際際滷

際際滷Share a Scribd company logo

DEFTCON 2012 - Giuseppe Dezzani - L'acquisizione di evidenze digitali nel quadro normativo italiano

Sandro Rossetti
Sandro Rossetti
1 of 24
Downloaded 17 times
LACQUISIZIONE DI EVIDENZE DIGITALI NEL QUADRO NORMATIVO ITALIANO Giuseppe DEZZANI gd@difob.it
Legge 48/2008 Limportanza della Legge 48/2008 per le modifiche introdotte nel Codice di Procedura Penale DeftConf 2012 - Torino - 30 Marzo 2012
Le modifiche al codice di procedura penale ≒ 1. All'articolo 244, comma 2, secondo periodo, del codice di procedura penale sono aggiunte, in fine, le seguenti parole: ≒ 束,anche in relazione a sistemi informatici o telematici, adottando misure tecniche dirette ad assicurare la conservazione dei dati originali e ad impedirne l'alterazione損. DeftConf 2012 - Torino - 30 Marzo 2012 22
Le modifiche al codice di procedura penale ≒ 2. All'articolo 247 del codice di procedura penale, dopo il comma 1 竪 inserito il seguente: ≒ 束1-bis. Quando vi 竪 fondato motivo di ritenere che dati, informazioni, programmi informatici o tracce comunque pertinenti al reato si trovino in un sistema informatico o telematico, ancorch辿 protetto da misure di sicurezza, ne 竪 disposta la perquisizione, adottando misure tecniche dirette ad assicurare la conservazione dei dati originali e ad impedirne l'alterazione損. DeftConf 2012 - Torino - 30 Marzo 2012 22
Le modifiche al codice di procedura penale ≒ 7. All'articolo 259, comma 2, del codice di procedura penale, dopo il primo periodo 竪 inserito il seguente: ≒ 束Quando la custodia riguarda dati, informazioni o programmi informatici, il custode 竪 altres狸 avvertito dell'obbligo di impedirne l'alterazione o l'accesso da parte di terzi, salva, in quest'ultimo caso, diversa disposizione dell'autorit giudiziaria損. DeftConf 2012 - Torino - 30 Marzo 2012 22
Le modifiche al codice di procedura penale ≒All'articolo 260 del codice di procedura penale sono apportate le seguenti modificazioni: ≒ a) al comma 1, dopo le parole: 束con altro mezzo損 sono inserite le seguenti: 束, anche di carattere elettronico o informatico,損; ≒ b) al comma 2 竪 aggiunto, in fine, il seguente periodo: 束Quando si tratta di dati, di informazioni o di programmi informatici, la copia deve essere realizzata su adeguati supporti, mediante procedura che assicuri la conformit della copia all'originale e la sua immodificabilit; in tali casi, la custodia degli originali pu嘆 essere disposta anche in luoghi diversi dalla cancelleria o dalla segreteria損. DeftConf 2012 - Torino - 30 Marzo 2012 22
Le procedure di Acquisizione ≒RFC3227 Capture as accurate a picture of the system as possible DeftConf 2012 - Torino - 30 Marzo 2012 22
Le procedure di Acquisizione ≒RFC3227 Keep detailed notes DeftConf 2012 - Torino - 30 Marzo 2012 22
Le procedure di Acquisizione ≒RFC3227 Note the difference between the system clock and UTC. DeftConf 2012 - Torino - 30 Marzo 2012 22
Le procedure di Acquisizione ≒RFC3227 Minimise changes to the data as you are collecting it. DeftConf 2012 - Torino - 30 Marzo 2012 22
Le procedure di Acquisizione ≒RFC3227 Remove external avenues for change DeftConf 2012 - Torino - 30 Marzo 2012 22
Le procedure di Acquisizione ≒RFC3227 When confronted with a choice between collection and analysis you should do collection first and analysis later DeftConf 2012 - Torino - 30 Marzo 2012 22
Le procedure di Acquisizione ≒RFC3227 Proceed from the volatile to the less volatile DeftConf 2012 - Torino - 30 Marzo 2012 22
Acquisizione della memoria RAM (Windows) DeftConf 2012 - Torino - 30 Marzo 2012 22
Acquisizione della memoria RAM (Windows): DeftConf 2012 - Torino - 30 Marzo 2012 22
Acquisizione della memoria RAM (Linux): Linea di Comando ! dd if=/dev/fmem of=memdump bs= Potete/dovete installare una patch : http://hysteria.sk/~niekt0/foriana/ DeftConf 2012 - Torino - 30 Marzo 2012 22
Acquisizione della memoria RAM (MAC): Mac Memory Reader http://cybermarshal.com/index.php/cyber-marshal-utilities/ mac-memory-reader Linea di comando : Si esegue : mac-memory-reader indicando dove salvare il file di risultato. DeftConf 2012 - Torino - 30 Marzo 2012 22
Acquisizione della memoria RAM (MAC): DeftConf 2012 - Torino - 30 Marzo 2012 22
Acquisizione della memoria RAM (Tutti): Questi tools non calcolano lhash del file risultato dellacquisizione, ricordate di calcolarlo manualmente per la catena di conservazione. DeftConf 2012 - Torino - 30 Marzo 2012 22
Acquisizione di un Reperto Ma ci ricordiamo di fare sempre tutto ? DeftConf 2012 - Torino - 30 Marzo 2012 22
RepertAPP (Anteprima) Per fare tutto quello che abbiamo detto e non dimenticare nulla ! Abbiamo realizzato 束RepertAPP損 Troverete a breve la nuova APP su Google Play ed il client sulla prossima Release di DEFT. DeftConf 2012 - Torino - 30 Marzo 2012 22
RepertAPP Cosa far RepertAPP : - Acquisizione di informazioni sul Caso - Acquisizione di note - Verifica dellorario e calcolo differenza con UTC - Acquisizione dei numeri di serie (barcode scanner) - Fotografie DeftConf 2012 - Torino - 30 Marzo 2012 22
RepertAPP Report : - Tutti i dati verranno trasmessi ad una casella DROPBOX, in una sottocartella con il nome con cui abbiamo etichettato il reperto. - Generazione Report personalizzato in formato PDF e/o HTML con inclusione del Log dello strumento di duplicazione DeftConf 2012 - Torino - 30 Marzo 2012 22
Ringraziamenti Grazie Giuseppe DEZZANI Studio Associato Di.Fo.B. Torino gd@difob.it DeftConf 2012 - Torino - 30 Marzo 2012 22

More Related Content

DEFTCON 2012 - Giuseppe Dezzani - L'acquisizione di evidenze digitali nel quadro normativo italiano

  • 1. LACQUISIZIONE DI EVIDENZE DIGITALI NEL QUADRO NORMATIVO ITALIANO Giuseppe DEZZANI gd@difob.it
  • 2. Legge 48/2008 Limportanza della Legge 48/2008 per le modifiche introdotte nel Codice di Procedura Penale DeftConf 2012 - Torino - 30 Marzo 2012
  • 3. Le modifiche al codice di procedura penale ≒ 1. All'articolo 244, comma 2, secondo periodo, del codice di procedura penale sono aggiunte, in fine, le seguenti parole: ≒ 束,anche in relazione a sistemi informatici o telematici, adottando misure tecniche dirette ad assicurare la conservazione dei dati originali e ad impedirne l'alterazione損. DeftConf 2012 - Torino - 30 Marzo 2012 22
  • 4. Le modifiche al codice di procedura penale ≒ 2. All'articolo 247 del codice di procedura penale, dopo il comma 1 竪 inserito il seguente: ≒ 束1-bis. Quando vi 竪 fondato motivo di ritenere che dati, informazioni, programmi informatici o tracce comunque pertinenti al reato si trovino in un sistema informatico o telematico, ancorch辿 protetto da misure di sicurezza, ne 竪 disposta la perquisizione, adottando misure tecniche dirette ad assicurare la conservazione dei dati originali e ad impedirne l'alterazione損. DeftConf 2012 - Torino - 30 Marzo 2012 22
  • 5. Le modifiche al codice di procedura penale ≒ 7. All'articolo 259, comma 2, del codice di procedura penale, dopo il primo periodo 竪 inserito il seguente: ≒ 束Quando la custodia riguarda dati, informazioni o programmi informatici, il custode 竪 altres狸 avvertito dell'obbligo di impedirne l'alterazione o l'accesso da parte di terzi, salva, in quest'ultimo caso, diversa disposizione dell'autorit giudiziaria損. DeftConf 2012 - Torino - 30 Marzo 2012 22
  • 6. Le modifiche al codice di procedura penale ≒All'articolo 260 del codice di procedura penale sono apportate le seguenti modificazioni: ≒ a) al comma 1, dopo le parole: 束con altro mezzo損 sono inserite le seguenti: 束, anche di carattere elettronico o informatico,損; ≒ b) al comma 2 竪 aggiunto, in fine, il seguente periodo: 束Quando si tratta di dati, di informazioni o di programmi informatici, la copia deve essere realizzata su adeguati supporti, mediante procedura che assicuri la conformit della copia all'originale e la sua immodificabilit; in tali casi, la custodia degli originali pu嘆 essere disposta anche in luoghi diversi dalla cancelleria o dalla segreteria損. DeftConf 2012 - Torino - 30 Marzo 2012 22
  • 7. Le procedure di Acquisizione ≒RFC3227 Capture as accurate a picture of the system as possible DeftConf 2012 - Torino - 30 Marzo 2012 22
  • 8. Le procedure di Acquisizione ≒RFC3227 Keep detailed notes DeftConf 2012 - Torino - 30 Marzo 2012 22
  • 9. Le procedure di Acquisizione ≒RFC3227 Note the difference between the system clock and UTC. DeftConf 2012 - Torino - 30 Marzo 2012 22
  • 10. Le procedure di Acquisizione ≒RFC3227 Minimise changes to the data as you are collecting it. DeftConf 2012 - Torino - 30 Marzo 2012 22
  • 11. Le procedure di Acquisizione ≒RFC3227 Remove external avenues for change DeftConf 2012 - Torino - 30 Marzo 2012 22
  • 12. Le procedure di Acquisizione ≒RFC3227 When confronted with a choice between collection and analysis you should do collection first and analysis later DeftConf 2012 - Torino - 30 Marzo 2012 22
  • 13. Le procedure di Acquisizione ≒RFC3227 Proceed from the volatile to the less volatile DeftConf 2012 - Torino - 30 Marzo 2012 22
  • 14. Acquisizione della memoria RAM (Windows) DeftConf 2012 - Torino - 30 Marzo 2012 22
  • 15. Acquisizione della memoria RAM (Windows): DeftConf 2012 - Torino - 30 Marzo 2012 22
  • 16. Acquisizione della memoria RAM (Linux): Linea di Comando ! dd if=/dev/fmem of=memdump bs= Potete/dovete installare una patch : http://hysteria.sk/~niekt0/foriana/ DeftConf 2012 - Torino - 30 Marzo 2012 22
  • 17. Acquisizione della memoria RAM (MAC): Mac Memory Reader http://cybermarshal.com/index.php/cyber-marshal-utilities/ mac-memory-reader Linea di comando : Si esegue : mac-memory-reader indicando dove salvare il file di risultato. DeftConf 2012 - Torino - 30 Marzo 2012 22
  • 18. Acquisizione della memoria RAM (MAC): DeftConf 2012 - Torino - 30 Marzo 2012 22
  • 19. Acquisizione della memoria RAM (Tutti): Questi tools non calcolano lhash del file risultato dellacquisizione, ricordate di calcolarlo manualmente per la catena di conservazione. DeftConf 2012 - Torino - 30 Marzo 2012 22
  • 20. Acquisizione di un Reperto Ma ci ricordiamo di fare sempre tutto ? DeftConf 2012 - Torino - 30 Marzo 2012 22
  • 21. RepertAPP (Anteprima) Per fare tutto quello che abbiamo detto e non dimenticare nulla ! Abbiamo realizzato 束RepertAPP損 Troverete a breve la nuova APP su Google Play ed il client sulla prossima Release di DEFT. DeftConf 2012 - Torino - 30 Marzo 2012 22
  • 22. RepertAPP Cosa far RepertAPP : - Acquisizione di informazioni sul Caso - Acquisizione di note - Verifica dellorario e calcolo differenza con UTC - Acquisizione dei numeri di serie (barcode scanner) - Fotografie DeftConf 2012 - Torino - 30 Marzo 2012 22
  • 23. RepertAPP Report : - Tutti i dati verranno trasmessi ad una casella DROPBOX, in una sottocartella con il nome con cui abbiamo etichettato il reperto. - Generazione Report personalizzato in formato PDF e/o HTML con inclusione del Log dello strumento di duplicazione DeftConf 2012 - Torino - 30 Marzo 2012 22
  • 24. Ringraziamenti Grazie Giuseppe DEZZANI Studio Associato Di.Fo.B. Torino gd@difob.it DeftConf 2012 - Torino - 30 Marzo 2012 22