Presentazioni - Scintlex
COMPUTER
FORENSIC
SCIENCE
DEFINIZIONI
Da un punto di vista scientifico non sono mancati i tentativi di definire la Computer Forensics.
Ecco due definizioni che individuano i concetti fondamentali attorno ai quali ruota tale disciplina.
 “…il processo di: Identificazione, Conservazione, Analisi e Presentazione di digital evidence [1]
in processo garantendone l’ammissibilità”. [2]
 “…la raccolta e l’analisi di dati secondo una prassi che ne garantisca la libertà da distorsioni e
pregiudizi cercando di ricostruire dati ed azioni avvenuti nel passato all’interno del sistema
informatico” [3]
[1] La traduzione letterale di “digital evidence” è “prova legale digitale”. La legge italiana, però, non ammette distinzioni di sorta tra “prove
reali” e “prove digitali”. Pertanto tale concetto è di difficile inquadramento formale (a meno di prossime modifiche della legge italiana inerenti le
strutture e le informazioni digitali). Da adesso in avanti quindi si considererà la “digital evidence” come “prova legale ottenuta attraverso sistemi
digitali”, la quale, è opportuno sottolinearlo, è ben lungi da essere solo una “prova digitale”, perché presuppone un processo interpretativo.
[2] Mc Kemmish, R. (1999), “What is Forensic Computing”, Trends and Issues in Crime and Criminal Justice (118), Australian Institute of
Criminology.
[3] Farmer D., Venema W. (2000), “Forensic Computer Analysis: an Introduction. Reconstructing past Events.”, Dr Dobb’s Journal, 29, 70-75.
Scintlex - F.B.
Computer Forensics
2
NE SEGUE CHE
la Computer Forensics interviene dopo che un
sistema informatico è stato violato
o
un crimine è stato perpetrato
attraverso l’impiego di sistemi informatici.
Scintlex - F.B.
Computer Forensics
3
SCOPI
 Integrità probatoria
 Continuità probatoria
Scintlex - F.B.
Computer Forensics
4
LA PROCEDURA DI BASE
 Sopralluogo e acquisizione delle prove
 Conservazione e autenticazione
 Analisi
 Documentazione
Scintlex - F.B.
Computer Forensics
5
SOPRALLUOGO e
ACQUISIZIONE
DELLE PROVE
 “Istantanea” scena criminis
 Accesso al sistema
 Ricerca altri elementi utili
(agende, appunti, …)
 Catalogazione ed etichettatura
Scintlex - F.B.
Computer Forensics
6
CONSERVAZIONE E
AUTENTICAZIONE
THE CHAIN OF CUSTODY
 Allestimento locali idonei alla conservazione dei
reperti.
 Stesura verbali delle operazioni di custodia e di chi le
ha materialmente eseguite.
Scintlex - F.B.
Computer Forensics
7
ANALISI
Copia fisica dei dati
 L’analisi va operata su una copia fisica del sistema


-
Scintlex - F.B.
operativo.
La copia fisica è una copia bit per bit di un livello tanto
basso da rendere sempre possibile la ricostruzione dei
dati presenti nel computer e nei supporti studiati.
Impiego di strumenti HW e SW per garantire:
l’ aderenza della copia all’originale;
che l’ originale non subisca modifiche durante la copia.
Computer Forensics
8
ANALISI
 Componente tecnica
 Componente investigativa
Scintlex - F.B.
Computer Forensics
9
Analisi
COMPONENTE TECNICA
 Studio contenuto memoria di massa
Individuazione ed estrazione files in cluster persi o non
allocati; recupero files cancellati
 Password cracking
Scintlex - F.B.
Computer Forensics
10
Analisi
COMPONENTE
INVESTIGATIVA
 Criminal profiling
 Diagrammi d’analisi investigativa
 Comparazione con risultati di altre operazioni
di p.g.
Scintlex - F.B.
Computer Forensics
11
DOCUMENTAZIONE
Forma (cartacea):
 Relazione tecnica
 Report (nei tools di analisi forense)
 Incidente informatico
+ (eventuale)
Formato digitale:
 Presentazione multimediale con link interni
Scintlex - F.B.
Computer Forensics
12