Informatica Forense...– Esaminare, con approccio forense, i dati raccolti, usando una combinazione di tecniche e strumenti sia automatici che manuali, identificando i dati di particolare

Pattern Recognition and Applications Lab

��

�Università

di Cagliari, Italia

�

Dipartimento di Ingegneria Elettrica

ed Elettronica

Informatica Forense

Ing. Davide Ariu

��

��

�

http://pralab.diee.unica.it

Definizione

•  “Digital forensics, also known as computer and network forensics, has many definitions. Generally, it is considered the application of science to the identification, collection, examination, and analysis of data while preserving the integrity of the information and maintaining a strict chain of custody for the data. Data refers to distinct pieces of digital information that have been formatted in a specific way.”**

** NIST - Guide to Integrating Forensic Techniques into Incident Response

��

�


Dispositivi oggetto dell’analisi

•  “Digital forensics, also known as computer and network forensics… “ –  La varietà di nomi è dovuta alla varietà di dispositivi elettronici che possono essere

oggetto di analisi forense •  Computer Portatili, Desktop, Server •  Dispositivi di rete (e.g. Router, Switch) •  Telefoni cellulari, Smartphone, Tablet •  Periferiche Rimovibili (Hard Disk Esterni, Pen-drive, Schede di memoria, … ) •  MP3 Player, … •  Console (Playstation, Wii, Xbox, Nintendo DS, Sony PSP, ….) •  Wearable (e.g. Smart-watch, Google Glasses) •  Internet of Things, … •  Apparecchi medicali, Stampanti, Videorecorder…

–  Qualunque dispositivo in grado di immagazzinare informazioni può essere potenzialmente oggetto di analisi forense

�

��

�


Quattro fasi di attività

•  “…application of science to the identification, collection, examination, and analysis of data…”

•  Raccolta –  Identificare, etichettare, registrare, ed acquisire i dati dalle possibili sorgenti di

informazione, seguendo delle procedure che preservino l’integrità dei dati

•  Esame –  Esaminare, con approccio forense, i dati raccolti, usando una combinazione di tecniche e

strumenti sia automatici che manuali, identificando i dati di particolare interesse e comunque seguendo delle procedure che preservino l’integrità dei dati stessi.

•  Analisi –  Analizzare i risultati ottenuti nella precedente fase, utilizzando tecniche e strumenti

legalmente giustificabili, per ottenere informazioni utili a rispondere alle domande da cui la raccolta e l’esame dell’informazioni sono scaturite

•  Reportistica –  Riportare i risultati dell’analisi, descrivendo quali azioni sono state compiute, e

illustrando come e perché gli strumenti e le procedure di analisi sono stati selezionati.

��

�


Preservare l’integrità del dato

•  “while preserving the integrity of the information and maintaining a strict chain of custody for the data”

•  Preservare l’integrità dell’informazione –  Fondamentale al fine di garantire l’utilizzabilità della prova in sede processuale (sia civile

che penale) –  “La prova permette al giudice di ricostruire correttamente e dimostrare i fatti affermati

dalle parti nel corso del processo” (Computer Forensics, A. Ghirardini, G. Faggioli)

•  Chain of custody –  Documentazione che mostra chi abbia custodito il reperto e come questo sia stato

utilizzato (e.g. che tipo di analisi sono state effettuate, se sono state effettuate delle copie del reperto e chi vi ha eventualmente avuto accesso, etc.), dal momento dell’acquisizione del reperto fino al completamento dell’analisi

��

�


Tre modalità di acquisizione del dato*

•  Sequestro –  Si prende possesso del supporto su cui il dato risiede.

–  Non sempre praticabile:

•  Sistemi di grosse dimensioni (e.g. apparecchiature su rack)

•  Sistemi che non possono essere spenti (e.g. controllo di infrastrutture)

•  Dati in transito o immagazzinati su supporto volatile (e.g. memoria RAM)

•  Duplicazione. –  Il supporto viene acquisito sotto forma di copia delle informazioni contenute

nello stesso e riversato su un altro supporto.

•  Intercettazione. –  Il dato viene acquisito nel suo passaggio da un sistema ad un altro. La lettura

non avviene dal supporto di memorizzazione dove il dato risiede, ma dal

medium usato per la trasmissione tra due sistemi.

•  Si pone a monte (tipicamente in fase di perquisizione) un problema di identificazione dei supporti sui quali le informazioni ricercate potrebbero essere immagazzinate.

*Computer Forensics, A. Ghirardini, G. Faggioli

��

�


Ripetibilità degli accertamenti

•  Prima di procedere con le attività, è importante stabilirne la ripetibilità, in quanto gli accertamenti non ripetibili sono soggetti ad una specifica disciplina –  L’Art. 359 c.p.p. (Consulenti tecnici del P.M.) prevede che il P.M., quando procede

ad accertamenti, rilievi segnaletici, descrittivi o fotografici e ad ogni altra operazione tecnica per cui sono necessarie specifiche competenze, può nominare e avvalersi di consulenti, che non possono rifiutare la loro opera.

–  L’Art. 360 c.p.p. (Accertamenti Tecnici Non Ripetibili) prevede che, quando gli accertamenti previsti dall’artt. 359 riguardano persone, cose o luoghi il cui stato è soggetto a modificazione, il P.M. avvisa, senza ritardo, la persona sottoposta alle indagini, la persona offesa dal reato e i difensori del giorno, dell’ora e del luogo fissati per il conferimento dell’incarico e della facoltà di nominare consulenti tecnici.

��

�


(Alcune) Tipologie di Analisi*

�� !��

��

��!��

��"��$��

��"��

*B. Carrier – File System Forensic Analysis, Wiley

��

�


Diversi livelli di analisi

��

��

��

��

��

��

��

��

� ��

*B. Carrier – File System Forensic Analysis, Wiley

�


Geometria di un Hard Disk

��

•  Ogni traccia divisa in settori, che rappresentano l’unità elementare di immagazzinamento dei dati (tipicamente 512 byte).

•  Ogni settore è univocamente identificato da: –  Numero del piatto –  Numero della traccia –  Numero del settore (inizia da 1 per ogni traccia)

�


Partizionamento e Volumi

•  Spesso è necessario separare le caratteristiche fisiche del dispositivo di immagazzinamento da quelle “logiche” che si vogliono rendere disponibili all’utente-applicazione-sistema operativo.

•  Alcuni esempi: –  Posso voler separare lo spazio dedicato al sistema operativo e applicazioni da

quello destinato ai dati. •  Es. Su un volume da 1TB creo una partizione da 750GB per i dati e una da 250GB

per il sistema operativo

–  Posso voler unire più dispositivi a creare un dispositivo virtuale di dimensioni maggiori o con caratteristiche di cui i singoli dispositivi non dispongono •  Es. RAID

��

�



•  Volume. –  E’ un insieme di settori “indirizzabili” che un sistema operativo o applicazione

possono utilizzare per immagazzinare i dati –  I settori non devono essere necessariamente settori consecutivi localizzati sul

medesimo dispositivo fisico, è sufficiente che il sistema operativo o l’applicazione che li usano abbiano la sensazione che lo siano.

–  Un volume può essere il risultato dell’unione di più volumi più piccoli

��

��

��

��

��

�



•  Partizione. –  E’ una collezione di settori consecutivi su un volume.

•  Perché partizionare un volume: –  Alcuni file system hanno una dimensione massima < di quella del volume –  I sistemi UNIX utilizzano partizioni differenti per minimizzare i danni in caso di

file system corrotto –  Necessità di installare più sistemi operativi sullo stesso volume

�!�

��

�� $$� ��

�� "$$� ��

#�� $$$� ��

�� !�

� ��

��

Il comando mmls (Sleuth Kit) consente di ispezionare la tabella delle partizioni

�


File System

•  File System. –  Consente l’organizzazione e l’immagazzinamento persistente dei dati presenti su

un volume attraverso una gerarchia di file e directory. –  Consente di separare la disposizione fisica dei dati sul disco dalla loro

organizzazione logica (file e directory), stabilita dal sistema operativo, dalle applicazioni, e dagli utenti.

–  Consente di gestire i nomi dei file e tutte le operazioni di creazione, cancellazione e modifica.

–  Consente di associare al dato una serie di informazioni aggiuntive (meta-dati), quali: •  Dimensione •  Data e ora di creazione, ultima modifica e ultimo accesso •  Informazioni utili a gestire il controllo degli accessi

��

�


Acquisizione e analisi dell’evidenza

•  Dalle precedenti slides sull’organizzazione delle informazioni su disco, emerge un possibile modo di procedere per acquisire ed analizzare l’evidenza: –  Effettuo una copia del supporto lavorando a livello fisico (e.g. singolo Hard Disk)

o di Volume –  Analizzo le singole partizioni –  All’interno di ciascuna partizione, analizzo il file system e i singoli file

��

�


Acquisizione dell’evidenza

•  Preservare l’integrità del dato. –  Ogni qual volta sia possibile, è sempre necessario realizzare una copia del

supporto da analizzare, così da “congelare” l’evidenza in esso presente. –  Lavorare direttamente sul dato originale pone, in ambito informatico, diversi

problemi: •  Alterazione del contenuto del dispositivo, che può essere accidentale o meno.

–  �� !��!� �� *��$��+��)��#�� #��! ��)!��(��

–  � �� !��!�� #��!��$$�� !��!�� !�� (�

–  �� !��'��!��!� �� )�� # ��(��•  Rischio di danneggiare il supporto.

–  � �� #�� '�� !��!�� !� �� !��(�

–  � ��#�� '�� $��"� � #��(�–  �� !��'��!��!� �� )�� # ��(�

-.�

�


Acquisizione dell’evidenza

•  E’ dunque una best practice: –  Effettuare una copia del supporto comprovandone la perfetta conformità

all’originale •  Calcolo l’hash/checksum (e.g. md5sum, sha256sum) del dispositivo e

dell’originale e verifico che coincidono •  Ci sono applicazioni gratuite come Guymager (http://guymager.sourceforge.net)

o altre commerciali (FTK Imager, EnCase Imager) che consentono di effettuare le due operazioni contestualmente e risparmiando tempo.

–  Effettuare una copia della copia. Verifico la corrispondenza dell’hash delle due copie.

–  Effettuare le analisi sulla copia della copia.

��

�


Effettuare una copia forense

•  E’ fondamentale prevenire qualsiasi forma di scrittura sul supporto da analizzare da parte del computer/dispositivo che sto utilizzando per compiere l’analisi –  Se anche solo collegassi un Hard Disk al computer (e.g. tramite USB) e sfogliassi

il contenuto di una cartella senza aprire alcun file, ne avrei già alterato il contenuto per il fatto che il sistema operativo crea dei file nascosti utili (e.g. Thumbs.db su Windows o .DS_Store su OsX) a consentire la pre-view dei contenuti da parte degli utenti

–  Questo è sufficiente ad alterare l’hash del dispositivo

•  Si utilizzano meccanismi di write blocking –  Hardware (e.g. Tableau di Guidance Software). –  Software. Esistono delle distribuzioni Linux customizzate per attività forense e su cui il mount automatico dei dispositivi è stato disabilitato

•  CAINE - http://caine-live.net •  DEFT - http://deftlinux.net

��

�


Individuare Dischi e Partizioni

•  Sui sistemi UNIX è possibile ottenere la lista dei dischi e delle partizioni in essi presenti utilizzando il comando

fdisk –l*

•  Disk /dev/sda: 250.1 GB, 250059350016 bytes 255 testine, 63 settori/tracce, 30401 cilindri, totale 488397168 settori Unità = settori di 1 * 512 = 512 byte Sector size (logical/physical): 512 bytes / 512 bytes I/O size (minimum/optimal): 512 bytes / 512 bytes Identificativo disco: 0x42224222

•  Dispositivo Boot Start End Blocks Id System /dev/sda1 63 9439231 4719584+ 82 Linux swap / Solaris /dev/sda2 * 9446220 47391532 18972656+ 83 Linux /dev/sda3 47391750 145693484 49150867+ 83 Linux /dev/sda4 145693485 488392064 171349290 83 Linux

��

*richiede privilegi di amministrazione

�


Copia bit-a-bit •  Una volta individuato il disco e/o le partizioni da copiare è

possibile procedere ad effettuare una copia bit a bit •  I sistemi UNIX mettono nativamente a disposizione un comando

che può essere utilizzato per la copia bit a bit dei dispositivi: dd –  E’ possibile salvare la copia del dispositivo su un file (immagine) –  E’ possibile clonare il dispositivo su un altro di capacità almeno uguale

•  Esempi: –  Creazione file immagine

•  dd if=/dev/hda of=/mnt/sda/disco.dd bs=512 conv=noerror, sync

–  Clonazione disco •  dd if=/dev/hda of=/dev/hdb

–  Azzeramento disco •  dd if=/dev/zero of=/dev/hdb

•  Ricordiamoci di verificare la conformità della copia e dell’originale –  Esempio. md5sum /dev/hda e md5sum /mnt/sda/disco.dd devono produrre

lo stesso risultato

��

�


Situazioni Particolari

•  Sistemi RAID –  Il RAID può essere implementato sia via HW che via SW –  E’ senz’altro utile realizzare prima una copia dei singoli dischi, in modo da

preservarne il contenuto –  E’ poi utile creare anche un’immagine dell’intero volume, senz’altro più semplice

da analizzare •  Se disponiamo di un controller RAID (ad esempio locale sulla macchina

sequestrata) possiamo sfruttarlo per ri-assemblare il volume •  Via software, possiamo avvalerci dell’utility mdadm* disponibile sui sistemi

UNIX –  Possibili problemi

•  Dimensione del volume da acquisire •  Implementazione non standard del RAID all’interno del volume con cui il RAID è

stato generato

•  Volume criptato –  Inutile se non si recupera la chiave di cifratura –  Non spegnere mai una macchina che vi viene consegnata accesa

��

*https://raid.wiki.kernel.org/index.php/RAID_setup

�


Situazioni Particolari •  Dischi a Stato Solido.

Le proprietà dei dischi a stato solido li rendono, da un punto di vista forense, estremamente diversi rispetto ai tradizionali supporti magnetici*

–  Non sono divisi in blocchi da 512 byte ma in pagine da 2KiB o 4KiB •  Ma vengono comunque presentati al SO come organizzati in blocchi da 512

–  Riscrivere un blocco a livello di sistema operativo non necessariamente significa riscrivere la stessa pagina nella flash •  A differenza dei dischi magnetici (dove un settore può essere riscritto milioni di

volte) nei dispositivi SSD una pagina può essere riscritta al max. 10,000 volte. •  Per questo motivo il controller usa sempre tutto lo spazio del disco per garantire

un degrado uniforme delle prestazioni –  Una pagina non può essere solamente sovrascritta, ma deve prima essere

cancellata per poter essere riutilizzata •  Quando un file viene cancellato, il controller provvede in breve tempo a

cancellare il contenuto delle pagine, così da renderle subito disponibili per una nuova allocazione

–  Capacità reale delle pagine circa 25% superiore a quella nominale ma non direttamente accessibile tramite il SO

–  Crittografia

��

*http://www.forensicswiki.org/wiki/Solid_State_Drive_(SSD)_Forensics http://belkasoft.com/en/ssd-2014

�


Analisi del dispositivo

•  Una volta effettuata la copia del dispositivo, abbiamo due possibilità di analisi: –  Analisi fisica.

•  Consiste nell’identificare e recuperare i dati su tutto il drive dispositivo fisico e non considerando il file system, quindi senza alcuna organizzazione logica.

•  Ricerca per keyword; File Carving; Estrazione delle tabelle di partizione; Estrazione dello spazio inutilizzato sul drive fisico

•  Limitazioni –  �� "��""��–  ��&��(��*��%'�

–  Analisi logica. •  E’ la forma di analisi più vantaggiosa nel momento in cui sul dispositivo è

presente un File System non corrotto. •  Consente di lavorare direttamente sui file e non su blocchi di dati

–  ��! ��–  �� "��

()�

�


File Carving

•  Il File Carving è una tecnica di ricerca dei file basata sul loro contenuto piuttosto che sui metadati –  I metadati sono forniti dal File System, da cui il carving prescinde

•  Il carving tradizionale è basato sugli header/footer del file: –  Ciascuna tipologia di file è caratterizzato da un header e da un footer, ovvero da

una sequenza di byte che ne delimita inizio e fine rendendo ogni formato immediatamente riconoscibile •  Es. JPEG ha header FF D8 e footer FF D9 (codici esadecimali)

–  Il carver cerca l’header del file –  Quando lo trova, esamina i settori successivi alla ricerca del footer: se lo trova,

recupera il file –  Problema. Frammentazione del disco.

•  Esistono numerose varianti del carving. –  Posso cercare l’header solo all’inizio del settore

•  Non recupero i file embedded –  Statistical Carving, SmartCarving

•  Analizzo il contenuto del blocco per valutare se esibisce proprietà simili a quelle dei blocchi vicini

��

�


Ricercare l’evidenza

•  A seconda dell’oggetto dell’indagine e del quesito la ricerca dovrà concentrarsi su alcuni aspetti specifici.

•  Nel caso di analisi logica vengono spesso svolte queste attività*: –  Ricerca per parole chiave (e.g. Autopsy, EnCase) –  Ricerca di file cancellati e orfani –  Ricerca per categoria di file, per nome file o directory –  Ricerca per carving (utilizzando Foremost, Photorec, Scalpel) –  Una ricerca per carving nei files Thumbs.db –  Una ricerca sulle navigazioni effettuate –  Analisi delle applicazioni installate per capire che tipo di operazioni l’indagato

possa aver compiuto –  Verificare se sono presenti macchine virtuali –  Effettuare il cracking di file o sistemi protetti –  Nel caso ci fossero files o db in formati proprietari è necessario utilizzare

software ad-hoc •  Partendo dall’immagine del disco, conviene virtualizzare e ricreare l’ambiente

nativo, così da poter aprire i file con le rispettive applicazioni

��

*N. Bassetti, Indagini Digitali

�


Mobile Forensics - Cenni

•  Metodologie di acquisizione –  Logica

•  Accesso diretto ai “record” memorizzati dal telefono all’interno delle diverse aree di interesse (es. Rubrica, messaggi, registro chiamate, etc.)

•  Problemi di accesso con passcode •  Rapida

–  File System •  Copia dei file del file system •  Recupero di maggiori informazioni •  Possibilità di recuperare record cancellati all’interno di file (es. SQLite deleted

records, Thumbnails) •  Problemi di accesso con passcode •  Richiede più tempo

–  Fisica •  Copia bit-a-bit del dispositivo •  Possibilità di superare i blocchi con codice •  Possibilità di recuperare record e interi file cancellati

��

*P. Dal Checco, Mobile Forensics: Tecniche di Acquisizione e Soluzioni Open Source, Security Summit 2014

�


Strumenti Commerciali

��


�


Software di Backup

��


�


Strumenti Open Source

��

�


Acquisizione Logica iOS

•  E’ possibile utilizzare la libreria http://www.libimobiledevice.org –  Disponibile nativamente sulla distribuzione Santoku Linux –  Supporta iOS fino alla versione 8 –  Non richiede jailbreak –  Non dipende da librerie esterne

•  Consente di: –  Leggere informazioni sul dispositivo –  Eseguire/Ripristinarne il backup –  Montare parte del filesystem –  Gestire icone e applicazioni –  Leggere Rubrica/Calendario/Note/Bookmarks –  Sincronizzare Musica e Video

•  E’ quasi un’acquisizione del filesytem

��


�



•  Per poter acquisire il dispositivo con libmobiledevice è necessario: –  Conoscere il pin del dispositivo per poterlo sbloccare. –  Soluzione Alternativa.

•  E’ sufficiente reperire il certificato di lockdown che iOS rilascia sulle macchine con cui il dispositivo è stato sincronizzato.

•  E’ un certificato che iOS rilascia sui PC con i quali il dispositivo è stato sincronizzato, così che vengano considerati automaticamente “trusted” senza che l’utente debba ogni volta inserire il pin. (es. in Windows 7/8 si trova in C:\Program Data\Apple\Lockdown)

•  Il file va copiato in /var/lib/lockdown, si può verificare tramite il comando “idevicepair validate” se è il cerDficato è corretto

•  Successivamente –  Collegare il dispositivo al PC e sbloccarlo (disabilitare auto-lock) –  Testiamo la connessione con il dispositivo mediante ideviceinfo –s –  Possiamo effettuare il backup con idevicebackup2 backup ./folder –  Il backup va poi convertito in un formato leggibile con devicebackup

unback ./folder

��


�



•  Una volta estratto il backup, è possibile esplorare le cartelle: –  Visualizzando immagini e video tramite il file manager –  Analizzare i database SQLite delle varie applicazioni:

•  Skype •  Whatsapp •  …

•  In alternativa, è disponibile nativamente su DEFT l’applicazione iPhone Backup Analyzer - www.iphonebackupanalyzer.com

��


�


Acquisizione Logica di Android

•  Può essere considerata quasi un’acquisizione filesystem –  Si esegue tramite il tool ADB, Android Debug Bridge

–  http://developer.android.com/tools/help/adb.html.

–  Utility command line inclusa nell’SDK Google Android che permette di comunicare con l’emulatore Android o un device connesso via USB per: •  Controllare il dispositivo via USB

•  Copiare file da e verso il dispositivo

•  Installare e disinstallare applicazioni

•  Eseguire comandi da shell

•  Aprire una shell sul dispositivo

•  Fare debug di applicazioni

•  Backup/restore (Android >= 4.0)

•  Sul dispositivo: –  E’ necessario abilitare la modalità Debug (Developer Options)

–  Secontiene Android4.2.2 o superiore è necessario confermare il fingerprint del

computer per autorizzare la connessione

��


�


Acquisizione Logica di Android

•  E’ possibile verificare se il dispositivo viene correttamente rilevato utilizzando il comando “adb devices” –  E’ sucessivamente possibile avviare il backup tramite il comando

adb backup –apk –shared –all –f backup.ab e confermare la richiesta di full backup

–  Il backup così generato è un file binario non immediatamente decomprimibile. •  Per convertire l’archivio in un normale tar eseguire dd if=backup.ab bs=1 skip=24|openssl zlib -d > backup.tar

��


�


Stesso profilo professionale, diversi ruoli

•  CT –  Consulente Tecnico, per esempio del PM, nel Penale.

•  CTP –  Consulente tecnico di parte, nel Penale e nel Civile.

•  CTU –  Consulente tecnico del Giudice nel Civile

•  PERITO –  Consulente tecnico del Giudice nel Penale.

•  Ausiliario Polizia Giudiziaria –  Art. 348 comma IV°: “La Polizia Giudiziaria, quando, di propria iniziativa o a

seguito di delega del Pubblico Ministero, compie atti od operazioni che richiedono specifiche competenze tecniche, può avvalersi di persone idonee le quali non possono rifiutare la propria opera.”

–  Come sancito dalla Corte di Cassazione, “Qualsiasi atto compiuto dall’Ausiliario di P.G. nelle sue funzioni, è da considerarsi un atto stesso della Polizia Giudiziaria”, esso assume la qualifica di Pubblico Ufficiale ed opera sotto la direzione ed il controllo della P.G.

��

�


Possibili accertamenti – Esempi

•  Esempio 1. –  Procedere – con accertamenti di natura ripetibile – all’esame dell’hard disk in

sequestro, al fine di accertare: •  Corretto funzionamento tecnico ed accessibilità dell’apparecchio •  Rilevazione dei dati in esso contenuti con particolare riferimento ai file video •  Eventuale recupero di dati rimossi dall’apparecchio

•  Esempio 2. –  … previo esame del materiale informatico in sequestro (personal computer e altri

dispositivi elettronici meglio elencati nei verbali di sequestro), provvedere alia duplicazione di tutti i dati, informazioni, programmi e/o sistemi informatici ("memorizzati" nei reperti in sequestro) su adeguati supporti mediante una procedura che assicuri la conformità della copia all'originale e la sua immodificabilità.

��

�


Possibili accertamenti – Esempi

•  Esempio 3. –  .. ricercare nel materiale informatico sequestrato ogni elemento concernete la

vicenda […] in particolare vorrà individuare sequenza numeriche e/o alfanumeriche riconducibili a […]; l’esistenza di documenti contabili […]; messaggi e chat tra i soggetti coinvolti nell'indagine in corso […]"

•  Esempio 4. –  …accertare il contenuto, la provenienza, la datazione ed ogni altro particolare

profilo descrittivo (anche mediante predisposizione di immagini fotografiche) dei files in esso contenuti e di interesse ai fini di indagine […] e se le caratteristiche dei files (e la data di creazione degli stessi) siano stati alterati o modificati e, comunque, se di alterazioni si possano rilevare tracce.

��

�


Presentare i risultati - La relazione

•  La relazione finale (da consegnare ad esempio al PM se CT/CTP o al giudice se CTU) è un documento che deve presentare e riassumere: –  Le attività svolte –  I risultati ottenuti

•  E’ importante: –  Che la relazione sia leggibile e ragionevolmente comprensibile anche da un

personale non tecnico •  Voi siete degli elettronici-informatici •  Il giudice, l’avvocato, il PM, hanno una formazione giuridica

–  Pertanto: •  E’ importante usare la massima proprietà di linguaggio •  Spiegando in linguaggio accessibile ad un pubblico non tecnico i concetti meno

chiari (e fornendo riferimenti bibliografici, possibilmente fonti autorevoli). •  Usando, ovunque esista una traduzione accettabile, vocaboli italiani.

–  Una relazione non comprensibile può risultare inutile o portare a delle conclusioni errate

��

�


Presentare i risultati - La relazione

•  Possibile struttura di una relazione –  Introduzione. Spiega in che contesto l’attività è stata svolta, quali sono le

persone che hanno partecipato all’analisi e fornisce i riferimenti al procedimento.

–  Descrizione del quesito. E’ sufficiente riportare il quesito così come da verbale conferimento incarico.

–  Descrizione del materiale sottoposto ad analisi. •  E’ utile riassumere le caratteristiche del materiale che hanno un impatto concreto

sulla scelta delle modalità di intervento più appropriata.

•  Vengono spesso allegate fotografie del materiale sottoposto ad analisi, in cui si evidenziano ad esempio modello e numero di serie.

–  Metodologie e Procedure di intervento. Descrivere gli strumenti Hardware e Software utilizzati e le procedure attuate. •  Gli strumenti e le procedure devono essere scelti coerentemente con le

caratteristiche dei dispositivi e con il quesito al quale si deve rispondere.

–  Risultati. Rispetto a ciascuno dei punti del quesito, è necessario illustrare che cosa le procedure di intervento messe in atto abbiano consentito di appurare.

–  Conclusioni. Riassumono sinteticamente i risultati più rilevanti, in relazione alle domande poste nel quesito.

•  Non siete voi il giudice, siete dei periti. Nel formulare le conclusioni, è opportuno mantenere una posizione neutra.

��

�


Riferimenti Utili

•  http://linuxleo.com

•  http://forensicswiki.org •  http://www.cfitaly.net

•  http://deftlinux.net •  http://caine-live.net •  http://santoku-linux.com

��

Documents

Informatica Forense...– Esaminare, con approccio forense, i dati raccolti, usando una combinazione di tecniche e strumenti sia automatici che manuali, identificando i dati di particolare