Computer Forensics Luca Basili, Walter Falistocco e Daniele Branchesi - classe 5° segione G - Linux Day – ITIS “E. Divini”, San Severino Marche il, 24 Ottobre 2009

2. La Digital Forensics è la disciplina scientifica che serve per identificare , acquisire ed analizzare una prova digitale preservandola da eventuali alterazioni.

4. Non bisogna credere che la perizia su un computer o su una sim card vada compiuta solo a seguito di un crimine “prettamente” informatico, perché nel momento in cui qualcuno commette un reato, c’è l’alta probabilità che abbia pianificato, ricercato, scritto e conservato qualcosa su una memoria digitale, sia esso un hard disk, dei DVD o CD-ROM. Normalmente si cerca di comprendere la verità con i sistemi classici, con l’analisi di carte , fascicoli e testimonianze (a volte inattendibili), quando magari si potrebbe risparmiare tempo ed avere prove compromettenti individuando un documento elettronico in cui l’indagato pianificava,ad esempio, l’omicidio della moglie.

5. È compito degli investigatori del futuro adottare un protocollo comune di custodia ed analisi dei dati, per evitare che le prove non vengano alterate, conservando le informazioni indispensabili per l’indagine investigativa .

6. Esistono due software con distribuzioni Linux legate alla Computer Forensics :

8. - HELIX, ottimo per la indipendenza da Windows e senza possibilità che i dati rilevati possano venire “inquinati”, in quanto non necessita di installazione, si avvia direttamente da Cd e dispone di molti strumenti dedicati, anche se non facili da usare, alla computer forensics.

9. La Digital Forensics si snoda attraverso quattro fasi principali: 1) Identificazione 2) Acquisizione 3) Analisi e valutazione 4) Rapporto

10. Identificazione Lo sheet “Grissom Analyzer” raccoglie 4 strumenti destinati all’identificazione da svolgersi sulla macchina, i dispositivi o l’immagine da analizzare. Questi tool ci mostrano le caratteristiche delle partizioni, dell’immagine e del file system. È inoltre presente LRRP che consente di raccogliere informazioni sulle caratteristiche del dispositivo e sulla configurazione hardware della macchina sospetta. LRRP registra se i dispositivi oggetto di analisi sono montati e nel caso in quale modalità.

11. Acquisizione Lo sheet “Acquisizione” palesa immediatamente la funzione dei tools che raccoglie! Attraverso questo pannello è possibile procedere all’acquisizione dell’immagine del dispositivo sorgente utilizzando il noto strumento AIR (Automated Image Restore) oppure avviare il terminale per utilizzare i classici tool di duplicazione.

12. Analisi e valutazione Lo sheet “Analisi” raccoglie i tools più classici della disciplina, quali Autopsy, Foremost, Scalpel, Stegdetect e OphCrack. Cliccando il tasto corrispondente ad Autopsy viene automaticamente avviato Firefox, con impostato il corretto indirizzo locale, mentre scegliendo Foremost e Scalpel si ha la possibilità di scegliere o editare i file di configurazione per il carving. Sono inoltre presenti SFDumper per il recupero selettivo dei file e FUndl (File Undelete) , per il recupero dei soli file cancellati.

13. Rapporto Lo sheet “Rapporto” consente di aggiungere proprie note utilizzando la funzione “Rapporto personale” e di creare il rapporto in formato RTF o HTML. Attraverso il pulsante “Cartella Report” sarà possibile accedere al file di log e rapporto generato.

14. Vi ringraziamo per l’attenzione Luca Basili Walter Falistocco Daniele Branchesi