Il recupero delle informazioni cancellate o

nascoste

Avv. Edoardo E. ArteseDott. Fabio P. Prolo

STUDIO LEGALE FERRARI ARTESE, Via Fontana 2, Milanoinfo@fa-lex.com

IL RECUPERO DEI FILE CANCELLATI

Perché si recuperaun file cancellato?

1) Curiosità2) Investigazione3) Necessità

Curiosità:Un utente entra in possesso di un dispositivo altrui (computer, smartphone, tablet etc.) e decide di esplorarlo.

Rischi:

- Art. 167 D. Lgs. 196/2003 «Trattamento illecito di dati»

- Art. 615 ter c.p. «Accesso abusivo a sistema informatico o telematico»

Investigazione:Esigenze processuali possono spingere professionisti del settore a ricercare, oltre ai dati visibili, anche quelli cancellati. L’investigatore informatico ha solitamente a disposizione strumenti (hardware e software) molto potenti e costosi.

Soggetti:

- Forze dell’Ordine

- Consulenti tecnici

Necessità:Un utente può aver necessità di recuperare file cancellati accidentalmente o volontariamente.

Cause della cancellazione:

- Supporto rovinato

- Dato cancellato volontariamente

Possibilità di successo

Variano a seconda:

- del sistema utilizzato per la cancellazione

- dalle cause della cancellazione

- dal sistema utilizzato per il recupero

- del tempo trascorso dalla cancellazione

LE PROCEDURE DI RECUPERO

• Il recupero dati c.d. semplice

• Il Data Carving

Il semplice recupero

Consiste nel rimuovere uno strato «superficiale» di memoria per recuperare file cancellati in maniera semplice, recenti o risalenti nel tempo.

Il Data Carving

Consiste nello scavare nella memoria di un supporto al fine di recuperare più informazioni possibili da una massa di dati apparentemente informe.

Una corretta definizione di carving:«Carving is the term most often used to indicate the act of recovering a file from unstructured digital forencis. The term unstructured indicates that the original digital image does not contain useful filesystem information which may be used to assist in this recovery. Typically, forensic analysts resort to carving techniques as an avenue of last resort due to the difficulty of current techniques. Most current techniques rely on manual inspection of the file to be recovered and manually reconstructing this file using trial and error. Manual processing is typically impractical for modern disk images which might contain hundreds of thousands of files.”

- M. I. Choen, Advanced Carving Techniques in Digital Investigation, 4 (2007), pp. 119-128

Cosa si recupera?Il recupero può riguardare qualsiasi tipo di file: documenti, immagini, file di sistema, temporanei, di log etc.

I file non devono per forza essere integri, bastano anche dei frammenti per ottenere un file completo o, comunque, un’informazione utile.

Come si recupera?

…..i Tools

Gli strumenti possono essere:

- HardwareUtilizzati se i dati di interesse sono stati corrotti o i supporti danneggiati. La loro efficienza si basa sulla potenza di calcolo.

- SoftwareUtilizzati per dare un senso ai file recuperati.

I softwareEsistono due tipologie di software per il recupero dati:

- Software di Data RecoveryFunzionano solo se le informazioni nel file system

sono integre, ossia se sono reperibili tutti i cluster. Possono recuperare, ma non ricostruire. E’ una delle forme di recupero c.d. semplici. - Software di Data Carving

Recuperano anche semplici frammenti e ricostruiscono i file logicamente procedendo byte per byte. Funzionano a prescindere dall’integrità del cluster.

PRO e CONTRO• I programmi di data recovery :

- recuperano il nome del file;- recuperano il percorso di salvatggio del file;- sono inefficaci verso i sistemi di cancellazione completa (wiping , shredding o semplice formattazione);- sono inefficaci verso file i cancellati da tempo.

• I programmi di data carving :- non recuperano il nome del file;- non recuperano il percorso di salvatggio del file;- presentano spesso file recuperati ma incompleti o contenenti errori;- sono sempre efficaci.

Hands On: Free Undelete 2.0

TEST

1) Download del programma (3 fasi)

TEST

TEST

TEST

2) Installazione (8 fasi)

TEST

TEST

TEST

TEST

TEST

TEST

TEST

TEST

3. Aggiungiamo dei file di prova (jpeg e PDF) su una chiavetta da 2GB (3 fasi)

TEST

TEST

…e rimuoviamoli.

TEST

4. Lanciamo FreeUndelete 2.0

TEST

5. Recuperiamo i nostri file cancellati (9 fasi)

TEST

TEST

TEST

TEST

TEST

TEST

TEST

TEST

TEST

TEST

IL RECUPERO DELLE

INFORMAZIONI NASCOSTE

I metadatiCome suggerisce la parola stessa, i metadati sono dati contenuti in altri dati ( o più precisamente in file).

Sono dati nascosti!

Molti file non portano con se solamente il contenuto che racchiudono direttamente (il testo in un file .doc o un immagine in un .jpeg) ma anche ulteriori informazioni, spesso nascoste ad una ricerca superficiale.

Alcuni esempi di metadati:- Autore del file

- Software usato per la creazione

- Chiavi di registro del software

- Parti cancellate del file (es. precedenti revisioni)

- Orari di stampa, di ultima modifica etc.

La pericolosità dei metadati:

Il curioso caso de «La proposta di legge per Internet territorio della libertà dei diritti e dei doveri»

TEST

TEST

TEST

Proteggere i propri dati (o metadati)

Oltre che proteggere interamente i file tramite sistemi crittografici, è possibile nascondere anche solo i metadati presenti nei nostri documenti.

La maggior parte dei software infatti mette a disposizione dell’utente delle opzioni che permettono di decidere quali dati rendere visibili e quali no.

TEST

1. File-> Opzioni

TEST

2. Centro Protezione -> Impostazioni

TEST

3. Opzioni -> Rimuovi…

Preservare l’integrità e la disponibilità del dato:

L’arte del Backup

Il Backup è una copia di sicurezza o di riserva delle informazioni presenti su una memoria di massa di un qualsiasi supporto.E’ il modo più semplice ed efficace per recuperare dati perduti.

I tre fattori essenziali:

i) La cadenza temporale del backup

ii)Il luogo del back up

iii)I dati del backup

I. La cadenza temporale del backup:

- Il backup automatizzato

- Gli obblighi di legge ai sensi dell’Allegato B del D. Lgs. 196/2003

II. Il luogo del back up:

- Il backup in locale

- Il backup su supporto esterno

- Il backup in cloud

Un esempio di backup in cloud

III. Il tipo di dati:

- Copia immagine di un disco rigido

- Copia selettiva di directory e singoli file

Il fattore X

LA SICUREZZA

Anche i backup devono essere protetti!

Al backup devono essere applicate le stesse misure di sicurezza utilizzate per copia

originale.

Non avrebbe senso, ad esempio, avere un hard disk cifrato e un backup in chiaro

Hands On: Cobian Backup 10

1. Scarico e installo Cobian Backup 10

2. Creo un nuovo «task»

3. Scelgo i dati

4. Scelgo la cadenza temporale

5. Scelgo un’eventuale compressione

6. Scelgo un’eventuale sistema crittografico

Il backup su dispositivi diversi dal computer

iTunes: il backup dei dispositivi Apple.

Il backup dei dispositivi Android

a. Il sistema «nativo»

b. Un App: Easy Backup

Riferimenti

La presente lezione è tratta da

Giovanni Ziccardi

L’Avvocato Hacker

Capitolo XIX – Capitolo XX

FINEAvv. Edoardo E. Artese

Dott. Fabio P. Prolo

edoardo.artese@fa-lex.com

f.prolo@fa-lex.com