Beginners Guide to TikTok for Search - Rachel Pearson - We are Tilt __ Bright...
2009 10-21 effetto-csi
1. leggende e realtà
Effetto CSI: delle indagini digitali
SMAU
Academy
sikurezza.org
Milano, 21.10.2009
Introduzione
Scienza
Fantascienza
Image forensics
Enhancement
Identificazione
Autenticazione
On-site
On-line
Data recovery
Contatti
Davide Gabrini
Digital Forensic Jedi
SMAU 2009 - Milano, 21.10.2009
2. leggende e realtà
Effetto CSI: delle indagini digitali
SMAU Chi vi parla
Academy
sikurezza.org
Milano, 21.10.2009
Davide ‘Rebus’ Gabrini
Per chi lavoro non è un mistero.
Introduzione
Oltre a ciò:
Scienza
Fantascienza Consulente tecnico e Perito forense
Image forensics Docente di sicurezza informatica e
computer forensics per Corsisoftware srl
Enhancement
Identificazione
Autenticazione
Come vedete non sono qui in divisa
On-site
On-line
Data recovery
Contatti
Davide Gabrini
Digital Forensic Jedi
3. leggende e realtà
Effetto CSI: delle indagini digitali
SMAU Effetto CSI
Academy
sikurezza.org Con il termine "effetto CSI" si fa
Milano, 21.10.2009
riferimento al modo in cui alcune serie
Introduzione televisive di successo hanno cambiato la
Scienza
percezione che la gente comune ha verso la
Fantascienza
Image forensics
medicina forense e le perizie scientifiche in
Enhancement generale, alzando le aspettative e
Identificazione
Autenticazione richiedendo la stessa qualità di risultati che
On-site
si può apprezzare in televisione.
On-line
(più o meno preso da Wikipedia)
Data recovery
Contatti
Uno dei campi interessati dal fenomeno è
ovviamente quello dell'informatica forense
Davide Gabrini
Digital Forensic Jedi
4. leggende e realtà
Effetto CSI: delle indagini digitali
SMAU Computer Forensics
Academy
sikurezza.org
Milano, 21.10.2009 La computer forensics è la
disciplina che si occupa della
Introduzione preservazione, dell'identificazione,
Scienza dello studio, della documentazione
Fantascienza dei computer, o dei sistemi
Image forensics informativi in generale, al fine di
Enhancement
Identificazione
evidenziare l’esistenza di prove
Autenticazione nello svolgimento dell’attività
On-site investigativa.
On-line (A.Ghirardini: “Computer forensics” – Apogeo)
Data recovery
Contatti
L’obiettivo è dunque quello di evidenziare dei
fatti pertinenti l’indagine da sottoporre a giudizio
Davide Gabrini
Digital Forensic Jedi
5. leggende e realtà
Effetto CSI: delle indagini digitali
SMAU Necessità di una metodologia scientifica
Academy
sikurezza.org Nuova specilizzazione di polizia scientifica
Milano, 21.10.2009
Pervasività delle tecnologie digitali
Introduzione
Scienza
Loro implicazione in attività delittuose
Fantascienza Lo strumento informatico come mezzo
Image forensics
Lo strumento informatico come fine
Enhancement
Identificazione
Autenticazione
Nonostante la pervasività, il reale
On-site funzionamento della tecnologia resta ai più
On-line
misterioso
Data recovery
Contatti Le tracce digitali possono avere una
natura estremamente delicata, che richiede
Davide Gabrini
competenze specifiche per la trattazione
Digital Forensic Jedi
6. leggende e realtà
Effetto CSI: delle indagini digitali
SMAU Scopi di un’analisi forense
Academy
sikurezza.org
Milano, 21.10.2009
Confermare o escludere un evento
Individuare tracce e informazioni utili
Introduzione
Scienza
a circostanziarlo
Fantascienza
Image forensics
Acquisire e conservare le tracce in
Enhancement maniera idonea, che garantisca integrità
Identificazione
Autenticazione e non ripudiabilità
On-site
On-line Interpretare e correlare le evidenze
Data recovery
acquisite
Contatti
Riferire con precisione ed efficienza
Davide Gabrini
Digital Forensic Jedi
7. leggende e realtà
Effetto CSI: delle indagini digitali
SMAU Cosa NON è
Academy
sikurezza.org
Milano, 21.10.2009
Fantascienza televisiva: CSI, NCIS,
Criminal Minds, RIS ecc. propinano
Introduzione
Scienza
solitamente boiate
Fantascienza …e al cinema è anche peggio ;-)
Image forensics
Enhancement
Identificazione
Autenticazione Anche gli organi di
On-site
On-line
informazione (non del
Data recovery settore) spesso instillano
Contatti
convinzioni del tutto
infondate…
Davide Gabrini
Digital Forensic Jedi
8. leggende e realtà
Effetto CSI: delle indagini digitali
SMAU
Academy
sikurezza.org
Milano, 21.10.2009
Introduzione
Scienza
Fantascienza
Image forensics
Enhancement
Identificazione
Autenticazione
On-site
On-line
Data recovery
Contatti
Davide Gabrini
Digital Forensic Jedi
9. leggende e realtà
Effetto CSI: delle indagini digitali
SMAU Image forensics
Academy
sikurezza.org “Forensic image analysis is the application
Milano, 21.10.2009
of image science and domain expertise to
Introduzione interpret the content of an image or the
Scienza
image itself in legal matters” (SWGIT – www.fbi.gov)
Fantascienza
Image forensics Le principali discipline della Forensic Image
Enhancement
Identificazione
Analysis includono:
Autenticazione
Fotogrammetria
On-site
On-line Comparazione fotografica
Data recovery
Analisi dei contenuti
Contatti
Autenticazione dell’immagine
Identificazione della sorgente
Davide Gabrini
Digital Forensic Jedi
10. leggende e realtà
Effetto CSI: delle indagini digitali
SMAU CSI e lo zoom
Academy
sikurezza.org
Milano, 21.10.2009
Introduzione
Scienza
Fantascienza
Image forensics
Enhancement
Identificazione
Autenticazione
On-site
On-line
Data recovery
Contatti
Davide Gabrini
Digital Forensic Jedi
11. leggende e realtà
Effetto CSI: delle indagini digitali
SMAU CSI Miami e lo zoom 2
Academy
sikurezza.org
Milano, 21.10.2009
Introduzione
Scienza
Fantascienza
Image forensics
Enhancement
Identificazione
Autenticazione
On-site
On-line
Data recovery
Contatti
Davide Gabrini
Digital Forensic Jedi
12. leggende e realtà
Effetto CSI: delle indagini digitali
SMAU Cosa NON si può fare
Academy
sikurezza.org
Milano, 21.10.2009
Avete visto come si ingrandiscono le
foto in film come Blade Runner o in
Introduzione
Scienza
serie come CSI e RIS?
Fantascienza Spiacente, ma la realtà, anche
digitale, somiglia più a Blow Up…
Image forensics
Enhancement
Identificazione
Autenticazione Non si possono "creare" informazioni
On-site
On-line
che non ci sono
Data recovery
Contatti
Si possono però enfatizzare
informazioni che non si vedono,
Davide Gabrini
Digital Forensic Jedi
ma ci sono
13. leggende e realtà
Effetto CSI: delle indagini digitali
SMAU Evidenziazione dettagli
Academy
sikurezza.org
Milano, 21.10.2009
Introduzione
Scienza
Fantascienza
Image forensics
Enhancement
Identificazione
Autenticazione
On-site
On-line
Data recovery
Contatti
Davide Gabrini
Digital Forensic Jedi Immagini: www.hyperreview.net
14. leggende e realtà
Effetto CSI: delle indagini digitali
SMAU Oggetto in movimento
Academy
sikurezza.org
Milano, 21.10.2009
Introduzione
Scienza
Fantascienza
Image forensics
Enhancement
Identificazione
Autenticazione
On-site
On-line
Data recovery
Contatti
Davide Gabrini
Digital Forensic Jedi Immagini: www.amped.it
15. leggende e realtà
Effetto CSI: delle indagini digitali
SMAU Oggetto in movimento
Academy
sikurezza.org
Milano, 21.10.2009
Introduzione
Scienza
Fantascienza
Image forensics
Enhancement
Identificazione
Autenticazione
On-site
On-line
Data recovery
Contatti
Davide Gabrini
Digital Forensic Jedi Immagini: www.amped.it
16. leggende e realtà
Effetto CSI: delle indagini digitali
SMAU Correzione prospettiva
Academy
sikurezza.org
Milano, 21.10.2009
Introduzione
Scienza
Fantascienza
Image forensics
Enhancement
Identificazione
Autenticazione
On-site
On-line
Data recovery
Contatti
Davide Gabrini
Digital Forensic Jedi Immagini: www.amped.it
17. leggende e realtà
Effetto CSI: delle indagini digitali
SMAU Correzione prospettiva
Academy
sikurezza.org
Milano, 21.10.2009
Introduzione
Scienza
Fantascienza
Image forensics
Enhancement
Identificazione
Autenticazione
On-site
On-line
Data recovery
Contatti
Davide Gabrini
Digital Forensic Jedi Immagini: www.amped.it
18. leggende e realtà
Effetto CSI: delle indagini digitali
SMAU Caccia al pedofilo
Academy
sikurezza.org
Milano, 21.10.2009
Anche manipolazioni più complesse
potrebbero rivelarsi invertibili
Introduzione
Scienza
Fantascienza
Image forensics
Enhancement
Identificazione
Autenticazione
On-site
On-line
Data recovery
Contatti
Davide Gabrini
Digital Forensic Jedi Immagini: www.interpol.int
19. leggende e realtà
Effetto CSI: delle indagini digitali
SMAU NO, mi dispiace, ma non si può:
Academy
sikurezza.org
Milano, 21.10.2009
…rimuovere il passamontagna dal
volto del rapinatore,
Introduzione
Scienza
…girare l’immagine “dall’altra parte”
Fantascienza per vedere in faccia il tizio di spalle,
Image forensics
Enhancement …girare attorno agli oggetti,
Identificazione
Autenticazione
On-site
…“allargare” l’inquadratura per vedere
On-line dettagli fuori campo,
…zoomare all’infinito,
Data recovery
Contatti
…recuperare i colori da un’immagine o
Davide Gabrini
Digital Forensic Jedi
una ripresa in bianco e nero…
20. leggende e realtà
Effetto CSI: delle indagini digitali
SMAU
Academy
sikurezza.org
Milano, 21.10.2009
Introduzione
Scienza
Fantascienza
Image forensics
Enhancement
Identificazione
Autenticazione
On-site
On-line
Data recovery
Contatti
Davide Gabrini
Digital Forensic Jedi
21. leggende e realtà
Effetto CSI: delle indagini digitali
SMAU Identificazione device: ExIF
Academy
sikurezza.org
Milano, 21.10.2009
Introduzione
Scienza
Fantascienza
Image forensics
Enhancement
Identificazione
Autenticazione
On-site
On-line
Data recovery
Contatti
Davide Gabrini
Digital Forensic Jedi Immagine: www.tipiloschi.net
22. leggende e realtà
Effetto CSI: delle indagini digitali
SMAU Identificazione device: DQT
Academy
sikurezza.org
Milano, 21.10.2009
Define Quantization Table (DQT)
Matrici di quantizzazione utilizzate per
Introduzione
la compressione JPEG
Scienza
Fantascienza Ogni software che salva un JPEG lascia
Image forensics
Enhancement
un'impronta che lo rende riconoscibile
Identificazione
Autenticazione
Si può riconoscere così se la foto
On-site proviene direttamente da una certa
On-line
fotocamera o se è stata editata da un
Data recovery
Contatti
certo software
Davide Gabrini
Digital Forensic Jedi
23. leggende e realtà
Effetto CSI: delle indagini digitali
SMAU Strumenti per la lettura
Academy
sikurezza.org
Milano, 21.10.2009
Un buon hexeditor
010 editor
Introduzione
Scienza
+ JPEG template
Fantascienza
dqtmd5
Image forensics
Enhancement
Identificazione
JPEGsnoop
Autenticazione
On-site
Hachoir
On-line
jpegquality
Data recovery
Contatti
Davide Gabrini
Digital Forensic Jedi
24. leggende e realtà
Effetto CSI: delle indagini digitali
SMAU Identificazione device: Camera ballistic
Academy
sikurezza.org
Milano, 21.10.2009
Identificazione dei difetti (hot e dead pixel)
Inefficace se non ci sono difetti o se
Introduzione
vengono corretti dalla fotocamera
Scienza
Fantascienza
Image forensics
Enhancement
Identificazione
Autenticazione
On-site
On-line
Data recovery
Contatti
Davide Gabrini
Digital Forensic Jedi
25. leggende e realtà
Effetto CSI: delle indagini digitali
SMAU Identificazione device: Camera ballistic
Academy
sikurezza.org
Milano, 21.10.2009
Analisi del rumore
E' possibile isolare un'impronta
Introduzione
caratteristica nel rumore di fondo
Scienza
Fantascienza L'impronta è infatti univoca per ogni
Image forensics
Enhancement
sensore CCD/CMOS
Identificazione
Autenticazione
La caratteristica è indipendente dalle
On-site condizioni ambientali e stabile nel ciclo
On-line
di vita dell'apparato
Data recovery
Contatti Si può identificare la specifica camera
che ha scattato una determinata foto
Davide Gabrini
Digital Forensic Jedi
26. leggende e realtà
Effetto CSI: delle indagini digitali
SMAU Rilevare le manipolazioni
Academy
sikurezza.org
Milano, 21.10.2009
Spesso è fondamentale scoprire se
un'immagine sia stata falsificata
Introduzione
Scienza
I metodi tradizionali sono sempre
Fantascienza validi e costituiscono un buon inizio
Image forensics
Enhancement Per esempio:
Identificazione
Autenticazione Esame dei contorni
On-site
On-line Coerenza di luci ed ombre
Data recovery
Esame dei riflessi
Contatti
Nel mondo digitale servono però anche
Davide Gabrini altri strumenti…
Digital Forensic Jedi
27. leggende e realtà
Effetto CSI: delle indagini digitali
SMAU Esempi
Academy
sikurezza.org Neal Krawetz, Black Hat 2007
Milano, 21.10.2009
Introduzione
Scienza
Fantascienza
Image forensics
Enhancement
Identificazione
Autenticazione
On-site
On-line
Data recovery
Contatti
Davide Gabrini
Digital Forensic Jedi Immagini: http://www.hackerfactor.com
28. leggende e realtà
Effetto CSI: delle indagini digitali
SMAU Error Level Analysis
Academy
sikurezza.org
Milano, 21.10.2009
Introduzione
Scienza
Fantascienza
Image forensics
Enhancement
Identificazione
Autenticazione
On-site
On-line
Data recovery
Contatti
Davide Gabrini
Digital Forensic Jedi
29. leggende e realtà
Effetto CSI: delle indagini digitali
SMAU Error Level Analysis
Academy
sikurezza.org
Milano, 21.10.2009
Introduzione
Scienza
Fantascienza
Image forensics
Enhancement
Identificazione
Autenticazione
On-site
On-line
Data recovery
Contatti
Davide Gabrini
Digital Forensic Jedi
30. leggende e realtà
Effetto CSI: delle indagini digitali
SMAU Error Level Analysis
Academy
sikurezza.org
Milano, 21.10.2009
Introduzione
Scienza
Fantascienza
Image forensics
Enhancement
Identificazione
Autenticazione
On-site
On-line
Data recovery
Contatti
Davide Gabrini
Digital Forensic Jedi
31. leggende e realtà
Effetto CSI: delle indagini digitali
SMAU Error Level Analysis
Academy
sikurezza.org
Milano, 21.10.2009
Introduzione
Scienza
Fantascienza
Image forensics
Enhancement
Identificazione
Autenticazione
On-site
On-line
Data recovery
Contatti
Davide Gabrini
Digital Forensic Jedi
32. leggende e realtà
Effetto CSI: delle indagini digitali
SMAU DCT Coefficient Analysis
Academy
sikurezza.org Detecting Doctored JPEG Images Via DCT
Milano, 21.10.2009
Coefficient Analysis
Junfeng He; Zhouchen Lin; Lifeng Wang; Xiaoou Tang
Introduzione
Scienza
Fantascienza
Image forensics
Enhancement
Identificazione
Autenticazione
On-site
On-line
Data recovery
Contatti
Davide Gabrini
Digital Forensic Jedi
33. leggende e realtà
Effetto CSI: delle indagini digitali
SMAU Cosa NON si può fare
Academy
sikurezza.org
Milano, 21.10.2009
Introduzione
Scienza
Fantascienza
Image forensics
Enhancement
Identificazione
Autenticazione
On-site
On-line
Data recovery
Contatti
Davide Gabrini
Digital Forensic Jedi
34. leggende e realtà
Effetto CSI: delle indagini digitali
SMAU Per finire in bellezza…
Academy
sikurezza.org
Milano, 21.10.2009
Introduzione
Scienza
Fantascienza
Image forensics
Enhancement
Identificazione
Autenticazione
On-site
On-line
Data recovery
Contatti
Davide Gabrini
Digital Forensic Jedi
35. leggende e realtà
Effetto CSI: delle indagini digitali
SMAU
Academy
sikurezza.org
Milano, 21.10.2009
Introduzione
Scienza
Fantascienza
Image forensics
Enhancement
Identificazione
Autenticazione
On-site
On-line
Data recovery
Contatti
Davide Gabrini
Digital Forensic Jedi
36. leggende e realtà
Effetto CSI: delle indagini digitali
SMAU La perquisizione alla CSI
Academy
sikurezza.org
Milano, 21.10.2009
Introduzione
Scienza
Fantascienza
Image forensics
Enhancement
Identificazione
Autenticazione
On-site
On-line
Data recovery
Contatti
Davide Gabrini
Digital Forensic Jedi
37. leggende e realtà
Effetto CSI: delle indagini digitali
SMAU Perché non si fa
Academy
sikurezza.org
Milano, 21.10.2009
Dalla RFC3227 in poi, le best practices
internazionali consigliano prudenza…
Introduzione
Scienza
Quando si può scegliere tra acquisire
Fantascienza e analizzare, prima si acquisisce, poi si
analizza, non il contrario!
Image forensics
Enhancement
Identificazione
Autenticazione Quando un sistema è spento, è
On-site
On-line
solitamente consigliato non accenderlo
Data recovery
Il solo avvio del sistema operativo
Contatti
causa molteplici alterazioni e la perdita
Davide Gabrini
di informazioni potenzialmente rilevanti
Digital Forensic Jedi
38. leggende e realtà
Effetto CSI: delle indagini digitali
SMAU Potenziale invasività
Academy
sikurezza.org Il sistema è spento, quindi in condizione statica
Milano, 21.10.2009
(non facilmente alterabile)
Introduzione Accenderlo significa perturbarlo e perdere la
Scienza sicurezza iniziale
Fantascienza Senza opportune cautele, si rischia di inquinare
Image forensics
irrimediabilmente il reperto
Enhancement
Identificazione le modifiche apportate sono note?
Autenticazione
sono documentabili?
On-site
intaccano significativamente il risultato dell'analisi?
On-line
Data recovery
ogni modifica distrugge qualcosa!
Contatti Occorre quindi operare con cognizione di causa e
grande cautela
In ogni caso, MAI permettere l'avvio del sistema
Davide Gabrini
Digital Forensic Jedi operativo residente!
39. leggende e realtà
Effetto CSI: delle indagini digitali
SMAU Controindicazioni “ambientali”
Academy
sikurezza.org
Milano, 21.10.2009
In sede di perquisizione, l'ambiente è
spesso ostile…
Introduzione
Scienza
Le condizioni operative non sono
Fantascienza paragonabili a quelle di un laboratorio
Image forensics
Enhancement L'attrezzatura a disposizione non può
Identificazione
Autenticazione che essere limitata
On-site
On-line Anche il tempo a disposizione è
Data recovery
forzatamente limitato
Contatti
La fretta è il primo elemento da tenere
Davide Gabrini fuori dalla scena del crimine
Digital Forensic Jedi
40. leggende e realtà
Effetto CSI: delle indagini digitali
SMAU Responso incerto
Academy
sikurezza.org
Milano, 21.10.2009
Un'analisi eseguita in queste condizioni
può dare riscontri solo in positivo:
Introduzione
Scienza
nella migliore delle ipotesi, si può da
Fantascienza subito confermare l'esistenza di
un'evidence individuata,
Image forensics
Enhancement
Identificazione
Autenticazione ma non individuarla non ne
On-site
On-line
conferma l'assenza con altrettanta
Data recovery certezza!
Contatti
Davide Gabrini
Digital Forensic Jedi
41. leggende e realtà
Effetto CSI: delle indagini digitali
SMAU Motivi per richiedere un’analisi sul posto
Academy
sikurezza.org Desiderio di avere risposte immediate
Milano, 21.10.2009
Indirizzare meglio le stesse operazioni di
Introduzione
perquisizione
Scienza
Fantascienza Possibilità di eseguire triage su quanto
Image forensics disponibile
Enhancement
Identificazione evitare "saccheggi" indiscriminati
Autenticazione
On-site
individuare subito responsabilità in ambienti
On-line
condivisi
Data recovery evidenziare subito le informazioni più rilevanti
Contatti rispetto a quelle secondarie
Possibilità di procedere ad arresto in
Davide Gabrini
Digital Forensic Jedi
flagranza per i reati che lo prevedono
42. leggende e realtà
Effetto CSI: delle indagini digitali
SMAU Perquisizione e crack
Academy
sikurezza.org
Milano, 21.10.2009
Introduzione
Scienza
Fantascienza
Image forensics
Enhancement
Identificazione
Autenticazione
On-site
On-line
Data recovery
Contatti
Davide Gabrini
Digital Forensic Jedi
43. leggende e realtà
Effetto CSI: delle indagini digitali
SMAU
Academy
sikurezza.org
Milano, 21.10.2009
Introduzione
Scienza
Fantascienza
Image forensics
Enhancement
Identificazione
Autenticazione
On-site
On-line
Data recovery
Contatti
Davide Gabrini
Digital Forensic Jedi
44. leggende e realtà
Effetto CSI: delle indagini digitali
SMAU Nella fantasia, tutto e subito
Academy
sikurezza.org
Milano, 21.10.2009
Introduzione
Scienza
Fantascienza
Image forensics
Enhancement
Identificazione
Autenticazione
On-site
On-line
Data recovery
Contatti
Davide Gabrini
Digital Forensic Jedi
45. leggende e realtà
Effetto CSI: delle indagini digitali
SMAU NO, non è vero che gli investigatori:
Academy
sikurezza.org …hanno accesso a tutti i database del mondo,
Milano, 21.10.2009
…ovviamente aggiornatissimi,
…ovviamente in tempo reale,
Introduzione
Scienza
…per non parlare dei circuiti di videosorveglianza,
Fantascienza …e dei satelliti spia,
Image forensics …possono localizzare un portatile rubato
Enhancement
Identificazione
conoscendo solo il numero seriale,
Autenticazione …anche se off-line o spento…
On-site
…possono accedere alla registrazione di
On-line
Data recovery
qualunque telefonata, anche retroattivamente,
Contatti …possono craccare qualunque cosa,
…e pure alla svelta!
Davide Gabrini
…padroneggiano ogni branca dello scibile umano
Digital Forensic Jedi
46. leggende e realtà
Effetto CSI: delle indagini digitali
SMAU
Academy
sikurezza.org
Milano, 21.10.2009
Introduzione
Scienza
Fantascienza
Image forensics
Enhancement
Identificazione
Autenticazione
On-site
On-line
Data recovery
Contatti
Davide Gabrini
Digital Forensic Jedi
47. leggende e realtà
Effetto CSI: delle indagini digitali
SMAU Recupero dati
Academy
sikurezza.org
Milano, 21.10.2009
Introduzione
Scienza
Fantascienza
Image forensics
Enhancement
Identificazione
Autenticazione
On-site
On-line
Data recovery
Contatti
Davide Gabrini
Digital Forensic Jedi
48. leggende e realtà
Effetto CSI: delle indagini digitali
SMAU Tempi di copia
Academy
sikurezza.org
Milano, 21.10.2009
I dispositivi di duplicazione forensi più
avanzati arrivano anche a 6GB/min
Introduzione
Scienza
A regime, 500GB si acquisirebbero in
Fantascienza circa un'ora e mezza
Image forensics
Enhancement …peccato che non tutti gli hard disk
Identificazione
Autenticazione siano all’altezza…
On-site
On-line
Data recovery
Contatti
Davide Gabrini
Digital Forensic Jedi
49. leggende e realtà
Effetto CSI: delle indagini digitali
SMAU Acquisizioni: bitrate
Academy
sikurezza.org IDE (aka EIDE, ATAPI, Modalità Velocità
Milano, 21.10.2009
UDMA0 16.7 MB/s
UDMA, PATA…)
UDMA1 25.0 MB/s
Introduzione Sempre che non si usino UDMA2 33.3 MB/s
Scienza
device master e slave UDMA3 44.4 MB/s
Fantascienza
sullo stesso bus… UDMA4 66.7 MB/s
Image forensics
Enhancement
Identificazione
SATA (Serial ATA) UDMA5 100.0 MB/s
Autenticazione
1.5 Gbit/s (150MB/s reali) UDMA6 133 MB/s
On-site
On-line
SATA/300 o SATA II: 3Gbit/s (300MB/s)
Data recovery SATA 3.0: 6Gbit/s (600MB/s)
Contatti
SAS (Serial Attached SCSI)
3.0Gbit/s e 6,0Gbit/s (300MB/s e 600MB/s)
Davide Gabrini
Digital Forensic Jedi
50. leggende e realtà
Effetto CSI: delle indagini digitali
SMAU Recupero dati
Academy
sikurezza.org Quando si cancella un file, i dati non
Milano, 21.10.2009
vengono azzerati, ma soltanto dereferenziati
Introduzione L'informazione quindi è ancora sul disco,
Scienza
ma lo spazio precedentemente occupato
Fantascienza
Image forensics
risulta ora deallocato
Enhancement
Identificazione
Anche i metadati potrebbero essere
Autenticazione "sopravvissuti" in maniera analoga
On-site
On-line
Per il recupero sono possibili due approcci:
Data recovery
Analisi dei metadati
Contatti
File carving
Davide Gabrini
Digital Forensic Jedi
51. leggende e realtà
Effetto CSI: delle indagini digitali
SMAU Recupero dati
Academy
sikurezza.org
Milano, 21.10.2009
Analisi dei metadati
Strettamente dipendente dal file system
Introduzione
Scienza
Se presenti, consentono di ricostruire
Fantascienza anche file frammentati
Image forensics
Enhancement E' possibile recuperare anche il nome
Identificazione
Autenticazione
del file, i suoi timestamp ecc. ecc.
On-site
On-line
Data recovery
Contatti
Davide Gabrini
Digital Forensic Jedi
52. leggende e realtà
Effetto CSI: delle indagini digitali
SMAU Recupero dati
Academy
sikurezza.org File carving
Milano, 21.10.2009
Se il dato è completamente dereferenziato, l'unico
recupero possibile è tramite la scansione del BLOB
Introduzione
(Binary Large OBject)
Scienza
Fantascienza
Vengono ricercate le intestazioni (header, o magic
Image forensics
number) identificative di specifici formati di file
Enhancement Si cerca di interpretare quanto segue come facente
Identificazione parte del file (se esistente, si ricerca anche un
Autenticazione
footer)
On-site
Funziona bene per file allocati su cluster contigui,
On-line
ma non in caso di frammentazione
Data recovery
Non recupera informazioni come nome e posizione
Contatti
originaria del file
Se il BLOB è molto large, il carving può richiedere
Davide Gabrini molte ore di lavoro…
Digital Forensic Jedi
53. leggende e realtà
Effetto CSI: delle indagini digitali
SMAU Recupero dati sovrascritti
Academy
sikurezza.org "Ma mi ha detto mio cuggino che una sola passata di
Milano, 21.10.2009
wiping non basta!"
Introduzione
Studi e pubblicazioni a riguardo esistono:
Scienza STM (Scanning Tunneling Microscopy)
Fantascienza
SPM (Scanning Probe Microscopy)
Image forensics
Enhancement MFM (Magnetic Force Microscopy)
Identificazione
Autenticazione
AFM (Atomic Force Microscopy)
On-site
Si basano sull'isteresi dei livelli di magnetizzazione
On-line
e sul disallineamento delle tracce
Data recovery
Contatti
Eppure non si ha notizia di laboratori civili che
offrano questi servizi…
Davide Gabrini
Digital Forensic Jedi
54. leggende e realtà
Effetto CSI: delle indagini digitali
SMAU Contatti
Academy
sikurezza.org
Milano, 21.10.2009
Davide Rebus Gabrini
e-mail:
Introduzione rebus@mensa.it
Scienza
davide.gabrini@poliziadistato.it
Fantascienza GPG Public Key: (available on keyserver.linux.it)
Image forensics www.tipiloschi.net/rebus.asc
Enhancement KeyID: 0x176560F7
Identificazione
Instant Messaging:
Autenticazione
MSN therebus@hotmail.com
On-site
ICQ 115159498
On-line
Skype therebus
Data recovery
<pubblicità>
Contatti Corsi di computer forensics e sicurezza delle reti:
www.corsisoftware.com
</pubblicità>
Davide Gabrini
Digital Forensic Jedi Queste e altre cazzate su www.tipiloschi.net