1. CONSULENTE INFORMATICO Marco Signorelli [email_address] 19 Settembre 2008 Ordine degli Avvocati di Bergamo Auditorium del Collegio Sant’Alessandro

3. La comunicazione viene spezzettata in tanti pezzi Packet Sniffer

4. From: 66.76.230.140 To: 213.44.56.72 Ogni pezzo viene identificato come “pacchetto” Il pacchetto contiene informazioni essenziali per la ricostruzione della comunicazione (Mittente, Destinatario ...) Protocol: FTP Part: 1 of 3 La catena di custodia

5. I pacchetti vengono inviati attraverso la rete Rimandami il pacchetto 2! grazie Eccolo di nuovo ... ! Può capitare che qualche pacchetto vada perso durante la trasmissione MITTENTE DESTINATARIO Packet Sniffer

6. Non sempre i pacchetti arrivano in ordine Quindi il client destinatario deve riordinarli Packet Sniffer – l’ordine dei pacchetti

7. L’utilizzo di programmi di sniffing per la lettura dei pacchetti Programmi di sniffing

8. CommView – L’interfaccia IP del mittente (locale) Packet Sniffer - CommView

9. CommView – L’interfaccia L’IP del destinatario (remoto) Packet Sniffer - CommView

10. CommView – L’interfaccia Numero di pacchetti ricevuti Packet Sniffer - CommView

11. Numero di pacchetti inviati CommView – L’interfaccia Packet Sniffer - CommView

12. Direzione della trasmissione (IN / OUT) CommView – L’interfaccia Packet Sniffer - CommView

13. Numero delle sessioni TCP/IP attive CommView – L’interfaccia Packet Sniffer - CommView

14. Porte utilizzate per la trasmissione CommView – L’interfaccia Packet Sniffer - CommView

15. Hostname del computer remoto CommView – L’interfaccia Packet Sniffer - CommView

16. Numero di bytes trasmessi per la comunicazione CommView – L’interfaccia Packet Sniffer - CommView

17. Packet Sniffer – CommView, un esempio di applicazione outgoing incoming Selezione del pacchetto Direzione della comunicazione

18. Raw packet details (hexadecimal/plain text) Packet Sniffer – CommView, un esempio di applicazione outgoing incoming

19. Dettaglio pacchetto Packet Sniffer – CommView, un esempio di applicazione outgoing incoming

20. Packet Sniffer – CommView, un esempio di applicazione Java applet – ricerca dell’URL sul quale sono ospitati i file

21. Inizia la cattura Packet Sniffer – CommView, un esempio di applicazione outgoing incoming

22. Cattura iniziata Packet Sniffer – CommView, un esempio di applicazione outgoing incoming

23. Inizia il download Packet Sniffer – CommView, un esempio di applicazione Ricorda il nome file

24. Stop c attura Packet Sniffer – CommView, un esempio di applicazione outgoing incoming

25. Ricerca nome file Packet Sniffer – CommView, un esempio di applicazione outgoing incoming

26. http://128.242.207.175/stoniotheman/50cent/50cent-04.zib Trovato l’URL Packet Sniffer – CommView, un esempio di applicazione outgoing incoming

28. Computer Forensics – la definizione Computer Forensics La Computer forensics è la disciplina che si occupa della preservazione, dell'identificazione, dello studio, della documentazione dei computer, o dei sistemi informativi in generale, al fine di evidenziare l’esistenza di prove nello svolgimento dell’attività investigativa.

29. I dispositivi hardware – system forensic Sono interi sistemi, computer/server, dedicati alla computer forensics. Sono caratterizzati da consistenti volumi di archiviazione (storage), ridondanza elettrica per garantire la continuità dell’attività anche in caso di black-out o improvvisi abbassamenti di tensione, grande memoria RAM oltre che a sistemi multiprocessore per garantire una maggiore velocità di calcolo e una serie di periferiche (r/w) per la lettura dei più svariati supporti di massa. System forensic

30. I dispositivi hardware – write blocker Write blocker Sono strumenti portatili che permettono di leggere i più svariati supporti di massa preservandone il contenuto. In pratica non permettono la modifica / la scrittura accidentale . Vengono posizionati (solitamente attraverso interfaccia USB) tra il computer utilizzato per l’analisi e il supporto oggetto di analisi.

33. La creazione dell’immagine forense – un metodo rischioso Disco destinazione per l’immagine forense Macchina sospetta Forensic boot CD Con write blocker software

34. La creazione dell’immagine forense – un buon metodo Disco destinazione per l’immagine forense Forensic system Forensic boot CD Con write blocker software Disco sorgente fonte di prova

35. La creazione dell’immagine forense – un ottimo metodo Disco destinazione per l’immagine forense Forensic system Disco sorgente fonte di prova Write blocker

36. Hashing – la firma digitale nelle prove informatiche Nel linguaggio scientifico, l' hash è una funzione univoca operante in un solo senso (ossia, che non può essere invertita), atta alla trasformazione di un testo di lunghezza arbitraria in una stringa di lunghezza fissa, relativamente limitata. Tale stringa rappresenta una sorta di "impronta digitale" del testo in chiaro, e viene detta valore di hash , checksum crittografico o message digest . In informatica, la funzione di trasformazione che genera l'hash opera sui bit di un file qualsiasi, restituendo una stringa di bit di lunghezza predefinita. Spesso il nome della funzione di hash include il numero di bit che questa genera: ad esempio, SHA-256 genera una stringa di 256 bit. Fonte: wikipedia Hash:

37. La catena di custodia E’ importante considerare: - la prova informatica deve essere sempre accompagnata da un sistema per garantire l’inalterabilità della stessa nel corso dell’indagine (Digital Hash). Qualsiasi sia la prova acquisita deve essere verificata e quanto prima applicato l’algoritmo di HASH. La pratica della Computer Forensics prevede tutto questo nella fase di sequestro, dando evidenza cartacea all’interessato contenente l’elenco del materiale sequestrato e con le rispettive stringhe di hash ottenute; - l’analisi deve essere sempre effettuata, ove possibile, con delle copie e non sui supporti originali. Questa tecnica viene definita (off-line analysis)

38. 19 Settembre 2008 – Ordine degli avvocati di Bergamo Grazie per l’attenzione Marco Signorelli [email_address]