Quantification and specification of data corruption in Computer Forensic's investigations
1. Quantificazione ed
individuazione delle alterazioni
dei dati nell'ambito di indagini
di Informatica Forense
Relatore:
Marco Roccetti 24 Novembre 2011
Correlatore: Bologna
Cesare Maioli Mariagrazia Cinti
2. Indice dei contenuti
Informatica Forense – definizione ed evoluzione
Corretta gestione del reperto informatico
Un caso reale di scorretta gestione
Presentazione dello studio
Analisi e confronto dei dati più significativi
3. Informatica Forense, ossia?
Disciplina
che deriva dalla
Computer Unisce
Forensics competenze
americana informatiche
a specifiche
Si occupa della conoscenze
raccolta e analisi giuridiche
dei dati digitali
per il loro utilizzo
a fini processuali
5. Ma si sa, la teoria è diversa dalla pratica
È facile che si
verifichino
alterazioni
dei dati
Queste
potrebbero
compromettere
l’ammissibilità di “[...] Vi è il pericolo che Alberto Stasi non
una prova riesca più a provare il proprio alibi. [...] Ma vi
A favore è ugualmente il pericolo di un pregiudizio al
o contro fondamentale valore neutro dell'accertamento
l’indagato della verità.”
6. Obiettivi dello studio
Rispondere alla domanda:
in caso di utilizzo scorretto del reperto informatico,
quante e quali alterazioni si verificano?
Come?
Attuando dei test, ossia delle azioni semplici che ad un operatore
inesperto sembrerebbe ragionevole provare
Congelando la macchina ed analizzando, con un toolkit forense,
le alterazioni che si sono verificate
Mettendo a confronto i risultati
8. Ipotizzando diversi scenari
47 test
SO e applicativi
molto diffusi
con 33 test
configurazioni
di default
Macchine con e senza 80 test
protezione antivirus totali
9. Sistema operativo: Windows XP
Alterazioni
rilevate dopo
una determinata
data sul
File System
Calcolate le
occorrenze
per le seguenti
tipologie:
m “written” Il file è stato modificato
a “accessed” Il file è stato acceduto
c “changed” I metadati del file (MFT) sono cambiati
b “created” Il file è stato creato
e tutte le loro possibili combinazioni
15. In conclusione
Tutte le immagini analizzate condividono gli stessi risultati:
90% operazioni: accesso (a)
10% operazioni restanti: (m), (c), (b) in modo variabile
Il reperto
informatico è
delicato Quando lo si
tratta occorre
attenersi alle
linee guida!