Pag. 1

� Conservazione dei dati originali

� Inalterabilità dei dati originali

� Conformità dei dati acquisiti a quelli originali

Pag. 2

SEQUESTRO DELL’INFORMAZIONE DIGITALE

� Sequestro di hardware:

- Intera macchina

- Rimozioni di hard disk o memorie

� Sequestro selettivo:

- Informazione specifica (file di log, email, file di testo, immagine)

� Validazione:- Calcolo dell’hash

Pag. 3

HASH

� Nel linguaggio scientifico e, in particolare, in quello informatico, l’hash è una funzione

che, sulla base di un algoritmo matematico, trasforma l’insieme dei bit di un file o di

una stringa qualsiasi di testo, in una stringa di bit di lunghezza predefinita

� La stringa di bit risultante ( Digest ) è di lunghezza fissa e limitata. E’ rappresentata

da una stringa alfanumerica

� La funzione di hash è univoca ( non può essere invertita )

� Costituisce l’impronta digitale di un documento informatico

� Può essere applicata a una semplice stringa di testo, a un file qualsiasi ( testo,

immagine, video etc. ), a un intero supporto fisico ( hard disk, floppy, pen drive etc. )

Pag. 4

Analisi dei dati

� valutazione dell’ambiente operativo

� scelta della strumentazione hardware e software

� modalità di acquisizione delle evidenze digitali dai supporti (clonazione, analisi sul

supporto in sola lettura)

� preparazione dei supporti di memoria di destinazione (formattazione, wiping)

Pag. 5

STRUMENTI HARDWARE

Pag. 6

STRUMENTI SOFTWARE (proprietari)

Pag. 7

STRUMENTI SOFTWARE (open source)

Pag. 8

ANALISI

Il software per l’analisi forense - sia open source che proprietario - permette:

� Recupero informazioni cancellate e non sovrascritte

� Analisi dei registri di sistema;

� Recupero dati in settori non allocati;

� Recupero di password dei software più comuni;

� Sintesi e report idonei all’attività forense.

Pag. 9

PROBLEMATICHE

� Ripetibilità degli atti

� Occultabilità fisica e software.

Pag. 10

- Occultabilità fisica -

Pag. 11

- Occultabilità Software -

� Crittografia

� Steganografia

� Partizioni nascoste

� altro (tunneling)

Pag. 12

� I dati viaggiano nella rete Internet incapsulati all’interno dipacchetti digitali multilivello , ciascuno dei quali dotato di una propria intestazione ( header ) .

Livello applicativo ( e.g. intestazione HTTP, intestazione SMTP )

Livello di trasporto ( intestazione TCP )

Livello di rete ( intestazione IP )

Data link ( non fa parte dello stack : PPP, Ethernet , Wifi , etc )

LO STACK TCP/IP

Pag. 13

� L’ intestazione IP contiene informazioni fondamentali per l’instradamento dei pacchetti nella rete :

- Indirizzo IP sorgente

- Indirizzo IP destinazione

In ambito investigativo possono assumere particolare rilievo

L’ INTESTAZIONE IP

Pag. 14

Pag. 15

� Gli indirizzi IP devono essere univoci nella rete Internet

� Sono lunghi 32 bit ( quattro byte ) e sono espressi scrivendo i valori decimali di

ciascun byte separati dal carattere punto.

Esempi : 192.168.4.35 , 212.222.216.112 , 128.14.5.68

� Sono assegnati da un’unica autorità internazionale ( IANA , Internet Assigned

Numbers Authority ) che ne garantisce l’univocità a livello mondiale

Pag. 16

� Esistono delle autorità locali ( continentali e nazionali ) che, sulla base dei piani di

indirizzamento previsti dalla IANA, possono sub-assegnare localmente gli indirizzi

IP. In Italia - ad esempio - il GARR presso il CNR di Pisa.

� I database delle Internet authority sono pubblicamente accessibili e consentono di

ottenere diverse informazioni circa l’assegnazione degli indirizzi IP, quali ad

esempio le organizzazioni ,gli enti , le aziende, gli Internet provider ad essi

associati e le relative persone di riferimento.

Pag. 20

� SERVIZI DI CONNETTIVITA’

� SERVIZI DI CONTENUTO

Pag. 21

� Servizi di connettività

L’Internet provider fornisce ai propri utenti il

collegamento alla rete Internet mediante

infrastrutture fisiche e tecnologie diverse :

• doppino telefonico ( dial up , adsl )

• fibra ottica

• onde elettromagnetiche ( wireless, Gprs, Umts

etc. )

Pag. 22

� Servizi di contenuto

L’ Internet provider fornisce agli utenti -direttamente o indirettamente – contenuti di

vario genere accessibili via Internet :

• Web

• Posta elettronica

• Instant messaging

• Newsgroup ( gruppi di discussione )

• Ftp

• Irc ( chat )

• Telefonia ( VoIP )

• File sharing

Pag. 23

Ogni servizio Internet - sia di connettività che di contenuto - è di fatto fornito e

gestito mediante sistemi informatici dedicati ( hardware e software ) che vengono

genericamente chiamati server :

NAS ( Network Access Server ) per i servizi di connettività

Web server , Mail server, Ftp server etc. per i servizi di contenuto

Pag. 24

Sotto il profilo strettamente informatico , ciascun sistema per la fornitura di

servizi Internet è di norma in grado di registrare – sotto forma di cd LOG e

in maniera più o meno dettagliata – alcune informazioni relative agli

accessi al servizio stesso.

Pag. 25

CONNESSIONE AL POP DEL PROVIDER

Data e ora di inizio Data e ora di fine IP Assegnato Caller ID

COLLEGAMENTO A UN SERVER DI CONTENUTO

Data e ora IP sorgente ( client ) IP destinatario ( server ) Tipo Servizio Operazione

Pag. 26

Fri Mar 4 19:40:12 2005NAS-IP-Address = 192.168.0.1

NAS-Port = 1

NAS-Port-Type = Virtual

User-Name = "David"

Calling-Station-Id = “0815413024"Acct-Status-Type = Start

Acct-Authentic = RADIUS

Service-Type = NAS-Prompt-User

Acct-Session-Id = "00000026"

Acct-Delay-Time = 0Client-IP-Address = 192.168.0.184

Acct-Unique-Session-Id = "913029a52dacb116"

Timestamp = 1109936412

Fri Mar 4 19:51:17 2005

NAS-IP-Address = 192.168.0.1

NAS-Port = 1

NAS-Port-Type = VirtualUser-Name = "David"

Calling-Station-Id = “0815413024"

Acct-Status-Type = Stop

Acct-Authentic = RADIUS

Service-Type = NAS-Prompt-UserAcct-Session-Id = "00000026"

Acct-Terminate-Cause = Idle-Timeout

Acct-Session-Time = 665

Acct-Delay-Time = 0Client-IP-Address = 192.168.0.184

Acct-Unique-Session-Id = "913029a52dacb116"

Timestamp = 1109937077

Esempio di log di un server di autenticazione ( Radius )

Pag. 27

Esempio Log di un WebServer

192.168.0.41 - - [10/Aug/2007:17:45:21 +0200] "GET /roundcubemail/index.php HTTP/1.1" 200 2311 "-" "Mozilla/5.0 (Windows; U; Windows NT 5.1; en-US; rv:1.8.1.6) Gecko/20070725 Firefox/2.0.0.6“

192.168.0.41 - - [10/Aug/2007:17:45:22 +0200] "GET /roundcubemail/skins/default/images/favicon.ico HTTP/1.1" 200 1406 "-" "Mozilla/5.0 (Windows; U; Windows NT 5.1; en-US; rv:1.8.1.6) Gecko/20070725 Firefox/2.0.0.6"

Pag. 28

Esempio Log di un MailServer

Mon 2008-05-19 08:08:59: Accettazione connessione POP da [192.168.4.226:1060]Mon 2008-05-19 08:08:59: --> +OK dominio.com POP MDaemon 9.6.5 ready MDAEMON-F200805190808.AA0859607MD6650@dominio.comMon 2008-05-19 08:08:59: <-- USER chieri@dominio.comMon 2008-05-19 08:08:59: --> +OK chieri@dominio.com... User okMon 2008-05-19 08:08:59: <-- PASS ******Mon 2008-05-19 08:08:59: --> +OK chieri@dominio.com's mailbox has 0 total messages (0 octets)Mon 2008-05-19 08:08:59: <-- STATMon 2008-05-19 08:08:59: --> +OK 0 0Mon 2008-05-19 08:09:00: <-- QUITMon 2008-05-19 08:09:00: --> +OK chieri@dominio.com dominio.com POP Server signing off (mailbox empty)Mon 2008-05-19 08:09:00: POP session complete (Bytes in/out: 56/302)

Pag. 29

Sotto il profilo informatico possono essere grossolanamente suddivisi in tre macro-categorie :

• Forzatura dei sistemi informatici : si sfruttano taluni difetti di

programmazione – noti e meno noti – per eseguire codice arbitrario

che consente di ottenere accesso al sistema , secondo vari livelli di

privilegio , oppure di svolgere operazioni non autorizzate

• Social engineering : raccolta fraudolenta di informazioni idonee ad

accedere a sistemi protetti da misure di sicurezza

• Insider hacking : accesso e/o utilizzo non autorizzato di un sistema

informatico da parte di utenti interni

Pag. 30

Alcune tecniche :

• Buffer overflow

• Sniffing

• Spoofing

• Sql injection

• Cross site scripting

• Trojan horse

• Back door

• Wardriving

• Portscanning

Pag. 31

• Si realizza solitamente mediante l’invio di messaggi di posta elettronica che

sembrano provenire da siti web autentici ( banche , poste, finanziarie, e-commerce )

• Lo scopo è quello di ingannare i destinatari e ottenerne fraudolentemente le

credenziali di accesso ai servizi on-line .

Pag. 32

Pag. 33

Pag. 34

Return-Path: <bitproje@ercole.hostingplan.net>

Received: from smtp-in4.libero.it (192.168.32.10) by ims14b.libero.it (8.0.013.5)id 475897220173AC2C for m.firrincieli@libero.it; Tue, 13 May 2008 04:55:25 +0200

Received: from mailrelay07.libero.it (172.31.0.114) by smtp-in4.libero.it (7.3.120)

id 47F2341F0A28E4D9 for m.firrincieli@libero.it; Tue, 13 May 2008 04:55:25 +0200

X-IronPort-Anti-Spam-Filtered: true

X-IronPort-Anti-Spam-Result: Ah8qAPifKEhUE7I2Wmdsb2JhbABXgWUhDigKhwaGRYEfAR2aBQX-IronPort-AV: E=Sophos;i="4.27,476,1204498800";

d="scan'208,217";a="318268975"

Received: from ercole.hostingplan.net ([66.71.188.11])

by mailrelay07.libero.it with ESMTP; 13 May 2008 04:55:25 +0200

Received: from nobody by ercole.hostingplan.net with local (Exim 4.68)(envelope-from <bitproje@ercole.hostingplan.net>)

id 1Jvkd6-0000qj-6N

for m.firrincieli@libero.it; Tue, 13 May 2008 04:52:40 +0200

To: m.firrincieli@libero.it

Subject: Poste Italiane Nuove misure di sicurezza Maggio 2008!From: poste@postte.it <poste@postte.it>

Reply-To: Poste Italiane A.s.P

MIME-Version: 1.0

Content-Type: text/html

Content-Transfer-Encoding: 8bitMessage-Id: <E1Jvkd6-0000qj-6N@ercole.hostingplan.net>

Date: Tue, 13 May 2008 04:52:40 +0200

Header email (1/2)

Pag. 35

<?xml version="1.0" encoding="iso-8859-1"?>

<!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN"

"http://www.w3.org/TR/xhtml1/DTD/xhtml1-transitional.dtd">

<html xmlns="http://www.w3.org/1999/xhtml">

<head>

<title></title>

</head>

<body>

<img name="poste1" src="http://www.altinf.fr/catalog/images/12.PNG" border="0" id="poste1" usemap="#m_poste1"

alt="image" /><map name="m_poste1" id="m_poste1">

<area shape="rect" coords="42,282,202,322" href="http://silniki.info//images/color.html" target="_blank"

alt="http://www.poste.it" /></map>

</body>

</html>

Header email (2/2)

Pag. 36

Pag. 37

Ce vrea omul:uighiugi

Nume: ana iumista

Email: sszzz@aol.comEmail: 153-566-9899

Reach: IP: 172.166.26.218

##################################################

Name on Card: ana iumista

Card Number: 4323784173882011MONTH: 03

YEAR: 2009

PIN: 9887

IP: 172.166.26.218

############################Nume: ana iumista

PIN2: 9088

IP:172.166.26.218

#########################################

Fri May 09, 2008 8:24 pmLogin: 372614

Password: oceans

IP: 209.180.172.172

##################################################

Ce vrea omul:Nume: Christopher J. Parosa

Email: christopher.parosa@co.lane.or.us

Email: 541-343-0061

Reach: IP: 199.79.32.18

Dati Acquisiti

Pag. 38

Sovr. Marco Firrincieli

Polizia Postale e delle Comunicazioni

Torino