Presentazioni - Scintlex COMPUTER FORENSIC SCIENCE DEFINIZIONI Da un punto di vista scientifico non sono mancati i tentativi di definire la Computer Forensics. Ecco due definizioni che individuano i concetti fondamentali attorno ai quali ruota tale disciplina. “…il processo di: Identificazione, Conservazione, Analisi e Presentazione di digital evidence [1] in processo garantendone l’ammissibilità”. [2] “…la raccolta e l’analisi di dati secondo una prassi che ne garantisca la libertà da distorsioni e pregiudizi cercando di ricostruire dati ed azioni avvenuti nel passato all’interno del sistema informatico” [3] [1] La traduzione letterale di “digital evidence” è “prova legale digitale”. La legge italiana, però, non ammette distinzioni di sorta tra “prove reali” e “prove digitali”. Pertanto tale concetto è di difficile inquadramento formale (a meno di prossime modifiche della legge italiana inerenti le strutture e le informazioni digitali). Da adesso in avanti quindi si considererà la “digital evidence” come “prova legale ottenuta attraverso sistemi digitali”, la quale, è opportuno sottolinearlo, è ben lungi da essere solo una “prova digitale”, perché presuppone un processo interpretativo. [2] Mc Kemmish, R. (1999), “What is Forensic Computing”, Trends and Issues in Crime and Criminal Justice (118), Australian Institute of Criminology. [3] Farmer D., Venema W. (2000), “Forensic Computer Analysis: an Introduction. Reconstructing past Events.”, Dr Dobb’s Journal, 29, 70-75. Scintlex - F.B. Computer Forensics 2 NE SEGUE CHE la Computer Forensics interviene dopo che un sistema informatico è stato violato o un crimine è stato perpetrato attraverso l’impiego di sistemi informatici. Scintlex - F.B. Computer Forensics 3 SCOPI Integrità probatoria Continuità probatoria Scintlex - F.B. Computer Forensics 4 LA PROCEDURA DI BASE Sopralluogo e acquisizione delle prove Conservazione e autenticazione Analisi Documentazione Scintlex - F.B. Computer Forensics 5 SOPRALLUOGO e ACQUISIZIONE DELLE PROVE “Istantanea” scena criminis Accesso al sistema Ricerca altri elementi utili (agende, appunti, …) Catalogazione ed etichettatura Scintlex - F.B. Computer Forensics 6 CONSERVAZIONE E AUTENTICAZIONE THE CHAIN OF CUSTODY Allestimento locali idonei alla conservazione dei reperti. Stesura verbali delle operazioni di custodia e di chi le ha materialmente eseguite. Scintlex - F.B. Computer Forensics 7 ANALISI Copia fisica dei dati L’analisi va operata su una copia fisica del sistema - Scintlex - F.B. operativo. La copia fisica è una copia bit per bit di un livello tanto basso da rendere sempre possibile la ricostruzione dei dati presenti nel computer e nei supporti studiati. Impiego di strumenti HW e SW per garantire: l’ aderenza della copia all’originale; che l’ originale non subisca modifiche durante la copia. Computer Forensics 8 ANALISI Componente tecnica Componente investigativa Scintlex - F.B. Computer Forensics 9 Analisi COMPONENTE TECNICA Studio contenuto memoria di massa Individuazione ed estrazione files in cluster persi o non allocati; recupero files cancellati Password cracking Scintlex - F.B. Computer Forensics 10 Analisi COMPONENTE INVESTIGATIVA Criminal profiling Diagrammi d’analisi investigativa Comparazione con risultati di altre operazioni di p.g. Scintlex - F.B. Computer Forensics 11 DOCUMENTAZIONE Forma (cartacea): Relazione tecnica Report (nei tools di analisi forense) Incidente informatico + (eventuale) Formato digitale: Presentazione multimediale con link interni Scintlex - F.B. Computer Forensics 12