Re: [ml] attivita' forense

Ciao,
il Codice di Procedura Penale italiano prevede due tipologie di analisi
e/o perizie: "ripetibile" e "inripetibile".
Per "ripetibile",  si intende che l'analisi forense in questione non sia
invasiva, e quindi che non comprometta lo stato dell'informazione
contenuta. Mentre, la seconda ipotesi, prevista dal codice di procedura
penale, l'accertamento deve essere fatto in presenza della parte offesa
e del suo difensore in quanto l'accertamento della cosa non può essere
rifatto in un momento successivo sulla stessa fonte di prova (vedi
esempio dell'analisi del DNA su un campione organico rinvenuto).

Ora però non voglio dilungarmi, però concordo pienamente con te in
merito agli step da seguire in quanto il montaggio della o delle
partizioni, anche in modalità "read only" potrebbe (ipoteticamente)
compromettere l'informazione in essa contenuta.
Difatti il metodo migliore è proprio quello di analizzare le
informazioni contenute all'interno dell'immagine del supporto fonte di
prova, e quindi non operare direttamente su di esso.

In merito alla finrma Hash, che prova la non violazione
dell'informazione contenuta nel supporto sotto analisi, conviene farla
prima e dopo sul supporto (la prudenza ...) ed anche sull'immagine
acquisita (... non è mai troppa!).

Non mi approfondisco su questo discorso, in quanto vi sono alcune
correnti di pensiero sull'analisi forense che suppongono che comunque
l'accertamento è sempre "inripetibile" in quanto, all'accensione del
supporto di memorizzazione, lo stato della fonte di prova cambia. Mi
spiego meglio: le informazioni archiviate, anche temporaneamente
all'interno dell buffer del supporto quali hard disks, modificherebbe lo
stato dello stesso.

Spero di essere stato esauriente ...

----- Original Message ----- 
From: "ti_con_zero" <ti_con_zero@xxxxxxxxx>
To: <ml@xxxxxxxxxxxxx>
Sent: Tuesday, May 09, 2006 8:27 PM
Subject: [ml] attivita' forense


> ciao a tutti,
>
> questa mattina mi è capitata una mail di un fornitore che si propone 
> per alcune attività di analisi forense. ci sono alcune cose che non mi 
> tornano e vorrei confrontarmi con voi. la procedura proposta prevede 
> infatti alcuni step che secondo me sono scorretti.
>
> 1) il disco su cui operare l'analisi non deve, secondo me, essere 
> montato: è preferibile infatti effettuare una copia fisica con dd 
> senza necessità di montare nessuna partizione
>
> 2) la copia di un disco per attività forensi non deve essere fatta 
> come si farebbe una copia di backup: non devo limitarmi a copiare solo 
> i files ma devo appunto usare uno strumento di copia fisica per 
> copiare anche settori che possono risultare non occupati, non 
> utilizzati e persino lo spazio non partizionabile. quindi devo sempre 
> usare uno strumento come dd e non strumenti come cp
>
> 3) penso che sia sempre meglio eseguire un hash del disco/partizioni 
> copiate
>
> mi piacerebbe il vostro parere su questi 3 punti e una risposta 
> sull'ultima domanda: a quali problemi vado incontro se uso dd su 
> dischi con geometrie differenti? naturalmente il disco per la copia 
> deve essere maggiore o uguale a quello sorgente...ma a parte questo, 
> una differente dimensione dei cilindri cosa può comportare? posso 
> ovviare a queste differenze passando gli opportuni parametri a dd?
>
> grazie in anticipo
>
>
> ________________________________________________________
> http://www.sikurezza.org - Italian Security Mailing List
>
> __________ Informazione NOD32 1.1454 (20060321) __________
>
> Questo messaggio  è stato controllato dal Sistema Antivirus NOD32
> http://www.nod32.it