenti Rete
Stampanti
Device Storage
Scanner
Cellulari
Fotocopiatrici
Orologi digitali
Macchine fax
Navigatori GPS
Rubrica
Messaggi
Calendario
Computer
Hard Drive
Memory Card
Modem
Componenti Rete
Stampanti
Device Storage
Scanner
Cellulari
Fotocopiatrici
Orologi digitali
Macchine fax
Navigatori GPS
Documenti in memoria
History
Time e data stamp
Log utilizzo
Numeri telefonici
Computer
Hard Drive
Memory Card
Modem
Componenti Rete
Stampanti
Device Storage
Scanner
Cellulari
Fotocopiatrici
Orologi digitali
Macchine fax
Navigatori GPS
Global Positioning Systems (GPS)

Casa
Destinazioni precedenti
Log
Cronaca giudiziaria recente
Omicidio di Meredith Kercher a Perugia, 1 nov 2007
In primo grado Raffaele Sollecito e Amanda Knox condannati
a 26 e 25 anni di carcere
In corso il processo di appello
Perizie di centinaia di pagine, in estrema sintesi:
Periti difesa: Sollecito ha usato il suo MacBook Pro tutta la
notte in modo continuativo
Polizia postale: lunghe pause nellutilizzo del Mac quella sera,
compatibili con luscita di casa del ragazzo e lomicidio
avvenuto dopo le 23.30
Sollecito ha affermato di aver trascorso al computer la notte del
delitto. Dall'esame del portatile, invece, risultano interazioni con la
macchina alle 18.27, per la visione del film "Il favoloso mondo di
Amelie" (come riferito dall'imputato), una seconda interazione per lo
stesso film alle 21.10, poi nulla fino alle 5.32.
Omicidio di Chiara Poggi a Garlasco
Delitto di Garlasco
Omicidio Chiara Poggi, 13 agosto 2007
Alberto Stasi, fidanzato, sosteneva che
si trovava al computer e lavorava alla
propria tesi di laurea
Assoluzione in primo grado 17 dicembre
2009
Deposito sentenza gup Stefano Vitelli,
marzo 2010 (159 pagine)
Sentenza Garlasco
In data 14 agosto 2007 Stasi Alberto consegnava spontaneamente alla polizia giudiziaria il proprio
computer portatile (marca Compaq).
Da quel momento fino al 29 agosto 2007, quando il reperto informatico veniva consegnato ai
consulenti tecnici del pubblico ministero che procedevano alleffettuazione delle copie forensi dello
stesso, i carabinieri accedevano ripetutamente e scorrettamente (senza lutilizzo, cio delle
necessarie tecniche forensi di indagine) alla quasi totalit del contenuto del computer.
il collegio peritale (ing. Porta e dott. Occhetti) evidenziava che le condotte scorrette di accesso
da parte dei carabinieri hanno determinato la sottrazione di contenuto informativo con riferimento
al personal computer di Alberto Stasi pari al 73,8% dei files visibili (oltre 56.000) con riscontrati
accessi su oltre 39.000 files, interventi di accesso su oltre 1500 files e creazione di oltre 500 files.
Dunque, possiamo dire con certezza che Stasi attivava il proprio personal computer alle ore 9.35
ed eseguiva le seguenti operazioni: accedeva al sistema con la digitazione della propria password;
quindi alle ore 9.38 (circa) visualizzava una prima immagine di natura erotico/pornografica; alle ore
9.39 (circa) una successiva immagine pornografica; alle ore 9.41 (circa) visualizzava due immagini
dello stesso tenore di cui sopra; alle 9.47 (circa) visualizzava unaltra immagine di natura erotico/
pornografica. Bisogna precisare che dalle evidenze riscontrate sul registro di windos alle ore 9.50
vengono aperte delle cartelle; quindi alle ore 9.50 visualizzava una nuova immagine di natura erotica/
pornografica; alle ore 9.57 visualizzava una nuova immagine di natura erotica/pornografica; alle
10.05 apriva la copertina di un filmato hard e poi utilizzava un programma di modifica delle immagini
alle ore 10.07; poi alle 10.17 apriva la tesi.
Da quel momento sono state appunto recuperate le evidenze di unattivit sostanzialmente continua
di videoscrittura sulla tesi di laurea dalle ore 10.17 fino alle ore 12.20 (quando il computer veniva
messo in standby lasciando il file di word aperto).
hup://www.ansa.lL/documenLs/1268730606840_SLn1LnZA_S1ASl.pdf

Legislazione italiana
Procedure per il trattamento delle
evidenze digitali non regolamentato fino al
2008
Legge 18 marzo 2008, n. 48
Ratifica ed esecuzione della Convenzione del
Consiglio d'Europa sulla criminalit informatica,
fatta a Budapest il 23 novembre 2001, e norme
di adeguamento dell'ordinamento interno (GU n.
80 del 4-4-2008 - Supplemento Ordinario n. 79)
http://www.parlamento.it/parlam/leggi/08048l.htm

Testo finale art. 247 (codice procedura penale)
Casi e forme delle perquisizioni.
1. Quando vi fondato motivo di ritenere che taluno occulti sulla
persona il corpo del reato o cose pertinenti al reato, disposta
perquisizione personale. Quando vi fondato motivo di ritenere che
tali cose si trovino in un determinato luogo ovvero che in esso possa
eseguirsi l'arresto dell'imputato o dell'evaso, disposta perquisizione
locale.
1-bis. Quando vi fondato motivo di ritenere che dati, informazioni,
programmi informatici o tracce comunque pertinenti al reato si
trovino in un sistema informatico o telematico, ancorch protetto da
misure di sicurezza, ne disposta la perquisizione, adottando misure
tecniche dirette ad assicurare la conservazione dei dati originali e ad
impedirne lalterazione.
2. La perquisizione disposta con decreto motivato.
3. L'autorit giudiziaria pu procedere personalmente ovvero disporre
che l'atto sia compiuto da ufficiali di polizia giudiziaria delegati con lo
stesso decreto.
Accertamenti urgenti sui luoghi, sulle cose e sulle persone. Sequestro.
1. Gli ufficiali e gli agenti di polizia giudiziaria curano che le tracce e
le cose pertinenti al reato siano conservate e che lo stato dei luoghi e
delle cose non venga mutato prima dell'intervento del pubblico
ministero.
2. Se vi pericolo che le cose, le tracce e i luoghi indicati nel comma 1
si alterino o si disperdano o comunque si modifichino e il pubblico
ministero non pu intervenire tempestivamente, ovvero non ha ancora
assunto la direzione delle indagini, gli ufficiali di polizia giudiziaria
compiono i necessari accertamenti e rilievi sullo stato dei luoghi e
delle cose. In relazione ai dati, alle informazioni e ai programmi
informatici o ai sistemi informatici o telematici, gli ufficiali della
polizia giudiziaria adottano, altres, le misure tecniche o impartiscono
le prescrizioni necessarie ad assicurarne la conservazione e ad
impedirne l'alterazione e l'accesso e provvedono, ove possibile, alla
loro immediata duplicazione su adeguati supporti, mediante una
procedura che assicuri la conformit della copia all'originale e la sua
immodificabilit
Casi e forme delle ispezioni.
1. L'ispezione delle persone, dei luoghi e delle cose
disposta con decreto motivato quando occorre
accertare le tracce e gli altri effetti materiali del
reato.
2. Se il reato non ha lasciato tracce o effetti materiali,
o se questi sono scomparsi o sono stati cancellati o
dispersi, alterati o rimossi, l'autorit giudiziaria
descrive lo stato attuale e, in quanto possibile, verifica
quello preesistente, curando anche di individuare modo,
tempo e cause delle eventuali modificazioni. L'autorit
giudiziaria pu disporre rilievi segnaletici, descrittivi e
fotografici e ogni altra operazione tecnica, anche in
relazione a sistemi informatici o telematici, adottando
misure tecniche dirette ad assicurare la conservazione
dei dati originali e ad impedirne lalterazione.
Legge 18 marzo 2008, n. 48
Quali sono le caratteristiche delle misure
tecniche?
Non c una metodologia
E saggio usare le Best Practices
tecniche, metodi, linee guida, raccolte dalle
esperienze pi significative, che si considera
possono ottenere i risultati migliori
Best Practices
Scientific Working Group on Digital Evidence (SWGDE)
Best practices for Computer Forensics, luglio 2006
www.swgde.org
Association of Chief Police Officers (ACPO)
Good Practice Guide for Computer-Based Electronic Evidence,
Maggio 2007.
http://www.7safe.com/electronic_evidence/ACPO_guidelines_computer_evidence.pdf
US Department of Justice, National Institute of Justice
Forensic Examination of Digital Evidence: A Guide for Law Enforcement,
Aprile 2004.
http://www.ncjrs.gov/pdffiles1/nij/199408.pdf
Investigative Uses of Technology: Devices, Tools, and Techniques, Ottobre
2007.
http://www.ncjrs.gov/pdffiles1/nij/213030.pdf
RFC 3227, Guidelines for Evidence Collection and Archiving, Feb
2002
Best practices del SWGDE
Sclenuc Worklng Croup on ulglLal Lvldence (SWCuL)
!"#$ &'()*)"# +,' -,.&/$"' 0,'"1#2)#
(Versione 1.0 novembre 2004, Versione 2.1 luglio 2006)
1.0 Seizing Evidence
1.1 Evidence Handling
1.1.1. Stand-alone computer (non-networked)
1.1.2. Networked computer
1.2 Servers
2.0 Equipment Preparation
3.0 Forensic Imaging
4.0 Forensic Analysis/Examination
4.1 Forensic Analysis/Examination of Non-Traditional Computer Technologies
5.0 Documentation
6.0 Reports
Principi Digital Forensic
Principle 1: No action taken by law enforcement agencies or
their agents should change data held on a digital device or
storage media which may subsequently be relied upon in Court.
Principle 2: In circumstances where a person finds it necessary
to access original data held on a digital device or on storage
media, that person must be competent to do so and be able to
give evidence explaining the relevance and the implications of
their actions.
Principle 3: An audit trail or other record of all processes
applied to digital device-based electronic evidence should be
created and preserved. An independent third party should be
able to examine those processes and achieve the same result.
Principle 4: The person in charge of the investigation (the case
officer) has overall responsibility for ensuring that the law and
these principles are adhered to.

uk Assoclauon of Chlef ollce Cmcers (ACC) Cood racuce Culde
for CompuLer-8ased LlecLronlc Lvldence
Fasi investigative
processo della digital evidence
Identificazione
Acquisizione
Analisi
Affidabile
Completa
Accurata
Verificabile
Ammissibile
Autentica
Completa
Affidabile
Chiara e Credibile
Chiara allaudience
Documentazione (anche con dichiarazioni e
deposizioni)

Presentazione
Fasi investigative
Identificazione
Acquisizione
Analisi
Affidabile
Completa
Accurata
Verificabile
Ammissibile
Autentica
Completa
Affidabile
Chiara e Credibile
Chiara allaudience
deposizioni)

Presentazione
Identificare tutti i dispositivi
che possono contenere prove
(digital evidence)
Fasi investigative
Identificazione
Acquisizione
Analisi
Affidabile
Completa
Accurata
Verificabile
Ammissibile
Autentica
Completa
Affidabile
Chiara e Credibile
Chiara allaudience
deposizioni)

Presentazione
Affidabile: non devono
esserci dubbi sullautenticit
e sui risultati ottenuti
Fasi investigative
Identificazione
Acquisizione
Analisi
Affidabile
Completa
Accurata
Verificabile
Ammissibile
Autentica
Completa
Affidabile
Chiara e Credibile
Chiara allaudience
deposizioni)

Presentazione
Completa: tutte le informazioni
rilevanti, non solo quelle di una
parte del caso
Fasi investigative
Identificazione
Acquisizione
Analisi
Affidabile
Completa
Accurata
Verificabile
Ammissibile
Autentica
Completa
Affidabile
Chiara e Credibile
Chiara allaudience
deposizioni)

Presentazione
Accurata: senza errori
Fasi investigative
Identificazione
Acquisizione
Analisi
Affidabile
Completa
Accurata
Verificabile
Ammissibile
Autentica
Completa
Affidabile
Chiara e Credibile
Chiara allaudience
deposizioni)

Presentazione
Verificabile: riproducibile, un altro
investigatore arriverebbe allo
stesso risultato con gli stessi dati
Fasi investigative
Identificazione
Acquisizione
Analisi
Affidabile
Completa
Accurata
Verificabile
Ammissibile
Autentica
Completa
Affidabile
Chiara e Credibile
Chiara allaudience
deposizioni)

Presentazione
Live Analisys
Analisi Post Mortem
Post Mortem e Live forensic
Se il dispositivo/computer da investigare
spento (analisi post mortem)
Se il computer fosse acceso?
Se il computer non si potesse spegnere?
Ambito militare, medico, videosorveglianza,
Se lo spegnere il computer creasse danni
ad altri?
Server per database, posta,
Serve una Live Analysis
Acquisizione evidenza forense
Raccolta di evidenza forense di
tutti i tipi
Seguire procedure rigorose e ben
testate
Proteggerla da contaminazione o
distruzione e da accuse di alterazione
e gestione impropria
Levidenza della Digital forensic non differente
Non seguire le procedure potrebbe portare allesclusione
in tribunale
Acquisizione evidenza forense
Registrazione della scena
Foto e/o video
Registrare dati in uso (live forensic)
Se il sistema on, registrare i dati volatili
Se ci sono file aperti salvarli su device esterne
Labellazione cavi e connessioni
Dopo le foto e/o video
Per ricordare quali cavi e dove erano connessi
Cercare password
Non raro memorizzare le password nelle vicinanze della
device digitale
Fasi investigative
Identificazione
Acquisizione
Analisi
Affidabile
Completa
Accurata
Verificabile
Ammissibile
Autentica
Completa
Affidabile
Chiara e Credibile
Chiara allaudience
deposizioni)

Presentazione
Ammissibile: utilizzabile
come prova, accettata in
tribunale
Fasi investigative
Identificazione
Acquisizione
Analisi
Affidabile
Completa
Accurata
Verificabile
Ammissibile
Autentica
Completa
Affidabile
Chiara e Credibile
Chiara allaudience
deposizioni)

Presentazione
Investigatore deve mantenere un log di tutte le azioni
Serve a mostrare che si fatto tutto nel modo giusto
Utile anche come checklist
Chain of Custody
Report finale
Chain of Custody
(Catena di Custodia)
Documento che contiene le informazioni
di ci che stato fatto e quali persone
fisiche hanno avuto accesso alla prova
originale ed alle copie forensi realizzate, a
partire dall'acquisizione fino ad arrivare
al giorno del processo.
Utile per mostrare lintegrit della prova e la sua
validit nel processo
Il custode pu testimoniare che non stata alterata
Tracciabilit della prova

Chain of Custody
(Catena di Custodia)
Tipiche informazioni potenziali contenute nel documento:
Numero del caso
Azienda incaricata dell'investigazione
Investigatore assegnato al caso
Natura e breve descrizione del caso
Investigatore incaricato della duplicazione dei dati
Data e ora di inizio custodia
Luogo di rinvenimento del supporto
Produttore del supporto
Modello del supporto
Numero di serie del supporto

Ogni volta che il supporto oggetto di indagini affidato ad un nuovo investigatore,
nel documento bisogna aggiungere:
Nome dell'incaricato all'analisi
Data e ora di presa in carico del supporto
Data e ora di restituzione del supporto
Report finale
Premessa
Quesiti
Incarico
Operazioni svolte
Risposta ai quesiti
Conclusioni
Consegna a chi di competenza
(Avvocati, PM, P.G., )
Errori comuni
durante linvestigazione
Non mantenimento della documentazione
opportuna
lungo e noioso
Modifica dati sistema da investigare
Aprire file (cambia time stamp!)
Installare software (sovrascrittura precedente
evidenza!)
Non consapevolezza dei propri limiti
Area vasta e complessa
Se si raggiunge il limite della propria conoscenza,
chiedere aiuto
Aspetti legali
Perito, Consulente tecnico
Prova
Ammissibilit
Frye Test
Daubert Test
Perito Consulente Tecnico
Art 220 c.p.p.: La perizia ammessa quando
occorre svolgere indagini o acquisire dati o
val utazi oni che ri chi edono speci fi che
competenze tecniche, scientifiche o artistiche.
Il Perito / Consulente Tecnico (CT) un
soggetto che testimonia in unaula giudiziaria
poich ha particolari conoscenze in un
determinato settore.
I testimoni (e non consulenti) possono deporre
solo su ci che hanno osservato/assistito e non
su personali opinioni.
Art 359 c.p.p.
Consulenti tecnici del pubblico ministero
1. Il pubblico ministero, quando procede ad
accertamenti, rilievi segnaletici, descrittivi
o fotografici e ad ogni altra operazione
tecnica per cui sono necessarie specifiche
competenze, pu nominare ed avvalersi di
consulenti, che non possono rifiutare la loro
opera.
2. Il consulente pu essere autorizzato dal
pubblico ministero ad assistere a singoli
atti di indagine
Art 360 c.p.p.
Accertamenti tecnici non ripetibili
1. Quando gli accertamenti previsti dallart.
359 riguardano persone, cose o luoghi il cui
stato soggetto a modificazione (116, 117
att.), il pubblico ministero avvisa, senza
ritardo, la persona sottoposta alle indagini,
la persona offesa dal reato e i difensori del
giorno, dell`ora e del luogo fissati per il
conferimento dell`incarico e della facolt
di nominare consulenti tecnici.

Consulenti nel processo civile
Consulente Tecnico di Parte (CTP)
Consulente Tecnico dUfficio (CTU)
Il CTU pu essere nominato solo se il giudice ha
nominato un CTU nei termini fissati dal giudice (art.
201 c.p.c., Consulente tecnico di parte)
CTU presta formale giuramento, CTP no
CTU vincolato ai quesiti del giudice
CTP risponde solo al cliente
CTP funzione di controllo tecnico su operato del
CTU, pu presentare osservazioni, istanze al CTU
ed al giudice (art. 194 c.p.c. Attivit del consulente)
Consulenti nel processo penale
Simile al processo civile
In ambito penale, due tipi di consulenza:
Consulenza tecnica ripetibile, art. 359 c.p.p.
Consulenza tecnica irripetibile, art. 360 c.p.p.
Nel caso di consulenza irripetibile, il CTU
deve verificare il corretto operato del
CTP
Prova scientifica
In generale, non solo nel mondo digitale
Quali sono le caratteristiche?
Quando ammissibile nelle aule
giudiziarie?
Uso distorto prova scientifica
Qualche esempio negli USA:
Falsificazione di risultati da parte di un ematologo
forense in centinaia di casi in un periodo di circa 10
anni in West Virginia,
contribuendo alla condanna allergastolo per centinaia di
accusati.
Falsificazione dei risultati di un patologo forense di
numerose autopsie, in Texas,
contribuendo a portare ad almeno 20 condanne a morte.
Falsificazione dei risultati di un chimico della Polizia
americana di diverse indagini tecniche
contribuendo alla condanna al carcere di centinaia di
innocenti ingiustamente accusati di violenza sessuale.

La prova nelle aule giudiziarie
(USA)
Il Frye Test
Decisione del 1923 della Corte dAppello
federale (Frye v. United States, 293 F. 1013,
1014, D.C. Cir. 1923).
Fino agli anni 1990 lo standard per determinare
lammissibilit di nuove tecniche scientifiche
sia nelle corti federali sia in quelle statali.
La decisione Daubert
Caso Daubert v. Merrell Dow (1993)
La Corte Suprema USA decise di non accettare
il Frye test
Il Frye Test
Per essere ammissibile in tribunale, la prova scientifica deve
essere raccolta usando tecniche che hanno avuto general
acceptance nel campo in cui sono applicate.

Quando si usa una nuova tecnica scientifica o una nuova
metodica, bisogna dimostrare la general acceptance in
quel campo.
Demarcazione tra scienza e pseudoscienza
Fuori dallaula giudiziaria le false scienze
(astrologia, alchimia, fisiognomica,)
Frye v. United States: caso di omicidio
Rifiutata richiesta dellimputato di utilizzare la macchina della
verit (analisi della pressione arteriosa per rilevare se si sta
dicendo la verit o meno) per provare la sua innocenza.

La decisione Daubert
Caso Daubert v. Merrell Dow (1993)
accusa alla societ farmaceutica di aver messo in
vendita 8endecun, un medicinale anti-nausea, per
donne in gravidanza che provocava malformazioni
fetali)
La Corte Suprema USA decise di non accettare
il Frye test
Fu permesso all'accusa di presentare studi (non
accettati dalla comunit scientifica) effettuati
direttamente sui feti e sulla composizione
mol ecol are del farmaco sotto accusa per
rispondere ad una serie di studi scientifici
presentati dalla difesa.
Daubert: 5 fattori
1. Theory tested
2. Standards
3. Peer review and publications
4. General acceptance
5. Error rate
Daubert: 5 fattori
1. Theory tested
2. Standards
5. Error rate
Daubert: 5 fattori
1. Theory tested
2. Standards
4. General acceptanceomunit scientifica
5. Error rate
Ci sono standard per il metodo utilizzato?
Daubert: 5 fattori
1. Theory tested
2. Standards
4. General acceptanceomunit scientifica
5. Error rate
La teoria o la tecnica scientifica stata sottoposta al vaglio di
giudizi imparziali (peer review) in pubblicazioni scientifiche?
Ovvero stata sottoposta a revisione critica (determinazione di
limiti e bias)?
Assicura che errori metodologici possano essere rilevati
Dimostra che la metodica pu essere applicata anche da altri.
Daubert: 5 fattori
1. Theory tested
2. Standards
5. Error rate
Godere di generale accettazione da
parte della comunit scientifica
Daubert: 5 fattori
1. Theory tested
2. Standards
5. Error rate

Conoscere la percentuale di errore

Qual il tasso di errore noto o potenziale?
Ogni idea scientifica soggetta a 2 tipi di errore: qual la
probabilit di uno dei due?
Tipo I: falso positivo (a true null hypothesis can incorrectly be
rejected).
Tipo II: falso negativo (a false null hypothesis can fail to be
rejected).
Altre caratteristiche
Qual la qualifica dellesperto e la sua
considerazione allinterno della comunit
scientifica?
La tecnica si basa solo sulle capacit di un
esperto o pu essere riprodotta altrove
anche da altri esperti?
possibile spiegare alla giuria con
sufficiente chiarezza e semplicit la
tecnica adottata cos che ne venga
compreso il funzionamento?
La prova nelle aule giudiziarie
(Italia)
I criteri di ammissibilit sono indicati
negli artt. 189 e 190 c.p.p.
Art. 189 c.p.p
(prove non disciplinate dalla legge).
Quando richiesta una prova non
disciplinata dalla legge, il giudice pu
assumerla se essa risulta idonea ad
assicurare laccertamento dei fatti e non
pregiudica la libert morale della persona.
Il giudice provvede allammissione, sentite
le parti [].
Art. 190 c.p.p
(diritto alla prova)
1. Le prove sono ammesse a richiesta di
parte. Il giudice provvede senza ritardo
con ordinanza escludendo le prove vietate
dalla legge e quelle che manifestamente
sono superflue o irrilevanti.
2. []
3. [].
Fasi investigative
Identificazione
Acquisizione
Analisi
Affidabile
Completa
Accurata
Verificabile
Ammissibile
Autentica
Completa
Affidabile
Chiara e Credibile
Chiara allaudience
deposizioni)

Presentazione
Consideramo ora il caso
di un computer spento
(post mortem) e
dellevidenza digitale nel
suo hard disk
Acquisizione per hard disk
Acquisizione dei dati
Metodologia operativa
Smontare lhard disk
Collegarlo ad una macchina forense
Acquisire immagine dellhard disk (duplicato) su un supporto
rimovibile
Altra possibile metodologia:
Smontare lhard disk
Analizzare hard disk dalla macchina forense
Ancora peggio:
Non smontare lhard disk
Macchina
forense
Hard Disk
da
analizzare
Analisi Forense di hard disk
Acquisizione dei dati
Metodologia operativa
Smontare lhard disk
Acquisire immagine dellhard disk (duplicato) su un supporto
rimovibile
Altra possibile metodologia:
Smontare lhard disk
Analizzare hard disk dalla macchina forense
Ancora peggio:
Non smontare lhard disk
Macchina
forense
Hard Disk
da
analizzare
Vediamo perch
bisogna evitarla!
Analisi Forense di hard disk
Se si connette un hard disk
ad un sistema di analisi:
Il sistema operativo potrebbe
scrivere su ogni hard disk connesso al sistema
Windows aggiorna il tempo di ultimo accesso ad ogni file
acceduto
Windows potrebbe scrivere dati inaspettatamente: ad esempio,
creazione cartelle nascoste per Recycle bin oppure
configurazioni hardware salvate
Un virus oppure malware sul sistema potrebbe infettare lhard
disk
File non desiderati possono essere allocati e sovrascrivere spazio
causando la distruzione di evidenza nella forma di file
precedentemente cancellati
Macchina
per analisi
Hard Disk
da
analizzare
Duplicati Forensi
Meglio effettuare analisi forense su duplicati di
hard disk
Lanalisi forense potrebbe distruggere evidenza
Il sistema da analizzare potrebbe essere non rimovibile
Un duplicato ha qualche perdita di evidenza
Tracce di precedenti contenuti di settori
Copia bit per bit (il pi basso livello possibile)
Supporto di destinazione su cui si effettua la
copia dei dati deve essere forensicamente sterile
Cancellazione sicura dei dati
Write Blocker
Blocco di accesso in scrittura per hard
disk
Possibile solo la lettura
Write blocker
Software
Hardware

Macchina per
analisi
con Software
Write blocker
Hard Disk
da
analizzare
Hardware
Write
Blocker
Macchina
per
acquisizione
Hard Disk
da
acquisire
Hardware Write Blocker
Anche detto forensic bridge
Write blocker anche per altre risorse
Ad es., card reader forensl: accesso ln sola leuura
duranLe ll LrauamenLo dl schede dl memorla (Su,
SuC, xu, MMC, Cl, ecc.).
Hardware
Write
Blocker
Macchina
per
acquisizione
Hard Disk
da
acquisire
uS8,
rewlre,
ecc.
luL, SA1A,
SCSl, uS8,
llrewlre
ecc.
Hardware Write Blocker
Inventato da Mark Menz e Steve Bress (US patent
6,813,682 e EU patent EP1,342,145)
Programma Computer Forensics Tool Testing (CFTT) del
United States National Institute of Justice identifica
formalmente 4 requisiti per i tool:
A hardware write block (HWB) device shall not transmit a
command to a protected storage device that modifies the
data on the storage device.
An HWB device shall return the data requested by a read
operation.
An HWB device shall return without modification any access-
significant information requested from the drive.
Any error condition reported by the storage device to the
HWB device shall be reported to the host.
Laboratorio
Tableau T4
per hard disk SCSI
connessione host con FireWire 800, USB 2.0
Tableau T35es
per hard disk IDE o SATA
connessione host con eSATA, FireWire 800,
FireWire 400, USB 2.0
Tableau T8
per hard disk USB
connessione host FireWire 400, USB 2.0
Laboratorio
Forensic Dossier
Cattura dati da 1 o 2 hard disk ad
1 o 2 hard disk
Calcolo hash MD5 ed SHA-256
Cifratura disco con evidenza
Batteria
SATA ed IDE; Firewire e USB 2.0
Cattura memorie flash (Compact
flash, memory stick, SD, multi-media card)
Ricerca parole mentre duplica
Lista keyword predefinita
Interfaccia IDE
Advanced Technology Attachment (ATA), interfaccia per
connessione di dispositivi di memorizzazione (hard disk, CD-ROM)
Progettato nel 1986, nome AT Attachment in riferimento a
IBM PC/AT ed alla sua architettura del bus di 16 bit
Standard ATA, ANSI X3.221-1994
Gli standard ATA: collegamenti con lunghezze di cavo tra 45 e 90
cm, (quindi allinterno dei computer, scheda madre hard disk)
Conosciuto anche come IDE (Integrated Drive Electronics),
termine coniato da Western Digital, perch il drive controller
integrato nel drive
Controller IDE sulla scheda madre
Dopo che Serial ATA (S-ATA, SATA) fu introdotto nel febbraio
2003
ATA denominato retroattivamente Parallel ATA
EIDE (Enhanced IDE), coniato da Western Digital nel 1994,
standard ANSI X3.279-1996
Bandwidth: originalmente 16 MB/s, poi 33, 66, 100 e 133 MB/s
Interfaccia SATA
Introdotta nel febbraio 2003
Comunicazione seriale
La trasmissione in parallelo d luogo
a disturbi elettromagnetici tra i fili
quando si lavora ad alte frequenze
Lunghezza cavo max 1 metro
SATA 3.0, marzo 2009
Tipo Prestazioni teoriche
SATA 1.0 1,5 Gbit/s (192 MB/s)
SATA 2.0 3 Gbit/s (384 MB/s)
SATA 3.0 6 Gbit/s (768 MB/s)
Connettore cavo
alimentazione,
Interfaccia SCSI
Acronimo di Small Computer System Interface
Specifica ANSI x3.131-1986
In passato molto diffusa, ora solo workstation,
server e periferiche di fascia alta
Versioni:
SCSI-1, fino a 5 MB/s (40 Mbit/s)
Ultra-2, fino a 80 MB/s (640 Mbit/s)
Interfacce esterne
eSA1A, no a 6 CblL/s
LxLernal SA1A
cavo e proLocollo ldenucl a SA1A, ma
conneuore dlverso
uS8 3.0, no a 4,8 CblL/s
uS8 2.0, no a 480 MblL/s
llrewlre 800, no a 800 MblL/s
llrewlre 400, no a 400 MblL/s

SATA eSATA
Verifica duplicazione
Per verificare che la copia forense
uguale alloriginale:
Verifica bit per bit
(tempo di elaborazione elevato)
Uso di funzioni hash
I programmi di acquisizione possono
calcolare e confrontare valori hash

Funzioni hash
Facile da calcolare
Difficile trovare una collisione
Le pi comuni:
MD5 (Message Digest Algorithm), valore di 128 bit
SHA-0, SHA-1 con 160 bit, SHA-2, cio SHA-224, SHA-256,
SHA-384 e SHA-512, (Secure Hash Algorithm)
Esempi:
SHA1("Cantami o diva del pelide Achille l'ira funesta") =
1f8a690b7366a2323e2d5b045120da7e93896f47
SHA1("Contami o diva del pelide Achille l'ira funesta") =
e5f08d98bf18385e2f26b904cad23c734d530ffb

Funzione
hash
valore
hash
lnpuL
Software acquisizione
Linux
dd
dcfldd, dd_rescue, sdd, rdd
Distribuzioni di Linux
Open Source Digital Forensics
http://www2.opensourceforensics.org/tools
Windows (tool commerciali)
Forensic Toolkit FTK 3 Imager, di AccessData
Encase, di Guidance Software
dd
Copia, duplicazione
Il pi vecchio, presente dagli anni 70
Esempio:
dd if=/dev/sdb of=/media/sdc/disco.dd conv=noerror,sync bs=32K

dd copies a file (from standard input to standard output,
by default) with a changeable I/O block size, while
optionally performing conversions on it.
http://www.gnu.org/software/coreutils/manual/html_node/dd-invocation.html

dd
Copia, duplicazione
Esempio:

Senza sync, un errore in lettura causa unimmagine di taglia inferiore
alloriginale
Con noerror,sync un errore in lettura causa blocco di 32K con tutti 0
File destinazione taglia multipla di bs
Se file input 40K e bs=32K allora file immagine 64K
legge blocchi da 32K
default: 512 byte
input ibs, output obs
input file
output file
convert
non fermarsi dopo
eventuali errori di lettura
Padding ogni blocco
input con 0 fino alla
taglia di ibs
dd
Copia, duplicazione
Esempio:

dd if=/dev/sdb of=/media/sdc/disco.dd conv=noerror,sync bs=512
un errore in lettura in un blocco 512 byte causa blocco di 512 byte con
tutti 0, e non 32K
problema per gli hard disk: molte letture e tempi molto pi lunghi
dd
dd if=/dev/zero of=/dev/had

dd if=/dev/random of=/dev/had

dd if=/dev/st0 count=10000000 of=/dev/case10img1
dd if=/dev/st0 count=10000000 skip=10000000 of=/dev/case10img2

File virtuale, restituisce
valori casuali quando letto
File virtuale, restituisce 0
quando letto
copia i primi 10GB e poi i secondi 10GB
dcfldd
Versione migliorata di dd, da parte del U.S.
Department of Defense Computer Forensic Lab
Ultima versione stabile dic 2006
Permette calcolo hash, wiping con pattern
fissati, verifica della duplicazione bit per bit,
split delloutput
dcfldd if=/dev/sourcedrive hash=md5,sha256 hashwindow=10G md5log=md5.txt sha256log=sha256.txt \
hashconv=after bs=512 conv=noerror,sync split=10G splitformat=aa of=driveimage.dd

file con i valori hash
input per hash
estensione per split
driveimage.dd.aa
driveimage.dd.ab

calcolo hash dopo
conversione
distribuzioni di Linux
Utilizzabili sulla macchina da analizzare
Avvio del computer da CD o da penna USB
Individuate le evidenze da duplicare, si
collega un disco esterno per la scrittura
Alcune distribuzioni:
Helix 3
DEFT Linux 6 (Digital Evidence & Forensics Toolkit)
CAINE 2.0 (Computer Aided INvestigative Environment)
Penguin Sleuth Kit
distribuzioni live di Linux
Utilizzabili sulla macchina da analizzare
Avvio del computer da CD o da penna USB
Individuate le evidenze da duplicare, si collega un
disco esterno per la scrittura
Alcune distribuzioni:
Helix 3
DEFT Linux 6 (Digital Evidence & Forensics Toolkit)
CAINE 2.0 (Computer Aided INvestigative Environment)
FCCU Gnu/Linux Boot CD (Belgian Federal Computer Crime Unit)
Masterkey Linux
Penguin Sleuth Kit
Deft
Digital Evidence & Forensic Toolkit
Progetto italiano nato nel 2005
Deft Linux 6, basata su Ubuntu kernel 2.6.35,
Applicativi open-source presenti:
The Sleuthkit, collezione di utility per eseguire operazioni come il recupero file cancellati,
time line, ricerca di contenuti, ecc
Autopsy Forensic Browser, linterfaccia grafica di The Sleuthkit
Dhash, software per lacquisizione e calcolo di hash su memorie di massa e file
Guymager, software per la parallelizzazione di acquisizioni di memorie di massa
Linen, software per acquisizione memorie di massa fornito dalla Guidance Software
dcfldd e dd rescue, acquisizione di memorie di massa
Md5deep, sha1deep, e sha256deep, tool per calcolo di hash
Foremost, software per il carving di dati
Photorec, software per il carving di dati
Scalpel, software per il carving
Hexedi, editor esadecimale di file e device
Search file, ricerca avanzata di file
Mount Manager, tool per il mount assistito di memorie di massa
Gpart, gestione di device e file system
Xplico, network forensic analysis tool
Wireshark, network protocol analyzer
Nessus, security scanner
Nmap, security scanner
Kismet, wireless network detector
Ettercap, suite per eseguire attacchi con metodologia man in the middle
Ophcrack e John the Ripper, cracking di password
Pdfcrack cracking tool
Fcrakzip cracking tool
IE, Mozilla and Chrome cache viewer
IE, Mozilla and Chrome history viewer
Clam antivirus, Rkhunter e Chkrootkit., individuazione e lanalisi di malware e virus

Network
Forensic
Helix 3
Helix 3
versione free
2009 e non verr aggiornata
Basata su Ubuntu
Helix 3 Enterprise
forum membership $239
annuali
Helix 3 Pro
commerciale
Tools forensi
Si possono usare tool commerciali ed
open source
Devono per essere conosciuti dalla
comunit ed accettati!
Se si usa un nuovo tool
Bisogna evitare dubbi sullaffidabilit
Utile diffondere il codice sorgente
Tools forensi
Vantaggi tool open source
Sorgenti noti
Formati aperti e compatibili
Sviluppo e controllo bug dalla comunit
Costo
Vantaggi tool commerciali
Pi facili da usare
Soluzione problemi ed aggiornamenti immediati
Si possono usare entrambi
Soprattutto se non fanno le stesse cose!
Analisi forense
Evidenza digitale:
Documenti
Immagini e video
Internet (posta elettronica, navigazione)
Partizioni
File cifrati
File nascosti

Sistema Operativo
Windows forensics
Mac forensics
Linux forensics
Analisi forense
Evidenza digitale:
Documenti
Immagini e video
Internet (posta elettronica, navigazione)
Partizioni
File cifrati
File nascosti

Sistema Operativo
Windows forensics
Mac forensics
Linux forensics
Lo vedremo
nel seguito
Analisi forense Timeline
Le evidenze digitali hanno un timestamp
Documenti
Applicativi eseguiti
Navigazione web
Registro Windows

Organizzare le evidenze collezionate in un
database e poi ordinarle rispetto al tempo
La cronologia importante per le indagini
Analisi forense Timeline:
problemi
Teoricamente i riferimenti locali del tempo sono il
relazione ad un clock di riferimento internazionalmente
riconosciuto (NIST e U.S. Naval Observatory)
Errori nella misura del tempo, ad es. clock drift
soprattutto se tempo non sincronizzato frequentemente
Singola sorgente con tempo
tempo internamente consistente
Sorgenti multiple con tempi
bisogna fare un merge delle cronologie
Problemi anche per modifiche tempi manualmente oppure
malware / intrusioni
Analisi consistenza logica cronologia
Fasi investigative
Identificazione
Acquisizione
Analisi
Affidabile
Completa
Accurata
Verificabile
Ammissibile
Autentica
Completa
Affidabile
Chiara e Credibile
Chiara allaudience
deposizioni)

Presentazione
Consideramo ora il caso
di un computer acceso
(Live Forensic)
Live forensic
Prima si raccomandava di spegnere il computer in
modo forzato con lalimentazione elettrica
Personale poco specializzato
Unico palliativo: foto/video dello schermo
Se si spegne la macchina si perdono dati nella RAM
Comunicazioni Messenger, IRC, ICQ (chat), sono in
maggior parte in RAM
Protezioni cifrate per partizioni o singoli file:
leggibili con macchina accesa, inaccessibili
altrimenti
Live forensic

Ordine di volatilit, dal pi volatile al meno (RFC 3227)
registers, cache
routing table, arp cache, process table, kernel statistics,
memory
temporary file systems
disk
remote logging and monitoring data that is relevant to the
system in question
physical configuration, network topology
archival media

Cancellazione
La semplice cancellazione dei file o la formattazione
dell'hard disk, infatti, non realizzano una vera
cancellazione delle informazioni registrate, che
rimangono spesso fisicamente presenti e tecnicamente
recuperabili

File cancellato su disco
Spazio marcato per cancellazione/riutilizzo
Spazio parzialmente sovrascritto da altri file
Cancellazione
La semplice cancellazione dei file o la formattazione
dell'hard disk, infatti, non realizzano una vera
cancellazione delle informazioni registrate, che
rimangono spesso fisicamente presenti e tecnicamente
recuperabili

File cancellato su disco
Spazio marcato per cancellazione/riutilizzo
Spazio parzialmente sovrascritto da altri file
E possibile recuperare i dati!
E possibile recuperare i dati
sovrascritti?
Data Carving
Recuperari dati cancellati ma ancora presenti non
facile:
Frammentazione file
File parzialmente sovrascritti
Data carving is the process of extracting a
collection of data from a larger data set. Data
carving techniques frequently occur during a digital
investigation when the unallocated file system
space is analyzed to extract files. The files are
"carved" from the unallocated space using file type-
specific header and footer values. File system
structures are not used during the process.
(Digital Forensic Research Workshop (DFRWS)
Cancellazione dati sovrascritti
Nonostante la sovrascrittura possibile leggere ancora i dati
con un microscopio elettronico
(Peter Gutmann, Secure Deletion of Data from Magnetic and Solid-State Memory, USENIX 1996)

Idea motivazioni scrittura singolo bit:
Posizionamento testine scrittura non esatto
Quando sovrascriviamo un 1 otteniamo
vicino a 0,95 se cera uno 0
vicino a 1,05 se cera 1
each track contains an image of everything ever written
to it, but that the contribution from each layer gets
progressively smaller the further back it was made
Possibile trovare tracce dei dati precedenti
Meglio sovrascrivere 35 volte con sequenza pattern fissi e
casuali
Cancellazione sicura
Sovrascrivere:
1 volta (NIST SP-800-88, 2006)
3 volte: un carattere, il complemento e poi random (U.S. DoD
Unclassified Computer Hard Drive Disposition, 2001)
Tutti 0 (British HMG Infosec Standard 5, Baseline Standard)
Da 1 a 35 volte (Guttman)

Strumenti software di cancellazione sicura
Demagnetizzazione (degaussing), che azzera tutte le aree
di memoria elettronica e rende l'apparato inutilizzabile
Distruzione fisica del dispositivo di memorizzazione
Cancellazione sicura: la controversia
Craig Wright, Dave Kleiman, and Shyaam Sundhar R.S.,
Overwriting Hard Drive Data: The Great Wiping Controversy,
ICISS 2008, LNCS 5352, pp. 243257, 2008.

Tecnologia in evoluzione dal 1996 ad oggi
Non ci sono pi floppy disk, che
avevano un sistema rudimentale
Densit memorizzazione in crescita
Vero per il singolo valore del bit, ma non
tiene conto dellerrore accumulato
Non ci sono layer ma una distribuzione per
la densit per il valore di un singolo valore
Livello valori binari
Magnetic Force Microscopy
Misura densit forze magnetiche
Livello magnetico scritto varia stocasticamente
a causa di
Posizionamento testina
Temperatura
Umidit
Errori casuali
Se si vuole scrivere un valore digitale +1, ci
saranno intervalli di confidenza:
95% che si trova in (0,95,1,05)
99% che si trova in (0,90,1,10)

Un valore 1,06 dovuto a variazioni di
temperatura oppure ad un precedente valore?
Densit: esempio 1
Densit riscrittura valutata sperimentalmente
Esempio scrittura di un valore binario 1
Densit: esempio 2
Densit riscrittura valutata sperimentalmente
Riscrittura di un valore binario
Probabilit di recupero
(hard drive vecchi)
Test sperimentali con 19 modelli
Da un Seagate 1Gb fino a drive del 2006
Sovrascrittura con dd
Scelta bayesiana con distribuzione della densit
conosciuta (in genere non nota in una analisi forense)
Probabilit di recupero
(hard drive del 2006)
Test sperimentali con 19 modelli
Da un Seagate 1Gb fino a drive del 2006
Sovrascrittura con dd
Scelta bayesiana con distribuzione della densit
conosciuta (in genere non nota in una analisi forense)
Sommario
Introduzione
Anti-forensics
Definizione:
any attempts to compromise the
availability or usefulness of evidence to
the forensics process
Ryan Harris, Arriving at an anti-forensics consensus: Examining how to define and control the anti-forensics problem,
Digital Investigation 2006
Anti-forensics
Obiettivi:
Evitare il rilevamento di alcuni eventi
Creare problemi per la collezione delle
informazioni
Aumentare il tempo necessario ad un
investigatore per lanalisi di un caso
Causare dubbi su un rapporto/testimonianza
forense
Tipi di Anti-forensics
Distruggere evidenza
Nascondere evidenza
Prevenire la creazione di evidenza
Falsificare evidenza
Nascondere evidenza
Nel mondo fisico:
come cancellazione impronte su pistola

Sovrascrivere dati e metadati:
Intero media
Singoli file
File precedentemente cancellati
(scrivere file finch non c pi spazio libero sul media)

Cancellare evidenza pu creare evidenza
Nessuna tipo di evidenza (come nessuna impronta!)
Esistenza tool di cancellazione
Nascondere evidenza
Nel mondo fisico:
come sotterrare pistola / seppellire cadavere

Steganografia

Crittografia

Evidenza pu essere ritrovata

Esistenza tool di data hiding
Nascondere evidenza
Nel mondo fisico:
come usare guanti prima di usare pistola

Evitare evidenza pu creare evidenza
Nessuna tipo di evidenza (come nessuna impronta!)
Esistenza tool ad-hoc
Nascondere evidenza
Modifica selettiva di evidenza

Creazione di evidenza falsa
Sommario
Introduzione
Nelle prossime lezioni

DigitalForensic PDF

Caricato da

Informazioni sul documento

Titolo originale

Copyright

Formati disponibili

Condividi questo documento

Condividi o incorpora il documento

Opzioni di condivisione

Hai trovato utile questo documento?

Questo contenuto è inappropriato?

Copyright:

Formati disponibili

DigitalForensic PDF

Caricato da

Copyright:

Formati disponibili

Digital Forensic

Potrebbero piacerti anche