digital forensic: metodologie di analisi della prova digitale
TRANSCRIPT
Ordine degli Ingegneri della Provincia di Arezzo29 marzo 2017
Digital ForensicMetodologie di analisi della prova digitaleMarco Marcellini
Digital forensic: una definizioneDigital forensic: una definizione
• Il processo di identificazione, conservazione, analisi e presentazione della– DIGITAL EVIDENCE, ovvero la prova legale
ottenuta attraverso strumenti digitali;
• La raccolta e analisi di dati secondo una prassi che ne garantisca la libertà da distorsioni e pregiudizi, cercando di ricostruire dati e azioni avvenuti nel passato all’interno del sistema informatico (Vaciago 2012)
Digital forensic: definizioneDigital forensic: definizione
• Computer forensic → Digital forensic
• I cinque punti cardine sono:– IDENTIFICAZIONE– ACQUISIZIONE– CONSERVAZIONE (catena di custodia)– DOCUMENTAZIONE– INTERPRETAZIONE
• del dato digitale
• Nel sistema legislativo italiano tre sono gli strumenti di analisi della prova digitale: accertamenti tecnici, incidente probatorio e perizia
Digital evidence e sistema giuridico:Digital evidence e sistema giuridico:
• ACCERTAMENTI TECNICI - Artt. 359 e 360 c.p.p.
• Art. 359 c.p.p.• Consulenti tecnici del pubblico ministero.
– Il pubblico ministero, quando procede ad accertamenti, rilievi segnaletici, descrittivi o fotografici e ad ogni altra operazione tecnica per cui sono necessarie specifiche competenze, puo nominare e avvalersi di consulenti, che non possono rifiutare la loro opera.
– Il consulente puo essere autorizzato dal pubblico ministero ad assistere a singoli atti di indagine.
Accertamenti tecnici NON RIPETIBILI:Accertamenti tecnici NON RIPETIBILI:
• Art. 360 c.p.p.• (c.1) Quando gli accertamenti previsti dall'articolo
359 riguardano persone, cose o luoghi il cui stato e soggetto a modificazione, il pubblico ministero avvisa, senza ritardo, la persona sottoposta alle indagini, la persona offesa dal reato e i difensori del giorno, dell'ora e del luogo fissati per il conferimento dell'incarico e della facolta di nominare consulenti tecnici.
• (c.3) I difensori nonche i consulenti tecnici eventualmente nominati hanno diritto di assistere al conferimento dell'incarico, di partecipare agli accertamenti e di formulare osservazioni e riserve.
Incidente probatorio:Incidente probatorio:
• Artt. 392 e ss. c.p.p.• 1. Nel corso delle indagini preliminari il pubblico
ministero e la persona sottoposta alle indagini possono chiedere al giudice che si proceda con INCIDENTE PROBATORIO:
...• f) a una perizia o a un esperimento giudiziale, se la
prova riguarda una persona, una cosa o un luogo il cui stato e soggetto a modificazione non evitabile;
• g) a una ricognizione, quando particolari ragioni di urgenza non consentono di rinviare l'atto al dibattimento.
...
La PERIZIA in sede dibattimentale:La PERIZIA in sede dibattimentale:
• Artt. 220 e ss. c.p.p.• 1. La perizia e ammessa quando occorre
svolgere indagini o acquisire dati o valutazioni che richiedono specifiche competenze tecniche, scientifiche o artistiche.
• 2. Salvo quanto previsto ai fini dell'esecuzione della pena o della misura di sicurezza, non sono ammesse perizie per stabilire l'abitualita o la professionalita nel reato, la tendenza a delinquere, il carattere e la personalita dell'imputato e in genere le qualita psichiche indipendenti da cause patologiche.
Indicazioni tecniche che derivano dall’orientamento normativoIndicazioni tecniche che derivano dall’orientamento normativo• Preservare più possibile la ripetibilità dell’analisi
tecnica; quando non possibile, richiedere le notifiche ex art. 360 c.p.p.
• Nella DIGITAL FORENSIC, non esiste una metodologia tecnica stabilita dalla legge, esistono solo BEST PRACTICES
• La RIPETIBILITA’ dell’analisi implica anche la ripetibilità dei risultati ottenuti
Quale software scegliere ?Quale software scegliere ?
• OPEN SOURCE vs SOFTWARE COMM.LE
• In medio stat virtus
Il laboratorio dell’analista forenseIl laboratorio dell’analista forense
• E’ necessaria una buona dotazione di:
– Storage, connessione veloce
– Adattatori e cavi, anche per tecnologie obsolete. Attrezzature portatili
– Collaboratori e laboratori esterni
– Pazienza e creatività…
–
Parte II: saper fareParte II: saper fare
• Le BEST PRACTICES prevedono metodologie specifiche per le fasi di:
– IDENTIFICAZIONE
– ACQUISIZIONE
– CONSERVAZIONE
– DOCUMENTAZIONE
– INTERPRETAZIONE del DATO DIGITALE
Sistema Operativodel dispositivo sequestrato
OBIETTIVO della ricerca(tipo di reato contestato)
SCELTAdel
METODO
HARD-DISK, partizioni, tipi di file systemHARD-DISK, partizioni, tipi di file system
• Write blockers o montaggio read-only
• Capire la struttura del disco con FDISK e GPARTED
• Strumenti per creare IMMAGINE FORENSE
• Calcolo dell’HASH, MD5, SHA1, SHA256
• Tecniche di wiping dei dischi, shred
Memorie volatili: analisi della RAMMemorie volatili: analisi della RAM
• In base all’obiettivo dell’indagine (o al quesito oggetto dell’incarico) può essere un fattore determinante in quanto contiene
• Fondamentale sotto Windows il contenuto dei files “hiberfile.sys” e “pagefile.sys”, che il pc salva in fase di ibernazione e di swapping
Tipologia di files e MAGIC NUMBERSTipologia di files e MAGIC NUMBERS
• xxxxx.yyy → NON FIDARSI DELL’ESTENSIONE di Windows
• Utilizzare il comando file o un editor esadecimale
• ESERCITAZIONE: acquisizione, hash, analisi e data-recovery
LINUX: forensic distro e suite integrateLINUX: forensic distro e suite integrate
• Distribuzioni Linux: Deft e Caine
• Tools per Windows: DART
• Encase-like tools: TSK & Autopsy4
Strumenti per data-recoveryStrumenti per data-recovery
• Il recupero dei dati cancellati attraverso la metodologia del FILE CARVING
• Strumenti open-source e freeware: Photorec e Recuva
• La necessità di garantire la ripetibilità dell’analisi
• Il recupero dei dati cancellati da smartphones e tablet è possibile, ma richiede il rooting del telefono e l’uso di tools specifici
Network forensicsNetwork forensics
• La fonte di informazioni più importante sulle risorse Internet è la rete stessa
• Strumenti come whois, nmap, wireshark consentono di controllare e monitorare le risorse in Rete
• Emergono nuove problematiche d’indagine legate alla diffusione della navigazione anonima (Tor Browser) e del deep web
Phone forensicPhone forensic
• Strumenti di comunicazione altamente specializzati, smartphones e tablet richiedono metodologie specifiche
• Strumenti open non ancora maturi
• ADB shell, rooting, Ios Backup