際際滷

際際滷Share a Scribd company logo

LA PROVA INFORMATICA NEL PROCESSO PENALE - Aspetti Tecnici e Giuridici

denis frati
denis frati

Seminari di Diritto Penale dell'Informatica organizzato da Osservatorio CSIG Ivrea & Camera Penale Vittorio Chiusano - incontro tenutosi ad Ivrea (TO) il 4 maggio 2007

1 of 25
Downloaded 181 times
晦粥油永檎或閣粥油鴛鰻酷或檎珂粥意鴛遺粥油 NELPROCESSOPENALE AspettiTecnicieGiuridici Ivrea4maggio2007 SeminaridiDirittoPenaledell'Informatica OsservatorioCSIGIvrea&CameraPenaleVittorioChiusano DenisFrati
晦粥油永檎或閣粥油鴛鰻酷或檎珂粥意鴛遺粥油NELPROCESSOPENALE AspettiTecnicieGiuridici足Ivrea4maggio2007 Inprincipio: Lacasisticacorrelataall'acquisizioneeall'analisidiprovedigitaliera limitata(1nni70足80)areatiprettamenteinformatici,ovverodoveil computerrappresentavailtramiteattraversocuicommettereilreatoo iltargetstessodell'azionecriminosa. DenisFrati
晦粥油永檎或閣粥油鴛鰻酷或檎珂粥意鴛遺粥油NELPROCESSOPENALE AspettiTecnicieGiuridici足Ivrea4maggio2007 Attualmente: Idispositivielettronici/digitalihannoavutodiffusionedimassa, divenendocompendiodellavitaquotidiana. Illoroutilizzo,nonpi湛legatoalsoloambitoinformatico,implicala presenzadiinformazionidigitali,rilevantiaifinidell'indagine,sulla scenadicriminicomuni,inquantodispositiviusatidall'autoredelreato nellaorganizzazione/realizzazionedell'attocriminosoe/odallavittima. DenisFrati
晦粥油永檎或閣粥油鴛鰻酷或檎珂粥意鴛遺粥油NELPROCESSOPENALE AspettiTecnicieGiuridici足Ivrea4maggio2007 sullascena delcrimine sar possibile individuare DenisFrati
晦粥油永檎或閣粥油鴛鰻酷或檎珂粥意鴛遺粥油NELPROCESSOPENALE AspettiTecnicieGiuridici足Ivrea4maggio2007 DefinizioneProvadigitale: Qualsiasiinformazione,convaloreprobatorio,chesiao memorizzataotrasmessainunformatodigitale (ScientificWorkingGrouponDigitalEvidence,1998) L'informazionedigitale竪l'unicainterpretabiledadispositivi elettronico/digitali,inquantorappresentazionenellinguaggiobinario, compostoda1(uno)e0(zero),dellecondizionisi/no,vero/falso,on/off L'unitminima竪definitabit(binaryunit) Ilmantenimentodelleinformazioninella memoriadeidispositivielettroniciavviene attraversolapolarizzazionediunitfisiche costituentiisupportidimemoriamagneticie magneto足ottici. DenisFrati
晦粥油永檎或閣粥油鴛鰻酷或檎珂粥意鴛遺粥油NELPROCESSOPENALE AspettiTecnicieGiuridici足Ivrea4maggio2007 Acquisizionedella prova Sequestro (qualeinsiemedati (fontediprova) contenutisulsupporto) Estrazionedati/file Perquisizione rilevanti (elementidiprova) Notiziadireato IlValoreProbatoriodellaprova竪garantitoda: Dibattimento autenticit integrit veracit completezza legalit DenisFrati
晦粥油永檎或閣粥油鴛鰻酷或檎珂粥意鴛遺粥油NELPROCESSOPENALE AspettiTecnicieGiuridici足Ivrea4maggio2007 Digitalforensics computerforensics attraverso identificazione preservazione mobileforensics acquisizione analisi presentazione pervieneallaprovadigitale, mantenendone networkforensics ilvaloreprobatorio DenisFrati
晦粥油永檎或閣粥油鴛鰻酷或檎珂粥意鴛遺粥油NELPROCESSOPENALE AspettiTecnicieGiuridici足Ivrea4maggio2007 Identificazione: attivitvolta,attraverso: l'analisiesterna deidispositivielettronico/digitali deisupportidimemoria l'analisiabassolivellodellalogicadeisupportidimemoria l'hashingdeidatidiinteresse alriconoscimentoinequivocabileedunivocodeidispositivi,deisupporti edeidati. DenisFrati
晦粥油永檎或閣粥油鴛鰻酷或檎珂粥意鴛遺粥油NELPROCESSOPENALE AspettiTecnicieGiuridici足Ivrea4maggio2007 Preservazione: 竪quell'insiemediproceduretecnico/burocratichevolteagarantirela nonalterazionedellaprova,qualeinsiemedidatidigitali. siesplica: tecnicamenteattraverso: l'usodihardware/softwarewrite足blocker lasuaduplicazionebitabit losvolgimentodell'analisisullesolecopie burocraticamenteeformalmenteattraverso: latracciabilitdeglispostamenti(consegna/presaincarico) subitidallaprova: ambitogiudiziario:verbaledisequestro,diconsegnao affidamento,didepositoc/ouff.provedireato ambitocivile:chainofcustody(catenadicustodia) laregistrazionedelleattivitsvoltesullaprova DenisFrati
晦粥油永檎或閣粥油鴛鰻酷或檎珂粥意鴛遺粥油NELPROCESSOPENALE AspettiTecnicieGiuridici足Ivrea4maggio2007 Acquisizione(1): attivitvoltaallacopiadeidatipresentisusupportidimemoria,oin transitonellarete. deve: garantirel'identicitdeidatitra copiaeoriginale noncausarealterazionineidati/prova originali esserescrupolosamentedocumentata pu嘆essereeffettuata: inlocalesuhostvittimaosu forensicworkstation attraversolarete(netcat) inmodalitliveopost足mortem DenisFrati
晦粥油永檎或閣粥油鴛鰻酷或檎珂粥意鴛遺粥油NELPROCESSOPENALE AspettiTecnicieGiuridici足Ivrea4maggio2007 Acquisizione(2): 竪unafaseestremamentedelicata,nellaqualesipotrebberoprodurre alterazionedeidati/prova,se: ilsequestrodeldispositivovieneeffettuatodaoperatorinonesperti nonvieneutilizzatohardware/softwarewrite足blocker vengonoutilizzatisoftwarenonvalidatiafiniforensi DenisFrati
晦粥油永檎或閣粥油鴛鰻酷或檎珂粥意鴛遺粥油NELPROCESSOPENALE AspettiTecnicieGiuridici足Ivrea4maggio2007 Acquisizione(3): iwriteblockerhardwaresonodispositivichevengonointerpostitrail sistemachedeveeffettuarel'acquisizioneeilsupportodimemoriasul risiedonoidatidiinteresse isoftwarewrite足blockerconsentonosusitemioperativiUnix足likedi montaredispositivieimmaginiinmodalitdisolalettura root#mount足tvfat足oro,noexec/dev/sorg/mnt/punto_di_mount DenisFrati
晦粥油永檎或閣粥油鴛鰻酷或檎珂粥意鴛遺粥油NELPROCESSOPENALE AspettiTecnicieGiuridici足Ivrea4maggio2007 Acquisizione(4): acquisizione minime perditadati prova conparametri quantitdi rilevanti digitale noncorretti dati(bytes) DenisFrati
晦粥油永檎或閣粥油鴛鰻酷或檎珂粥意鴛遺粥油NELPROCESSOPENALE AspettiTecnicieGiuridici足Ivrea4maggio2007 Acquisizione(5): L'identicitspecularebitabit,deidatioriginaliediquelliprodotticome copiavienecertificataattraversoilconfrontodegliHASH. L'algoritmodihashtrasformaunaquantitdibitarbitrariainunoutput dilunghezzafissa. Ivrea竪bella 885b9c97cf70c551d855b68a5354bc81 ALGORITMO di d9cd79e44d75c0b3a70b754d18b795fa HASH MD5 70dc1f163cc96dd2b58387e259d6c072 DenisFrati
晦粥油永檎或閣粥油鴛鰻酷或檎珂粥意鴛遺粥油NELPROCESSOPENALE AspettiTecnicieGiuridici足Ivrea4maggio2007 Analisi(1): attivitvoltaallaricercaeidentificazionedell'informazione,rilevanteai finiprobatori(elementodiprova),svoltasuidati(qualiinsiemedibit) acquisiti. l'analisideve: esserescrupolosamentedocumentata procedimentisvolti sistemaforense(hardware,sistemaoperativoetools)utilizzato essereripetibile nonapportaremodificheallaprova DenisFrati
晦粥油永檎或閣粥油鴛鰻酷或檎珂粥意鴛遺粥油NELPROCESSOPENALE AspettiTecnicieGiuridici足Ivrea4maggio2007 Analisi(2): l'analisideveesseresvoltainaderenzaall'informazionedaricercare, potendo/dovendoprendereinconsiderazione: filesdisistema filesdilog filesutente,documentiufficio,e足mail,testo,immagini,audio,video, ecc.. filesprotettidapassword cronologiainternet spaziononallocato spaziodislack partizioni/filesdiswap filescancellati filescriptati filessteganografati DenisFrati
晦粥油永檎或閣粥油鴛鰻酷或檎珂粥意鴛遺粥油NELPROCESSOPENALE AspettiTecnicieGiuridici足Ivrea4maggio2007 Analisi(3)足itools: Glistrumentisoftwareutilizzatiperl'analisi: nonsonoancoracertificatidaalcunente/organo/istituto devono: garantirechenessunamodificavengaapportataaidati esserelicenziati,senondistribuitigratuitamente nonessereproventodicracking/pirateria essendoneillecitol'utilizzo nonpotendogarantirecheilcrackingnoncomportimodificheal funzionamento possonoessere: opensource:竪possibileanalizzareiprocessilogiciacuisono sottopostiidati closedsource:tipicodeisoftwarecommerciali,nonconsentel'analisi dellalogicadifunzionamento,laverificadeiprocessiacuiidatisono sottoposti VS DenisFrati
晦粥油永檎或閣粥油鴛鰻酷或檎珂粥意鴛遺粥油NELPROCESSOPENALE AspettiTecnicieGiuridici足Ivrea4maggio2007 Analisi(4)足itools: Isoftwareclosedsource(EnCase,FTK,X足WayForensic,ecc..)offrono: interfacciauserfriendly toolsintegrati(editoresadecimale,player,passwordcracker,hashing,log attivit,ecc...) compilazionereportistica nondispongonodilargacompatibilitversoifilesystemnonnativi Isoftware/sistemiopensource(ambienteUnix足like)offrono: ampioriconoscimentofilesystem nonoffrono: toolsintegratiinun'unicainterfacciagrafica compatibilitapplicativisviluppatiperdifferentiSO compilazionereportistica Esistono,inambienteLinux,interfaccegrafichecheintegranoidifferentitools inun'unicainterfaccia(nongratuiti): SMARTdiASRData THEFARMER'SBOOTCD DenisFrati
晦粥油永檎或閣粥油鴛鰻酷或檎珂粥意鴛遺粥油NELPROCESSOPENALE AspettiTecnicieGiuridici足Ivrea4maggio2007 Analisi(5)足itools/sistemiopensource: particolareattenzionemeritanoiForensicBootCDbasatisuGNU/Linux DenisFrati
晦粥油永檎或閣粥油鴛鰻酷或檎珂粥意鴛遺粥油NELPROCESSOPENALE AspettiTecnicieGiuridici足Ivrea4maggio2007 Analisi(6)足rischi: Mostriamoinpraticaquantounaprovadigitalesiafragile:ipotizzandodi starsvolgendoun'analisilive,consideriamoilfileimmaginefccu_2.JPG. L'intefacciaWindowsdelbootlivecdHELIXindicachel'immagine竪stata creataemodificataindata: 12marzo2007 el'ultimoaccessoalfile竪 avvenutoindata: 3aprile2007 DenisFrati
晦粥油永檎或閣粥油鴛鰻酷或檎珂粥意鴛遺粥油NELPROCESSOPENALE AspettiTecnicieGiuridici足Ivrea4maggio2007 Analisi(7)足rischi: Sel'analistaforenseprendevisionedelcontenutodeldiscorigido,per esempiovisionandoleimmagini(comesottomostrato),ifilmati,oi documentiditesto,causerlamodificadeltimestampdeifile. secontrolliamonuovamente iltimestampnotiamochela datadell'ultimoaccesso竪 cambiata: 3maggio2007!! laprova竪alterata!! DenisFrati
晦粥油永檎或閣粥油鴛鰻酷或檎珂粥意鴛遺粥油NELPROCESSOPENALE AspettiTecnicieGiuridici足Ivrea4maggio2007 Presentazione: Ilprocedimentodiinvestigazionedellaprovadigitalesiconcludeconla presentazionedi: informazioniestrattedaidatirecuperati correlazioneesistentetrainformazionedigitaleefattoreato procedimentidiidentificazione,preservazione,acquisizioneeanalisi dispositiviesoftwareutilizzati datiestratti/recuperatisusupportodigitale DenisFrati
晦粥油永檎或閣粥油鴛鰻酷或檎珂粥意鴛遺粥油NELPROCESSOPENALE AspettiTecnicieGiuridici足Ivrea4maggio2007 Riferimenti(1)足siti: LegalElectronicForensicsTeam(L.E.F.T.),progettodiricerca(e gruppodistudio)dellaCattedradiInformaticaGiuridicaAvanzata dell'UniversitdegliStudidiMilano足http://www.avanzata.it/left/ Cybercrimes.it,computerforensicsecrimineinformatico足 http://www.cybercrimes.it/ MarcoMattiucci,ilsitodelmaggioredeiCarabinieri足 http://www.marcomattiucci.it/ CorsoInformaticaForense,universitdegliStudidiBologna足 http://www.informaticaforense.it/ InternationalInformationSystemsForensicAssociation足 http://www.iisfa.it/ DenisFrati
晦粥油永檎或閣粥油鴛鰻酷或檎珂粥意鴛遺粥油NELPROCESSOPENALE AspettiTecnicieGiuridici足Ivrea4maggio2007 Riferimenti(2)blogeforum: ForensicsWebLog,ilblogdell'Avv.FedericaBertoni足 http://4ensix.blogspot.com/ ComputerForensics,ilblogdelProf.GiovanniZiccardi足 http://forensics.typepad.com/ ComputerForensics,ilblogdiAndreaGhirardini足 http://forensicsbypila.blogspot.com/ Cybercrimes.itforum足http://www.cybercrimes.it/forum/ DigitalSherlock,ilforumdiNaniBassettiConsulentetecnico足 http://www.nannibassetti.com/cf IRItalyblogilblogdelprogetto足http://iritaly.blogspot.com/ DenisFrati
晦粥油永檎或閣粥油鴛鰻酷或檎珂粥意鴛遺粥油NELPROCESSOPENALE AspettiTecnicieGiuridici足Ivrea4maggio2007 Riferimenti(3)bootlivecd: IRItaly,ilprogettoeilbootlivecd足http://www.iritaly足livecd.org/ DeftComputerForensics,ilprogettoeilbootlivecd足 http://www.stevelab.net/deft/ Helix,progettoebootlivecd足http://www.e足fense.com/helix/ FCCU,ilbootlivecddellaPoliziaBelga足 http://www.lnx4n6.be/index.php PenguinSleuth,macchinavirtualeebootlivecd足 http://www.linux足forensics.com/ SMART足http://www.asrdata.com/SMART/ TheFarmer'sBootCd足http://www.forensicbootcd.com DenisFrati

More Related Content

LA PROVA INFORMATICA NEL PROCESSO PENALE - Aspetti Tecnici e Giuridici

  • 1. 晦粥油永檎或閣粥油鴛鰻酷或檎珂粥意鴛遺粥油 NELPROCESSOPENALE AspettiTecnicieGiuridici Ivrea4maggio2007 SeminaridiDirittoPenaledell'Informatica OsservatorioCSIGIvrea&CameraPenaleVittorioChiusano DenisFrati
  • 2. 晦粥油永檎或閣粥油鴛鰻酷或檎珂粥意鴛遺粥油NELPROCESSOPENALE AspettiTecnicieGiuridici足Ivrea4maggio2007 Inprincipio: Lacasisticacorrelataall'acquisizioneeall'analisidiprovedigitaliera limitata(1nni70足80)areatiprettamenteinformatici,ovverodoveil computerrappresentavailtramiteattraversocuicommettereilreatoo iltargetstessodell'azionecriminosa. DenisFrati
  • 3. 晦粥油永檎或閣粥油鴛鰻酷或檎珂粥意鴛遺粥油NELPROCESSOPENALE AspettiTecnicieGiuridici足Ivrea4maggio2007 Attualmente: Idispositivielettronici/digitalihannoavutodiffusionedimassa, divenendocompendiodellavitaquotidiana. Illoroutilizzo,nonpi湛legatoalsoloambitoinformatico,implicala presenzadiinformazionidigitali,rilevantiaifinidell'indagine,sulla scenadicriminicomuni,inquantodispositiviusatidall'autoredelreato nellaorganizzazione/realizzazionedell'attocriminosoe/odallavittima. DenisFrati
  • 4. 晦粥油永檎或閣粥油鴛鰻酷或檎珂粥意鴛遺粥油NELPROCESSOPENALE AspettiTecnicieGiuridici足Ivrea4maggio2007 sullascena delcrimine sar possibile individuare DenisFrati
  • 5. 晦粥油永檎或閣粥油鴛鰻酷或檎珂粥意鴛遺粥油NELPROCESSOPENALE AspettiTecnicieGiuridici足Ivrea4maggio2007 DefinizioneProvadigitale: Qualsiasiinformazione,convaloreprobatorio,chesiao memorizzataotrasmessainunformatodigitale (ScientificWorkingGrouponDigitalEvidence,1998) L'informazionedigitale竪l'unicainterpretabiledadispositivi elettronico/digitali,inquantorappresentazionenellinguaggiobinario, compostoda1(uno)e0(zero),dellecondizionisi/no,vero/falso,on/off L'unitminima竪definitabit(binaryunit) Ilmantenimentodelleinformazioninella memoriadeidispositivielettroniciavviene attraversolapolarizzazionediunitfisiche costituentiisupportidimemoriamagneticie magneto足ottici. DenisFrati
  • 6. 晦粥油永檎或閣粥油鴛鰻酷或檎珂粥意鴛遺粥油NELPROCESSOPENALE AspettiTecnicieGiuridici足Ivrea4maggio2007 Acquisizionedella prova Sequestro (qualeinsiemedati (fontediprova) contenutisulsupporto) Estrazionedati/file Perquisizione rilevanti (elementidiprova) Notiziadireato IlValoreProbatoriodellaprova竪garantitoda: Dibattimento autenticit integrit veracit completezza legalit DenisFrati
  • 7. 晦粥油永檎或閣粥油鴛鰻酷或檎珂粥意鴛遺粥油NELPROCESSOPENALE AspettiTecnicieGiuridici足Ivrea4maggio2007 Digitalforensics computerforensics attraverso identificazione preservazione mobileforensics acquisizione analisi presentazione pervieneallaprovadigitale, mantenendone networkforensics ilvaloreprobatorio DenisFrati
  • 8. 晦粥油永檎或閣粥油鴛鰻酷或檎珂粥意鴛遺粥油NELPROCESSOPENALE AspettiTecnicieGiuridici足Ivrea4maggio2007 Identificazione: attivitvolta,attraverso: l'analisiesterna deidispositivielettronico/digitali deisupportidimemoria l'analisiabassolivellodellalogicadeisupportidimemoria l'hashingdeidatidiinteresse alriconoscimentoinequivocabileedunivocodeidispositivi,deisupporti edeidati. DenisFrati
  • 9. 晦粥油永檎或閣粥油鴛鰻酷或檎珂粥意鴛遺粥油NELPROCESSOPENALE AspettiTecnicieGiuridici足Ivrea4maggio2007 Preservazione: 竪quell'insiemediproceduretecnico/burocratichevolteagarantirela nonalterazionedellaprova,qualeinsiemedidatidigitali. siesplica: tecnicamenteattraverso: l'usodihardware/softwarewrite足blocker lasuaduplicazionebitabit losvolgimentodell'analisisullesolecopie burocraticamenteeformalmenteattraverso: latracciabilitdeglispostamenti(consegna/presaincarico) subitidallaprova: ambitogiudiziario:verbaledisequestro,diconsegnao affidamento,didepositoc/ouff.provedireato ambitocivile:chainofcustody(catenadicustodia) laregistrazionedelleattivitsvoltesullaprova DenisFrati
  • 10. 晦粥油永檎或閣粥油鴛鰻酷或檎珂粥意鴛遺粥油NELPROCESSOPENALE AspettiTecnicieGiuridici足Ivrea4maggio2007 Acquisizione(1): attivitvoltaallacopiadeidatipresentisusupportidimemoria,oin transitonellarete. deve: garantirel'identicitdeidatitra copiaeoriginale noncausarealterazionineidati/prova originali esserescrupolosamentedocumentata pu嘆essereeffettuata: inlocalesuhostvittimaosu forensicworkstation attraversolarete(netcat) inmodalitliveopost足mortem DenisFrati
  • 11. 晦粥油永檎或閣粥油鴛鰻酷或檎珂粥意鴛遺粥油NELPROCESSOPENALE AspettiTecnicieGiuridici足Ivrea4maggio2007 Acquisizione(2): 竪unafaseestremamentedelicata,nellaqualesipotrebberoprodurre alterazionedeidati/prova,se: ilsequestrodeldispositivovieneeffettuatodaoperatorinonesperti nonvieneutilizzatohardware/softwarewrite足blocker vengonoutilizzatisoftwarenonvalidatiafiniforensi DenisFrati
  • 12. 晦粥油永檎或閣粥油鴛鰻酷或檎珂粥意鴛遺粥油NELPROCESSOPENALE AspettiTecnicieGiuridici足Ivrea4maggio2007 Acquisizione(3): iwriteblockerhardwaresonodispositivichevengonointerpostitrail sistemachedeveeffettuarel'acquisizioneeilsupportodimemoriasul risiedonoidatidiinteresse isoftwarewrite足blockerconsentonosusitemioperativiUnix足likedi montaredispositivieimmaginiinmodalitdisolalettura root#mount足tvfat足oro,noexec/dev/sorg/mnt/punto_di_mount DenisFrati
  • 13. 晦粥油永檎或閣粥油鴛鰻酷或檎珂粥意鴛遺粥油NELPROCESSOPENALE AspettiTecnicieGiuridici足Ivrea4maggio2007 Acquisizione(4): acquisizione minime perditadati prova conparametri quantitdi rilevanti digitale noncorretti dati(bytes) DenisFrati
  • 14. 晦粥油永檎或閣粥油鴛鰻酷或檎珂粥意鴛遺粥油NELPROCESSOPENALE AspettiTecnicieGiuridici足Ivrea4maggio2007 Acquisizione(5): L'identicitspecularebitabit,deidatioriginaliediquelliprodotticome copiavienecertificataattraversoilconfrontodegliHASH. L'algoritmodihashtrasformaunaquantitdibitarbitrariainunoutput dilunghezzafissa. Ivrea竪bella 885b9c97cf70c551d855b68a5354bc81 ALGORITMO di d9cd79e44d75c0b3a70b754d18b795fa HASH MD5 70dc1f163cc96dd2b58387e259d6c072 DenisFrati
  • 15. 晦粥油永檎或閣粥油鴛鰻酷或檎珂粥意鴛遺粥油NELPROCESSOPENALE AspettiTecnicieGiuridici足Ivrea4maggio2007 Analisi(1): attivitvoltaallaricercaeidentificazionedell'informazione,rilevanteai finiprobatori(elementodiprova),svoltasuidati(qualiinsiemedibit) acquisiti. l'analisideve: esserescrupolosamentedocumentata procedimentisvolti sistemaforense(hardware,sistemaoperativoetools)utilizzato essereripetibile nonapportaremodificheallaprova DenisFrati
  • 16. 晦粥油永檎或閣粥油鴛鰻酷或檎珂粥意鴛遺粥油NELPROCESSOPENALE AspettiTecnicieGiuridici足Ivrea4maggio2007 Analisi(2): l'analisideveesseresvoltainaderenzaall'informazionedaricercare, potendo/dovendoprendereinconsiderazione: filesdisistema filesdilog filesutente,documentiufficio,e足mail,testo,immagini,audio,video, ecc.. filesprotettidapassword cronologiainternet spaziononallocato spaziodislack partizioni/filesdiswap filescancellati filescriptati filessteganografati DenisFrati
  • 17. 晦粥油永檎或閣粥油鴛鰻酷或檎珂粥意鴛遺粥油NELPROCESSOPENALE AspettiTecnicieGiuridici足Ivrea4maggio2007 Analisi(3)足itools: Glistrumentisoftwareutilizzatiperl'analisi: nonsonoancoracertificatidaalcunente/organo/istituto devono: garantirechenessunamodificavengaapportataaidati esserelicenziati,senondistribuitigratuitamente nonessereproventodicracking/pirateria essendoneillecitol'utilizzo nonpotendogarantirecheilcrackingnoncomportimodificheal funzionamento possonoessere: opensource:竪possibileanalizzareiprocessilogiciacuisono sottopostiidati closedsource:tipicodeisoftwarecommerciali,nonconsentel'analisi dellalogicadifunzionamento,laverificadeiprocessiacuiidatisono sottoposti VS DenisFrati
  • 18. 晦粥油永檎或閣粥油鴛鰻酷或檎珂粥意鴛遺粥油NELPROCESSOPENALE AspettiTecnicieGiuridici足Ivrea4maggio2007 Analisi(4)足itools: Isoftwareclosedsource(EnCase,FTK,X足WayForensic,ecc..)offrono: interfacciauserfriendly toolsintegrati(editoresadecimale,player,passwordcracker,hashing,log attivit,ecc...) compilazionereportistica nondispongonodilargacompatibilitversoifilesystemnonnativi Isoftware/sistemiopensource(ambienteUnix足like)offrono: ampioriconoscimentofilesystem nonoffrono: toolsintegratiinun'unicainterfacciagrafica compatibilitapplicativisviluppatiperdifferentiSO compilazionereportistica Esistono,inambienteLinux,interfaccegrafichecheintegranoidifferentitools inun'unicainterfaccia(nongratuiti): SMARTdiASRData THEFARMER'SBOOTCD DenisFrati
  • 19. 晦粥油永檎或閣粥油鴛鰻酷或檎珂粥意鴛遺粥油NELPROCESSOPENALE AspettiTecnicieGiuridici足Ivrea4maggio2007 Analisi(5)足itools/sistemiopensource: particolareattenzionemeritanoiForensicBootCDbasatisuGNU/Linux DenisFrati
  • 20. 晦粥油永檎或閣粥油鴛鰻酷或檎珂粥意鴛遺粥油NELPROCESSOPENALE AspettiTecnicieGiuridici足Ivrea4maggio2007 Analisi(6)足rischi: Mostriamoinpraticaquantounaprovadigitalesiafragile:ipotizzandodi starsvolgendoun'analisilive,consideriamoilfileimmaginefccu_2.JPG. L'intefacciaWindowsdelbootlivecdHELIXindicachel'immagine竪stata creataemodificataindata: 12marzo2007 el'ultimoaccessoalfile竪 avvenutoindata: 3aprile2007 DenisFrati
  • 21. 晦粥油永檎或閣粥油鴛鰻酷或檎珂粥意鴛遺粥油NELPROCESSOPENALE AspettiTecnicieGiuridici足Ivrea4maggio2007 Analisi(7)足rischi: Sel'analistaforenseprendevisionedelcontenutodeldiscorigido,per esempiovisionandoleimmagini(comesottomostrato),ifilmati,oi documentiditesto,causerlamodificadeltimestampdeifile. secontrolliamonuovamente iltimestampnotiamochela datadell'ultimoaccesso竪 cambiata: 3maggio2007!! laprova竪alterata!! DenisFrati
  • 22. 晦粥油永檎或閣粥油鴛鰻酷或檎珂粥意鴛遺粥油NELPROCESSOPENALE AspettiTecnicieGiuridici足Ivrea4maggio2007 Presentazione: Ilprocedimentodiinvestigazionedellaprovadigitalesiconcludeconla presentazionedi: informazioniestrattedaidatirecuperati correlazioneesistentetrainformazionedigitaleefattoreato procedimentidiidentificazione,preservazione,acquisizioneeanalisi dispositiviesoftwareutilizzati datiestratti/recuperatisusupportodigitale DenisFrati
  • 23. 晦粥油永檎或閣粥油鴛鰻酷或檎珂粥意鴛遺粥油NELPROCESSOPENALE AspettiTecnicieGiuridici足Ivrea4maggio2007 Riferimenti(1)足siti: LegalElectronicForensicsTeam(L.E.F.T.),progettodiricerca(e gruppodistudio)dellaCattedradiInformaticaGiuridicaAvanzata dell'UniversitdegliStudidiMilano足http://www.avanzata.it/left/ Cybercrimes.it,computerforensicsecrimineinformatico足 http://www.cybercrimes.it/ MarcoMattiucci,ilsitodelmaggioredeiCarabinieri足 http://www.marcomattiucci.it/ CorsoInformaticaForense,universitdegliStudidiBologna足 http://www.informaticaforense.it/ InternationalInformationSystemsForensicAssociation足 http://www.iisfa.it/ DenisFrati
  • 24. 晦粥油永檎或閣粥油鴛鰻酷或檎珂粥意鴛遺粥油NELPROCESSOPENALE AspettiTecnicieGiuridici足Ivrea4maggio2007 Riferimenti(2)blogeforum: ForensicsWebLog,ilblogdell'Avv.FedericaBertoni足 http://4ensix.blogspot.com/ ComputerForensics,ilblogdelProf.GiovanniZiccardi足 http://forensics.typepad.com/ ComputerForensics,ilblogdiAndreaGhirardini足 http://forensicsbypila.blogspot.com/ Cybercrimes.itforum足http://www.cybercrimes.it/forum/ DigitalSherlock,ilforumdiNaniBassettiConsulentetecnico足 http://www.nannibassetti.com/cf IRItalyblogilblogdelprogetto足http://iritaly.blogspot.com/ DenisFrati
  • 25. 晦粥油永檎或閣粥油鴛鰻酷或檎珂粥意鴛遺粥油NELPROCESSOPENALE AspettiTecnicieGiuridici足Ivrea4maggio2007 Riferimenti(3)bootlivecd: IRItaly,ilprogettoeilbootlivecd足http://www.iritaly足livecd.org/ DeftComputerForensics,ilprogettoeilbootlivecd足 http://www.stevelab.net/deft/ Helix,progettoebootlivecd足http://www.e足fense.com/helix/ FCCU,ilbootlivecddellaPoliziaBelga足 http://www.lnx4n6.be/index.php PenguinSleuth,macchinavirtualeebootlivecd足 http://www.linux足forensics.com/ SMART足http://www.asrdata.com/SMART/ TheFarmer'sBootCd足http://www.forensicbootcd.com DenisFrati