Appunti Informatica forense

Corso di “Sicurezza dei sistemi

informatici in Internet”

Corso tenuto nell’A.A. 2021/2022 dal prof. Massimo Carnevali

presso l’Università degli Studi di Ferrara

Licenza Creative Commons 4.0 International: BY-SA

Documento derivato dall’elaborazione del materiale didattico fornito dal

prof. Massimo Carnevali per il corso “Sicurezza dei sistemi informatici in

Internet” presso l’Università degli Studi di Ferrara.

9. Informatica forense

Created @November 1, 2021 6:34 PM

Last edit @December 19, 2021 4:01 PM

Slide 9

INDICE

Digital Forensics

Rami della Digital forensics

Livelli di estrazione

Digital Forensics

È un ramo della scienza forense che comprende il recupero e

l'indagine del materiale trovato nei dispositivi digitali, spesso in

relazione a eventi di criminalità informatica: è fondamentale per

avere delle prove valide.

Le indagini della digital forensics hanno una varietà di applicazioni: la più comune è

quella di sostenere o confutare un'ipotesi davanti ad un processo penale o civile.

9. Informatica forense 1

Negli anni passati esistevano pochissimi strumenti forensi digitali e di conseguenza

gli investigatori spesso eseguivano analisi in tempo reale sui media, esaminando i

computer dall'interno del sistema operativo utilizzando gli strumenti di sysadmin

esistenti per estrarre le prove. Questa pratica comportava il rischio di modificare i

dati sul disco inavvertitamente o in altro modo, portando a richieste di manomissione

delle prove.

Non bisogna mai contaminare la scena del crimine: bisogna, ad esempio, mettere

uno smartphone in modalità aereo in modo che non possa essere riconfigurato da

remoto; non bisogna spegnerlo.

Un’indagine digitale forense solitamente si sviluppa in 3 fasi:

Acquisizione (Immagine disco di reperti): il processo di acquisizione ideale

dovrebbe catturare un'immagine della memoria volatile (RAM) del computer e

creare un duplicato esatto del settore del dispositivo digitale.

Analisi: un investigatore recupera le prove utilizzando una serie di metodologie

e strumenti diversi. Le prove recuperate vengono analizzate per poi ricostruire

eventi o azioni e per trarne conclusioni.

Rapporti

Le prove digitali, se utilizzate in tribunale, rientrano nelle stesse linee guida legali di

altre forme di prova. Le leggi che trattano le prove digitali riguardano due aspetti:

Integrità: garantisce che l'atto di sequestro e acquisizione dei media digitali non

modifichi le prove (né l'originale né la copia)

Autenticità: è la capacità di confermare l'integrità delle informazioni.

Rami della Digital forensics

L'indagine digitale forense non si limita a recuperare dati solo dal computer, ma

anche da piccoli dispositivi digitali (ad esempio tablet, smartphone, unità flash).

La digital forensics si divide nei seguenti rami:

Computer forensics: può trattare una vasta gamma di informazioni, dai registri

(come la cronologia internet) ai file effettivi sul disco.

Mobile device forensics: si occupa del recupero di prove digitali o dati da un

dispositivo mobile. Si differenzia da Computer forensics in quanto un dispositivo

mobile avrà un sistema di comunicazione integrato e, di solito, meccanismi di

memorizzazione proprietaria. Le indagini si concentrano di solito su dati semplici

come i dati di chiamata e le comunicazioni (SMS/email) piuttosto che il recupero

9. Informatica forense 2