Digital Forensic, metodologie di analisi della prova digitale. Una rassegna delle tecniche e dei software di individuazione, conservazione, analisi e presentazione della prova digitale. Dopo l'inquadramento legislativo (articoli del codice di procedura penale che regolano l'attivita' del consulente tecnico), vengono prese in esame le strumentazioni necessarie e le problematiche tecniche legate ai diversi dispositivi (computer, smartphone, server, reti, cloud) e ai diversi sistemi operativi. Focus sulle tecniche di recupero dei dati cancellati (data-recovery) e sull'utilizzo di strumenti open source per l'informatica forense. Materiale utilizzato per il workshop "informatica forense" da me tenuto presso l'Ordine degli Ingegneri di Arezzo
Web 2.0 e condivisione del sapere: Marco Marcellini Milano 24 Maggio
Digital forensic: metodologie di analisi della prova digitale
1. Ordine degli Ingegneri della Provincia di Arezzo
29 marzo 2017
Digital Forensic
Metodologie di analisi della prova digitale
Marco Marcellini
2. Digital forensic: una definizioneDigital forensic: una definizione
• Il processo di identificazione,
conservazione, analisi e presentazione
della
– DIGITAL EVIDENCE, ovvero la prova legale
ottenuta attraverso strumenti digitali;
• La raccolta e analisi di dati secondo una
prassi che ne garantisca la libertà da
distorsioni e pregiudizi, cercando di
ricostruire dati e azioni avvenuti nel
passato all’interno del sistema informatico
(Vaciago 2012)
3. Digital forensic: definizioneDigital forensic: definizione
• Computer forensic → Digital forensic
• I cinque punti cardine sono:
– IDENTIFICAZIONE
– ACQUISIZIONE
– CONSERVAZIONE (catena di custodia)
– DOCUMENTAZIONE
– INTERPRETAZIONE
• del dato digitale
• Nel sistema legislativo italiano tre sono gli
strumenti di analisi della prova digitale:
accertamenti tecnici, incidente
probatorio e perizia
4. Digital evidence e sistema giuridico:Digital evidence e sistema giuridico:
• ACCERTAMENTI TECNICI - Artt. 359 e 360
c.p.p.
• Art. 359 c.p.p.
• Consulenti tecnici del pubblico ministero.
– Il pubblico ministero, quando procede ad
accertamenti, rilievi segnaletici, descrittivi o
fotografici e ad ogni altra operazione tecnica
per cui sono necessarie specifiche
competenze, può nominare e avvalersi di
consulenti, che non possono rifiutare la loro
opera.
– Il consulente può essere autorizzato dal
pubblico ministero ad assistere a singoli atti di
indagine.
5. Accertamenti tecnici NON RIPETIBILI:Accertamenti tecnici NON RIPETIBILI:
• Art. 360 c.p.p.
• (c.1) Quando gli accertamenti previsti dall'articolo
359 riguardano persone, cose o luoghi il cui stato
è soggetto a modificazione, il pubblico ministero
avvisa, senza ritardo, la persona sottoposta alle
indagini, la persona offesa dal reato e i difensori
del giorno, dell'ora e del luogo fissati per il
conferimento dell'incarico e della facoltà di
nominare consulenti tecnici.
• (c.3) I difensori nonché i consulenti tecnici
eventualmente nominati hanno diritto di assistere
al conferimento dell'incarico, di partecipare agli
accertamenti e di formulare osservazioni e
riserve.
6. Incidente probatorio:Incidente probatorio:
• Artt. 392 e ss. c.p.p.
• 1. Nel corso delle indagini preliminari il pubblico
ministero e la persona sottoposta alle indagini
possono chiedere al giudice che si proceda con
INCIDENTE PROBATORIO:
...
• f) a una perizia o a un esperimento giudiziale, se la
prova riguarda una persona, una cosa o un luogo il
cui stato è soggetto a modificazione non evitabile;
• g) a una ricognizione, quando particolari ragioni di
urgenza non consentono di rinviare l'atto al
dibattimento.
...
7. La PERIZIA in sede dibattimentale:La PERIZIA in sede dibattimentale:
• Artt. 220 e ss. c.p.p.
• 1. La perizia è ammessa quando occorre
svolgere indagini o acquisire dati o valutazioni
che richiedono specifiche competenze
tecniche, scientifiche o artistiche.
• 2. Salvo quanto previsto ai fini dell'esecuzione
della pena o della misura di sicurezza, non
sono ammesse perizie per stabilire l'abitualità o
la professionalità nel reato, la tendenza a
delinquere, il carattere e la personalità
dell'imputato e in genere le qualità psichiche
indipendenti da cause patologiche.
8. Indicazioni tecniche che derivano
dall’orientamento normativo
Indicazioni tecniche che derivano
dall’orientamento normativo
• Preservare più possibile la ripetibilità dell’analisi
tecnica; quando non possibile, richiedere le
notifiche ex art. 360 c.p.p.
• Nella DIGITAL FORENSIC, non esiste una
metodologia tecnica stabilita dalla legge,
esistono solo BEST PRACTICES
• La RIPETIBILITA’ dell’analisi implica anche la
ripetibilità dei risultati ottenuti
9. Quale software scegliere ?Quale software scegliere ?
• OPEN SOURCE vs SOFTWARE COMM.LE
• In medio stat virtus
10. Il laboratorio dell’analista forenseIl laboratorio dell’analista forense
• E’ necessaria una buona dotazione di:
– Storage, connessione veloce
– Adattatori e cavi, anche per tecnologie
obsolete. Attrezzature portatili
– Collaboratori e laboratori esterni
– Pazienza e creatività…
–
11. Parte II: saper fareParte II: saper fare
• Le BEST PRACTICES prevedono metodologie
specifiche per le fasi di:
– IDENTIFICAZIONE
– ACQUISIZIONE
– CONSERVAZIONE
– DOCUMENTAZIONE
– INTERPRETAZIONE del DATO DIGITALE
Sistema Operativo
del dispositivo sequestrato
OBIETTIVO della ricerca
(tipo di reato contestato)
SCELTA
del
METODO
12. HARD-DISK, partizioni, tipi di file systemHARD-DISK, partizioni, tipi di file system
• Write blockers o montaggio read-only
• Capire la struttura del disco con FDISK e
GPARTED
• Strumenti per creare IMMAGINE FORENSE
• Calcolo dell’HASH, MD5, SHA1, SHA256
• Tecniche di wiping dei dischi, shred
13. Memorie volatili: analisi della RAMMemorie volatili: analisi della RAM
• In base all’obiettivo dell’indagine (o al quesito
oggetto dell’incarico) può essere un fattore
determinante in quanto contiene
• Fondamentale sotto Windows il contenuto dei
files “hiberfile.sys” e “pagefile.sys”, che il pc
salva in fase di ibernazione e di swapping
Tipologia di files e MAGIC NUMBERSTipologia di files e MAGIC NUMBERS
• xxxxx.yyy → NON FIDARSI DELL’ESTENSIONE
di Windows
• Utilizzare il comando file o un editor esadecimale
• ESERCITAZIONE: acquisizione, hash, analisi
e data-recovery
14. LINUX: forensic distro e suite integrateLINUX: forensic distro e suite integrate
• Distribuzioni Linux: Deft e Caine
• Tools per Windows: DART
• Encase-like tools: TSK & Autopsy4
15. Strumenti per data-recoveryStrumenti per data-recovery
• Il recupero dei dati cancellati attraverso la
metodologia del FILE CARVING
• Strumenti open-source e freeware: Photorec e
Recuva
• La necessità di garantire la ripetibilità dell’analisi
• Il recupero dei dati cancellati da smartphones e
tablet è possibile, ma richiede il rooting del
telefono e l’uso di tools specifici
16. Network forensicsNetwork forensics
• La fonte di informazioni più importante sulle
risorse Internet è la rete stessa
• Strumenti come whois, nmap, wireshark
consentono di controllare e monitorare le risorse
in Rete
• Emergono nuove problematiche d’indagine
legate alla diffusione della navigazione anonima
(Tor Browser) e del deep web
17. Phone forensicPhone forensic
• Strumenti di comunicazione altamente
specializzati, smartphones e tablet richiedono
metodologie specifiche
• Strumenti open non ancora maturi
• ADB shell, rooting, Ios Backup