�ݺ�ߣ

��ٴ��ʰ��2010

CYBER FORENSICS:
ACQUISIZIONE E ANALISI DEI DATI

A CURA DI MARCO FERRIGNO

- Developer of the Italian Debian GNU/Linux HOWTOs -
Jabber ID: m.ferrigno@xmpp.jp
marko.ferrigno@gmail.com

A n a lis i f o r e n s e

PROPEDEUTICITA':
NOZIONI BASILARI SULL'UTILIZZO DI SISTEMI UNIX-LIKE,
NOZIONI BASILARI SUI FILESYSTEM.

COSA IMPAREREMO DA QUESTO TALK:
CONCETTO DI COMPUTER FORENSICS,
METODOLOGIE E SOFTWARE PER L'ACQUISIZIONE DI DATI DI UN SISTEMA
POSTO SOTTO SEQUESTRO
METODOLOGIE E SOFTWARE DI ANALISI DI UN SISTEMA INFORMATICO.

Analisi forense: cos'è realmente?

E' LA DISCIPLINA CHE CONCERNE LE ATTIVITA' DI INDIVIDUAZIONE,
ESTRAZIONE, CONSERVAZIONE, PROTEZIONE E OGNI ALTRA FORMA DI
TRATTAMENTO E INTERPRETAZIONE DEL DATO MEMORIZZATO SU SUPPORTO
INFORMATICO AL FINE DI ESSERE VALUTATO COME PROVA NEI PROCESSI
GIUDIZIARI.
IL TRATTAMENTO DEL REPERTO INFORMATICO E' SUDDIVISO IN 4 FASI:
ACQUISIZIONE (TARGET INFORMATICO)*
ANALISI (TARGET INFORMATICO)*
INDIVIDUAZIONE DEL REATO (TARGET GIURIDICO PROCEDURALE)
VALUTAZIONE DEL REATO (TARGET GIURIDICO PROCEDURALE)

*ARGOMENTO DELLA SEDUTA CON L'AUSILIO DI STRUMENTI OPEN SOURCE

A n a lis i f o r e n s e :
n o r m a t iv a r ile v a n t e in a m b it o
g iu r id ic o
LA LEGGE N. 48/2008 RIVESTE UNA GRANDE IMPORTANZA PER LA TEMATICA
DELLA COMPUTER FORENSICS. IN SINTESI LA SUDDETTA LEGGE PREVEDE:

MODIFICHE AL CODICE PENALE CONCERNENTI LA CRIMINALITA' INFORMATICA,

INCLUSIONE DI DELITTI INFORMATICI E TRATTAMENTO ILLECITO DI DATI NEL
CATALOGO DEI REATI PER I QUALI E' PREVISTA LA RESPONSABILITA'
AMMINISTRATIVA DEGLI ENTI,

MODIFICHE AL CODICE DI PROCEDURA PENALE VOLTE A RENDERE OBBLIGATORIO
PER LE FORZE DI POLIZIA L'UTILIZZO DI SPECIFICHE METODOLOGIE NEL CORSO
DELLE INDAGINI INFORMATICHE,

MODIFICA DI PARTE DELLA DISCIPLINA SULLA DATA RETENTION CONTENUTA
NELL'ART. 132 DEL D.LGS 196/2003 (PROTEZIONE DEI DATI PERSONALI)

Analisi forense:
l'acquisizione del dato
ACQUISIZIONE == ESTRAPOLAZIONE DEI DATI DAI LORO SUPPORTI ORIGINARI.

ATTENZIONE: E'LA FASE PIU' DELICATA E COMPLESSA IN ASSOLUTO, SE
L'ACQUISIZIONE DI UN REPERTO VIENE ESEGUITA IN MODO NON CONFORME,
L'ANALISI NON RISULTEREBBE VALIDA IN AMBITO DIBATTIMENTALE.

QUANDO ACQUISIRE IL DATO:

NELL' IMMEDIATEZZA DELL'INTERVENTO (SCENA DEL CRIMINE),

OPPURE IN UN SECONDO MOMENTO, IN LABORATORIO, ATTRAVERSO IL
SEQUESTRO GIUDIZIARIO DEI SUPPORTI

MODI DI ACQUISIRE IL DATO:

ADOTTARE UNA PRECISA METODOLOGIA IN MODO DA COSTRUIRE PROVE
ATTENDIBILI E INATTACCABILI IN SEDE DIBATTIMENTALE (A SECONDA DEL
CASO),

COPIA FEDELE MEDIANTE BIT-STREAMING (NON SOLO DATI MA ANCHE
TRACCE DI DATI CANCELLATI, NASCOSTI O CRITTOGRAFATI) ONDE EVITARE DI
ALTERARE IL REPERTO ORIGINALE.

Analisi forense:
software open source per l'acquisizione
SOLUZIONI A CODICE APERTO:
DATASET DEFINITION (DD): TOOL SOLITAMENTE UTILIZZATO PER EFFETTUARE
COPIE DI VARI TIPI DI SUPPORTI, SIANO ESSI AD ACCESSO CASUALE O
SEQUENZIALE. E' TIPICAMENTE UTILIZZATO CON I BLOCK DEVICE.
QUAL'E' L'IDEA?
DD SFRUTTA L'ASTRAZIONE FORNITA DA UNIX PER RIUSCIRE A VEDERE
QUALUNQUE DISPOSITIVO COME FOSSE UN NASTRO E NE COPIA OGNI
SINGOLO BYTE SU UN ALTRO FILE
CARATTERISTICHE:
AL CONTRARIO DEI TOOLS PENSATI PER IL BACKUP, DD NON ESEGUE ALCUNA
OTTIMIZZAZIONE NE' COMPRESSIONE, ANZI, I TEMPI DI COPIA ELEVATI
GARANTISCONO UN'ASSOLUTA FEDELTA' TRA LA COPIA E IL DATO ORIGINALE
VARIANTI:
DDRESCUE: AL CONTRARIO DI DD, TENTA DI LEGGERE BLOCCHI DANNEGGIATI
DCFLDD: HASHING MULTIPLO E SCRITTURA SU LOG

A n a lis i f o r e n s e :
s o ftw a re o p e n s o u rc e p e r
l' a c q u is iz io n e
IL PRIMO STEP E' L'ACQUISIZIONE DEL DEVICE RISCONTRATO MEDIANTE IL
COMANDO “fdisk -l” CHE DA' COME OUTPUT LA LISTA DEI DISPOSITIVI
ATTUALMENTE COLLEGATI AL SISTEMA

LA SINTASSI CHE CI PERMETTE DI CREARE UNA BIT-STREAM DEL DEVICE SARA'

PER DD:

“dd if=/sorgente of=/destinazione”

PER DDRESCUE:

“dd_rescue /sorgente /destinazione/chiavettausb.img”

IL PROGRAMMA TERMINERA' SENZA DARE ALCUN MESSAGGIO DI AVVENUTA
ACQUISIZIONE PERTANTO BISOGNA RISCONTRARE A MANO L'ESISTENZA DEL
FILE “chiavettausb.img”

PER DCFLDD:

“dclfdd if=/sorgente of=/destinazione”

Apertura terminale [da menu o ALT+F2, nome terminale]

Output di “fdisk -l”, localizzazione della partizione da analizzare (/dev/sdc)

DD applicato sull'intero device

DD applicato sull'intero device con interruzione inaspettata (o volontaria!)

DD applicato su una parte del device

Analisi forense:
integrità del dato acquisito
L' IMPORTANZA DEL HASHING E DEL SUO OUTPUT: L' IMPRONTA DIGITALE
IMPORTANZA DEL CONFRONTO DEL VALORE OTTENUTO PRIMA E DOPO
L'ANALISI (LA PROVA E' VALIDA SE I VALORI CORRISPONDONO)
ATTENZIONE: IN CASO CONTRARIO SI PASSA AL CONTROLLO DEGLI OUTPUT
MEDIANTE MD5SUM E SHA1SUM

SINTASSI MD5SUM:
“md5sum /dev/nomedevice/” PER IL DEVICE
“md5sum /home/utente/analisi/chiavettausb.img” PER L'IMMAGINE ACQUISITA
SINTASSI SHA1SUM:
“sha1sum /dev/nomedevice/” PER IL DEVICE
“sha1sum /home/utente/analisi/chiavettausb.img” PER L'IMMAGINE ACQUISITA

Analisi forense:
AFF (Advanced Forensics Format)
AFF E' UNA RECENTE IMPLEMENTAZIONE OPEN SOURCE DISTRIBUITA SOTTO
LICENZA BSD

CARATTERISTICA PRINCIPALE:

ANALOGAMENTE ALLA NORMALE BIT-STREAM IMAGE, AFF MEMORIZZA
L'IMMAGINE IN MANIERA COMPRESSA ED INDIRIZZABILE CONSENTENDO LA
MEMORIZZAZIONE DI META INFORMAZIONI SIA ALL'INTERNO DEL FILE CHE IN
UN FILE ESTERNO COLLEGATO A QUELLO DI RIFERIMENTO.

ALTRE CARATTERISTICHE:

ACQUISIZIONE ED HASHING (SHA1 E MD5) AVVENGO IN CONTEMPORANEA,

PERMETTE L'APERTURA E LA LETTURA SENZA DOVER DECOMPRIMERE
L'IMMAGINE

VISUALIZZAZIONE DETTAGLIATA SU SEGMENTI, META INFORMAZIONI, DATI
SULLO HASH ....

PRODUCE FILE COMPRESSI PICCOLI.

Analisi forense:
acquisizione di device in sistemi RAID
LE OPERAZIONI FIN'ORA ELENCATE POSSONO ESSERE ESEGUITE IN SCENARI DIVERSI, A
SECONDA DELLE CARATTERISTICHE DEL HARDWARE DEI DEVICE CHE DOBBIAMO
ACQUISIRE

ATTENZIONE: RAID HARDWARE VS RAID SOFTWARE

UN ESEMPIO: HARD DISK IN RAID 5!

LA SINGOLA ACQUISIZIONE DEI DISPOSITIVI SARA' TOTALMENTE INUTILE PERCHE' NON
AVENDO A DISPOSIZIONE GLI ALGORITMI UTILIZZATI DAL CONTROLLER RAID, NON
SAREMO MAI IN GRADO DI LEGGERE IN MODO CORRETTO I DATI, PERTANTO IL REPERTO
IN QUESTIONE SARA' INUTILIZZABILE

SOLUZIONE RAID HARDWARE:

ATTUARE L'ACQUISIZIONE LOCALMENTE AVVIANDO IL COMPUTER IN MODO TALE CHE IL
CONTROLLER RENDA DISPONIBILE LA CORRETTA LETTURA DEL SISTEMA RAID PER POI
POTER UTILIZZARE UN LIVE CD LINUX ACQUISENDO IL CONTENUTO DEL RAID COME SE
FOSSE UN NORMALE HARD DISK STAND ALONE

SOLUZIONE RAID SOFTWARE:

E' D'OBBLIGO EFFETTUARE UNA COPIA DEI SINGOLI DISCHI NON POTENDO
PREDETERMINARE, A PRIORI, CHE NON VI SIANO DATI AL DI FUORI DEL RAID!

Analisi forense: utilizzo di un live
cd linux

DEFT, CAINE ED HELIX SONO DEI SISTEMI PER L'ANALISI FORENSE CONTENUTI
IN UN SUPPORTO FISICO

ALCUNI PERMETTONO ANCHE DI LAVORARE LIVE SU ALTRI SISTEMI OPERATIVI.
IN CASO CONTRARIO E' POSSIBILE EFFETTUARE UN BOOT DA CD-ROM (E NON
SOLO) PER RITROVARSI IN UN AMBIENTE LINUX COMPLETO CON DECINE DI
PROGRAMMI SPECIALIZZATI PER L'ANALISI FORENSE.

Analisi forense: utilizzo di un live
cd linux
SPECIFICHE PARTICOLARITA':

DRIVER: HELIX IN PARTICOLARE INCORPORA UN NUMERO DI DRIVER (ANCHE
PROPRIETARI) PER LA GESTIONE DI CONTROLLER DISCHI MOLTO SUPERIORE A
QUELLO DELLE ALTRE DISTRIBUZIONI. LO SCOPO E' QUELLO DI FORNIRE UN
SUPPORTO AI SISTEMI RAID QUANTO PIU' AMPIO POSSIBILE

INTERFACCIA: HANNO TUTTE UNA GUI SOLITAMENTE PIU' LEGGERA DEI
COMUNI KDE E GNOME. DEFT E' L'UNICA CHE PARTE DI DEFAULT SENZA
INTERFACCIA GRAFICA. TALE PARTICOLARITA' E' UTILE NEI SISTEMI CON POCA
RAM

UTILIZZO: A GARANTIRE UN ULTERIORE LEGGEREZZA NESSUNA DELLE
DISTRO CITATE UTILIZZERA' UN FILESYSTEM O UNA PARTIZIONE COME SWAP,
ANCHE SE L'UTENTE CERCA DI FORZARE TALE COMPORTAMENTO

FILE SYSTEM: IL KERNEL E' COMPILATO IN MODO TALE DA VEDERE TUTTI I
FILE SYSTEM SUPPORTATI DA LINUX, COMPRESI QUELLI MENO COMUNI E
QUELLI ORAMAI OBSOLETI

TOOL: SI E' CERCATO DI INCLUDE QUALUNQUE TOOL OPEN SOURCE PER
ANALISI FORENSE DISPONIBILE. INCORPORANDO ANCHE TOOLS GRATUITI NON
OPEN SOURCE

Analisi forense: l'analisi del dato

LA PROCEDURA D' ANALISI VA ESEGUITA ESCLUSIVAMENTE SULLE COPIE
FEDELI DEI DEVICE ACQUISITI

L'ANALISI DEVE ESSERE IN GRADO DI RINTRACCIARE TUTTE LE POSSIBILI
PROVE INFORMATICHE UTILI AI FINI PROBATORI

NON TUTTE LE INFORMAZIONI, SONO FACILI DA VISUALIZZARE UN ESEMPIO:

I DATI CANCELLATI!

SOLUZIONE:

NELL'AMBITO DEI SOFTWARE OPEN SOURCE IL PROGRAMMA LEADER PER
L'ANALISI FORENSE DI REPERTI E' LO SLEUTH KIT (INSIEME DI TOOLS
RICHIAMABILI A LINEA DI COMANDO) UTILIZZABILE ANCHE MEDIANTE UNA WEB
GUI: AUTOPSY

Analisi forense: Autopsy
SLEUTH KIT ED AUTOPSY COSTITUISCONO UN OTTIMO FRAMEWORK OPEN
SOURCE PER L'ANALISI DI IMMAGINI E DEVICE CON SUPPORTO AD ALCUNI DEI
PIU' DIFFUSI FILESYSTEM:

FAT 12, 16, 32 (DOS-LIKE, WINDOWS-LIKE)

NTFS (WINDOWS NT SERIES)

EXT2, EXT3 (GNU/LINUX)

UFS (UNIX, BSD)

ISO 9660 (CD-ROM)

ZFS (SOLARIS)

RAW

SWAP

MANCA, PURTROPPO, IL SUPPORTO PER HFS E HFS+ (MAC OS)

Analisi forense:
Autopsy - caratteristiche
INTERFACCIA GRAFICA E AMBIENTE DI COLLEGAMENTO DEI VARI
PROGRAMMI,

GARANZIA DI INALTERABILITA' DEI DATI ANALIZZATI (ACCESSO IN SOLA
LETTURA),

CALCOLO DI HASH MD5,

ACCURATA ANALISI DI DEVICE,

RECUPERO ED ESPORTAZIONE DI FILE CANCELLATI ,

RICERCA CON PAROLE CHIAVE SU FILE, SETTORI ALLOCATI E NON ALLOCATI,

ANALISI DI OGNI SINGOLO INODE DEL DEVICE ACQUISITO,

CREAZIONE DI TIMELINE,

CREAZIONE DI REPORT RIASSUNTIVI

Analisi del reperto utilizzando
Autopsy

AUTOPSY SUPPORTA NATIVAMENTE SIA BIT-STREAM GREZZE, COME QUELLE
ACQUISITE MEDIANTE DD (… E DERIVATI) SIA BIT-STREAM AVANZATE, COME
QUELLE ACQUISITE IN FORMATO AFF O ENCASE*

ATTENZIONE: LA FASE DI ANALISI NON E' PER NULLA STANDARDIZZABILE

*SOFTWARE CLOSED SOURCE LEADER NELLA COMPUTER FORENSICS.

Analisi del reperto utilizzando Autopsy
Recupero file cancellati

Analisi del reperto utilizzando Autopsy
Timeline

Analisi forense: la Timeline

NELL'INFORMATICA FORENSE PER TIMELINE SI INTENDE UNA FOTOGRAFIA DI
TUTTI GLI EVENTI STORICI AVVENUTI IN UN DETERMINATO SISTEMA..

ESSA VIENE CREATA METTENDO IN ORDINE CRONOLOGICO TUTTI GLI EVENTI
SUCCESSIVI IN UN DETERMINATO TEMPO DI VITA DEL SISTEMA POSTO AD
ANALISI

PERCHE' LA NECESSITA DI UNA TIMELINE? PERCHE' UN ELEMENTO
FONDAMENTALE NELLA SCENA DEL CRIMINE E' IL TEMPO

ESEMPIO: CASO TIPICO IN CUI LE FORZE DELL'ORDINE HANNO A CHE FARE
CON UN CADAVERE, LA PRIMA COSA CHIESTA AL MEDICO LEGALE E'
STABILIRE DATA ED ORA DEL DECESSO

IMPORTANTE: AVERE DEI PUNTI DI RIFERIMENTO TEMPORALI AIUTA LA
RICERCA E L'ANALISI DEI DATI .

PRECISAZIONE: LA TIMELINE VIENE CREATA A SECONDA DELLA DATA DEL
SISTEMA, PERTANTO, AD ESEMPIO, SE IL PROPRIETARIO DEL PC CHE STIAMO
ANALIZZANDO NON HA IMPOSTATO CORRETTAMENTE LA DATA DEL SISTEMA
OPERATIVO I RIFERIMENTI TEMPORALI RISULTANO INATTENDIBILI .

Analisi forense: limiti e ostacoli
CRITTOGRAFIA: NESSUNO DEI PROTOCOLLI SIMMETRICI UTILIZZATI FIN'ORA
(3DES, AES-128, AES-254, BLOWFISH, TWOFISH) PRESENTA VULNERABILITA'
TALI DA RENDERLI ATTACCABILI CON METODI CRITTOANALITICI ATTI A RIDURRE
LA VARIABILITA' DELLO SPAZIO DI CHIAVI

SOLUZIONE 1: ATTACCO DI FORZA BRUTA (METTETE IN PREVENTIVO QUALCHE
MIGLIAIO DI ANNI PER PROVARE TUTTE LE COMBINAZIONI POSSIBILI !!!)

SOLUZIONIE 2: AGGIRARE L'OSTACOLO. COME:
FILE TEMORANEI
FILE CANCELLATI
BACKUP

STEGANOGRAFIA: TECNICA DI CRITTOGRAFIA GRAZIE ALLA QUALE E'
POSSIBILE INSERIRE DELLE INFORMAZIONI NASCOSTE ALL'INTERNO DI UN FILE
VETTORE

SOLUZIONE: DATO CHE IN QUESTO CASO IL RISULTATO NON E' PER NULLA
CERTO, ANZI, SI POTREBBE UTILIZZARE IL PROGRAMMA STEGANOGRAFICO
CHE POTREBBE AVER CREATO IL FILE E INDOVINARE LA PASSWORD CORRETTA
(BASSISSIMA PROBABILITA' DI SUCCESSO !!!)

DATA HIDING & VIRTUALIZZAZIONE

Analisi forense: casi reali
FURTO DI UN PORTATILE

ANTEFATTO
VIENE RUBATO UN PORTATILE A UN INGEGNERE DI UNA NOTA SOCIETA'. IL
PORTATILE VIENE RITROVATO 3 GIORNI DOPO DALLA POLIZIA

RICHIESTA
VERIFICARE COSA SIA ACCADUTO AI DATI IN QUEI GIORNI

OPERAZIONI & TECNICHE UTILIZZATE
SMONTAGGIO DEL DISCO, COLLEGAMENTO DELLO STESSO AD UNA MACCHINA
DI ANALISI E UTILIZZO DI DD PIU' VALIDAZIONE TRAMITE HASH
DEFINIZIONE ED ANALISI DI UNA TIMELINE GENERATA GRAZIE AD AUTOPSY
SERVIRA' A CAPIRE COSA E' ACCADUTO NEI GIORNI IN CUI IL PORTATILE NON E'
STATO TRA LE MANI DEL LEGITTIMO PROPRIETARIO

RISULTATO
IL PORTATILE E' STATO ACCESO UN' ORA DOPO IL FURTO. TUTTI I FILE DI TIPO
AUTOCAD (*.DWG) SONO STATI LETTI E SONO STATI COPIATI SU UN SUPPORTO
USB COLLEGATO AL SISTEMA. IL FURTO NON E' STATO CASUALE !

INTECETTAZIONI SU SKYPE

ANTEFATTO
UN PUBBLICO MINISTERO SOSPETTA DI ATTIVITA' EVERSIVA UN INDIVIDUO CHE
COMUNICA REGOLARMENTE TRAMITE SKYPE

RICHIESTA
OTTENERE IL TRAFFICO IN CHIARO IN MODO DA DETERMINARE LE ATTIVITA'
DEL SOSPETTO

OPERAZIONI & TECNICHE UTILIZZATE
REALIZZAZIONE DI UN TROJAN IN GRADO DI COLLEGARSI AI CANALI DI
ENTRATA E USCITA DELLA SCHEDA AUDIO E DI REGISTRARNE IL FLUSSO AI FINI
DI INTERCETTAZIONE. VIENE GENERATO UN PROBLEMA E VIENE SPEDITO A
CASA DEL SOSPETTO UN DIAGNOSTICO CONTENENTE UN TROJAN.
IL TROJAN SPEDISCE I DATI TRAMITE UN SERVER FTP APPOSITAMENTE
PREPARATO

RISULTATO
I FILE AUDIO EVIDENZIANO L'ATTIVITA' EVERSIVA DEL SOSPETTO

SPIONAGGIO INDUSTRIALE
ANTEFATTO
UN'AZIENDA LEADER IN UN MERCATO DI NICCHIA ALTAMENTE
SPECIALIZZATO SCOPRE CHE ALCUNE FABBRICHE IN UNA NAZIONE
STRANIERA PRODUCONO PEZZI DI RICAMBIO PER I SUOI APPARECCHI,
MACCHINE CHE DATA LA SPECIFICITA' SONO A TUTTI GLI EFFETTI PEZZI UNICI
E PER LE QUALI NON SEMBRA IPOTIZZABILE NE' POSSIBILE L'INVESTIMENTO,
DA PARTE DI UN'AZIENDA CONCORRENTE, DELLE RISORSE ECONOMICHE
NECESSARIE PER ALIMENTARE UN REPARTO DI RICERCA E SVILUPPO IN
GRADO DI ALLINEARE I PEZZI DI RICAMBIO ALLE PERFORMANCE OFFERTE
DALLA DITTA TITOLARE DEI BREVETTI. LA SITUAZIONE E' RESA PIU'
SOSPETTA DAL FATTO CHE L'ORDINE DEI PEZZI DI RICAMBIO AVVIENE CON
GLI STESSI CODICI DEI PEZZI ORIGINALI

RICHIESTA
TROVARE RISCONTRO IN UNA FUGA DI INFORMAZIONI

OPERAZIONI & TECNICHE UTILIZZATE (1/2)
UTILIZZANDO IL SOFTWARE CHE HA DATO ORIGINE AL PROGETTO, SE NE
MODIFICA UN PEZZO DELLO STESSO. TALE OPERAZIONE E' UTILE PER
CAPIRE SE IL PROGETTO E' MODIFICATO DALL'INTERNO DELL'AZIENDA O SE
MAGARI E' OTTENUTO TRAMITE UN'OPERAZIONE DI REVERSE ENGINEERING.

OPERAZIONI & TECNICHE UTILIZZATE (2/2)
VIENE USATA A MO' DI SONDA UNA MACCHINA LINUX POSTA SULLA BACK-BONE
AZIENDALE CON UNA VERSIONE DI SNORT IN GRADO DI INTERCETTARE IL
CODICE DEL PEZZO MODIFICATO E DI SALVARE IL TRAFFICO DI RETE
CONSEGUENTE. LO SCOPO, NATURALMENTE, E' CAPIRE CHI POSSA AVER
AVUTO ACCESSO AD UN FILE CONTENENTE IL PROGETTO DI UN PEZZO
OBSOLETO. IL PEZZO VIENE ORDINATO AD UNA DELLE FABBRICHE
CONCORRENTI. DAL PASSAGGIO PRECEDENTE, LA SONDA HA EVIDENZIATO IL
PLOTTAGGIO DEL PROGETTO DA PARTE DI UN UTENTE (CON NATURALMENTE
UN SET DI REGOLE CREATE AD HOC BASATE SU KEYWORDS E CODICI DI
PROGETTO). AL DI FUORI DELL'ORARIO DI LAVORO VIENE ESEGUITO IL
PLOTTING DEL PEZZO MODIFICATO E SI PROVVEDE AL SALVATAGGIO DEL
TRAFFICO E DEI LOG DEL DATABASE CHE CONTIENE TUTTI I PROGETTI
AZIENDALI. IL PEZZO MODIFICATO REALIZZATO VIENE CONSEGNATO AL
CLIENTE, ONDE DESTARE ALTRI SOSPETTI DI ALLERTA SU
CONTROSPIONAGGIO INDUSTRIALE

RISULTATO
E' STATO DIMOSTRATO CHE UN IMPIEGATO SOTTRAEVA I PROGETTI DAI
DATABASE DELL'AZIENDA. IL FATTO CHE IL PEZZO MODIFICATO SIA STATO
CONSEGNATO AL CLIENTE HA DIMOSTRATO SENZA OMBRA DI DUBBIO CHE NON
SIA STATO OTTENUTO STUDIANDO UNA MACCHINA REALE

Boxroom … e non solo!

ALLESTIMENTO DI UN LABORATORIO DI ANALISI,

METODOLOGIE DI ANALISI E LAVORO DI SQUADRA,

ANALISI DI UN SISTEMA WINDOWS,

ANALISI DI UN SISTEMA MAC OS X,

ANALISI DI UN SISTEMA LINUX,

ANALISI DEI SUPPORTI OTTICI,

MOBILE FORENSICS,

ANALISI DI MEDIA NON CONVENZIONALI,

NETWORK FORENSICS

Conclusioni

“ NON C'E' NULLA DI PEGGIO DEL NON
SAPERE CHE COSA HAI DAVANTI … “

�ݺ�ߣ

Cyber Forensics - Acquisizione e analisi dei dati

More Related Content

Cyber Forensics - Acquisizione e analisi dei dati