View
212
Download
0
Category
Preview:
DESCRIPTION
Talk tenuto presso SMAU 2009 sull'Effetto CSI: l'analisi forense e le indagini digitali tra
Citation preview
Effetto CSI:
Davide GabriniDigital Forensic Jedi
SMAU Academy
sikurezza.orgMilano, 21.10.2009
Introduzione
Scienza
Fantascienza
Image forensicsEnhancement
Identificazione
Autenticazione
On-site
On-line
Data recovery
Contatti
leggende e realtà delle indagini digitali
SMAU 2009 - Milano, 21.10.2009
Effetto CSI:
Davide GabriniDigital Forensic Jedi
SMAU Academy
sikurezza.orgMilano, 21.10.2009
Introduzione
Scienza
Fantascienza
Image forensicsEnhancement
Identificazione
Autenticazione
On-site
On-line
Data recovery
Contatti
leggende e realtà delle indagini digitali
Chi vi parla
Davide ‘Rebus’ GabriniPer chi lavoro non è un mistero.Oltre a ciò:
Consulente tecnico e Perito forense Docente di sicurezza informatica e
computer forensics per Corsisoftware srlCome vedete non sono qui in divisa
Effetto CSI:
Davide GabriniDigital Forensic Jedi
SMAU Academy
sikurezza.orgMilano, 21.10.2009
Introduzione
Scienza
Fantascienza
Image forensicsEnhancement
Identificazione
Autenticazione
On-site
On-line
Data recovery
Contatti
leggende e realtà delle indagini digitali
Effetto CSI Con il termine "effetto CSI" si fa
riferimento al modo in cui alcune serie televisive di successo hanno cambiato la percezione che la gente comune ha verso la medicina forense e le perizie scientifiche in generale, alzando le aspettative e richiedendo la stessa qualità di risultati che si può apprezzare in televisione.
(più o meno preso da Wikipedia)
Uno dei campi interessati dal fenomeno è ovviamente quello dell'informatica forense
Effetto CSI:
Davide GabriniDigital Forensic Jedi
SMAU Academy
sikurezza.orgMilano, 21.10.2009
Introduzione
Scienza
Fantascienza
Image forensicsEnhancement
Identificazione
Autenticazione
On-site
On-line
Data recovery
Contatti
leggende e realtà delle indagini digitali
La computer forensics è la disciplina che si occupa della
preservazione, dell'identificazione, dello studio, della documentazione
dei computer, o dei sistemi informativi in generale, al fine di evidenziare l’esistenza di prove
nello svolgimento dell’attività investigativa.
(A.Ghirardini: “Computer forensics” – Apogeo)
L’obiettivo è dunque quello di evidenziare dei fatti pertinenti l’indagine da sottoporre a giudizio
Computer Forensics
Effetto CSI:
Davide GabriniDigital Forensic Jedi
SMAU Academy
sikurezza.orgMilano, 21.10.2009
Introduzione
Scienza
Fantascienza
Image forensicsEnhancement
Identificazione
Autenticazione
On-site
On-line
Data recovery
Contatti
leggende e realtà delle indagini digitali
Necessità di una metodologia scientifica Nuova specilizzazione di polizia scientifica Pervasività delle tecnologie digitali Loro implicazione in attività delittuose
Lo strumento informatico come mezzo Lo strumento informatico come fine
Nonostante la pervasività, il reale funzionamento della tecnologia resta ai più misterioso
Le tracce digitali possono avere una natura estremamente delicata, che richiede competenze specifiche per la trattazione
Effetto CSI:
Davide GabriniDigital Forensic Jedi
SMAU Academy
sikurezza.orgMilano, 21.10.2009
Introduzione
Scienza
Fantascienza
Image forensicsEnhancement
Identificazione
Autenticazione
On-site
On-line
Data recovery
Contatti
leggende e realtà delle indagini digitali
Scopi di un’analisi forense
Confermare o escludere un evento Individuare tracce e informazioni utili
a circostanziarlo Acquisire e conservare le tracce in
maniera idonea, che garantisca integrità e non ripudiabilità
Interpretare e correlare le evidenze acquisite
Riferire con precisione ed efficienza
Effetto CSI:
Davide GabriniDigital Forensic Jedi
SMAU Academy
sikurezza.orgMilano, 21.10.2009
Introduzione
Scienza
Fantascienza
Image forensicsEnhancement
Identificazione
Autenticazione
On-site
On-line
Data recovery
Contatti
leggende e realtà delle indagini digitali
Cosa NON è
Fantascienza televisiva: CSI, NCIS, Criminal Minds, RIS ecc. propinano solitamente boiate
…e al cinema è anche peggio ;-)
Anche gli organi di informazione (non del settore) spesso instillano convinzioni del tutto infondate…
Effetto CSI:
Davide GabriniDigital Forensic Jedi
SMAU Academy
sikurezza.orgMilano, 21.10.2009
Introduzione
Scienza
Fantascienza
Image forensicsEnhancement
Identificazione
Autenticazione
On-site
On-line
Data recovery
Contatti
leggende e realtà delle indagini digitali
Effetto CSI:
Davide GabriniDigital Forensic Jedi
SMAU Academy
sikurezza.orgMilano, 21.10.2009
Introduzione
Scienza
Fantascienza
Image forensicsEnhancement
Identificazione
Autenticazione
On-site
On-line
Data recovery
Contatti
leggende e realtà delle indagini digitali
Image forensics“Forensic image analysis is the application
of image science and domain expertise to interpret the content of an image or the image itself in legal matters” (SWGIT – www.fbi.gov)
Le principali discipline della Forensic Image Analysis includono:
FotogrammetriaComparazione fotograficaAnalisi dei contenutiAutenticazione dell’immagineIdentificazione della sorgente
Effetto CSI:
Davide GabriniDigital Forensic Jedi
SMAU Academy
sikurezza.orgMilano, 21.10.2009
Introduzione
Scienza
Fantascienza
Image forensicsEnhancement
Identificazione
Autenticazione
On-site
On-line
Data recovery
Contatti
leggende e realtà delle indagini digitali
CSI e lo zoom
Effetto CSI:
Davide GabriniDigital Forensic Jedi
SMAU Academy
sikurezza.orgMilano, 21.10.2009
Introduzione
Scienza
Fantascienza
Image forensicsEnhancement
Identificazione
Autenticazione
On-site
On-line
Data recovery
Contatti
leggende e realtà delle indagini digitali
CSI Miami e lo zoom 2
Effetto CSI:
Davide GabriniDigital Forensic Jedi
SMAU Academy
sikurezza.orgMilano, 21.10.2009
Introduzione
Scienza
Fantascienza
Image forensicsEnhancement
Identificazione
Autenticazione
On-site
On-line
Data recovery
Contatti
leggende e realtà delle indagini digitali
Cosa NON si può fare
Avete visto come si ingrandiscono le foto in film come Blade Runner o in serie come CSI e RIS?
Spiacente, ma la realtà, anche digitale, somiglia più a Blow Up…
Non si possono "creare" informazioni che non ci sono
Si possono però enfatizzare informazioni che non si vedono, ma ci sono
Effetto CSI:
Davide GabriniDigital Forensic Jedi
SMAU Academy
sikurezza.orgMilano, 21.10.2009
Introduzione
Scienza
Fantascienza
Image forensicsEnhancement
Identificazione
Autenticazione
On-site
On-line
Data recovery
Contatti
leggende e realtà delle indagini digitali
Evidenziazione dettagli
Immagini: www.hyperreview.net
Effetto CSI:
Davide GabriniDigital Forensic Jedi
SMAU Academy
sikurezza.orgMilano, 21.10.2009
Introduzione
Scienza
Fantascienza
Image forensicsEnhancement
Identificazione
Autenticazione
On-site
On-line
Data recovery
Contatti
leggende e realtà delle indagini digitali
Oggetto in movimento
Immagini: www.amped.it
Effetto CSI:
Davide GabriniDigital Forensic Jedi
SMAU Academy
sikurezza.orgMilano, 21.10.2009
Introduzione
Scienza
Fantascienza
Image forensicsEnhancement
Identificazione
Autenticazione
On-site
On-line
Data recovery
Contatti
leggende e realtà delle indagini digitali
Oggetto in movimento
Immagini: www.amped.it
Effetto CSI:
Davide GabriniDigital Forensic Jedi
SMAU Academy
sikurezza.orgMilano, 21.10.2009
Introduzione
Scienza
Fantascienza
Image forensicsEnhancement
Identificazione
Autenticazione
On-site
On-line
Data recovery
Contatti
leggende e realtà delle indagini digitali
Correzione prospettiva
Immagini: www.amped.it
Effetto CSI:
Davide GabriniDigital Forensic Jedi
SMAU Academy
sikurezza.orgMilano, 21.10.2009
Introduzione
Scienza
Fantascienza
Image forensicsEnhancement
Identificazione
Autenticazione
On-site
On-line
Data recovery
Contatti
leggende e realtà delle indagini digitali
Correzione prospettiva
Immagini: www.amped.it
Effetto CSI:
Davide GabriniDigital Forensic Jedi
SMAU Academy
sikurezza.orgMilano, 21.10.2009
Introduzione
Scienza
Fantascienza
Image forensicsEnhancement
Identificazione
Autenticazione
On-site
On-line
Data recovery
Contatti
leggende e realtà delle indagini digitali
Caccia al pedofilo
Anche manipolazioni più complesse potrebbero rivelarsi invertibili
Immagini: www.interpol.int
Effetto CSI:
Davide GabriniDigital Forensic Jedi
SMAU Academy
sikurezza.orgMilano, 21.10.2009
Introduzione
Scienza
Fantascienza
Image forensicsEnhancement
Identificazione
Autenticazione
On-site
On-line
Data recovery
Contatti
leggende e realtà delle indagini digitali
NO, mi dispiace, ma non si può:
…rimuovere il passamontagna dal volto del rapinatore,
…girare l’immagine “dall’altra parte” per vedere in faccia il tizio di spalle,
…girare attorno agli oggetti,…“allargare” l’inquadratura per vedere
dettagli fuori campo,…zoomare all’infinito,…recuperare i colori da un’immagine o
una ripresa in bianco e nero…
Effetto CSI:
Davide GabriniDigital Forensic Jedi
SMAU Academy
sikurezza.orgMilano, 21.10.2009
Introduzione
Scienza
Fantascienza
Image forensicsEnhancement
Identificazione
Autenticazione
On-site
On-line
Data recovery
Contatti
leggende e realtà delle indagini digitali
Effetto CSI:
Davide GabriniDigital Forensic Jedi
SMAU Academy
sikurezza.orgMilano, 21.10.2009
Introduzione
Scienza
Fantascienza
Image forensicsEnhancement
Identificazione
Autenticazione
On-site
On-line
Data recovery
Contatti
leggende e realtà delle indagini digitali
Identificazione device: ExIF
Immagine: www.tipiloschi.net
Effetto CSI:
Davide GabriniDigital Forensic Jedi
SMAU Academy
sikurezza.orgMilano, 21.10.2009
Introduzione
Scienza
Fantascienza
Image forensicsEnhancement
Identificazione
Autenticazione
On-site
On-line
Data recovery
Contatti
leggende e realtà delle indagini digitali
Identificazione device: DQT
Define Quantization Table (DQT)Matrici di quantizzazione utilizzate per la compressione JPEGOgni software che salva un JPEG lascia un'impronta che lo rende riconoscibileSi può riconoscere così se la foto proviene direttamente da una certa fotocamera o se è stata editata da un certo software
Effetto CSI:
Davide GabriniDigital Forensic Jedi
SMAU Academy
sikurezza.orgMilano, 21.10.2009
Introduzione
Scienza
Fantascienza
Image forensicsEnhancement
Identificazione
Autenticazione
On-site
On-line
Data recovery
Contatti
leggende e realtà delle indagini digitali
Strumenti per la lettura
Un buon hexeditor 010 editor
+ JPEG template
dqtmd5 JPEGsnoop Hachoir jpegquality
Effetto CSI:
Davide GabriniDigital Forensic Jedi
SMAU Academy
sikurezza.orgMilano, 21.10.2009
Introduzione
Scienza
Fantascienza
Image forensicsEnhancement
Identificazione
Autenticazione
On-site
On-line
Data recovery
Contatti
leggende e realtà delle indagini digitali
Identificazione device: Camera ballistic
Identificazione dei difetti (hot e dead pixel)
Inefficace se non ci sono difetti o se vengono corretti dalla fotocamera
Effetto CSI:
Davide GabriniDigital Forensic Jedi
SMAU Academy
sikurezza.orgMilano, 21.10.2009
Introduzione
Scienza
Fantascienza
Image forensicsEnhancement
Identificazione
Autenticazione
On-site
On-line
Data recovery
Contatti
leggende e realtà delle indagini digitali
Identificazione device: Camera ballistic
Analisi del rumoreE' possibile isolare un'impronta caratteristica nel rumore di fondoL'impronta è infatti univoca per ogni sensore CCD/CMOSLa caratteristica è indipendente dalle condizioni ambientali e stabile nel ciclo di vita dell'apparatoSi può identificare la specifica camera che ha scattato una determinata foto
Effetto CSI:
Davide GabriniDigital Forensic Jedi
SMAU Academy
sikurezza.orgMilano, 21.10.2009
Introduzione
Scienza
Fantascienza
Image forensicsEnhancement
Identificazione
Autenticazione
On-site
On-line
Data recovery
Contatti
leggende e realtà delle indagini digitali
Rilevare le manipolazioni
Spesso è fondamentale scoprire se un'immagine sia stata falsificata
I metodi tradizionali sono sempre validi e costituiscono un buon inizio
Per esempio:Esame dei contorniCoerenza di luci ed ombreEsame dei riflessi
Nel mondo digitale servono però anche altri strumenti…
Effetto CSI:
Davide GabriniDigital Forensic Jedi
SMAU Academy
sikurezza.orgMilano, 21.10.2009
Introduzione
Scienza
Fantascienza
Image forensicsEnhancement
Identificazione
Autenticazione
On-site
On-line
Data recovery
Contatti
leggende e realtà delle indagini digitali
EsempiNeal Krawetz, Black Hat 2007
Immagini: http://www.hackerfactor.com
Effetto CSI:
Davide GabriniDigital Forensic Jedi
SMAU Academy
sikurezza.orgMilano, 21.10.2009
Introduzione
Scienza
Fantascienza
Image forensicsEnhancement
Identificazione
Autenticazione
On-site
On-line
Data recovery
Contatti
leggende e realtà delle indagini digitali
Error Level Analysis
Effetto CSI:
Davide GabriniDigital Forensic Jedi
SMAU Academy
sikurezza.orgMilano, 21.10.2009
Introduzione
Scienza
Fantascienza
Image forensicsEnhancement
Identificazione
Autenticazione
On-site
On-line
Data recovery
Contatti
leggende e realtà delle indagini digitali
Error Level Analysis
Effetto CSI:
Davide GabriniDigital Forensic Jedi
SMAU Academy
sikurezza.orgMilano, 21.10.2009
Introduzione
Scienza
Fantascienza
Image forensicsEnhancement
Identificazione
Autenticazione
On-site
On-line
Data recovery
Contatti
leggende e realtà delle indagini digitali
Error Level Analysis
Effetto CSI:
Davide GabriniDigital Forensic Jedi
SMAU Academy
sikurezza.orgMilano, 21.10.2009
Introduzione
Scienza
Fantascienza
Image forensicsEnhancement
Identificazione
Autenticazione
On-site
On-line
Data recovery
Contatti
leggende e realtà delle indagini digitali
Error Level Analysis
Effetto CSI:
Davide GabriniDigital Forensic Jedi
SMAU Academy
sikurezza.orgMilano, 21.10.2009
Introduzione
Scienza
Fantascienza
Image forensicsEnhancement
Identificazione
Autenticazione
On-site
On-line
Data recovery
Contatti
leggende e realtà delle indagini digitali
DCT Coefficient AnalysisDetecting Doctored JPEG Images Via DCT
Coefficient AnalysisJunfeng He; Zhouchen Lin; Lifeng Wang; Xiaoou Tang
Effetto CSI:
Davide GabriniDigital Forensic Jedi
SMAU Academy
sikurezza.orgMilano, 21.10.2009
Introduzione
Scienza
Fantascienza
Image forensicsEnhancement
Identificazione
Autenticazione
On-site
On-line
Data recovery
Contatti
leggende e realtà delle indagini digitali
Cosa NON si può fare
Effetto CSI:
Davide GabriniDigital Forensic Jedi
SMAU Academy
sikurezza.orgMilano, 21.10.2009
Introduzione
Scienza
Fantascienza
Image forensicsEnhancement
Identificazione
Autenticazione
On-site
On-line
Data recovery
Contatti
leggende e realtà delle indagini digitali
Per finire in bellezza…
Effetto CSI:
Davide GabriniDigital Forensic Jedi
SMAU Academy
sikurezza.orgMilano, 21.10.2009
Introduzione
Scienza
Fantascienza
Image forensicsEnhancement
Identificazione
Autenticazione
On-site
On-line
Data recovery
Contatti
leggende e realtà delle indagini digitali
Effetto CSI:
Davide GabriniDigital Forensic Jedi
SMAU Academy
sikurezza.orgMilano, 21.10.2009
Introduzione
Scienza
Fantascienza
Image forensicsEnhancement
Identificazione
Autenticazione
On-site
On-line
Data recovery
Contatti
leggende e realtà delle indagini digitali
La perquisizione alla CSI
Effetto CSI:
Davide GabriniDigital Forensic Jedi
SMAU Academy
sikurezza.orgMilano, 21.10.2009
Introduzione
Scienza
Fantascienza
Image forensicsEnhancement
Identificazione
Autenticazione
On-site
On-line
Data recovery
Contatti
leggende e realtà delle indagini digitali
Perché non si fa
Dalla RFC3227 in poi, le best practices internazionali consigliano prudenza…
Quando si può scegliere tra acquisire e analizzare, prima si acquisisce, poi si analizza, non il contrario!
Quando un sistema è spento, è solitamente consigliato non accenderlo
Il solo avvio del sistema operativo causa molteplici alterazioni e la perdita di informazioni potenzialmente rilevanti
Effetto CSI:
Davide GabriniDigital Forensic Jedi
SMAU Academy
sikurezza.orgMilano, 21.10.2009
Introduzione
Scienza
Fantascienza
Image forensicsEnhancement
Identificazione
Autenticazione
On-site
On-line
Data recovery
Contatti
leggende e realtà delle indagini digitali
Potenziale invasività Il sistema è spento, quindi in condizione statica
(non facilmente alterabile)Accenderlo significa perturbarlo e perdere la
sicurezza inizialeSenza opportune cautele, si rischia di inquinare
irrimediabilmente il reperto le modifiche apportate sono note? sono documentabili? intaccano significativamente il risultato dell'analisi? ogni modifica distrugge qualcosa!
Occorre quindi operare con cognizione di causa e grande cautela
In ogni caso, MAI permettere l'avvio del sistema operativo residente!
Effetto CSI:
Davide GabriniDigital Forensic Jedi
SMAU Academy
sikurezza.orgMilano, 21.10.2009
Introduzione
Scienza
Fantascienza
Image forensicsEnhancement
Identificazione
Autenticazione
On-site
On-line
Data recovery
Contatti
leggende e realtà delle indagini digitali
Controindicazioni “ambientali”
In sede di perquisizione, l'ambiente è spesso ostile…
Le condizioni operative non sono paragonabili a quelle di un laboratorio
L'attrezzatura a disposizione non può che essere limitata
Anche il tempo a disposizione è forzatamente limitato
La fretta è il primo elemento da tenere fuori dalla scena del crimine
Effetto CSI:
Davide GabriniDigital Forensic Jedi
SMAU Academy
sikurezza.orgMilano, 21.10.2009
Introduzione
Scienza
Fantascienza
Image forensicsEnhancement
Identificazione
Autenticazione
On-site
On-line
Data recovery
Contatti
leggende e realtà delle indagini digitali
Responso incerto
Un'analisi eseguita in queste condizioni può dare riscontri solo in positivo:
nella migliore delle ipotesi, si può da subito confermare l'esistenza di un'evidence individuata,
ma non individuarla non ne conferma l'assenza con altrettanta certezza!
Effetto CSI:
Davide GabriniDigital Forensic Jedi
SMAU Academy
sikurezza.orgMilano, 21.10.2009
Introduzione
Scienza
Fantascienza
Image forensicsEnhancement
Identificazione
Autenticazione
On-site
On-line
Data recovery
Contatti
leggende e realtà delle indagini digitali
Motivi per richiedere un’analisi sul posto Desiderio di avere risposte immediate Indirizzare meglio le stesse operazioni di
perquisizione Possibilità di eseguire triage su quanto
disponibileevitare "saccheggi" indiscriminatiindividuare subito responsabilità in ambienti condivisievidenziare subito le informazioni più rilevanti rispetto a quelle secondarie
Possibilità di procedere ad arresto in flagranza per i reati che lo prevedono
Effetto CSI:
Davide GabriniDigital Forensic Jedi
SMAU Academy
sikurezza.orgMilano, 21.10.2009
Introduzione
Scienza
Fantascienza
Image forensicsEnhancement
Identificazione
Autenticazione
On-site
On-line
Data recovery
Contatti
leggende e realtà delle indagini digitali
Perquisizione e crack
Effetto CSI:
Davide GabriniDigital Forensic Jedi
SMAU Academy
sikurezza.orgMilano, 21.10.2009
Introduzione
Scienza
Fantascienza
Image forensicsEnhancement
Identificazione
Autenticazione
On-site
On-line
Data recovery
Contatti
leggende e realtà delle indagini digitali
Effetto CSI:
Davide GabriniDigital Forensic Jedi
SMAU Academy
sikurezza.orgMilano, 21.10.2009
Introduzione
Scienza
Fantascienza
Image forensicsEnhancement
Identificazione
Autenticazione
On-site
On-line
Data recovery
Contatti
leggende e realtà delle indagini digitali
Nella fantasia, tutto e subito
Effetto CSI:
Davide GabriniDigital Forensic Jedi
SMAU Academy
sikurezza.orgMilano, 21.10.2009
Introduzione
Scienza
Fantascienza
Image forensicsEnhancement
Identificazione
Autenticazione
On-site
On-line
Data recovery
Contatti
leggende e realtà delle indagini digitali
NO, non è vero che gli investigatori:…hanno accesso a tutti i database del mondo,
…ovviamente aggiornatissimi,…ovviamente in tempo reale,…per non parlare dei circuiti di videosorveglianza,…e dei satelliti spia,
…possono localizzare un portatile rubato conoscendo solo il numero seriale,
…anche se off-line o spento…
…possono accedere alla registrazione di qualunque telefonata, anche retroattivamente,
…possono craccare qualunque cosa,…e pure alla svelta!
…padroneggiano ogni branca dello scibile umano
Effetto CSI:
Davide GabriniDigital Forensic Jedi
SMAU Academy
sikurezza.orgMilano, 21.10.2009
Introduzione
Scienza
Fantascienza
Image forensicsEnhancement
Identificazione
Autenticazione
On-site
On-line
Data recovery
Contatti
leggende e realtà delle indagini digitali
Effetto CSI:
Davide GabriniDigital Forensic Jedi
SMAU Academy
sikurezza.orgMilano, 21.10.2009
Introduzione
Scienza
Fantascienza
Image forensicsEnhancement
Identificazione
Autenticazione
On-site
On-line
Data recovery
Contatti
leggende e realtà delle indagini digitali
Recupero dati
Effetto CSI:
Davide GabriniDigital Forensic Jedi
SMAU Academy
sikurezza.orgMilano, 21.10.2009
Introduzione
Scienza
Fantascienza
Image forensicsEnhancement
Identificazione
Autenticazione
On-site
On-line
Data recovery
Contatti
leggende e realtà delle indagini digitali
Tempi di copia
I dispositivi di duplicazione forensi più avanzati arrivano anche a 6GB/min
A regime, 500GB si acquisirebbero in circa un'ora e mezza
…peccato che non tutti gli hard disk siano all’altezza…
Effetto CSI:
Davide GabriniDigital Forensic Jedi
SMAU Academy
sikurezza.orgMilano, 21.10.2009
Introduzione
Scienza
Fantascienza
Image forensicsEnhancement
Identificazione
Autenticazione
On-site
On-line
Data recovery
Contatti
leggende e realtà delle indagini digitali
Acquisizioni: bitrate IDE (aka EIDE, ATAPI,
UDMA, PATA…)Sempre che non si usino device master e slavesullo stesso bus…
SATA (Serial ATA)1.5 Gbit/s (150MB/s reali)
SATA/300 o SATA II: 3Gbit/s (300MB/s)
SATA 3.0: 6Gbit/s (600MB/s)
SAS (Serial Attached SCSI)3.0Gbit/s e 6,0Gbit/s (300MB/s e 600MB/s)
Modalità VelocitàUDMA0 16.7 MB/sUDMA1 25.0 MB/sUDMA2 33.3 MB/sUDMA3 44.4 MB/sUDMA4 66.7 MB/sUDMA5 100.0 MB/sUDMA6 133 MB/s
Effetto CSI:
Davide GabriniDigital Forensic Jedi
SMAU Academy
sikurezza.orgMilano, 21.10.2009
Introduzione
Scienza
Fantascienza
Image forensicsEnhancement
Identificazione
Autenticazione
On-site
On-line
Data recovery
Contatti
leggende e realtà delle indagini digitali
Recupero dati Quando si cancella un file, i dati non
vengono azzerati, ma soltanto dereferenziati L'informazione quindi è ancora sul disco,
ma lo spazio precedentemente occupato risulta ora deallocato
Anche i metadati potrebbero essere "sopravvissuti" in maniera analoga
Per il recupero sono possibili due approcci:Analisi dei metadatiFile carving
Effetto CSI:
Davide GabriniDigital Forensic Jedi
SMAU Academy
sikurezza.orgMilano, 21.10.2009
Introduzione
Scienza
Fantascienza
Image forensicsEnhancement
Identificazione
Autenticazione
On-site
On-line
Data recovery
Contatti
leggende e realtà delle indagini digitali
Recupero dati
Analisi dei metadatiStrettamente dipendente dal file systemSe presenti, consentono di ricostruire anche file frammentatiE' possibile recuperare anche il nome del file, i suoi timestamp ecc. ecc.
Effetto CSI:
Davide GabriniDigital Forensic Jedi
SMAU Academy
sikurezza.orgMilano, 21.10.2009
Introduzione
Scienza
Fantascienza
Image forensicsEnhancement
Identificazione
Autenticazione
On-site
On-line
Data recovery
Contatti
leggende e realtà delle indagini digitali
Recupero dati File carving
Se il dato è completamente dereferenziato, l'unico recupero possibile è tramite la scansione del BLOB (Binary Large OBject)Vengono ricercate le intestazioni (header, o magic number) identificative di specifici formati di fileSi cerca di interpretare quanto segue come facente parte del file (se esistente, si ricerca anche un footer)Funziona bene per file allocati su cluster contigui, ma non in caso di frammentazioneNon recupera informazioni come nome e posizione originaria del fileSe il BLOB è molto large, il carving può richiedere molte ore di lavoro…
Effetto CSI:
Davide GabriniDigital Forensic Jedi
SMAU Academy
sikurezza.orgMilano, 21.10.2009
Introduzione
Scienza
Fantascienza
Image forensicsEnhancement
Identificazione
Autenticazione
On-site
On-line
Data recovery
Contatti
leggende e realtà delle indagini digitali
Recupero dati sovrascritti"Ma mi ha detto mio cuggino che una sola passata di
wiping non basta!"Studi e pubblicazioni a riguardo esistono:
STM (Scanning Tunneling Microscopy)SPM (Scanning Probe Microscopy)MFM (Magnetic Force Microscopy)AFM (Atomic Force Microscopy)
Si basano sull'isteresi dei livelli di magnetizzazione e sul disallineamento delle tracce
Eppure non si ha notizia di laboratori civili che offrano questi servizi…
Effetto CSI:
Davide GabriniDigital Forensic Jedi
SMAU Academy
sikurezza.orgMilano, 21.10.2009
Introduzione
Scienza
Fantascienza
Image forensicsEnhancement
Identificazione
Autenticazione
On-site
On-line
Data recovery
Contatti
leggende e realtà delle indagini digitali
Contatti
Davide Rebus Gabrinie-mail:rebus@mensa.itdavide.gabrini@poliziadistato.it
GPG Public Key: (available on keyserver.linux.it)www.tipiloschi.net/rebus.ascKeyID: 0x176560F7
Instant Messaging:MSN therebus@hotmail.comICQ 115159498Skype therebus<pubblicità>Corsi di computer forensics e sicurezza delle reti:www.corsisoftware.com</pubblicità>
Queste e altre cazzate su www.tipiloschi.net
Recommended