Computer Forensics

14

description

Computer Forensics Luca Basili, Walter Falistocco e Daniele Branchesi - classe 5° segione G - Linux Day – ITIS “E. Divini”, San Severino Marche il, 24 Ottobre 2009

Transcript of Computer Forensics

Page 1: Computer Forensics
Page 2: Computer Forensics

La Digital Forensics è la disciplina scientifica che serve per identificare, acquisire ed analizzare una prova digitale preservandola da eventuali alterazioni.

Page 3: Computer Forensics

Quando si pensa alle perizie informatiche, si associano spesso a reati informatici, infatti ogni reato oggi ha a che fare con i dispositivi digitali i cosiddetti CyberCrimes:

- le truffe su internet

- il phishing

- il falso in bilancio

- gli omicidi

- la pedopornografia

- il terrorismo.

Page 4: Computer Forensics

Non bisogna credere che la perizia su un computer o su una sim card vada compiuta solo a seguito di un crimine “prettamente” informatico, perché nel momento in cui qualcuno commette un reato, c’è l’alta probabilità che abbia pianificato, ricercato, scritto e conservato qualcosa su una memoria digitale, sia esso un hard disk, dei DVD o CD-ROM.

Normalmente si cerca di comprendere la verità con i sistemi classici, con l’analisi di carte , fascicoli e testimonianze (a volte inattendibili), quando magari si potrebbe risparmiare tempo ed avere prove compromettenti individuando un documento elettronico in cui l’indagato pianificava,ad esempio, l’omicidio della moglie.

Page 5: Computer Forensics

È compito degli investigatori del futuro adottare un protocollo comune di custodia ed analisi dei dati, per evitare che le prove non vengano alterate, conservando le informazioni indispensabili per l’indagine investigativa.

Page 6: Computer Forensics

Esistono due software con distribuzioni Linux legate alla

Computer Forensics:

Page 7: Computer Forensics

-CAINE (Computer Aided INvestigative Environment) offre un ambiente completo ed organizzato con tutti i programmi necessari per aiutare le attività investigative. Ha una interfaccia gradevole e funziona come live-cd cosi da non intaccare minimamente il sistema su cui gira.

Page 8: Computer Forensics

- HELIX, ottimo per la indipendenza da Windows e senza possibilità che i dati rilevati possano venire “inquinati”, in quanto non necessita di installazione,  si avvia direttamente da Cd e dispone di molti strumenti dedicati, anche se non facili da usare, alla computer forensics.

Page 9: Computer Forensics

La Digital Forensics si snoda attraverso quattro fasi

principali:

1) Identificazione 2) Acquisizione3) Analisi e valutazione4) Rapporto

Page 10: Computer Forensics

Identificazione

Lo sheet “Grissom Analyzer” raccoglie 4 strumenti destinati all’identificazione da svolgersi sulla macchina, i dispositivi o l’immagine da analizzare. Questi tool ci mostrano le caratteristiche delle partizioni, dell’immagine e del file system. È inoltre presente LRRP che consente di raccogliere informazioni sulle caratteristiche del dispositivo e sulla configurazione hardware della macchina sospetta. LRRP registra se i dispositivi oggetto di analisi sono montati e nel caso in quale modalità.

Page 11: Computer Forensics

Acquisizione

Lo sheet “Acquisizione” palesa immediatamente la funzione dei tools che raccoglie! Attraverso questo pannello è possibile procedere all’acquisizione dell’immagine del dispositivo sorgente utilizzando il noto strumento AIR (Automated Image Restore) oppure avviare il terminale per utilizzare i classici tool di duplicazione.

Page 12: Computer Forensics

Analisi e valutazioneLo sheet “Analisi” raccoglie i tools più classici della disciplina,

quali Autopsy, Foremost, Scalpel, Stegdetect e OphCrack. Cliccando il tasto corrispondente ad Autopsy viene automaticamente avviato Firefox, con impostato il corretto indirizzo locale, mentre scegliendo Foremost e Scalpel si ha la possibilità di scegliere o editare i file di configurazione per il carving. Sono inoltre presenti SFDumper per il recupero selettivo dei file e FUndl (File Undelete), per il recupero dei soli file cancellati.

Page 13: Computer Forensics

RapportoLo sheet “Rapporto” consente di aggiungere proprie note

utilizzando la funzione “Rapporto personale” e di creare il rapporto in formato RTF o HTML. Attraverso il pulsante “Cartella Report” sarà possibile accedere al file di log e rapporto generato.

Page 14: Computer Forensics

Vi ringraziamo per l’attenzione

Luca BasiliWalter Falistocco

Daniele Branchesi