Re: [ml] attivita' forense

> > questa mattina mi ? capitata una mail di un fornitore che si propone per
> > alcune attivit? di analisi forense. ci sono alcune cose che non mi
> > tornano e vorrei confrontarmi con voi. la procedura proposta prevede
> > infatti alcuni step che secondo me sono scorretti.
> >    
>
>  
ATTENTO: avendo appena seguito un seminario di computer forensis mi 
sento un esperto e quindi sparo
sentenze !!
comunque un punto che abbiamo imparato è che l'attività di analisi 
forense non va presa sotto gamba: una manovra che
ALTERA i supporti significa DISTRUGGERE DELLE PROVE e questo ha valenza 
penale (in pratica ti puoi
trovare dall'altra parte del banco degli imputati!)
Tieni presente che tutto quello che farai (e che dovrai documentare con 
foto e relazioni kilometriche) verrà attaccato
dall'avvocato difensore che cercherà di dimostrare che TU hai commesso 
qualche caxxata alterando le prove (basta
che ad esempio tu lasci la camera dove ci sono gli originali per andare 
in bagno !)

> Gli step da attuare IMO sono:
>
> 1) copia del disco con dd su file/disco/quel che si vuole
>
> 2) analisi del disco di copia con un tool per recuperare i file cancellati
>
> 3) salvataggio dei file cancellati da un'altra parte
>
> 4) mount in r/o per eseguire i check md5 dei binari
>
>  
il solo fatto di montare (anche in -ro) il disco è considerato 
pericoloso, vi sono degli aggeggi che impediscono
le scritture accidentali. quindi attento che un mount può essere impugnato !
Se poi fai partire il disco da windows (anche come D:) sei fritto

spero di averti spaventato abbastanza.....

--
"Chi è pronto a rinunciare alle proprie libertà fondamentali per comprarsi
briciole di temporanea sicurezza non merita nè la libertà nè la sicurezza"
- Benjamin Franklin
+--------------------------------------------------------------------+
| www.gemmeinformatica.it                                            |
+--------------------------------------------------------------------+