4. From: 66.76.230.140 To: 213.44.56.72 Ogni pezzo viene identificato come “pacchetto” Il pacchetto contiene informazioni essenziali per la ricostruzione della comunicazione (Mittente, Destinatario ...) Protocol: FTP Part: 1 of 3 La catena di custodia
5. I pacchetti vengono inviati attraverso la rete Rimandami il pacchetto 2! grazie Eccolo di nuovo ... ! Può capitare che qualche pacchetto vada perso durante la trasmissione MITTENTE DESTINATARIO Packet Sniffer
6. Non sempre i pacchetti arrivano in ordine Quindi il client destinatario deve riordinarli Packet Sniffer – l’ordine dei pacchetti
28. Computer Forensics – la definizione Computer Forensics La Computer forensics è la disciplina che si occupa della preservazione, dell'identificazione, dello studio, della documentazione dei computer, o dei sistemi informativi in generale, al fine di evidenziare l’esistenza di prove nello svolgimento dell’attività investigativa.
29. I dispositivi hardware – system forensic Sono interi sistemi, computer/server, dedicati alla computer forensics. Sono caratterizzati da consistenti volumi di archiviazione (storage), ridondanza elettrica per garantire la continuità dell’attività anche in caso di black-out o improvvisi abbassamenti di tensione, grande memoria RAM oltre che a sistemi multiprocessore per garantire una maggiore velocità di calcolo e una serie di periferiche (r/w) per la lettura dei più svariati supporti di massa. System forensic
30. I dispositivi hardware – write blocker Write blocker Sono strumenti portatili che permettono di leggere i più svariati supporti di massa preservandone il contenuto. In pratica non permettono la modifica / la scrittura accidentale . Vengono posizionati (solitamente attraverso interfaccia USB) tra il computer utilizzato per l’analisi e il supporto oggetto di analisi.
31.
32.
33. La creazione dell’immagine forense – un metodo rischioso Disco destinazione per l’immagine forense Macchina sospetta Forensic boot CD Con write blocker software
34. La creazione dell’immagine forense – un buon metodo Disco destinazione per l’immagine forense Forensic system Forensic boot CD Con write blocker software Disco sorgente fonte di prova
35. La creazione dell’immagine forense – un ottimo metodo Disco destinazione per l’immagine forense Forensic system Disco sorgente fonte di prova Write blocker
36. Hashing – la firma digitale nelle prove informatiche Nel linguaggio scientifico, l' hash è una funzione univoca operante in un solo senso (ossia, che non può essere invertita), atta alla trasformazione di un testo di lunghezza arbitraria in una stringa di lunghezza fissa, relativamente limitata. Tale stringa rappresenta una sorta di "impronta digitale" del testo in chiaro, e viene detta valore di hash , checksum crittografico o message digest . In informatica, la funzione di trasformazione che genera l'hash opera sui bit di un file qualsiasi, restituendo una stringa di bit di lunghezza predefinita. Spesso il nome della funzione di hash include il numero di bit che questa genera: ad esempio, SHA-256 genera una stringa di 256 bit. Fonte: wikipedia Hash:
37. La catena di custodia E’ importante considerare: - la prova informatica deve essere sempre accompagnata da un sistema per garantire l’inalterabilità della stessa nel corso dell’indagine (Digital Hash). Qualsiasi sia la prova acquisita deve essere verificata e quanto prima applicato l’algoritmo di HASH. La pratica della Computer Forensics prevede tutto questo nella fase di sequestro, dando evidenza cartacea all’interessato contenente l’elenco del materiale sequestrato e con le rispettive stringhe di hash ottenute; - l’analisi deve essere sempre effettuata, ove possibile, con delle copie e non sui supporti originali. Questa tecnica viene definita (off-line analysis)
38. 19 Settembre 2008 – Ordine degli avvocati di Bergamo Grazie per l’attenzione Marco Signorelli [email_address]