Quantificazione ed individuazione delle alterazioni dei dati nell'ambito di indagini

di Informatica Forense

Mariagrazia Cinti

24 Novembre 2011

Bologna

Relatore:

Marco RoccettiCorrelatore:

Cesare Maioli

Informatica Forense – definizione ed evoluzione

Corretta gestione del reperto informatico

Un caso reale di scorretta gestione

Presentazione dello studio

Analisi e confronto dei dati più significativi

Indice dei contenuti

Informatica Forense, ossia?

Disciplinache deriva dalla

ComputerForensicsamericana

Si occupa della raccolta e analisi dei dati digitali

per il loro utilizzo a fini processuali

Unisce competenze

informatiche

a specifiche conoscenze

giuridiche

Le fasi operative

1

2

3

4

È facile che si verifichino alterazioni

dei dati

Queste potrebbero

compromettere

l’ammissibilità di una prova

A favoreo control’indagato

Ma si sa, la teoria è diversa dalla pratica

“[...] Vi è il pericolo che Alberto Stasi non

riesca più a provare il proprio alibi. [...] Ma vi

è ugualmente il pericolo di un pregiudizio al

fondamentale valore neutro dell'accertamento

della verità.”

Obiettivi dello studio

Attuando dei test, ossia delle azioni semplici che ad un operatoreinesperto sembrerebbe ragionevole provare

Congelando la macchina ed analizzando, con un toolkit forense, le alterazioni che si sono verificate

Mettendo a confronto i risultati

Rispondere alla domanda:

in caso di utilizzo scorretto del reperto informatico,quante e quali alterazioni si verificano?

Come?

Modalità operative

Un’immagine forense per ogni test,per garantirne l’indipendenza

Ipotizzando diversi scenari

Macchine con e senzaprotezione antivirus

SO e applicativi molto diffusi

con configurazioni

di default

47 test

33 test

80 test totali

Sistema operativo: Windows XP

Alterazionirilevate dopo

una determinatadata sul

File System

Il file è stato creatob “created”

I metadati del file (MFT) sono cambiatic “changed”

Il file è stato accedutoa “accessed”

Il file è stato modificatom “written”

Calcolate le occorrenze

per le seguenti tipologie:

?e tutte le loro possibili combinazioni

Unplugging VS Shutdown

Standard user VS Admin user

Office VS OpenOffice

Internet Explorer VS Mozilla Firefox

Utilizzare la funzione “Cerca” di Windows non è una buona idea

Test 41

In conclusione

Tutte le immagini analizzate condividono gli stessi risultati:

90% operazioni: accesso (a)

10% operazioni restanti: (m), (c), (b) in modo variabile

Il reperto informatico è

delicato Quando lo si tratta occorre attenersi alle linee guida!