Sommario
Digital Forensic
Alfredo De Santis
Marzo 2011
Sommario
•
•
•
•
•
cos’è?
Introduzione Che
Sorgenti potenziali per evidenza digitale
Principi e Metodologie (con aspetti legali)
Tecniche Antiforensi
Indagine forense su sistemi Windows
Alibi Digitale Falso
•
•
•
•
•
Introduzione
Principi e Metodologie (con aspetti legali)
Tecniche Antiforensi
Indagine forense su sistemi Windows
Alibi Digitale Falso
Digital Forensic: Che cos’è?
• Investigazione ed analisi delle tracce
digitali per trovare evidenza legale
• Include identificazione, preservazione,
estrazione, documentazione ed
interpetrazione dell’evidenza digitale
trovata
Digital Forensic Science
Una definizione
The use of scientifically derived and proven
methods toward the preservation, collection,
validation, identification, analysis,
interpretation, documentation and
presentation of digital evidence derived
from digital sources for the purpose of
facilitating or furthering the reconstruction
of events found to be criminal, or helping to
anticipate unauthorized actions shown to be
disruptive to planned operations.
Digital Forensics Research Workshop I, 2001
Universo digitale in espansione
• Nel 2006 informazione digitale creata e catturata
nel mondo
– 161 exabyte
– Exabyte = 1.024 petabytes = 1.073.741.824 gigabytes
• Tra 2006 e 2010 crescita da 161 a 988
• Alcune stime:
– Numero email mailbox da 253 milioni nel 1998 a 1,6
miliardi nel 2006, con traffico di 6 exabyte
– Numero di immagini catturate da macchine fotografiche
150 miliardi e da cellulari 100 miliardi (500 nel 2010)
Studio IDC ed EMC, 2007
Complessità analisi
• Enorme quantità di “raw data”, cioè
sequenze di bit, da analizzare
• Occorrono tool di analisi per
interpetrare i dati ad un livello di
astrazione superiore
Dati input
Regole
interpretazione
Livello di
astrazione
Dati output
Errore (tool, abilità
investigatore, astrazione,
attaccante che copre tracce)
Utenti Internet nel mondo
Evidenza digitale in device elettroniche
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
Computer
Device per controllo accessi
Telefoni e Segreterie telefoniche
Fotocamere e videocamere digitali
Hard Drive
Memory Card
Modem
Componenti Rete
Stampanti
Device Storage
Scanner
Cellulari
Fotocopiatrici
Skimmer carta di credito
Orologi digitali
Macchine fax
Navigatori GPS
Evidenza digitale in device elettroniche
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
Evidenza digitale in device elettroniche
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
Computer
Device per controllo accessi
Telefoni e Segreterie telefoniche
Fotocamere e videocamere digitali
Hard Drive
Memory Card
Modem
Componenti Rete
Stampanti
Device Storage
Scanner
Cellulari
Fotocopiatrici
Skimmer carta di credito
Orologi digitali
Macchine fax
Navigatori GPS
Smart Card
Dongle
Scanner biometrici
Computer
Device per controllo accessi
Telefoni e Segreterie telefoniche
Fotocamere e videocamere digitali
Hard Drive
Memory Card
Modem
Componenti Rete
Stampanti
Device Storage
Scanner
Cellulari
Fotocopiatrici
Skimmer carta di credito
Orologi digitali
Macchine fax
Navigatori GPS
• File creati da utente
File in chiaro (immagini, video,
audio, calendari, rubriche, attività
Internet, documenti, email, …)
• File protetti da utente
Cifrati, nascosti, Steganografia
• Sistema operativo
Backup, file configurazione,
cookie, history, log file, file
sistema, file temporanei, swap file
• Altro
File cancellati, metadati,
partizioni, slack space, data,
tempo e password, …
Evidenza digitale in device elettroniche
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
Computer
Device per controllo accessi
Telefoni e Segreterie telefoniche
Fotocamere e videocamere digitali
Hard Drive
Memory Card
Modem
Componenti Rete
Messaggi
Stampanti
Device Storage
Messaggi cancellati
Scanner
Numeri chiamati
Cellulari
Numeri chiamanti (caller identification information)
Fotocopiatrici
Ultimo numero chiamato
Skimmer carta di credito
Rubrica
Orologi digitali
Macchine fax
Navigatori GPS
Evidenza digitale in device elettroniche
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
Computer
Device per controllo accessi
Telefoni e Segreterie telefoniche
Fotocamere e videocamere digitali
Hard Drive
Memory Card
Modem
Componenti Rete
Stampanti
Device Storage
Scanner
Cellulari
Fotocopiatrici
Skimmer carta di credito
Orologi digitali
Macchine fax
Navigatori GPS
Immagini
Video
Time stamp
Memoria rimovibile
Geolocalizzazione
Evidenza digitale in device elettroniche
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
Evidenza digitale in device elettroniche
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
Computer
Device per controllo accessi
Telefoni e Segreterie telefoniche
Fotocamere e videocamere digitali
Hard Drive
Memory Card
Modem
Componenti Rete
Stampanti
Device Storage
Scanner
Cellulari
Fotocopiatrici
Skimmer carta di credito
Orologi digitali
Macchine fax
Navigatori GPS
Router, hub, switch, …
Server
Computer
Device per controllo accessi
Telefoni e Segreterie telefoniche
Fotocamere e videocamere digitali
Hard Drive
Memory Card
Modem
Componenti Rete
Stampanti
Device Storage
Scanner
Cellulari
Fotocopiatrici
Skimmer carta di credito
Orologi digitali
Macchine fax
Navigatori GPS
Come per “Computer”
Evidenza digitale in device elettroniche
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
Computer
Device per controllo accessi
Telefoni e Segreterie telefoniche
Fotocamere e videocamere digitali
Hard Drive
Memory Card
Modem
Componenti Rete
Stampanti
Device Storage
Scanner
Cellulari
Fotocopiatrici
Skimmer carta di credito
Orologi digitali
Macchine fax
Navigatori GPS
Documenti
Hard drive
File log
Cartuccia inchiostro,
Network identity
Time e date stamp
Evidenza digitale in device elettroniche
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
Computer
Device per controllo accessi
Telefoni e Segreterie telefoniche
Fotocamere e videocamere digitali
Hard Drive
Memory Card
Modem
Componenti Rete
Stampanti
Device Storage
Scanner
Cellulari
Fotocopiatrici
Skimmer carta di credito
Orologi digitali
Macchine fax
Navigatori GPS
CD
DVD
BR
Vecchie device:
Floppy disk
Nastri
Evidenza digitale in device elettroniche
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
Evidenza digitale in device elettroniche
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
Computer
Device per controllo accessi
Telefoni e Segreterie telefoniche
Fotocamere e videocamere digitali
Hard Drive
Memory Card
Modem
Componenti Rete
Stampanti
Device Storage
Scanner
Cellulari
Fotocopiatrici
Skimmer carta di credito
Orologi digitali
Macchine fax
Navigatori GPS
Rubrica
Calendario
Memo
Caller identification information
Email
Password
Messaggi
Attività Internet
Immagini, audio, video
…
Computer
Device per controllo accessi
Telefoni e Segreterie telefoniche
Fotocamere e videocamere digitali
Hard Drive
Memory Card
Modem
Componenti Rete
La
Stampanti
Device Storage
Scanner
Cellulari
Fotocopiatrici
Skimmer carta di credito
Orologi digitali
Macchine fax
Navigatori GPS
stessa device!
Individuazione scanner usato
per pedopornografia,
falsificazione banconote, frodi
con assegni, …
Evidenza digitale in device elettroniche
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
Computer
Device per controllo accessi
Telefoni e Segreterie telefoniche
Fotocamere e videocamere digitali
Hard Drive
Memory Card
Modem
Componenti Rete
Stampanti
Device Storage
Scanner
Cellulari
Fotocopiatrici
Skimmer carta di credito
Orologi digitali
Macchine fax
Navigatori GPS
Documenti in memoria
History
Time e data stamp
Log utilizzo
Evidenza digitale in device elettroniche
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
Computer
Device per controllo accessi
Telefoni e Segreterie telefoniche
Fotocamere e videocamere digitali
Hard Drive
Memory Card
Modem
Componenti Rete
Stampanti
Device Storage
Scanner
Cellulari
Fotocopiatrici
Skimmer carta di credito
Orologi digitali
Macchine fax
Navigatori GPS
Numero carta di credito
Data scadenza
Nome utente
Indirizzo utente
Evidenza digitale in device elettroniche
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
Evidenza digitale in device elettroniche
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
Computer
Device per controllo accessi
Telefoni e Segreterie telefoniche
Fotocamere e videocamere digitali
Hard Drive
Memory Card
Modem
Componenti Rete
Stampanti
Device Storage
Scanner
Cellulari
Fotocopiatrici
Skimmer carta di credito
Orologi digitali
Macchine fax
Navigatori GPS
Documenti in memoria
History
Time e data stamp
Log utilizzo
Numeri telefonici
Computer
Device per controllo accessi
Telefoni e Segreterie telefoniche
Fotocamere e videocamere digitali
Hard Drive
Memory Card
Modem
Componenti Rete
Stampanti
Device Storage
Scanner
Cellulari
Fotocopiatrici
Skimmer carta di credito
Orologi digitali
Macchine fax
Navigatori GPS
Rubrica
Messaggi
Calendario
Evidenza digitale in device elettroniche
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
Computer
Device per controllo accessi
Telefoni e Segreterie telefoniche
Fotocamere e videocamere digitali
Hard Drive
Memory Card
Modem
Componenti Rete
Stampanti
Global Positioning Systems (GPS)
Device Storage
Scanner
Casa
Cellulari
Destinazioni precedenti
Fotocopiatrici
Log
Skimmer carta di credito
Orologi digitali
Macchine fax
Navigatori GPS
Cronaca giudiziaria recente
• Omicidio di Meredith Kercher a Perugia, 1 nov 2007
– In primo grado Raffaele Sollecito e Amanda Knox condannati
a 26 e 25 anni di carcere
– In corso il processo di appello
– Perizie di centinaia di pagine, in estrema sintesi:
– Periti difesa: Sollecito ha usato il suo MacBook Pro tutta la
notte in modo continuativo
– Polizia postale: lunghe pause nell’utilizzo del Mac quella sera,
compatibili con l’uscita di casa del ragazzo e l’omicidio
avvenuto dopo le 23.30
“Sollecito ha affermato di aver trascorso al computer la notte del
delitto. Dall'esame del portatile, invece, risultano interazioni con la
macchina alle 18.27, per la visione del film "Il favoloso mondo di
Amelie" (come riferito dall'imputato), una seconda interazione per lo
stesso film alle 21.10, poi nulla fino alle 5.32.”
• Omicidio di Chiara Poggi a Garlasco
Sentenza Garlasco
“In data 14 agosto 2007 Stasi Alberto consegnava spontaneamente alla polizia giudiziaria il proprio
computer portatile (marca “Compaq”).
Da quel momento fino al 29 agosto 2007, quando il reperto informatico veniva consegnato ai
consulenti tecnici del pubblico ministero che procedevano all’effettuazione delle copie forensi dello
stesso, i carabinieri accedevano ripetutamente e scorrettamente (senza l’utilizzo, cioè delle
necessarie tecniche forensi di indagine) alla quasi totalità del contenuto del computer.
… il collegio peritale (ing. Porta e dott. Occhetti) evidenziava che le condotte scorrette di accesso
da parte dei carabinieri hanno determinato la sottrazione di contenuto informativo con riferimento
al personal computer di Alberto Stasi pari al 73,8% dei files visibili (oltre 56.000) con riscontrati
accessi su oltre 39.000 files, interventi di accesso su oltre 1500 files e creazione di oltre 500 files.
… Dunque, possiamo dire con certezza che Stasi attivava il proprio personal computer alle ore 9.35
ed eseguiva le seguenti operazioni: accedeva al sistema con la digitazione della propria password;
quindi alle ore 9.38 (circa) visualizzava una prima immagine di natura erotico/pornografica; alle ore
9.39 (circa) una successiva immagine pornografica; alle ore 9.41 (circa) visualizzava due immagini
dello stesso tenore di cui sopra; alle 9.47 (circa) visualizzava un’altra immagine di natura erotico/
pornografica. Bisogna precisare che dalle evidenze riscontrate sul registro di windos alle ore 9.50
vengono aperte delle cartelle; quindi alle ore 9.50 visualizzava una nuova immagine di natura erotica/
pornografica; alle ore 9.57 visualizzava una nuova immagine di natura erotica/pornografica; alle
10.05 apriva la copertina di un filmato hard e poi utilizzava un programma di modifica delle immagini
alle ore 10.07; poi alle 10.17 apriva la tesi.
Da quel momento sono state appunto recuperate le evidenze di un’attività sostanzialmente continua
di videoscrittura sulla tesi di laurea dalle ore 10.17 fino alle ore 12.20 (quando il computer veniva
messo in standby lasciando il file di word aperto).“
!"#$%%&&&'()*('+,%-./012),*%34567895956:9;<=>?=>@A;<?A<B'#-CD
Delitto di Garlasco
• Omicidio Chiara Poggi, 13 agosto 2007
• Alberto Stasi, fidanzato, sosteneva che
si trovava al computer e lavorava alla
propria tesi di laurea
• Assoluzione in primo grado 17 dicembre
2009
• Deposito sentenza gup Stefano Vitelli,
marzo 2010 (159 pagine)
Legislazione italiana
• Procedure per il trattamento delle
evidenze digitali non regolamentato fino al
2008
• Legge 18 marzo 2008, n. 48
Ratifica ed esecuzione della Convenzione del
Consiglio d'Europa sulla criminalità informatica,
fatta a Budapest il 23 novembre 2001, e norme
di adeguamento dell'ordinamento interno (GU n.
80 del 4-4-2008 - Supplemento Ordinario n. 79)
http://www.parlamento.it/parlam/leggi/08048l.htm
Testo finale art. 247 (codice procedura penale)
Casi e forme delle perquisizioni.
Testo finale art. 354 (codice procedura penale)
Accertamenti urgenti sui luoghi, sulle cose e sulle persone. Sequestro.
1. Quando vi è fondato motivo di ritenere che taluno occulti sulla
persona il corpo del reato o cose pertinenti al reato, è disposta
perquisizione personale. Quando vi è fondato motivo di ritenere che
tali cose si trovino in un determinato luogo ovvero che in esso possa
eseguirsi l'arresto dell'imputato o dell'evaso, è disposta perquisizione
locale.
1-bis. Quando vi è fondato motivo di ritenere che dati, informazioni,
programmi informatici o tracce comunque pertinenti al reato si
trovino in un sistema informatico o telematico, ancorchè protetto da
misure di sicurezza, ne è disposta la perquisizione, adottando misure
tecniche dirette ad assicurare la conservazione dei dati originali e ad
impedirne l’alterazione.
2. La perquisizione è disposta con decreto motivato.
3. L'autorità giudiziaria può procedere personalmente ovvero disporre
che l'atto sia compiuto da ufficiali di polizia giudiziaria delegati con lo
stesso decreto.
1. Gli ufficiali e gli agenti di polizia giudiziaria curano che le tracce e
le cose pertinenti al reato siano conservate e che lo stato dei luoghi e
delle cose non venga mutato prima dell'intervento del pubblico
ministero.
2. Se vi è pericolo che le cose, le tracce e i luoghi indicati nel comma 1
si alterino o si disperdano o comunque si modifichino e il pubblico
ministero non può intervenire tempestivamente, ovvero non ha ancora
assunto la direzione delle indagini, gli ufficiali di polizia giudiziaria
compiono i necessari accertamenti e rilievi sullo stato dei luoghi e
delle cose. In relazione ai dati, alle informazioni e ai programmi
informatici o ai sistemi informatici o telematici, gli ufficiali della
polizia giudiziaria adottano, altresì, le misure tecniche o impartiscono
le prescrizioni necessarie ad assicurarne la conservazione e ad
impedirne l'alterazione e l'accesso e provvedono, ove possibile, alla
loro immediata duplicazione su adeguati supporti, mediante una
procedura che assicuri la conformità della copia all'originale e la sua
immodificabilità
Testo finale art. 244 (codice procedura penale)
Casi e forme delle ispezioni.
Legge 18 marzo 2008, n. 48
1. L'ispezione delle persone, dei luoghi e delle cose è
disposta con decreto motivato quando occorre
accertare le tracce e gli altri effetti materiali del
reato.
2. Se il reato non ha lasciato tracce o effetti materiali,
o se questi sono scomparsi o sono stati cancellati o
dispersi, alterati o rimossi, l'autorità giudiziaria
descrive lo stato attuale e, in quanto possibile, verifica
quello preesistente, curando anche di individuare modo,
tempo e cause delle eventuali modificazioni. L'autorità
giudiziaria può disporre rilievi segnaletici, descrittivi e
fotografici e ogni altra operazione tecnica, anche in
relazione a sistemi informatici o telematici, adottando
misure tecniche dirette ad assicurare la conservazione
dei dati originali e ad impedirne l’alterazione.
• Quali sono le caratteristiche delle misure
tecniche?
• Non c’è una metodologia
• E’ saggio usare le “Best Practices”
– tecniche, metodi, linee guida, raccolte dalle
esperienze più significative, che si considera
possono ottenere i risultati migliori
Best Practices
• Scientific Working Group on Digital Evidence (SWGDE)
– Best practices for Computer Forensics, luglio 2006
– www.swgde.org
• Association of Chief Police Officers (ACPO)
– Good Practice Guide for Computer-Based Electronic Evidence,
Maggio 2007.
http://www.7safe.com/electronic_evidence/ACPO_guidelines_computer_evidence.pdf
• US Department of Justice, National Institute of Justice
– Forensic Examination of Digital Evidence: A Guide for Law Enforcement”,
Aprile 2004.
http://www.ncjrs.gov/pdffiles1/nij/199408.pdf
– Investigative Uses of Technology: Devices, Tools, and Techniques”, Ottobre
2007.
http://www.ncjrs.gov/pdffiles1/nij/213030.pdf
• RFC 3227, Guidelines for Evidence Collection and Archiving, Feb
2002
Principi Digital Forensic
• Principle 1: No action taken by law enforcement agencies or
their agents should change data held on a digital device or
storage media which may subsequently be relied upon in Court.
• Principle 2: In circumstances where a person finds it necessary
to access original data held on a digital device or on storage
media, that person must be competent to do so and be able to
give evidence explaining the relevance and the implications of
their actions.
• Principle 3: An audit trail or other record of all processes
applied to digital device-based electronic evidence should be
created and preserved. An independent third party should be
able to examine those processes and achieve the same result.
• Principle 4: The person in charge of the investigation (the case
officer) has overall responsibility for ensuring that the law and
these principles are adhered to.
QRDA**./+(E.)D.CDS!+2CDT.M+/2DUV/2H*DOASTUPDK..-DTH(/E/2DK0+-2DD
C.HDS.1#0,2HWX(*2-D=M2/,H.)+/D=N+-2)/2
Best practices del SWGDE
</+2)EF/DG.HI+)JDKH.0#D.)DL+J+,(MD=N+-2)/2DO<GKL=PDD
!"#$%&'()*)"#%+,'%-,.&/$"'%0,'"1#2)#D
(Versione 1.0 novembre 2004, Versione 2.1 luglio 2006)
1.0 Seizing Evidence
1.1 Evidence Handling
1.1.1. Stand-alone computer (non-networked)
1.1.2. Networked computer
1.2 Servers
2.0 Equipment Preparation
3.0 Forensic Imaging
4.0 Forensic Analysis/Examination
4.1 Forensic Analysis/Examination of Non-Traditional Computer Technologies
5.0 Documentation
6.0 Reports
Fasi investigative
processo della digital evidence
• Identificazione
• Acquisizione
• Analisi
Affidabile
Completa
Accurata
Verificabile
Ammissibile
Autentica
Completa
Affidabile
Chiara e Credibile
• Presentazione
Chiara all’audience
Documentazione (anche con dichiarazioni e
deposizioni)
Fasi investigative
processo della digital evidence
Identificare tutti i dispositivi
che possono contenere prove
(digital evidence)
• Identificazione
• Acquisizione
• Analisi
Affidabile
Completa
Accurata
Verificabile
Chiara all’audience
Documentazione (anche con dichiarazioni e
deposizioni)
processo della digital evidence
• Identificazione
• Analisi
Affidabile
Completa
Accurata
Verificabile
Ammissibile
Autentica
Completa
Affidabile
Chiara e Credibile
Affidabile: non devono
esserci dubbi sull’autenticità
e sui risultati ottenuti
Chiara all’audience
Documentazione (anche con dichiarazioni e
deposizioni)
• Presentazione
Fasi investigative
processo della digital evidence
• Identificazione
Affidabile
Completa
Accurata
Verificabile
Completa: tutte le informazioni
rilevanti, non solo quelle di una
parte del caso
Ammissibile
Autentica
Completa
Affidabile
Chiara e Credibile
• Presentazione
• Identificazione
• Analisi
Fasi investigative
• Acquisizione
processo della digital evidence
• Acquisizione
Ammissibile
Autentica
Completa
Affidabile
Chiara e Credibile
• Presentazione
Fasi investigative
Chiara all’audience
Documentazione (anche con dichiarazioni e
deposizioni)
• Acquisizione
• Analisi
Affidabile
Completa
Accurata
Verificabile
Accurata: senza errori
Ammissibile
Autentica
Completa
Affidabile
Chiara e Credibile
• Presentazione
Chiara all’audience
Documentazione (anche con dichiarazioni e
deposizioni)
Fasi investigative
processo della digital evidence
• Identificazione
• Acquisizione
• Analisi
processo della digital evidence
• Identificazione
Affidabile Verificabile: riproducibile, un altro
Completa
investigatore arriverebbe allo
Accurata
stesso risultato con gli stessi dati
Verificabile
Ammissibile
Autentica
Completa
Affidabile
Chiara e Credibile
• Presentazione
Fasi investigative
Chiara all’audience
Documentazione (anche con dichiarazioni e
deposizioni)
Post Mortem e Live forensic
• Se il dispositivo/computer da investigare è
spento (analisi post mortem)
• Se il computer fosse acceso?
• Se il computer non si potesse spegnere?
– Ambito militare, medico, videosorveglianza, …
• Se lo spegnere il computer creasse danni
ad altri?
– Server per database, posta, …
• Serve una Live Analysis
• Acquisizione
• Analisi
Affidabile
Completa
Accurata
Verificabile
• Live Analisys
• Analisi Post Mortem
Ammissibile
Autentica
Completa
Affidabile
Chiara e Credibile
• Presentazione
Chiara all’audience
Documentazione (anche con dichiarazioni e
deposizioni)
Acquisizione evidenza forense
• Raccolta di evidenza forense di
tutti i tipi
– Seguire procedure rigorose e ben
testate
– Proteggerla da contaminazione o
distruzione e da accuse di alterazione
e gestione impropria
• L’evidenza della Digital forensic non è differente
– Non seguire le procedure potrebbe portare all’esclusione
in tribunale
Acquisizione evidenza forense
• Registrazione della scena
– Foto e/o video
• Registrare dati in uso (live forensic)
– Se il sistema è on, registrare i dati “volatili”
– Se ci sono file aperti salvarli su device esterne
Fasi investigative
processo della digital evidence
• Identificazione
• Acquisizione
• Labellazione cavi e connessioni
– Dopo le foto e/o video
– Per ricordare quali cavi e dove erano connessi
• Cercare password
– Non è raro memorizzare le password nelle vicinanze della
device digitale
Fasi investigative
processo della digital evidence
• Identificazione
• Acquisizione
Affidabile
Completa
Accurata
Verificabile
• Investigatore deve mantenere un log di tutte le azioni
Ammissibile
• Serve a mostrare
che si è fatto tutto nel modo giusto
• Utile ancheAutentica
come checklist
Completa
• • Analisi
Chain of Custody
Affidabile
• Report finaleChiara e Credibile
• Presentazione
Chiara all’audience
Documentazione (anche con dichiarazioni e
deposizioni)
• Analisi
Affidabile
Completa
Accurata
Verificabile
Ammissibile
Autentica
Completa
Affidabile
Chiara e Credibile
• Presentazione
Ammissibile: utilizzabile
come prova, accettata in
tribunale
Chiara all’audience
Documentazione (anche con dichiarazioni e
deposizioni)
Chain of Custody
(Catena di Custodia)
Documento che!contiene le informazioni
di!ciò che!è stato fatto e quali persone
fisiche hanno avuto accesso alla prova
originale ed alle copie forensi realizzate, a
partire dall'acquisizione fino ad arrivare
al giorno del processo.
• Utile per mostrare l’integrità della prova e la sua
validità nel processo
• Il custode può testimoniare che non è stata alterata
• Tracciabilità della prova
Chain of Custody
(Catena di Custodia)
Tipiche informazioni potenziali contenute nel documento:
• Numero del caso
• Azienda incaricata dell'investigazione
• Investigatore assegnato al caso
• Natura e breve descrizione del caso
• Investigatore incaricato della duplicazione dei dati
• Data e ora di inizio custodia
• Luogo di rinvenimento del supporto
• Produttore del supporto
• Modello del supporto
• Numero di serie del supporto
Ogni volta che il supporto oggetto di indagini è affidato ad un nuovo investigatore,
nel documento bisogna aggiungere:
• Nome dell'incaricato all'analisi
• Data e ora di presa in carico del supporto
• Data e ora di restituzione del supporto
Errori comuni
durante l’investigazione
• Non mantenimento della documentazione
opportuna
– … è lungo e noioso
• Modifica dati sistema da investigare
– Aprire file (cambia time stamp!)
– Installare software (sovrascrittura precedente
evidenza!)
• Non consapevolezza dei propri limiti
• Area vasta e complessa
• Se si raggiunge il limite della propria conoscenza,
chiedere aiuto
Report finale
• Premessa
– Quesiti
– Incarico
• Operazioni svolte
• Risposta ai quesiti
• Conclusioni
• Consegna a chi di competenza
(Avvocati, PM, P.G., …)
Aspetti legali
• Perito, Consulente tecnico
• Prova
– Ammissibilità
– Frye Test
– Daubert Test
Perito – Consulente TecnicoD
Art 359 c.p.p.
Consulenti tecnici del pubblico ministero!
• Art 220 c.p.p.: La perizia è ammessa quando
occorre svolgere indagini o acquisire dati o
valutazioni che richiedono specifiche
competenze tecniche, scientifiche o artistiche.
• Il Perito / Consulente Tecnico (CT) è un
soggetto che testimonia in un’aula giudiziaria
poiché ha particolari conoscenze in un
determinato settore.
• I testimoni (e non consulenti) possono deporre
solo su ciò che hanno osservato/assistito e non
su personali opinioni.
1. Il pubblico ministero, quando procede ad
accertamenti, rilievi segnaletici, descrittivi
o fotografici e ad ogni altra operazione
tecnica per cui sono necessarie specifiche
competenze, può nominare ed avvalersi di
consulenti, che non possono rifiutare la loro
opera.
2. Il consulente può essere autorizzato dal
pubblico ministero ad assistere a singoli
atti di indagine
Art 360 c.p.p.
Accertamenti tecnici non ripetibili
Consulenti nel processo civile
1. Quando gli accertamenti previsti dall’art.
359 riguardano persone, cose o luoghi il cui
stato è soggetto a modificazione (116, 117
att.), il pubblico ministero avvisa, senza
ritardo, la persona sottoposta alle indagini,
la persona offesa dal reato e i difensori del
giorno, dell`ora e del luogo fissati per il
conferimento dell`incarico e della facoltà
di nominare consulenti tecnici.
…
• Consulente Tecnico di Parte (CTP)
• Consulente Tecnico d’Ufficio (CTU)
• Il CTU può essere nominato solo se il giudice ha
nominato un CTU nei termini fissati dal giudice (art.
201 c.p.c., Consulente tecnico di parte)
• CTU presta formale giuramento, CTP no
• CTU vincolato ai quesiti del giudice
• CTP risponde solo al cliente
• CTP funzione di controllo tecnico su operato del
CTU, può presentare osservazioni, istanze al CTU
ed al giudice (art. 194 c.p.c. Attività del consulente)
Consulenti nel processo penale
• Simile al processo civile
• In ambito penale, due tipi di consulenza:
– Consulenza tecnica ripetibile, art. 359 c.p.p.
– Consulenza tecnica irripetibile, art. 360 c.p.p.
• Nel caso di consulenza irripetibile, il CTU
deve verificare il corretto operato del
CTP
Uso distorto prova scientifica
Qualche esempio negli USA:
• Falsificazione di risultati da parte di un ematologo
forense in centinaia di casi in un periodo di circa 10
anni in West Virginia,
– contribuendo alla condanna all’ergastolo per centinaia di
accusati.
• Falsificazione dei risultati di un patologo forense di
numerose autopsie, in Texas,
– contribuendo a portare ad almeno 20 condanne a morte.
• Falsificazione dei risultati di un chimico della Polizia
americana di diverse indagini tecniche
– contribuendo alla condanna al carcere di centinaia di
innocenti ingiustamente accusati di violenza sessuale.
Prova scientifica
• In generale, non solo nel mondo digitale
• Quali sono le caratteristiche?
• Quando è ammissibile nelle aule
giudiziarie?
La prova nelle aule giudiziarie
(USA)
• Il Frye Test
– Decisione del 1923 della Corte d’Appello
federale (Frye v. United States, 293 F. 1013,
1014, D.C. Cir. 1923).
– Fino agli anni 1990 lo standard per determinare
l’ammissibilità di nuove tecniche scientifiche
sia nelle corti federali sia in quelle statali.
• La decisione “Daubert”
– Caso Daubert v. Merrell Dow (1993)
– La Corte Suprema USA decise di non accettare
il Frye test
Il Frye Test
Per essere ammissibile in tribunale, la prova scientifica deve
essere raccolta usando tecniche che hanno avuto “general
acceptance” nel campo in cui sono applicate.
D
• Quando si usa una nuova tecnica scientifica o una nuova
metodica, bisogna dimostrare la “general acceptance” in
quel campo.
• Demarcazione tra scienza e pseudoscienza
– Fuori dall’aula giudiziaria le false “scienze”
(astrologia, alchimia, fisiognomica,…)
• Frye v. United States: caso di omicidio
– Rifiutata richiesta dell’imputato di utilizzare la macchina della
verità (analisi della pressione arteriosa per “rilevare” se si sta
dicendo la verità o meno) per provare la sua innocenza.
Daubert: 5 fattori
La decisione Daubert
• Caso Daubert v. Merrell Dow (1993)
– accusa alla società farmaceutica di aver messo in
vendita X2)-2/E)YD un medicinale anti-nausea, per
donne in gravidanza che provocava malformazioni
fetali)
• La Corte Suprema USA decise di non accettare
il Frye test
– Fu permesso all'accusa di presentare studi (non
accettati dalla comunità scientifica) effettuati
direttamente sui feti e sulla composizione
molecolare del farmaco sotto accusa per
rispondere ad una serie di studi scientifici
presentati dalla difesa.
Daubert: 5 fattori
1. Theory tested
1. Theory tested
2. Standards
2. Standards
3. Peer review and publications
3. Peer review and publications
4. General acceptance
4. General acceptance
5. Error rate
5. Error rate
Daubert: 5 fattori
Daubert: 5 fattori
1. Theory tested
1. Theory tested
2. Standards
2. Standards
3. Peer review and publications
3. Peer review and publications
4. General acceptanceomunità scientifica
imparziali
(peer review) in pubblicazioni
scientifiche?
4. Ggiudizi
eneral
acceptanceomunità
scientifica
5. Error rate
5. Error rate
Ci sono standard per il metodo utilizzato?
Daubert: 5 fattori
La teoria o la tecnica scientifica è stata sottoposta al vaglio di
Ovvero è stata sottoposta a revisione critica (determinazione di
limiti e bias)?
• Assicura che errori metodologici possano essere rilevati
• Dimostra che la metodica può essere applicata anche da altri.
Daubert: 5 fattori
1. Theory tested
1. Theory
tested
Conoscere la percentuale di errore
2. Standards
è il tasso di errore noto o potenziale?
2. SQual
tandards
3. Peer review and publications
3. Peer review and publications
4. General acceptance
4. General acceptance
5. Error rate
5. Error rate
D
Godere di generale accettazione da
parte della comunità scientifica
• Ogni idea scientifica è soggetta a 2 tipi di errore: qual è la
probabilità di uno dei due?
• Tipo I: falso positivo (a true null hypothesis can incorrectly be
rejected).
• Tipo II: falso negativo (a false null hypothesis can fail to be
rejected).
Altre caratteristiche
• Qual è la qualifica dell’esperto e la sua
considerazione all’interno della comunità
scientifica?
• La tecnica si basa solo sulle capacità di un
esperto o può essere riprodotta altrove
anche da altri esperti?
• È possibile spiegare alla giuria con
sufficiente chiarezza e semplicità la
tecnica adottata così che ne venga
compreso il funzionamento?
La prova nelle aule giudiziarie
(Italia)
• I criteri di ammissibilità sono indicati
negli artt. 189 e 190 c.p.p.
Art. 189 c.p.p
(prove non disciplinate dalla legge).
Art. 190 c.p.p
(diritto alla prova)
Quando è richiesta una prova non
disciplinata dalla legge, il giudice può
assumerla se essa risulta idonea ad
assicurare l’accertamento dei fatti e non
pregiudica la libertà morale della persona.
Il giudice provvede all’ammissione, sentite
le parti […].
1. Le prove sono ammesse a richiesta di
parte. Il giudice provvede senza ritardo
con ordinanza escludendo le prove vietate
dalla legge e quelle che manifestamente
sono superflue o irrilevanti.
2. […]
3. […].
Fasi investigative
processo della digital evidence
• Identificazione
• Acquisizione
• Analisi
Affidabile
Completa
Accurata
Verificabile
Ammissibile
Autentica
Completa
Affidabile
Chiara e Credibile
• Presentazione
Consideramo ora il caso
di un computer spento
(post mortem) e
dell’evidenza digitale nel
suo hard disk
Chiara all’audience
Documentazione (anche con dichiarazioni e
deposizioni)
Analisi Forense di hard disk
• Acquisizione dei dati
• Metodologia operativa
– Smontare l’hard disk
– Collegarlo ad una macchina forense
– Acquisire immagine dell’hard disk (duplicato) su un supporto
rimovibile
• Altra possibile metodologia:
Hard Disk
da
analizzare
– Smontare l’hard disk
– Collegarlo ad una macchina forense
– Analizzare hard disk dalla macchina forense
Macchina
forense
• Ancora peggio:
– Non smontare l’hard disk
Vediamo perchè
bisogna evitarla!
Acquisizione per hard disk
• Acquisizione dei dati
• Metodologia operativa
– Smontare l’hard disk
– Collegarlo ad una macchina forense
– Acquisire immagine dell’hard disk (duplicato) su un supporto
rimovibile
• Altra possibile metodologia:
Hard Disk
da
– Smontare l’hard disk
analizzare
– Collegarlo ad una macchina forense
– Analizzare hard disk dalla macchina forense
Macchina
forense
• Ancora peggio:
– Non smontare l’hard disk
Analisi Forense di hard disk
• Se si connette un hard disk
Hard Disk
Macchina
da
ad un sistema di analisi:
per analisi
analizzare
• Il sistema operativo potrebbe
scrivere su ogni hard disk connesso al sistema
• Windows aggiorna il tempo di ultimo accesso ad ogni file
acceduto
• Windows potrebbe scrivere dati inaspettatamente: ad esempio,
creazione cartelle nascoste per Recycle bin oppure
configurazioni hardware salvate
• Un virus oppure malware sul sistema potrebbe infettare l’hard
disk
• File non desiderati possono essere allocati e sovrascrivere spazio
causando la distruzione di evidenza nella forma di file
precedentemente cancellati
Duplicati Forensi
• Meglio effettuare analisi forense su duplicati di
hard disk
– L’analisi forense potrebbe distruggere evidenza
– Il sistema da analizzare potrebbe essere non rimovibile
• Un duplicato ha qualche perdita di evidenza
– Tracce di precedenti contenuti di settori
• Copia bit per bit (il più basso livello possibile)
• Supporto di destinazione su cui si effettua la
copia dei dati deve essere forensicamente sterile
– Cancellazione sicura dei dati
Hardware Write Blocker
Hard Disk
da
acquisire
Hardware
Write
BL=YD<A?AYD Blocker
<S<BYDQ<XYD
\+H2&+H2D
2//'D
Q<XYD
FH2&+H2YD
2//'D
Macchina
per
acquisizione
• Anche detto forensic bridge
• Write blocker anche per altre risorse
– A-D2*'YD/(H-DH2(-2HDC.H2)*+$D(//2**.D+)D*.M(DM2"0H(D
-0H(),2D+MD,H("(12),.D-+D*/!2-2D-+D121.H+(DO<LYD
<LSYDZLYD[[SYDS\YD2//'P'
Write Blocker
• Blocco di accesso in scrittura per hard
disk
• Possibile solo la lettura
Macchina per
• Write blocker
Hard Disk
analisi
da
analizzare
– Software
– Hardware
Hard Disk
da
acquisire
Hardware
Write
Blocker
con Software
Write blocker
Macchina
per
acquisizione
Hardware Write BlockerD
• Inventato da Mark Menz e Steve Bress (US patent
6,813,682 e EU patent EP1,342,145)
• Programma Computer Forensics Tool Testing (CFTT) del
United States National Institute of Justice identifica
formalmente 4 requisiti per i tool:
– A hardware write block (HWB) device shall not transmit a
command to a protected storage device that modifies the
data on the storage device.
– An HWB device shall return the data requested by a read
operation.
– An HWB device shall return without modification any accesssignificant information requested from the drive.
– Any error condition reported by the storage device to the
HWB device shall be reported to the host.
Laboratorio
• Tableau T4
– per hard disk SCSI
– connessione host con FireWire 800, USB 2.0
• Tableau T35es
– per hard disk IDE o SATA
– connessione host con eSATA, FireWire 800,
FireWire 400, USB 2.0
• Tableau T8
– per hard disk USB
– connessione host FireWire 400, USB 2.0
LaboratorioD
• Forensic Dossier
• Cattura dati da 1 o 2 hard disk ad
1 o 2 hard disk
• Calcolo hash MD5 ed SHA-256
• Cifratura disco con evidenza
• Batteria
• SATA ed IDE; Firewire e USB 2.0
• Cattura memorie flash (Compact
flash, memory stick, SD, multi-media card)
• Ricerca parole mentre duplica
– Lista keyword predefinita
Interfaccia IDE
Advanced Technology Attachment (ATA), interfaccia per
connessione di dispositivi di memorizzazione (hard disk, CD-ROM)
• Progettato nel 1986, nome “AT Attachment” in riferimento a
IBM PC/AT ed alla sua architettura del bus di 16 bit
• Standard ATA, ANSI X3.221-1994
• Gli standard ATA: collegamenti con lunghezze di cavo tra 45 e 90
cm, (quindi all’interno dei computer, scheda madre – hard disk)
• Conosciuto anche come IDE (Integrated Drive Electronics),
termine coniato da Western Digital, perchè il drive controller è
integrato nel drive
• Controller IDE sulla scheda madre
• Dopo che Serial ATA (S-ATA, SATA) fu introdotto nel febbraio
2003
– ATA denominato retroattivamente Parallel ATA
•
•
EIDE (Enhanced IDE), coniato da Western Digital nel 1994,
standard ANSI X3.279-1996
Bandwidth: originalmente 16!MB/s, poi 33, 66, 100 e 133!MB/s
Interfaccia SATA
• Introdotta nel febbraio 2003
• Comunicazione seriale
• La trasmissione in parallelo dà luogo
a disturbi elettromagnetici tra i fili
quando si lavora ad alte frequenze
• Lunghezza cavo max 1 metro
• SATA 3.0, marzo 2009
Tipo
Prestazioni teoriche
SATA 1.0
1,5 Gbit/s (192 MB/s)
SATA 2.0 3 Gbit/s (384 MB/s)
SATA 3.0 6 Gbit/s (768 MB/s)
Connettore cavo
alimentazione,
Interfaccia SCSI
• Acronimo di Small Computer System Interface
• Specifica ANSI ]^'3^3W3_65
• In passato molto diffusa, ora solo workstation,
server e periferiche di fascia alta
• Versioni:
–
–
–
–
–
–
–
SCSI-1, fino a 5 MB/s (40 Mbit/s)
SCSI-2, fino a 10 MB/s (80 Mbit/s)
SCSI-3, fino a 40 MB/s (320 Mbit/s)
Ultra-2, fino a 80 MB/s (640 Mbit/s)
Ultra-3, fino a 160 MB/s (1280 Mbit/s)
Ultra-320, fino a 320 MB/s (2560 Mbit/s)
Ultra-640, fino a 640 MB/s (5120 Mbit/s)D
Interfacce esterne
• 2<A?AYDF).D(D5DK`+,%*DD
– =Z,2H)(MD<A?AD
– /(N.D2D#H.,./.MM.D+-2)E/+D(D<A?AYD1(D
/.))2".H2D-+N2H*.D
•
•
•
•
SATA eSATA
Q<XD^'9YDF).D(D:Y6DK`+,%*D
Q<XD4'9YDF).D(D:69D[`+,%*D
\+H2&+H2D699YDF).D(D699D[`+,%*D
\+H2&+H2D:99YDF).D(D:99D[`+,%*D
D
Verifica duplicazione
• Per verificare che la copia forense è
uguale all’originale:
– Verifica bit per bit
(tempo di elaborazione elevato)
– Uso di funzioni hash
• I programmi di acquisizione possono
calcolare e confrontare valori hash
Funzioni hash
+)#0,D
Funzione
hash
N(M.H2D
!(*!D
• Facile da calcolare
• Difficile trovare una collisione
• Le più comuni:
– MD5 (Message Digest Algorithm), valore di 128 bit
– SHA-0, SHA-1 con 160 bit, SHA-2, cioè SHA-224, SHA-256,
SHA-384 e SHA-512, (Secure Hash Algorithm)
• Esempi:
– SHA1("Cantami o diva del pelide Achille l'ira funesta") =
1f8a690b7366a2323e2d5b045120da7e93896f47
– SHA1("Contami o diva del pelide Achille l'ira funesta") =
e5f08d98bf18385e2f26b904cad23c734d530ffb
Software acquisizione
• Linux
• Copia, duplicazione
• Il più vecchio, presente dagli anni ’70
– dd
– dcfldd, dd_rescue, sdd, rdd
– Distribuzioni di Linux
– Open Source Digital Forensics
• Esempio:
http://www2.opensourceforensics.org/tools
• Windows (tool commerciali)
– Forensic Toolkit FTK 3 Imager, di AccessData
– Encase, di Guidance Software
Software acquisizione
dd
• Copia, duplicazione
• Il più vecchio, presente dagli anni ’70
input file
• Esempio:
convert
output file
legge blocchi da 32K
default: 512 byte
input ibs, output obs
dd if=/dev/sdb of=/media/sdc/disco.dd conv=noerror,sync bs=32K
non fermarsi dopo
eventuali errori di lettura
Software acquisizione
dd
Padding ogni blocco
input con 0 fino alla
taglia di ibs
• Senza sync, un errore in lettura causa un’immagine di taglia inferiore
all’originale
• Con noerror,sync un errore in lettura causa blocco di 32K con tutti 0
• File destinazione taglia multipla di bs
• Se file input 40K e bs=32K allora file immagine 64K
dd if=/dev/sdb of=/media/sdc/disco.dd conv=noerror,sync bs=32K
“dd copies a file (from standard input to standard output,
by default) with a changeable I/O block size, while
optionally performing conversions on it.”
http://www.gnu.org/software/coreutils/manual/html_node/dd-invocation.html
Software acquisizione
dd
• Copia, duplicazione
• Il più vecchio, presente dagli anni ’70
• Esempio:
dd if=/dev/sdb of=/media/sdc/disco.dd conv=noerror,sync bs=32K
dd if=/dev/sdb of=/media/sdc/disco.dd conv=noerror,sync bs=512
• un errore in lettura in un blocco 512 byte causa blocco di 512 byte con
tutti 0, e non 32K
• problema per gli hard disk: molte letture e tempi molto più lunghi
Software acquisizione
dd
dd if=/dev/zero of=/dev/had
File virtuale, restituisce 0
quando letto
dd if=/dev/random of=/dev/had
File virtuale, restituisce
valori casuali quando letto
dd if=/dev/st0 count=10000000 of=/dev/case10img1
Software acquisizione
dcfldd
– Versione migliorata di dd, da parte del U.S.
Department of Defense Computer Forensic Lab
– Ultima versione stabile dic 2006
– Permette calcolo hash, wiping con pattern
fissati, verifica della duplicazione bit per bit,
split dell’output
file con i valori hash
input per hash
dcfldd if=/dev/sourcedrive hash=md5,sha256 hashwindow=10G md5log=md5.txt sha256log=sha256.txt \
hashconv=after bs=512 conv=noerror,sync split=10G splitformat=aa of=driveimage.dd
dd if=/dev/st0 count=10000000 skip=10000000 of=/dev/case10img2
copia i primi 10GB e poi i secondi 10GBD
Software acquisizione
distribuzioni di Linux
• Utilizzabili sulla macchina da analizzare
• Avvio del!computer!da CD o da penna USB
• Individuate le evidenze da duplicare, si
collega un disco esterno per la scrittura
• Alcune distribuzioni:
– Helix 3
– DEFT Linux 6 (Digital Evidence & Forensics Toolkit)
– CAINE 2.0 (Computer Aided INvestigative Environment)
– Penguin Sleuth Kit
calcolo hash dopo
conversione
estensione per split
• driveimage.dd.aa
• driveimage.dd.ab
• …
Software acquisizione
distribuzioni live di Linux
• Utilizzabili sulla macchina da analizzare
• Avvio del!computer!da CD o da penna USB
• Individuate le evidenze da duplicare, si collega un
disco esterno per la scrittura
• Alcune distribuzioni:
– Helix 3
– DEFT Linux 6 (Digital Evidence & Forensics Toolkit)
– CAINE 2.0 (Computer Aided INvestigative Environment)
– FCCU Gnu/Linux Boot CD (Belgian Federal Computer Crime Unit)
– Masterkey Linux
– Penguin Sleuth Kit
Deft
•
•
•
•
Digital Evidence & Forensic Toolkit
Progetto italiano nato nel 2005
Deft Linux 6, basata su Ubuntu kernel 2.6.35,
Applicativi open-source presenti:
–
–
–
–
–
–
–
–
–
–
–
–
–
–
–
–
–
–
–
–
–
–
–
–
–
–
–
The Sleuthkit, collezione di utility per eseguire operazioni come il recupero file cancellati,
time line, ricerca di contenuti, ecc…
Autopsy Forensic Browser, l’interfaccia grafica di The Sleuthkit
Dhash, software per l’acquisizione e calcolo di hash su memorie di massa e file
Guymager, software per la parallelizzazione di acquisizioni di memorie di massa
Linen, software per acquisizione memorie di massa fornito dalla Guidance Software
dcfldd e dd rescue, acquisizione di memorie di massa
Md5deep, sha1deep, e sha256deep, tool per calcolo di hash
Foremost, software per il carving di dati
Photorec, software per il carving di dati
Scalpel, software per il carving
Hexedi, editor esadecimale di file e device
Search file, ricerca avanzata di file
Mount Manager, tool per il mount assistito di memorie di massa
Gpart, gestione di device e file systemD
Xplico, network forensic analysis tool
Wireshark, network protocol analyzer
Nessus, security scanner
Network
Nmap, security scanner
Forensic
Kismet, wireless network detector
Ettercap, suite per eseguire attacchi con metodologia «man in the middle»
Ophcrack e John the Ripper, cracking di password
Pdfcrack cracking tool
Fcrakzip cracking tool
IE, Mozilla and Chrome cache viewer
IE, Mozilla and Chrome history viewer
Clam antivirus, Rkhunter e Chkrootkit., individuazione e l’analisi di malware e virus
…
Tools forensi
• Si possono usare tool commerciali ed
open source
• Devono però essere conosciuti dalla
comunità ed accettati!
• Se si usa un nuovo tool
– Bisogna evitare dubbi sull’affidabilità
– Utile diffondere il codice sorgente
Helix 3
• Helix 3
– versione free
– 2009 e non verrà aggiornata
– Basata su Ubuntu
• Helix 3 Enterprise
– forum membership $239
annuali
• Helix 3 Pro
– commerciale
Tools forensi
• Vantaggi tool open source
– Sorgenti noti
– Formati aperti e compatibili
– Sviluppo e controllo bug dalla comunità
– Costo
• Vantaggi tool commerciali
– Più facili da usare
– Soluzione problemi ed aggiornamenti immediati
• Si possono usare entrambi
Soprattutto se non fanno le stesse cose!
Analisi forense
Analisi forense
• Evidenza digitale:
• Evidenza digitale:
• Sistema Operativo
• Sistema Operativo
– Documenti
– Immagini e video
– Internet (posta elettronica, navigazione)
– Partizioni
– File cifrati
– File nascosti
– …
– Windows forensics
– Mac forensics
– Linux forensics
Analisi forense Timeline
• Le evidenze digitali hanno un timestamp
– Documenti
– Applicativi eseguiti
– Navigazione web
– Registro Windows
– …
• Organizzare le evidenze collezionate in un
database e poi ordinarle rispetto al tempo
• La cronologia è importante per le indagini
– Documenti
– Immagini e video
– Internet (posta elettronica, navigazione)
– Partizioni
– File cifrati
– File nascosti
– …
– Windows forensics
– Mac forensics
– Linux forensics
Lo vedremo
nel seguito
Analisi forense Timeline:
problemi
• Teoricamente i riferimenti locali del tempo sono il
relazione ad un clock di riferimento internazionalmente
riconosciuto (NIST e U.S. Naval Observatory)
• Errori nella misura del tempo, ad es. clock drift
– soprattutto se tempo non sincronizzato frequentemente
• Singola sorgente con tempo
– tempo internamente consistente
• Sorgenti multiple con tempi
– bisogna fare un merge delle cronologie
• Problemi anche per modifiche tempi manualmente oppure
malware / intrusioni
• Analisi consistenza logica cronologia
Fasi investigative
processo della digital evidence
• Identificazione
• Acquisizione
• Analisi
Affidabile
Completa
Accurata
Verificabile
Ammissibile
Autentica
Completa
Affidabile
Chiara e Credibile
• Presentazione
Consideramo ora il caso
di un computer acceso
(Live Forensic)
Chiara all’audience
Documentazione (anche con dichiarazioni e
deposizioni)
Live forensic
Ordine di volatilità, dal più volatile al meno (RFC 3227)
• registers, cache
• routing table, arp cache, process table, kernel statistics,
memory
• temporary file systems
• disk
• remote logging and monitoring data that is relevant to the
system in question
• physical configuration, network topology
• archival media
• …
Live forensic
Prima si raccomandava di spegnere il computer in
modo forzato con l’alimentazione elettrica
• Personale poco specializzato
• Unico palliativo: foto/video dello schermo
Se si spegne la macchina si perdono dati nella RAM
• Comunicazioni Messenger, IRC, ICQ (chat), sono in
maggior parte in RAM
• Protezioni cifrate per partizioni o singoli file:
leggibili con macchina accesa, inaccessibili
altrimenti
Cancellazione
La semplice cancellazione dei file o la formattazione
dell'hard disk, infatti, non realizzano una vera
cancellazione delle informazioni registrate, che
rimangono spesso fisicamente presenti e tecnicamente
recuperabili
File cancellato su disco
Spazio marcato per cancellazione/riutilizzo
Spazio parzialmente sovrascritto da altri file
Cancellazione
La semplice cancellazione dei file o la formattazione
dell'hard disk, infatti, non realizzano una vera
cancellazione delle informazioni registrate, che
rimangono spesso fisicamente presenti e tecnicamente
recuperabili
E’ possibile recuperare i dati!
File cancellato su disco
Spazio marcato per cancellazione/riutilizzo
E’ possibile recuperare i dati
sovrascritti?
Spazio parzialmente sovrascritto da altri file
Cancellazione dati sovrascritti
Nonostante la sovrascrittura è possibile leggere ancora i dati
con un microscopio elettronico
(Peter Gutmann, Secure Deletion of Data from Magnetic and Solid-State Memory, USENIX 1996)
Idea motivazioni scrittura singolo bit:
• Posizionamento testine scrittura non esatto
• Quando sovrascriviamo un 1 otteniamo
• vicino a 0,95 se c’era uno 0
• vicino a 1,05 se c’era 1
• “each track contains an image of everything ever written
to it, but that the contribution from each “layer” gets
progressively smaller the further back it was made”
• Possibile trovare tracce dei dati precedenti
• Meglio sovrascrivere 35 volte con sequenza pattern fissi e
casuali
Data Carving
• Recuperari dati cancellati ma ancora presenti non è
facile:
– Frammentazione file
– File parzialmente sovrascritti
• “Data carving is the process of extracting a
collection of data from a larger data set. Data
carving techniques frequently occur during a digital
investigation when the unallocated file system
space is analyzed to extract files. The files are
"carved" from the unallocated space using file typespecific header and footer values. File system
structures are not used during the process.”
(Digital Forensic Research Workshop (DFRWS)
Cancellazione sicura
• Sovrascrivere:
– 1 volta (NIST SP-800-88, 2006)
– 3 volte: un carattere, il complemento e poi random (U.S. DoD
Unclassified Computer Hard Drive Disposition, 2001)
– Tutti 0 (British HMG Infosec Standard 5, Baseline Standard)
– Da 1 a 35 volte (Guttman)
– …
• Strumenti software!di cancellazione sicura
• Demagnetizzazione (degaussing), che azzera tutte le aree
di memoria elettronica e rende l'apparato inutilizzabile
• Distruzione fisica del dispositivo di memorizzazione
Livello valori binari
Cancellazione sicura: la controversia
Craig Wright, Dave Kleiman, and Shyaam Sundhar R.S.,
Overwriting Hard Drive Data: The Great Wiping Controversy,
ICISS 2008, LNCS 5352, pp. 243–257, 2008.
• Tecnologia in evoluzione dal 1996 ad oggi
– Non ci sono più floppy disk, che
avevano un sistema rudimentale
– Densità memorizzazione in crescita
• Vero per il singolo valore del bit, ma non
tiene conto dell’errore accumulato
• Non ci sono layer ma una distribuzione per
la densità per il valore di un singolo valore
• Magnetic Force Microscopy
– Misura densità forze magnetiche
• Livello magnetico scritto varia stocasticamente
a causa di
–
–
–
–
Posizionamento testina
Temperatura
Umidità
Errori casuali
• Se si vuole scrivere un valore digitale +1, ci
saranno intervalli di confidenza:
– 95% che si trova in (0,95,1,05)
– 99% che si trova in (0,90,1,10)
– …
• Un valore 1,06 è dovuto a variazioni di
temperatura oppure ad un precedente valore?
Densità: esempio 1D
Densità: esempio 2
• Densità riscrittura valutata sperimentalmente
• Esempio scrittura di un valore binario “1”
• Densità riscrittura valutata sperimentalmente
• Riscrittura di un valore binario
Probabilità di recupero
(hard drive vecchi)
Probabilità di recupero
(hard drive del 2006)
• Test sperimentali con 19 modelli
• Test sperimentali con 19 modelli
• Sovrascrittura con dd
• Scelta bayesiana con distribuzione della densità
conosciuta (in genere non nota in una analisi forense)
• Sovrascrittura con dd
• Scelta bayesiana con distribuzione della densità
conosciuta (in genere non nota in una analisi forense)
– Da un Seagate 1Gb fino a drive del 2006
Sommario
•
•
•
•
•
Introduzione
Principi e Metodologie (con aspetti legali)
Tecniche Antiforensi
Indagine forense su sistemi Windows
Alibi Digitale Falso
– Da un Seagate 1Gb fino a drive del 2006
Anti-forensics
Definizione:
• any attempts to compromise the
availability or usefulness of evidence to
the forensics process
Ryan Harris, Arriving at an anti-forensics consensus: Examining how to define and control the anti-forensics problem,
Digital Investigation 2006
Anti-forensics
• Obiettivi:
Tipi di Anti-forensics
• Distruggere evidenza
– Evitare il rilevamento di alcuni eventi
– Creare problemi per la collezione delle
informazioni
– Aumentare il tempo necessario ad un
investigatore per l’analisi di un caso
– Causare dubbi su un rapporto/testimonianza
forense
Tipi di Anti-forensics
• Distruggere evidenza
Nel mondo fisico:
come cancellazione impronte su pistola
• Nascondere evidenza
Sovrascrivere dati e metadati:
• Intero media
• Singoli file
• File precedentemente cancellati
• Prevenire la creazione
di evidenza
(scrivere file finchè non c’è più spazio libero sul media)
Cancellare evidenza può creare evidenza
• Nessuna tipo di evidenza (come nessuna impronta!)
• Esistenza tool di cancellazione
• Falsificare evidenza
• Nascondere evidenza
• Prevenire la creazione di evidenza
• Falsificare evidenza
Tipi di Anti-forensics
• Distruggere evidenza
• Nascondere evidenza
Nel mondo fisico:
come sotterrare pistola / seppellire cadavere
• Prevenire la creazione di evidenza
Steganografia
Crittografia
• Falsificare evidenza
Evidenza può essere ritrovata
Esistenza tool di data hiding
Tipi di Anti-forensics
• Distruggere Nel
evidenza
mondo fisico:
come usare guanti prima di usare pistola
Evitare evidenza può creare evidenza
Nessuna tipo di evidenza (come nessuna impronta!)
• Nascondere • evidenza
•
Esistenza tool ad-hoc
Tipi di Anti-forensics
• Distruggere evidenza
• Nascondere evidenza
Modifica selettiva di evidenza
• Prevenire la creazione di evidenza
• Prevenire la creazione di evidenza
• Falsificare evidenza
• Falsificare evidenza
Sommario
•
•
•
•
•
Introduzione
Principi e Metodologie (con aspetti legali)
Tecniche Antiforensi
Indagine forense su sistemi Windows
Alibi Digitale Falso
Nelle prossime lezioni
Creazione di evidenza falsa
