5. La Computer Forensics è quella scienza
che si occupa di attribuire un valore
probatorio alle informazioni ricavate,
tramite operazioni scientifiche e
investigative, da qualsiasi supporto
capace di veicolare informazioni in
forma digitale.
Fabio Massa
6. Nasce agli inizi degli anni 80, nei
laboratori della Federal Bureau of
Investigation per sopperire alle
continue richieste della Polizia
Americana in merito all’analisi di
computer oggetto di indagine.
Il CART (Computer Analysis and
Response Team) fù il primo
laboratorio d’eccellenza dell’FBI ad
elaborare i primi modelli operativi in
materia di Computer Forensics.
Fabio Massa
7. Computer Forensic.
Network Forensic.
Internet Forensic.
Memory Forensic.
CD/DVD Forensic.
Live System Forensic.
Incident Forensic.
Fabio Massa
8. Ricostruzione della timeline degli eventi.
Analisi di malware.
Analisi di software.
Data Carving.
Data Recovery.
Ricostruzione delle informazioni relative
al registro di sistema.
Ricostruzione delle miniature dei
Thumbs.db.
Steganalisi.
Password Recovery.
Ricostruzione di:
Cronologia della navigazione web;
Contatti social network;
Messaggeria Istantanea;
Peer to Peer.
Porn Detection.
Fabio Massa
9. Legge n. 48 del 18 marzo 2008
“Ratifica ed esecuzione della
Convenzione del Consiglio d’Europa
sulla criminalità informatica, fatta a
Budapest il 23 novembre 2001 , e
norme di adeguamento
dell’ordinamento interno ”.
Questa legge riveste una grande
importanza nella Computer Forensics.
In breve prevede:
• alcune modifiche al Codice Penale
concernenti la criminalità informatica.
• l’inclusione di “delitti informatici e
trattamento illecito di dati”.
Fabio Massa
10. Fabio Massa
• alcune modifiche al Codice di Procedura
Penale volte rendere obbligatorio per le
forze di polizia l’utilizzo di specifiche
metodologie nel corso delle indagini
(perquisizione, ispezione e sequestro)
• la modifica di parte della disciplina sulla
data retention contenuta nell’art. 132 del
d.lgs 196/2003.
11. • Reati informatici
esempio:
Accesso abusivo ad un sistema informatico o
telematico;
Danneggiamento di informazioni, dati e
programmi informatici;
Detenzione e diffusione abusiva di codici di
accesso a sistemi informatici o telematici
• Reati non informatici dove sono stati utilizzati
mezzi tecnologici
esempio:
Stalking;
Molestie;
Traffico di stupefacenti;
Fabio Massa
14. E’ una fase estremamente delicata
nel processo di produzione della
prova. L’investigatore avrà l’arduo
compito di individuare il
“contenitore tecnologico “ dal
quale estrapolare il materiale
digitale probatorio e quali dati
acquisire.
E’ necessario adottare tutte le
cautele possibili per evitare la
contaminazione della scena del
crimine e per mantenere integra la
prova che si accinge a ricercare e
prelevare
Fabio Massa
16. Fabio Massa
Tutte le operazioni eseguite devono
essere assolutamente ripetibili e mirate
a preservare l’evidence digitale.
Le informazioni e i supporti digitali
vanno acquisiti tramite «bit stream
image» ovvero una copia bit to bit.
18. Fabio Massa
Acquisizione DEAD - Computer spento
Acquisizione LIVE - Computer acceso
Regola d’oro – Mai accendere un
computer spento e mai spegnere
un computer acceso.
19. Fabio Massa
Acquisizione DEAD - Computer spento
Bootable Live CD.
via rete
tramite disco esterno USB/eSATA
Estrazione fisica dell’hard Disk.
write blocker
hardware forense
20. Fabio Massa
Acquisizione LIVE - Computer acceso
Bootable Live CD.
via rete
tramite disco esterno USB/eSATA
Tools avviabili da dispositivi read
only.
Open/Closed-Commercial
21. Fabio Massa
Le operazioni di copia vanno supportate
da un Write Blocker.
Possono essere hardware o software e
servono per proteggere da scritture
accidentali il reperto informatico da
acquisire.
22. Fabio Massa
Calcolo Hash dei dischi originali e delle
copie al fine di validare l’originalità e la
corrispondenza.
Eseguire minimo una coppia di Hash
(MD5, SHA1, SHA256) per eliminare le
probabilità di collisione.
23. Fabio Massa
Analizzare le informazioni contenute
nella copia di lavoro prodotta al fine di
ricavare le informazioni di interesse
investigativo.
E’ l’aspetto più complesso, richiede
esperienza, elevate capacità tecniche e
conoscenze informatiche avanzate e
sempre aggiornate.
24. Fabio Massa
Fase di produzione del report
contenente le risultanze dell’analisi.
Tradurre le informazioni tecniche in
informazioni pratiche comprensibili per il
giudice o il pubblico ministero.