Domande, Commenti e Risposte
L'idea di questa pagina è venuta fuori da una necessità impellente: fornire delle risposte a domande molto simili che centinaia di studenti, esperti e visitatori di questo sito mi pongono sia per email che alla fine o durante le conferenze che svolgo.
Alcune delle domande che seguono sono state da me sintetizzate, altre sono state inviate direttamente da utenti del sito. In ogni caso sono state rese ad ampio spettro (per essere di maggiore interesse per tutti) e comunque sono sempre anonime.
Spero questa pagina aiuti più persone possibili a trovare delle piccole risposte in questo settore che, in massima umiltà, mi accingo a dare. E' mia ferma convinzione che in qualsiasi scienza le "mummie santificate" non debbano avere spazio e tutti devono poter essere messi in discussione (pubblica). Queste risposte (in realtà l'intero sito) sono il mezzo che vi fornisco per mettermi in discussione...
Numero di domande: 76
Data ultima modifica : 04 dicembre 2009
1) Domanda - AZIONI E STRUMENTI DEL RACIS
Il suo Reparto si occupa di ...? Usate lo strumento ... per fare ...? Nel caso X come mai avete fatto questo?...
Questo modello di domanda è indicativo di centinaia di richieste via email che mi arrivano su questo sito. Ribadisco che questo sito è personale e non attiene l'Arma dei Carabinieri, nè è da essa supervisionato e nemmeno è sotto la sua responsabilità. Va quindi da se che non posso qui dare informazioni su come il Reparto opera e tantomeno sugli strumenti che impiega.
A questo va aggiunto non fornisco nè informazioni, nè commenti di nessun tipo su casi investigativi in trattazione o archiviati/chiusi. Nel primo caso è palesemente illegale a meno di specifiche direttive della magistratura, mentre nel secondo rimetto esclusivamente all'Arma dei carabinieri la decisione sul fatto che io ne parli.
2) Domanda - LAVORO AL RACIS
Vorrei operare nel suo Reparto, come si viene assunti? che tipo di selezione bisogna superare, ecc.?
Anche questa domanda dovrebbe trovare esclusivamente risposta nel sito dell'Arma dei Carabinieri: http://www.carabinieri.it ma dato che soprattutto le richieste degli studenti neo-laureati è enorme fornisco alcune indicazioni generali che almeno possano sgombrare dei dubbi dalla mente. Riporto quindi indicazioni che si rilasciano comunemente nelle frequenti interviste pubbliche ai nostri militari.
Le informazioni di seguito elencate non sono necessariamente aggiornate e nemmeno hanno carattere di istituzionalità.
1) Il Raggruppamento Carabinieri Investigazioni Scientifiche possiede al suo interno il Reparto Tecnologie Informatiche che si compone di una Sezione Telematica che svolge indagini ed accertamenti tecnici nonchè di una Sezione Ricerca Scientifica.
2) Trattandosi di Reparti dell'Arma non si parla di assunzione ma di arruolamento. La differenza è che bisogna assumere lo status di militare con tutte le incombenze connesse. Non si tratta quindi di un impiego civile per cui la selezione può avvenire anche tramite semplice colloquio. Si deve entrare per concorso pubblico.
3) In particolare, nel RaCIS è possibile entrare da Ufficiale del ruolo tecnico (fisica, chimica, biologia, informatica, ecc.) superando uno specifico concorso annuale riservato a laureati.
4) E' possibile entrare, nel RaCIS, anche quale militare, di grado inferiore ad ufficiale, specialista di laboratorio superando un concorso interno cui segue un anno di corso di specializzazione nella specifica materia scientifica/forense per cui si è stati selezionati.
3) Domanda - ENFSI
Volevo sapere l' ENFSI (European network of Forensic Science Institutes) come prende il personale che ci lavora che tipo di selezione fanno? solo su concorso e tra personale dell'esercito? dove si trova? in quale stato? Grazie.
L'ENFSI (http://www.enfsi.org) è il network europeo dei laboratori forensi di Polizia, Militari e della Magistratura ed è composto di personale che già opera in detti laboratori nei vari paesi dell'EU. Rappresentanti degli Istituti scientifico forensi di polizia e giudiziari si riuniscono annualmente per procedere alle elezioni dei responsabili dei vari gruppi di lavoro (Chimica, Biologia, IT, ecc.). Questi, seppur mantenendo la loro attività nella nazione di competenza, dirigono le interazioni e gli esercizi collaborativi tra gli appartenenti dello stesso gruppo tramite una VPN. In definitiva l'ENFSI non ha personale assunto ma è piuttosto una struttura basata soprattutto sulla comunicazione digitale.
4) Domanda - OPEN SOURCE
Gentilissimo maggiore, vorrei avere il suo parere riguardante gli strumenti open source, precisamente quelli che riguardano il mondo Linux, in contesti di informatica forense; cosa ne pensa degli attuali strumenti software che gli sviluppatori mettono a disposizione e soprattutto cosa si può fare per migliorarne il contesto?
La polemica che affligge il mondo del Digital Forensics, soprattutto quello italiano, riguardo l'impiego di strumenti open source o commerciali non trova la mia approvazione. Ripeto quanto già espresso diverse volte in proposito sia durante le conferenze che in diverse lezioni:
(1) un esperto di computer forensics deve sempre avere (e saper impiegare) più di un tool (meglio se di natura e provenienza diverse) , sia per repertare (copiare) che per analizzare i dati, in quanto, per esperienza diretta, solo cambiando prontamente i tool si riescono a risolvere le situazioni anomale (con eccezioni) che poi sono le uniche a preoccuparci. Non attacchiamoci mai ad uno strumento che sia open source o meno. In questo settore la rigidità di impiego fa molto male. Un tecnico del forensics deve spesso impiegare più tool per poter confrontare i risultati dei suoi accertamenti tecnici perchè ognuno di essi ne può generare (spesso) di differenti.
(2) L'affidabilità di uno strumento non è basata sul fatto che sia open source o meno ma sui test ai quali è stato sottoposto ufficialmente. Si deve quindi sempre riferire al NIST e leggere i suoi report. Quelli sono risultati pubblicati a livello scientifico e sono un ottimo punto di riferimento che tutti hanno potuto vedere e discutere, anche esperti molto migliori di noi.
Gli strumenti open source legati al mondo Linux sono estremamente importanti ed alcuni di essi molto validi. Lo stesso dicasi per gli strumenti commerciali e per quelli riservati alle Forze di Polizia. Quello che è errato è invece chiudersi in uno solo di tali mondi ed escludere gli altri perchè si corre il rischio di fare errori clamorosi.
5) Domanda - REPERTO ORIGINALE
Buongiorno Maggiore, come da lei affermato vi è la possibilità che il reperto originale esaminato subisca alterazioni anche dopo un procedimento di copia forense condotto nel migliore dei modi (dato che spesso il reperto rimane "parcheggiato" in ambienti ostici per anni). A tal proposito mi chiedo se, per stabilire univocamente quale sia l'oggetto cui si deve far riferimento (in questo caso, la copia, visto che non è stata alterata), sono necessari particolari accorgimenti; per esempio, può bastare una trascrizione a verbale degli hash dell'originale e della copia fatta al momento del repertamento degli stessi?
Sono necessari particolari accorgimenti tecnici per rendere la copia estremamente affidabile. Tale argomento è trattato in dettaglio nella lezione di Computer Forensics. In sintesi, le garanzie da predisporre sono almeno le seguenti:
(a) tool e procedimento di copia con abbondanza di controlli-errore e di logging (hash a blocchi e finale, una metodologia di skipping definita a priori per i settori danneggiati e/o per le informazioni mancanti, ecc.);
(b) repository di destinazione della copia di natura altamente affidabile o comunque ridondato secondo parametri di affidabilità certificati e misurabili;
(c) conservazione del repository garantita ma meccanismi di protezione contro campi elettromagnetici, umidità, azioni meccaniche, ecc.
Dal punto di vista legale la trascrizione dell'hash sul verbale è una parte minima delle garanzie ma sicuramente indispensabile. Può essere valido l'inserimento del LOG approfondito delle attività di copia in allegato ed infine il massimo delle garanzie si può determinare effettuando la copia in presenza della controparte e depositando poi uno dei cloni come nuovo reperto presso i competenti uffici (svolgendo di fatto la copia come accertamento irripetibile).
6) Domanda - COMPUTER DI BORDO
Mentre rileggevo le lezioni online, che avevo già ascoltato quando ha fatto lezione all'università, mi chiedevo, visto che oramai, anche sulle autovetture di ultima generazione vengono montati dei veri e propri computers di bordo, così come anche su alcune moto, questi, possono esserci utili in ambito di indagini su degli automezzi usati per fatti criminosi oppure anche solo coinvolti in incidenti con conseguenze mortali, così da poter venire a conoscenza di alcuni dati quali ad es. la velocità, brusche frenate, condizioni climatiche o quantaltro, magari rimasto registrato in qualche memoria di massa o flash memory all'interno dei computers, e che valenza avrebbero in ambito processuale. Grazie
In Italia, le notizie che ho su indagini tecniche inerenti computer di bordo di autovetture rigaurdano casi molto rari al momento. Molto più frequente è l'indagine sui GPS e altri dispositivi elettronici tipicamente mantenuti a bordo.
In diverse altre nazioni europee, invece, esiste un preciso settore del digital forensics che si occupa del repertamento ed analisi delle "scatole nere" sia in ambito ferroviario che automobilistico in quanto esistono specifici obblighi per auto o autobus, treni, ecc. nel detenere attivo al loro interno un apparato protetto di "logging" di diverse tipologie di attività. In tal caso la rilevanza di tali strumenti nell'ambito ad esempio di incidenti o furti è notevole.
7) Domanda - STEALTH-PHONE
Buonasera Maggiore, il quesito che le pongo e': come risolvere le problematiche di intercettazione e radiolocalizzazione di un telefono cellulare non rintracciabile tipo STEALTH-PHONE? Grazie.
Non mi occupo direttamente ed intensivamente di intercettazione su stealth-phone, questo è più argomento del Reparto Tecnico del ROS, ad ogni modo una risposta approssimativa è che senza accedere direttamente all'hardware del cellulare l'intercettazione è praticamente impossibile.
8) Domanda - CELLULARI CIFRANTI
Una mia curiosità in merito alle intercettazioni sui cellulari. Esistono delle società che offrono dei telefoni cellulari c.d. "cifranti", per conversazioni sicure da intecettazioni (vds per esempio www.lineasicura.com), mi chiedo, se veramente questi terminali siano sicuri da possibili intercettazioni da parte dell'AG. Grazie per la risposta che vorrà fornirmi in merito.
Nulla di preciso voglio riferire sull'URL fornito ma in generale si può asserire che esistono dei cellulari in commercio che possono rendere praticamente impossibile l'intercettazione.
9) Domanda - CONVENZIONE DI BUDAPEST
Buongiorno Maggiore, colgo l'occasione per fare una considerazione e porle una domanda: il recepimento della Convenzione di Budapest da parte dello Stato italiano e la relativa conversione in legge, "dovrebbe modificare" tra gli altri, anche gli artt. 352 e 354 c.p.p. che in sostanza danno facoltà agli Ufficiali di P.G. di procedere, in flagranza di reato, alla "perquisizione" dei sistemi informatici (quindi anche telefoni cellulari e smartphone), e negli accertamenti urgenti obbligano alla conservazione dei dati e dove possibile, a procedere alla duplicazione. Fatte salve le esigenze investigative immediate che probabilmente possono trarre vantaggio da queste norme, non pensa che nell'economia del procedimento penale queste norme porteranno ad un peggioramento delle fonti di prova digitali dato dalla naturale "alterazione" dei supporti che verranno analizzati e quindi manipolati sempre più frequentemente nell'immediatezza del reato?
La questione da lei attenzionata è di estrema importanza per le Forze di Polizia e presto, quindi, mi verrà chiesto di analizzarla in dettaglio per il suo impatto nell'Arma. Ad ogni modo vengo al sodo della domanda, ossia se ci sarà un peggioramento delle fonti di prova. La risposta in linea di massima è si. Ciò nonostante considero il recepimento della convenzione come un atto di sicuro progresso. Mi spiego, sebbene inizialmente sotto la voce accertamenti urgenti informatici verrà incanalato di tutto per una questione di praticità e TUTTI si improvviseranno esperti nel settore, gli errori che ne conseguiranno porranno all'attenzione massima di tutti l'importanza di preparare le Forze di Polizia ed i consulenti nel settore del digital forensics e quindi aumenteranno gli investimenti in questa direzione e tutti ne guadagneranno.
10) Commento - CELL PHONE FORENSICS
Segnalo il "Report on Computer System Technology - NIST - NISTIR 7250" in cui vengono dettagliatamente descritti i "Cell Phone Forensic Tools"
Rif. R.Ayers, W.Jansen, N.Cilleros, R.Daniellou, (Ott. 2005), “Computer Security – Cell Phone Forensic Tools: an overview and analysis”, NISTIR 7250, Computer Security Division, IT Laboratory, NIST, Gaithersburg, MD 20988-8930 - http://csrc.nist.gov/publications/nistir/nistir-7250.pdf
11) Domanda - CLONAZIONE CELLULARE
Buongiorno Maggiore, in merito alla clonazione dell'IMEI del telefono cellulare e del numero identificativo, quali metodi di indagine e tool vengono impiegati per l'identificazione dei due o più terminali? In terminali uguali come modello, rom, ecc.., ad esempio due smartphone, è possibile la clonazione l'uno con l'altro? Ed in fase di intercettazioni, quali linee guida si devono osservare? grazie
E' bene differenziare tra terminale radiomobile e SIM ricordando che è la combinazione dei due sistemi ad essere identificata sulla rete cellulare.
Se si ipotizzano due terminali che possano essere il risultato di una perfetta clonazione (è possibile anche per due smartphone) con SIM diverse saranno quindi distinguibili una volta connessi. Il provider di servizi telefonici interessato, qualora entrambi i telefoni sono connessi, potrebbe svolgere una particolare query ai suoi data base per rilevare tale anomalia.
Se si ipotizzano invece terminali e SIM perfettamente identici, anche se con qualche problema, si realizza una sovrapposizione nelle trasmissione e quindi una sorta di intercettazione molto grezza.
In fase di intercettazione (sebbene ripeto questo non sia il mio settore dominante) si può porre sotto controllo, dal punto di vista teorico, sia il terminale radiomobile che la SIM ma i costi e le difficoltà per l'operatore sono differenti.
12) Domanda - ANALISI DI CELLULARE
Gentile Maggiore, nel momento in cui si decide di compiere l’analisi su un cellulare bisogna informare il giudice? Bisogna comunicarlo alla persona offesa e/o il perito di parte? Se al momento del sequestro vi è la persona offesa, il suo difensore e un perito di parte e questi chiedono una copia dell’eventuale “contenuto” del dispositivo sottoposto a sequestro, si può dare? E nel caso affermativo come si potrebbe procedere per evitare di alterare lo “stato del sistema”? Cordiali Saluti
Queste domande afferiscono in massima parte al codice di procedura penale. Vedrò di rispondere come un esperto di digital forensics e non come un esperto legale.
L'analisi di un telefono cellulare, quale attività tecnica approfondita, compiuta con mezzi specifici, può essere realizzata solo con la necessaria autorizzazione della magistratura. Ciò nell'ipotesi fondamentale che l'oggetto dell'analisi contenga dati che debbano essere impiegati in dibattimento come fonti di prova. Dal punto di vista investigativo, ossia se i dati sono necessari solo per proseguire le indagini il fatto cambia.
La comunicazione alle parti va fatta se si procede con un accertamento non ripetibile per cui bisogna averne contezza e prima di procedere in qualsiasi modo darne chiaro riscontro al magistrato che opera il quale deciderà di conseguenza.
Nello stesso modo solo il magistrato che dispone la copia può decidere di concederne ad una alle parti e questo ha senso, le basti pensare che concedendo una copia dei dati alla contro-parte (ad esempio) lei potrebbe restituirgli dei dati utili a proseguire un reato.
Alla domanda come evitare di alterare lo stato del sistema rispondo dicendo che ci sono specialisti, mezzi e procedure per svolgere correttamente le attività del mobile forensics. Ne dobbiamo essere avveduti.
13) Domanda - TULP2G
Buongiorno Maggiore, cosa pensa del software OpenSource TULP2G per esaminare le SIM? Le chiedo questo perchè mi sembra un software abbastanza interessante senza dover passare a licenze proprietarie.
Un prodotto che ho avuto occasione di seguire direttamente in Olanda dalla sua nascita nel Netherlands Forensic Institute. Rif. http://www.forensics.nl e Paper. Per quanto a mia conoscenza è uno dei più impiegati sia dalle Forze di Polizia.
14) Domanda - SOFTWARE "SPIA" NEI CELL.
Gentile Maggiore, volevo sapere se secondo lei è vero che è estremamente difficile capire se un telefono è stato attivato un software spia, ormai piuttosto frequenti vista la diffusione della vendita su internet..
Se parliamo di software spia su mobile dobbiamo necessariamente parlare di smartphone. Bisogna considerare un smartphone come un personal computer perennemente connesso via rete. Chi, ormai, terrebbe il proprio PC connesso ad Internet senza antivirus e firewall attivi? Qualcuno forse ancora lo fa ma ne paga pesanti conseguenze in brevi periodi.
Bisogna quindi sapere quali processi sono attivi sul proprio smartphone, lo stato delle sue connessioni - IrDA - Wi-Fi / Wi-Max - Bluetooth, fare attenzione ai file che si scambiano ed ai software che si installano e magari analizzare il traffico dati in ingresso/uscita per verificare delle anomalie.
In definitiva la risposta alla sua domanda è che non è semplice. Esistono software installabili sia su PC che su cell che lasciano visibilità e traccia della loro attività praticamente irrilevanti anche agli "occhi" di parecchi software di protezione. A questo va aggiunto che la loro installazione può bypassare molto facilmente la volontà dell'utente.
15) Domanda - NOKIA PC SUITE PER ANALISI
Gentile Maggiore, si è tanto parlato sul modo di recuperare gli sms dagli apparati radiomobili Nokia con sistemi Symbian, utilizzando semplicemente il software Nokia Pc Suite. Questo sistema di recupero non comporta nessuna modifica hardware e software del dispositivo. A me questo sistema di recupero non sembra sia voluto (nei dispositivi Sony Ericsson con sistema Symbian questa operazione è impossibile) ma piuttosto un bug . Quindi vorrei sapere se è legale presentare come fonte di prova un recupero di sms sui dispositivi Nokia fatto con questo sistema. Grazie
Sfortunatamente la Nokia PC Suite è invasiva all'atto della connessione tra PC e cellulare, per cui definire che non comporta modifiche hardware/software del dispositivo è inesatto.
La domanda comunque è di natura più generica e si rivolge alla possibilità di avere una fonte di prova costituita dallo sfruttamento di un bug che porti poi in dibattimento ad una prova accettata ed impiegata. La risposta purtroppo è SI, non sempre fortunatamente, ma è possibile. Nello specifico per due ordini di motivi:
(a) spesso in dibattimento non si capisce cos'è un "bug" software...,
(b) il vero ed il falso in dibattimento è frutto del contraddittorio e quindi se la controparte accetta l'impiego della Nokia PC suite a livello forense o non la discute perchè magari ignara dei suoi problemi il gioco è fatto.
16) Domanda - PROT. DI REPERTAMENTO
Esiste un protocollo di repertamento informatico standard e accettato da tutte le forze di polizia? Fino a che punto il protocollo di intesa sulle procedure del repertamento di un crimine informatico non collidono successivamente in dibattimento davanti al giudice ?
Non esiste ad oggi un protocollo per il repertamento informatico accettato come tale e quindi un regolamento per tutte le FFPP.
Certo le "collisioni" tra azioni di repertamento e loro conformità in fase di didattimento esistono e sono sempre esistite (purtroppo - o meno sono una delle vie di fuga o attacco più impiegate dagli avvocati difensori. Giustamente attaccano quella che considerano una debolezza (quando la incontrano) ossia la mancanza di preparazione dovuta all'assenza di standardizzazione nelle procedure.
17) Domanda - PROT. DI REPERTAMENTO CC
Immaginando che il "protocollo di repertamento informatico sulla scena del crimine per personale dell'Arma dei Carabinieri" sia secretato o la cui disponibilità sia limitata ai soli apparteneti di FF.PP., sarebbe interessante discutere le basi/esperienze sulle quali si è strutturato.
Il citato protocollo è in fase di bozza ed ancora non approvato dal Comando Generale dell'Arma. Ha ragione nel dire che i documenti ufficiali dell'Arma sono di impiego ristretto al personale dell'Arma e/o di altre Forze di Polizia o Magistratura a seconda delle specifiche decisioni sempre del C.do G.le.. In ogni caso, una delle lezioni nell'area didattica è inerente esclusivamente il repertamento High Tech sulla scena del crimine, il tutto a livello accademico e tenendo fuori le parti specifiche che afferiscono esclusivamente gli aspetti militari e di polizia. Ad ogni modo le linee guida della lezione saranno fortemente inerenti il protocollo in parola e sarà possibile discuterne ampiamente come accade per le lezioni già esistenti. La libera discussione è alla base delle crescita di tutti: questo stesso principio ispira la mia faticosa creazione di questo sito e dell'area didattica...
Riguardo le fonti per la realizzazione del protocollo sono soprattutto FBI, ENFSI (gruppo di tutti i gabinetti di polizia scientifica d'Europa) e IOCE. Il tutto contestualizzato alla mia esperienza ed a quella di diversi altri tecnici forensi di livello nazionale ed internazionale con i quali sono in continuo contatto. Nella lezione sul repertamento le fonti saranno citate (quando possibile).
18) Domanda - SULLA SCENA DEL CRIMINE
La Forza di Polizia sulla scena del crimine ritengo sia uno dei primi aspetti che sarebbe utilissimo affrontare con precisione attraverso non solo guide linea ma anche eventi di formazioni al personale. Ovviamente questo mio commento non è riferito alle FF.PP. che hanno una formazione specifica in questo campo, ma a tutti quegli operatori che si trovano ad intervenire in un primo o secondo momento sulla scena del crimine di tutte quelle indagini per cui, l'intervento di addetti competenti non sia previsto.
Questa domanda può essere allargata a due punti chiave: (1) la formazione e l'aggiornamento del personale di polizia non specialista in ambiti di polizia scientifica o quanto meno di sopralluogo e repertamento sulla scena del crimine, (2) la disponibilità di tool che possano essere di ausilio nel primo intervento.
Tutto questo costa enormemente in termini economici, di tempo e di impiego del personale. Tutte le FFPP italiane cercano di restare al passo in questa corsa verso la scienza forense ma è veramente complicato. Diversi risultati sono stati ottenuti con la creazione di corsi specifici ma per farle capire l'entità del problema, contestualizzando all'Arma si hanno oltre 100.000 militari da gestire, anche ammettendo di formarne in maniera continuativa il 10% si avrebbe un onere in termini di risorse varie enorme.
Per chiudere la risposta è bene gettare uno sguardo alle FFPP oltre la realtà europea (non troppo dissimile da quella italiana). In Giappone, ad esempio, l'idea che al primo intervento sia un non specialista ad intervenire sui dispositivi digitali è considerata un'aberrazione. Esistono squadre di pronto intervento specialistico in vari settori della scientifica che operano con una capillarità enorme sul territorio. Il Giappone, quindi, ha investito sul potenziamento delle squadre piuttosto che sulla preparazione del comune personale di polizia (il quale comunque riceve un addestramento di base all'intervento). Questo ha un senso se contestualizzato alla dimensione del territorio considerato ed alla sua conformazione nonchè alla distribuzione delle persone su di esso.
19) Domanda - PROT. PER LE AZIENDE
Anche se spesso non accade, nelle aziende dovrebbe sempre essere presente un protocollo di primo intervento per incidenti informatici inerenti la criticità dei sistemi e/o la loro sicurezza. Tale protocollo è determinato dalle aziende in base a delle direttive particolari esterne, concordate magari con le forze dell'ordine, oppure è stabilito in seno all'azienda stessa in base alla sua politica lavorativa?
Il protocollo in questione è interno all'azienda e non necessariamente deve essere concordato con le Forze di Polizia, con degli Enti governativi e/o con dei centri di ricerca nel settore. Talvolta accade, ma solo a seguito della buona volontà ed ottima preparazione del responsabile per la sicurezzza (oppure perchè in passato apparteneva, caso non infrequente, alle Forze di Polizia).
20) Domanda - DIGITAL FORENSICS
Quale potrebbe essere la traduzione più corretta (e se mai ce ne fosse realmente bisogno) di "Digital Forensics"? C'è qualcuno ha già sviluppato una tassonomia della materia in italiano? Si sente infatti sempre più spesso parlare di Informatica forense, legale per riferirsi alla Df. Qualche volta anche di giudiziaria.
Il termine informatica forense introdotto in Italia a seguito della necessità di tradurre il termine Forensic Computing, non è sicuramente adatto ad indicare il Digital Forensics, sia per la vastità dei sub-settori di questa materia (in cui l'informatica è solo una parte e l'elettronica digitale è altresì determinante - cfr la lezione introduttiva al digital forensics dell''area didattica) che per la similitudine del termine ad informatica legale assolutamente fuorviante.
Il "digital forensics" è lo studio dei crimini ad alta tecnologia mediante sistemi digitali e come tale una materia della criminalistica ossia della scientifica investigativa, area ampiamente riconosciuta e studiata a livello accademico. Criminalistica, criminologia e diritto sono tre elementi che hanno molte intersezioni ma non coincidono affatto.
Per quanto a mia conoscenza non so di una tassonomia ufficiale italiana che includa una traduzione del termine "digital forensics". Dal mio punto di vista la traduzione non è necessaria.
21) Domanda - EMBEDDED SYS. FORENSICS
Secondo lei è possibile applicare delle analisi forensi anche ai moderni apparati televisivi o videoregistratori DVD da tavolo? Credo che i più recenti apparecchi siano dotati di memorie oltre che di appositi firmware e quant'altro.
La risposta è in linea di massima si. Lei si sta riferendo all'Embedded System Forensics in cui si opera su videocamere, sistemi di registrazione e videocontrollo, ecc.. Può far riferimento alla lezione introduttiva sul Digital Forensics nell'area didattica in cui vengono presentati quasi tutti i settori di studio di questa materia.
22) Domanda - HARD DISK PROTETTO
Si supponga che un hard disk, corpo di reato oggetto dell'indagine, sia stato sequestrato e sottoposto all'attenzione del Consulente Tecnico del PM senza che il magistrato avesse alcuna consapevolezza che l'hard disk in questione fosse protetto da una password hardware-based. Supponendo di riuscire ad ottenere la Master Password da parte del costruttore, si può procedere direttamente con l'inserimento della password? oppure sara' necessario l'incidente probatorio per abbattere tale protezione e poi proseguire negli accertamenti tecnici?
L'inserimento della password per l'apertura dell'hard disk è un'operazione non ripetibile per cui deve essere svolta con le garanzie di cui al 360 CPP ed in presenza delle parti processuali con i previsti avvisi. Fanno eccezioni le previste situazioni in cui ci si può appellare al concetto di "accertamento urgente" (pericolo di repentina dispersione delle fonti di prova).
23) Domanda - SERVER ALL'ESTERO
Come ci si deve comportare se gli accertamenti tecnici riguardano dati rilevanti che risiedono su server fisicamente allocati all'estero?
Come indicato nella lezione di Network Forensics, se i dati da repertare o i rispettivi server sono all'estero prima si chiede collaborazione al provider straniero e poi, se questi si appella alla estraneità rispetto alla legge italiana si deve interpellare il magistrato competente affinchè avvi una rogatoria internazionale, ossia una procedura in cui le magistrature dei due paesi dovranno trovare un accordo (non scontato) per collaborare nella soluzione di un caso.
E' poi possibile anche riferirsi ad organi internazionali o accordi inter forza di polizia per accelerare le procedure legali ed investigative (es. Europol).
24) Domanda - SCENA DEL CRIMINE
Esiste un modo per essere sicuri di aver individuato per bene tutti gli elementi di interesse (reperti) sulla scena del crimine?
In primo luogo la procedura di repertamento ed un gruppo di lavoro scientifico permanente che si occupi di aggiornarla e verificarla praticamente ad ogni caso investigativo sono elementi essenziali ai fini della domanda.
In linea generale bisogna poi dire che un sopralluogo perfetto, nel senso di prelevare sicuramente tutto ciò che è di interesse, in assoluto non esiste. Devono inceve esistere sopralluoghi in cui si evitano errori di repertamento.
Alcune informazioni investigative, infatti possono essere ottenute dopo un primo sopralluogo, magari a seguito di assunzione di informazioni dettagliate, approfondimenti o di accertamenti scientifici di cui sono già noti i risultati. In base a questa nuova conoscenza possono essere pensati nuovi schemi di repertamento e quindi possono risultare necessari nuovi sopralluoghi.
25) Domanda - POTERI DEL CT
Ammesso che il consulente tecnico del PM non sia un appartenente alle Forze di Polizia, fino a che punto si può spingere nell'acquisizione dei dati da un sistema che è il target dell'indagine? Non è limitato dalla legge sulla privacy?
I poteri del CT sono quelli dell'organo che lo incarica, quindi della magistratura. Se ad esempio il CT è del Pubblico Ministero che segue le indagini questi, in determinate condizioni potrebbe far presente al PM che necessita di tutti i dati presenti nella banca dati del maintainer e, se il PM autorizza per iscritto, tale insieme di informazioni personali può essere prelevata dal CT ed impiegata per le analisi. Alla domanda spontanea: e se non tutti tali dati sono inerenti il caso? In teoria dovrebbero essere prelevati solo i dati strettamente inerenti ma, nella realtà di tutti i giorni, la risposta è che il CT può comunque vedere tutto e la cosa passa in sordina a meno di denunce specifiche avverse... in ogni caso il CT è tenuto al più stretto riserbo riguardo i dati delle indagini e rischia non poco professionalmente e penalmente violando tale vincolo.
26) Domanda - LIMITI DELLA FUN. DI HASH
Ammesso di aver ottenuto la copia bit a bit (immagine binaria) di un supporto oggetto di indagine è ormai prassi convalidarla con dei programmi di hash. Questi algoritmi di validazione sono realmente sicuri? Visto che prima o poi sono destinati a cadere... grazie
Per rispondere alla domanda rimando a: http://www.marcomattiucci.it/md5.php
27) Domanda - UNA SITUAZIONE
Nella copia fisica di basso livello (bitstream copy) di un disco rigido, realizzata con i tools di Helix e compressa con gzip, contrassegnata in modo inequivocabile con firma hash md5, l'utilizzo del tool gzrecover che consente di ricostruire l'immagine del disco in caso di errore durante la fase di unzip può essere considerato valido ai fini probatori?
La domanda dovrebbe innanzitutto essere modificata in "si discute o meno in dibattimento una fonte di prova realizzata in questo modo?", ricordiamo infatti che il nostro approccio italiano, diversamente da quello anglosassone, non riconosce le prove digitali ma fonti di prova in generale che poi, discusse in dibattimento divengono prove vere e proprie (i legali che leggono mi scuseranno ma la mia semplificazione della procedura è soprattutto orientata ai tecnici). In definitiva (ed accade spesso...) anche presentando in dibattimento qualcosa di tecnicamente inadeguato, che però nessuno mette in discussione, si ottengono buone fonti di prova (quando per la prima volta capii questo, dato il mio background da ingegnere, feci fatica a non ridere...).
Isoliamo per un attimo i passi dell'attività che mi ha proposto:
(1) Acquisizione della memoria di massa, che ipotizziamo corretta, su un file (plain non compresso) che chiameremo IMAGE.DD;
(2) calcolo dell'hash, che ammettiamo affidabile, su IMAGE.DD nel file testo IMAGE.DD.MD5;
(3) calcolo dell'hash, della fonte (device), su DEVICE.MD5;
(4) verifica della coincidenza tra il contenuto di IMAGE.DD.MD5 e DEVICE.MD5;
(5) compressione con gzip ad ottenere IMAGE.DD.GZIP
Ammettiamo quindi che decomprimendo IMAGE.DD.GZIP si verifichino dei problemi e che gzrecover ci aiuti a recuperare IMAGE.DD.REC basta verificare che l'hash di IMAGE.DD.REC sia identico a quello in DEVICE.MD5 e IMAGE.DD.MD5 e tutto è perfettamente inappuntabile.
Se nel processo ha invece calcolato l'hash solo del file compresso IMAGE.DD.GZIP è ovviamente nei guai a meno che non abbia ancora a disposizione il reperto originale per effettuare una nuova acquisizione e comparazione con quanto in IMAGE.DD.REC.
In definitiva le acquisizioni forensi non vanno mai fatte direttamente in forma compressa. Il principio è che un repertamento dati è tanto meno appuntabile quanto più diretti e privi di elaborazioni intermedie sono le copie. La compressione è una forma di elaborazione notevole delle informazioni. Sicuramente è molto utile in diverse circostanze ma le informazioni caratterizzati la copia vanno prese fuori da essa.
28) Domanda - COSA ANALIZZARE?
Buonasera Maggiore, quando lei descrive le procedure del digital forensics, giustamente consiglia di analizzare alcuni reperti (la classica chiavetta USB nelle tasche di un indagato) prima degli HD del suo PC. in merito, a parere dello scrivente, non escluderei di analizzare gli HD presenti nelle stampanti o scanner di rete, è un buon posto per occultare file.
Aderisco al commento ed unitamente a stampanti e scanner di rete suggerisco di verificare macchine fotografiche digitali, videocamere, ecc.
29) Commento - SEQUESTRARE ANCHE...
1. Nel momento che si effettua il sopralluogo non è importante sequestrare anche foglietti di carta e/o agende, per analizzarli con tranquillità, al fine di trovare non solo password, ma anche lettere e numeri che visti così non significherebbero nulla, ma in seguito potrebbero svelare dei meccanismi di cifratura tra due persone?
2. Nel verbale di sopralluogo non conviene anche descrivere la presenza di libri e/o riviste di informatica, specie se queste sono di carattere: hacking, ecc.., al fine di poter aiutare chi di competenza ad evidenziare il profilo del “soggetto”?
Aderisco al commento.
30) Domanda - FORZE DI POLIZIA E CTU
Gentile Maggiore, le vorrei chiedere dove finisce il lavoro delle Forze di Polizia e inizia quello dei periti o CTU? E' possibile lavorare anche contemporaneamente?
Bisogna considerare che Forze di Polizia e consulenti privati lavorano spesso insieme su ordine dell'autorità giudiziaria. In generale sono le Forze di Polizia ad intervenire per prime sul luogo del crimine e poi, su richiesta del PM, il consulente tecnico e talvolta il criminologo (inteso come specialista della scena del crimine e della psicologia criminale).
31) Domanda - LA PROCEDURA E LA PG
Come ci si comporta quando è la PG che consegna al perito o consulente un computer non sigillato e in più evidentemente più volte avviato ed impiegato alla ricerca di informazioni? Ha senso a questo punto seguire la prassi (MD5, copia bit-a-bit, verifica hash...)?
Il perito ha il dovere di rispondere all'incarico per il quale è stato chiamato garantendo la qualità delle attività che svolge a prescindere da ciò che è precedentemente accaduto al reperto e da qualsiasi altra considerazione.
La copia bitstream e la verifica dell'hash hanno lo scopo di avvalorare l'affidabilità e la ripetibilità dell'accertamento tecnico e quindi vanno impiegate a meno di specifiche controindicazioni tecniche. Se sono stati compiuti accessi di natura non corretta sarà verificato in fase di analisi e chi ne ha la responsabilità sarà chiamato a risponderne.
La giusta procedura, in questo caso, non garantisce la Polizia Giudiziaria operante ma piuttosto il consulente o perito, il quale può dare assicurazione sul corretto andamento delle attività tecniche solo dal momento che la catena di custodia testimonia la sua presa di possesso dei reperti.
32) Domanda - GHOST
Maggiore, uno strumento come Norton Ghost, normalmente impiegato in ambito aziendale per attività di backup può essere usato per creare immagini di supporti o partizioni in ambito di computer forensics? Grazie Cordiali Saluti.
Domanda interessante e ricorrente. A partire dal 2002 il software Ghost ha introdotto delle funzionalità dichiarate "forensics" dalla casa madre che si limitano sostanzialmente ad una copia di basso livello. In definitiva è quindi possibile (scegliendo accuratamente le opzioni del prodotto) impiegarlo per prelevare immagini di memorie di massa bitstream. Il problema sorge poi nell'analisi in quanto tali immagini devono essere convertite in altri formati per essere impiegabili dai comuni software forensi disponibili.
Massima attenzione alla funzionalità di restore delle immagini di Ghost perchè il software opera diversi riaggiustamenti sulla memoria destinataria per cui pensare di operare un restore per poi procedere ad un'analisi forense completa è sostanzialmente scorretto. Lo si può usare, invece, per visionare i file e le cartelle normalmente disponibili all'utente.
33) Domanda - PRIVACY & EMAIL
Io lavoro quale responsabile di un mail server per una ditta di telecomunicazioni. Che tipo di agreement la mia ditta dovrebbe stipulare con gli utenti e come posso tutelarmi nei confronti della gestione di tali dati? Nelle more di avere maggiori informazioni ho posto una password a protezione degli accessi ma temo che sia poco
Un Mail-Server di una ditta di telecomunicazioni tratta inequivocabilmente dati personali rilevanti di migliaia di utenti. In conformità alla legge sulla privacy, tale repository di dati, a tutti gli effetti una banca dati di medie dimensioni, deve avere un responsabile ufficiale per la gestione, protezione ed estrazione delle informazioni. Dovrebbe essere redatto, inoltre, un documento specifico che ne regoli tali attività e che ne descriva le misure di protezione fisiche (accesso ai luoghi, distribuzione dei privilegi di accesso ai luoghi, logging degli accessi fisici, ecc.), nonchè quelle"virtuali" (sistema di crittazione dell'archivio delle caselle, tipo di algoritmo, distribuzione delle chiavi, possibilità di accesso e modifica da parte degli utenti, logging, ecc.). Tale documento per la privacy dei dati rimane inutilizzato e non controllato fino a quando non accade qualcosa di anomalo. Quando l'eventuale "guaio" accade viene richiesto e poi si cercano i responsabili... La sua idea di proteggere con una password i dati è segno di buona volontà ma ci vuole ben altro per cui le consiglio, con lettera scritta / raccomandata, di richiedere ai suoi dirigenti di applicare avvalendosi di un avvocato competente, le misure richieste per la privacy degli archivi elettronici. In questo modo, qualsiasi problema dovesse presentarsi potrà impiegare tale foglio ad eventuale discolpa (ma in genere tali fogli sortiscono l'effetto di far realizzare molto in fretta quanto necessario...).
34) Domanda - ATTENDIBILITA' DELLE MEMORIE
Come posso essere sicuro che una memoria di massa sia attendibile? e se non lo sono come può essere veramente ripetibile l'accertamento tecnico che su di esse si esplica?
Una domanda molto interessante perchè l'argomento "attendibilità" delle memorie è centrale e scottante nel Computer Forensics.
Facciamo una prima ipotesi considerando l'attendibilità della memoria che ospita il reperto dati.
Quello che è certo è che nè prima nè durante l'impiego di tale memoria di massa a scopo forense si può essere sicuri che non si determinino errori fisici o danneggiamenti nella stessa.
Si può però ovviare considerando non l'attendibilità dell'intera memoria fisica quanto esclusivamente di quella impiegata (logicamente) per ospitare il reperto dati (la copia). In definitiva, se anche la memoria ospitante il reperto fosse soggetta ad errori fisici ma il sistema che la gestisce ne permette l'individuazione e la trattazione nonchè la possibilità di verificare se il reperto è interessato o meno, la situazione è risolta.
Questo può avvenire, ad esempio, con particolari sistemi RAID.
Seconda ipotesi è quella di considerare l'attendibilità del reperto fisico, ossia, ad esempio dell'hard disk che si va a repertare.
In questo caso ci si affida ai segnali del controller della memoria di massa per sapere se ci sono errori o meno durante le attività di lettura (copia o hashing) ed in tal caso l'unica possibilità che si ha è segnalarli nell'apposito verbale.
Terza ipotesi, la ripetizione delle attività di copia dopo molti anni di giacenza del reperto nell'archivio corpi di reato. In tal caso è data continua evidenza sperimentale che di errori fisici se ne presentano molti e spesso l'operazione non si riesce a completarla.
La ripetibilità, quindi, andrebbe più spesso riferita all'analisi di una copia certificata che all'intera procedura di repertamento ed analisi...
35) Domanda - RIPETIBILITA' DELL'ANALISI
Concordando che la ripetibilità è riferita all'analisi della copia certificata (domanda precedente), quest'ultima non è garantita dal fatto che l'originale viene salvaguardato e quindi è possibile estrarre un ulteriore copia per l'analisi in qualsiasi momento?
Mi piacerebbe che fosse possibile ma purtroppo non posso che ripetere quanto scritto sopra: la ripetibilità basata sull'esistenza e mantenimento del reperto originale è sempre meno vera. Il tempo di mantenimento dei reperti in Procura è immenso rispetto al tempo di vita medio di un normale hard disk (dai 3 ai 5 anni medi), spesso in condizioni poco adatte alla "sopravvivenza" della memoria digitale...
36) Domanda - UN CASO ANOMALO
Se in fase di verifica dell'hash della device originale del reperto si ottiene un valore diverso da quello che certifica la bontà della copia analizzata (fatto che potrebbe giustificare una qualche alterazione dei contenuti o più semplicemente del supporto fisico originale) come comportarsi nella ovvia ipotesi di buona fede...?
Casi di questo tipo purtroppo non sono rari. Gli elementi che mi ha dato non sono completi per rispondere esaustivamente alla domanda, ma proverò ad ipotizzare una situazione di validità generale, anche per rendere la questione di natura più accademica ed utile a tutti i visitatori del sito.
Ipotizzo che un consulente tecnico (CT) del PM abbia repertato i dati dell'hard disk di un reperto (R) lavorando poi sull'immagine così ottenuta (IMAGE.CT.DD) e rilevando delle informazioni di interesse per le indagini. Dopo X mesi, il Giudice incaricato potrebbe aver richiesto una perizia sempre su R. Il perito del Giudice (PER) preso R dall'ufficio corpi di reato ed effettuata l'acquisizione ottiene la nuova immagine IMAGE.PER.DD e confrontandone l'hash con quello fornito dal CT (scritto nella relazione tecnica del CT) si accorge che è differente.
Il PER dovrà asserire per iscritto che l'immagine svolta dal CT (IMAGE.CT.DD) risulta non perfettamente corrispondente a quella da lui rilevata su R (IMAGE.PER.DD). Se, a questo punto, il CT aveva depositato IMAGE.CT.DD presso la Procura il PER potrà procedere a confrontare direttamente i due file immagine e verificare l'entità della diversità. A seconda del risultato (di cui dovrà sempre dare atto per iscritto) potrà procedere a nuove analisi. Se invece IMAGE.CT.DD non è disponibile tutti i risultati del CT potrebbero, in linea di principio, essere messi in discussione.
37) Domanda - FILE SYSTEM PER DF
Salve Maggiore,
secondo Lei quale potrebbe essere attualmente il filesystem più adeguato per contenere immagini di supporti clonati? NTFS, Ext2/3, ReiserFS, HFS+ Cordialmente
Come si può leggere nelle lezioni, per mantenere immagini di supporti clonati è necessario avere a disposizione articolate memorie di massa ad alta affidabilità e la scelta del file system poi diviene un passo successivo.
Bisogna quindi suddividere la risposta in almeno due parti:
(1) Qualora si intenda scaricare l'immagine come file su un singolo hard disk locale, agendo in economia e cercando di vedersi garantiti al massimo dalle alterazioni casuali la soluzione a mio avviso migliore è Ext3 in quanto alla possibilità di capire come il file system funzioni data l'apertura della sua documentazione ed in quanto anche alla positiva esperienza nel suo impiego sul campo per grandi file. Rimangono le avvertenze di avere a disposizione sempre l'hash di controllo e possibilmente di evitare di distribuire l'immagine su un unico file di dimensioni immense.
(2) Avendo a disposizione un budget economico discreto bisogna optare almeno per un RAID 5 (o soluzioni ancora più affidabili e costose) ridondato (macchina raddoppiata) dotato di sistema di gestione del versioning di basso livello ossia di un driver che, ad esaurimento dello spazio, memorizza tutte le versioni di qualsiasi file definendone così uno storico effettivo ed anche un LOG di fatto.
38) Domanda - HASH DA IMPIEGARE
Visto che esiste una normativa italiana sul documento informatico, che prevede si debbano utilizzare funzioni definite nella norma ISO/IEC 10118-3:1998, come l’algoritmo RIPEMD-160 oppure SHA-1 che sono a 160 bit., potrebbe aversi una contestazione in giudizio dell’utilizzo del MD5 come garanzia sulle copie?
Mi trovo ad evidenziare quanto più volte ripetuto: la contestazione, in ambito penale dibattimentale, dipende più dalle parti presenti che dalle regole tecniche di analisi che (purtroppo) ogni consulente, in Italia, decide ed usa dato che non vi sono direttive specifiche.
In definitiva la contestazione del MD5 è sempre possibile ma bisogna vedere quale grado di importanza le viene dato, quale grado di competenza ha il consulente tecnico di controparte ed in quale misura può poi effettivamente influenzare le sorti del processo.
39) Domanda - DEPOSITARE HD IN PROCURA
A mio modesto parere, quando impossibilitati a consegnare copia (sempre doppia) su supporto DVD, a causa delle dimensioni del supporto originale, trovo corretto depositare doppia copia su hard-disk. Qualcuno però osserva che tale operazione non è corretta perché gli hard-disk sono facilmente deperibili. Qual'è la sua opinione? grazie
L'osservazione proviene da un problema reale che normalmente si affronta in sede di attività peritale per cui sono grato per questo commento. Che gli hard disk, attualmente, siano piuttosto inaffidabili è cosa certa. Puntualizzo dicendo che sono inaffidabili dal nostro punto di vista di tecnici forensi considerandoli come repository per dati da depositare poi all'ufficio corpi di reato o da dare alle controparti, proprio perchè i tempi (mi si consenta) elefantiaci dei nostri procedimenti si possono considerare in media tranquillamente da 3 anni a salire. All'aumentare del tempo di vita e dell'impiego tali memorie di massa tendono inevitabilmente a determinare errori e purtroppo in maniera random.
Dall'altro lato mi preme osservare che nel commento non è citato minimamente il concetto di hashing. Anche nella consegna in doppia copia del DVD - R è sempre buona norma riportare, sul verbale di consegna, il valore di hash calcolato sul contenuto masterizzato. Per quanto infatti i DVD-R (e ripeto "R") siano affidabili e non modificabili a sessioni chiuse o a superficie stampata non è detto che non possano intervenire guasti di natura particolare (come attacchi meccanici alla superficie). L'hash non preserva dagli errori ma permette quando meno di identificarli se ci sono, si tratta quindi di una garanzia. In questo senso ci si può cautelare anche nell'impiego degli hard disk.
Direttive nel senso della preservazione dei dati a scopo giudiziario penale non esistono per quanto a mia conoscenza.
Quando si estraggono grandi moli di dati di "estrema" importanza e si ha necessità di registrarli per depositarli ufficialmente si può ricorrere a tecnologie più evolute dei semplici HD o DVD-R. Ad esempio si possono registrare su sistemi di storage che implementano forme di RAID particolarmente ridondanti e robuste. Oppure si possono realizzare copie sofisticate in cui l'immagine del dato può essere ottenuto solo come ricostruzione di tipo fault tolerant (ossia a recupero automatico d'errore) di diversi file memorizzati su supporti fisicamente differenti. In questo senso esistono ditte che operano proprio al fine di garantire archiviazioni ad alta affidabilità (un riferimento è il seguente: http://www.nexsan.com/ ). Ovviamente si tratta di soluzioni di alto costo ma la spesa deve essere commisurata all'importanza dei dati.
40) Domanda - LIVE PC
Buongiorno, qualora ci si trovasse nelle condizioni di sequestrare un computer acceso, come si possono coniugare le esigenze di non modificare lo stesso effettuando meno operazioni possibili prima della repertazione e quella di verificare la presenza di volumi, file-system o cartelle crittografate che diventerebbero sostanzialmente irrecuperabili in una successiva analisi "post-mortem"?
Questa domanda è la ragione per cui esiste ancora un indaffarato settore di ricerca scientifica nel computer forensics interessato a come effettuare il repertamento sulla scena del crimine. Non esiste, per quanto a mia conoscenza, un protocollo generale in grado di coprire esaustivamente questa situazione. Si devono distinguere ovviamente due situazioni: (1) l'intervento è realizzato da personale tecnico qualificato; (2) l'intervento è realizzato da personale investigativo non specializzato.
Nella realtà è noto che le scene del crimine sono calcate inizialmente quasi sempre da personale non tecnico. Mentre quindi lo specialista potrebbe porre in atto dei meccanismi di copia su macchina attiva (operazione non ripetibile ma di sicura utilità - per quanto molto critica) per avere poi in laboratorio un clone leggibile (ed aggirare così il cripto), il non specialista può difficilmente essere guidato verso una procedura semplice e funzionale.
Un elemento importante è comunque, in entrambi i casi, la ripresa video dei contenuti video/sonori e delle azioni tecniche sulle macchine che possono successivamente fornire elementi importanti per le indagini e talvolta anche probatori.
41) Domanda - WRITE BLOCKER
Come funziona un write-blocker? grazie.
Un write blocker software è un driver che intercetta tutte le chiamate di I/O del sistema operativo (a tutti i livelli) verso il dispositivo protetto e le valuta con una politica che dovrebbe assicurare sia l'impossibilità di scrivere sul dispositivo che un impiego del citato hardware che prevenga possibili rotture o danni (si pensi ad una lettura random massiccia su settori fisici molto "distanti" tra loro...).
Un write blocker hardware è un circuito che si interpone tra workstation e memoria di massa analizzando i segnali di comando e di risposta dei due sistemi e valutando se possano o meno essere nocivi per l'alterabilità o integrità dei dati. Essi operano sia bloccando determinati segnali e simulando determinate risposte dalla memoria di massa. Alcuni di essi (detti Tailgate device) risultano molto utili perchè possono anche realizzare una trasposizione di protocollo sul BUS interfacciando tra loro USB, IDE, FireWire, SATA.
Nella lezione sull'iPod Forensics l'argomento write blocker (hardware) viene affrontato in maggiore dettaglio per problematiche che tali apparati possono creare quando male-impiegati.
42) Domanda - GARANZIE SULLA COPIA
Quali garanzie vengono date all'indagato circa la bontà della copia? Quali possibilità ha l'indagato di rifare la copia? Non pensa che, anche nel caso di accertamenti ripetibili, sia preferibile, quando possibile, effettuare la rilevazione dell'hash congiuntamente ai periti di parte?
Ci sono diversi possibili approcci a questa problematica.
In alcuni casi si può dichiarare la copia irripetibile proceduralmente e quindi l'indagato può assistere con i suoi legali e tecnici di parte. In altri, più copie del reperto dati con il valore dell'hash scritto sul verbale di operazioni vengono consegnate, su supporto sigillato, a magistratura, all'indagato ed ai suoi tecnici ed alle altre eventuali parti per le rispettive analisi parallele a quelle inquirenti.
In generale, quando possibile e/o necessario la copia deve essere fatta in presenza delle parti così come il calcolo dell'hash. Purtroppo non sempre è possibile. Ad esempio quando la copia deve essere svolta come accertamento urgente in quanto l'originale è soggetto a deteriorarsi velocemente, oppure quando l'indagato non è stato ancora individuato.
43) Domanda - HELIX E LE COPIE
Usando il live CD Helix posso copiare senza modificare nulla anche i dati cancellati non sovrascritti?
La domanda è formata da due parti:
(1) con dcfldd o dd può copiare la device a livello fisico e quindi preleva anche i dati "cancellati" e (giusta osservazione) non sovrascritti.
(2) il "senza modificare nulla" è soggetto sempre alla presenza di un write blocker hardware - sebbene Helix dia molte garanzie i blocchi in scrittura software sono soggetti spesso a problematiche non preventivabili per cui è buona norma impiegare hardware dedicato (costa poco e fornisce garanzie notevoli certificate dal NIST).
44) Domanda - CLUSTER-COPY
Se devo recuperare dati cancellati la cluster copy va bene? e se il sistema fosse stato ripartizionato?
In linea di principio la cluster (o block) -copy è sufficiente per il recupero dei file cancellati in un ben specificato file system. Al contrario, non è sufficiente se si desidera recuperare un'azione di ripartizionamento della memoria di massa dato che i puntatori e le informazioni che riguardano tale attività non risiedono esclusivamente nella partizione copiata ma in altre aree della memoria che possono essere copiate solo in bit-stream.
45) Domanda - WIPING
Vorrei chiederle un suo parere a proposito della realizzazione della copia dell'evidence da analizzare: nella preparazione del supporto su cui memorizzare la copia, ho sentito pareri assai discordanti sul numero di passate di "wiping" da effettuare: qualcuno parla di 3, 5, 7 cicli, mentre un docente ad un recente corso regionale qui a Milano parlava di un solo ciclo. Esistono protocolli o documentazioni tecniche a cui fare riferimento, anche in previsione di eventali contestazioni in sede dibattimentale sull'effettiva "pulizia" del supporto su cui poi si va ad effettuare l'analisi? Grazie
La fase di preparazione delle memorie di massa della workstation forense per il repertamento e/o analisi dei dati è fondamentale per evitare problematiche di falsi positivi durante il searching, carving e recovery.
Nel sito vi è una pagina proprio inerente il wiping delle memorie di massa con limiti, possibilità, letteratura scientifica, ecc... ispirata proprio da questa domanda. Di seguito approfondisco un po' l'analisi.
Fissiamo alcuni paletti importanti: il data recovery, sia esso forensics o meno, si può distinguere in due settori (1) svolto tramite il controller del dispositivo e quindi prettamente software (2) svolto bypassando il controller e quindi tramite hardware esterni al dispositivo come particolari microscopi, sonde, ecc. L'attività dei CT che operano con EnCase, FTK, SleuthKit, ecc. è prettamente del tipo (1) e quindi generalmente ripetibile. Alcune ditte (soprattutto quelle che progettano gli hard disk) possono svolgere anche le attività (2), generalmente non ripetibili proprio perchè implicano lo smontaggio dell'apparato e molto (molto!) costose.
Assodato questo, procediamo.
Innanzitutto il supporto da impiegare per il repertamento dati (la prima copia) deve essere differente da quello che si impiega per l'analisi. Sebbene infatti gli strumenti forensi assicurino l'attività in sola lettura lo stress dell'analisi potrebbe causare rotture anche fisiche e perdite di dati o peggio ancora cattive interpretazioni.
Sono quindi almeno due i supporti da preparare e non solo uno...
Come si può rilevare dalla pagina sul wiping e basandosi sul documento del NIST ivi evidenziato, una sovrascrittura è più che sufficiente per contrastare qualsiasi attacco tramite software forensi.
Quindi, fino a quando il data recovery che si intende attuare è di tipo (1) i supporti da preparare possono essere semplicemente sovrascritti da un preciso pattern di bit (ad esempio tutti 0) ma la sovrascrittura deve ovviamente riguardare tutta l'area fisica.
Rimando infine alla pagina http://www.marcomattiucci.it/eliminazione.php.
46) Domanda - NASCONDERE FILE(S)
Buongiorno Maggiore, se in un supporto di memoria di massa i dati sono stati registrati in un .doc, poi successivamente critptati, zippati, modificato il nome del file (per esempio da zip a dll), di nuovo zippati con un altra utility. Quali tecniche sono possibili per il suo recupero? grazie
Un'interessante combinazione apparentemente difficile da districare ma bisogna fare molto attenzione ai software che si impiegano per effettuare tali operazioni:
(a) Impiegando un ".doc" almeno due o tre copie dei dati (magari parziali) sono già registrate in punti diversi della memoria di massa.
(b) Andando a criptare il file evidence (e non i tmp di cui prima) bisogna vedere com'è costruito il software di cripto perchè potrebbe lasciare ulteriori dati in chiaro sull'operazione di crittazione e sui dati che sono stati crittati.
(c) come viene cancellato l'originale?
(d) Quanto è grande il file originale e poi la sua versione cripto? il software di zip, qualunque esso sia, genererà dei tmp quasi con certezza se il file è grande in quanto comprimere un file cripto è difficile...
ecc. In definitiva non bisogna fermarsi alla prima visuale del problema o, che è lo stesso (e per nostra fortuna), l'anti-forensics non è un settore così chiaro ed automatizzabile...
47) Domanda - WIPING
Buonasera Maggiore, tempo fa mi è capitato di incontrarmi con personale di una azienda militare *** sul tema del safe erase procedure. La società *** doveva implemenatare un sistema per eliminare informazioni sensibili, dati di navigazione per esempio, di un elicottero militare. La procedura, realizzata da un software dedicato, doveva basarsi su 5 cicli di write/erase su un hard disk. Ora, volevo chiederle, esiste uno standard in questo senso? La procedura descritta è sufficientemente sicura? come dovrebbe, secondo la letteratura, essere implementata una procedura del genere? Quali margini di errori esistono? esitono dei siti dedicati a questa tematica? grazie
Rimando all'esaustiva pagina http://www.marcomattiucci.it/eliminazione.php.
48) Domanda - ANALISI A PC SPENTO
Nel caso di ambienti Windows, il prelievo dell'hard disk per un recupero di tutto il contenuto, e la successiva analisi dei files di log dell'avvio del sistema operativo, può considerarsi un'analisi a "pc spento"? E in generale il recupero dei dati, previo prelievo dell'hard disk può considerarsi un'analisi a "pc spento"?
L'estrazione fisica della memoria di massa ed il suo sequestro è una prassi in diverse situazioni. Sebbene alcune informazioni non possano essere più valutate (Es. BIOS, RAM) può essere di indubbia utilità se il PM ritiene di non dover privare il possessore dell'hardware del PC perchè magari impiegato a livello professionale. In generale l'estrazione, il repertamento e l'analisi di una memoria di massa si considera come un'attività forense post-mortem su reperto inattivo.
49) Domanda - ANALISI DELLA RAM
Ci sono dei metodi per tenere traccia del "contenuto" della RAM di un PC associato a un certo range temporale? Pensavo infatti alla possibilità che chi commette la violazione lo faccia usando, ad esempio, una distribuzione live di un sistema operativo o una macchina virtuale...
La domanda è interessante e segnala un problema ben più complesso di quello che potrebbe presentarsi su un semplice PC.
Nei server che operano per anni senza potersi mai spegnere la RAM è considerabile alla stregua di una particolare memoria di massa (sia per dimensione che per il mantenimento dei dati) e gli attacchi informatici o eventi illegali lasciano traccia quasi esclusivamente su di essa.
Sono stati quindi studiati diversi metodi di dump della RAM a scopo forense e compiuti diversi studi sul data-retention della RAM rispetto ai dati cancellati sia nelle aree di caching che di memoria virtuale, dei processi, ecc. Sfortunatamente c'è il problema dell'osservabilità ossia solo un processo può effettuare il dump della RAM ma esso può farlo solo insistendo sulla stessa RAM che copia e quindi alterandola. Da questo punto di vista l'affidabilità forense di questi sistemi di copia è minima e ciò nonostante sono impiegati perchè non c'è altro.
Normalmente sui sistemi a lunga vita vengono inseriti dei processi in background che garantiscono su richiesta il dump della RAM. In questo modo l'alterazione è ridotta al minimo e comunque è molto circoscritta (il processo ha già associata staticamente un'area di memoria).
50) Domanda - ANALISI DELLA RAM
Avrei le seguenti domande:
a) Quanto ritiene importante l'analisi del dump della RAM nell'ambito del digital forensics per come lo esplica sui reperti che le arrivano ogni giorno?
b) Quali strumenti impiega per l'acquisizione della RAM e come li seleziona nell'impiego, in base a quale criterio?
c) In ambito giudiziario il dover acquisire, in modo non preventivato, il contenuto della RAM cambia radicalmente il modo di procedere sul reperto. Cosa si fa tecnicamente se il PM, ad esempio, cambia il mandato basato su 359 cpp in un 360 cpp?
Per la domanda (a) bisogna ricordare che l'acquisizione della RAM è un processo che si deve ritenere sempre irripetibile. Chi ha esperienza di scene del crimine sa bene che la decisione di effettuare sul posto attività tecniche irripetibili è sempre onerosa e necessita di specifiche autorizzazioni della magistratura per cui è bene agire in tal senso solo se non ci sono alternative. Il repertamento della RAM, quindi, lo realizzo generalmente quando sono plausibilmente sicuro che la memoria centrale è una fonte di prova determinante alla risoluzione del caso e prossima a scomparire o deteriorarsi. Ad esempio nel tracciamento di un attacco oppure nella rilevazione dell'attività di un software illegale su una macchina o server.
Le domanda (b), ossia come realizzare il dump della RAM e come disassemblarne il contenuto le lascerei alle lezioni di computer forensics nei livelli intermedio ed avanzato.
La domanda (c) è di natura più legale che tecnica ma ugualmente stimolante perchè testimonia una certa conoscenza di cosa accade sulla scena del crimine. La risposta in due parti:
(1) Che in ambito aziendale un team possa "con una certa libertà" scaricare la RAM, ad esempio, delle macchine dei dipendenti non è purtroppo scontato. Bisogna ricordare che, a livello di privacy, la RAM è molto più ricca di dati personali di quanto possa essere lo stesso hard disk e mentre per quest'ultimo vengono spesso firmati (sp-i-ntaneamente) degli accordi per l'ingerenza dei tecnici della sicurezza informatica, poco o nulla si dice sulla RAM. Bisogna poi fare molta attenzione ad un aspetto ancora più critico, valutando la RAM si possono ottenere diverse password dell'utente anche per ambienti software non strettamente attinenti la realtà lavorativa e questo potrebbe configurare fatti ben più gravi della violazione della privacy.
(2) La scena del crimine è un ambiente in divenire in cui le autorizzazioni raramente hanno i caratteri di lentezza burocratica di altre parti del procedimento. Spesso le autorizzazioni vengono anticipate per telefono dal PM ed il tecnico forense valuta se la controparte (qualora presente) ha le capacità tecniche per assistere e/o se altri devono essere coinvolti per fornire il massimo delle garanzie all'indagato. Talvolta si ha la capacità di anticipare le autorizzazioni necessarie e la presenza della controparte semplicemente valutando il caso telefonicamente prima di arrivare sulla scena del crimine. In ogni caso, dal mio punto di vista, le garanzie del 360 CPP sono essenziali per cui non procedo nell'analisi o nel dump della RAM senza che, in piena convizione, le abbia soddisfatte.
51) Domanda - VIRTUAL FORENSIC COMPUTING
La VFC è praticamente solo una dead analysis su un sistema ricostruito: come si può considerare una forma di live analysis?
La VFC si può considerare una forma di Live Forensics limitatamente a certi aspetti quali la possibilità di osservare sistemi operativi, processi ed applicativi del reperto dati (la copia) in azione nonchè tutte le personalizzazioni effettuate dall'utente. Resta inteso che si tratta ancora di un metodo ibrido per cui è corretto dire che non permette esattamente una live analysis.
52) Domanda - AFFIDABILITA' DEI TOOL
Chi mi assicura che un tool forense commerciale funzioni bene (dato che è chiuso)? Perchè le FFPP non creano un unico tool standard per tutti almeno in Italia facendolo sviluppare ai loro tecnici?
Due domande molto importanti.
Sulla funzionalità completa o meno dei tool commerciali chiusi il dibattito è attualmente accesissimo. Sono state diverse le richieste anche dalla magistratura di verificare le funzionalità di programmi come EnCase rispetto a certe prove che hanno rilevato. Le ditte private ovviamente tendono a dare sempre il minimo delle informazioni e si barricano dietro l'esperienza, il numero di vendite e di impiego, nonchè la possibilità di discutere su Forum e newsletter tutti i bug che si presentano a livello internazionale. Altre risposte, ad oggi, non ci sono... o meglio, io non ne ho...
La seconda domanda sfonda una porta aperta di cui ILook è il principale rappresentante. Sfortunatamente le Forze di Polizia hanno dei budget molto limitati per ricercatori e studiosi interni, nonchè per programmatori, ecc. da cui la possibilità che realizzino prodotti adeguati in breve tempo è minima. Diverso è il discorso per i servizi segreti e le grandi organizzazioni militari, i quali spesso realizzano sistemi di repertamento ed analisi in proprio, magari acquisendo conoscenze e personale di grandi aziende forensi.
52) Domanda - DD
Il dd, quale sistema di copia è, secondo me, assolutamente affidabile: può dire il contrario?
Sfortunatamente dire "dd", dal punto di vista forense non è esaustivo.
Il "dd" è una funzionalità che assicura sommariamente certi requisiti ma può essere implementata diversamente in differenti sistemi operativi. Quindi, la prima osservazione è che potrebbe comportarsi diversamente a seconda dell'ambiente. La seconda osservazione è che, anche ammesso che "dd" non commetta mai errori nel suo funzionamento standard, cosa accade in corrispondenza di problemi fisici della device che copia? Qual'è il suo comportamento? se ne può modelizzare uno che rappresenti il comportamento di qualsiasi "dd"?
Molti specialisti di alto livello hanno ritenuto di no e quindi sono state studiate delle versioni di "dd" dette appunto forensi.
Esempio:
"Traditional versions of DD skip “bad blocks” in increments equal to the block size. If the block size is larger than the sector size of the device, data will be lost. The alternative is to set the block size equal to the device sector size. But that is usually quite slow. Forensic versions of DD use the specified block size until a “bad sector” is encountered, at which point the block size drops back to a value equal to the device sector size. The larger blocks size is resumed once the “bad block” is passed, until the next “bad block” is encountered."
Ma questa ovviamente è solo una delle osservazioni possibili...
53) Domanda - ILOOK
Su quale sistema operativo lavora ILook?
In analisi su Win-like.
54) Domanda - CERTIFICAZIONE DEI TOOL
Buongiorno Maggiore, quanto sono affidabili i tool utilizzati per la computer forensic in particolare, ma in generale per qualsiasi attività del digital forensics. Per esempio, nel settore militare, il mio campo di lavoro, quando devo utilizzare un sistema operativo questo deve essere certificato per ragioni di affidabilità; o quando si sviluppa un'applicazione il lavoro deve essere condotto in base a canoni di safety e in accordo ad uno standard quale 178B. Ora, i tool utilizzati nel campo del df devono essere sottoposti a una certificazione analoga? grazie
La risposta è un secco no: i tool forensi, ad oggi ed in Italia, non hanno il prerequisito di dover essere sottoposti ad una certificazione specifica al fine di poter produrre risultati per il dibattimento.
Il NIST sta operando con il Computer Forensics Tool Testing (CFTT) in questa direzione a livello internazionale: http://www.cftt.nist.gov/
55) Domanda - JTAG
Gentile Magg. Mattiucci,
ha esperienze/conoscenze nell'utilizzo dell'interfaccia JTAG? Facendo alcune ricerche ho trovato che quasi tutti i dispoditivi embedded contengono una interfaccia di questo tipo, ma la sua individuazione è spesso difficile. Tanto per fare un esempio, qui: http:iphonejtag.blogspot.com c'è la procedura che è stata usata, descritta peraltro in dettaglio su come si è arrivati a trovare la porta JTAG sull'iphone, che poi ha permesso l'analisi e lo sbloco del firmware.
Si, la JTAG, (Joint Test Action Group), ossia il protocollo standard per il test funzionale di chip e dispositivi elettronici è una delle interfacce che possono essere impiegate per interfacciarsi direttamente con le memorie del mobile in analisi. Purtroppo, oltre alla difficoltà di individuare il modo di impiegarle, vi è anche il problema che realizzare il dump completo dell'EEPROM risulta piuttosto complesso, nonchè non tutti i dispositivi dispongono di tale interfaccia.
Per quanto riguarda i miei studi è rimasto quindi un metodo sperimentale da usare con molta parsimonia e per casi particolarissimi. Gli attuali tool forensi per il mobile delle maggiori ditte a livello internazionale si stanno dirigendo proprio verso tale direzione ma, ribadisco, il supporto è ancora per un numero limitato di modelli di terminale radiomobile.
56) Domanda - ATTACCO DALL'ESTERO
Se viene fatto un attacco dall'Italia verso un altro paese (ad esempio Francia) sotto quale giurisdizione cade il reato?
Dipende da due fattori:
(1) dove avviene il fatto determinante dal punto di vista legale che si considera;
(2) dalla legge penale del luogo dove il fatto di cui al punto precedente fa vedere i suoi effetti.
Quindi se l'attacco parte dall'Italia e produce risultati unicamente in Francia, risultati che sono un fatto individuato come reato in tale nazione, allora il reato è in Francia. Se poi, però, dalla Francia, l'indagine si sposta ufficialmente tramite rogatoria internazionale, anche in Italia si crea un'eccezione e si viene indagati anche nel nostro paese sebbene localmente non si siano risultanze di reato. Esiste anche l'eventualità opposta, ossia che un fatto definito come reato in Italia, ad esempio un accesso abusivo a sistema informatico protetto, non risulti reato nel paese dove concretamente avviene (non è previsto da un sistema legale obsoleto) e quindi non si può essere indagati localmente.
57) Domanda - ACCORDI PER LE INDAGINI
Ci sono attualmente convergenze legislative dei paesi dell unione europea (e/o dei paesi orientali con europa e stati uniti) in merito al problema dei crimini informatici? Come si risolvono a livello legislativo e quindi di indagine, reati commessi virtualmente in un altro paese tramite la rete? Ad esempio, intrusione in un server presente fisicamente in cina, tramite un proxy negli emirati arabi, dove l'attaccante e fisicamente in italia o francia. E possibile come scenario? Oppure pubblicazione di materiale pedoporno in paesi (quindi su server residenti all estero) dove l'utilizzo di tale materiale non prevede sanzioni. Mi piacerebbe sapere se i paesi occidentali "e non" hanno preso accordi insieme su come regolamentare questi casi "particolari" di reato.
Ci sono agreement a livello di Forze di Polizia e di magistratura Europee, poi vi sono organi di coordinamento ed indagine come Europol ed Interpol che possono agire, entro certi limiti, anche a livello internazionale. Il tutto purtroppo è piuttosto lento nell'agire ed un po' macchinoso.
Se poi la domanda è se esiste un modo per coordinare le indagini a livello mondiale la risposta è ovviamente no. Esistono ancora paesi che non "reagiscono" nè ad una rogatoria internazionale, nè ad una richiesta di polizia...
58) Domanda - IP ADDRESS
Potrebbe esistere una differenza tra un IP derivante da un collegamento tramite linea telefonica tradizionale e collegamento ad internet tramite collegamento mobile (GPRS o UMTS)?
L'unica differenza è ovviamente il range di IP in uso in quanto al fatto che le società telefoniche acquistano e vendono set di IP proprio destinandoli a scopi specifici che possono essere conoscibili ufficialmente dietro richiesta ufficiale motivata.
59) Domanda - IPV6
Riguardo all'introduzione del protocollo IPv6 ha valutato o ha avuto evidenza che si sia studiata l'eventualità che IPv6 introduca le condizioni affinchè vi sia un incremento esponenziale degli incidenti informatici, specie nelle grandi strutture (pubbliche/private), legati principalmente alla riorganizzazione dell'indirizzamento interno ( classi ip rfc1918 )? Dato che ci sara' un problema legato alla proprietà degli indirizzi privati che oggi sono usati in modo cosi' esteso si ha gia' una traccia di come questa gestione sarà regolamentata?
Per quanto a mia conoscenza (non mi ritengo un esperto di IPv6 ma ho dovuto studiarne alcune sue caratteristiche per esigenze professionali), IPv6 impiega un approccio gerarchico all'assegnazione dei range di indirizzi che impedirà a strutture diverse di collidere sull'impiego di IP (come parzialmente avviene oggi) e soprattutto, per l'ampiezza dello spazio di indirizzamento, lo stesso principio potrà essere usato per le sub-strutture nell'ambito del loro raggio d'azione. Tutto, in pratica, sarà gestito coerentemente nello stesso modo, nel grande (livello internazionale) e nel piccolo (singola azienda). Da questo punto di vista non posso che vedere solo miglioramenti rispetto alla situazione attuale.
Grosse problematiche, invece, possono sorgere nella convivenza dei due protocolli IPv4 ed IPv6. Il secondo, infatti, richiede una completa ristrutturazione degli apparati e molti propugnano come indispensabile un'era di passaggio in cui andranno a convivere i due sistemi di rete, ciò per un fattore soprattutto economico. In questo senso il suo nefasto presagio di incremento degli incidenti informatici può essere attendibile.
60) Domanda - ANALISI IP ADDRESS
Che attendibilita' hanno siti come questi http://www.whatismyipaddress.com/? Si potrebbero avere dei risultati piu' precisi sull'indirizzo di partenza senza l'aiuto del service provider?
L'attendibilità di http://www.whatismyipaddress.com/ è buona. La domanda se è possibile o meno avere risultati più precisi senza l'aiuto del ISP è molto generica. Bisogna ovviamente verificare la situazione in studio. Ad esempio, operando su una Intranet ed uscendo verso Internet secondo un particolare sistema/politica l'indirizzo IP pubblico può essere verificato dai gateway. Altra possibilità, ad esempio nell'identificazione di un intruso, è rilevare il traffico e studiare i pacchetti TCP/IP.
61) Domanda - DHCP LOG
Solitamente che periodo di tempo ricoprono i log dei server DHCP?
I server DHCP hanno una gestione fortemente localizzata alla singola LAN o Intranet per cui la durata dipende dalla politica di gestione dell'organizzazione. Spesso purtroppo la durata è di alcuni giorni o addirittura nulla.
62) Domanda - LOG & PRIVACY
Solitamente come reagisce un provider alla richiesta di log? Vengono posti dei problemi o ostacoli relativi alla privacy?
Alla richiesta della magistratura non esiste opposizione relativa alla privacy. Si può agire per le vie legali di conseguenza ma non si può negare il dato richiesto per le indagini a meno di conseguenze molto serie.
63) Domanda - AFFIDABILITA' DEI LOG
Come faccio ad essere sicuro della bontà del LOG? cioè ad essere sicuro che questo non sia stato magari alterato, per esempio modificandolo a scapito di qualche utente?
Dipende da come il LOG è gestito. Se si tratta (come purtroppo accade nella maggioranza dei casi) solo di un file testuale difficilmente possono essere date garanzie sul suo contenuto (ci si limita a valutare chi ha usualmente la possibilità di accedervi e se ci possono essere sospetti che abbia interessi ad effettuare modifiche - si fanno sommari ragionamenti di attendibilità). Se invece il LOG è in qualche modo certificato oppure sottoposto ad un meccanismo di journaling o ancora (come dovrebbe essere nella migliore delle ipotesi) il LOG è un vero e proprio DB strutturato con privilegi e funzioni allora il livello di garanzia è alto.
64) Domanda - LE INTRUSIONI DELLE FFPP
Cosa pensa al riguardo del fatto che le Forze di Polizia e/o gli Stati hanno la possibilità di installare e dunque di monitorare a distanza delle macchine tramite le cosiddette "backdoor governative" o cmq con i keylogger software?
Cioè, mettiamo che l'utente equipaggi la propria macchina con tutto ciò che serve per la protezione e sicurezza (Firewall, antivirus, antispyware, antikeylogger, HIPS, antirootkit, tool anti-forensics ecc.); tutto ciò sarebbe vano se gli stati o le FFPP avessero il privilegio esclusivo (tramite contratti/accordi non pubblici con le principali software house della sicurezza informatica) di monitorare le macchine di presunti criminali. Vi è di solito l'assunto che debba sussistere un espresso consenso della Magistratura ma, chi ci dice che a volte ciò possa essere fatto in maniera non congrua?
Secondo lei non è un confine sottile la (legittima) volontà a proteggere l'interesse della pubblica sicurezza di uno Stato/collettività e la privacy dell'utente? (a maggior ragione se l'utente non è colpevole di nulla).
Su Internet ho letto che FBI, CIA ed NSA avrebbero stipulato accordi con alcuni dei principali produttori di anti-virus; i contenuti tecnici degli accordi è impossibile a sapersi ma, nulla vieta pensare che magari i principali "player" della sicurezza, si siano impegnati con determinate agenzie governative a non divulgare lacune di sicurezza e quant'altro prima di un determinato lasso di tempo... E' chiaro che in giro per il mondo ci sono tanti esperti di sicurezza che indipendentemente dai comunicati ufficiali delle società, spesso riescono molto prima ad anticiparle.... tuttavia il problema permane...
Innanzitutto rimando alla pagina del mio sito: http://www.marcomattiucci.it/echelon&privacy.php.
Dal mio punto di vista di appartenente alle Forze di Polizia la mia principale preoccupazione è agire legalmente per far rispettare la legge. Il giro di parole indica che non uso mezzi illeciti per conseguire risultati investigativi. Il "supervisionare" una persona in un ambito privato, fisico o elettronico senza le dovute autorizzazioni della magistratura è semplicemente illegale per cui chi se ne macchia deve pagarne le conseguenze.
Questo vale in Italia ed entro limiti che la legge precisa con fermezza. In altri stati può accadere diversamente perchè ci sono leggi diverse, per cui chiunque usufruisce di servizi o prodotti all'estero ne deve essere avveduto e prendere le dovute contromisure. Fortunatamente Internet ci garantisce contro l'ignoranza per cui la conoscenza va ben impiegata.
65) Domanda - DATI PERTINENTI
Le pongo una domanda riguardo l'eventuale presenza, sul supporto sottoposto ad analisi forense, di dati riguardanti persone diverse dall'indagato.
Leggevo su un testo che parla di CF che ad esempio se durante l'operazione di sniffing in rete (alla ricerca di tracce di attività sospetta dell'indagato) intercetto per sbaglio dati altrui si corre il rischio di incorrrere in una intercettazione non autorizzata e quindi (da quello che apprendo dal testo letto) la prova non sarebbe valida.
Volevo chiedere se c'e' veramente questo rischio e se nel caso ad esempio si analizzasse un sistema server dove ci sono dati di più utenti, la presenza di materiale (o magari documenti personali) prodotto da soggetti diversi dall'indagato rischia di creare problemi ai fini dell'utilizzabilità del risultato dell'analisi forense.
Argomento molto importante ed interessante.
Durante l'intercettazione digitale il sistema hardware/software predisposto può in linea di principio rilevare tutto il traffico del canale controllato. Devono, per legge, essere impostati dei filtri precisi che limitino la memorizzazione del traffico esclusivamente a quanto di competenza in relazione al procedimento penale per cui si indaga.
Esistono dei casi in cui filtrare preventivamente non è possibile, allora il traffico viene salvato in blocco e poi filtrato in secondo tempo (non real-time). Questa situazione deve essere specificamente autorizzata dalla magistratura e devono essere date delle garanzie sul non impiego dei dati non inerenti il procedimento penale.
In definitiva, se il filtro è real-time e non opera correttamente includendo più dati di quelli specificamente previsti si è in regime di illegalità. Se il filtro è non real-time occorrono delle garanzie sia sul mantenimento dei dump del traffico che sul loro filtraggio ed impiego. Anche in questo caso, se mancano tali garanzie ci possono essere dei problemi legali.
Un'annotazione importante sul concetto: "la prova è o meno valida...".
In Italia la prova di determina in dibattimento, durante il contraddittorio, ed in questo delicato settore in cui i protocolli di lavoro non sono così definiti accade spesso che un fatto, una procedura o una informazione conducano ad una prova in taluni processi e vengano esclusi in altri...
Riguardo il repertamento di un server l'approccio è preciso: non si può sequestrare la macchina per intero e le sue memorie di massa (vedere la lezione sul computer forensics) ma solo effettuare l'analisi di dati informativi e dati di comunicazione (es. LOG) strettamente inerenti il caso giudiziario rendendo avveduto l'amministratore di sistema e/o il responsabile delle attività che si vanno a svolgere. La possibilità di "sforare" andando ad individuare o leggere dati non attinenti è enorme quindi ci si deve cautelare soprattutto nella copia con meccanismi di filtraggio precisi e segnalati nella report tecnico delle attività svolte nonchè con sistemi affidabili di logging attivi durante le indagini.
66) Domanda - ANALISI DEL TRAFFICO
L'analisi statistica, la costruzione dei diagrammi dei segmenti di rete ed il log rilevato con tcpdump consentono sempre di ricostruire tutto il traffico e le varie attività svolte nella rete sotto esame?
La risposta è "generalmente no". Tutte le forme di tunneling, ad esempio, impediscono di ricostruire realmente le transazioni comunicative che avvengono sulla rete osservata anche se, un dump sufficientemente lungo ed esaustivo, nonchè un notevole controllo sui server che insistono sulla rete stessa potrebbe creare speranze in relazione all'interpretazione di tali flussi di dati.
67) Domanda - DATI DA TOOL "ABUSIVI"
Spesso mi è capitato nel mio lavoro di avere a che fare con sistemi compromessi anche parzialmente nei quali erano stati installati da tecnici di "varia natura" tool contraffatti non dotati di licenza. Essi però, svolgendo egregiamente il loro lavoro loggavano ugualmente eventuali tentativi di accesso. In questo caso, il LOG potrebbe essere utilizzato comunque in sede legale per dimostrare un defacement oppure perderebbe valore per il solo fatto che il tool che lo ha prodotto si presenti non licenziato?
Mi piacerebbe poter rispondere alla maniera "anglosassone" dicendo che "le prove sono state ottenute illegalmente" (frase riportata ironicamente) ma il nostro framework legale è diverso.
Non essendo un avvocato o magistrato ma un tecnico forense di polizia risponderò in base alla mia esperienza di dibattimento: è capitato che un giudice consideri come attendibili dei dati che provengono da tool non licenziati. Domande del tipo: "...sebbene non licenziato lo strumento funzionava correttamente in quel momento?" sono piuttosto comuni dalla parte legale verso i tecnici. Ovviamente questo apre la strada ad un acceso dibattito tra le controparti in dibattimento ma non è scontato che il tool non licenziato sia escluso. Pensi che alcuni anni fa questo stesso problema si creava con gli strumenti open-source...
68) Domanda - NF & NA
Si può immaginare uno scenario di rete in cui ci sia solo Network Analysis o solo Network Forensics?
Come evidenziato nella lezione di network forensics, ciò che distingue NF da NA è l'impostazione dei prodotti utilizzati ed i poteri con i quali si possono applicare. Ad esempio, un comune amministratore di rete, senza le dovute deleghe dell'autorità giudiziaria, non può svolgere analisi del traffico su una rete operativa senza incorrere in violazioni. E ancora, riguardo l'impostazione dei prodotti, un comune NFAT non è necessariamente orientato a cautelare l'operatore con continui logging e test di integrità dei contenuti in analisi.
Le domande e le risposte inserite fino a questo punto
risalgono al
16 ottobre 2008
69) Domanda - Come si diventa CT?
Sono uno studente neo-laureato in ingegneria elettronica/informatica, possiedo una discreta padronanza degli strumenti informatici sia hardware che software e vorrei: (1) studiare il digital forensics e specializzarmi in esso; (2) iniziare a lavorare per delle procure e svolgere delle consulenze tecniche; (3) avere dei contatti con gli specialisti nel settore delle Forze di Polizia per allargare le mie conoscenze e confrontarmi. Potrebbe darmi qualche indicazioni in proposito?
Questa domanda è un prototipo raffinato e rielaborato di decine e decine di domande similari che mi pervengono da giovani laureati in qualche modo affascinati da questo mestiere del forensic specialist, oggi tanto in voga e che sicuramente tanti sbocchi di attività creerà nel prossimo futuro. Le mie risposte sono ovviamente calate nei limiti della mia competenza e conoscenza.
Inizio con il punto (1): studiare il digital forensics non solo è possibile farlo seguendo diverse direzioni ma a mio avviso è indispensabile farlo seguendo diverse direzioni. Dato che il background culturale proposto è di ingegneria, direi che una laurea di 2° livello è quanto meno indispensabile soprattutto per ben figurare, dal punto di vista del curriculum di base. in dibattimento. Poi è consigliabile un corso post-laurea di un anno in Italia che miri prettamente agli aspetti legali inerenti l'informatica ed il codice di procedura penale. Non sarebbe male toccare tutti gli elementi di base della criminalistica, soprattutto se, come CT si vuole comparire sulla scena del crimine oltre che in laboratorio e dibattimento (sulla scena del crimine non c'è solo l'informatica...). Per finire bisogna pianificare un corso annuale di aggiornamento tecnico e valutazione in vari aspetti del digital forensics da svolgere presso strutture specializzate straniere di alto profilo sia dal lato ricerca che da quello operativo (non affidatevi esclusivamente a centri di ricerca, esistono istituti che svolgono sia ricerca teorico/pratica che attività sul campo, riferitevi a quelli). In questo senso concepisco il concetto professionale di specializzarsi ed aggiornarsi in digital forensics.
Passo al dolente punto (2): iniziare a lavorare con le Procure e svolgere CT per la magistratura. Purtroppo per un neofita nel settore che non abbia già qualche forma di contatto con la magistratura la strada è veramente ardua. Bisogna essere molto cocciuti, iscriversi a tutti gli albi possibili... avere del tempo da spendere nei tribunali per assistere a testimonianze di CT già affermati nel settore e poi magari tentare di lavorare (si spera non a gratis...) per qualche consulente "di grido" con eccedenza di lavoro da svolgere. In tal senso va ricordato che ricercatori e professori universitari vengono spesso interpellati dalle Procure per cui bisogna essere informati anche in tali ambienti. Non va poi dimenticata la possibilità (per i più "ricchi") di crearsi una brochure delle attività che si è in grado di fare e passarla periodicamente (non troppo spesso) agli investigatori sul territorio delle Forze di Polizia. Questi, hanno bisogno di validi aiuti tecnici, soprattutto nei casi minori, che comunque costituiscono un modo per inziare.
Per il punto (3): avere dei contatti con gli specialisti nel settore delle Forze di Polizia per allargare le mie conoscenze e confrontarmi, la situazione non è delle migliori. Ci sono stati diversi laureati di mia conoscenza negli anni passati che hanno preso la laurea grazie ad una collaborazione nel Ra.C.I.S. o in altre strutture similari di altre Forze di Polizia italiane. Oggi tale fatto, almeno nell'Arma, è sempre più raro. La limitatezza dei fondi (non dimentichiamo che una struttura scientifico forense di polizia assorbe liquidità enormi) e l'esorbitante numero di attività di indagine richieste determina uno spazio pressochè nullo per studenti esterni in cerca di apprendimento. In ogni caso è sempre e solo il comando di vertice della Forza di Polizia (e non il comando del Reparto) a poter autorizzare una tale collaborazione o sorta di apprendistato di esterni.
Per finire è bene sottolineare qualcosa che nella domanda non viene considerato: l'attività di CT per i magistrati ha una sua gemella in quella di consulente di controparte, dove, in genere, si opera con un avvocato. Anche questa attività potrebbe essere un ottimo punto di partenza per farsi conoscere da magistratura ed avvocati. Molti, dati i possibili alti introiti, scelgono proprio di rimanere permanentemente da tale lato della barricata...
70) Domanda - Che qualifica deve avere un CT?
Quale studente neo-laureato in ambito tecnico, che certificazione mi conviene possedere per svolgere l'attività di consulente tecnico per le procure? In particolare, potrebbe indicarmi che tipo di qualifica professionale o accademica deve avere un CT per operare nel digital forensics?
Una domanda molto importante che, purtroppo, limitatamente alle mie conoscenze, ha una risposta molto semplice: in Italia nessuna!
Per quanto possa sembrare incredibile un consulente tecnico nel digital forensics (mio ambito di studio sul quale richiudo l'analisi) non ha necessità di nessun particolare titolo o qualifica tecnica, accademica o professionale. Che poi, se non preparato, possa sbugiardarsi in dibattimento di fronte a dei competenti tecnici di controparte, questo è possibile, ma non certo. Il fatto dipende, appunto, dalla controparte!
71) Domanda - Copie per la controparte
Trovandomi a svolgere il lavoro di consulente tecnico di controparte, spesso devo riacquisire copia bitstream dei reperti digitali del caso con grande dispendio di tempo e risorse economiche (non ultimo l'acquisto di memorie di massa ove destinare le immagini dei reperti). Non sarebbe interessante e conveniente poter disporre delle copie già svolte dalla PG e/o dal consulente del magistrato con relativi supporti per consentire al CTP di rieseguire l'analisi?
Ovviamente nulla vieta al magistrato di disporre la consegna al consulente di controparte dei dispositivi contenenti le immagini bit-stream dei reperti. Questo, a meno di considerazioni specifiche che possono sfuggirmi, a seguito di specifica richiesta dell'avvocato, avvalorata da considerazioni tecniche/economiche e di tempo.
Per diversi casi mi è capitato, infatti, di depositare quale nuovo reperto nell'ufficio corpi di reato, le citate immagini opportunamente protette da meccanismi hardware e software di certificazione di inalterabilità. In tal caso, sono a disposizione, dietro ovvia autorizzazione del magistrato competente. A questo ho aggiunto che spesso tali copie le ho prodotte in regime di irripetibilità, ossia in presenza delle controparti, da cui fornisco ai CTP di risparmiare soldi e tempo per tale meccanica attività.
Se il suo obiettivo, invece, è discutere l'affidabilità della copia svolta dalla PG o dai suoi CT allora è inutile che sottolinei l'importanza di ripetere l'attività di copia e di investirci tempo e denaro al fine, magari di confrontarla con l'altra già esistente ed evidenziare delle discrasie.
72) Domanda - Sistemi RAID
In caso di server con dischi in configurazione RAID sulla scena del crimine, quali tecniche di acquisizione consiglia?
Quando ci si trova sulla scena del crimine è bene analizzare e separare le problematiche, data la criticità della situazione. Facciamo quindi considerazioni ed anche alcune ipotesi operative:
a) Dato che ci si trova sulla scena del crimine il fattore tempo riveste un ruolo determinante, fino a prova contraria tutto si deve considerare come se cambiasse e si deteriorasse in tempo reale;
b) Studiamo un server per cui presumibilmente un sistema che risulta funzionante ed il cui contenuto-dati cambia costantemente.
c) Non ha evidenziato la necessità di analizzare la RAM del sistema e le altre eventuali memorie volatili del sistema per cui si può semplificare lo studio.
Passiamo quindi alle domande:
a) il server si può spegnere? in taluni casi questo non è possibile per varie questioni tecnico/amministrative
b) che tipo di RAID consideriamo? quanto è complesso lo schema di memorizzazione e, qualora il sistema sia un server finalizzato allo storage di alto livello, esistono particolari sistemi di journaling o certificazione dei dati attivi già a livello di firmware o sistema operativo?
c) qual'è la quantità di dati che si prende in considerazione? repertare una partizione speciale da svariati Terabyte può trovare impreparati anche il migliore dei tecnici sulla scena del crimine.
A queste domande va aggiunta la domanda fondamentale: qual'è lo scopo dell'acquisizione? Acquisire tutti i dischi che formano fisicamente il RAID per poi ricostruirlo in ambiente virtuale post-mortem è spesso rischioso, costoso in termini di mezzi e lento proceduralmente. Deve essere quindi giustificato dalla necessità di rinvenire dati non altrimenti visibili (es. aree nascoste dei dischi).
Acquisire la partizione logica cluster per cluster o blocco per blocco sfruttando il server stesso come virtualizzatore è una soluzione semplice e funzionale ma richiede che la comune attività del server sullo storage RAID sia quanto meno sospesa nel tempo di copia.
E ancora, a meno di casi specifici, raramente un server di grandi dimensioni mantiene dati di sola pertinenza del caso investigativo da cui è sempre preferibile fare copie a livello di file system in presenza delle controparti e/o di loro tecnici (irripetibile). In questo caso, come per la cluster-copy o block-copy il RAID non ha nessun interesse.
E ancora, si è sicuri che il meccanismo RAID non incorpori meccanismi cripto e/o di compressione? l'acquisizione fisica porterebbe, in tal caso, molti problemi di ricostruzione in laboratorio.
Ecc., come può vedere le considerazioni da fare sono molte, e non è stata presa in considerazione la RAM... gli scenari "live" pressuppongo valutazione pronta sul momento e decisioni di cui si può reggere la responsabilità legale.
73) Domanda - Spostare cellulari attivi
Non avevo mai seriamente considerato il danno che si potrebbe causare nello spostare un cellulare dalla scena del crimine rischiando di agganciare una cella diversa da dove è accaduto il fatto. Ma i kit per isolare i cellulari risolvono questo problema? E per i cellulari spenti il problema dello spostamento continua a sussistere?
I kit per isolare i cellulari risolvono il problema e si propongono anche come fonte di alimentazione del dispositivo. In definitiva non solo lo si riesce a spostare chiudendolo e quindi repertandolo nella gabbia campale ma si può continuare a tenere attivo (come evidenziato nelle lezioni di mobile forensics) evitando di perdere talune informazioni o di far attivare determinate protezioni.
Per la seconda domanda rispondo con una domanda: siamo sicuri che tutti i cellulari si spengano e si disconnettano dalla rete mobile quando a schermo non mostrano attività o quando si preme il tasto di spegnimento? Purtroppo la risposta è no perchè possono esistere tanti livelli di stand by.
74) Domanda - Anonimato assoluto
Nell'ipotesi che acquisti una SIM all'estero e che la usi per navigare su Internet in Italia tramite un cellulare UMTS di cui possa successivamente sbarazzarmi. Ammesso ancora che la navigazione avvenga su una distribuzione Linux live che incorpora il TOR. Posso considerare che le mie comunicazioni siano assolutamente sicure ed anonime?
Questa domanda vuole riassumere le svariate richieste sulla voglia di anonimato e sicurezza che tanto attanaglia il pubblico italiano (almeno quello che mi contatta). Mi sono stati proposti sistemi ben più sofisticati di quello che ho sommariamente riportato e sono rimasto ammirato dalla fantasia tecnologica dei proponenti.
Vi prego di considerare che il problema della sicurezza e dell'anonimato dipende sostanzialmente dai seguenti fattori: risorse e tempo. Più risorse ha il vostro "nemico" (e quindi più importante è l'informazione che proteggete) minore tempo per comunicare avete. Questo anche a dire che più tempo comunicate con lo stesso sistema a parità di risorse e maggiore è la probabilità di essere intercettati e localizzati
La chiave di un buon anonimato, quindi è nel variare il mezzo di trasmissione costantemente ed in tempi studiati per non impiegare troppe risorse (in questo il principio di funzionamento del TOR insegna molto). A titolo di divertimento vi propongo una massima: "10000 porte semplici da aprire, che si aprono su un labirinto, rendono inutile la porta blindata all'ingresso della stanza del tesoro!".
75) Domanda - Forensics per la ditta...
Ipotizziamo che uno dei dirigenti della ditta per la quale lavoro come amministratore di sistema ed anche come responsabile per la sicurezza informatica mi chieda di verificare il contenuto del PC di un dipendente che lui ritiene "sospetto" al fine di capire se ci sono elementi che possano avvalorare l'ipotesi di un reato. Ritiene indispensabile per me l'uso di strumenti e metodi della computer forensics? Corro qualche rischio nello svolgerla? Posso svolgerla senza problemi?
La domanda, molto interessante, non è ovviamente completa di tutti i particolari necessari ad una risposta esaustiva. Ad ogni modo, facendo qualche ipotesi, si può ragionare su una risposta plurivalente.
Se la citata analisi è svolta con il consenso e magari la presenza del "sospettato" non corre rischi di nessun tipo. Sfortunatamente non mi sembra questo il caso in studio...
Ipotizzo, quindi, che debba operare all'insaputa dell'utente sui suoi dati. Va in questo caso fatta una valutazione sui diritti e doveri dell'utente rispetto ai dati che tratta sul PC aziendale. La domanda che deve essere soddisfatta è quindi: che tipo di accordo ha fatto firmare la ditta al suo dipendente in relazione al trattamento ed alla comunicazione dei dati?
Se nell'accordo formale l'utente cede all'azienda il pieno possesso dei dati trattati e comunicati lei non corre nessun rischio e può svolgere l'analisi in locale o remoto anche senza avvisare l'utente.
Se l'accordo semplicemente non c'è o non garantisce opportunamente la ditta anche solo nel trattamento in locale dei dati la sua analisi si configurerebbe come un'intrusione informatica con appropriazione di dati e quindi un reato.
Rispetto alla domanda se la sua analisi debba rispettare i dettami della computer forensics o meno è bene capire perchè la computer forensics opera ed è studiata in un certo modo. La base della computer forensics è svolgere un'attività che alteri il reperto (digitale) nel minor modo possibile, nel migliore dei casi che non lo alteri affatto (tool e teorie della materia sono costruiti dirigendosi sempre verso questa direzione). Questo determina delle giuste garanzie per l'indagato.
Nel suo caso, sia che abbia tutte le autorizzazioni operando nel lecito che non le abbia e quindi svolga illecita analisi, è bene che segua sempre sistemi e principi della computer forensics. Nel primo caso per garantire sia la ditta (lei incluso) che la persona sospettata e nel secondo per evitare di lasciare tracce del suo operato...
76) Domanda - Alterazione Hard Disk...
L'operazione di copia bit-stream di un HD normalmente impiegata a scopo forense si esplicita attraverso una copia sequenziale dei settori fisici e quindi dovrebbe poter essere ripetuta varie volte sul reperto HD senza incorrere con alta probabilità in sue alterazioni. Cosa ne pensa?
Riporterò di seguito alcune considerazioni sull'argomento:
1) Cos’è la lettura o scrittura sequenziale dei settori fisici in un hard disk? Nei moderni hard disk l’indirizzamento LBA da 0 ad n è tutt’altro che riferito alla geometria fisica REALE del dispositivo. La posizione geometrica spaziale della testina, o meglio del pettine, viene determinata a seguito di un processo di conversione in cui è un algoritmo della casa madre a stabilire le corrispondenze. In definitiva andare dal settore fisico 0 a quello n-esimo non significa necessariamente percorrere con le testine le aree dei dischi secondo un metodo meccanicamente sequenziale.
2) L’operazione di lettura dei dati in maniera effettivamente sequenziale da un hard disk è poco stressante per il pettine ma può risultare comunque molto onerosa per la meccanica e l’elettronica del dispositivo. In particolare, le bit-stream image, ossia le copie integrali dei settori fisici, dato l’attuale rapporto capacità/velocità di lettura degli hard disk, tendono a durare svariate ore se non giorni, elevando la temperatura del dispositivo e quindi le possibilità di fault. Questo non avveniva alcuni anni fa, quando la durata temporale delle copie era comunque molto inferiore.
3) L’operazione più stressante in assoluto per un hard disk è ovviamente il random-seeking ciclico, ossia il puntamento ripetitivo e casuale con lettura parziale di settori fisici. Questa operazione, se protratta per alcuni giorni, garantisce quasi con certezza almeno un fault.
NOTA BENE: per quanto il random seeking sembri un’operazione assurda è qualcosa cui ci si avvicina spesso in un laboratorio di digital forensics. Ciò avviene, infatti, quando si sviluppano pesanti e complesse ricerche all’interno del file immagine di hard disk. In definitiva lo stress e l’inaffidabilità riguarda spesso il disco delle workstation forensi che va considerato in RAID oppure, in casi estremi, sostituito ogni 6 mesi…
LISTA DEGLI ARGOMENTI DELLE DOMANDE
- Azioni e strumenti del RaCIS
- Lavoro al Ra.C.I.S.
- ENFSI
- Open Source
- Reperto originale
- Computer di bordo
- Stealth Phone
- Cellulari cifranti
- Convenzione di Budapest
- Cell-Phone Forensics
- Clonazione cellulare
- Analisi di cellulare
- TULP2G
- Software spia nei cellulari
- Nokia PC Suite per analisi forense
- Protocollo di repertamento digitale
- Protocollo di repertamento dell'Arma
- Sulla scena del crimine...
- Protocollo per le aziende
- Digital Forensics
- Embedded System Forensics
- Hard Disk Protetto
- Server all'estero
- Scena del crimine
- Poteri del Consulente Tecnico
- Limiti della funzione di hash
- Una situazione
- Cosa analizzare nei reperti?
- Sequestrare cosa?
- Forze di Polizia ed i CTU
- La procedura e la PG
- GHOST
- Privacy & Email
- Attendibilità delle memorie
- Ripetibilità delle analisi
- Un caso anomalo
- Un file system per il Digital Forensics
- Hash da impiegare
- Depositare HD in Procura
- Live PC
- Write Blocker
- Garanzie sulla copia delle memorie
- Helix e le copie
- Cluster-copy
- Wiping (I)
- Nascondere file(s)
- Wiping (II)
- Analisi a PC spento
- Analisi della RAM (I)
- Analisi della RAM (II)
- Virtual Forensic Computing
- Affidabilità dei tool
- DD
- Certificazione dei tool
- JTAG
- Attacco dall'estero
- Accordi per le indagini
- IP-address
- IPv6
- Analisi IP-address
- DHCP Log
- Log & Privacy
- Affidabilità dei Log
- Le intrusioni delle FFPP
- Dati pertinenti alle indagini
- Analisi del traffico
- Dati da tool "abusivi"
- Network Forensics & Network Analysis
- Come si diventa CT?
- Che qualifica deve avere un CT?
- Copie per la controparte
- Sistemi RAID
- Spostare cellulari attivi
- Anonimato assoluto
- Forensics per la ditta...
- Alterazione Hard Disk ... <new>