[ml] attivita' forense

> Message: 5
> From: ti_con_zero <ti_con_zero@xxxxxxxxx>
> Subject: [ml] attivita' forense
>
> ciao a tutti,
>
> 1) il disco su cui operare l'analisi non deve, secondo me, essere
> montato: è preferibile infatti effettuare una copia fisica con dd senza
> necessità di montare nessuna partizione

La prassi forense prevede ed obbliga alla copia O hardware (LogiCube &
CO) o quantomeno alla copia fisica (bitstream image) con blocco
hardware di scrittura.
Questo è quello che insegno nei corsi e l'unica strada per essere
certi SEMPRE del risultato.
Chi non utilizza blocchi hardware in genere lo fa per soli motivi
economici (sono costosi) ed è da considerare a mio avviso un non
professionista...

> 2) la copia di un disco per attività forensi non deve essere fatta come
> si farebbe una copia di backup: non devo limitarmi a copiare solo i
> files ma devo appunto usare uno strumento di copia fisica per copiare
> anche settori che possono risultare non occupati, non utilizzati e
> persino lo spazio non partizionabile. quindi devo sempre usare uno
> strumento come dd e non strumenti come cp


Chiaramente!
E dirò di più: non solamente sono necessarie le informazioni relative
allo spazio non utilizzato/non partizionato, ma anche lo slack space
al fine di assicurare una configurazione di analisi precisa e
puntuale... Chi è il fornitore, paperino?!?!?
Che si utilizzi DD, FTK Imager (entrambi in Helix) o Encase la prassi
rimane la solita: copia BIT PER BIT del sorgente, fosse anche nuovo e
non formattato. UN backup non serve assolutamente a NULLA!!!

> 3) penso che sia sempre meglio eseguire un hash del disco/partizioni copiate

Non è "meglio", è obbligatorio in qualunque dibattiemento. Non solo,
ma la procedura è la seguente:

1) Hash del sorgente
2) Hash della destinazione copiata e confronto con 1
3) Nuovo hash del sorgente e confronto con le altre due.

Nell'acquisizoione, infatti, il sorgente potrebbe essere mutato
(specialmente in occasione di una live acquisition)...

> mi piacerebbe il vostro parere su questi 3 punti e una risposta
> sull'ultima domanda: a quali problemi vado incontro se uso dd su dischi
> con geometrie differenti? naturalmente il disco per la copia deve essere
> maggiore o uguale a quello sorgente...ma a parte questo, una differente
> dimensione dei cilindri cosa può comportare? posso ovviare a queste
> differenze passando gli opportuni parametri a dd?

Normalmente si effettua DD non da disco a disco, ma da disco a file,
sorvolando su questi e molti altri problemi.
L'analisi forense NON si effettua montando le partizioni, ma
utilizzando appositi tool che consentano efficacemente di risolvere
determinate questioni legate anche alla chain of custody...

Lascia stare Paperino... :( I miei studenti del seminario di Computer
Forensics potrebbero darti un più valido contributo...

E stai estremamente attento: la lesione di uno qualunque dei
sopradetti passaggi potrebbe tranquillamente invalidare il reperto e
renderlo inidoneo o senza valore probatorio...


Un cordiale saluto.

MgpF


--
Matteo G.P. Flora | mf@xxxxxxxxxxxxxxx | www.MatteoFlora.com
Pres. Milano AIP-ITCS #2657 | IEEE CS Member #80409490
Privacy & Security Consultant | Forensic Examiner | SEO Expert
PGP DEB0 8096 7178 1DBE E9CE  A04A BD1E 29B0 F3B6 BC10