Il corso affronta, con un approccio orientato alla sperimentazione, la scienza che studia l'individuazione, la conservazione, la protezione, l'estrazione, la documentazione e ogni altra forma di trattamento del dato informatico al fine di essere valutato in sede processuale. Al termine del corso si acquisiranno le competenze necessarie al "computer forensic expert" ovvero la figura professionale che presta la sua opera nell'ambito dei reati informatici o del computer crime con lo scopo di "preservare, identificare, studiare ed analizzare i contenuti memorizzati all'interno di qualsiasi supporto o dispositivo di memorizzazione". Le attività sono dirette non solo a tutte le categorie di computer, ma a qualsiasi attrezzatura elettronica con potenzialità di memorizzazione dei dati (ad esempio, cellulari, smartphone, sistemi di domotica, autoveicoli e tutto ciò che contiene dati memorizzati.
Durata 3 giorni
Programma
- Individuazione:
- il primo e più importante passo che un computer forensic expert deve compiere prima di iniziare la sua investigazione, è quello di identificare la prova informatica e la sua possibile posizione. Una prova digitale può essere infatti contenuta in diverse tipologie di supporti, come hard disks, media rimuovibili oppure un log file su un server.
- Conservazione e Protezione:
- il computer forensic expert deve garantire il massimo impegno per conservare l'integrità della prova informatica. Il dato originale non deve essere modificato e danneggiato e quindi si procede realizzandone una copia (bit-a-bit), su cui il computer forensic expert compie l'analisi. Dopo aver effettuato la copia è necessario verificarne la consistenza rispetto al dato originale: per questo motivo si firmano digitalmente il dato originale e la copia, che devono coincidere.
- esercitazioni in laboratorio su: dd, ddrescue, md5sum, autopsy (calcolo hash e analisi di device).
- Estrazione:
- è il processo attraverso il quale il computer forensic expert, servendosi di diverse tecniche e della sua esperienza, trova la posizione del dato informatico ricercato e lo estrae. Verrà fatta una panoramica sui forensics tool Helix, CAINE ed Encase
- esercitazioni in laboratorio su: recupero file cancellati, ricerche su file e settori allocati/non allocati, creazione ed interpretazione della timeline, analisi di pagefile.sys/hiberfile.sys/NTUSER.DAT, funzionamento di Emule, utilizzo dell'analizzatore di protocolli di rete Wireshark.
- Documentazione:
- l'intero lavoro del digital forenser deve essere costantemente documentato, a partire dall'inizio dell'investigazione fino al termine del processo. La documentazione prodotta comprende, oltre alla catena di custodia, un'analisi dei dati rinvenuti e del processo seguito. Un'accurata documentazione è di fondamentale importanza per minimizzare le obiezioni e spiegare come ripetere l'estrazione con un analogo processo sulla copia.