SlideShare uma empresa Scribd logo

2009 10-21 effetto-csi

Davide Gabrini
Davide Gabrini

Talk tenuto presso SMAU 2009 sull'Effetto CSI: l'analisi forense e le indagini digitali tra

1 de 54
Baixar para ler offline
leggende e realtà Effetto CSI: delle indagini digitali SMAU Academy sikurezza.org Milano, 21.10.2009 Introduzione Scienza Fantascienza Image forensics Enhancement Identificazione Autenticazione On-site On-line Data recovery Contatti Davide Gabrini Digital Forensic Jedi SMAU 2009 - Milano, 21.10.2009
leggende e realtà Effetto CSI: delle indagini digitali SMAU Chi vi parla Academy sikurezza.org Milano, 21.10.2009 Davide ‘Rebus’ Gabrini Per chi lavoro non è un mistero. Introduzione Oltre a ciò: Scienza Fantascienza Consulente tecnico e Perito forense Image forensics Docente di sicurezza informatica e computer forensics per Corsisoftware srl Enhancement Identificazione Autenticazione Come vedete non sono qui in divisa  On-site On-line Data recovery Contatti Davide Gabrini Digital Forensic Jedi
leggende e realtà Effetto CSI: delle indagini digitali SMAU Effetto CSI Academy sikurezza.org Con il termine "effetto CSI" si fa Milano, 21.10.2009 riferimento al modo in cui alcune serie Introduzione televisive di successo hanno cambiato la Scienza percezione che la gente comune ha verso la Fantascienza Image forensics medicina forense e le perizie scientifiche in Enhancement generale, alzando le aspettative e Identificazione Autenticazione richiedendo la stessa qualità di risultati che On-site si può apprezzare in televisione. On-line (più o meno preso da Wikipedia) Data recovery Contatti Uno dei campi interessati dal fenomeno è ovviamente quello dell'informatica forense Davide Gabrini Digital Forensic Jedi
leggende e realtà Effetto CSI: delle indagini digitali SMAU Computer Forensics Academy sikurezza.org Milano, 21.10.2009 La computer forensics è la disciplina che si occupa della Introduzione preservazione, dell'identificazione, Scienza dello studio, della documentazione Fantascienza dei computer, o dei sistemi Image forensics informativi in generale, al fine di Enhancement Identificazione evidenziare l’esistenza di prove Autenticazione nello svolgimento dell’attività On-site investigativa. On-line (A.Ghirardini: “Computer forensics” – Apogeo) Data recovery Contatti L’obiettivo è dunque quello di evidenziare dei fatti pertinenti l’indagine da sottoporre a giudizio Davide Gabrini Digital Forensic Jedi
leggende e realtà Effetto CSI: delle indagini digitali SMAU Necessità di una metodologia scientifica Academy sikurezza.org Nuova specilizzazione di polizia scientifica Milano, 21.10.2009 Pervasività delle tecnologie digitali Introduzione Scienza Loro implicazione in attività delittuose Fantascienza Lo strumento informatico come mezzo Image forensics Lo strumento informatico come fine Enhancement Identificazione Autenticazione Nonostante la pervasività, il reale On-site funzionamento della tecnologia resta ai più On-line misterioso Data recovery Contatti Le tracce digitali possono avere una natura estremamente delicata, che richiede Davide Gabrini competenze specifiche per la trattazione Digital Forensic Jedi
leggende e realtà Effetto CSI: delle indagini digitali SMAU Scopi di un’analisi forense Academy sikurezza.org Milano, 21.10.2009 Confermare o escludere un evento Individuare tracce e informazioni utili Introduzione Scienza a circostanziarlo Fantascienza Image forensics Acquisire e conservare le tracce in Enhancement maniera idonea, che garantisca integrità Identificazione Autenticazione e non ripudiabilità On-site On-line Interpretare e correlare le evidenze Data recovery acquisite Contatti Riferire con precisione ed efficienza Davide Gabrini Digital Forensic Jedi
leggende e realtà Effetto CSI: delle indagini digitali SMAU Cosa NON è Academy sikurezza.org Milano, 21.10.2009 Fantascienza televisiva: CSI, NCIS, Criminal Minds, RIS ecc. propinano Introduzione Scienza solitamente boiate Fantascienza …e al cinema è anche peggio ;-) Image forensics Enhancement Identificazione Autenticazione Anche gli organi di On-site On-line informazione (non del Data recovery settore) spesso instillano Contatti convinzioni del tutto infondate… Davide Gabrini Digital Forensic Jedi
leggende e realtà Effetto CSI: delle indagini digitali SMAU Academy sikurezza.org Milano, 21.10.2009 Introduzione Scienza Fantascienza Image forensics Enhancement Identificazione Autenticazione On-site On-line Data recovery Contatti Davide Gabrini Digital Forensic Jedi
leggende e realtà Effetto CSI: delle indagini digitali SMAU Image forensics Academy sikurezza.org “Forensic image analysis is the application Milano, 21.10.2009 of image science and domain expertise to Introduzione interpret the content of an image or the Scienza image itself in legal matters” (SWGIT – www.fbi.gov) Fantascienza Image forensics Le principali discipline della Forensic Image Enhancement Identificazione Analysis includono: Autenticazione Fotogrammetria On-site On-line Comparazione fotografica Data recovery Analisi dei contenuti Contatti Autenticazione dell’immagine Identificazione della sorgente Davide Gabrini Digital Forensic Jedi
leggende e realtà Effetto CSI: delle indagini digitali SMAU CSI e lo zoom Academy sikurezza.org Milano, 21.10.2009 Introduzione Scienza Fantascienza Image forensics Enhancement Identificazione Autenticazione On-site On-line Data recovery Contatti Davide Gabrini Digital Forensic Jedi
leggende e realtà Effetto CSI: delle indagini digitali SMAU CSI Miami e lo zoom 2 Academy sikurezza.org Milano, 21.10.2009 Introduzione Scienza Fantascienza Image forensics Enhancement Identificazione Autenticazione On-site On-line Data recovery Contatti Davide Gabrini Digital Forensic Jedi
leggende e realtà Effetto CSI: delle indagini digitali SMAU Cosa NON si può fare Academy sikurezza.org Milano, 21.10.2009 Avete visto come si ingrandiscono le foto in film come Blade Runner o in Introduzione Scienza serie come CSI e RIS? Fantascienza Spiacente, ma la realtà, anche digitale, somiglia più a Blow Up… Image forensics Enhancement Identificazione Autenticazione Non si possono "creare" informazioni On-site On-line che non ci sono Data recovery Contatti Si possono però enfatizzare informazioni che non si vedono, Davide Gabrini Digital Forensic Jedi ma ci sono
leggende e realtà Effetto CSI: delle indagini digitali SMAU Evidenziazione dettagli Academy sikurezza.org Milano, 21.10.2009 Introduzione Scienza Fantascienza Image forensics Enhancement Identificazione Autenticazione On-site On-line Data recovery Contatti Davide Gabrini Digital Forensic Jedi Immagini: www.hyperreview.net
leggende e realtà Effetto CSI: delle indagini digitali SMAU Oggetto in movimento Academy sikurezza.org Milano, 21.10.2009 Introduzione Scienza Fantascienza Image forensics Enhancement Identificazione Autenticazione On-site On-line Data recovery Contatti Davide Gabrini Digital Forensic Jedi Immagini: www.amped.it
leggende e realtà Effetto CSI: delle indagini digitali SMAU Oggetto in movimento Academy sikurezza.org Milano, 21.10.2009 Introduzione Scienza Fantascienza Image forensics Enhancement Identificazione Autenticazione On-site On-line Data recovery Contatti Davide Gabrini Digital Forensic Jedi Immagini: www.amped.it
leggende e realtà Effetto CSI: delle indagini digitali SMAU Correzione prospettiva Academy sikurezza.org Milano, 21.10.2009 Introduzione Scienza Fantascienza Image forensics Enhancement Identificazione Autenticazione On-site On-line Data recovery Contatti Davide Gabrini Digital Forensic Jedi Immagini: www.amped.it
leggende e realtà Effetto CSI: delle indagini digitali SMAU Correzione prospettiva Academy sikurezza.org Milano, 21.10.2009 Introduzione Scienza Fantascienza Image forensics Enhancement Identificazione Autenticazione On-site On-line Data recovery Contatti Davide Gabrini Digital Forensic Jedi Immagini: www.amped.it
leggende e realtà Effetto CSI: delle indagini digitali SMAU Caccia al pedofilo Academy sikurezza.org Milano, 21.10.2009 Anche manipolazioni più complesse potrebbero rivelarsi invertibili Introduzione Scienza Fantascienza Image forensics Enhancement Identificazione Autenticazione On-site On-line Data recovery Contatti Davide Gabrini Digital Forensic Jedi Immagini: www.interpol.int
leggende e realtà Effetto CSI: delle indagini digitali SMAU NO, mi dispiace, ma non si può: Academy sikurezza.org Milano, 21.10.2009 …rimuovere il passamontagna dal volto del rapinatore, Introduzione Scienza …girare l’immagine “dall’altra parte” Fantascienza per vedere in faccia il tizio di spalle, Image forensics Enhancement …girare attorno agli oggetti, Identificazione Autenticazione On-site …“allargare” l’inquadratura per vedere On-line dettagli fuori campo, …zoomare all’infinito, Data recovery Contatti …recuperare i colori da un’immagine o Davide Gabrini Digital Forensic Jedi una ripresa in bianco e nero…
leggende e realtà Effetto CSI: delle indagini digitali SMAU Academy sikurezza.org Milano, 21.10.2009 Introduzione Scienza Fantascienza Image forensics Enhancement Identificazione Autenticazione On-site On-line Data recovery Contatti Davide Gabrini Digital Forensic Jedi
leggende e realtà Effetto CSI: delle indagini digitali SMAU Identificazione device: ExIF Academy sikurezza.org Milano, 21.10.2009 Introduzione Scienza Fantascienza Image forensics Enhancement Identificazione Autenticazione On-site On-line Data recovery Contatti Davide Gabrini Digital Forensic Jedi Immagine: www.tipiloschi.net
leggende e realtà Effetto CSI: delle indagini digitali SMAU Identificazione device: DQT Academy sikurezza.org Milano, 21.10.2009 Define Quantization Table (DQT) Matrici di quantizzazione utilizzate per Introduzione la compressione JPEG Scienza Fantascienza Ogni software che salva un JPEG lascia Image forensics Enhancement un'impronta che lo rende riconoscibile Identificazione Autenticazione Si può riconoscere così se la foto On-site proviene direttamente da una certa On-line fotocamera o se è stata editata da un Data recovery Contatti certo software Davide Gabrini Digital Forensic Jedi
leggende e realtà Effetto CSI: delle indagini digitali SMAU Strumenti per la lettura Academy sikurezza.org Milano, 21.10.2009 Un buon hexeditor 010 editor Introduzione Scienza + JPEG template Fantascienza dqtmd5 Image forensics Enhancement Identificazione JPEGsnoop Autenticazione On-site Hachoir On-line jpegquality Data recovery Contatti Davide Gabrini Digital Forensic Jedi
leggende e realtà Effetto CSI: delle indagini digitali SMAU Identificazione device: Camera ballistic Academy sikurezza.org Milano, 21.10.2009 Identificazione dei difetti (hot e dead pixel) Inefficace se non ci sono difetti o se Introduzione vengono corretti dalla fotocamera Scienza Fantascienza Image forensics Enhancement Identificazione Autenticazione On-site On-line Data recovery Contatti Davide Gabrini Digital Forensic Jedi
leggende e realtà Effetto CSI: delle indagini digitali SMAU Identificazione device: Camera ballistic Academy sikurezza.org Milano, 21.10.2009 Analisi del rumore E' possibile isolare un'impronta Introduzione caratteristica nel rumore di fondo Scienza Fantascienza L'impronta è infatti univoca per ogni Image forensics Enhancement sensore CCD/CMOS Identificazione Autenticazione La caratteristica è indipendente dalle On-site condizioni ambientali e stabile nel ciclo On-line di vita dell'apparato Data recovery Contatti Si può identificare la specifica camera che ha scattato una determinata foto Davide Gabrini Digital Forensic Jedi
leggende e realtà Effetto CSI: delle indagini digitali SMAU Rilevare le manipolazioni Academy sikurezza.org Milano, 21.10.2009 Spesso è fondamentale scoprire se un'immagine sia stata falsificata Introduzione Scienza I metodi tradizionali sono sempre Fantascienza validi e costituiscono un buon inizio Image forensics Enhancement Per esempio: Identificazione Autenticazione Esame dei contorni On-site On-line Coerenza di luci ed ombre Data recovery Esame dei riflessi Contatti Nel mondo digitale servono però anche Davide Gabrini altri strumenti… Digital Forensic Jedi
leggende e realtà Effetto CSI: delle indagini digitali SMAU Esempi Academy sikurezza.org Neal Krawetz, Black Hat 2007 Milano, 21.10.2009 Introduzione Scienza Fantascienza Image forensics Enhancement Identificazione Autenticazione On-site On-line Data recovery Contatti Davide Gabrini Digital Forensic Jedi Immagini: http://www.hackerfactor.com
leggende e realtà Effetto CSI: delle indagini digitali SMAU Error Level Analysis Academy sikurezza.org Milano, 21.10.2009 Introduzione Scienza Fantascienza Image forensics Enhancement Identificazione Autenticazione On-site On-line Data recovery Contatti Davide Gabrini Digital Forensic Jedi
leggende e realtà Effetto CSI: delle indagini digitali SMAU Error Level Analysis Academy sikurezza.org Milano, 21.10.2009 Introduzione Scienza Fantascienza Image forensics Enhancement Identificazione Autenticazione On-site On-line Data recovery Contatti Davide Gabrini Digital Forensic Jedi
leggende e realtà Effetto CSI: delle indagini digitali SMAU Error Level Analysis Academy sikurezza.org Milano, 21.10.2009 Introduzione Scienza Fantascienza Image forensics Enhancement Identificazione Autenticazione On-site On-line Data recovery Contatti Davide Gabrini Digital Forensic Jedi
leggende e realtà Effetto CSI: delle indagini digitali SMAU Error Level Analysis Academy sikurezza.org Milano, 21.10.2009 Introduzione Scienza Fantascienza Image forensics Enhancement Identificazione Autenticazione On-site On-line Data recovery Contatti Davide Gabrini Digital Forensic Jedi
leggende e realtà Effetto CSI: delle indagini digitali SMAU DCT Coefficient Analysis Academy sikurezza.org Detecting Doctored JPEG Images Via DCT Milano, 21.10.2009 Coefficient Analysis Junfeng He; Zhouchen Lin; Lifeng Wang; Xiaoou Tang Introduzione Scienza Fantascienza Image forensics Enhancement Identificazione Autenticazione On-site On-line Data recovery Contatti Davide Gabrini Digital Forensic Jedi
leggende e realtà Effetto CSI: delle indagini digitali SMAU Cosa NON si può fare Academy sikurezza.org Milano, 21.10.2009 Introduzione Scienza Fantascienza Image forensics Enhancement Identificazione Autenticazione On-site On-line Data recovery Contatti Davide Gabrini Digital Forensic Jedi
leggende e realtà Effetto CSI: delle indagini digitali SMAU Per finire in bellezza… Academy sikurezza.org Milano, 21.10.2009 Introduzione Scienza Fantascienza Image forensics Enhancement Identificazione Autenticazione On-site On-line Data recovery Contatti Davide Gabrini Digital Forensic Jedi
leggende e realtà Effetto CSI: delle indagini digitali SMAU Academy sikurezza.org Milano, 21.10.2009 Introduzione Scienza Fantascienza Image forensics Enhancement Identificazione Autenticazione On-site On-line Data recovery Contatti Davide Gabrini Digital Forensic Jedi
leggende e realtà Effetto CSI: delle indagini digitali SMAU La perquisizione alla CSI Academy sikurezza.org Milano, 21.10.2009 Introduzione Scienza Fantascienza Image forensics Enhancement Identificazione Autenticazione On-site On-line Data recovery Contatti Davide Gabrini Digital Forensic Jedi
leggende e realtà Effetto CSI: delle indagini digitali SMAU Perché non si fa Academy sikurezza.org Milano, 21.10.2009 Dalla RFC3227 in poi, le best practices internazionali consigliano prudenza… Introduzione Scienza Quando si può scegliere tra acquisire Fantascienza e analizzare, prima si acquisisce, poi si analizza, non il contrario! Image forensics Enhancement Identificazione Autenticazione Quando un sistema è spento, è On-site On-line solitamente consigliato non accenderlo Data recovery Il solo avvio del sistema operativo Contatti causa molteplici alterazioni e la perdita Davide Gabrini di informazioni potenzialmente rilevanti Digital Forensic Jedi
leggende e realtà Effetto CSI: delle indagini digitali SMAU Potenziale invasività Academy sikurezza.org Il sistema è spento, quindi in condizione statica Milano, 21.10.2009 (non facilmente alterabile) Introduzione Accenderlo significa perturbarlo e perdere la Scienza sicurezza iniziale Fantascienza Senza opportune cautele, si rischia di inquinare Image forensics irrimediabilmente il reperto Enhancement Identificazione le modifiche apportate sono note? Autenticazione sono documentabili? On-site intaccano significativamente il risultato dell'analisi? On-line Data recovery ogni modifica distrugge qualcosa! Contatti Occorre quindi operare con cognizione di causa e grande cautela In ogni caso, MAI permettere l'avvio del sistema Davide Gabrini Digital Forensic Jedi operativo residente!
leggende e realtà Effetto CSI: delle indagini digitali SMAU Controindicazioni “ambientali” Academy sikurezza.org Milano, 21.10.2009 In sede di perquisizione, l'ambiente è spesso ostile… Introduzione Scienza Le condizioni operative non sono Fantascienza paragonabili a quelle di un laboratorio Image forensics Enhancement L'attrezzatura a disposizione non può Identificazione Autenticazione che essere limitata On-site On-line Anche il tempo a disposizione è Data recovery forzatamente limitato Contatti La fretta è il primo elemento da tenere Davide Gabrini fuori dalla scena del crimine Digital Forensic Jedi
leggende e realtà Effetto CSI: delle indagini digitali SMAU Responso incerto Academy sikurezza.org Milano, 21.10.2009 Un'analisi eseguita in queste condizioni può dare riscontri solo in positivo: Introduzione Scienza nella migliore delle ipotesi, si può da Fantascienza subito confermare l'esistenza di un'evidence individuata, Image forensics Enhancement Identificazione Autenticazione ma non individuarla non ne On-site On-line conferma l'assenza con altrettanta Data recovery certezza! Contatti Davide Gabrini Digital Forensic Jedi
leggende e realtà Effetto CSI: delle indagini digitali SMAU Motivi per richiedere un’analisi sul posto Academy sikurezza.org Desiderio di avere risposte immediate Milano, 21.10.2009 Indirizzare meglio le stesse operazioni di Introduzione perquisizione Scienza Fantascienza Possibilità di eseguire triage su quanto Image forensics disponibile Enhancement Identificazione evitare "saccheggi" indiscriminati Autenticazione On-site individuare subito responsabilità in ambienti On-line condivisi Data recovery evidenziare subito le informazioni più rilevanti Contatti rispetto a quelle secondarie Possibilità di procedere ad arresto in Davide Gabrini Digital Forensic Jedi flagranza per i reati che lo prevedono
leggende e realtà Effetto CSI: delle indagini digitali SMAU Perquisizione e crack Academy sikurezza.org Milano, 21.10.2009 Introduzione Scienza Fantascienza Image forensics Enhancement Identificazione Autenticazione On-site On-line Data recovery Contatti Davide Gabrini Digital Forensic Jedi
leggende e realtà Effetto CSI: delle indagini digitali SMAU Academy sikurezza.org Milano, 21.10.2009 Introduzione Scienza Fantascienza Image forensics Enhancement Identificazione Autenticazione On-site On-line Data recovery Contatti Davide Gabrini Digital Forensic Jedi
leggende e realtà Effetto CSI: delle indagini digitali SMAU Nella fantasia, tutto e subito Academy sikurezza.org Milano, 21.10.2009 Introduzione Scienza Fantascienza Image forensics Enhancement Identificazione Autenticazione On-site On-line Data recovery Contatti Davide Gabrini Digital Forensic Jedi
leggende e realtà Effetto CSI: delle indagini digitali SMAU NO, non è vero che gli investigatori: Academy sikurezza.org …hanno accesso a tutti i database del mondo, Milano, 21.10.2009 …ovviamente aggiornatissimi, …ovviamente in tempo reale, Introduzione Scienza …per non parlare dei circuiti di videosorveglianza, Fantascienza …e dei satelliti spia, Image forensics …possono localizzare un portatile rubato Enhancement Identificazione conoscendo solo il numero seriale, Autenticazione …anche se off-line o spento… On-site …possono accedere alla registrazione di On-line Data recovery qualunque telefonata, anche retroattivamente, Contatti …possono craccare qualunque cosa, …e pure alla svelta! Davide Gabrini …padroneggiano ogni branca dello scibile umano Digital Forensic Jedi
leggende e realtà Effetto CSI: delle indagini digitali SMAU Academy sikurezza.org Milano, 21.10.2009 Introduzione Scienza Fantascienza Image forensics Enhancement Identificazione Autenticazione On-site On-line Data recovery Contatti Davide Gabrini Digital Forensic Jedi
leggende e realtà Effetto CSI: delle indagini digitali SMAU Recupero dati Academy sikurezza.org Milano, 21.10.2009 Introduzione Scienza Fantascienza Image forensics Enhancement Identificazione Autenticazione On-site On-line Data recovery Contatti Davide Gabrini Digital Forensic Jedi
leggende e realtà Effetto CSI: delle indagini digitali SMAU Tempi di copia Academy sikurezza.org Milano, 21.10.2009 I dispositivi di duplicazione forensi più avanzati arrivano anche a 6GB/min Introduzione Scienza A regime, 500GB si acquisirebbero in Fantascienza circa un'ora e mezza Image forensics Enhancement …peccato che non tutti gli hard disk Identificazione Autenticazione siano all’altezza… On-site On-line Data recovery Contatti Davide Gabrini Digital Forensic Jedi
leggende e realtà Effetto CSI: delle indagini digitali SMAU Acquisizioni: bitrate Academy sikurezza.org IDE (aka EIDE, ATAPI, Modalità Velocità Milano, 21.10.2009 UDMA0 16.7 MB/s UDMA, PATA…) UDMA1 25.0 MB/s Introduzione Sempre che non si usino UDMA2 33.3 MB/s Scienza device master e slave UDMA3 44.4 MB/s Fantascienza sullo stesso bus… UDMA4 66.7 MB/s Image forensics Enhancement Identificazione SATA (Serial ATA) UDMA5 100.0 MB/s Autenticazione 1.5 Gbit/s (150MB/s reali) UDMA6 133 MB/s On-site On-line SATA/300 o SATA II: 3Gbit/s (300MB/s) Data recovery SATA 3.0: 6Gbit/s (600MB/s) Contatti SAS (Serial Attached SCSI) 3.0Gbit/s e 6,0Gbit/s (300MB/s e 600MB/s) Davide Gabrini Digital Forensic Jedi
leggende e realtà Effetto CSI: delle indagini digitali SMAU Recupero dati Academy sikurezza.org Quando si cancella un file, i dati non Milano, 21.10.2009 vengono azzerati, ma soltanto dereferenziati Introduzione L'informazione quindi è ancora sul disco, Scienza ma lo spazio precedentemente occupato Fantascienza Image forensics risulta ora deallocato Enhancement Identificazione Anche i metadati potrebbero essere Autenticazione "sopravvissuti" in maniera analoga On-site On-line Per il recupero sono possibili due approcci: Data recovery Analisi dei metadati Contatti File carving Davide Gabrini Digital Forensic Jedi
leggende e realtà Effetto CSI: delle indagini digitali SMAU Recupero dati Academy sikurezza.org Milano, 21.10.2009 Analisi dei metadati Strettamente dipendente dal file system Introduzione Scienza Se presenti, consentono di ricostruire Fantascienza anche file frammentati Image forensics Enhancement E' possibile recuperare anche il nome Identificazione Autenticazione del file, i suoi timestamp ecc. ecc. On-site On-line Data recovery Contatti Davide Gabrini Digital Forensic Jedi
leggende e realtà Effetto CSI: delle indagini digitali SMAU Recupero dati Academy sikurezza.org File carving Milano, 21.10.2009 Se il dato è completamente dereferenziato, l'unico recupero possibile è tramite la scansione del BLOB Introduzione (Binary Large OBject) Scienza Fantascienza Vengono ricercate le intestazioni (header, o magic Image forensics number) identificative di specifici formati di file Enhancement Si cerca di interpretare quanto segue come facente Identificazione parte del file (se esistente, si ricerca anche un Autenticazione footer) On-site Funziona bene per file allocati su cluster contigui, On-line ma non in caso di frammentazione Data recovery Non recupera informazioni come nome e posizione Contatti originaria del file Se il BLOB è molto large, il carving può richiedere Davide Gabrini molte ore di lavoro… Digital Forensic Jedi
leggende e realtà Effetto CSI: delle indagini digitali SMAU Recupero dati sovrascritti Academy sikurezza.org "Ma mi ha detto mio cuggino che una sola passata di Milano, 21.10.2009 wiping non basta!" Introduzione Studi e pubblicazioni a riguardo esistono: Scienza STM (Scanning Tunneling Microscopy) Fantascienza SPM (Scanning Probe Microscopy) Image forensics Enhancement MFM (Magnetic Force Microscopy) Identificazione Autenticazione AFM (Atomic Force Microscopy) On-site Si basano sull'isteresi dei livelli di magnetizzazione On-line e sul disallineamento delle tracce Data recovery Contatti Eppure non si ha notizia di laboratori civili che offrano questi servizi… Davide Gabrini Digital Forensic Jedi
leggende e realtà Effetto CSI: delle indagini digitali SMAU Contatti Academy sikurezza.org Milano, 21.10.2009 Davide Rebus Gabrini e-mail: Introduzione rebus@mensa.it Scienza davide.gabrini@poliziadistato.it Fantascienza GPG Public Key: (available on keyserver.linux.it) Image forensics www.tipiloschi.net/rebus.asc Enhancement KeyID: 0x176560F7 Identificazione Instant Messaging: Autenticazione MSN therebus@hotmail.com On-site ICQ 115159498 On-line Skype therebus Data recovery <pubblicità> Contatti Corsi di computer forensics e sicurezza delle reti: www.corsisoftware.com </pubblicità> Davide Gabrini Digital Forensic Jedi Queste e altre cazzate su www.tipiloschi.net

Recomendados

2009 04-08 uni-mi_jpeg forensics
2009 04-08 uni-mi_jpeg forensics2009 04-08 uni-mi_jpeg forensics
2009 04-08 uni-mi_jpeg forensicsDavide Gabrini
 
Uni pv 2010-06-16
Uni pv 2010-06-16Uni pv 2010-06-16
Uni pv 2010-06-16Davide Gabrini
 
OWASP Day 3 - Analisi forense dei sistemi compromessi
OWASP Day 3 - Analisi forense dei sistemi compromessiOWASP Day 3 - Analisi forense dei sistemi compromessi
OWASP Day 3 - Analisi forense dei sistemi compromessiDavide Gabrini
 
2010 02-04 uni-mi_antiforensicmitigation
2010 02-04 uni-mi_antiforensicmitigation2010 02-04 uni-mi_antiforensicmitigation
2010 02-04 uni-mi_antiforensicmitigationDavide Gabrini
 
Live forensics e Cloud Computing
Live forensics e Cloud ComputingLive forensics e Cloud Computing
Live forensics e Cloud ComputingDavide Gabrini
 
2009 10-24 foss-e-computer-forensics
2009 10-24 foss-e-computer-forensics2009 10-24 foss-e-computer-forensics
2009 10-24 foss-e-computer-forensicsDavide Gabrini
 
The Outcome Economy
The Outcome EconomyThe Outcome Economy
The Outcome EconomyHelge Tennø
 
Reati informatici e d.lgs. 231/01
Reati informatici e d.lgs. 231/01Reati informatici e d.lgs. 231/01
Reati informatici e d.lgs. 231/01David D'Agostini
 

Recomendados

2009 04-08 uni-mi_jpeg forensics
2009 04-08 uni-mi_jpeg forensics2009 04-08 uni-mi_jpeg forensics
2009 04-08 uni-mi_jpeg forensicsDavide Gabrini
 
Uni pv 2010-06-16
Uni pv 2010-06-16Uni pv 2010-06-16
Uni pv 2010-06-16Davide Gabrini
 
OWASP Day 3 - Analisi forense dei sistemi compromessi
OWASP Day 3 - Analisi forense dei sistemi compromessiOWASP Day 3 - Analisi forense dei sistemi compromessi
OWASP Day 3 - Analisi forense dei sistemi compromessiDavide Gabrini
 
2010 02-04 uni-mi_antiforensicmitigation
2010 02-04 uni-mi_antiforensicmitigation2010 02-04 uni-mi_antiforensicmitigation
2010 02-04 uni-mi_antiforensicmitigationDavide Gabrini
 
Live forensics e Cloud Computing
Live forensics e Cloud ComputingLive forensics e Cloud Computing
Live forensics e Cloud ComputingDavide Gabrini
 
2009 10-24 foss-e-computer-forensics
2009 10-24 foss-e-computer-forensics2009 10-24 foss-e-computer-forensics
2009 10-24 foss-e-computer-forensicsDavide Gabrini
 
The Outcome Economy
The Outcome EconomyThe Outcome Economy
The Outcome EconomyHelge Tennø
 
Reati informatici e d.lgs. 231/01
Reati informatici e d.lgs. 231/01Reati informatici e d.lgs. 231/01
Reati informatici e d.lgs. 231/01David D'Agostini
 
2024 State of Marketing Report – by Hubspot
2024 State of Marketing Report – by Hubspot2024 State of Marketing Report – by Hubspot
2024 State of Marketing Report – by HubspotMarius Sescu
 
Everything You Need To Know About ChatGPT
Everything You Need To Know About ChatGPTEverything You Need To Know About ChatGPT
Everything You Need To Know About ChatGPTExpeed Software
 
Product Design Trends in 2024 | Teenage Engineerings
Product Design Trends in 2024 | Teenage EngineeringsProduct Design Trends in 2024 | Teenage Engineerings
Product Design Trends in 2024 | Teenage EngineeringsPixeldarts
 
How Race, Age and Gender Shape Attitudes Towards Mental Health
How Race, Age and Gender Shape Attitudes Towards Mental HealthHow Race, Age and Gender Shape Attitudes Towards Mental Health
How Race, Age and Gender Shape Attitudes Towards Mental HealthThinkNow
 
AI Trends in Creative Operations 2024 by Artwork Flow.pdf
AI Trends in Creative Operations 2024 by Artwork Flow.pdfAI Trends in Creative Operations 2024 by Artwork Flow.pdf
AI Trends in Creative Operations 2024 by Artwork Flow.pdfmarketingartwork
 
Skeleton Culture Code
Skeleton Culture CodeSkeleton Culture Code
Skeleton Culture CodeSkeleton Technologies
 
PEPSICO Presentation to CAGNY Conference Feb 2024
PEPSICO Presentation to CAGNY Conference Feb 2024PEPSICO Presentation to CAGNY Conference Feb 2024
PEPSICO Presentation to CAGNY Conference Feb 2024Neil Kimberley
 
Content Methodology: A Best Practices Report (Webinar)
Content Methodology: A Best Practices Report (Webinar)Content Methodology: A Best Practices Report (Webinar)
Content Methodology: A Best Practices Report (Webinar)contently
 
How to Prepare For a Successful Job Search for 2024
How to Prepare For a Successful Job Search for 2024How to Prepare For a Successful Job Search for 2024
How to Prepare For a Successful Job Search for 2024Albert Qian
 
Social Media Marketing Trends 2024 // The Global Indie Insights
Social Media Marketing Trends 2024 // The Global Indie InsightsSocial Media Marketing Trends 2024 // The Global Indie Insights
Social Media Marketing Trends 2024 // The Global Indie InsightsKurio // The Social Media Age(ncy)
 
Trends In Paid Search: Navigating The Digital Landscape In 2024
Trends In Paid Search: Navigating The Digital Landscape In 2024Trends In Paid Search: Navigating The Digital Landscape In 2024
Trends In Paid Search: Navigating The Digital Landscape In 2024Search Engine Journal
 
5 Public speaking tips from TED - Visualized summary
5 Public speaking tips from TED - Visualized summary5 Public speaking tips from TED - Visualized summary
5 Public speaking tips from TED - Visualized summarySpeakerHub
 
ChatGPT and the Future of Work - Clark Boyd
ChatGPT and the Future of Work - Clark Boyd ChatGPT and the Future of Work - Clark Boyd
ChatGPT and the Future of Work - Clark Boyd Clark Boyd
 
Getting into the tech field. what next
Getting into the tech field. what next Getting into the tech field. what next
Getting into the tech field. what next Tessa Mero
 
Google's Just Not That Into You: Understanding Core Updates & Search Intent
Google's Just Not That Into You: Understanding Core Updates & Search IntentGoogle's Just Not That Into You: Understanding Core Updates & Search Intent
Google's Just Not That Into You: Understanding Core Updates & Search IntentLily Ray
 
How to have difficult conversations
How to have difficult conversations How to have difficult conversations
How to have difficult conversations Rajiv Jayarajah, MAppComm, ACC
 
Introduction to Data Science
Introduction to Data ScienceIntroduction to Data Science
Introduction to Data ScienceChristy Abraham Joy
 
Time Management & Productivity - Best Practices
Time Management & Productivity - Best PracticesTime Management & Productivity - Best Practices
Time Management & Productivity - Best PracticesVit Horky
 
The six step guide to practical project management
The six step guide to practical project managementThe six step guide to practical project management
The six step guide to practical project managementMindGenius
 
Beginners Guide to TikTok for Search - Rachel Pearson - We are Tilt __ Bright...
Beginners Guide to TikTok for Search - Rachel Pearson - We are Tilt __ Bright...Beginners Guide to TikTok for Search - Rachel Pearson - We are Tilt __ Bright...
Beginners Guide to TikTok for Search - Rachel Pearson - We are Tilt __ Bright...RachelPearson36
 

Mais conteúdo relacionado

Destaque

2024 State of Marketing Report – by Hubspot
2024 State of Marketing Report – by Hubspot2024 State of Marketing Report – by Hubspot
2024 State of Marketing Report – by HubspotMarius Sescu
 
Everything You Need To Know About ChatGPT
Everything You Need To Know About ChatGPTEverything You Need To Know About ChatGPT
Everything You Need To Know About ChatGPTExpeed Software
 
Product Design Trends in 2024 | Teenage Engineerings
Product Design Trends in 2024 | Teenage EngineeringsProduct Design Trends in 2024 | Teenage Engineerings
Product Design Trends in 2024 | Teenage EngineeringsPixeldarts
 
How Race, Age and Gender Shape Attitudes Towards Mental Health
How Race, Age and Gender Shape Attitudes Towards Mental HealthHow Race, Age and Gender Shape Attitudes Towards Mental Health
How Race, Age and Gender Shape Attitudes Towards Mental HealthThinkNow
 
AI Trends in Creative Operations 2024 by Artwork Flow.pdf
AI Trends in Creative Operations 2024 by Artwork Flow.pdfAI Trends in Creative Operations 2024 by Artwork Flow.pdf
AI Trends in Creative Operations 2024 by Artwork Flow.pdfmarketingartwork
 
PEPSICO Presentation to CAGNY Conference Feb 2024
PEPSICO Presentation to CAGNY Conference Feb 2024PEPSICO Presentation to CAGNY Conference Feb 2024
PEPSICO Presentation to CAGNY Conference Feb 2024Neil Kimberley
 
Content Methodology: A Best Practices Report (Webinar)
Content Methodology: A Best Practices Report (Webinar)Content Methodology: A Best Practices Report (Webinar)
Content Methodology: A Best Practices Report (Webinar)contently
 
How to Prepare For a Successful Job Search for 2024
How to Prepare For a Successful Job Search for 2024How to Prepare For a Successful Job Search for 2024
How to Prepare For a Successful Job Search for 2024Albert Qian
 
Social Media Marketing Trends 2024 // The Global Indie Insights
Social Media Marketing Trends 2024 // The Global Indie InsightsSocial Media Marketing Trends 2024 // The Global Indie Insights
Social Media Marketing Trends 2024 // The Global Indie InsightsKurio // The Social Media Age(ncy)
 
Trends In Paid Search: Navigating The Digital Landscape In 2024
Trends In Paid Search: Navigating The Digital Landscape In 2024Trends In Paid Search: Navigating The Digital Landscape In 2024
Trends In Paid Search: Navigating The Digital Landscape In 2024Search Engine Journal
 
5 Public speaking tips from TED - Visualized summary
5 Public speaking tips from TED - Visualized summary5 Public speaking tips from TED - Visualized summary
5 Public speaking tips from TED - Visualized summarySpeakerHub
 
ChatGPT and the Future of Work - Clark Boyd
ChatGPT and the Future of Work - Clark Boyd ChatGPT and the Future of Work - Clark Boyd
ChatGPT and the Future of Work - Clark Boyd Clark Boyd
 
Getting into the tech field. what next
Getting into the tech field. what next Getting into the tech field. what next
Getting into the tech field. what next Tessa Mero
 
Google's Just Not That Into You: Understanding Core Updates & Search Intent
Google's Just Not That Into You: Understanding Core Updates & Search IntentGoogle's Just Not That Into You: Understanding Core Updates & Search Intent
Google's Just Not That Into You: Understanding Core Updates & Search IntentLily Ray
 
Time Management & Productivity - Best Practices
Time Management & Productivity - Best PracticesTime Management & Productivity - Best Practices
Time Management & Productivity - Best PracticesVit Horky
 
The six step guide to practical project management
The six step guide to practical project managementThe six step guide to practical project management
The six step guide to practical project managementMindGenius
 
Beginners Guide to TikTok for Search - Rachel Pearson - We are Tilt __ Bright...
Beginners Guide to TikTok for Search - Rachel Pearson - We are Tilt __ Bright...Beginners Guide to TikTok for Search - Rachel Pearson - We are Tilt __ Bright...
Beginners Guide to TikTok for Search - Rachel Pearson - We are Tilt __ Bright...RachelPearson36
 

Destaque (20)

2024 State of Marketing Report – by Hubspot
2024 State of Marketing Report – by Hubspot2024 State of Marketing Report – by Hubspot
2024 State of Marketing Report – by Hubspot
 
Everything You Need To Know About ChatGPT
Everything You Need To Know About ChatGPTEverything You Need To Know About ChatGPT
Everything You Need To Know About ChatGPT
 
Product Design Trends in 2024 | Teenage Engineerings
Product Design Trends in 2024 | Teenage EngineeringsProduct Design Trends in 2024 | Teenage Engineerings
Product Design Trends in 2024 | Teenage Engineerings
 
How Race, Age and Gender Shape Attitudes Towards Mental Health
How Race, Age and Gender Shape Attitudes Towards Mental HealthHow Race, Age and Gender Shape Attitudes Towards Mental Health
How Race, Age and Gender Shape Attitudes Towards Mental Health
 
AI Trends in Creative Operations 2024 by Artwork Flow.pdf
AI Trends in Creative Operations 2024 by Artwork Flow.pdfAI Trends in Creative Operations 2024 by Artwork Flow.pdf
AI Trends in Creative Operations 2024 by Artwork Flow.pdf
 
Skeleton Culture Code
Skeleton Culture CodeSkeleton Culture Code
Skeleton Culture Code
 
PEPSICO Presentation to CAGNY Conference Feb 2024
PEPSICO Presentation to CAGNY Conference Feb 2024PEPSICO Presentation to CAGNY Conference Feb 2024
PEPSICO Presentation to CAGNY Conference Feb 2024
 
Content Methodology: A Best Practices Report (Webinar)
Content Methodology: A Best Practices Report (Webinar)Content Methodology: A Best Practices Report (Webinar)
Content Methodology: A Best Practices Report (Webinar)
 
How to Prepare For a Successful Job Search for 2024
How to Prepare For a Successful Job Search for 2024How to Prepare For a Successful Job Search for 2024
How to Prepare For a Successful Job Search for 2024
 
Social Media Marketing Trends 2024 // The Global Indie Insights
Social Media Marketing Trends 2024 // The Global Indie InsightsSocial Media Marketing Trends 2024 // The Global Indie Insights
Social Media Marketing Trends 2024 // The Global Indie Insights
 
Trends In Paid Search: Navigating The Digital Landscape In 2024
Trends In Paid Search: Navigating The Digital Landscape In 2024Trends In Paid Search: Navigating The Digital Landscape In 2024
Trends In Paid Search: Navigating The Digital Landscape In 2024
 
5 Public speaking tips from TED - Visualized summary
5 Public speaking tips from TED - Visualized summary5 Public speaking tips from TED - Visualized summary
5 Public speaking tips from TED - Visualized summary
 
ChatGPT and the Future of Work - Clark Boyd
ChatGPT and the Future of Work - Clark Boyd ChatGPT and the Future of Work - Clark Boyd
ChatGPT and the Future of Work - Clark Boyd
 
Getting into the tech field. what next
Getting into the tech field. what next Getting into the tech field. what next
Getting into the tech field. what next
 
Google's Just Not That Into You: Understanding Core Updates & Search Intent
Google's Just Not That Into You: Understanding Core Updates & Search IntentGoogle's Just Not That Into You: Understanding Core Updates & Search Intent
Google's Just Not That Into You: Understanding Core Updates & Search Intent
 
How to have difficult conversations
How to have difficult conversations How to have difficult conversations
How to have difficult conversations
 
Introduction to Data Science
Introduction to Data ScienceIntroduction to Data Science
Introduction to Data Science
 
Time Management & Productivity - Best Practices
Time Management & Productivity - Best PracticesTime Management & Productivity - Best Practices
Time Management & Productivity - Best Practices
 
The six step guide to practical project management
The six step guide to practical project managementThe six step guide to practical project management
The six step guide to practical project management
 
Beginners Guide to TikTok for Search - Rachel Pearson - We are Tilt __ Bright...
Beginners Guide to TikTok for Search - Rachel Pearson - We are Tilt __ Bright...Beginners Guide to TikTok for Search - Rachel Pearson - We are Tilt __ Bright...
Beginners Guide to TikTok for Search - Rachel Pearson - We are Tilt __ Bright...
 

2009 10-21 effetto-csi

  • 1. leggende e realtà Effetto CSI: delle indagini digitali SMAU Academy sikurezza.org Milano, 21.10.2009 Introduzione Scienza Fantascienza Image forensics Enhancement Identificazione Autenticazione On-site On-line Data recovery Contatti Davide Gabrini Digital Forensic Jedi SMAU 2009 - Milano, 21.10.2009
  • 2. leggende e realtà Effetto CSI: delle indagini digitali SMAU Chi vi parla Academy sikurezza.org Milano, 21.10.2009 Davide ‘Rebus’ Gabrini Per chi lavoro non è un mistero. Introduzione Oltre a ciò: Scienza Fantascienza Consulente tecnico e Perito forense Image forensics Docente di sicurezza informatica e computer forensics per Corsisoftware srl Enhancement Identificazione Autenticazione Come vedete non sono qui in divisa  On-site On-line Data recovery Contatti Davide Gabrini Digital Forensic Jedi
  • 3. leggende e realtà Effetto CSI: delle indagini digitali SMAU Effetto CSI Academy sikurezza.org Con il termine "effetto CSI" si fa Milano, 21.10.2009 riferimento al modo in cui alcune serie Introduzione televisive di successo hanno cambiato la Scienza percezione che la gente comune ha verso la Fantascienza Image forensics medicina forense e le perizie scientifiche in Enhancement generale, alzando le aspettative e Identificazione Autenticazione richiedendo la stessa qualità di risultati che On-site si può apprezzare in televisione. On-line (più o meno preso da Wikipedia) Data recovery Contatti Uno dei campi interessati dal fenomeno è ovviamente quello dell'informatica forense Davide Gabrini Digital Forensic Jedi
  • 4. leggende e realtà Effetto CSI: delle indagini digitali SMAU Computer Forensics Academy sikurezza.org Milano, 21.10.2009 La computer forensics è la disciplina che si occupa della Introduzione preservazione, dell'identificazione, Scienza dello studio, della documentazione Fantascienza dei computer, o dei sistemi Image forensics informativi in generale, al fine di Enhancement Identificazione evidenziare l’esistenza di prove Autenticazione nello svolgimento dell’attività On-site investigativa. On-line (A.Ghirardini: “Computer forensics” – Apogeo) Data recovery Contatti L’obiettivo è dunque quello di evidenziare dei fatti pertinenti l’indagine da sottoporre a giudizio Davide Gabrini Digital Forensic Jedi
  • 5. leggende e realtà Effetto CSI: delle indagini digitali SMAU Necessità di una metodologia scientifica Academy sikurezza.org Nuova specilizzazione di polizia scientifica Milano, 21.10.2009 Pervasività delle tecnologie digitali Introduzione Scienza Loro implicazione in attività delittuose Fantascienza Lo strumento informatico come mezzo Image forensics Lo strumento informatico come fine Enhancement Identificazione Autenticazione Nonostante la pervasività, il reale On-site funzionamento della tecnologia resta ai più On-line misterioso Data recovery Contatti Le tracce digitali possono avere una natura estremamente delicata, che richiede Davide Gabrini competenze specifiche per la trattazione Digital Forensic Jedi
  • 6. leggende e realtà Effetto CSI: delle indagini digitali SMAU Scopi di un’analisi forense Academy sikurezza.org Milano, 21.10.2009 Confermare o escludere un evento Individuare tracce e informazioni utili Introduzione Scienza a circostanziarlo Fantascienza Image forensics Acquisire e conservare le tracce in Enhancement maniera idonea, che garantisca integrità Identificazione Autenticazione e non ripudiabilità On-site On-line Interpretare e correlare le evidenze Data recovery acquisite Contatti Riferire con precisione ed efficienza Davide Gabrini Digital Forensic Jedi
  • 7. leggende e realtà Effetto CSI: delle indagini digitali SMAU Cosa NON è Academy sikurezza.org Milano, 21.10.2009 Fantascienza televisiva: CSI, NCIS, Criminal Minds, RIS ecc. propinano Introduzione Scienza solitamente boiate Fantascienza …e al cinema è anche peggio ;-) Image forensics Enhancement Identificazione Autenticazione Anche gli organi di On-site On-line informazione (non del Data recovery settore) spesso instillano Contatti convinzioni del tutto infondate… Davide Gabrini Digital Forensic Jedi
  • 8. leggende e realtà Effetto CSI: delle indagini digitali SMAU Academy sikurezza.org Milano, 21.10.2009 Introduzione Scienza Fantascienza Image forensics Enhancement Identificazione Autenticazione On-site On-line Data recovery Contatti Davide Gabrini Digital Forensic Jedi
  • 9. leggende e realtà Effetto CSI: delle indagini digitali SMAU Image forensics Academy sikurezza.org “Forensic image analysis is the application Milano, 21.10.2009 of image science and domain expertise to Introduzione interpret the content of an image or the Scienza image itself in legal matters” (SWGIT – www.fbi.gov) Fantascienza Image forensics Le principali discipline della Forensic Image Enhancement Identificazione Analysis includono: Autenticazione Fotogrammetria On-site On-line Comparazione fotografica Data recovery Analisi dei contenuti Contatti Autenticazione dell’immagine Identificazione della sorgente Davide Gabrini Digital Forensic Jedi
  • 10. leggende e realtà Effetto CSI: delle indagini digitali SMAU CSI e lo zoom Academy sikurezza.org Milano, 21.10.2009 Introduzione Scienza Fantascienza Image forensics Enhancement Identificazione Autenticazione On-site On-line Data recovery Contatti Davide Gabrini Digital Forensic Jedi
  • 11. leggende e realtà Effetto CSI: delle indagini digitali SMAU CSI Miami e lo zoom 2 Academy sikurezza.org Milano, 21.10.2009 Introduzione Scienza Fantascienza Image forensics Enhancement Identificazione Autenticazione On-site On-line Data recovery Contatti Davide Gabrini Digital Forensic Jedi
  • 12. leggende e realtà Effetto CSI: delle indagini digitali SMAU Cosa NON si può fare Academy sikurezza.org Milano, 21.10.2009 Avete visto come si ingrandiscono le foto in film come Blade Runner o in Introduzione Scienza serie come CSI e RIS? Fantascienza Spiacente, ma la realtà, anche digitale, somiglia più a Blow Up… Image forensics Enhancement Identificazione Autenticazione Non si possono "creare" informazioni On-site On-line che non ci sono Data recovery Contatti Si possono però enfatizzare informazioni che non si vedono, Davide Gabrini Digital Forensic Jedi ma ci sono
  • 13. leggende e realtà Effetto CSI: delle indagini digitali SMAU Evidenziazione dettagli Academy sikurezza.org Milano, 21.10.2009 Introduzione Scienza Fantascienza Image forensics Enhancement Identificazione Autenticazione On-site On-line Data recovery Contatti Davide Gabrini Digital Forensic Jedi Immagini: www.hyperreview.net
  • 14. leggende e realtà Effetto CSI: delle indagini digitali SMAU Oggetto in movimento Academy sikurezza.org Milano, 21.10.2009 Introduzione Scienza Fantascienza Image forensics Enhancement Identificazione Autenticazione On-site On-line Data recovery Contatti Davide Gabrini Digital Forensic Jedi Immagini: www.amped.it
  • 15. leggende e realtà Effetto CSI: delle indagini digitali SMAU Oggetto in movimento Academy sikurezza.org Milano, 21.10.2009 Introduzione Scienza Fantascienza Image forensics Enhancement Identificazione Autenticazione On-site On-line Data recovery Contatti Davide Gabrini Digital Forensic Jedi Immagini: www.amped.it
  • 16. leggende e realtà Effetto CSI: delle indagini digitali SMAU Correzione prospettiva Academy sikurezza.org Milano, 21.10.2009 Introduzione Scienza Fantascienza Image forensics Enhancement Identificazione Autenticazione On-site On-line Data recovery Contatti Davide Gabrini Digital Forensic Jedi Immagini: www.amped.it
  • 17. leggende e realtà Effetto CSI: delle indagini digitali SMAU Correzione prospettiva Academy sikurezza.org Milano, 21.10.2009 Introduzione Scienza Fantascienza Image forensics Enhancement Identificazione Autenticazione On-site On-line Data recovery Contatti Davide Gabrini Digital Forensic Jedi Immagini: www.amped.it
  • 18. leggende e realtà Effetto CSI: delle indagini digitali SMAU Caccia al pedofilo Academy sikurezza.org Milano, 21.10.2009 Anche manipolazioni più complesse potrebbero rivelarsi invertibili Introduzione Scienza Fantascienza Image forensics Enhancement Identificazione Autenticazione On-site On-line Data recovery Contatti Davide Gabrini Digital Forensic Jedi Immagini: www.interpol.int
  • 19. leggende e realtà Effetto CSI: delle indagini digitali SMAU NO, mi dispiace, ma non si può: Academy sikurezza.org Milano, 21.10.2009 …rimuovere il passamontagna dal volto del rapinatore, Introduzione Scienza …girare l’immagine “dall’altra parte” Fantascienza per vedere in faccia il tizio di spalle, Image forensics Enhancement …girare attorno agli oggetti, Identificazione Autenticazione On-site …“allargare” l’inquadratura per vedere On-line dettagli fuori campo, …zoomare all’infinito, Data recovery Contatti …recuperare i colori da un’immagine o Davide Gabrini Digital Forensic Jedi una ripresa in bianco e nero…
  • 20. leggende e realtà Effetto CSI: delle indagini digitali SMAU Academy sikurezza.org Milano, 21.10.2009 Introduzione Scienza Fantascienza Image forensics Enhancement Identificazione Autenticazione On-site On-line Data recovery Contatti Davide Gabrini Digital Forensic Jedi
  • 21. leggende e realtà Effetto CSI: delle indagini digitali SMAU Identificazione device: ExIF Academy sikurezza.org Milano, 21.10.2009 Introduzione Scienza Fantascienza Image forensics Enhancement Identificazione Autenticazione On-site On-line Data recovery Contatti Davide Gabrini Digital Forensic Jedi Immagine: www.tipiloschi.net
  • 22. leggende e realtà Effetto CSI: delle indagini digitali SMAU Identificazione device: DQT Academy sikurezza.org Milano, 21.10.2009 Define Quantization Table (DQT) Matrici di quantizzazione utilizzate per Introduzione la compressione JPEG Scienza Fantascienza Ogni software che salva un JPEG lascia Image forensics Enhancement un'impronta che lo rende riconoscibile Identificazione Autenticazione Si può riconoscere così se la foto On-site proviene direttamente da una certa On-line fotocamera o se è stata editata da un Data recovery Contatti certo software Davide Gabrini Digital Forensic Jedi
  • 23. leggende e realtà Effetto CSI: delle indagini digitali SMAU Strumenti per la lettura Academy sikurezza.org Milano, 21.10.2009 Un buon hexeditor 010 editor Introduzione Scienza + JPEG template Fantascienza dqtmd5 Image forensics Enhancement Identificazione JPEGsnoop Autenticazione On-site Hachoir On-line jpegquality Data recovery Contatti Davide Gabrini Digital Forensic Jedi
  • 24. leggende e realtà Effetto CSI: delle indagini digitali SMAU Identificazione device: Camera ballistic Academy sikurezza.org Milano, 21.10.2009 Identificazione dei difetti (hot e dead pixel) Inefficace se non ci sono difetti o se Introduzione vengono corretti dalla fotocamera Scienza Fantascienza Image forensics Enhancement Identificazione Autenticazione On-site On-line Data recovery Contatti Davide Gabrini Digital Forensic Jedi
  • 25. leggende e realtà Effetto CSI: delle indagini digitali SMAU Identificazione device: Camera ballistic Academy sikurezza.org Milano, 21.10.2009 Analisi del rumore E' possibile isolare un'impronta Introduzione caratteristica nel rumore di fondo Scienza Fantascienza L'impronta è infatti univoca per ogni Image forensics Enhancement sensore CCD/CMOS Identificazione Autenticazione La caratteristica è indipendente dalle On-site condizioni ambientali e stabile nel ciclo On-line di vita dell'apparato Data recovery Contatti Si può identificare la specifica camera che ha scattato una determinata foto Davide Gabrini Digital Forensic Jedi
  • 26. leggende e realtà Effetto CSI: delle indagini digitali SMAU Rilevare le manipolazioni Academy sikurezza.org Milano, 21.10.2009 Spesso è fondamentale scoprire se un'immagine sia stata falsificata Introduzione Scienza I metodi tradizionali sono sempre Fantascienza validi e costituiscono un buon inizio Image forensics Enhancement Per esempio: Identificazione Autenticazione Esame dei contorni On-site On-line Coerenza di luci ed ombre Data recovery Esame dei riflessi Contatti Nel mondo digitale servono però anche Davide Gabrini altri strumenti… Digital Forensic Jedi
  • 27. leggende e realtà Effetto CSI: delle indagini digitali SMAU Esempi Academy sikurezza.org Neal Krawetz, Black Hat 2007 Milano, 21.10.2009 Introduzione Scienza Fantascienza Image forensics Enhancement Identificazione Autenticazione On-site On-line Data recovery Contatti Davide Gabrini Digital Forensic Jedi Immagini: http://www.hackerfactor.com
  • 28. leggende e realtà Effetto CSI: delle indagini digitali SMAU Error Level Analysis Academy sikurezza.org Milano, 21.10.2009 Introduzione Scienza Fantascienza Image forensics Enhancement Identificazione Autenticazione On-site On-line Data recovery Contatti Davide Gabrini Digital Forensic Jedi
  • 29. leggende e realtà Effetto CSI: delle indagini digitali SMAU Error Level Analysis Academy sikurezza.org Milano, 21.10.2009 Introduzione Scienza Fantascienza Image forensics Enhancement Identificazione Autenticazione On-site On-line Data recovery Contatti Davide Gabrini Digital Forensic Jedi
  • 30. leggende e realtà Effetto CSI: delle indagini digitali SMAU Error Level Analysis Academy sikurezza.org Milano, 21.10.2009 Introduzione Scienza Fantascienza Image forensics Enhancement Identificazione Autenticazione On-site On-line Data recovery Contatti Davide Gabrini Digital Forensic Jedi
  • 31. leggende e realtà Effetto CSI: delle indagini digitali SMAU Error Level Analysis Academy sikurezza.org Milano, 21.10.2009 Introduzione Scienza Fantascienza Image forensics Enhancement Identificazione Autenticazione On-site On-line Data recovery Contatti Davide Gabrini Digital Forensic Jedi
  • 32. leggende e realtà Effetto CSI: delle indagini digitali SMAU DCT Coefficient Analysis Academy sikurezza.org Detecting Doctored JPEG Images Via DCT Milano, 21.10.2009 Coefficient Analysis Junfeng He; Zhouchen Lin; Lifeng Wang; Xiaoou Tang Introduzione Scienza Fantascienza Image forensics Enhancement Identificazione Autenticazione On-site On-line Data recovery Contatti Davide Gabrini Digital Forensic Jedi
  • 33. leggende e realtà Effetto CSI: delle indagini digitali SMAU Cosa NON si può fare Academy sikurezza.org Milano, 21.10.2009 Introduzione Scienza Fantascienza Image forensics Enhancement Identificazione Autenticazione On-site On-line Data recovery Contatti Davide Gabrini Digital Forensic Jedi
  • 34. leggende e realtà Effetto CSI: delle indagini digitali SMAU Per finire in bellezza… Academy sikurezza.org Milano, 21.10.2009 Introduzione Scienza Fantascienza Image forensics Enhancement Identificazione Autenticazione On-site On-line Data recovery Contatti Davide Gabrini Digital Forensic Jedi
  • 35. leggende e realtà Effetto CSI: delle indagini digitali SMAU Academy sikurezza.org Milano, 21.10.2009 Introduzione Scienza Fantascienza Image forensics Enhancement Identificazione Autenticazione On-site On-line Data recovery Contatti Davide Gabrini Digital Forensic Jedi
  • 36. leggende e realtà Effetto CSI: delle indagini digitali SMAU La perquisizione alla CSI Academy sikurezza.org Milano, 21.10.2009 Introduzione Scienza Fantascienza Image forensics Enhancement Identificazione Autenticazione On-site On-line Data recovery Contatti Davide Gabrini Digital Forensic Jedi
  • 37. leggende e realtà Effetto CSI: delle indagini digitali SMAU Perché non si fa Academy sikurezza.org Milano, 21.10.2009 Dalla RFC3227 in poi, le best practices internazionali consigliano prudenza… Introduzione Scienza Quando si può scegliere tra acquisire Fantascienza e analizzare, prima si acquisisce, poi si analizza, non il contrario! Image forensics Enhancement Identificazione Autenticazione Quando un sistema è spento, è On-site On-line solitamente consigliato non accenderlo Data recovery Il solo avvio del sistema operativo Contatti causa molteplici alterazioni e la perdita Davide Gabrini di informazioni potenzialmente rilevanti Digital Forensic Jedi
  • 38. leggende e realtà Effetto CSI: delle indagini digitali SMAU Potenziale invasività Academy sikurezza.org Il sistema è spento, quindi in condizione statica Milano, 21.10.2009 (non facilmente alterabile) Introduzione Accenderlo significa perturbarlo e perdere la Scienza sicurezza iniziale Fantascienza Senza opportune cautele, si rischia di inquinare Image forensics irrimediabilmente il reperto Enhancement Identificazione le modifiche apportate sono note? Autenticazione sono documentabili? On-site intaccano significativamente il risultato dell'analisi? On-line Data recovery ogni modifica distrugge qualcosa! Contatti Occorre quindi operare con cognizione di causa e grande cautela In ogni caso, MAI permettere l'avvio del sistema Davide Gabrini Digital Forensic Jedi operativo residente!
  • 39. leggende e realtà Effetto CSI: delle indagini digitali SMAU Controindicazioni “ambientali” Academy sikurezza.org Milano, 21.10.2009 In sede di perquisizione, l'ambiente è spesso ostile… Introduzione Scienza Le condizioni operative non sono Fantascienza paragonabili a quelle di un laboratorio Image forensics Enhancement L'attrezzatura a disposizione non può Identificazione Autenticazione che essere limitata On-site On-line Anche il tempo a disposizione è Data recovery forzatamente limitato Contatti La fretta è il primo elemento da tenere Davide Gabrini fuori dalla scena del crimine Digital Forensic Jedi
  • 40. leggende e realtà Effetto CSI: delle indagini digitali SMAU Responso incerto Academy sikurezza.org Milano, 21.10.2009 Un'analisi eseguita in queste condizioni può dare riscontri solo in positivo: Introduzione Scienza nella migliore delle ipotesi, si può da Fantascienza subito confermare l'esistenza di un'evidence individuata, Image forensics Enhancement Identificazione Autenticazione ma non individuarla non ne On-site On-line conferma l'assenza con altrettanta Data recovery certezza! Contatti Davide Gabrini Digital Forensic Jedi
  • 41. leggende e realtà Effetto CSI: delle indagini digitali SMAU Motivi per richiedere un’analisi sul posto Academy sikurezza.org Desiderio di avere risposte immediate Milano, 21.10.2009 Indirizzare meglio le stesse operazioni di Introduzione perquisizione Scienza Fantascienza Possibilità di eseguire triage su quanto Image forensics disponibile Enhancement Identificazione evitare "saccheggi" indiscriminati Autenticazione On-site individuare subito responsabilità in ambienti On-line condivisi Data recovery evidenziare subito le informazioni più rilevanti Contatti rispetto a quelle secondarie Possibilità di procedere ad arresto in Davide Gabrini Digital Forensic Jedi flagranza per i reati che lo prevedono
  • 42. leggende e realtà Effetto CSI: delle indagini digitali SMAU Perquisizione e crack Academy sikurezza.org Milano, 21.10.2009 Introduzione Scienza Fantascienza Image forensics Enhancement Identificazione Autenticazione On-site On-line Data recovery Contatti Davide Gabrini Digital Forensic Jedi
  • 43. leggende e realtà Effetto CSI: delle indagini digitali SMAU Academy sikurezza.org Milano, 21.10.2009 Introduzione Scienza Fantascienza Image forensics Enhancement Identificazione Autenticazione On-site On-line Data recovery Contatti Davide Gabrini Digital Forensic Jedi
  • 44. leggende e realtà Effetto CSI: delle indagini digitali SMAU Nella fantasia, tutto e subito Academy sikurezza.org Milano, 21.10.2009 Introduzione Scienza Fantascienza Image forensics Enhancement Identificazione Autenticazione On-site On-line Data recovery Contatti Davide Gabrini Digital Forensic Jedi
  • 45. leggende e realtà Effetto CSI: delle indagini digitali SMAU NO, non è vero che gli investigatori: Academy sikurezza.org …hanno accesso a tutti i database del mondo, Milano, 21.10.2009 …ovviamente aggiornatissimi, …ovviamente in tempo reale, Introduzione Scienza …per non parlare dei circuiti di videosorveglianza, Fantascienza …e dei satelliti spia, Image forensics …possono localizzare un portatile rubato Enhancement Identificazione conoscendo solo il numero seriale, Autenticazione …anche se off-line o spento… On-site …possono accedere alla registrazione di On-line Data recovery qualunque telefonata, anche retroattivamente, Contatti …possono craccare qualunque cosa, …e pure alla svelta! Davide Gabrini …padroneggiano ogni branca dello scibile umano Digital Forensic Jedi
  • 46. leggende e realtà Effetto CSI: delle indagini digitali SMAU Academy sikurezza.org Milano, 21.10.2009 Introduzione Scienza Fantascienza Image forensics Enhancement Identificazione Autenticazione On-site On-line Data recovery Contatti Davide Gabrini Digital Forensic Jedi
  • 47. leggende e realtà Effetto CSI: delle indagini digitali SMAU Recupero dati Academy sikurezza.org Milano, 21.10.2009 Introduzione Scienza Fantascienza Image forensics Enhancement Identificazione Autenticazione On-site On-line Data recovery Contatti Davide Gabrini Digital Forensic Jedi
  • 48. leggende e realtà Effetto CSI: delle indagini digitali SMAU Tempi di copia Academy sikurezza.org Milano, 21.10.2009 I dispositivi di duplicazione forensi più avanzati arrivano anche a 6GB/min Introduzione Scienza A regime, 500GB si acquisirebbero in Fantascienza circa un'ora e mezza Image forensics Enhancement …peccato che non tutti gli hard disk Identificazione Autenticazione siano all’altezza… On-site On-line Data recovery Contatti Davide Gabrini Digital Forensic Jedi
  • 49. leggende e realtà Effetto CSI: delle indagini digitali SMAU Acquisizioni: bitrate Academy sikurezza.org IDE (aka EIDE, ATAPI, Modalità Velocità Milano, 21.10.2009 UDMA0 16.7 MB/s UDMA, PATA…) UDMA1 25.0 MB/s Introduzione Sempre che non si usino UDMA2 33.3 MB/s Scienza device master e slave UDMA3 44.4 MB/s Fantascienza sullo stesso bus… UDMA4 66.7 MB/s Image forensics Enhancement Identificazione SATA (Serial ATA) UDMA5 100.0 MB/s Autenticazione 1.5 Gbit/s (150MB/s reali) UDMA6 133 MB/s On-site On-line SATA/300 o SATA II: 3Gbit/s (300MB/s) Data recovery SATA 3.0: 6Gbit/s (600MB/s) Contatti SAS (Serial Attached SCSI) 3.0Gbit/s e 6,0Gbit/s (300MB/s e 600MB/s) Davide Gabrini Digital Forensic Jedi
  • 50. leggende e realtà Effetto CSI: delle indagini digitali SMAU Recupero dati Academy sikurezza.org Quando si cancella un file, i dati non Milano, 21.10.2009 vengono azzerati, ma soltanto dereferenziati Introduzione L'informazione quindi è ancora sul disco, Scienza ma lo spazio precedentemente occupato Fantascienza Image forensics risulta ora deallocato Enhancement Identificazione Anche i metadati potrebbero essere Autenticazione "sopravvissuti" in maniera analoga On-site On-line Per il recupero sono possibili due approcci: Data recovery Analisi dei metadati Contatti File carving Davide Gabrini Digital Forensic Jedi
  • 51. leggende e realtà Effetto CSI: delle indagini digitali SMAU Recupero dati Academy sikurezza.org Milano, 21.10.2009 Analisi dei metadati Strettamente dipendente dal file system Introduzione Scienza Se presenti, consentono di ricostruire Fantascienza anche file frammentati Image forensics Enhancement E' possibile recuperare anche il nome Identificazione Autenticazione del file, i suoi timestamp ecc. ecc. On-site On-line Data recovery Contatti Davide Gabrini Digital Forensic Jedi
  • 52. leggende e realtà Effetto CSI: delle indagini digitali SMAU Recupero dati Academy sikurezza.org File carving Milano, 21.10.2009 Se il dato è completamente dereferenziato, l'unico recupero possibile è tramite la scansione del BLOB Introduzione (Binary Large OBject) Scienza Fantascienza Vengono ricercate le intestazioni (header, o magic Image forensics number) identificative di specifici formati di file Enhancement Si cerca di interpretare quanto segue come facente Identificazione parte del file (se esistente, si ricerca anche un Autenticazione footer) On-site Funziona bene per file allocati su cluster contigui, On-line ma non in caso di frammentazione Data recovery Non recupera informazioni come nome e posizione Contatti originaria del file Se il BLOB è molto large, il carving può richiedere Davide Gabrini molte ore di lavoro… Digital Forensic Jedi
  • 53. leggende e realtà Effetto CSI: delle indagini digitali SMAU Recupero dati sovrascritti Academy sikurezza.org "Ma mi ha detto mio cuggino che una sola passata di Milano, 21.10.2009 wiping non basta!" Introduzione Studi e pubblicazioni a riguardo esistono: Scienza STM (Scanning Tunneling Microscopy) Fantascienza SPM (Scanning Probe Microscopy) Image forensics Enhancement MFM (Magnetic Force Microscopy) Identificazione Autenticazione AFM (Atomic Force Microscopy) On-site Si basano sull'isteresi dei livelli di magnetizzazione On-line e sul disallineamento delle tracce Data recovery Contatti Eppure non si ha notizia di laboratori civili che offrano questi servizi… Davide Gabrini Digital Forensic Jedi
  • 54. leggende e realtà Effetto CSI: delle indagini digitali SMAU Contatti Academy sikurezza.org Milano, 21.10.2009 Davide Rebus Gabrini e-mail: Introduzione rebus@mensa.it Scienza davide.gabrini@poliziadistato.it Fantascienza GPG Public Key: (available on keyserver.linux.it) Image forensics www.tipiloschi.net/rebus.asc Enhancement KeyID: 0x176560F7 Identificazione Instant Messaging: Autenticazione MSN therebus@hotmail.com On-site ICQ 115159498 On-line Skype therebus Data recovery <pubblicità> Contatti Corsi di computer forensics e sicurezza delle reti: www.corsisoftware.com </pubblicità> Davide Gabrini Digital Forensic Jedi Queste e altre cazzate su www.tipiloschi.net