marcodebe/forensic.md

## forensic.md

      
    Raw
  

              forensic.md
            
          
    Epifani

Digital Evidence


Information of probative value that is either stored or transmitted in a binary form
Information or data, stored or transmitted in binary form that may be relied on as evidence

Digital Forensic

The use of scientifically derived and proven methods toward
the preservation, collection, validation, identification,
analysis, interpretation, documentation and
presentation of digital evidence derived from digital
sources for the purpose of facilitating or furthering the
reconstruction of events found to be criminal
DEFR

Digital Evidence First Responder: soggetto autorizzato, formato e
qualificato per agire per primo sulla scena di un incidente per
effettuare l’identificazione e l’acquisizione di una digital evidence
DES

Digital Evidence Specialist: soggetto che può svolgere i compiti di un
DEFR e che possiede conoscenze e competenze specialistiche
per una ampia gestione di problemi di natura tecnica (es. live
forensics, network forensics, database forensics, ecc.)
Digital Evidence – Requisiti


Integrità
Non ripudiabilità dell’elemento raccolto
Ripetibilità

Una digital evidence è governata da 3 principi fondamentali:

Rilevante: deve essere possibile dimostrare che i dati acquisiti siano
rilevanti per l’investigazione in corso. In altri termini una digital evidence
è rilevante se contiene informazioni di valore per il particolare incidente
e se c’è una buona ragione per acquisirla
Affidabile: tutti i processi utilizzati per la gestione di una potenziale
digital evidence dovrebbero essere verificabili e ripetibili
Sufficiente: devono essere acquisiti abbastanza elementi per poter
effettuare l’investigazione nel modo più completo possibile
Una digital evidence è fragile per natura
Può essere modificata, alterata o distrutta a causa di una gestione non corretta
Alcuni esempi...
Se viene rinvenuto un dispositivo spento, l’accensione comporta
modifiche al sistema e/o ai dati in esso contenuti
Se viene rinvenuto un dispositivo acceso, i dati che non sono stati salvati
possono andare definitivamente persi (es. file aperti e non salvati)
oppure i dati potrebbero diventare inaccessibili (es. cifratura)
Ma se il dispositivo è accesso e collegato ad una rete o ad Internet, possono
avvenire accessi dall’esterno con l’obiettivo di cancellare le
informazioni

Digital Forensics Process


In order to be useful in court, but also during the entire investigation
phase, digital evidence must be collected, preserved, and
analyzed in a forensically sound manner


This means that each single step, from the identification to the reporting,
has to be carefully and strictly followed


Historically, we have used to refer to a methodology as forensically
sound if and only if it would imply the original source of evidence to
remain unmodified and unaltered


This was mostly true when talking about classical computer forensics, in
scenarios where the forensic practitioner found the computer switched off


But since the rise of live forensics, this concept has become more and more
untrue. In fact, methods and tools for acquiring memory from live systems
inevitably alter, even if just a little bit, the target system where they are run on


Moreover, in order to make an acquisition of a mobile device, forensic
practitioners need to have some degree of interaction with the device.
Based on the type, a smartphone can need more or less interaction, altering in
this way the "original" state of the device.


One of the keys to forensic soundness is documentation. A solid case is built
on supporting documentation that reports on where the evidence originated
and how it was handled. From a forensic standpoint, the acquisition process
should change the original evidence as little as possible and any changes
should be documented and assessed in the context of the final analytical
results


Casey, 2011


DF process model

Preparation -> Gathering -> Processing -> Presentation
            Identification  Examination
              Collection     Analysis
             Preservation

Computer, Live, Media, Mobile network, DB, Malware, Image, Video, Audio, Cloud
PROBLEMI DELLA DIGITAL FORENSICS


Associare una determinata azione ad un determinato soggetto

Il fatto che una determinata azione sia stata effettuata da una
determinata user-id non implica che l’azione sia stata fatta
dall’assegnatario dell’id


Associare una determinata azione all’intenzionalità di un determinato soggetto

Il fatto che un evento sia rilevabile su un sistema informatico non
implica che l’esecutore fosse a conoscenza di ciò che stava facendo


Associare una determinata azione ad un
determinato tempo

Il fatto che su una evidenza compaia una data e ora non significa


Associazione dell’operatività di un computer alla presenza di un determinato
soggetto

il fatto che su un sistema si sia registrata dell’operatività non indica
in maniera certa chi la ha effettuata


Determinazione della coerenza temporale dell’alibi

le informazioni di data e ora legate ad un evento non devono essere
considerate probanti a meno di specifiche verifiche sulla qualità dei
dati


Determinazione della coerenza georeferenziata dell’alibi

le evidenze presenti su un sistema mobile o facilmente trasportabile
non sono indicative del luogo dove sono avvenute le elaborazioni


Metodologia


Incarico: L’oggetto dell’attività deve essere ben identificato
Autorizzazioni e preparazione
Tutto deve essere autorizzato (giudice, vertici aziendali).
Gli interventi devono essere preparati (luoghi e sistemi)
Identificazione: Ogni apparato/sistema deve essere identificato, classificato e controllato.
Tracciamento di eventuali analisi preliminari
Acquisizione e messa in cautela
Impiego di metodologie e apparecchiature accettate.
Time stamp e firma digitale, gestione di catena di custodia
Analisi Ripetibile, ricostruzione temporale degli eventi, correttezza logica e metodo
scientifico, documentazione di ogni passaggio
Report Chiaro, strettamente confinato ai limiti dell’incarico, esaustivo su tutti i quesiti, non
autoreferente

IL RUOLO DEL CONSULENTE INFORMATICO FORENSE


Figura altamente tecnica (conoscenza di come i dati sono gestiti dai sistemi)
Utilizzo di apparecchiature specifiche di acquisizione
Impiego di metodologie che garantiscono la conservazione dei dati
Comprensione del suo ruolo nella scala delle decisioni
(azienda/giudice – avvocato – CT)
Utilizzo di software per l’analisi e l’identificazione di elementi di
interesse da vaste moli di dati
Non è un investigatore, ma lo supporta
Chiarezza espositiva
Etica

Esistono linee guida dettagliate con le corrette metodologie di identificazione e conservazione:

RFC3227 - Guidelines for Evidence Collection and Archiving (2002)
USA – Department of Justice - Searching and Seizing Computers (2002)
USA – IACP - Best Practices for Seizing Electronic Evidence (2006)
USA – DoJ – Electronic Crime Scene Investigation v. 2 (2008)
UK – ACPO – Computer Based Evidence Guidelines v.4 (2008)
ISO 27037 - Guidelines for identification, collection, acquisition and preservation of digital evidence (2012)

ELECTRONIC EVIDENCE GUIDE

Redatta dal Council of Europe
Distribuita gratuitamente previa richiesta della password

DIGITAL FORENSICS - PASSI OPERATIVI


Preparazione
Identificazione
Conservazione
Acquisizione
Analisi
Documentazione

PREPARAZIONE


Prima di avviare l’attività si procede con un planning iniziale
Informazioni «a priori»
Tipo di caso investigato
Data e ora di riferimento dell’incidente/caso
Luogo dell’acquisizione (ubicazione, dimensione, tipo di struttura, ecc.)
Informazioni sul tipo di informazioni ricercate (es. file, comunicazioni, attività utente, ecc.)
Informazioni note sull’infrastruttura informatica (network, server, virtualizzazione, dati in remoto,
dati su cloud, ecc.)
Tipologia di dispostivi da acquisire (computer, mobile, server, virtualizzazione, cloud, ecc.)
Stima del numero di persone coinvolte nell’attività

PREPARAZIONE


Fare sempre una check list dei dispositivi necessari!
Macchina fotografica digitale (CARICA!)
Strumenti di smontaggio (Cacciaviti (tanti e di tutti i tipi...e comunque non bastano mai....), Pinze, Torcia,
Guanti..)
Strumenti per il packaging e il trasporto (etichette, borse antistatiche, borse da trasporto, faraday bag, ecc.)
Hard disk di destinazione opportunamente preparati
Adattatori per tutti i tipi di hard disk (PATA, SATA, SAS, SCSI, ZIF, ecc.)
Duplicatori di hard disk
Workstation di acquisizione
Write blocker hardware
Live CD
Documentazione cartacea/template di lavoro

IDENTIFICAZIONE


La fase di identificazione avviene in corrispondenza dell’analisi della scena
dell’incidente
Può sembrare la fase più semplice, perché si tratta «unicamente» di individuare
e catalogare le potenziali source of evidence
Tuttavia, vista l’enorme quantità di strumenti atti a conservare dati, è fondamentale
individuare tutto quello che può essere utile
E’ sempre facile? E’ sempre possibile?
In questa fase è inoltre necessario tenere in considerazione l’ordine di volatilità di
una digital evidence

DATI VOLATILI VS. DATI NON VOLATILI


Dati volatili
Dati conservati in memorie volatili che sono persi in caso di
spegnimento del dispositivo che li conserva (es. contenuto
della memoria RAM)
Dati non volatili
Dati conservati in memorie di massa e che non vanno persi in
caso di spegnimento del dispositivo che li conserva

DATI VOLATILI


Username e password
Chiavi di cifratura
Password/Token di connessione
Processi in esecuzione/chiusi di recente
Connessioni di rete attive
File aperti (e non salvati su disco)
Sessioni di login attive
Memory-only Malware

DATI NON VOLATILI


Swap/Page file
Hibernation
File temporanei/cache
Account configurati
File di configurazione e log files
File di dati

BEST PRACTICES PER COMPUTER SPENTO


Mettere in sicurezza la scena e prendere il controllo dell’area che contiene il
dispositivo
Allontanare le persone presenti dal computer e dai dispositivi di alimentazione
Fotografare o fare una ripresa video della scena del crimine e di tutte le
componenti interessate.
Se non è disponibile una fotocamera, disegnare la scena
Assicurarsi che il computer sia effettivamente spento!
Alcuni screen saver o modalità del computer (es. stand-by) possono far apparire il computer
come spento quando è ancora acceso
NON ACCENDERE IL COMPUTER PER NESSUN MOTIVO!

DIGITAL FORENSICS - PASSI OPERATIVI


Preparazione
Identificazione
Conservazione
Acquisizione
Analisi
Documentazione

TRASPORTO E CONSERVAZIONE DEI REPERTI


Una volta che i supporti sono stati identificati e si è avviata la catena di custodia, bisogna preoccuparsi di
conservarli adeguatamente e trasportarli in laboratorio
L’appropriata modalità di conservazione dipende dal supporto
Alcuni esempi sono:
Sacchetti antistatici (hard disk)
Valigie da trasporto
Gabbie di Faraday (dispositivi mobili)

CATENA DI CUSTODIA


La prova digitale deve essere trattata e conservata molto
attentamente per evitare contaminazioni, danni e qualsiasi
azione che potrebbe renderla inutilizzabile
Tutte le azioni compiute devono essere attentamente
documentate
Si deve predisporre una catena di custodia che identifichi tutte
le persone che hanno avuto accesso al supporto originale
La catena di custodia deve contenere alcune informazioni fondamentali:
Dati identificativi del caso (numero, investigatore, natura e breve descrizione)
Dati identificativi del supporto (produttore, modello, numero di serie)
Dati identificati del sequestro (data e ora di inizio custodia, luogo)
Ogni volta che i supporti oggetto di indagini sono affidati a un nuovo
investigatore, nella catena di custodia dovrà essere aggiunta
un’informazione contenente:
Nome della persona che ha preso in carico il supporto
Data e ora di consegna e data e ora di restituzione

REGOLA FONDAMENTALE!  PRESERVARE LO STATO DELL’ORIGINALE COPIA FORENSE

L’originale non deve mai essere utilizzato per l’analisi dei dati!
Per garantire l’acquisizione di tutti i dati presenti sul dispositivo è
opportuno (ove possibile) effettuare una copia bit-a-bit (o bit-stream o
copia forense o immagine) del supporto originale, ovvero una copia
esatta del supporto originale
Questa operazione è differente da un semplice backup dei dati, che
consiste nella copia di file noti e tralascia lo spazio non allocato

COPIA FORENSE


L’acquisizione viene solitamente effettuata leggendo ogni bit del
supporto originale (prevenendo qualsiasi possibile scrittura) e scrivendo
un file immagine su un disco di destinazione
Il formato “immagine” più utilizzato è il formato RAW (o dd, dal nome del
tool Linux utilizzato per effettuare la copia)
La duplicazione può essere effettuata via software o via hardware

E SE TROVIAMO UN COMPUTER ACCESO?
Quando ci si trova davanti a un computer acceso si deve effettuare una
scelta:

Spegnerlo subito per effettuare una copia forense
Estrarre alcune informazioni finché è acceso
La scelta dipende da diversi fattori
Competenza e/o conoscenza dello specifico sistema
Strumenti disponibili
Rilevanza dei dati rispetto all’indagine

Un intervento di live forensics si rende necessario (o molto utile) quando:

Il sistema non è fisicamente rimovibile
Il sistema non può essere spento
Militari
Videosorveglianza
Strumenti medicali
Database server condivisi
Server in hosting/housing
Il sistema non può essere acquisito nella sua interezza
Le informazioni “volatili” sono rilevanti rispetto alle indagini (es. stato della rete, chat/download
in corso, memorie volatili, ecc.)
Siamo in presenza di volumi cifrati (BitLocker, FileVault, TrueCrypt, PGP, ecc.)

ANALISI


L’analisi di dati digitali non consiste semplicemente nell’estrazione
delle informazioni (es. utilizzo del sistema operativo), nel
recupero di file cancellati o nella ricerca di uno specifico file
L’analisi richiede la comprensione di come evidence
specifiche consentono di rispondere a uno o più quesiti
E’ fondamentale focalizzare l’attenzione sulle domande
chiave alle quali si deve rispondere (fatti e non teorie...)

ANALISI – STRUTTURA LOGICA E FILE SYSTEM


Identificazione della struttura logica del supporto
Sistema di partizionamento, file system e dimensione
blocchi/cluster, spazio non allocato, ecc.
Analisi dei metadati del/i file system presente/i
Nomi dei file, date MACB, journaling, logfile, ecc.
Caratteristiche peculiari degli specifici file system (es. NTFS,
FAT, HFS+, ecc.)

NTFS – PRINCIPALI CARATTERISTICHE

Journaling/Transaction Logging
Change Tracking
Hard/Soft Links
ACL (Access Control Lists)
Reparse Points
EFS (Encrypted File System)
Volume Shadow Copy
Alternate Data Streams

ANALISI – SISTEMA OPERATIVO


Informazioni sul sistema operativo (tipo, versione, data di installazione, licenza
d’uso, nome del computer, informazioni di login, ultimo spegnimento, timezone, ecc.)
Utenti e gruppi configurati (tipo di utente, gruppi di appartenenza, numero di login,
ecc.)
Servizi e applicazioni (servizi attivi, software installati, software in esecuzione
automatica, ecc.)
Network (schede di rete installate, configurazioni di rete, connessioni a reti WiFi,
share attive, dischi di rete mappati, RDP, ecc.)
Periferiche collegate (dispositivi IDE/SATA, USB, stampanti, ecc.)
Attività degli utenti (file recenti, ricerche effettuate, esecuzione di programmi, ecc.)

ANALISI – SOFTWARE APPLICATIVI


Browser (cronologia, cookies, cache, download, form, session
restore, suggested/top sites, flash cookies, private browsing, ecc.)
Posta Elettronica (archivi su client, archivi su server, web mail,
calendari, rubrica, ecc.)
Chat e Messenger
Cloud Storage
P2P
Database

Esistono almeno 6 tipologie di file cancellati:

Deleted: ovvero file che sono stati cancellati ma per i quali sono ancora presenti le informazioni
nei metadati del file system (es. MFT o FAT) e i cui settori non sono ancora stati sovrascritti
Orfani: file «Deleted» nei quali è stata sovrascritta l’informazione relativa alla cartella di
provenienza
Unallocated: file i cui riferimenti nei metadati del file system sono stati completamente
sovrascritti da un nuovo file ma il cui contenuto è ancora totalmente disponibile (ovvero nessun
settore è stato sovrascritto)
Deleted Overwritten: file per i quali sono ancora presenti le informazioni nei metadati del file
system (es. MFT o FAT) ma il cui contenuto è stato parzialmente sovrascritto
Partially Overwritten: file i cui riferimenti nel file system sono stati completamente sovrascritti e i
cui settori sono stati parzialmente sovrascritti
Overwritten: file i cui riferimenti nel file system sono stati completamente sovrascritti e i cui
settori sono stati completamente sovrascritti

DOCUMENTAZIONE


I risultati e le conclusioni dedotte devono essere presentate in
forma facilmente comprensibile
I destinatari (giudici, avvocati, amministratori) non hanno di solito
competenze informatiche approfondite
Tuttavia è probabile che la relazione venga esaminata da un
tecnico della controparte
Semplicità e chiarezza, non superficialità e
approssimazione

STRUTTURA DEL REPORT


Informazioni generali del caso: lettera di incarico/nomina a C.T., quesiti posti, analisi degli
atti o delle informazioni «a priori» note, ecc.
Quesiti: quesiti posti dal committente (pubblico ministero, giudice, avvocato, manager, ecc.)
Risultati: risposte ai quesiti posti in forma breve e con un dettaglio tecnico limitato e
comprensibile
Dettaglio dell’analisi: analisi tecnica che illustri la metodologia seguita, le evidenze rinvenute,
gli strumenti utilizzati, ecc.
Dettaglio dell’acquisizione: documentazione fotografica dei reperti, report di acquisizione
generati dagli strumenti utilizzati, firme hash delle copie forensi, ecc.
Allegati: estratti in formato digitale di interesse rispetto ai quesiti posti e citati nei risultati e/o
nel dettaglio dell’analisi

Massa

Incident Handling


ambito

Le procedure per la gestione degli incidenti sono presenti in
organizzazioni strutturate (aziende, pubblica amministrazione,
militari)

operatori
Sistemisti, responsabili della sicurezza, HR, responsabili della
comunicazione, sviluppatori ...
obiettivo
Minimizzare o meglio, prevenire, danni economici
all’organizzazione

Digital Forensic


ambito

Investigazioni e procedimenti legali civili e penali, sia per
aziende sia per privati

operatori
Esperti nell’individuazione, conservazione ed analisi delle
evidenze digitali di reato
obiettivo
Analizzare le evidenze digitali e fornire una descrizione
tecnicamente ineccepibile di quanto accaduto

Definizioni:


Un Evento è una qualunque azione, automatica o
manuale, eseguita da un sistema ed in qualche modo
registrabile ed osservabile
Un Incidente di Sicurezza è una violazione delle policy
di sicurezza (o la minaccia che tale violazione stia per
avvenire)
Nella gestione degli incidenti occorre essere precisi e rigorosi.
Quanto troveremo potrà essere portato in tribunale come prova ...

Ricapitolando ...

Eventi – Es.

Sequenza di boot di un sistema
Crash di un sistema
Rilevazione di pacchetti malformati su una rete
Uso NON autorizzato di privilegi di sistema
Uso NON autorizzato di account utenti
Esecuzione di codice malevolo

Intorno agli anni 80 alcuni tra i paesi più industrializzati si sono
dotati di un apposito impianto legislativo per il computer crime

USA, Counterfeit Access Device and Computer Fraud and Abuse (1984)
Danimarca, legge n. 229 del 6 giugno 1985
Norvegia, legge n. 54 del 12 giugno 1987
Austria, legge n. 605 del 1987 (in vigore 1 marzo 1988)
Grecia, legge n. 1805 del 30 agosto 1988
Gran Bretagna, Computer Misure Act del 29 giugno 1990

In Italia

L’introduzione delle nuove tecnologie è stata più graduale, così
pure la creazione del nostro impianto legislativo.
La legge cardine sul computer crime in Italia è la 547 del 1993,
prima di essa vi erano stati solo alcuni interventi sporadici:

Legge 18 maggio 1978 n. 191, introduzione dell’articolo 420 al c.p. per
sanzionare l'attentato ad impianti di pubblica utilità tra cui gli impianti di
elaborazione di dati
Art. 12 della legge 5 luglio 1991 n. 197, punisce l'uso indebito di carte di
credito
Art. 10 del decreto legislativo n. 518 del 1992 che tutela penalmente una
serie di condotte riassuntivamente definibili di "pirateria informatica"

Prima della legge n. 547 del 1993 la giurisprudenza tentava di
ricondurre le nuove figure criminose a fattispecie tradizionali.
Il problema non si poneva tanto in relazione alla parte fisica del
sistema informatico (hardware), che poteva trovare facile
riconoscimento nelle ipotesi classiche del danneggiamento, del
furto, etc., quanto piuttosto, ed in primo luogo, per le truffe
commesse attraverso l'elaboratore nonché per la tutelabilità del
software e del complesso di dati ed informazioni contenute nel
sistema informatico stesso.
Es. l'art. 640 c.p. era stato ritenuto applicabile in un caso riguardante
l'immissione nel computer dell'I.N.P.S. di dati non veritieri relativi a contributi
in realtà non versati (Trib. Roma, 20 giugno 1984), ritenendosi, peraltro, che
in tal modo fossero ingannati i dipendenti preposti al controllo del versamento
dei contributi e all'esazione degli stessi, e non il computer.
Art. 615 ter Accesso abusivo ad un sistema informatico o telematico. (1-5 anni)
se pubblico uff. o armato o se causa distruzione o danneggiamento del sistema.
Art. 615 quater Detenzione e diffusione abusiva di codici di accesso a
sistemi informatici o telematici 1-2 anni multa da 5k a 10k EUR
Art. 615 quinquies Diffusione di programmi diretti a danneggiare o
interrompere un sistema informatico
Art. 616 Violazione, sottrazione e soppressione di corrispondenza
(sino ad un anno con multa da 30 a 500 euro, se viene
rivelato il contenuto sino a 3 anni di carcere)

Art. 617 quater Intercettazione, impedimento o interruzione
illecita di comunicazioni informatiche o telematiche (da 6 mesi a
4 anni di carcere / da 1 a 5 anni di carcere)
Art. 640 ter Frode informatica (da 1 a 5 anni di carcere e da
300 sino a 1.500 euro di multa)

Gestione delle evidenze digitali di reato


Riconoscimento e identificazione degli elementi di prova
Documentazione della «scena del crimine»
Acquisizione e conservazione delle evidenze
Imballaggio e trasporto delle evidenze

‘Analisi Forense è la scienza che attiene l’individuazione, la raccolta, la
conservazione, l'estrazione, l’analisi e la documentazione delle evidenze di reati
digitali.
Queste evidenze devo essere:

Ammissibili, per poter essere utilizzate in sede legale
Autentiche, ovvero strettamente legate ai media digitali da cui sono state
rilevate
Complete, correlando tutte le informazioni possibili
Affidabili, per non sollevare dubbi sulla loro autenticità
Credibili, permettendo a chiunque di ricostruire il processo che ha portato alla
loro rilevazione ottenendo gli stessi risultati

Obiettivi dell’Analisi Forense:


Verificare che sia stato effettivamente compiuta un’attività malevola;
Identificare il colpevole;
Identificare il metodo e/o la vulnerabilità utilizzati per l’attività malevola;
Condurre un assessment che permetta di comprendere l’accaduto ed il
corretto perimetro. Per un corretto assessment è indispensabile che vi
sia una corretta procedura di gestione degli incidenti, e che questa sia
stata applicata. In caso contrario l’assessment risulterebbe inutile in
quanto l’incidente non sarebbe “circoscrivibile in modo chiaro”;
Raccogliere e conservare correttamente le evidenze al fine di poterle
eventualmente utilizzare in un’azione giudiziaria;

Le Evidenze affinché abbiano valore probatorio devono rispettare i seguenti
principi:

Pertinenza al caso
Accuratezza
Autenticità
Completezza
Integrità
Legalità

Quando viene effettuata un’indagine forense in ambito IT:


In seguito ad un incidente informatico (di sicurezza o meno)
Durante una causa legale in sede di perizia
Durante le indagini (preliminari o meno) relative ad un reato: le indagini
preliminari sono quelle richieste da un giudice per le indagini preliminari a periti,
negli altri casi ricadono le indagini eseguite da periti incaricati ad esempio da una
parte

Analisi forense a seguito di un incidente informatico
In caso di incidente informatico vi sono numerosi fattori che giocano un ruolo
fondamentale, per la corretta gestione dell’incidente:

Riconoscimento dell’incidente informatico
Gestione immediata. E’ fondamentale che in azienda ci sia un “Piano per la
gestione degli incidenti” che definisca:
Come comportarsi a fronte dell’incidente
Chi contattare e come (es. sia internamente che verso l’esterno)
Legale responsabile per l’azienda
Procedura operativa per l’eventuale messa in sicurezza dei sistemi (se
sotto attacco) e sulla preservazione delle evidenze

Metodologie di acquisizione
Le metodologie si dividono in due macro tipologie:

Dead Acquisition: riguarda l’acquisizione delle evidenze da sistemi spenti.
Live Acquisition: riguarda l’acquisizione delle evidenze da sistemi accesi ed
eventualmente in esercizio (es. server).

Metodologie di acquisizione

Dead Acquisition

Questo tipo di acquisizione riguarda sistemi spenti e che dunque possono essere
interfacciati via hardware allo scopo di copiarne i dati. Questo tipo di
acquisizione può essere eseguito in due diverse modalità:

Smontaggio dell’Hard Disk dalla macchina oggetto dell’analisi ed acquisizione
di un’immagine raw collegandolo ad un PC tramite un write blocker con
interfaccia USB o utilizzando appositi apparati per la copia;
Avvio della macchina oggetto dell’analisi con un CD o chiavetta USB bootable
(es. Deft) con installati software trusted di analisi forense. In questo caso è
bene verificare le impostazioni di boot della macchina prima di eseguire la
procedura.

In entrambi i casi descritti, questo tipo di acquisizione implica :

La NON alterazione/scrittura sul disco da analizzare
La NON alterazione dei dati durante l’acquisizione
La dead acquisition implica ovviamente la perdita dei dati volatili !! (RAM,
processi, connessioni di rete etc.)

Situazione di un sistema LIVE

Un sistema live è innanzitutto un sistema potenzialmente ancora sotto attacco,
su tale sistema è possibile acquisire:

Memoria RAM (processi, servizi, connessioni di rete ecc..)
Immagine dei dischi

Attenzione !!! L’attività di acquisizione può essere eventualmente rilevata
dell’attaccante nel caso in cui si operi su un sistema compromesso!