Sei sulla pagina 1di 46

Digital Forensic

Alfredo De Santis
Marzo 2012
Sommario
Introduzione
Principi e Metodologie (con aspetti legali)
Tecniche Antiforensi
Alibi Digitale Falso
Laboratorio
Sommario
Introduzione
Principi e Metodologie (con aspetti legali)
Tecniche Antiforensi
Alibi Digitale Falso
Laboratorio
Che cos?
Sorgenti potenziali per evidenza digitale
Digital Forensic: Che cos?
Investigazione ed analisi delle tracce
digitali per trovare evidenza legale
Include identificazione, preservazione,
estrazione, documentazione ed
interpetrazione dellevidenza digitale
trovata
Digital Forensic Science
Una definizione
The use of scientifically derived and proven
methods toward the preservation, collection,
val i dati on, i denti fi cati on, anal ysi s,
i nterpretati on, documentati on and
presentation of digital evidence derived
from digital sources for the purpose of
facilitating or furthering the reconstruction
of events found to be criminal, or helping to
anticipate unauthorized actions shown to be
disruptive to planned operations.
Digital Forensics Research Workshop I, 2001
Complessit analisi
Enorme quantit di raw data, cio
sequenze di bit, da analizzare
Occorrono tool di analisi per
interpetrare i dati ad un livello di
astrazione superiore
Livello di
astrazione
Dati input
Regole
interpretazione
Errore (tool, abilit
investigatore, astrazione,
attaccante che copre tracce)
Dati output
Universo digitale in espansione
Nel 2006 informazione digitale creata e catturata
nel mondo
161 exabyte
Exabyte = 1.024 petabytes = 1.073.741.824 gigabytes
Tra 2006 e 2010 crescita da 161 a 988
Alcune stime:
Numero email mailbox da 253 milioni nel 1998 a 1,6
miliardi nel 2006, con traffico di 6 exabyte
Numero di immagini catturate da macchine fotografiche
150 miliardi e da cellulari 100 miliardi (500 nel 2010)

Studio IDC ed EMC, 2007
Universo digitale in espansione
Utenti Internet nel mondo
Internet Usage and World Population Statistics are
for December 31, 2011:
Population 6,930,055,154
32.7% of population 2,267,233,742
Evidenza digitale in device elettroniche
Computer
Device per controllo accessi
Telefoni e Segreterie telefoniche
Fotocamere e videocamere digitali
Hard Drive
Memory Card
Modem
Componenti Rete
Stampanti
Device Storage
Scanner
Cellulari
Fotocopiatrici
Skimmer carta di credito
Orologi digitali
Macchine fax
Navigatori GPS
Evidenza digitale in device elettroniche
Computer
Device per controllo accessi
Telefoni e Segreterie telefoniche
Fotocamere e videocamere digitali
Hard Drive
Memory Card
Modem
Componenti Rete
Stampanti
Device Storage
Scanner
Cellulari
Fotocopiatrici
Skimmer carta di credito
Orologi digitali
Macchine fax
Navigatori GPS
File creati da utente
File in chiaro (immagini, video,
audio, calendari, rubriche, attivit
Internet, documenti, email, )
File protetti da utente
Cifrati, nascosti, Steganografia
Sistema operativo
Backup, file configurazione,
cookie, history, log file, file
sistema, file temporanei, swap file
Altro
File cancellati, metadati,
partizioni, slack space, data,
tempo e password,
Evidenza digitale in device elettroniche
Computer
Device per controllo accessi
Telefoni e Segreterie telefoniche
Fotocamere e videocamere digitali
Hard Drive
Memory Card
Modem
Componenti Rete
Stampanti
Device Storage
Scanner
Cellulari
Fotocopiatrici
Skimmer carta di credito
Orologi digitali
Macchine fax
Navigatori GPS
Smart Card
Dongle
Scanner biometrici
Evidenza digitale in device elettroniche
Computer
Device per controllo accessi
Telefoni e Segreterie telefoniche
Fotocamere e videocamere digitali
Hard Drive
Memory Card
Modem
Componenti Rete
Stampanti
Device Storage
Scanner
Cellulari
Fotocopiatrici
Skimmer carta di credito
Orologi digitali
Macchine fax
Navigatori GPS
Messaggi
Messaggi cancellati
Numeri chiamati
Numeri chiamanti (caller identification information)
Ultimo numero chiamato
Rubrica
Evidenza digitale in device elettroniche
Computer
Device per controllo accessi
Telefoni e Segreterie telefoniche
Fotocamere e videocamere digitali
Hard Drive
Memory Card
Modem
Componenti Rete
Stampanti
Device Storage
Scanner
Cellulari
Fotocopiatrici
Skimmer carta di credito
Orologi digitali
Macchine fax
Navigatori GPS
Immagini
Video
Time stamp
Memoria rimovibile
Geolocalizzazione
Evidenza digitale in device elettroniche
Computer
Device per controllo accessi
Telefoni e Segreterie telefoniche
Fotocamere e videocamere digitali
Hard Drive
Memory Card
Modem
Componenti Rete
Stampanti
Device Storage
Scanner
Cellulari
Fotocopiatrici
Skimmer carta di credito
Orologi digitali
Macchine fax
Navigatori GPS
Come per Computer
Evidenza digitale in device elettroniche
Computer
Device per controllo accessi
Telefoni e Segreterie telefoniche
Fotocamere e videocamere digitali
Hard Drive
Memory Card
Modem
Componenti Rete
Stampanti
Device Storage
Scanner
Cellulari
Fotocopiatrici
Skimmer carta di credito
Orologi digitali
Macchine fax
Navigatori GPS
Router, hub, switch,
Server

Evidenza digitale in device elettroniche
Computer
Device per controllo accessi
Telefoni e Segreterie telefoniche
Fotocamere e videocamere digitali
Hard Drive
Memory Card
Modem
Componenti Rete
Stampanti
Device Storage
Scanner
Cellulari
Fotocopiatrici
Skimmer carta di credito
Orologi digitali
Macchine fax
Navigatori GPS
Documenti
Hard drive
File log
Cartuccia inchiostro,
Network identity
Time e date stamp

Evidenza digitale in device elettroniche
Computer
Device per controllo accessi
Telefoni e Segreterie telefoniche
Fotocamere e videocamere digitali
Hard Drive
Memory Card
Modem
Componenti Rete
Stampanti
Device Storage
Scanner
Cellulari
Fotocopiatrici
Skimmer carta di credito
Orologi digitali
Macchine fax
Navigatori GPS
CD
DVD
BR
Vecchie device:
Floppy disk
Nastri

Evidenza digitale in device elettroniche
Computer
Device per controllo accessi
Telefoni e Segreterie telefoniche
Fotocamere e videocamere digitali
Hard Drive
Memory Card
Modem
Componenti Rete
Stampanti
Device Storage
Scanner
Cellulari
Fotocopiatrici
Skimmer carta di credito
Orologi digitali
Macchine fax
Navigatori GPS
La stessa device!
Individuazione scanner usato
per pedopornografia,
falsificazione banconote, frodi
con assegni,

Evidenza digitale in device elettroniche
Computer
Device per controllo accessi
Telefoni e Segreterie telefoniche
Fotocamere e videocamere digitali
Hard Drive
Memory Card
Modem
Componenti Rete
Stampanti
Device Storage
Scanner
Cellulari
Fotocopiatrici
Skimmer carta di credito
Orologi digitali
Macchine fax
Navigatori GPS
Rubrica
Calendario
Memo
Caller identification information
Email
Password
Messaggi
Attivit Internet
Immagini, audio, video

Evidenza digitale in device elettroniche
Computer
Device per controllo accessi
Telefoni e Segreterie telefoniche
Fotocamere e videocamere digitali
Hard Drive
Memory Card
Modem
Componenti Rete
Stampanti
Device Storage
Scanner
Cellulari
Fotocopiatrici
Skimmer carta di credito
Orologi digitali
Macchine fax
Navigatori GPS
Documenti in memoria
History
Time e data stamp
Log utilizzo
Evidenza digitale in device elettroniche
Computer
Device per controllo accessi
Telefoni e Segreterie telefoniche
Fotocamere e videocamere digitali
Hard Drive
Memory Card
Modem
Componenti Rete
Stampanti
Device Storage
Scanner
Cellulari
Fotocopiatrici
Skimmer carta di credito
Orologi digitali
Macchine fax
Navigatori GPS
Numero carta di credito
Data scadenza
Nome utente
Indirizzo utente
Evidenza digitale in device elettroniche
Computer
Device per controllo accessi
Telefoni e Segreterie telefoniche
Fotocamere e videocamere digitali
Hard Drive
Memory Card
Modem
Componenti Rete
Stampanti
Device Storage
Scanner
Cellulari
Fotocopiatrici
Skimmer carta di credito
Orologi digitali
Macchine fax
Navigatori GPS
Rubrica
Messaggi
Calendario
Evidenza digitale in device elettroniche
Computer
Device per controllo accessi
Telefoni e Segreterie telefoniche
Fotocamere e videocamere digitali
Hard Drive
Memory Card
Modem
Componenti Rete
Stampanti
Device Storage
Scanner
Cellulari
Fotocopiatrici
Skimmer carta di credito
Orologi digitali
Macchine fax
Navigatori GPS
Documenti in memoria
History
Time e data stamp
Log utilizzo
Numeri telefonici
Evidenza digitale in device elettroniche
Computer
Device per controllo accessi
Telefoni e Segreterie telefoniche
Fotocamere e videocamere digitali
Hard Drive
Memory Card
Modem
Componenti Rete
Stampanti
Device Storage
Scanner
Cellulari
Fotocopiatrici
Skimmer carta di credito
Orologi digitali
Macchine fax
Navigatori GPS
Global Positioning Systems (GPS)

Casa
Destinazioni precedenti
Log
Cronaca giudiziaria recente
Omicidio di Meredith Kercher a Perugia,
1 novembre 2007
Omicidio di Chiara Poggi a Garlasco, 13
agosto 2007
Omicidio di Meredith Kercher
Omicidio di Meredith Kercher a Perugia, 1 nov 2007
In primo grado Raffaele Sollecito e Amanda Knox
condannati a 26 e 25 anni di carcere
Assoluzione in appello (3 ott 2011)
Perizie di centinaia di pagine, in estrema sintesi:
Periti difesa: Sollecito ha usato il suo MacBook Pro tutta la
notte in modo continuativo
Polizia postale: lunghe pause nellutilizzo del Mac quella
sera, compatibili con luscita di casa del ragazzo e lomicidio
avvenuto dopo le 23.30
Sollecito ha affermato di aver trascorso al computer la notte
del delitto. Dall'esame del portatile, invece, risultano
interazioni con la macchina alle 18.27, per la visione del film "Il
favoloso mondo di Amelie" (come riferito dall'imputato), una
seconda interazione per lo stesso film alle 21.10, poi nulla fino
alle 5.32.
Delitto di Garlasco
Omicidio Chiara Poggi, 13 agosto 2007
Alberto Stasi, fidanzato, sosteneva che
si trovava al computer e lavorava alla
propria tesi di laurea
Assoluzione in primo grado (17 dic 2009)
Deposito sentenza gup Stefano Vitelli,
marzo 2010 (159 pagine)
Assoluzione in appello (5 dic 2011)
Sentenza Garlasco
In data 14 agosto 2007 Stasi Alberto consegnava spontaneamente alla polizia giudiziaria il proprio
computer portatile (marca Compaq).
Da quel momento fino al 29 agosto 2007, quando il reperto informatico veniva consegnato ai
consulenti tecnici del pubblico ministero che procedevano alleffettuazione delle copie forensi dello
stesso, i carabinieri accedevano ripetutamente e scorrettamente (senza lutilizzo, cio delle
necessarie tecniche forensi di indagine) alla quasi totalit del contenuto del computer.
il collegio peritale (ing. Porta e dott. Occhetti) evidenziava che le condotte scorrette di accesso
da parte dei carabinieri hanno determinato la sottrazione di contenuto informativo con riferimento
al personal computer di Alberto Stasi pari al 73,8% dei files visibili (oltre 56.000) con riscontrati
accessi su oltre 39.000 files, interventi di accesso su oltre 1.500 files e creazione di oltre 500 files.
Dunque, possiamo dire con certezza che Stasi attivava il proprio personal computer alle ore 9.35
ed eseguiva le seguenti operazioni: accedeva al sistema con la digitazione della propria password;
quindi alle ore 9.38 (circa) visualizzava una prima immagine di natura erotico/pornografica; alle ore
9.39 (circa) una successiva immagine pornografica; alle ore 9.41 (circa) visualizzava due immagini
dello stesso tenore di cui sopra; alle 9.47 (circa) visualizzava unaltra immagine di natura erotico/
pornografica. Bisogna precisare che dalle evidenze riscontrate sul registro di windows alle ore 9.50
vengono aperte delle cartelle; quindi alle ore 9.50 visualizzava una nuova immagine di natura erotica/
pornografica; alle ore 9.57 visualizzava una nuova immagine di natura erotica/pornografica; alle
10.05 apriva la copertina di un filmato hard e poi utilizzava un programma di modifica delle immagini
alle ore 10.07; poi alle 10.17 apriva la tesi.
Da quel momento sono state appunto recuperate le evidenze di unattivit sostanzialmente continua
di videoscrittura sulla tesi di laurea dalle ore 10.17 fino alle ore 12.20 (quando il computer veniva
messo in standby lasciando il file di word aperto).
hup://www.ansa.lL/documenLs/1268730606840_SLn1LnZA_S1ASl.pdf

Legislazione italiana
Procedure per il trattamento delle
evidenze digitali non regolamentate fino al
2008
Legge 18 marzo 2008, n. 48
Ratifica ed esecuzione della Convenzione del
Consiglio d'Europa sulla criminalit informatica,
fatta a Budapest il 23 novembre 2001, e norme
di adeguamento dell'ordinamento interno (GU n.
80 del 4-4-2008 - Supplemento Ordinario n. 79)
http://www.parlamento.it/parlam/leggi/08048l.htm

Testo finale art. 247 (codice procedura penale)
Casi e forme delle perquisizioni.
1. Quando vi fondato motivo di ritenere che taluno occulti sulla
persona il corpo del reato o cose pertinenti al reato, disposta
perquisizione personale. Quando vi fondato motivo di ritenere che
tali cose si trovino in un determinato luogo ovvero che in esso possa
eseguirsi l'arresto dell'imputato o dell'evaso, disposta perquisizione
locale.
1-bis. Quando vi fondato motivo di ritenere che dati, informazioni,
programmi informatici o tracce comunque pertinenti al reato si
trovino in un sistema informatico o telematico, ancorch protetto da
misure di sicurezza, ne disposta la perquisizione, adottando misure
tecniche dirette ad assicurare la conservazione dei dati originali e ad
impedirne lalterazione.
2. La perquisizione disposta con decreto motivato.
3. L'autorit giudiziaria pu procedere personalmente ovvero disporre
che l'atto sia compiuto da ufficiali di polizia giudiziaria delegati con lo
stesso decreto.
Testo finale art. 354 (codice procedura penale)
Accertamenti urgenti sui luoghi, sulle cose e sulle persone. Sequestro.
1. Gli ufficiali e gli agenti di polizia giudiziaria curano che le tracce e
le cose pertinenti al reato siano conservate e che lo stato dei luoghi e
delle cose non venga mutato prima dell'intervento del pubblico
ministero.
2. Se vi pericolo che le cose, le tracce e i luoghi indicati nel comma 1
si alterino o si disperdano o comunque si modifichino e il pubblico
ministero non pu intervenire tempestivamente, ovvero non ha ancora
assunto la direzione delle indagini, gli ufficiali di polizia giudiziaria
compiono i necessari accertamenti e rilievi sullo stato dei luoghi e
delle cose. In relazione ai dati, alle informazioni e ai programmi
informatici o ai sistemi informatici o telematici, gli ufficiali della
polizia giudiziaria adottano, altres, le misure tecniche o impartiscono
le prescrizioni necessarie ad assicurarne la conservazione e ad
impedirne l'alterazione e l'accesso e provvedono, ove possibile, alla
loro immediata duplicazione su adeguati supporti, mediante una
procedura che assicuri la conformit della copia all'originale e la sua
immodificabilit
Testo finale art. 244 (codice procedura penale)
Casi e forme delle ispezioni.
1. L'ispezione delle persone, dei luoghi e delle cose
disposta con decreto motivato quando occorre
accertare le tracce e gli altri effetti materiali del
reato.
2. Se il reato non ha lasciato tracce o effetti materiali,
o se questi sono scomparsi o sono stati cancellati o
dispersi, alterati o rimossi, l'autorit giudiziaria
descrive lo stato attuale e, in quanto possibile, verifica
quello preesistente, curando anche di individuare modo,
tempo e cause delle eventuali modificazioni. L'autorit
giudiziaria pu disporre rilievi segnaletici, descrittivi e
fotografici e ogni altra operazione tecnica, anche in
relazione a sistemi informatici o telematici, adottando
misure tecniche dirette ad assicurare la conservazione
dei dati originali e ad impedirne lalterazione.
Legge 18 marzo 2008, n. 48
Quali sono le caratteristiche delle misure
tecniche?
Non c una metodologia
E saggio usare le Best Practices
tecniche, metodi, linee guida, raccolte dalle
esperienze pi significative, che si considera
possono ottenere i risultati migliori
Best Practices
Scientific Working Group on Digital Evidence (SWGDE)
Best practices for Computer Forensics, luglio 2006 (www.swgde.org)
Association of Chief Police Officers (ACPO)
Good Practice Guide for Computer-Based Electronic Evidence, 2008.
http://www.7safe.com/electronic_evidence/ACPO_guidelines_computer_evidence_v4_web.pdf
Best Practices for Seizing Electronic Evidence v. 3
U.S. Department of Homeland Security
http://www.forwardedge2.com/pdf/bestpractices.pdf
RFC 3227, Guidelines for Evidence Collection and Archiving, Feb 2002
US Department of Justice, National Institute of Justice
Investigations Involving the Internet and Computer Networks, gen 2007.
https://www.ncjrs.gov/pdffiles1/nij/210798.pdf
Investigative Uses of Technology: Devices, Tools, and Techniques, ott 2007.
http://www.ncjrs.gov/pdffiles1/nij/213030.pdf
Electronic Crime Scene Investigation: A Guide for First Responders, Second
Edition, apr 2008.
http://www.ncjrs.gov/pdffiles1/nij/219941.pdf
Best practices del SWGDE
Sclenuc Worklng Croup on ulglLal Lvldence (SWCuL)
!"#$ &'()*)"# +,' -,.&/$"' 0,'"1#2)#
(Versione 1.0 novembre 2004, Versione 2.1 luglio 2006)
1.0 Seizing Evidence
1.1 Evidence Handling
1.1.1. Stand-alone computer (non-networked)
1.1.2. Networked computer
1.2 Servers
2.0 Equipment Preparation
3.0 Forensic Imaging
4.0 Forensic Analysis/Examination
4.1 Forensic Analysis/Examination of Non-Traditional Computer Technologies
5.0 Documentation
6.0 Reports
Principi Digital Forensic
Principle 1: No action taken by law enforcement agencies or
their agents should change data held on a digital device or
storage media which may subsequently be relied upon in Court.
Principle 2: In circumstances where a person finds it necessary
to access original data held on a digital device or on storage
media, that person must be competent to do so and be able to
give evidence explaining the relevance and the implications of
their actions.
Principle 3: An audit trail or other record of all processes
applied to digital device-based electronic evidence should be
created and preserved. An independent third party should be
able to examine those processes and achieve the same result.
Principle 4: The person in charge of the investigation (the case
officer) has overall responsibility for ensuring that the law and
these principles are adhered to.

uk Assoclauon of Chlef ollce Cmcers (ACC) Cood racuce Culde
for CompuLer-8ased LlecLronlc Lvldence
Fasi investigative
processo della digital evidence
Identificazione
Acquisizione
Analisi
Affidabile
Completa
Accurata
Verificabile
Ammissibile
Autentica
Completa
Affidabile
Chiara e Credibile
Chiara allaudience
Documentazione (anche con dichiarazioni e
deposizioni)

Presentazione
Fasi investigative
processo della digital evidence
Identificazione
Acquisizione
Analisi
Affidabile
Completa
Accurata
Verificabile
Ammissibile
Autentica
Completa
Affidabile
Chiara e Credibile
Chiara allaudience
Documentazione (anche con dichiarazioni e
deposizioni)

Presentazione
Identificare tutti i dispositivi
che possono contenere prove
(digital evidence)
Identificazione: facile
Identificazione: facile? Identificazione: non sempre facile
Identificazione: non sempre facile
Fasi investigative
processo della digital evidence
Identificazione
Acquisizione
Analisi
Affidabile
Completa
Accurata
Verificabile
Ammissibile
Autentica
Completa
Affidabile
Chiara e Credibile
Chiara allaudience
Documentazione (anche con dichiarazioni e
deposizioni)

Presentazione
Affidabile: non devono
esserci dubbi sullautenticit
e sui risultati ottenuti
Fasi investigative
processo della digital evidence
Identificazione
Acquisizione
Analisi
Affidabile
Completa
Accurata
Verificabile
Ammissibile
Autentica
Completa
Affidabile
Chiara e Credibile
Chiara allaudience
Documentazione (anche con dichiarazioni e
deposizioni)

Presentazione
Completa: tutte le informazioni
rilevanti, non solo quelle di una
parte del caso
Fasi investigative
processo della digital evidence
Identificazione
Acquisizione
Analisi
Affidabile
Completa
Accurata
Verificabile
Ammissibile
Autentica
Completa
Affidabile
Chiara e Credibile
Chiara allaudience
Documentazione (anche con dichiarazioni e
deposizioni)

Presentazione
Accurata: senza errori
Fasi investigative
processo della digital evidence
Identificazione
Acquisizione
Analisi
Affidabile
Completa
Accurata
Verificabile
Ammissibile
Autentica
Completa
Affidabile
Chiara e Credibile
Chiara allaudience
Documentazione (anche con dichiarazioni e
deposizioni)

Presentazione
Verificabile: riproducibile, un altro
investigatore arriverebbe allo
stesso risultato con gli stessi dati
Fasi investigative
processo della digital evidence
Identificazione
Acquisizione
Analisi
Affidabile
Completa
Accurata
Verificabile
Ammissibile
Autentica
Completa
Affidabile
Chiara e Credibile
Chiara allaudience
Documentazione (anche con dichiarazioni e
deposizioni)

Presentazione
Live Analisys
Analisi Post Mortem
Post Mortem e Live forensic
Se il dispositivo/computer da investigare
spento (analisi post mortem)
Se il computer fosse acceso?
Se il computer non si potesse spegnere?
Ambito militare, medico, videosorveglianza,
Se lo spegnere il computer creasse danni
ad altri?
Server per database, posta,
Serve una Live Analysis
Acquisizione evidenza forense
Raccolta di evidenza forense di
tutti i tipi
Seguire procedure rigorose e ben
testate
Proteggerla da contaminazione o
distruzione e da accuse di alterazione
e gestione impropria
Levidenza della Digital forensic non differente
Non seguire le procedure potrebbe portare allesclusione
in tribunale
Acquisizione evidenza forense
Registrazione della scena
Foto e/o video
Registrare dati in uso (live forensic)
Se il sistema on, registrare i dati volatili
Se ci sono file aperti salvarli su device esterne
Assicurarsi se il computer davvero spento
Alcuni screensaver potrebbero trarre in inganno
Rimuovere la batteria nel caso di un portatile
Verificando che non sia in stanby
Non accendere il computer se era spento
Cercare password
Cercare diari, appunti, pezzi di carta
Non raro memorizzare le password nelle vicinanze della device
digitale
Acquisizione evidenza forense
Evidence tagging
Apporre tag con data, ora,
control number
Fare foto e/o video
Utile per identificare levidenza
Computer, preriferiche, cestino, note,
Etichettare cavi e connessioni
Per ricordare quali cavi e dove erano connessi
Fasi investigative
processo della digital evidence
Identificazione
Acquisizione
Analisi
Affidabile
Completa
Accurata
Verificabile
Ammissibile
Autentica
Completa
Affidabile
Chiara e Credibile
Chiara allaudience
Documentazione (anche con dichiarazioni e
deposizioni)

Presentazione
Live Analisys
Analisi Post Mortem
Mobile Forensics
Network e Internet
Forensics
Fasi investigative
processo della digital evidence
Identificazione
Acquisizione
Analisi
Affidabile
Completa
Accurata
Verificabile
Ammissibile
Autentica
Completa
Affidabile
Chiara e Credibile
Chiara allaudience
Documentazione (anche con dichiarazioni e
deposizioni)

Presentazione
Ammissibile: utilizzabile
come prova, accettata in
tribunale
Fasi investigative
processo della digital evidence
Identificazione
Acquisizione
Analisi
Affidabile
Completa
Accurata
Verificabile
Ammissibile
Autentica
Completa
Affidabile
Chiara e Credibile
Chiara allaudience
Documentazione (anche con dichiarazioni e
deposizioni)

Presentazione
Investigatore deve mantenere un log di tutte le azioni
Serve a mostrare che si fatto tutto nel modo giusto
Utile anche come checklist
Chain of Custody
Trasporto
Conservazione
Report finale
Chain of Custody
(Catena di Custodia)
Documento che contiene le informazioni
di ci che stato fatto e quali persone
fisiche hanno avuto accesso alla prova
originale ed alle copie forensi realizzate, a
partire dall'acquisizione fino ad arrivare
al giorno del processo.
Utile per mostrare lintegrit della prova e la sua
validit nel processo
Il custode pu testimoniare che non stata alterata
Tracciabilit della prova

Chain of Custody
(Catena di Custodia)
Tipiche informazioni potenziali contenute nel documento:
Numero del caso
Azienda incaricata dell'investigazione
Investigatore assegnato al caso
Natura e breve descrizione del caso
Investigatore incaricato della duplicazione dei dati
Data e ora di inizio custodia
Luogo di rinvenimento del supporto
Produttore del supporto
Modello del supporto
Numero di serie del supporto

Ogni volta che il supporto oggetto di indagini affidato ad
un nuovo investigatore, nel documento bisogna aggiungere:
Nome dell'incaricato all'analisi
Data e ora di presa in carico del supporto
Data e ora di restituzione del supporto
Trasporto
Per trasportare i reperti in laboratorio:

Sacchetti antistatici (per hard disk)
Valigie da trasporto
Gabbie di Faraday
(per dispositivi mobili)
Conservazione Report finale
Premessa
Quesiti
Incarico
Operazioni svolte
Risposta ai quesiti
Conclusioni
Consegna a chi di competenza
(Avvocati, PM, P.G., )
Errori comuni
durante linvestigazione
Non mantenimento della documentazione
opportuna
lungo e noioso
Modifica dati sistema da investigare
Aprire file (cambia time stamp!)
Installare software (sovrascrittura precedente
evidenza!)
Non consapevolezza dei propri limiti
Area vasta e complessa
Se si raggiunge il limite della propria conoscenza,
chiedere aiuto
Aspetti legali
Perito, Consulente tecnico
Prova
Ammissibilit
Frye Test
Daubert Test
Perito Consulente Tecnico
Art 220 c.p.p.: La perizia ammessa quando
occorre svolgere indagini o acquisire dati o
val utazi oni che ri chi edono speci fi che
competenze tecniche, scientifiche o artistiche.
Il Perito / Consulente Tecnico (CT) un
soggetto che testimonia in unaula giudiziaria
poich ha particolari conoscenze in un
determinato settore.
I testimoni (e non consulenti) possono deporre
solo su ci che hanno osservato/assistito e non
su personali opinioni.
Art 359 c.p.p.
Consulenti tecnici del pubblico ministero
1. Il pubblico ministero, quando procede ad
accertamenti, rilievi segnaletici, descrittivi
o fotografici e ad ogni altra operazione
tecnica per cui sono necessarie specifiche
competenze, pu nominare ed avvalersi di
consulenti, che non possono rifiutare la loro
opera.
2. Il consulente pu essere autorizzato dal
pubblico ministero ad assistere a singoli
atti di indagine
Art 360 c.p.p.
Accertamenti tecnici non ripetibili
1. Quando gli accertamenti previsti dallart.
359 riguardano persone, cose o luoghi il cui
stato soggetto a modificazione (116, 117
att.), il pubblico ministero avvisa, senza
ritardo, la persona sottoposta alle indagini,
la persona offesa dal reato e i difensori del
giorno, dell`ora e del luogo fissati per il
conferimento dell`incarico e della facolt
di nominare consulenti tecnici.

Consulenti nel processo civile
Consulente Tecnico di Parte (CTP)
Consulente Tecnico dUfficio (CTU)
Il CTP pu essere nominato solo se il giudice ha
nominato un CTU nei termini fissati dal giudice (art.
201 c.p.c., Consulente tecnico di parte)
CTU presta formale giuramento, CTP no
CTU vincolato ai quesiti del giudice
CTP risponde solo al cliente
CTP funzione di controllo tecnico su operato del
CTU, pu presentare osservazioni, istanze al CTU
ed al giudice (art. 194 c.p.c. Attivit del consulente)
Consulenti nel processo penale
Simile al processo civile
In ambito penale, due tipi di consulenza:
Consulenza tecnica ripetibile, art. 359 c.p.p.
Consulenza tecnica irripetibile, art. 360 c.p.p.
Nel caso di consulenza irripetibile, il CTU
deve verificare il corretto operato del
CTP
Prova scientifica
In generale, non solo nel mondo digitale
Quali sono le caratteristiche?
Quando ammissibile nelle aule
giudiziarie?
Uso distorto prova scientifica
Qualche esempio negli USA:
Falsificazione di risultati da parte di un ematologo
forense in centinaia di casi in un periodo di circa 10
anni in West Virginia,
contribuendo alla condanna allergastolo per centinaia di
accusati.
Falsificazione dei risultati di un patologo forense di
numerose autopsie, in Texas,
contribuendo a portare ad almeno 20 condanne a morte.
Falsificazione dei risultati di un chimico della Polizia
americana di diverse indagini tecniche
contribuendo alla condanna al carcere di centinaia di
innocenti ingiustamente accusati di violenza sessuale.

La prova nelle aule giudiziarie
(USA)
Il Frye Test
Decisione del 1923 della Corte dAppello
federale (Frye v. United States, 293 F. 1013,
1014, D.C. Cir. 1923).
Fino agli anni 1990 lo standard per determinare
lammissibilit di nuove tecniche scientifiche
sia nelle corti federali sia in quelle statali.
La decisione Daubert
Caso Daubert v. Merrell Dow (1993)
La Corte Suprema USA decise di non accettare
il Frye test
Il Frye Test
Per essere ammissibile in tribunale, la prova scientifica deve
essere raccolta usando tecniche che hanno avuto general
acceptance nel campo in cui sono applicate.

Quando si usa una nuova tecnica scientifica o una nuova
metodica, bisogna dimostrare la general acceptance in
quel campo.
Demarcazione tra scienza e pseudoscienza
Fuori dallaula giudiziaria le false scienze
(astrologia, alchimia, fisiognomica,)
Frye v. United States: caso di omicidio
Rifiutata richiesta dellimputato di utilizzare la macchina della
verit (analisi della pressione arteriosa per rilevare se si sta
dicendo la verit o meno) per provare la sua innocenza.

La decisione Daubert
Caso Daubert v. Merrell Dow (1993)
accusa alla societ farmaceutica di aver messo in
vendita 8endecun, un medicinale anti-nausea, per
donne in gravidanza che provocava malformazioni
fetali)
La Corte Suprema USA decise di non accettare
il Frye test
Fu permesso all'accusa di presentare studi (non
accettati dalla comunit scientifica) effettuati
direttamente sui feti e sulla composizione
mol ecol are del farmaco sotto accusa per
rispondere ad una serie di studi scientifici
presentati dalla difesa.
Daubert: 5 fattori
1. Theory tested
2. Standards
3. Peer review and publications
4. General acceptance
5. Error rate
Daubert: 5 fattori
1. Theory tested
2. Standards
3. Peer review and publications
4. General acceptance
5. Error rate
Daubert: 5 fattori
1. Theory tested
2. Standards
3. Peer review and publications
4. General acceptanceomunit scientifica
5. Error rate
Ci sono standard per il metodo utilizzato?
Daubert: 5 fattori
1. Theory tested
2. Standards
3. Peer review and publications
4. General acceptanceomunit scientifica
5. Error rate
La teoria o la tecnica scientifica stata sottoposta al vaglio di
giudizi imparziali (peer review) in pubblicazioni scientifiche?
Ovvero stata sottoposta a revisione critica (determinazione di
limiti e bias)?
Assicura che errori metodologici possano essere rilevati
Dimostra che la metodica pu essere applicata anche da altri.
Daubert: 5 fattori
1. Theory tested
2. Standards
3. Peer review and publications
4. General acceptance
5. Error rate
Godere di generale accettazione da
parte della comunit scientifica
Daubert: 5 fattori
1. Theory tested
2. Standards
3. Peer review and publications
4. General acceptance
5. Error rate

Conoscere la percentuale di errore

Qual il tasso di errore noto o potenziale?
Ogni idea scientifica soggetta a 2 tipi di errore: qual la
probabilit di uno dei due?
Tipo I: falso positivo
(a true null hypothesis can incorrectly be rejected).
Tipo II: falso negativo
(a false null hypothesis can fail to be rejected).
Altre caratteristiche
Qual la qualifica dellesperto e la sua
considerazione allinterno della comunit
scientifica?
La tecnica si basa solo sulle capacit di un
esperto o pu essere riprodotta altrove
anche da altri esperti?
possibile spiegare alla giuria con
sufficiente chiarezza e semplicit la
tecnica adottata cos che ne venga
compreso il funzionamento?
Suprema Corte di Cassazione
sent. 40924 del 31 ott 2008, IV sez. penale
Non sufficiente che un consulente o un perito
sostengano una determinata tesi: il giudice tenuto a
valutare laffidabilit dellesperto e delle sue conclusioni
anche chiedendo allesperto di convalidare la sua
opinione con il riferimento a studi riconosciuti che
consentano di affermare che la sua tesi confermata
dalla comunit scientifica nazionale e internazionale o
comunque, nel caso di ricerche che abbiano condotto a
soluzioni innovative, che le medesime siano state
sottoposte al vaglio della comunit scientifica di
riferimento senza che siano state avanzate obiezioni
insuperabili.
La prova nelle aule giudiziarie
(Italia)
I criteri di ammissibilit sono indicati
negli artt. 189 e 190 c.p.p.
Art. 189 c.p.p
(prove non disciplinate dalla legge).
Quando richiesta una prova non
disciplinata dalla legge, il giudice pu
assumerla se essa risulta idonea ad
assicurare laccertamento dei fatti e non
pregiudica la libert morale della persona.
Il giudice provvede allammissione, sentite
le parti [].
Art. 190 c.p.p
(diritto alla prova)
1. Le prove sono ammesse a richiesta di
parte. Il giudice provvede senza ritardo
con ordinanza escludendo le prove vietate
dalla legge e quelle che manifestamente
sono superflue o irrilevanti.
2. []
3. [].
Fasi investigative
processo della digital evidence
Identificazione
Acquisizione
Analisi
Affidabile
Completa
Accurata
Verificabile
Ammissibile
Autentica
Completa
Affidabile
Chiara e Credibile
Chiara allaudience
Documentazione (anche con dichiarazioni e
deposizioni)

Presentazione
Consideramo ora il caso
di un computer spento
(post mortem) e
dellevidenza digitale nel
suo hard disk
Acquisizione per hard disk
Acquisizione dei dati
Metodologia operativa
Smontare lhard disk
Collegarlo ad una macchina forense
Acquisire immagine dellhard disk (duplicato) su un supporto
rimovibile
Altra possibile metodologia:
Smontare lhard disk
Collegarlo ad una macchina forense
Analizzare hard disk dalla macchina forense
Ancora peggio:
Non smontare lhard disk
Macchina
forense
Hard Disk
da
analizzare
Analisi Forense di hard disk
Acquisizione dei dati
Metodologia operativa
Smontare lhard disk
Collegarlo ad una macchina forense
Acquisire immagine dellhard disk (duplicato) su un supporto
rimovibile
Altra possibile metodologia:
Smontare lhard disk
Collegarlo ad una macchina forense
Analizzare hard disk dalla macchina forense
Ancora peggio:
Non smontare lhard disk
Macchina
forense
Hard Disk
da
analizzare
Vediamo perch
bisogna evitarla!
Analisi Forense di hard disk
Se si connette un hard disk
ad un sistema di analisi:
Il sistema operativo potrebbe
scrivere su ogni hard disk connesso al sistema
Windows aggiorna il tempo di ultimo accesso ad ogni file
acceduto
Windows potrebbe scrivere dati inaspettatamente: ad esempio,
creazione cartelle nascoste per Recycle bin oppure
configurazioni hardware salvate
Un virus oppure malware sul sistema potrebbe infettare lhard
disk
File non desiderati possono essere allocati e sovrascrivere spazio
causando la distruzione di evidenza nella forma di file
precedentemente cancellati
Macchina
per analisi
Hard Disk
da
analizzare
Duplicati Forensi
Meglio effettuare analisi forense su duplicati di
hard disk
Lanalisi forense potrebbe distruggere evidenza
Il sistema da analizzare potrebbe essere non rimovibile
Un duplicato ha qualche perdita di evidenza
Tracce di precedenti contenuti di settori
Copia bit per bit (il pi basso livello possibile)
Supporto di destinazione su cui si effettua la
copia dei dati deve essere forensicamente sterile
Cancellazione sicura dei dati
Acquisizione per hard disk
Prima dellacquisizione del disco, ottenere
informazioni dal BIOS (Basic Input/Output System)
Data e ora impostate
Sequenza di boot
Acquisizione per hard disk
Prima dellacquisizione del disco, ottenere
informazioni dal BIOS (Basic Input/Output System)
Data e ora impostate
Sequenza di boot
Importante per verificare
leventuale scostamento dellora
reale e ricostruire una corretta
sequenza degli eventi
Acquisizione per hard disk
Prima dellacquisizione del disco, ottenere
informazioni dal BIOS (Basic Input/Output System)
Data e ora impostate
Sequenza di boot
Se il BIOS protetto da password
Chiedere allindiziato
BIOS password crackers
Contattare casa produttrice per info su metodi per
reset/bypass passwd oppure backdoor password
Write Blocker
Blocco di accesso in scrittura per hard
disk
Possibile solo la lettura
Write blocker
Software
Hardware

Macchina per
analisi
con Software
Write blocker
Hard Disk
da
analizzare
Hardware
Write
Blocker
Macchina
per
acquisizione
Hard Disk
da
acquisire
Hardware Write Blocker
Anche detto forensic bridge
Write blocker anche per altre risorse
Ad es., card reader forensl: accesso ln sola leuura
duranLe ll LrauamenLo dl schede dl memorla (Su,
SuC, xu, MMC, Cl, ecc.).
Hardware
Write
Blocker
Macchina
per
acquisizione
Hard Disk
da
acquisire
uS8,
rewlre,
ecc.
luL, SA1A,
SCSl, uS8,
llrewlre
ecc.
Hardware Write Blocker
Inventato da Mark Menz e Steve Bress (US patent
6,813,682 e EU patent EP1,342,145)
Programma Computer Forensics Tool Testing (CFTT) del
United States National Institute of Justice identifica
formalmente 4 requisiti per i tool:
A hardware write block (HWB) device shall not transmit a
command to a protected storage device that modifies the
data on the storage device.
An HWB device shall return the data requested by a read
operation.
An HWB device shall return without modification any access-
significant information requested from the drive.
Any error condition reported by the storage device to the
HWB device shall be reported to the host.
Laboratorio
Tableau T4
per hard disk SCSI
connessione host con FireWire 800, USB 2.0
Tableau T35es
per hard disk IDE o SATA
connessione host con eSATA, FireWire 800,
FireWire 400, USB 2.0
Tableau T8
per hard disk USB
connessione host FireWire 400, USB 2.0
Laboratorio
Forensic Dossier
Cattura dati da 1 o 2 hard disk ad
1 o 2 hard disk
Calcolo hash MD5 ed SHA-256
Cifratura disco con evidenza
Batteria
SATA ed IDE; Firewire e USB 2.0
Cattura memorie flash (Compact
flash, memory stick, SD, multi-media card)
Ricerca parole mentre duplica
Lista keyword predefinita
Interfaccia IDE
Advanced Technology Attachment (ATA), interfaccia per
connessione di dispositivi di memorizzazione (hard disk, CD-ROM)
Progettato nel 1986, nome AT Attachment in riferimento a
IBM PC/AT ed alla sua architettura del bus di 16 bit
Standard ATA, ANSI X3.221-1994
Gli standard ATA: collegamenti con lunghezze di cavo tra 45 e 90
cm, (quindi allinterno dei computer, scheda madre hard disk)
Conosciuto anche come IDE (Integrated Drive Electronics),
termine coniato da Western Digital, perch il drive controller
integrato nel drive
Controller IDE sulla scheda madre
Dopo che Serial ATA (S-ATA, SATA) fu introdotto nel febbraio
2003
ATA denominato retroattivamente Parallel ATA
EIDE (Enhanced IDE), coniato da Western Digital nel 1994,
standard ANSI X3.279-1996
Bandwidth: originalmente 16 MB/s, poi 33, 66, 100 e 133 MB/s
Interfaccia SATA
Introdotta nel febbraio 2003
Comunicazione seriale
La trasmissione in parallelo d luogo
a disturbi elettromagnetici tra i fili
quando si lavora ad alte frequenze
Lunghezza cavo max 1 metro
SATA 3.0, marzo 2009
Tipo Prestazioni teoriche
SATA 1.0 1,5 Gbit/s (192 MB/s)
SATA 2.0 3 Gbit/s (384 MB/s)
SATA 3.0 6 Gbit/s (768 MB/s)
Connettore cavo
alimentazione,
Interfaccia SCSI
Acronimo di Small Computer System Interface
Specifica ANSI x3.131-1986
In passato molto diffusa, ora solo workstation,
server e periferiche di fascia alta
Versioni:
SCSI-1, fino a 5 MB/s (40 Mbit/s)
SCSI-2, fino a 10 MB/s (80 Mbit/s)
SCSI-3, fino a 40 MB/s (320 Mbit/s)
Ultra-2, fino a 80 MB/s (640 Mbit/s)
Ultra-3, fino a 160 MB/s (1280 Mbit/s)
Ultra-320, fino a 320 MB/s (2560 Mbit/s)
Ultra-640, fino a 640 MB/s (5120 Mbit/s)
Interfacce esterne
eSA1A, no a 6 CblL/s
LxLernal SA1A
cavo e proLocollo ldenucl a SA1A, ma
conneuore dlverso
uS8 3.0, no a 4,8 CblL/s
uS8 2.0, no a 480 MblL/s
llrewlre 800, no a 800 MblL/s
llrewlre 400, no a 400 MblL/s

SATA eSATA
Verifica duplicazione
Per verificare che la copia forense
uguale alloriginale:
Verifica bit per bit
(tempo di elaborazione elevato)
Uso di funzioni hash
I programmi di acquisizione possono
calcolare e confrontare valori hash

Funzioni hash
Facile da calcolare
Difficile trovare una collisione
Le pi comuni:
MD5 (Message Digest Algorithm), valore di 128 bit
SHA-0, SHA-1 con 160 bit, SHA-2, cio SHA-224, SHA-256,
SHA-384 e SHA-512, (Secure Hash Algorithm)
Esempi:
SHA1("Cantami o diva del pelide Achille l'ira funesta") =
1f8a690b7366a2323e2d5b045120da7e93896f47
SHA1("Contami o diva del pelide Achille l'ira funesta") =
e5f08d98bf18385e2f26b904cad23c734d530ffb

Funzione
hash
valore
hash
lnpuL
Software acquisizione
Linux
dd
dcfldd, dd_rescue, sdd, rdd
Distribuzioni di Linux
Open Source Digital Forensics
http://www2.opensourceforensics.org/tools
Windows (tool commerciali)
Forensic Toolkit FTK 3 Imager, di AccessData
Encase, di Guidance Software
Software acquisizione
dd
Copia, duplicazione
Il pi vecchio, presente dagli anni 70
Esempio:
dd if=/dev/sdb of=/media/sdc/disco.dd conv=noerror,sync bs=32K

dd copies a file (from standard input to standard output,
by default) with a changeable I/O block size, while
optionally performing conversions on it.
http://www.gnu.org/software/coreutils/manual/html_node/dd-invocation.html


Software acquisizione
dd
Copia, duplicazione
Il pi vecchio, presente dagli anni 70
Esempio:
dd if=/dev/sdb of=/media/sdc/disco.dd conv=noerror,sync bs=32K

Senza sync, un errore in lettura causa unimmagine di taglia inferiore
alloriginale
Con noerror,sync un errore in lettura causa blocco di 32K con tutti 0
File destinazione taglia multipla di bs
Se file input 40K e bs=32K allora file immagine 64K
legge blocchi da 32K
default: 512 byte
input ibs, output obs
input file
output file
convert
non fermarsi dopo
eventuali errori di lettura
Padding ogni blocco
input con 0 fino alla
taglia di ibs
Software acquisizione
dd
Copia, duplicazione
Il pi vecchio, presente dagli anni 70
Esempio:
dd if=/dev/sdb of=/media/sdc/disco.dd conv=noerror,sync bs=32K

dd if=/dev/sdb of=/media/sdc/disco.dd conv=noerror,sync bs=512
un errore in lettura in un blocco 512 byte causa blocco di 512 byte con
tutti 0, e non 32K
problema per gli hard disk: molte letture e tempi molto pi lunghi
Software acquisizione
dd
dd if=/dev/zero of=/dev/had


dd if=/dev/random of=/dev/had


dd if=/dev/st0 count=10000000 of=/dev/case10img1
dd if=/dev/st0 count=10000000 skip=10000000 of=/dev/case10img2


File virtuale, restituisce
valori casuali quando letto
File virtuale, restituisce 0
quando letto
copia i primi 10GB e poi i secondi 10GB
Software acquisizione
dcfldd
Versione migliorata di dd, da parte del U.S.
Department of Defense Computer Forensic Lab
Ultima versione stabile dic 2006
Permette calcolo hash, wiping con pattern
fissati, verifica della duplicazione bit per bit,
split delloutput
dcfldd if=/dev/sourcedrive hash=md5,sha256 hashwindow=10G md5log=md5.txt sha256log=sha256.txt \
hashconv=after bs=512 conv=noerror,sync split=10G splitformat=aa of=driveimage.dd

file con i valori hash
input per hash
estensione per split
driveimage.dd.aa
driveimage.dd.ab

calcolo hash dopo
conversione
Software acquisizione
distribuzioni di Linux
Utilizzabili sulla macchina da analizzare
Avvio del computer da CD o da penna USB
Individuate le evidenze da duplicare, si
collega un disco esterno per la scrittura
Alcune distribuzioni:
Helix 3
DEFT Linux 6 (Digital Evidence & Forensics Toolkit)
CAINE 2.0 (Computer Aided INvestigative Environment)
Penguin Sleuth Kit
Software acquisizione
distribuzioni live di Linux
Utilizzabili sulla macchina da analizzare
Avvio del computer da CD o da penna USB
Individuate le evidenze da duplicare, si collega un
disco esterno per la scrittura
Alcune distribuzioni:
Helix 3
DEFT Linux 6 (Digital Evidence & Forensics Toolkit)
CAINE 2.0 (Computer Aided INvestigative Environment)
FCCU Gnu/Linux Boot CD (Belgian Federal Computer Crime Unit)
Masterkey Linux
Penguin Sleuth Kit
Deft
Digital Evidence & Forensic Toolkit
Progetto italiano nato nel 2005
Deft Linux 6, basata su Ubuntu kernel 2.6.35,
Applicativi open-source presenti:
The Sleuthkit, collezione di utility per eseguire operazioni come il recupero file cancellati,
time line, ricerca di contenuti, ecc
Autopsy Forensic Browser, linterfaccia grafica di The Sleuthkit
Dhash, software per lacquisizione e calcolo di hash su memorie di massa e file
Guymager, software per la parallelizzazione di acquisizioni di memorie di massa
Linen, software per acquisizione memorie di massa fornito dalla Guidance Software
dcfldd e dd rescue, acquisizione di memorie di massa
Md5deep, sha1deep, e sha256deep, tool per calcolo di hash
Foremost, software per il carving di dati
Photorec, software per il carving di dati
Scalpel, software per il carving
Hexedi, editor esadecimale di file e device
Search file, ricerca avanzata di file
Mount Manager, tool per il mount assistito di memorie di massa
Gpart, gestione di device e file system
Xplico, network forensic analysis tool
Wireshark, network protocol analyzer
Nessus, security scanner
Nmap, security scanner
Kismet, wireless network detector
Ettercap, suite per eseguire attacchi con metodologia man in the middle
Ophcrack e John the Ripper, cracking di password
Pdfcrack cracking tool
Fcrakzip cracking tool
IE, Mozilla and Chrome cache viewer
IE, Mozilla and Chrome history viewer
Clam antivirus, Rkhunter e Chkrootkit., individuazione e lanalisi di malware e virus

Network
Forensic
Helix 3
Helix 3
versione free
2009 e non verr aggiornata
Basata su Ubuntu
Helix 3 Enterprise
forum membership $239
annuali
Helix 3 Pro
commerciale
Tools forensi
Si possono usare tool commerciali ed
open source
Devono per essere conosciuti dalla
comunit ed accettati!
Se si usa un nuovo tool
Bisogna evitare dubbi sullaffidabilit
Utile diffondere il codice sorgente
Tools forensi
Vantaggi tool open source
Sorgenti noti
Formati aperti e compatibili
Sviluppo e controllo bug dalla comunit
Costo
Vantaggi tool commerciali
Pi facili da usare
Soluzione problemi ed aggiornamenti immediati
Si possono usare entrambi
Soprattutto se non fanno le stesse cose!
Analisi forense
Evidenza digitale:
Documenti
Immagini e video
Internet (posta elettronica, navigazione)
Partizioni
File cifrati
File nascosti

Sistema Operativo
Windows forensics
Mac forensics
Linux forensics
Analisi forense Timeline
Le evidenze digitali hanno un timestamp
Documenti
Applicativi eseguiti
Navigazione web
Registro Windows

Organizzare le evidenze collezionate in un
database e poi ordinarle rispetto al tempo
La cronologia importante per le indagini
Analisi forense Timeline:
problemi
Teoricamente i riferimenti locali del tempo sono il
relazione ad un clock di riferimento
internazionalmente riconosciuto (NIST e U.S. Naval
Observatory)
Errori nella misura del tempo, ad es. clock drift
soprattutto se tempo non sincronizzato frequentemente
Singola sorgente con tempo
tempo internamente consistente
Sorgenti multiple con tempi
bisogna fare un merge delle cronologie
Problemi anche per modifiche tempi manualmente
oppure malware / intrusioni
Analisi consistenza logica cronologia
Fasi investigative
processo della digital evidence
Identificazione
Acquisizione
Analisi
Affidabile
Completa
Accurata
Verificabile
Ammissibile
Autentica
Completa
Affidabile
Chiara e Credibile
Chiara allaudience
Documentazione (anche con dichiarazioni e
deposizioni)

Presentazione
Consideramo ora il caso
di un computer acceso
(Live Forensic)
Live forensic
Prima si raccomandava di spegnere il computer in
modo forzato con lalimentazione elettrica
Personale poco specializzato
Unico palliativo: foto/video dello schermo
Se si spegne la macchina si perdono dati nella RAM
Comunicazioni Messenger, IRC, ICQ (chat), sono in
maggior parte in RAM
Protezioni cifrate per partizioni o singoli file:
leggibili con macchina accesa, inaccessibili
altrimenti
Live forensic

Ordine di volatilit, dal pi volatile al meno (RFC 3227)
registers, cache
routing table, arp cache, process table, kernel statistics,
memory
temporary file systems
disk
remote logging and monitoring data that is relevant to the
system in question
physical configuration, network topology
archival media

Cancellazione
La semplice cancellazione dei file o la formattazione
dell'hard disk, infatti, non realizzano una vera
cancellazione delle informazioni registrate, che
rimangono spesso fisicamente presenti e tecnicamente
recuperabili

File cancellato su disco
Spazio marcato per cancellazione/riutilizzo
Spazio parzialmente sovrascritto da altri file
Cancellazione
La semplice cancellazione dei file o la formattazione
dell'hard disk, infatti, non realizzano una vera
cancellazione delle informazioni registrate, che
rimangono spesso fisicamente presenti e tecnicamente
recuperabili

File cancellato su disco
Spazio marcato per cancellazione/riutilizzo
Spazio parzialmente sovrascritto da altri file
E possibile recuperare i dati!
E possibile recuperare i dati
sovrascritti?
Data Carving
Recuperare dati cancellati ma ancora presenti non
facile:
Frammentazione file
File parzialmente sovrascritti
Data carving is the process of extracting a
collection of data from a larger data set. Data
carving techniques frequently occur during a digital
investigation when the unallocated file system
space is analyzed to extract files. The files are
"carved" from the unallocated space using file type-
specific header and footer values. File system
structures are not used during the process.
Digital Forensic Research Workshop (DFRWS)
Cancellazione dati sovrascritti
Nonostante la sovrascrittura possibile leggere ancora i dati con un
microscopio elettronico
(Peter Gutmann, Secure Deletion of Data from Magnetic and Solid-State Memory, USENIX 1996)

Idea motivazioni scrittura singolo bit:
Posizionamento testine scrittura non esatto
Quando sovrascriviamo un 1 otteniamo
vicino a 0,95 se cera uno 0
vicino a 1,05 se cera 1
each track contains an image of everything ever written to it,
but that the contribution from each layer gets progressively
smaller the further back it was made
Possibile trovare tracce dei dati precedenti
Meglio sovrascrivere 35 volte con sequenza pattern fissi e
casuali
Cancellazione sicura
Sovrascrivere:
1 volta (NIST SP-800-88, 2006)
3 volte: un carattere, il complemento e poi random (U.S. DoD
Unclassified Computer Hard Drive Disposition, 2001)
Tutti 0 (British HMG Infosec Standard 5, Baseline Standard)
Da 1 a 35 volte (Guttman)

Strumenti software di cancellazione sicura
Demagnetizzazione (degaussing), che azzera tutte le
aree di memoria elettronica e rende l'apparato
inutilizzabile
Distruzione fisica del dispositivo
di memorizzazione
Cancellazione sicura: la controversia
Craig Wright, Dave Kleiman, and Shyaam Sundhar R.S.,
Overwriting Hard Drive Data: The Great Wiping Controversy,
ICISS 2008, LNCS 5352, pp. 243257, 2008.

Tecnologia in evoluzione dal 1996 ad oggi
Non ci sono pi floppy disk, che
avevano un sistema rudimentale
Densit memorizzazione in crescita
Vero per il singolo valore del bit, ma non
tiene conto dellerrore accumulato
Non ci sono layer ma una distribuzione per
la densit per il valore di un singolo valore
Livello valori binari
Magnetic Force Microscopy
Misura densit forze magnetiche
Livello magnetico scritto varia
stocasticamente a causa di
Posizionamento testina
Temperatura
Umidit
Errori casuali
Se si vuole scrivere un valore digitale +1, ci
saranno intervalli di confidenza:
95% che si trova in (0,95, 1,05)
99% che si trova in (0,90, 1,10)

Un valore 1,06 dovuto a variazioni di
temperatura oppure ad un precedente valore?
Densit: esempio 1
Densit riscrittura valutata sperimentalmente
Esempio scrittura di un valore binario 1
Densit: esempio 2
Densit riscrittura valutata sperimentalmente
Riscrittura di un valore binario
Probabilit di recupero
(hard drive vecchi)
Test sperimentali con 19 modelli
Da un Seagate 1Gb fino a drive del 2006
Sovrascrittura con dd
Scelta bayesiana con distribuzione della densit
conosciuta (in genere non nota in una analisi forense)
Probabilit di recupero
(hard drive del 2006)
Test sperimentali con 19 modelli
Da un Seagate 1Gb fino a drive del 2006
Sovrascrittura con dd
Scelta bayesiana con distribuzione della densit
conosciuta (in genere non nota in una analisi forense)
Cancellazione sicura: la controversia
Conclusioni

The belief that a tool can be developed to retrieve gigabytes or
terabytes of information from a wiped drive is in error.
Although there is a good chance of recovery for any individual bit from
a drive, the chances of recovery of any amount of data from a drive
using an electron microscope are negligible. Even speculating on the
possible recovery of an old drive, there is no likelihood that any data
would be recoverable from the drive. The forensic recovery of data
using electron microscopy is infeasible. This was true both on old drives
and has become more difficult over time.

The fallacy that data can be forensically recovered using an electron
microscope or related means needs to be put to rest.
Craig Wright, Dave Kleiman, and Shyaam Sundhar R.S.,
Overwriting Hard Drive Data: The Great Wiping Controversy,
ICISS 2008, LNCS 5352, pp. 243257, 2008.
Cifratura
Se i dati ritrovati sono cifrati
Cercare la chiave
Chiederla allindagato
Provare a decifrare indovinando la
chiave
Sfruttare debolezze dellapplicativo
(se si conoscono)
Cifratura
Se i dati ritrovati sono cifrati
Cercare la chiave
Chiederla allindagato
Provare a decifrare indovinando la
chiave
Sfruttare debolezze dellapplicativo
(se si conoscono)
Ma se riesco a decifrare, ho risolto?
TrueCrypt
Cifratura di partizioni o intera storage device
(come hard-disk/USB flash drive)
Crea disco virtuale cifrato in un file e lo monta
come un disco reale
Windows 7/Vista/XP, Mac OS X, Linux
Cifrari:
AES (256-bit key)
Serpent (256-bit key)
Twofish (256-bit key)
Supporta cascading (ALS-1wosh, ALS-1wosh-SerpenL,
SerpenL-ALS, SerpenL-1wosh-ALS and 1wosh-SerpenL).

TrueCrypt
Plausible deniability (negabilit plausibile)
Se si forzati a rivelare la chiave, il contenuto non
viene rivelato
Idea: cifrato con una seconda chiave, in zona
nascosta del file
TrueCrypt Indistinguibilit
Casuale o
cifrato?
138
011010110111001
TrueCrypt
Header hidden volume non in chiaro
E costituito da:
Valori casuali (se non ci sono dati nascosti), oppure
Cifratura di info
Come faccio a distinguere?
TrueCrypt
Header hidden volume non in chiaro
E costituito da:
Valori casuali (se non ci sono dati nascosti), oppure
Cifratura di info
Come faccio a distinguere?
Se decifro con la chiave giusta, trovo una
caratteristica stabilita
Altrimenti significa che
La chiave non corretta, oppure
Non ci sono info nascoste
TrueCrypt
Header hidden volume non in chiaro
E costituito da:
Valori casuali (se non ci sono dati nascosti), oppure
Cifratura di info
Come faccio a distinguere?
Se decifro con la chiave giusta, trovo una
caratteristica stabilita
Altrimenti significa che
La chiave non corretta, oppure
Non ci sono info nascoste
I primi 4 byte dei dati decifrati sono la
stringa ASCII TRUE
CRC-32 degli ultimi 256 byte dei dati
decifrati = byte #8 dati decifrati
Larea del volume dove pu essere lhidden
volume header tra i bytes 65536131071
Smart Phone Forensics
Analisi forense di
Memoria interna
Scheda SIM
Memoria di massa aggiuntiva (MicroSD)
Network Service Provider
maggio 2007
SIM
Subscriber Identification Module
Smart Card con processore, OS, File System,
Applicazioni
Protetto da PIN
Propriet dellOperatore (i.e., trusted)

143
Rete cellulare
Base Transceiver Station
interfaccia radio con i terminali mobili
Base Station
Controller
BTS posizionata
su un tetto

144
IMEI
International Mobile Equipment Identity
Codice numerico che identifica univocamente terminale mobile

Si pu visualizzare digitando *#06#
Salvato nella scheda madre del cellulare
All'avvio di ogni chiamata trasmesso alla rete dell'operatore
Blacklist convivisa dagli operatori
(cellulari rubati bloccati)
Analisi IMEI
http://www.numberingplans.com/?page=analysis&sub=imeinr
8 cifre 6 cifre 1-2 cifre
Type Allocation Code SNR
145
IMEI
International Mobile Equipment Identity
Codice numerico che identifica univocamente terminale mobile

Si pu visualizzare digitando *#06#
Salvato nella scheda madre del cellulare
All'avvio di ogni chiamata trasmesso alla rete dell'operatore
Blacklist convivisa dagli operatori
(cellulari rubati bloccati)
Analisi IMEI
http://www.numberingplans.com/?page=analysis&sub=imeinr
8 cifre 6 cifre 1-2 cifre
Type Allocation Code SNR
146
Esistono cellulari e software che permettono il cambio di IMEI
Non occorrono particolari conoscenze tecniche
In alcuni paesi illegale
IMSI
International Mobile Subscriber Identity
(IMSI)
unico numero che viene associato agli utenti di
telefonia mobile di reti GSM o UMTS
lungo di solito 15 cifre
memorizzato nella SIM
viene inviato dal dispositivo mobile alla rete
Autenticazione tra SIM e Operatore
Chiave simmetrica
A5/1, A5/2, KASUMI
147
chiave
privata
chiave
privata
Network Service Provider
Devono conservare i dati del traffico
Il contenuto non pu essere intercettato n conservato a priori
Il contenuto conoscibile solo in seguito a provvedimento dellAutorit giudiziaria
Quindi, impossibile risalire al contenuto di una comunicazione a
posteriori
Anche in presenza di ordine dellAutorit giudiziaria
Contenuto delle comunicazioni:
Voce telefonate
Testo SMS
informazioni sui siti visitati dagli utenti, anche quando esse siano specificate con
notazione URL o con mero indirizzo IP di destinazione (Garante per la tutela dei dati
personali con pronunciamento del 10 gennaio 2008)
Destinazione del traffico Internet, ad eccezione di messaggi di posta elettronica o
servizi VoIP (si tratta in realt di situazioni analoghe a quelle del traffico telefonico)
Network Service Provider
Decreto Legislativo 30 maggio 2008, n. 109
Art. 3. Categorie di dati da conservare per gli operatori di telefonia e di
comunicazione elettronica
a) i dati necessari per rintracciare e identificare la fonte di una comunicazione:
1) per la telefonia di rete fissa e la telefonia mobile:
1.1 numero telefonico chiamante;
1.2 nome e indirizzo dell'abbonato o dell'utente registrato;
2) per l'accesso internet:
2.1 nome e indirizzo dell'abbonato o dell'utente registrato a cui al momento della comunicazione sono stati univocamente assegnati
l'indirizzo di protocollo internet (IP), un identificativo di utente o un numero telefonico;
3) per la posta elettronica:
3.1 indirizzo IP utilizzato e indirizzo di posta elettronica ed eventuale ulteriore identificativo del mittente;
3.2 indirizzo IP e nome a dominio pienamente qualificato del mail exchanger host, nel caso della tecnologia SMTP ovvero di qualsiasi
tipologia di host relativo ad una diversa tecnologia utilizzata per la trasmissione della comunicazione;
4) per la telefonia, invio di fax, sms e mms via internet:
4.1 indirizzo IP, numero telefonico ed eventuale altro identificativo dell'utente chiamante;
4.2 dati anagrafici dell'utente registrato che ha effettuato la comunicazione;
b) i dati necessari per rintracciare e identificare la destinazione di una
comunicazione:
c) i dati necessari per determinare la data, l'ora e la durata di una comunicazione:
d) i dati necessari per determinare il tipo di comunicazione:
e) i dati necessari per determinare le attrezzature di comunicazione degli utenti o
quello che si presume essere le loro attrezzature:
f) i dati necessari per determinare l'ubicazione delle apparecchiature di
comunicazione mobile:
Network Service Provider
Decreto Legislativo 30 maggio 2008, n. 109
Art. 3. Categorie di dati da conservare per gli operatori di telefonia e di comunicazione
elettronica
a) i dati necessari per rintracciare e identificare la fonte di una comunicazione:
b) i dati necessari per rintracciare e identificare la destinazione di una comunicazione:
1) per la telefonia di rete fissa e la telefonia mobile:
1.1 numero composto, ovvero il numero o i numeri chiamati e, nei casi che comportano servizi supplementari come
l'inoltro o il trasferimento di chiamata, il numero o i numeri a cui la chiamata e' trasmessa;
1.2 nome e indirizzo dell'abbonato o dell'utente registrato;
2) per la posta elettronica:
2.1 indirizzo di posta elettronica, ed eventuale ulteriore identificativo, del destinatario della comunicazione;
2.2 indirizzo IP e nome a dominio pienamente qualificato del mail exchanger host (nel caso della tecnologia SMTP),
ovvero di qualsiasi tipologia di host (relativamente ad una diversa tecnologia utilizzata), che ha provveduto alla
consegna del messaggio;
2.3 indirizzo IP utilizzato per la ricezione ovvero la consultazione dei messaggi di posta elettronica da parte del
destinatario indipendentemente dalla tecnologia o dal protocollo utilizzato;
3) telefonia, invio di fax, sms e mms via internet:
3.1 indirizzo IP, numero telefonico ed eventuale altro identificativo dell'utente chiamato;
3.2 dati anagrafici dell'utente registrato che ha ricevuto la comunicazione;
3.3 numero o numeri a cui la chiamata e' trasmessa, nei casi di servizi supplementari come l'inoltro o il
trasferimento di chiamata;
c) i dati necessari per determinare la data, l'ora e la durata di una comunicazione:
d) i dati necessari per determinare il tipo di comunicazione:
e) i dati necessari per determinare le attrezzature di comunicazione degli utenti o
quello che si presume essere le loro attrezzature:
f) i dati necessari per determinare l'ubicazione delle apparecchiature di comunicazione
mobile:
Network Service Provider
Decreto Legislativo 30 maggio 2008, n. 109
Art. 3. Categorie di dati da conservare per gli operatori di telefonia e di
comunicazione elettronica
a) i dati necessari per rintracciare e identificare la fonte di una comunicazione:
b) i dati necessari per rintracciare e identificare la destinazione di una
comunicazione:
c) i dati necessari per determinare la data, l'ora e la durata di una comunicazione:
1) per la telefonia di rete fissa e la telefonia mobile, data e ora dell'inizio e della fine della comunicazione;
2) per l'accesso internet :
2.1 data e ora (GMT) della connessione e della disconnessione dell'utente del servizio di accesso
internet, unitamente all'indirizzo IP, dinamico o statico, univocamente assegnato dal fornitore di
accesso internet a una comunicazione e l'identificativo dell'abbonato o dell'utente registrato;
3) per la posta elettronica:
3.1 data e ora (GMT) della connessione e della disconnessione dell'utente del servizio di posta
elettronica su internet ed indirizzo IP utilizzato, indipendentemente dalla tecnologia e dal protocollo
impiegato;
4) per la telefonia, invio di fax, sms e mms via internet:
4.1 data e ora (GMT) della connessione e della disconnessione dell'utente del servizio utilizzato su
internet ed indirizzo IP impiegato, indipendentemente dalla tecnologia e dal protocollo usato;
d) i dati necessari per determinare il tipo di comunicazione:
e) i dati necessari per determinare le attrezzature di comunicazione degli utenti o
quello che si presume essere le loro attrezzature:
f) i dati necessari per determinare l'ubicazione delle apparecchiature di
comunicazione mobile:
Network Service Provider
Decreto Legislativo 30 maggio 2008, n. 109
Art. 3. Categorie di dati da conservare per gli operatori di telefonia e di
comunicazione elettronica
a) i dati necessari per rintracciare e identificare la fonte di una comunicazione:
b) i dati necessari per rintracciare e identificare la destinazione di una
comunicazione:
c) i dati necessari per determinare la data, l'ora e la durata di una comunicazione:
d) dati necessari per determinare il tipo di comunicazione:
1) per la telefonia di rete fissa e la telefonia mobile: il servizio telefonico utilizzato;
2) per la posta elettronica internet e la telefonia internet: il servizio internet utilizzato;
e) i dati necessari per determinare le attrezzature di comunicazione degli utenti o
quello che si presume essere le loro attrezzature:
f) i dati necessari per determinare l'ubicazione delle apparecchiature di
comunicazione mobile:
Network Service Provider
Decreto Legislativo 30 maggio 2008, n. 109
Art. 3. Categorie di dati da conservare per gli operatori di telefonia e di
comunicazione elettronica
a) i dati necessari per rintracciare e identificare la fonte di una comunicazione:
b) i dati necessari per rintracciare e identificare la destinazione di una
comunicazione:
c) i dati necessari per determinare la data, l'ora e la durata di una comunicazione:
d) dati necessari per determinare il tipo di comunicazione:
e) i dati necessari per determinare le attrezzature di comunicazione degli utenti o
quello che si presume essere le loro attrezzature:
1) per la telefonia di rete fissa, numeri telefonici chiamanti e chiamati;
2) per la telefonia mobile:
2.1 numeri telefonici chiamanti e chiamati;
2.2 International Mobile Subscriber Identity (IMSI) del chiamante;
2.3 International Mobile Equipment Identity (IMEI) del chiamante;
2.4 l'IMSI del chiamato;
2.5 l'IMEI del chiamato;
2.6 nel caso dei servizi prepagati anonimi, la data e l'ora dell'attivazione iniziale della carta e
l'etichetta di ubicazione (Cell ID) dalla quale e' stata effettuata l'attivazione;
3) per l'accesso internet e telefonia, invio di fax, sms e mms via internet:
3.1 numero telefonico chiamante per l'accesso commutato (dial-up access);
3.2 digital subscriber line number (DSL) o un altro identificatore finale di chi e' all'origine della
comunicazione;
f) i dati necessari per determinare l'ubicazione delle apparecchiature di
comunicazione mobile:
Network Service Provider
Decreto Legislativo 30 maggio 2008, n. 109
Art. 3. Categorie di dati da conservare per gli operatori di telefonia e di
comunicazione elettronica
a) i dati necessari per rintracciare e identificare la fonte di una comunicazione:
b) i dati necessari per rintracciare e identificare la destinazione di una
comunicazione:
c) i dati necessari per determinare la data, l'ora e la durata di una comunicazione:
d) i dati necessari per determinare il tipo di comunicazione:
e) i dati necessari per determinare le attrezzature di comunicazione degli utenti o
quello che si presume essere le loro attrezzature:
f) i dati necessari per determinare l'ubicazione delle apparecchiature di
comunicazione mobile:
1) etichetta di ubicazione (Cell ID) all'inizio della comunicazione;
2) dati per identificare l'ubicazione geografica della cella facendo riferimento alle loro
etichette di ubicazione (Cell ID) nel periodo in cui vengono conservati i dati sulle
comunicazioni.
Network Service Provider
fattore tempo
Decreto Legislativo 196/2003 modificato dal d.lgs. 30 maggio 2008, n. 109

Art. 132 (Conservazione di dati di traffico per altre finalit).
.... i dati relativi al traffico telefonico, sono conservati dal fornitore per
ventiquattro mesi dalla data della comunicazione, per finalit di
accertamento e repressione dei reati, mentre, per le medesime finalit, i
dati relativi al traffico telematico, esclusi comunque i contenuti delle
comunicazioni, sono conservati dal fornitore per dodici mesi dalla data della
comunicazione.
... I dati relativi alle chiamate senza risposta, trattati temporaneamente da
parte dei fornitori di servizi di comunicazione elettronica accessibili al
pubblico oppure di una rete pubblica di comunicazione, sono conservati per
trenta giorni.


I dati sono richiesti dal PM direttamente.

Smart Phone Forensics
Repertamento
Posizione del telefono
Problemi fisici (schermo rotto, )
Documentare info sullo schermo (se acceso)
Foto e video del cellulare e dellambiente
Sequestrare:
Cavi connessione
Caricabatteria
Imballaggi
Memorie di massa o rimovibili
Manuali duso
Supporti contenenti il software del telefono
Bollete telefoniche associate allutenza
Confezione della SIM (con PIN e PUK di fabbricazione)
Smart Phone Forensics
Isolamento
Se il telefono acceso, bisogna isolarlo dalla
rete cellulare
Spegnere il dispositivo
Uso di jammer (disturbatori frequenze)
Uso di contenitore schermato
Richiedere blocco al Network Service Provider
Image Forensics
Integrit delle immagini digitali
Popolarit delle macchine fotografiche
Software per elaborazioni immagini
Valore probatorio immagini digitali
Image Forensics
Vera o fotomontaggio?
Turista allosservatorio del
Word Trade Center
11 sett 2001
Image Forensics
Vera o fotomontaggio?
Ombre sbagliate
Confrontare volto ed aereo
Osservatorio apre alle 9:30
Impatto aereo precedente
Foto rivolta a nord
Torre sud colpita da aereo
proveniente da sud
Modello aereo errato
E un 757 non un 767

Image Forensics
Vera o fotomontaggio?
Familiare?
Image Forensics
Vera o fotomontaggio?
Image Forensics
Vera o fotomontaggio?
Image Forensics
Lancio missili in Iran
Luglio 2008
Image Forensics
fotomontaggio
Image Forensics
Foto Associated Press
Foto apparsa nel giornale al-Ahram
Incontro a Washington, 2 settembre 2010
Image Forensics
Foto di Osama Bin Laden morto, diffusa prima dalle tv pakistane
e poi ripresa dalle tv di tutto il mondo (maggio 2011)
Originale 20060923-torturedosama.jpg preso da
www.unconfirmedsources.com del 23 sett 2006
Image Forensics
Presidente Abraham Lincoln e politico John Calhoun.
Immagine creata nel 1860.
Image Forensics
Integrit delle immagini digitali
Popolarit delle macchine fotografiche
Software per elaborazioni immagini
Valore probatorio immagini digitali
Manipolazione dellopinione pubblica
Riconoscimento immagini pedopornografiche
create sinteticamente a computer o
fotografate
Identificazione dispositivo di acquisizione
Exif
Exchangeable image file format
Standard che spcifica formato immagini JPEG e TIFF e file
audio
Creato da Japan Electronic Industries Development
Association (JEIDA)
Metadata tags danno informazioni su:
date ed ora
impostazioni della fotocamera:
modello e produttore della fotocamera
orientamento, apertura, velocit dello scatto, lunghezza focale,
bilanciamento del bianco, velocit ISO
una miniatura (thumbnail) per visualizzare un'anteprima
descrizioni ed informazioni di copyright
informazioni relative alla locazione degli scatti (GPS)
informazioni relative alla compressione dei dati
Exif
Esempio
Sommario
Introduzione
Principi e Metodologie (con aspetti legali)
Cancellazione
Crittografia
Smart Pone Forensics
Image Forensics
Tecniche Antiforensi
Alibi Digitale Falso
Laboratorio
Anti-forensics
Una definizione:
any attempts to compromise the
availability or usefulness of evidence
to the forensics process
Ryan Harris, Arriving at an anti-forensics consensus: Examining how to define and control the anti-forensics problem,
Digital Investigation 2006
Anti-forensics
Obiettivi:
Evitare il rilevamento di alcuni eventi
Creare problemi per la collezione delle
informazioni
Aumentare il tempo necessario ad un
investigatore per lanalisi di un caso
Causare dubbi su un rapporto/
testimonianza forense
Tipi di Anti-forensics
Distruggere evidenza
Nascondere evidenza
Prevenire la creazione di evidenza
Falsificare evidenza
Tipi di Anti-forensics
Distruggere evidenza
Nascondere evidenza
Prevenire la creazione di evidenza
Falsificare evidenza
Nel mondo fisico:
come cancellazione impronte su pistola

Sovrascrivere dati e metadati:
Intero media
Singoli file
File precedentemente cancellati
(per es., scrivere file finch non c pi spazio libero sul media)

Cancellare evidenza pu creare evidenza
Nessuna tipo di evidenza (come nessuna impronta)
Esistenza tool di cancellazione
Tipi di Anti-forensics
Distruggere evidenza
Nascondere evidenza
Prevenire la creazione di evidenza
Falsificare evidenza
Nel mondo fisico:
come sotterrare pistola / seppellire cadavere

Steganografia

Crittografia

Evidenza pu essere ritrovata

Esistenza tool di data hiding
Tipi di Anti-forensics
Distruggere evidenza
Nascondere evidenza
Prevenire la creazione di evidenza
Falsificare evidenza
Nel mondo fisico:
come usare guanti prima di usare pistola

Evitare evidenza pu creare evidenza
Nessuna tipo di evidenza (come nessuna impronta)
Esistenza tool ad-hoc
Tipi di Anti-forensics
Distruggere evidenza
Nascondere evidenza
Prevenire la creazione di evidenza
Falsificare evidenza
Modifica selettiva di evidenza

Creazione di evidenza falsa
Sommario
Introduzione
Principi e Metodologie (con aspetti legali)
Tecniche Antiforensi
Alibi Digitale Falso
Laboratorio
Nelle prossime lezioni