SlideShare uma empresa Scribd logo

Introduzione alla computer forensic - acquisizione

Claudio Criscione
Claudio Criscione

La mia presentazione alla lezione 0 del corso di perfezionamento sulla computer forensics e le investigazioni digitali dell'università Statale di Milano a Gennaio 2010. Una introduzione ai concetti di computer forensics e acquisizione della prova digitale.

TecnologiaEducação
1 de 31
Baixar para ler offline
il percorso più sicuro presenta
Sherlock Holmes in Uno studio in RGB Lezione 0 – 14 Gennaio 2009 Corso di perfezionamento in Computer forensics e investigazioni digitali
Titoli di testa A fine tale by Claudio Criscione Principal Consultant @ Secure Network Dottorando @ Politecnico di Milano c.criscione@securenetwork.it twitter.com/paradoxengine Lezione 0 – 14 Gennaio 2009 Corso di perfezionamento in Computer forensics e investigazioni digitali
Uno studio in RGB Holmes è alle prese con un nuovo caso ma questa volta, l'anno è il 2010 ed invece di un assassino ha un complotto per uccidere la regina da sventare Ovviamente, c'è l'informatica di mezzo. Lezione 0 – 14 Gennaio 2009 Corso di perfezionamento in Computer forensics e investigazioni digitali
Pensare al processo Il primo problema che Holmes dovrà affrontare sarà come iniziare ad indagare Dopo l'esperienza delle cascate di Reichenbach, preferisce l'idea di aiutare la polizia Come, dunque, può analizzare questi nuovi “computatori”? Lezione 0 – 14 Gennaio 2009 Corso di perfezionamento in Computer forensics e investigazioni digitali
Scientifico (?) ● Chiediamo a Wikipedia ● Per scienza si intende un complesso organico di conoscenze ottenuto con un processo sistematico di acquisizione delle stesse allo scopo di giungere ad una descrizione precisa della realtà fattuale delle cose e delle leggi in base alle quali avvengono i fenomeni. ● In ambito moderno, gli elementi chiave del metodo scientifico sono l'osservazione sperimentale di un evento, la formulazione di un'ipotesi generale sotto cui questo evento si verifichi, e la possibilità di controllo dell'ipotesi mediante osservazioni successive. ● Per Holmes, il fulcro è la ripetibilità. Lezione 0 – 14 Gennaio 2009 Corso di perfezionamento in Computer forensics e investigazioni digitali
Il dato Datum : fatto Una descrizione elementare di un ente Nel mondo digitale, una sequenza di 1 e 0 Lezione 0 – 14 Gennaio 2009 Corso di perfezionamento in Computer forensics e investigazioni digitali
Sistemi che manipolano dati Povero Sherlock! Lezione 0 – 14 Gennaio 2009 Corso di perfezionamento in Computer forensics e investigazioni digitali
Divide et impera: il perimetro Anche Holmes ha risorse finite Per cui decide di concentrarsi su quanto ha a disposizione. Analizzerà i dispositivi più classici e semplici. Lezione 0 – 14 Gennaio 2009 Corso di perfezionamento in Computer forensics e investigazioni digitali
Occhi aperti Per fortuna è Sherlock Holmes Altrimenti avrebbe potuto non notare quel piccolo Key Logger attaccato alla tastiera... Lezione 0 – 14 Gennaio 2009 Corso di perfezionamento in Computer forensics e investigazioni digitali
Pista calda? 2 modalità per affrontare il problema Live L'odore di Moriarty non è lontano In laboratorio In questo caso se non altro c'è il violino. Lezione 0 – 14 Gennaio 2009 Corso di perfezionamento in Computer forensics e investigazioni digitali
Cosa analizzare? Holmes e Watson si interrogano Dove si troverà il dato, su questo computer? Nei registri, nella cache, nel cavo, nei CD, nei floppy, nei dischi rigidi... Lezione 0 – 14 Gennaio 2009 Corso di perfezionamento in Computer forensics e investigazioni digitali
L'originale Perché un esperimento sia ripetibile, abbiamo bisogno che la torre di Pisa e la palla di cannone non cambino significativamente E' pur sempre possibile modificare la prova. Dobbiamo conservarla! Due differenze fondamentali tra il mondo digitale e quello analogico Possibilità di copia Facilità di alterazione Lezione 0 – 14 Gennaio 2009 Corso di perfezionamento in Computer forensics e investigazioni digitali
E se Watson fosse ipnotizzato? Sherlock deve poter garantire che l'originale non venga alterato da nessuno Ha bisogno di garantire che esista una Catena di Custodia documentata e ferrea! Lezione 0 – 14 Gennaio 2009 Corso di perfezionamento in Computer forensics e investigazioni digitali
Dietro le quinte: la copia Vogliamo realizzare una COPIA ESATTA Una normale copia non va bene: metadati! Una copia scientificamente valida ha tutte le proprietà rilevanti dell'originale: è una copia bit-a-bit Lezione 0 – 14 Gennaio 2009 Corso di perfezionamento in Computer forensics e investigazioni digitali
Acquisizione In genere si parla di acquisizione indicando il processo di trasferimento dall'Originale alla Copia Forense. Per sicurezza, spesso si realizza anche una copia di Lavoro oltre a quella Forense. Lezione 0 – 14 Gennaio 2009 Corso di perfezionamento in Computer forensics e investigazioni digitali
Software Numerosi software sono in grado di effettuare la copia Gratuiti, commerciali, per Windows o Linux Distribuzioni specializzate Lezione 0 – 14 Gennaio 2009 Corso di perfezionamento in Computer forensics e investigazioni digitali
Un dubbio... “Eppure Watson”, fa notare Sherlock “se qualcuno modificasse questo programma per favorire Moriarty noi non lo sapremmo: chi sa come funziona questa diavoleria!” L'obiezione è assolutamente rilevante Ed è il motivo per cui dovremmo sempre usare software Open Source. Non è importante solo il risultato, ma anche il processo con il quale viene raggiunto, vero Sherlock? Lezione 0 – 14 Gennaio 2009 Corso di perfezionamento in Computer forensics e investigazioni digitali
Hardware Anche il software OpenSource non ci mette al riparo dall'errore umano Per questo, è una buona idea usare dell'Hardware specifico Write Blocker Lezione 0 – 14 Gennaio 2009 Corso di perfezionamento in Computer forensics e investigazioni digitali
Demo Acquisiamo una partizione da un disco rigido esterno mediante Write Blocker Useremo il software OpenSource dcfldd Lezione 0 – 14 Gennaio 2009 Corso di perfezionamento in Computer forensics e investigazioni digitali
Obiezione, vostro onore! L'avvocato di Moriarty non si fa attendere Prima ancora di aver visionato le deduzioni di Holmes, fa notare che “certo, la copia all'inizio era identica” ma “è stata alterata in seguito” Sherlock è in difficoltà: anche giurare sul suo buon nome non servirà Lezione 0 – 14 Gennaio 2009 Corso di perfezionamento in Computer forensics e investigazioni digitali
Un po' di matematica: l'Hash Ma fortunatamente Holmes è un buon matematico e sa cosa è una funzione di Hashing Da un numero di N cifre ad uno di K cifre Piccole variazioni = grandi cambiamenti Origine => Hash SI Hash => Origine NO Origine 1 => Hash 1; Origine 2 => Hash 2 SI Origine 1 => Hash 1; Origine 2 => Hash 1 NO* *Non arbitrariamente, almeno Lezione 0 – 14 Gennaio 2009 Corso di perfezionamento in Computer forensics e investigazioni digitali
Hash e forensic Disco Originale => Hash Org Disco Originale => Copia Copia => Hash Cop Verifico che Hash Cop = Hash Org Lezione 0 – 14 Gennaio 2009 Corso di perfezionamento in Computer forensics e investigazioni digitali
Demo Calcoliamo l'hash del disco e della sua immagine Modifichiamo l'immagine e ricalcoliamo l'hash Lezione 0 – 14 Gennaio 2009 Corso di perfezionamento in Computer forensics e investigazioni digitali
E se fin qui era facile... Il criminale del nuovo millennio non si accontenta di un computer con dischi rigidi: cellulari, router, stampanti... La parte migliore? Le metodologie cambiano da dispositivo a dispositivo... Vediamo qualche esempio Lezione 0 – 14 Gennaio 2009 Corso di perfezionamento in Computer forensics e investigazioni digitali
HD v 2.0 ● Un “semplice” disco rigido potrebbe ● Avere una partizione nascosta ● Essere cifrato ● Essere formattato in un formato “proprietario” ● Essere rotto ● Avere un connettore o un bus particolare (Ultra SCSI 3220 semi-wide in RAID 3 e mezzo in notazione polacca inversa) Lezione 0 – 14 Gennaio 2009 Corso di perfezionamento in Computer forensics e investigazioni digitali
Cellulari ● Una brutta bestia! ● Sistemi proprietari ● Difficoltà hardware ● Backdoor, service mode etc... ● E d'altra parte... ● Tracce di accesso alla rete ● Storage locale Lezione 0 – 14 Gennaio 2009 Corso di perfezionamento in Computer forensics e investigazioni digitali
Router ● Anche le appliance di casa come i router possono contenere informazioni critiche ● Accedere alle informazioni che contengono non è affatto facile ● JTAG Lezione 0 – 14 Gennaio 2009 Corso di perfezionamento in Computer forensics e investigazioni digitali
A connected world Ma non basta! Wireless e mobile computing hanno disgregato i concetti di località del dato Qualcuno spieghi a Sherlock che quel cellulare può collegarsi a qualsiasi sito Web per comunicare, disporre... Lezione 0 – 14 Gennaio 2009 Corso di perfezionamento in Computer forensics e investigazioni digitali
Rappresentazione del dato Sherlock scoprirà presto che questo... 0101011101000100101 Non è più utile di questo Lezione 0 – 14 Gennaio 2009 Corso di perfezionamento in Computer forensics e investigazioni digitali
Analizzare i dati Per questo, dovrà usare tecniche specifiche per “decifrare” quei numeri e dargli un significato A volte sarà necessario bypassare il Sistema Operativo (il bibliotecario) che si rifiuta di interpretare alcuni bit (i libri proibiti) Altro che “Elementare, Watson”! Ma questo è argomento della prossima puntata! Lezione 0 – 14 Gennaio 2009 Corso di perfezionamento in Computer forensics e investigazioni digitali

Recomendados

L'evoluzione della professione di avvocato
L'evoluzione della professione di avvocatoL'evoluzione della professione di avvocato
L'evoluzione della professione di avvocatoEdoardo Ferraro
 
Installazione Software Applicativo
Installazione Software ApplicativoInstallazione Software Applicativo
Installazione Software Applicativoguesta2d327d
 
Giuseppe vaciago, Digital forensics e garanzie dell’indagato 2011 04 05
Giuseppe vaciago, Digital forensics e garanzie dell’indagato 2011 04 05Giuseppe vaciago, Digital forensics e garanzie dell’indagato 2011 04 05
Giuseppe vaciago, Digital forensics e garanzie dell’indagato 2011 04 05Andrea Rossetti
 
Sicurezza della virtualizzazione - SMAU 2009
Sicurezza della virtualizzazione - SMAU 2009Sicurezza della virtualizzazione - SMAU 2009
Sicurezza della virtualizzazione - SMAU 2009Claudio Criscione
 
The Good The Bad The Virtual
The Good The Bad The VirtualThe Good The Bad The Virtual
The Good The Bad The VirtualClaudio Criscione
 
[Confidence0902] The Glass Cage - Virtualization Security
[Confidence0902] The Glass Cage - Virtualization Security[Confidence0902] The Glass Cage - Virtualization Security
[Confidence0902] The Glass Cage - Virtualization SecurityClaudio Criscione
 
Virtually Pwned: Hacking VMware [ITA - SMAU10]
Virtually Pwned: Hacking VMware [ITA - SMAU10]Virtually Pwned: Hacking VMware [ITA - SMAU10]
Virtually Pwned: Hacking VMware [ITA - SMAU10]Claudio Criscione
 
Standing on the clouds
Standing on the cloudsStanding on the clouds
Standing on the cloudsClaudio Criscione
 

Recomendados

L'evoluzione della professione di avvocato
L'evoluzione della professione di avvocatoL'evoluzione della professione di avvocato
L'evoluzione della professione di avvocatoEdoardo Ferraro
 
Installazione Software Applicativo
Installazione Software ApplicativoInstallazione Software Applicativo
Installazione Software Applicativoguesta2d327d
 
Giuseppe vaciago, Digital forensics e garanzie dell’indagato 2011 04 05
Giuseppe vaciago, Digital forensics e garanzie dell’indagato 2011 04 05Giuseppe vaciago, Digital forensics e garanzie dell’indagato 2011 04 05
Giuseppe vaciago, Digital forensics e garanzie dell’indagato 2011 04 05Andrea Rossetti
 
Sicurezza della virtualizzazione - SMAU 2009
Sicurezza della virtualizzazione - SMAU 2009Sicurezza della virtualizzazione - SMAU 2009
Sicurezza della virtualizzazione - SMAU 2009Claudio Criscione
 
The Good The Bad The Virtual
The Good The Bad The VirtualThe Good The Bad The Virtual
The Good The Bad The VirtualClaudio Criscione
 
[Confidence0902] The Glass Cage - Virtualization Security
[Confidence0902] The Glass Cage - Virtualization Security[Confidence0902] The Glass Cage - Virtualization Security
[Confidence0902] The Glass Cage - Virtualization SecurityClaudio Criscione
 
Virtually Pwned: Hacking VMware [ITA - SMAU10]
Virtually Pwned: Hacking VMware [ITA - SMAU10]Virtually Pwned: Hacking VMware [ITA - SMAU10]
Virtually Pwned: Hacking VMware [ITA - SMAU10]Claudio Criscione
 
Standing on the clouds
Standing on the cloudsStanding on the clouds
Standing on the cloudsClaudio Criscione
 
2024 State of Marketing Report – by Hubspot
2024 State of Marketing Report – by Hubspot2024 State of Marketing Report – by Hubspot
2024 State of Marketing Report – by HubspotMarius Sescu
 
Everything You Need To Know About ChatGPT
Everything You Need To Know About ChatGPTEverything You Need To Know About ChatGPT
Everything You Need To Know About ChatGPTExpeed Software
 
Product Design Trends in 2024 | Teenage Engineerings
Product Design Trends in 2024 | Teenage EngineeringsProduct Design Trends in 2024 | Teenage Engineerings
Product Design Trends in 2024 | Teenage EngineeringsPixeldarts
 
How Race, Age and Gender Shape Attitudes Towards Mental Health
How Race, Age and Gender Shape Attitudes Towards Mental HealthHow Race, Age and Gender Shape Attitudes Towards Mental Health
How Race, Age and Gender Shape Attitudes Towards Mental HealthThinkNow
 
AI Trends in Creative Operations 2024 by Artwork Flow.pdf
AI Trends in Creative Operations 2024 by Artwork Flow.pdfAI Trends in Creative Operations 2024 by Artwork Flow.pdf
AI Trends in Creative Operations 2024 by Artwork Flow.pdfmarketingartwork
 
Skeleton Culture Code
Skeleton Culture CodeSkeleton Culture Code
Skeleton Culture CodeSkeleton Technologies
 
PEPSICO Presentation to CAGNY Conference Feb 2024
PEPSICO Presentation to CAGNY Conference Feb 2024PEPSICO Presentation to CAGNY Conference Feb 2024
PEPSICO Presentation to CAGNY Conference Feb 2024Neil Kimberley
 
Content Methodology: A Best Practices Report (Webinar)
Content Methodology: A Best Practices Report (Webinar)Content Methodology: A Best Practices Report (Webinar)
Content Methodology: A Best Practices Report (Webinar)contently
 
How to Prepare For a Successful Job Search for 2024
How to Prepare For a Successful Job Search for 2024How to Prepare For a Successful Job Search for 2024
How to Prepare For a Successful Job Search for 2024Albert Qian
 
Social Media Marketing Trends 2024 // The Global Indie Insights
Social Media Marketing Trends 2024 // The Global Indie InsightsSocial Media Marketing Trends 2024 // The Global Indie Insights
Social Media Marketing Trends 2024 // The Global Indie InsightsKurio // The Social Media Age(ncy)
 
Trends In Paid Search: Navigating The Digital Landscape In 2024
Trends In Paid Search: Navigating The Digital Landscape In 2024Trends In Paid Search: Navigating The Digital Landscape In 2024
Trends In Paid Search: Navigating The Digital Landscape In 2024Search Engine Journal
 
5 Public speaking tips from TED - Visualized summary
5 Public speaking tips from TED - Visualized summary5 Public speaking tips from TED - Visualized summary
5 Public speaking tips from TED - Visualized summarySpeakerHub
 
ChatGPT and the Future of Work - Clark Boyd
ChatGPT and the Future of Work - Clark Boyd ChatGPT and the Future of Work - Clark Boyd
ChatGPT and the Future of Work - Clark Boyd Clark Boyd
 
Getting into the tech field. what next
Getting into the tech field. what next Getting into the tech field. what next
Getting into the tech field. what next Tessa Mero
 
Google's Just Not That Into You: Understanding Core Updates & Search Intent
Google's Just Not That Into You: Understanding Core Updates & Search IntentGoogle's Just Not That Into You: Understanding Core Updates & Search Intent
Google's Just Not That Into You: Understanding Core Updates & Search IntentLily Ray
 
How to have difficult conversations
How to have difficult conversations How to have difficult conversations
How to have difficult conversations Rajiv Jayarajah, MAppComm, ACC
 
Introduction to Data Science
Introduction to Data ScienceIntroduction to Data Science
Introduction to Data ScienceChristy Abraham Joy
 
Time Management & Productivity - Best Practices
Time Management & Productivity - Best PracticesTime Management & Productivity - Best Practices
Time Management & Productivity - Best PracticesVit Horky
 
The six step guide to practical project management
The six step guide to practical project managementThe six step guide to practical project management
The six step guide to practical project managementMindGenius
 
Beginners Guide to TikTok for Search - Rachel Pearson - We are Tilt __ Bright...
Beginners Guide to TikTok for Search - Rachel Pearson - We are Tilt __ Bright...Beginners Guide to TikTok for Search - Rachel Pearson - We are Tilt __ Bright...
Beginners Guide to TikTok for Search - Rachel Pearson - We are Tilt __ Bright...RachelPearson36
 

Mais conteúdo relacionado

Destaque

2024 State of Marketing Report – by Hubspot
2024 State of Marketing Report – by Hubspot2024 State of Marketing Report – by Hubspot
2024 State of Marketing Report – by HubspotMarius Sescu
 
Everything You Need To Know About ChatGPT
Everything You Need To Know About ChatGPTEverything You Need To Know About ChatGPT
Everything You Need To Know About ChatGPTExpeed Software
 
Product Design Trends in 2024 | Teenage Engineerings
Product Design Trends in 2024 | Teenage EngineeringsProduct Design Trends in 2024 | Teenage Engineerings
Product Design Trends in 2024 | Teenage EngineeringsPixeldarts
 
How Race, Age and Gender Shape Attitudes Towards Mental Health
How Race, Age and Gender Shape Attitudes Towards Mental HealthHow Race, Age and Gender Shape Attitudes Towards Mental Health
How Race, Age and Gender Shape Attitudes Towards Mental HealthThinkNow
 
AI Trends in Creative Operations 2024 by Artwork Flow.pdf
AI Trends in Creative Operations 2024 by Artwork Flow.pdfAI Trends in Creative Operations 2024 by Artwork Flow.pdf
AI Trends in Creative Operations 2024 by Artwork Flow.pdfmarketingartwork
 
PEPSICO Presentation to CAGNY Conference Feb 2024
PEPSICO Presentation to CAGNY Conference Feb 2024PEPSICO Presentation to CAGNY Conference Feb 2024
PEPSICO Presentation to CAGNY Conference Feb 2024Neil Kimberley
 
Content Methodology: A Best Practices Report (Webinar)
Content Methodology: A Best Practices Report (Webinar)Content Methodology: A Best Practices Report (Webinar)
Content Methodology: A Best Practices Report (Webinar)contently
 
How to Prepare For a Successful Job Search for 2024
How to Prepare For a Successful Job Search for 2024How to Prepare For a Successful Job Search for 2024
How to Prepare For a Successful Job Search for 2024Albert Qian
 
Social Media Marketing Trends 2024 // The Global Indie Insights
Social Media Marketing Trends 2024 // The Global Indie InsightsSocial Media Marketing Trends 2024 // The Global Indie Insights
Social Media Marketing Trends 2024 // The Global Indie InsightsKurio // The Social Media Age(ncy)
 
Trends In Paid Search: Navigating The Digital Landscape In 2024
Trends In Paid Search: Navigating The Digital Landscape In 2024Trends In Paid Search: Navigating The Digital Landscape In 2024
Trends In Paid Search: Navigating The Digital Landscape In 2024Search Engine Journal
 
5 Public speaking tips from TED - Visualized summary
5 Public speaking tips from TED - Visualized summary5 Public speaking tips from TED - Visualized summary
5 Public speaking tips from TED - Visualized summarySpeakerHub
 
ChatGPT and the Future of Work - Clark Boyd
ChatGPT and the Future of Work - Clark Boyd ChatGPT and the Future of Work - Clark Boyd
ChatGPT and the Future of Work - Clark Boyd Clark Boyd
 
Getting into the tech field. what next
Getting into the tech field. what next Getting into the tech field. what next
Getting into the tech field. what next Tessa Mero
 
Google's Just Not That Into You: Understanding Core Updates & Search Intent
Google's Just Not That Into You: Understanding Core Updates & Search IntentGoogle's Just Not That Into You: Understanding Core Updates & Search Intent
Google's Just Not That Into You: Understanding Core Updates & Search IntentLily Ray
 
Time Management & Productivity - Best Practices
Time Management & Productivity - Best PracticesTime Management & Productivity - Best Practices
Time Management & Productivity - Best PracticesVit Horky
 
The six step guide to practical project management
The six step guide to practical project managementThe six step guide to practical project management
The six step guide to practical project managementMindGenius
 
Beginners Guide to TikTok for Search - Rachel Pearson - We are Tilt __ Bright...
Beginners Guide to TikTok for Search - Rachel Pearson - We are Tilt __ Bright...Beginners Guide to TikTok for Search - Rachel Pearson - We are Tilt __ Bright...
Beginners Guide to TikTok for Search - Rachel Pearson - We are Tilt __ Bright...RachelPearson36
 

Destaque (20)

2024 State of Marketing Report – by Hubspot
2024 State of Marketing Report – by Hubspot2024 State of Marketing Report – by Hubspot
2024 State of Marketing Report – by Hubspot
 
Everything You Need To Know About ChatGPT
Everything You Need To Know About ChatGPTEverything You Need To Know About ChatGPT
Everything You Need To Know About ChatGPT
 
Product Design Trends in 2024 | Teenage Engineerings
Product Design Trends in 2024 | Teenage EngineeringsProduct Design Trends in 2024 | Teenage Engineerings
Product Design Trends in 2024 | Teenage Engineerings
 
How Race, Age and Gender Shape Attitudes Towards Mental Health
How Race, Age and Gender Shape Attitudes Towards Mental HealthHow Race, Age and Gender Shape Attitudes Towards Mental Health
How Race, Age and Gender Shape Attitudes Towards Mental Health
 
AI Trends in Creative Operations 2024 by Artwork Flow.pdf
AI Trends in Creative Operations 2024 by Artwork Flow.pdfAI Trends in Creative Operations 2024 by Artwork Flow.pdf
AI Trends in Creative Operations 2024 by Artwork Flow.pdf
 
Skeleton Culture Code
Skeleton Culture CodeSkeleton Culture Code
Skeleton Culture Code
 
PEPSICO Presentation to CAGNY Conference Feb 2024
PEPSICO Presentation to CAGNY Conference Feb 2024PEPSICO Presentation to CAGNY Conference Feb 2024
PEPSICO Presentation to CAGNY Conference Feb 2024
 
Content Methodology: A Best Practices Report (Webinar)
Content Methodology: A Best Practices Report (Webinar)Content Methodology: A Best Practices Report (Webinar)
Content Methodology: A Best Practices Report (Webinar)
 
How to Prepare For a Successful Job Search for 2024
How to Prepare For a Successful Job Search for 2024How to Prepare For a Successful Job Search for 2024
How to Prepare For a Successful Job Search for 2024
 
Social Media Marketing Trends 2024 // The Global Indie Insights
Social Media Marketing Trends 2024 // The Global Indie InsightsSocial Media Marketing Trends 2024 // The Global Indie Insights
Social Media Marketing Trends 2024 // The Global Indie Insights
 
Trends In Paid Search: Navigating The Digital Landscape In 2024
Trends In Paid Search: Navigating The Digital Landscape In 2024Trends In Paid Search: Navigating The Digital Landscape In 2024
Trends In Paid Search: Navigating The Digital Landscape In 2024
 
5 Public speaking tips from TED - Visualized summary
5 Public speaking tips from TED - Visualized summary5 Public speaking tips from TED - Visualized summary
5 Public speaking tips from TED - Visualized summary
 
ChatGPT and the Future of Work - Clark Boyd
ChatGPT and the Future of Work - Clark Boyd ChatGPT and the Future of Work - Clark Boyd
ChatGPT and the Future of Work - Clark Boyd
 
Getting into the tech field. what next
Getting into the tech field. what next Getting into the tech field. what next
Getting into the tech field. what next
 
Google's Just Not That Into You: Understanding Core Updates & Search Intent
Google's Just Not That Into You: Understanding Core Updates & Search IntentGoogle's Just Not That Into You: Understanding Core Updates & Search Intent
Google's Just Not That Into You: Understanding Core Updates & Search Intent
 
How to have difficult conversations
How to have difficult conversations How to have difficult conversations
How to have difficult conversations
 
Introduction to Data Science
Introduction to Data ScienceIntroduction to Data Science
Introduction to Data Science
 
Time Management & Productivity - Best Practices
Time Management & Productivity - Best PracticesTime Management & Productivity - Best Practices
Time Management & Productivity - Best Practices
 
The six step guide to practical project management
The six step guide to practical project managementThe six step guide to practical project management
The six step guide to practical project management
 
Beginners Guide to TikTok for Search - Rachel Pearson - We are Tilt __ Bright...
Beginners Guide to TikTok for Search - Rachel Pearson - We are Tilt __ Bright...Beginners Guide to TikTok for Search - Rachel Pearson - We are Tilt __ Bright...
Beginners Guide to TikTok for Search - Rachel Pearson - We are Tilt __ Bright...
 

Introduzione alla computer forensic - acquisizione

  • 1. il percorso più sicuro presenta
  • 2. Sherlock Holmes in Uno studio in RGB Lezione 0 – 14 Gennaio 2009 Corso di perfezionamento in Computer forensics e investigazioni digitali
  • 3. Titoli di testa A fine tale by Claudio Criscione Principal Consultant @ Secure Network Dottorando @ Politecnico di Milano c.criscione@securenetwork.it twitter.com/paradoxengine Lezione 0 – 14 Gennaio 2009 Corso di perfezionamento in Computer forensics e investigazioni digitali
  • 4. Uno studio in RGB Holmes è alle prese con un nuovo caso ma questa volta, l'anno è il 2010 ed invece di un assassino ha un complotto per uccidere la regina da sventare Ovviamente, c'è l'informatica di mezzo. Lezione 0 – 14 Gennaio 2009 Corso di perfezionamento in Computer forensics e investigazioni digitali
  • 5. Pensare al processo Il primo problema che Holmes dovrà affrontare sarà come iniziare ad indagare Dopo l'esperienza delle cascate di Reichenbach, preferisce l'idea di aiutare la polizia Come, dunque, può analizzare questi nuovi “computatori”? Lezione 0 – 14 Gennaio 2009 Corso di perfezionamento in Computer forensics e investigazioni digitali
  • 6. Scientifico (?) ● Chiediamo a Wikipedia ● Per scienza si intende un complesso organico di conoscenze ottenuto con un processo sistematico di acquisizione delle stesse allo scopo di giungere ad una descrizione precisa della realtà fattuale delle cose e delle leggi in base alle quali avvengono i fenomeni. ● In ambito moderno, gli elementi chiave del metodo scientifico sono l'osservazione sperimentale di un evento, la formulazione di un'ipotesi generale sotto cui questo evento si verifichi, e la possibilità di controllo dell'ipotesi mediante osservazioni successive. ● Per Holmes, il fulcro è la ripetibilità. Lezione 0 – 14 Gennaio 2009 Corso di perfezionamento in Computer forensics e investigazioni digitali
  • 7. Il dato Datum : fatto Una descrizione elementare di un ente Nel mondo digitale, una sequenza di 1 e 0 Lezione 0 – 14 Gennaio 2009 Corso di perfezionamento in Computer forensics e investigazioni digitali
  • 8. Sistemi che manipolano dati Povero Sherlock! Lezione 0 – 14 Gennaio 2009 Corso di perfezionamento in Computer forensics e investigazioni digitali
  • 9. Divide et impera: il perimetro Anche Holmes ha risorse finite Per cui decide di concentrarsi su quanto ha a disposizione. Analizzerà i dispositivi più classici e semplici. Lezione 0 – 14 Gennaio 2009 Corso di perfezionamento in Computer forensics e investigazioni digitali
  • 10. Occhi aperti Per fortuna è Sherlock Holmes Altrimenti avrebbe potuto non notare quel piccolo Key Logger attaccato alla tastiera... Lezione 0 – 14 Gennaio 2009 Corso di perfezionamento in Computer forensics e investigazioni digitali
  • 11. Pista calda? 2 modalità per affrontare il problema Live L'odore di Moriarty non è lontano In laboratorio In questo caso se non altro c'è il violino. Lezione 0 – 14 Gennaio 2009 Corso di perfezionamento in Computer forensics e investigazioni digitali
  • 12. Cosa analizzare? Holmes e Watson si interrogano Dove si troverà il dato, su questo computer? Nei registri, nella cache, nel cavo, nei CD, nei floppy, nei dischi rigidi... Lezione 0 – 14 Gennaio 2009 Corso di perfezionamento in Computer forensics e investigazioni digitali
  • 13. L'originale Perché un esperimento sia ripetibile, abbiamo bisogno che la torre di Pisa e la palla di cannone non cambino significativamente E' pur sempre possibile modificare la prova. Dobbiamo conservarla! Due differenze fondamentali tra il mondo digitale e quello analogico Possibilità di copia Facilità di alterazione Lezione 0 – 14 Gennaio 2009 Corso di perfezionamento in Computer forensics e investigazioni digitali
  • 14. E se Watson fosse ipnotizzato? Sherlock deve poter garantire che l'originale non venga alterato da nessuno Ha bisogno di garantire che esista una Catena di Custodia documentata e ferrea! Lezione 0 – 14 Gennaio 2009 Corso di perfezionamento in Computer forensics e investigazioni digitali
  • 15. Dietro le quinte: la copia Vogliamo realizzare una COPIA ESATTA Una normale copia non va bene: metadati! Una copia scientificamente valida ha tutte le proprietà rilevanti dell'originale: è una copia bit-a-bit Lezione 0 – 14 Gennaio 2009 Corso di perfezionamento in Computer forensics e investigazioni digitali
  • 16. Acquisizione In genere si parla di acquisizione indicando il processo di trasferimento dall'Originale alla Copia Forense. Per sicurezza, spesso si realizza anche una copia di Lavoro oltre a quella Forense. Lezione 0 – 14 Gennaio 2009 Corso di perfezionamento in Computer forensics e investigazioni digitali
  • 17. Software Numerosi software sono in grado di effettuare la copia Gratuiti, commerciali, per Windows o Linux Distribuzioni specializzate Lezione 0 – 14 Gennaio 2009 Corso di perfezionamento in Computer forensics e investigazioni digitali
  • 18. Un dubbio... “Eppure Watson”, fa notare Sherlock “se qualcuno modificasse questo programma per favorire Moriarty noi non lo sapremmo: chi sa come funziona questa diavoleria!” L'obiezione è assolutamente rilevante Ed è il motivo per cui dovremmo sempre usare software Open Source. Non è importante solo il risultato, ma anche il processo con il quale viene raggiunto, vero Sherlock? Lezione 0 – 14 Gennaio 2009 Corso di perfezionamento in Computer forensics e investigazioni digitali
  • 19. Hardware Anche il software OpenSource non ci mette al riparo dall'errore umano Per questo, è una buona idea usare dell'Hardware specifico Write Blocker Lezione 0 – 14 Gennaio 2009 Corso di perfezionamento in Computer forensics e investigazioni digitali
  • 20. Demo Acquisiamo una partizione da un disco rigido esterno mediante Write Blocker Useremo il software OpenSource dcfldd Lezione 0 – 14 Gennaio 2009 Corso di perfezionamento in Computer forensics e investigazioni digitali
  • 21. Obiezione, vostro onore! L'avvocato di Moriarty non si fa attendere Prima ancora di aver visionato le deduzioni di Holmes, fa notare che “certo, la copia all'inizio era identica” ma “è stata alterata in seguito” Sherlock è in difficoltà: anche giurare sul suo buon nome non servirà Lezione 0 – 14 Gennaio 2009 Corso di perfezionamento in Computer forensics e investigazioni digitali
  • 22. Un po' di matematica: l'Hash Ma fortunatamente Holmes è un buon matematico e sa cosa è una funzione di Hashing Da un numero di N cifre ad uno di K cifre Piccole variazioni = grandi cambiamenti Origine => Hash SI Hash => Origine NO Origine 1 => Hash 1; Origine 2 => Hash 2 SI Origine 1 => Hash 1; Origine 2 => Hash 1 NO* *Non arbitrariamente, almeno Lezione 0 – 14 Gennaio 2009 Corso di perfezionamento in Computer forensics e investigazioni digitali
  • 23. Hash e forensic Disco Originale => Hash Org Disco Originale => Copia Copia => Hash Cop Verifico che Hash Cop = Hash Org Lezione 0 – 14 Gennaio 2009 Corso di perfezionamento in Computer forensics e investigazioni digitali
  • 24. Demo Calcoliamo l'hash del disco e della sua immagine Modifichiamo l'immagine e ricalcoliamo l'hash Lezione 0 – 14 Gennaio 2009 Corso di perfezionamento in Computer forensics e investigazioni digitali
  • 25. E se fin qui era facile... Il criminale del nuovo millennio non si accontenta di un computer con dischi rigidi: cellulari, router, stampanti... La parte migliore? Le metodologie cambiano da dispositivo a dispositivo... Vediamo qualche esempio Lezione 0 – 14 Gennaio 2009 Corso di perfezionamento in Computer forensics e investigazioni digitali
  • 26. HD v 2.0 ● Un “semplice” disco rigido potrebbe ● Avere una partizione nascosta ● Essere cifrato ● Essere formattato in un formato “proprietario” ● Essere rotto ● Avere un connettore o un bus particolare (Ultra SCSI 3220 semi-wide in RAID 3 e mezzo in notazione polacca inversa) Lezione 0 – 14 Gennaio 2009 Corso di perfezionamento in Computer forensics e investigazioni digitali
  • 27. Cellulari ● Una brutta bestia! ● Sistemi proprietari ● Difficoltà hardware ● Backdoor, service mode etc... ● E d'altra parte... ● Tracce di accesso alla rete ● Storage locale Lezione 0 – 14 Gennaio 2009 Corso di perfezionamento in Computer forensics e investigazioni digitali
  • 28. Router ● Anche le appliance di casa come i router possono contenere informazioni critiche ● Accedere alle informazioni che contengono non è affatto facile ● JTAG Lezione 0 – 14 Gennaio 2009 Corso di perfezionamento in Computer forensics e investigazioni digitali
  • 29. A connected world Ma non basta! Wireless e mobile computing hanno disgregato i concetti di località del dato Qualcuno spieghi a Sherlock che quel cellulare può collegarsi a qualsiasi sito Web per comunicare, disporre... Lezione 0 – 14 Gennaio 2009 Corso di perfezionamento in Computer forensics e investigazioni digitali
  • 30. Rappresentazione del dato Sherlock scoprirà presto che questo... 0101011101000100101 Non è più utile di questo Lezione 0 – 14 Gennaio 2009 Corso di perfezionamento in Computer forensics e investigazioni digitali
  • 31. Analizzare i dati Per questo, dovrà usare tecniche specifiche per “decifrare” quei numeri e dargli un significato A volte sarà necessario bypassare il Sistema Operativo (il bibliotecario) che si rifiuta di interpretare alcuni bit (i libri proibiti) Altro che “Elementare, Watson”! Ma questo è argomento della prossima puntata! Lezione 0 – 14 Gennaio 2009 Corso di perfezionamento in Computer forensics e investigazioni digitali