Sei sulla pagina 1di 44

Giuseppe Vaciago

Computer Forensic
Milano – Università degli Studi Milano -
Bicocca

Seminario “Computer Forensics” Università degli Studi di Milano Bicocca – 8 maggio 2008
COMPUTER FORENSICS
Avv. Giuseppe Vaciago

1. Investigazioni telematiche
(8 maggio ore 15.30 – 17.30)
2. Elementi di Computer Forensic
(15 maggio ore 15.30 - 17.30)
3. Gli strumenti processuali
(22 maggio ore 15.30 - 17.30)
4. Casistica giurisprudenziale
(29 maggio – ore 15.30 - 17.30)
AVVIO DI WINDOWS
Il processore si attiva avviando una procedura di controllo che verifica il
corretto funzionamento
Dopo aver verificato, dà disposizione al BIOS di avviare il sistema
operativo
Il BIOS legge la procedura da seguire in una zona protetta del computer
di avviare il sistema operativo detta Master Boot Record

Seminario “Computer Forensics” Università degli Studi di Milano Bicocca – 8 maggio 2008
REGISTRO DI SISTEMA

Il registro di sistema è un registro nel quale sono memorizzate tutte le


informazioni relative a Windows, ai componenti del computer e ai
programmi installati.
Per visualizzarlo è sufficiente selezionare esegui da Start e digitare il
termine Regedit

Seminario “Computer Forensics” Università degli Studi di Milano Bicocca – 8 maggio 2008
REGISTRO DI SISTEMA

Seminario “Computer Forensics” Università degli Studi di Milano Bicocca – 8 maggio 2008
REGISTRO DI SISTEMA

Attraverso il registro di sistema è possibile recuperare informazioni utili


ad un’indagine. Ad esempio dalla chiave HKEY_LOCAL_MACHINE è
possibile conoscere quali periferiche sono state installate all’interno di
un computer e quindi sapere se una chiave USB è stata recentemente
usata per prelevare dati:
1. Dal menù Start/Esegui digitare regedit
2. Scegliere la cartella HKEY_LOCAL_MACHINE
3. Selezionare la cartella System
4. Selezionare la cartella MountedDevices
5. Verificare in fondo all’elenco l’unità dei Dos Device
6. Selezionare e cliccare l’unità interessata e verificare dai “dati valore”
la dicitura “Storage Removable Media”

Seminario “Computer Forensics” Università degli Studi di Milano Bicocca – 8 maggio 2008
REGISTRO DI SISTEMA

Seminario “Computer Forensics” Università degli Studi di Milano Bicocca – 8 maggio 2008
STEGANOGRAFIA

Il termine steganografia è composto dalle parole greche stèganos


(nascosto) e gràfein (scrittura) e individua una tecnica risalente
all'antica Grecia che si prefigge di nascondere la comunicazione tra due
interlocutori.

Nel campo dell'informatica, due utenti possono utilizzare la


steganografia digitale per inviarsi messaggi nascosti all'interno di file di
"copertura" (filigrana elettronica), come immagini o altri file
multimediali: in questo tipo di file l'alterazione di pochi bit non altera in
modo evidente il contenuto.

Seminario “Computer Forensics” Università degli Studi di Milano Bicocca – 8 maggio 2008
STEGANOGRAFIA

1. Creazione di un file steganografato


Invisible secret:
http://www.softpedia.com/progDownload/Invisible-Secret-Download-
6044.html (versione trial 15 giorni)

2. Individuazione di un file steganografato


Stegdetect:
http://www.outguess.org/download.php (versione Window Binary)

Seminario “Computer Forensics” Università degli Studi di Milano Bicocca – 8 maggio 2008
STEGANOGRAFIA – INVISIBLE SECRET

Seminario “Computer Forensics” Università degli Studi di Milano Bicocca – 8 maggio 2008
RECUPERO DATI CANCELLATI

1. Undelete Plus è un software molto utile per i supporti removibili


(memorie USB)
a. Installare il software reperibile all’indirizzo: http://undelete-plus.com/
b. Selezionare l’unità di cui si vuole scansionare il contenuto cancellato
c. Provare a recuperare il file attraverso il comando ripristino

2. Attraverso Win Hex, invece, è possibile altresì conoscere almeno il


titolo dei file cancellati
a. Installare il software Win Hex reperibile all’indirizzo:
http://www.x-ways.net/winhex/
b. Selezionare dal menù Tools Open Disk e scegliere l’unità desiderata

Seminario “Computer Forensics” Università degli Studi di Milano Bicocca – 8 maggio 2008
RECUPERO PASSWORD

1. Un software tanto utile quanto pericoloso è Outlook Express Key


reperibile in versione demo all’indirizzo
http://www.lostpassword.com/outlook-express.htm
Dopo aver installato questo software è possibile recuperare le
password di Outlook Express a patto che le stesse siano state
memorizzate (operazioni normale per chi utilizza tale software)
2. Un altro software particolarmente interessante soprattutto perché
gratuito è Asterisk Key reperibile all’indirizzo internet:
http://www.lostpassword.com/asterisk.htm

Anche in questo caso dopo aver aperto una finestra dove sono
presenti della password nascoste da asterischi è sufficiente eseguire
asterisk key e automaticamente il software recupera le password

Seminario “Computer Forensics” Università degli Studi di Milano Bicocca – 8 maggio 2008
NASCONDERE UN FILE

Un classico metodo per nascondere un file è quello di utilizzare la


crittografia:
La crittografia tratta delle "scritture nascoste" (significato etimologico
della parola) ovvero dei metodi per rendere un messaggio "offuscato" in
modo da non essere comprensibile a persone non autorizzate a
leggerlo.
La parola crittografia deriva dalla parola greca kryptós che significa
nascosto e dalla parola greca gráphein che significa scrivere.
La crittografia è la controparte della crittanalisi ed assieme formano la
crittologia.

Seminario “Computer Forensics” Università degli Studi di Milano Bicocca – 8 maggio 2008
NASCONDERE UN FILE

Fino a pochi anni fa l'unico metodo crittografico esistente era quello della
"crittografia simmetrica", in cui si faceva uso di un'unica chiave sia per
proteggere il messaggio che per renderlo nuovamente leggibile. La
ricerca sulla crittografia simmetrica ha negli anni prodotto dei sistemi
crittografici di tutto rispetto (ultimo tra tutti il cifrario Rijndael, scelto per il
nuovo standard AES per essere utilizzato nel prossimo ventennio,
pensionando l'ormai datato DES).
Software Encrypt on Click

Seminario “Computer Forensics” Università degli Studi di Milano Bicocca – 8 maggio 2008
TROVARE UN FILE NASCOSTO

È interessante sapere che quando si stampa un documento, il computer


“registra” il dialogo con la periferica attraverso la creazione di un
apposito file.
Di conseguenza è possibile sapere anche a distanza di tempo quale tipo
di file è stato stampato da un determinato computer.
a. Effettuare il seguente percorso: Start/Pannello di controllo/Stampanti
b. Selezionare la stampante in funzione e con il pulsante destro aprire la
finestra della proprietà
c. Attivare dal menù Avanzate, la funzione “Mantieni i documenti in
stampa”
d. Dopo aver fatto ciò e aver fatto una stampa di provare effettuare il
seguente percorso: C:Windows\System32\Spool\Printers

Seminario “Computer Forensics” Università degli Studi di Milano Bicocca – 8 maggio 2008
TROVARE UN FILE NASCOSTO

e. Il file trovato avrà una estensione .SPL e per poterlo analizzare sarà
necessario un “Editor Esadecimale”
f. Un software gratuito è FS HED disponibile al seguente indirizzo
http://www.funduc.com/fshexedit.htm
g. Una volta installato il software sarà possibile aprile il file e verificare,
con una certa difficoltà, il contenuto degli ultimi file stampati

Seminario “Computer Forensics” Università degli Studi di Milano Bicocca – 8 maggio 2008
CANCELLARE LE TRACCE
Un primo banale sistema per poter cancellare le tracce è svuotare la cache del
proprio browser per la navigazione in rete
In informatica, la cache (nascondiglio, deposito segreto, in inglese) è un insieme
di dati che viene memorizzato in una posizione temporanea, dalla quale possa
essere recuperato velocemente su richiesta.
Per fare ciò sul browser Internet Explorer di Microsoft è sufficiente andare sul
menù strumenti/opzioni/elimina ed eliminare:
File: Copie di pagine web, immagini ed elementi multimediali salvati per una più rapida
visualizzazione
Cookies (letteralmente "biscottini"): sono piccoli file di testo che i siti web utilizzano per
immagazzinare alcune informazioni nel computer dell'utente al fine di velocizzare un
nuovo accesso. I cookie sono inviati dal sito web e memorizzati sul computer. Possono
essere volatili (si cancellano dopo aver spento il computer) o persistenti.
Cronologia: indica tutti i siti e le pagine web visitate
Moduli: indicano tutte le tipologie di ricerche effettuate
Password: memorizzano tutte le password inserite

Seminario “Computer Forensics” Università degli Studi di Milano Bicocca – 8 maggio 2008
CANCELLARE LE TRACCE

Seminario “Computer Forensics” Università degli Studi di Milano Bicocca – 8 maggio 2008
CANCELLARE LE TRACCE
Un ottimo browser per la navigazione, secondo molti migliore di Firefox, reperibile
gratuitamente all’indirizzo internet (http://www.firefox2.com/it/)
Come nel caso di Internet Explorer è possibile eliminare le tracce della propria
navigazione andando su strumenti/elimina dati personali.

Tuttavia nel caso di Firefox è possibile recuperare i dati digitando anche sulla
barra degli indirizzi: about:cache

Seminario “Computer Forensics” Università degli Studi di Milano Bicocca – 8 maggio 2008
CANCELLARE LE TRACCE

Seminario “Computer Forensics” Università degli Studi di Milano Bicocca – 8 maggio 2008
ANALISI DI UN COOKIE
È possibile effettuare una analisi di un cookie:
1. Installare ed eseguire il software Cookie View reperibile all’indirizzo
http://www.digital-detective.co.uk/freetools/cookieview.asp
2. Recuperare un cookie facendo il seguente percorso: strumenti/opzioni
internet/impostazioni/visualizza file oppure C:/Documents and Settings/Nome
utente/Cookies. A questo punto devi scegliere un cookie ad esempio:
Cookie:giuseppe.vaciago@ebay.com/
3. Eseguire Cookie View e trascinare il cookie all’interno della finestra del
software cookie view e visualizzare il contenuto dell’analisi

Seminario “Computer Forensics” Università degli Studi di Milano Bicocca – 8 maggio 2008
ANALISI DI UN COOKIE
Nell’analisi compariranno sei valori che consistono in:
1. Key: il nome della variabile contenuta nel cookie
2. Value: valore della variabile
3. Host: sito che ha generato il cookie
4. Secure: compare True se il cookie dopo essere stato generato viene scaricato
nel computer tramite un sistema di sicurezza, altrimenti compare False
5. Modified date: data e ora dell’ultima modifica della variabile del cookie
6. Expiration date: data in cui il cookie non sarà più considerato valido
I valori interessanti in una indagine informatica sono Host e Modified date

Seminario “Computer Forensics” Università degli Studi di Milano Bicocca – 8 maggio 2008
ANALISI DELLA RAM

R.A.M., acronimo usato nell'informatica per Random Access Memory, è


il supporto di memoria su cui è possibile leggere e scrivere informazioni
con un accesso "casuale", ovvero senza dover rispettare un determinato
ordine, come ad esempio avviene per un nastro magnetico.
Per analizzare la RAM è sufficiente
a. Installare il software WIN HEX reperibile all’indirizzo:
http://www.x-ways.net/winhex/
b. Dal menù Tools selezionare Open Ram
c. Selezionare un file presente nella RAM e dalla finestra di lettura dei
dati esadecimali cercare di decifrare il contenuto del file

Seminario “Computer Forensics” Università degli Studi di Milano Bicocca – 8 maggio 2008
FILE DI LOG

I file di log sono file che, registrando tutte le operazioni compiute


dall’elaboratore elettronico durante il suo funzionamento, contengono
rilevanti informazioni relativi al sistema, compresi i servizi e le
applicazioni in funzione.
In un normale computer di casa coesistono diversi tipi di file di log:
- log di sistema: memorizza gli eventi significativi che intercorrono tra il
sistema, come fornitore di servizi e le applicazioni, come clienti dei
servizi stessi;
- log di applicazione: molte applicazioni prevedono i propri log su cui
sono registrati eventi caratteristici dell'applicazione;
- log di base dati: in questo caso è il sistema gestore di base dati che
registra le operazioni fatte sulla base dati (inserimento, aggiornamento,
cancellazione di record).

Seminario “Computer Forensics” Università degli Studi di Milano Bicocca – 8 maggio 2008
FILE DI LOG

I file di log hanno generalmente la funzione di risolvere un determinato


malfunzionamento del sistema, ma possono anche fornire utili
informazioni nel caso di un’investigazione telematica.
L’analisi dei file di log sul computer “vittima” o sui server che gestiscono
il traffico telematico transitato su una data rete, possono consentire
l’individuazione del soggetto che ha commesso l’illecito.
Per poter monitorare un personal computer è necessario attivare la
registrazione dei file di log attraverso il seguente percorso:
a. Start/ Pannello di Controllo / Strumenti di Amministrazione/
Impostazione Protezione locale/ Criteri di controllo
b. Una volta avuto accesso a tale finestra è necessario attivare i
controlli facendo doppio click su ogni singolo controllo

Seminario “Computer Forensics” Università degli Studi di Milano Bicocca – 8 maggio 2008
FILE DI LOG

Seminario “Computer Forensics” Università degli Studi di Milano Bicocca – 8 maggio 2008
FILE DI LOG

Seminario “Computer Forensics” Università degli Studi di Milano Bicocca – 8 maggio 2008
FILE DI LOG

Una volta raggiunta tale finestra è necessario visualizzare gli eventi che
sono stati registrati attraverso la finestra visualizzatore eventi che si
trova sempre nel menù Strumenti di Amministrazione.

Inoltre è necessario attivare dal menù azione l’opzione proprietà e


aumentare la capienza della registrazione dei file di log fino a 1024 KB,
in modo che possa essere conservata l’attività dell’ultima settimana

All’interno delle varie sottocartelle (Applicazione, Protezione, Sistema,


Internet Explorer) è possibile aprire gli eventi al fine di quali operazioni
sono state compiute e in quale ora

Seminario “Computer Forensics” Università degli Studi di Milano Bicocca – 8 maggio 2008
FILE DI LOG

Seminario “Computer Forensics” Università degli Studi di Milano Bicocca – 8 maggio 2008
FILE DI LOG

Seminario “Computer Forensics” Università degli Studi di Milano Bicocca – 8 maggio 2008
KEY LOGGER

Un keylogger è, nel campo dell'informatica, uno strumento in grado di


intercettare tutto ciò che un utente digita sulla tastiera del proprio
computer. Esistono vari tipi di keylogger:
Hardware: vengono collegati al cavo di comunicazione tra la tastiera ed
il computer o all'interno della tastiera

Software: programmi che controllano e salvano la sequenza di tasti che


viene digitata da un utente.

Seminario “Computer Forensics” Università degli Studi di Milano Bicocca – 8 maggio 2008
KEY LOGGER

Un buon software di Key Logger è “Quick Key Logger” scaricabile in


versione demo al seguente indirizzo:
http://www.refog.com/free-keylogger/key-logger.html
Dopo aver installato il software:
a. Selezionare esegui dal menù Start
b. Visualizzare tutto ciò che è stato digitato sulla tastiera

* Attraverso il software Perfect Key Logger è possibile inviare ad un


indirizzo di posta elettronica tutti i tasti digitati

Seminario “Computer Forensics” Università degli Studi di Milano Bicocca – 8 maggio 2008
ANALISI DI UNA MAIL

Una banale, ma pericoloso scam che avviene attraverso lo spam è


quello di indirizzare verso un sito differente da quello che compare
all’interno della mail.
Le procedure che vengono adottate per ottenere ciò sono:
1. Creazione di un immagine jpeg con il testo di un sito molto noto (ad
esempio www.microsoft.com)

2. Inserimento dell’immagine all’interno della mail, in modo che appaia


un vero e proprio testo

3. Inserimento di un collegamento ipertestuale all’interno dell’immagine


con un indirizzo ovviamente differente rispetto a www.microsoft.com

Seminario “Computer Forensics” Università degli Studi di Milano Bicocca – 8 maggio 2008
ANALISI DI UNA MAIL

Seminario “Computer Forensics” Università degli Studi di Milano Bicocca – 8 maggio 2008
ANALISI DI UNA MAIL

Seminario “Computer Forensics” Università degli Studi di Milano Bicocca – 8 maggio 2008
ANALISI DI UNA MAIL

Seminario “Computer Forensics” Università degli Studi di Milano Bicocca – 8 maggio 2008
ANALISI DI UNA MAIL
Quando utilizziamo un client di posta elettronica per scaricare una mail
(Outlook o Outlook Express), i campi predefiniti sono solitamente 4 (Da,
Data, A, Oggetto)

Seminario “Computer Forensics” Università degli Studi di Milano Bicocca – 8 maggio 2008
ANALISI DI UNA MAIL
Selezionando con il pulsante destro una mail e scegliendo proprietà e
successivamente dettagli è possibile, tuttavia, avere altre importanti
informazioni:

Seminario “Computer Forensics” Università degli Studi di Milano Bicocca – 8 maggio 2008
ANALISI DI UNA MAIL

Solitamente una mail non arriva direttamente al destinatario, ma passa


attraverso indirizzi intermedi chiamati MTA (Mail Transfer Agent).
I campi di cui si compone una mail sono:
a. Indirizzo 1: è il nome del MTA
b. Indirizzo 2: è l’indirizzo che riceve la mail (contiene anche l’indirizzo
IP di chi spedice l’email)
c. Protocollo: è il tipo di trasmissione utilizzata per spedire la mail
(SMTP o ESMTP)
d. Indirizzo finale: è l’indirizzo dell’utente che riceve la mail
e. Data e ora: data e ora in cui è stata ricevuta la mail

Seminario “Computer Forensics” Università degli Studi di Milano Bicocca – 8 maggio 2008
ANALISI DI UNA MAIL

Nel caso della mail analizzata ci interessa il primo dato che è l’indirizzo
IP di chi ha inviato la mail (74.129.22.154)
Indirizzo IP: L’Indirizzo IP è un identificativo numerico, formato da un
codice a 32 bit (di solito 4 numeri separati da punti, pari ad 8 bit
ciascuno) che consente di individuare i dispositivi collegati ad una rete
che utilizzi lo standard IP (Internet Protocol).
Esso costituisce l’equivalente dell’indirizzo stradale in campo telematico:
come quest’ultimo identifica uno specifico edificio, l’indirizzo IP consente
di risalire al computer connesso, o alla rete collegata. All’interno di una
rete collegata, si assegnano poi indirizzi fissi ai singoli computer per
consentire la comunicazione interna.
È possibile ricavare un indirizzo IP di un determinato sito effettuando
una ricerca all’interno del sito
http://www.kloth.net/services/nslookup.php

Seminario “Computer Forensics” Università degli Studi di Milano Bicocca – 8 maggio 2008
ANALISI DI UNA MAIL

La prima cifra dell’indirizzo IP 74.129.22.154 viene assegnata da IANA


(Internet Assigned Numbers Authority) organismo che associa i numeri a
5 grossi blocchi geografici
AfriNIC: Africa (041/8)
ApNIC: Asia e regioni del Pacifico (058-061 e 116-126)
ARIN: Nord America (063-076)
LACNIC: America Latina e Caraibi (200-2001)
RIPE MCC: Europa, Medio Oriente e Asia Centrale (077-088)
La classificazione dei vari indirizzi IP è praticamente oscurata; qualora si
voglia prendere informazioni specifiche sul titolare dell’indirizzo IP è
sufficiente analizzare l’indirizzo attraverso il suo server è sufficiente il
servizio WHOIS disponibile un servizio on line reperibile al seguente
indirizzo www.dnsstuff.com

Seminario “Computer Forensics” Università degli Studi di Milano Bicocca – 8 maggio 2008
ANALISI DI UNA MAIL

Seminario “Computer Forensics” Università degli Studi di Milano Bicocca – 8 maggio 2008
ANALISI DI UNA MAIL

Seminario “Computer Forensics” Università degli Studi di Milano Bicocca – 8 maggio 2008
ANALISI DI UNA MAIL
Attraverso un software on line consultabile al seguente indirizzo:
http://www.mapulator.com/ o http://visualroute.visualware.com/ invece è
possibile effettuare il procedimento inverso tracciare il percorso che è
stato compiuto dalla mail per arrivare a noi. Ad esempio l’indirizzo IP
74.129.22.154 ci può portare al seguente risultato:

Seminario “Computer Forensics” Università degli Studi di Milano Bicocca – 8 maggio 2008