Date post: | 19-Jul-2015 |
Category: |
Documents |
Upload: | mariagrazia-cinti |
View: | 253 times |
Download: | 0 times |
Quantificazione ed individuazione delle alterazioni dei dati nell'ambito di indagini
di Informatica Forense
Mariagrazia Cinti
24 Novembre 2011
Bologna
Relatore:
Marco RoccettiCorrelatore:
Cesare Maioli
Informatica Forense – definizione ed evoluzione
Corretta gestione del reperto informatico
Un caso reale di scorretta gestione
Presentazione dello studio
Analisi e confronto dei dati più significativi
Indice dei contenuti
Informatica Forense, ossia?
Disciplinache deriva dalla
ComputerForensicsamericana
Si occupa della raccolta e analisi dei dati digitali
per il loro utilizzo a fini processuali
Unisce competenze
informatiche
a specifiche conoscenze
giuridiche
Le fasi operative
1
2
3
4
È facile che si verifichino alterazioni
dei dati
Queste potrebbero
compromettere
l’ammissibilità di una prova
A favoreo control’indagato
Ma si sa, la teoria è diversa dalla pratica
“[...] Vi è il pericolo che Alberto Stasi non
riesca più a provare il proprio alibi. [...] Ma vi
è ugualmente il pericolo di un pregiudizio al
fondamentale valore neutro dell'accertamento
della verità.”
Obiettivi dello studio
Attuando dei test, ossia delle azioni semplici che ad un operatoreinesperto sembrerebbe ragionevole provare
Congelando la macchina ed analizzando, con un toolkit forense, le alterazioni che si sono verificate
Mettendo a confronto i risultati
Rispondere alla domanda:
in caso di utilizzo scorretto del reperto informatico,quante e quali alterazioni si verificano?
Come?
Modalità operative
Un’immagine forense per ogni test,per garantirne l’indipendenza
Ipotizzando diversi scenari
Macchine con e senzaprotezione antivirus
SO e applicativi molto diffusi
con configurazioni
di default
47 test
33 test
80 test totali
Sistema operativo: Windows XP
Alterazionirilevate dopo
una determinatadata sul
File System
Il file è stato creatob “created”
I metadati del file (MFT) sono cambiatic “changed”
Il file è stato accedutoa “accessed”
Il file è stato modificatom “written”
Calcolate le occorrenze
per le seguenti tipologie:
?e tutte le loro possibili combinazioni
Unplugging VS Shutdown
Standard user VS Admin user
Office VS OpenOffice
Internet Explorer VS Mozilla Firefox
Utilizzare la funzione “Cerca” di Windows non è una buona idea
Test 41
In conclusione
Tutte le immagini analizzate condividono gli stessi risultati:
90% operazioni: accesso (a)
10% operazioni restanti: (m), (c), (b) in modo variabile
Il reperto informatico è
delicato Quando lo si tratta occorre attenersi alle linee guida!