SlideShare una empresa de Scribd logo

Digital forensic: metodologie di analisi della prova digitale

Marco Marcellini
Marco Marcellini

Digital Forensic, metodologie di analisi della prova digitale. Una rassegna delle tecniche e dei software di individuazione, conservazione, analisi e presentazione della prova digitale. Dopo l'inquadramento legislativo (articoli del codice di procedura penale che regolano l'attivita' del consulente tecnico), vengono prese in esame le strumentazioni necessarie e le problematiche tecniche legate ai diversi dispositivi (computer, smartphone, server, reti, cloud) e ai diversi sistemi operativi. Focus sulle tecniche di recupero dei dati cancellati (data-recovery) e sull'utilizzo di strumenti open source per l'informatica forense. Materiale utilizzato per il workshop "informatica forense" da me tenuto presso l'Ordine degli Ingegneri di Arezzo

Tecnología
1 de 17
Descargar para leer sin conexión
Ordine degli Ingegneri della Provincia di Arezzo 29 marzo 2017 Digital Forensic Metodologie di analisi della prova digitale Marco Marcellini
Digital forensic: una definizioneDigital forensic: una definizione • Il processo di identificazione, conservazione, analisi e presentazione della – DIGITAL EVIDENCE, ovvero la prova legale ottenuta attraverso strumenti digitali; • La raccolta e analisi di dati secondo una prassi che ne garantisca la libertà da distorsioni e pregiudizi, cercando di ricostruire dati e azioni avvenuti nel passato all’interno del sistema informatico (Vaciago 2012)
Digital forensic: definizioneDigital forensic: definizione • Computer forensic → Digital forensic • I cinque punti cardine sono: – IDENTIFICAZIONE – ACQUISIZIONE – CONSERVAZIONE (catena di custodia) – DOCUMENTAZIONE – INTERPRETAZIONE • del dato digitale • Nel sistema legislativo italiano tre sono gli strumenti di analisi della prova digitale: accertamenti tecnici, incidente probatorio e perizia
Digital evidence e sistema giuridico:Digital evidence e sistema giuridico: • ACCERTAMENTI TECNICI - Artt. 359 e 360 c.p.p. • Art. 359 c.p.p. • Consulenti tecnici del pubblico ministero. – Il pubblico ministero, quando procede ad accertamenti, rilievi segnaletici, descrittivi o fotografici e ad ogni altra operazione tecnica per cui sono necessarie specifiche competenze, può nominare e avvalersi di consulenti, che non possono rifiutare la loro opera. – Il consulente può essere autorizzato dal pubblico ministero ad assistere a singoli atti di indagine.
Accertamenti tecnici NON RIPETIBILI:Accertamenti tecnici NON RIPETIBILI: • Art. 360 c.p.p. • (c.1) Quando gli accertamenti previsti dall'articolo 359 riguardano persone, cose o luoghi il cui stato è soggetto a modificazione, il pubblico ministero avvisa, senza ritardo, la persona sottoposta alle indagini, la persona offesa dal reato e i difensori del giorno, dell'ora e del luogo fissati per il conferimento dell'incarico e della facoltà di nominare consulenti tecnici. • (c.3) I difensori nonché i consulenti tecnici eventualmente nominati hanno diritto di assistere al conferimento dell'incarico, di partecipare agli accertamenti e di formulare osservazioni e riserve.
Incidente probatorio:Incidente probatorio: • Artt. 392 e ss. c.p.p. • 1. Nel corso delle indagini preliminari il pubblico ministero e la persona sottoposta alle indagini possono chiedere al giudice che si proceda con INCIDENTE PROBATORIO: ... • f) a una perizia o a un esperimento giudiziale, se la prova riguarda una persona, una cosa o un luogo il cui stato è soggetto a modificazione non evitabile; • g) a una ricognizione, quando particolari ragioni di urgenza non consentono di rinviare l'atto al dibattimento. ...
La PERIZIA in sede dibattimentale:La PERIZIA in sede dibattimentale: • Artt. 220 e ss. c.p.p. • 1. La perizia è ammessa quando occorre svolgere indagini o acquisire dati o valutazioni che richiedono specifiche competenze tecniche, scientifiche o artistiche. • 2. Salvo quanto previsto ai fini dell'esecuzione della pena o della misura di sicurezza, non sono ammesse perizie per stabilire l'abitualità o la professionalità nel reato, la tendenza a delinquere, il carattere e la personalità dell'imputato e in genere le qualità psichiche indipendenti da cause patologiche.
Indicazioni tecniche che derivano dall’orientamento normativo Indicazioni tecniche che derivano dall’orientamento normativo • Preservare più possibile la ripetibilità dell’analisi tecnica; quando non possibile, richiedere le notifiche ex art. 360 c.p.p. • Nella DIGITAL FORENSIC, non esiste una metodologia tecnica stabilita dalla legge, esistono solo BEST PRACTICES • La RIPETIBILITA’ dell’analisi implica anche la ripetibilità dei risultati ottenuti
Quale software scegliere ?Quale software scegliere ? • OPEN SOURCE vs SOFTWARE COMM.LE • In medio stat virtus
Il laboratorio dell’analista forenseIl laboratorio dell’analista forense • E’ necessaria una buona dotazione di: – Storage, connessione veloce – Adattatori e cavi, anche per tecnologie obsolete. Attrezzature portatili – Collaboratori e laboratori esterni – Pazienza e creatività… –
Parte II: saper fareParte II: saper fare • Le BEST PRACTICES prevedono metodologie specifiche per le fasi di: – IDENTIFICAZIONE – ACQUISIZIONE – CONSERVAZIONE – DOCUMENTAZIONE – INTERPRETAZIONE del DATO DIGITALE Sistema Operativo del dispositivo sequestrato OBIETTIVO della ricerca (tipo di reato contestato) SCELTA del METODO
HARD-DISK, partizioni, tipi di file systemHARD-DISK, partizioni, tipi di file system • Write blockers o montaggio read-only • Capire la struttura del disco con FDISK e GPARTED • Strumenti per creare IMMAGINE FORENSE • Calcolo dell’HASH, MD5, SHA1, SHA256 • Tecniche di wiping dei dischi, shred
Memorie volatili: analisi della RAMMemorie volatili: analisi della RAM • In base all’obiettivo dell’indagine (o al quesito oggetto dell’incarico) può essere un fattore determinante in quanto contiene • Fondamentale sotto Windows il contenuto dei files “hiberfile.sys” e “pagefile.sys”, che il pc salva in fase di ibernazione e di swapping Tipologia di files e MAGIC NUMBERSTipologia di files e MAGIC NUMBERS • xxxxx.yyy → NON FIDARSI DELL’ESTENSIONE di Windows • Utilizzare il comando file o un editor esadecimale • ESERCITAZIONE: acquisizione, hash, analisi e data-recovery
LINUX: forensic distro e suite integrateLINUX: forensic distro e suite integrate • Distribuzioni Linux: Deft e Caine • Tools per Windows: DART • Encase-like tools: TSK & Autopsy4
Strumenti per data-recoveryStrumenti per data-recovery • Il recupero dei dati cancellati attraverso la metodologia del FILE CARVING • Strumenti open-source e freeware: Photorec e Recuva • La necessità di garantire la ripetibilità dell’analisi • Il recupero dei dati cancellati da smartphones e tablet è possibile, ma richiede il rooting del telefono e l’uso di tools specifici
Network forensicsNetwork forensics • La fonte di informazioni più importante sulle risorse Internet è la rete stessa • Strumenti come whois, nmap, wireshark consentono di controllare e monitorare le risorse in Rete • Emergono nuove problematiche d’indagine legate alla diffusione della navigazione anonima (Tor Browser) e del deep web
Phone forensicPhone forensic • Strumenti di comunicazione altamente specializzati, smartphones e tablet richiedono metodologie specifiche • Strumenti open non ancora maturi • ADB shell, rooting, Ios Backup

Recomendados

Smart City: cosa significa progettare città intelligenti. Esempi europei e it...
Smart City: cosa significa progettare città intelligenti. Esempi europei e it...Smart City: cosa significa progettare città intelligenti. Esempi europei e it...
Smart City: cosa significa progettare città intelligenti. Esempi europei e it...Marco Marcellini
 
reveal.js 3.0.0
reveal.js 3.0.0reveal.js 3.0.0
reveal.js 3.0.0Hakim El Hattab
 
Vincenzo Calabrò - Modalità di intervento del Consulente Tecnico
Vincenzo Calabrò - Modalità di intervento del Consulente TecnicoVincenzo Calabrò - Modalità di intervento del Consulente Tecnico
Vincenzo Calabrò - Modalità di intervento del Consulente TecnicoVincenzo Calabrò
 
Giuseppe Vaciago, Cybercrime, Digital Investigation e Digital Forensics
Giuseppe Vaciago, Cybercrime, Digital Investigation e Digital ForensicsGiuseppe Vaciago, Cybercrime, Digital Investigation e Digital Forensics
Giuseppe Vaciago, Cybercrime, Digital Investigation e Digital ForensicsAndrea Rossetti
 
7 laboratorio-di-analisi-forense bonu-04.02 (1)
7 laboratorio-di-analisi-forense bonu-04.02 (1)7 laboratorio-di-analisi-forense bonu-04.02 (1)
7 laboratorio-di-analisi-forense bonu-04.02 (1)Massimo Farina
 
Il Laboratorio di analisi forense
Il Laboratorio di analisi forenseIl Laboratorio di analisi forense
Il Laboratorio di analisi forenseMassimo Farina
 
Smau Milano 2014 Filippo Novario
Smau Milano 2014 Filippo NovarioSmau Milano 2014 Filippo Novario
Smau Milano 2014 Filippo NovarioSMAU
 
Corso di INFORMATICA FORENSE (A.A. 2013/2014) - Il Laboratorio di analisi ne...
Corso di INFORMATICA FORENSE (A.A. 2013/2014) - Il Laboratorio di analisi ne...Corso di INFORMATICA FORENSE (A.A. 2013/2014) - Il Laboratorio di analisi ne...
Corso di INFORMATICA FORENSE (A.A. 2013/2014) - Il Laboratorio di analisi ne...Alessandro Bonu
 

Recomendados

Smart City: cosa significa progettare città intelligenti. Esempi europei e it...
Smart City: cosa significa progettare città intelligenti. Esempi europei e it...Smart City: cosa significa progettare città intelligenti. Esempi europei e it...
Smart City: cosa significa progettare città intelligenti. Esempi europei e it...Marco Marcellini
 
reveal.js 3.0.0
reveal.js 3.0.0reveal.js 3.0.0
reveal.js 3.0.0Hakim El Hattab
 
Vincenzo Calabrò - Modalità di intervento del Consulente Tecnico
Vincenzo Calabrò - Modalità di intervento del Consulente TecnicoVincenzo Calabrò - Modalità di intervento del Consulente Tecnico
Vincenzo Calabrò - Modalità di intervento del Consulente TecnicoVincenzo Calabrò
 
Giuseppe Vaciago, Cybercrime, Digital Investigation e Digital Forensics
Giuseppe Vaciago, Cybercrime, Digital Investigation e Digital ForensicsGiuseppe Vaciago, Cybercrime, Digital Investigation e Digital Forensics
Giuseppe Vaciago, Cybercrime, Digital Investigation e Digital ForensicsAndrea Rossetti
 
7 laboratorio-di-analisi-forense bonu-04.02 (1)
7 laboratorio-di-analisi-forense bonu-04.02 (1)7 laboratorio-di-analisi-forense bonu-04.02 (1)
7 laboratorio-di-analisi-forense bonu-04.02 (1)Massimo Farina
 
Il Laboratorio di analisi forense
Il Laboratorio di analisi forenseIl Laboratorio di analisi forense
Il Laboratorio di analisi forenseMassimo Farina
 
Smau Milano 2014 Filippo Novario
Smau Milano 2014 Filippo NovarioSmau Milano 2014 Filippo Novario
Smau Milano 2014 Filippo NovarioSMAU
 
Corso di INFORMATICA FORENSE (A.A. 2013/2014) - Il Laboratorio di analisi ne...
Corso di INFORMATICA FORENSE (A.A. 2013/2014) - Il Laboratorio di analisi ne...Corso di INFORMATICA FORENSE (A.A. 2013/2014) - Il Laboratorio di analisi ne...
Corso di INFORMATICA FORENSE (A.A. 2013/2014) - Il Laboratorio di analisi ne...Alessandro Bonu
 
Giuseppe Vaciago Profili giuridici dell'indagine digitale 08 09 18 Ordine Ber...
Giuseppe Vaciago Profili giuridici dell'indagine digitale 08 09 18 Ordine Ber...Giuseppe Vaciago Profili giuridici dell'indagine digitale 08 09 18 Ordine Ber...
Giuseppe Vaciago Profili giuridici dell'indagine digitale 08 09 18 Ordine Ber...Andrea Rossetti
 
Vincenzo Calabrò - Evidenza Digitale e Informatica Forense
Vincenzo Calabrò - Evidenza Digitale e Informatica ForenseVincenzo Calabrò - Evidenza Digitale e Informatica Forense
Vincenzo Calabrò - Evidenza Digitale e Informatica ForenseVincenzo Calabrò
 
Corporate Forensics
Corporate ForensicsCorporate Forensics
Corporate Forensicswfurlan
 
linee-guida-digitalizzazione.pdf
linee-guida-digitalizzazione.pdflinee-guida-digitalizzazione.pdf
linee-guida-digitalizzazione.pdfAlessandroUdaFermo
 
Cips webinar jetico - perché encryption e altre misure sono un must
Cips webinar jetico - perché encryption e altre misure sono un mustCips webinar jetico - perché encryption e altre misure sono un must
Cips webinar jetico - perché encryption e altre misure sono un mustGiovanni Zanasca
 
Il consulente tecnico di informatica forense
Il consulente tecnico di informatica forenseIl consulente tecnico di informatica forense
Il consulente tecnico di informatica forenseosservatorionazionaleinformaticaforense
 
Profili e Metodologie investigative
Profili e Metodologie investigativeProfili e Metodologie investigative
Profili e Metodologie investigativeMassimo Farina
 
Semplificazioni privacy studi legali
Semplificazioni privacy studi legaliSemplificazioni privacy studi legali
Semplificazioni privacy studi legaliStefano Corsini
 
CSIG SERRAINO MAGGIPINTO :: MILANO 2012 :: NORMA E TECNICA NELLA GESTIONE E V...
CSIG SERRAINO MAGGIPINTO :: MILANO 2012 :: NORMA E TECNICA NELLA GESTIONE E V...CSIG SERRAINO MAGGIPINTO :: MILANO 2012 :: NORMA E TECNICA NELLA GESTIONE E V...
CSIG SERRAINO MAGGIPINTO :: MILANO 2012 :: NORMA E TECNICA NELLA GESTIONE E V...Igor Serraino
 
Vincenzo Calabrò - Generazione ed Analisi di una Timeline Forense
Vincenzo Calabrò - Generazione ed Analisi di una Timeline ForenseVincenzo Calabrò - Generazione ed Analisi di una Timeline Forense
Vincenzo Calabrò - Generazione ed Analisi di una Timeline ForenseVincenzo Calabrò
 
INTELLIGENZA ARTIFICIALE e «GDPR»
INTELLIGENZA ARTIFICIALE e «GDPR»INTELLIGENZA ARTIFICIALE e «GDPR»
INTELLIGENZA ARTIFICIALE e «GDPR»Edoardo E. Artese
 
GDPR - L'offerta di Soluzioni EDP
GDPR - L'offerta di Soluzioni EDPGDPR - L'offerta di Soluzioni EDP
GDPR - L'offerta di Soluzioni EDPDaniele Fittabile
 
La copia forense: modalità operative (pt. 1)
La copia forense: modalità operative (pt. 1)La copia forense: modalità operative (pt. 1)
La copia forense: modalità operative (pt. 1)Alessandro Bonu
 
Smau bologna 2013 stefano fratepietro pallavolo
Smau bologna 2013 stefano fratepietro pallavoloSmau bologna 2013 stefano fratepietro pallavolo
Smau bologna 2013 stefano fratepietro pallavoloSMAU
 
Lezione 30 marzo 2012
Lezione 30 marzo 2012Lezione 30 marzo 2012
Lezione 30 marzo 2012Giovanni Fiorino
 
La Gestione Legale Delle Prove Digitali
La Gestione Legale Delle Prove DigitaliLa Gestione Legale Delle Prove Digitali
La Gestione Legale Delle Prove DigitaliGiuseppe Bellazzi
 
GDPR introduzione al nuovo Regolamento per la Protezione Dati
GDPR introduzione al nuovo Regolamento per la Protezione DatiGDPR introduzione al nuovo Regolamento per la Protezione Dati
GDPR introduzione al nuovo Regolamento per la Protezione DatiMarco Marcellini
 
Il ruolo degli OpenData nella progettazione della Smart City
Il ruolo degli OpenData nella progettazione della Smart CityIl ruolo degli OpenData nella progettazione della Smart City
Il ruolo degli OpenData nella progettazione della Smart CityMarco Marcellini
 
Agenda Digitale: prospettive e problemi
Agenda Digitale: prospettive e problemiAgenda Digitale: prospettive e problemi
Agenda Digitale: prospettive e problemiMarco Marcellini
 
La comunicazione ai tempi dei social
La comunicazione ai tempi dei socialLa comunicazione ai tempi dei social
La comunicazione ai tempi dei socialMarco Marcellini
 
Legge 33/2013 Amministrazione trasparente, cosa cambia nei siti web della PA
Legge 33/2013 Amministrazione trasparente, cosa cambia nei siti web della PALegge 33/2013 Amministrazione trasparente, cosa cambia nei siti web della PA
Legge 33/2013 Amministrazione trasparente, cosa cambia nei siti web della PAMarco Marcellini
 
Stalking e cyber bullismo, tecniche di attacco e possibilità di difesa
Stalking e cyber bullismo, tecniche di attacco e possibilità di difesaStalking e cyber bullismo, tecniche di attacco e possibilità di difesa
Stalking e cyber bullismo, tecniche di attacco e possibilità di difesaMarco Marcellini
 

Más contenido relacionado

Similar a Digital forensic: metodologie di analisi della prova digitale

Giuseppe Vaciago Profili giuridici dell'indagine digitale 08 09 18 Ordine Ber...
Giuseppe Vaciago Profili giuridici dell'indagine digitale 08 09 18 Ordine Ber...Giuseppe Vaciago Profili giuridici dell'indagine digitale 08 09 18 Ordine Ber...
Giuseppe Vaciago Profili giuridici dell'indagine digitale 08 09 18 Ordine Ber...Andrea Rossetti
 
Vincenzo Calabrò - Evidenza Digitale e Informatica Forense
Vincenzo Calabrò - Evidenza Digitale e Informatica ForenseVincenzo Calabrò - Evidenza Digitale e Informatica Forense
Vincenzo Calabrò - Evidenza Digitale e Informatica ForenseVincenzo Calabrò
 
Corporate Forensics
Corporate ForensicsCorporate Forensics
Corporate Forensicswfurlan
 
linee-guida-digitalizzazione.pdf
linee-guida-digitalizzazione.pdflinee-guida-digitalizzazione.pdf
linee-guida-digitalizzazione.pdfAlessandroUdaFermo
 
Cips webinar jetico - perché encryption e altre misure sono un must
Cips webinar jetico - perché encryption e altre misure sono un mustCips webinar jetico - perché encryption e altre misure sono un must
Cips webinar jetico - perché encryption e altre misure sono un mustGiovanni Zanasca
 
Profili e Metodologie investigative
Profili e Metodologie investigativeProfili e Metodologie investigative
Profili e Metodologie investigativeMassimo Farina
 
Semplificazioni privacy studi legali
Semplificazioni privacy studi legaliSemplificazioni privacy studi legali
Semplificazioni privacy studi legaliStefano Corsini
 
CSIG SERRAINO MAGGIPINTO :: MILANO 2012 :: NORMA E TECNICA NELLA GESTIONE E V...
CSIG SERRAINO MAGGIPINTO :: MILANO 2012 :: NORMA E TECNICA NELLA GESTIONE E V...CSIG SERRAINO MAGGIPINTO :: MILANO 2012 :: NORMA E TECNICA NELLA GESTIONE E V...
CSIG SERRAINO MAGGIPINTO :: MILANO 2012 :: NORMA E TECNICA NELLA GESTIONE E V...Igor Serraino
 
Vincenzo Calabrò - Generazione ed Analisi di una Timeline Forense
Vincenzo Calabrò - Generazione ed Analisi di una Timeline ForenseVincenzo Calabrò - Generazione ed Analisi di una Timeline Forense
Vincenzo Calabrò - Generazione ed Analisi di una Timeline ForenseVincenzo Calabrò
 
INTELLIGENZA ARTIFICIALE e «GDPR»
INTELLIGENZA ARTIFICIALE e «GDPR»INTELLIGENZA ARTIFICIALE e «GDPR»
INTELLIGENZA ARTIFICIALE e «GDPR»Edoardo E. Artese
 
GDPR - L'offerta di Soluzioni EDP
GDPR - L'offerta di Soluzioni EDPGDPR - L'offerta di Soluzioni EDP
GDPR - L'offerta di Soluzioni EDPDaniele Fittabile
 
La copia forense: modalità operative (pt. 1)
La copia forense: modalità operative (pt. 1)La copia forense: modalità operative (pt. 1)
La copia forense: modalità operative (pt. 1)Alessandro Bonu
 
Smau bologna 2013 stefano fratepietro pallavolo
Smau bologna 2013 stefano fratepietro pallavoloSmau bologna 2013 stefano fratepietro pallavolo
Smau bologna 2013 stefano fratepietro pallavoloSMAU
 
La Gestione Legale Delle Prove Digitali
La Gestione Legale Delle Prove DigitaliLa Gestione Legale Delle Prove Digitali
La Gestione Legale Delle Prove DigitaliGiuseppe Bellazzi
 

Similar a Digital forensic: metodologie di analisi della prova digitale (16)

Giuseppe Vaciago Profili giuridici dell'indagine digitale 08 09 18 Ordine Ber...
Giuseppe Vaciago Profili giuridici dell'indagine digitale 08 09 18 Ordine Ber...Giuseppe Vaciago Profili giuridici dell'indagine digitale 08 09 18 Ordine Ber...
Giuseppe Vaciago Profili giuridici dell'indagine digitale 08 09 18 Ordine Ber...
 
Vincenzo Calabrò - Evidenza Digitale e Informatica Forense
Vincenzo Calabrò - Evidenza Digitale e Informatica ForenseVincenzo Calabrò - Evidenza Digitale e Informatica Forense
Vincenzo Calabrò - Evidenza Digitale e Informatica Forense
 
Corporate Forensics
Corporate ForensicsCorporate Forensics
Corporate Forensics
 
linee-guida-digitalizzazione.pdf
linee-guida-digitalizzazione.pdflinee-guida-digitalizzazione.pdf
linee-guida-digitalizzazione.pdf
 
Cips webinar jetico - perché encryption e altre misure sono un must
Cips webinar jetico - perché encryption e altre misure sono un mustCips webinar jetico - perché encryption e altre misure sono un must
Cips webinar jetico - perché encryption e altre misure sono un must
 
Il consulente tecnico di informatica forense
Il consulente tecnico di informatica forenseIl consulente tecnico di informatica forense
Il consulente tecnico di informatica forense
 
Profili e Metodologie investigative
Profili e Metodologie investigativeProfili e Metodologie investigative
Profili e Metodologie investigative
 
Semplificazioni privacy studi legali
Semplificazioni privacy studi legaliSemplificazioni privacy studi legali
Semplificazioni privacy studi legali
 
CSIG SERRAINO MAGGIPINTO :: MILANO 2012 :: NORMA E TECNICA NELLA GESTIONE E V...
CSIG SERRAINO MAGGIPINTO :: MILANO 2012 :: NORMA E TECNICA NELLA GESTIONE E V...CSIG SERRAINO MAGGIPINTO :: MILANO 2012 :: NORMA E TECNICA NELLA GESTIONE E V...
CSIG SERRAINO MAGGIPINTO :: MILANO 2012 :: NORMA E TECNICA NELLA GESTIONE E V...
 
Vincenzo Calabrò - Generazione ed Analisi di una Timeline Forense
Vincenzo Calabrò - Generazione ed Analisi di una Timeline ForenseVincenzo Calabrò - Generazione ed Analisi di una Timeline Forense
Vincenzo Calabrò - Generazione ed Analisi di una Timeline Forense
 
INTELLIGENZA ARTIFICIALE e «GDPR»
INTELLIGENZA ARTIFICIALE e «GDPR»INTELLIGENZA ARTIFICIALE e «GDPR»
INTELLIGENZA ARTIFICIALE e «GDPR»
 
GDPR - L'offerta di Soluzioni EDP
GDPR - L'offerta di Soluzioni EDPGDPR - L'offerta di Soluzioni EDP
GDPR - L'offerta di Soluzioni EDP
 
La copia forense: modalità operative (pt. 1)
La copia forense: modalità operative (pt. 1)La copia forense: modalità operative (pt. 1)
La copia forense: modalità operative (pt. 1)
 
Smau bologna 2013 stefano fratepietro pallavolo
Smau bologna 2013 stefano fratepietro pallavoloSmau bologna 2013 stefano fratepietro pallavolo
Smau bologna 2013 stefano fratepietro pallavolo
 
Lezione 30 marzo 2012
Lezione 30 marzo 2012Lezione 30 marzo 2012
Lezione 30 marzo 2012
 
La Gestione Legale Delle Prove Digitali
La Gestione Legale Delle Prove DigitaliLa Gestione Legale Delle Prove Digitali
La Gestione Legale Delle Prove Digitali
 

Más de Marco Marcellini

GDPR introduzione al nuovo Regolamento per la Protezione Dati
GDPR introduzione al nuovo Regolamento per la Protezione DatiGDPR introduzione al nuovo Regolamento per la Protezione Dati
GDPR introduzione al nuovo Regolamento per la Protezione DatiMarco Marcellini
 
Il ruolo degli OpenData nella progettazione della Smart City
Il ruolo degli OpenData nella progettazione della Smart CityIl ruolo degli OpenData nella progettazione della Smart City
Il ruolo degli OpenData nella progettazione della Smart CityMarco Marcellini
 
Agenda Digitale: prospettive e problemi
Agenda Digitale: prospettive e problemiAgenda Digitale: prospettive e problemi
Agenda Digitale: prospettive e problemiMarco Marcellini
 
La comunicazione ai tempi dei social
La comunicazione ai tempi dei socialLa comunicazione ai tempi dei social
La comunicazione ai tempi dei socialMarco Marcellini
 
Legge 33/2013 Amministrazione trasparente, cosa cambia nei siti web della PA
Legge 33/2013 Amministrazione trasparente, cosa cambia nei siti web della PALegge 33/2013 Amministrazione trasparente, cosa cambia nei siti web della PA
Legge 33/2013 Amministrazione trasparente, cosa cambia nei siti web della PAMarco Marcellini
 
Stalking e cyber bullismo, tecniche di attacco e possibilità di difesa
Stalking e cyber bullismo, tecniche di attacco e possibilità di difesaStalking e cyber bullismo, tecniche di attacco e possibilità di difesa
Stalking e cyber bullismo, tecniche di attacco e possibilità di difesaMarco Marcellini
 
Presentazione progetto MaecParco
Presentazione progetto MaecParcoPresentazione progetto MaecParco
Presentazione progetto MaecParcoMarco Marcellini
 
Internet kids security for parents and teachers
Internet kids security for parents and teachersInternet kids security for parents and teachers
Internet kids security for parents and teachersMarco Marcellini
 
LIBRO Internet a misura di bambino
LIBRO Internet a misura di bambinoLIBRO Internet a misura di bambino
LIBRO Internet a misura di bambinoMarco Marcellini
 
Internet a misura di bambino
Internet a misura di bambinoInternet a misura di bambino
Internet a misura di bambinoMarco Marcellini
 
Basic Internet Security (for Association of Bridal Consultants - Italy)
Basic Internet Security (for Association of Bridal Consultants - Italy)Basic Internet Security (for Association of Bridal Consultants - Italy)
Basic Internet Security (for Association of Bridal Consultants - Italy)Marco Marcellini
 
Presentazione Profilo salute 2008 Valdichiana Aretina
Presentazione Profilo salute 2008 Valdichiana AretinaPresentazione Profilo salute 2008 Valdichiana Aretina
Presentazione Profilo salute 2008 Valdichiana AretinaMarco Marcellini
 
XML, TEI e codifica dei testi
XML, TEI e codifica dei testiXML, TEI e codifica dei testi
XML, TEI e codifica dei testiMarco Marcellini
 
Web 2.0 e condivisione del sapere: Marco Marcellini Milano 24 Maggio
Web 2.0 e condivisione del sapere: Marco Marcellini Milano 24 MaggioWeb 2.0 e condivisione del sapere: Marco Marcellini Milano 24 Maggio
Web 2.0 e condivisione del sapere: Marco Marcellini Milano 24 MaggioMarco Marcellini
 

Más de Marco Marcellini (14)

GDPR introduzione al nuovo Regolamento per la Protezione Dati
GDPR introduzione al nuovo Regolamento per la Protezione DatiGDPR introduzione al nuovo Regolamento per la Protezione Dati
GDPR introduzione al nuovo Regolamento per la Protezione Dati
 
Il ruolo degli OpenData nella progettazione della Smart City
Il ruolo degli OpenData nella progettazione della Smart CityIl ruolo degli OpenData nella progettazione della Smart City
Il ruolo degli OpenData nella progettazione della Smart City
 
Agenda Digitale: prospettive e problemi
Agenda Digitale: prospettive e problemiAgenda Digitale: prospettive e problemi
Agenda Digitale: prospettive e problemi
 
La comunicazione ai tempi dei social
La comunicazione ai tempi dei socialLa comunicazione ai tempi dei social
La comunicazione ai tempi dei social
 
Legge 33/2013 Amministrazione trasparente, cosa cambia nei siti web della PA
Legge 33/2013 Amministrazione trasparente, cosa cambia nei siti web della PALegge 33/2013 Amministrazione trasparente, cosa cambia nei siti web della PA
Legge 33/2013 Amministrazione trasparente, cosa cambia nei siti web della PA
 
Stalking e cyber bullismo, tecniche di attacco e possibilità di difesa
Stalking e cyber bullismo, tecniche di attacco e possibilità di difesaStalking e cyber bullismo, tecniche di attacco e possibilità di difesa
Stalking e cyber bullismo, tecniche di attacco e possibilità di difesa
 
Presentazione progetto MaecParco
Presentazione progetto MaecParcoPresentazione progetto MaecParco
Presentazione progetto MaecParco
 
Internet kids security for parents and teachers
Internet kids security for parents and teachersInternet kids security for parents and teachers
Internet kids security for parents and teachers
 
LIBRO Internet a misura di bambino
LIBRO Internet a misura di bambinoLIBRO Internet a misura di bambino
LIBRO Internet a misura di bambino
 
Internet a misura di bambino
Internet a misura di bambinoInternet a misura di bambino
Internet a misura di bambino
 
Basic Internet Security (for Association of Bridal Consultants - Italy)
Basic Internet Security (for Association of Bridal Consultants - Italy)Basic Internet Security (for Association of Bridal Consultants - Italy)
Basic Internet Security (for Association of Bridal Consultants - Italy)
 
Presentazione Profilo salute 2008 Valdichiana Aretina
Presentazione Profilo salute 2008 Valdichiana AretinaPresentazione Profilo salute 2008 Valdichiana Aretina
Presentazione Profilo salute 2008 Valdichiana Aretina
 
XML, TEI e codifica dei testi
XML, TEI e codifica dei testiXML, TEI e codifica dei testi
XML, TEI e codifica dei testi
 
Web 2.0 e condivisione del sapere: Marco Marcellini Milano 24 Maggio
Web 2.0 e condivisione del sapere: Marco Marcellini Milano 24 MaggioWeb 2.0 e condivisione del sapere: Marco Marcellini Milano 24 Maggio
Web 2.0 e condivisione del sapere: Marco Marcellini Milano 24 Maggio
 

Digital forensic: metodologie di analisi della prova digitale

  • 1. Ordine degli Ingegneri della Provincia di Arezzo 29 marzo 2017 Digital Forensic Metodologie di analisi della prova digitale Marco Marcellini
  • 2. Digital forensic: una definizioneDigital forensic: una definizione • Il processo di identificazione, conservazione, analisi e presentazione della – DIGITAL EVIDENCE, ovvero la prova legale ottenuta attraverso strumenti digitali; • La raccolta e analisi di dati secondo una prassi che ne garantisca la libertà da distorsioni e pregiudizi, cercando di ricostruire dati e azioni avvenuti nel passato all’interno del sistema informatico (Vaciago 2012)
  • 3. Digital forensic: definizioneDigital forensic: definizione • Computer forensic → Digital forensic • I cinque punti cardine sono: – IDENTIFICAZIONE – ACQUISIZIONE – CONSERVAZIONE (catena di custodia) – DOCUMENTAZIONE – INTERPRETAZIONE • del dato digitale • Nel sistema legislativo italiano tre sono gli strumenti di analisi della prova digitale: accertamenti tecnici, incidente probatorio e perizia
  • 4. Digital evidence e sistema giuridico:Digital evidence e sistema giuridico: • ACCERTAMENTI TECNICI - Artt. 359 e 360 c.p.p. • Art. 359 c.p.p. • Consulenti tecnici del pubblico ministero. – Il pubblico ministero, quando procede ad accertamenti, rilievi segnaletici, descrittivi o fotografici e ad ogni altra operazione tecnica per cui sono necessarie specifiche competenze, può nominare e avvalersi di consulenti, che non possono rifiutare la loro opera. – Il consulente può essere autorizzato dal pubblico ministero ad assistere a singoli atti di indagine.
  • 5. Accertamenti tecnici NON RIPETIBILI:Accertamenti tecnici NON RIPETIBILI: • Art. 360 c.p.p. • (c.1) Quando gli accertamenti previsti dall'articolo 359 riguardano persone, cose o luoghi il cui stato è soggetto a modificazione, il pubblico ministero avvisa, senza ritardo, la persona sottoposta alle indagini, la persona offesa dal reato e i difensori del giorno, dell'ora e del luogo fissati per il conferimento dell'incarico e della facoltà di nominare consulenti tecnici. • (c.3) I difensori nonché i consulenti tecnici eventualmente nominati hanno diritto di assistere al conferimento dell'incarico, di partecipare agli accertamenti e di formulare osservazioni e riserve.
  • 6. Incidente probatorio:Incidente probatorio: • Artt. 392 e ss. c.p.p. • 1. Nel corso delle indagini preliminari il pubblico ministero e la persona sottoposta alle indagini possono chiedere al giudice che si proceda con INCIDENTE PROBATORIO: ... • f) a una perizia o a un esperimento giudiziale, se la prova riguarda una persona, una cosa o un luogo il cui stato è soggetto a modificazione non evitabile; • g) a una ricognizione, quando particolari ragioni di urgenza non consentono di rinviare l'atto al dibattimento. ...
  • 7. La PERIZIA in sede dibattimentale:La PERIZIA in sede dibattimentale: • Artt. 220 e ss. c.p.p. • 1. La perizia è ammessa quando occorre svolgere indagini o acquisire dati o valutazioni che richiedono specifiche competenze tecniche, scientifiche o artistiche. • 2. Salvo quanto previsto ai fini dell'esecuzione della pena o della misura di sicurezza, non sono ammesse perizie per stabilire l'abitualità o la professionalità nel reato, la tendenza a delinquere, il carattere e la personalità dell'imputato e in genere le qualità psichiche indipendenti da cause patologiche.
  • 8. Indicazioni tecniche che derivano dall’orientamento normativo Indicazioni tecniche che derivano dall’orientamento normativo • Preservare più possibile la ripetibilità dell’analisi tecnica; quando non possibile, richiedere le notifiche ex art. 360 c.p.p. • Nella DIGITAL FORENSIC, non esiste una metodologia tecnica stabilita dalla legge, esistono solo BEST PRACTICES • La RIPETIBILITA’ dell’analisi implica anche la ripetibilità dei risultati ottenuti
  • 9. Quale software scegliere ?Quale software scegliere ? • OPEN SOURCE vs SOFTWARE COMM.LE • In medio stat virtus
  • 10. Il laboratorio dell’analista forenseIl laboratorio dell’analista forense • E’ necessaria una buona dotazione di: – Storage, connessione veloce – Adattatori e cavi, anche per tecnologie obsolete. Attrezzature portatili – Collaboratori e laboratori esterni – Pazienza e creatività… –
  • 11. Parte II: saper fareParte II: saper fare • Le BEST PRACTICES prevedono metodologie specifiche per le fasi di: – IDENTIFICAZIONE – ACQUISIZIONE – CONSERVAZIONE – DOCUMENTAZIONE – INTERPRETAZIONE del DATO DIGITALE Sistema Operativo del dispositivo sequestrato OBIETTIVO della ricerca (tipo di reato contestato) SCELTA del METODO
  • 12. HARD-DISK, partizioni, tipi di file systemHARD-DISK, partizioni, tipi di file system • Write blockers o montaggio read-only • Capire la struttura del disco con FDISK e GPARTED • Strumenti per creare IMMAGINE FORENSE • Calcolo dell’HASH, MD5, SHA1, SHA256 • Tecniche di wiping dei dischi, shred
  • 13. Memorie volatili: analisi della RAMMemorie volatili: analisi della RAM • In base all’obiettivo dell’indagine (o al quesito oggetto dell’incarico) può essere un fattore determinante in quanto contiene • Fondamentale sotto Windows il contenuto dei files “hiberfile.sys” e “pagefile.sys”, che il pc salva in fase di ibernazione e di swapping Tipologia di files e MAGIC NUMBERSTipologia di files e MAGIC NUMBERS • xxxxx.yyy → NON FIDARSI DELL’ESTENSIONE di Windows • Utilizzare il comando file o un editor esadecimale • ESERCITAZIONE: acquisizione, hash, analisi e data-recovery
  • 14. LINUX: forensic distro e suite integrateLINUX: forensic distro e suite integrate • Distribuzioni Linux: Deft e Caine • Tools per Windows: DART • Encase-like tools: TSK & Autopsy4
  • 15. Strumenti per data-recoveryStrumenti per data-recovery • Il recupero dei dati cancellati attraverso la metodologia del FILE CARVING • Strumenti open-source e freeware: Photorec e Recuva • La necessità di garantire la ripetibilità dell’analisi • Il recupero dei dati cancellati da smartphones e tablet è possibile, ma richiede il rooting del telefono e l’uso di tools specifici
  • 16. Network forensicsNetwork forensics • La fonte di informazioni più importante sulle risorse Internet è la rete stessa • Strumenti come whois, nmap, wireshark consentono di controllare e monitorare le risorse in Rete • Emergono nuove problematiche d’indagine legate alla diffusione della navigazione anonima (Tor Browser) e del deep web
  • 17. Phone forensicPhone forensic • Strumenti di comunicazione altamente specializzati, smartphones e tablet richiedono metodologie specifiche • Strumenti open non ancora maturi • ADB shell, rooting, Ios Backup