Archivi tag: perizie informatiche

Particolare del Demone di Mombello

Perizia fotografica sul Demone dell’ex manicomio di Mombello

L’ex ospedale psichiatrico Giuseppe Antonini, noto come il manicomio di Mombello di Limbiate, in provincia di Monza e Brianza, è stato costruito nel XIV secolo, adibito a ospedale psichiatrico nel 1863 è stato chiuso e abbandonato nel 1999 dopo la legge Basaglia. Da allora è meta di appassionati del paranormale che vi organizzano, muniti di macchine fotografiche, cellulari o videocamere, visite alla ricerca di fantasmi e spiriti.

Uno di questi appassionati si è rivolto all’AIPO – Agenzia di Investigazione del Paranormale e dell’Occulto – per chiedere conferma di un particolare emerso da una fotografia scattata nei sotterranei del manicomio. L’AIPO, su autorizzazione dell’autore degli scatti, si è rivolto a noi richiedendo una perizia fotografica dell’immagine, così da poterne valutare l’integrità e l’originalità e l’assenza di manipolazioni.

Perizia Fotografica sul Demone del Manicomio di MombelloLo scatto di cui è stata richiesta la perizia fotografica è stato ripreso nei sotterranei del Manicomio di Mombello a fine marzo 2015 e ritrae un corridoio dove la luce del flash ha messo in evidenza alcuni tubi in primo piano sulla sinistra lasciando però all’oscuro il resto del locale a causa del breve tempo di scatto.

La fotografia è stata scattata con una Nikon D3100 con AF-S DX VR Zoom-Nikkor 18-55mm f/3.5-5.6G e salvata in formato JPEG. A prima vista on si nota nulla di strano, anche ingrandendo i particolari della fotografia, a parte i tubi in primo piano ben illuminati dal flash il resto è troppo scuro per distinguere eventuali oggetti.

Per verificare se nell’immagine compaiono altri elementi oltre ai tubi illuminati dal flash in primo piano possiamo ridistribuire i livelli di chiaro/scuro su una scala più bassa, cioè ampliando l’intervallo di ciò che vediamo come “nero” sullo sfondo e che invece ha all’interno delle differenze di tonalità che non riusciamo ad apprezzare.

Ricostruzione dell'immagine tramite distribuzione dei livelli di chiaro scuro

E’ possibile bilanciare i livelli in input e output tramite il tool free e open source GIMP oppure anche utilizzando il software “Anteprima” presente in tutti gli Apple Mac OS, utilizzando la funzione “Regola colore”.

Bilanciamento dei livelli nella perizia di miglioramento delle fotoModificando la scala di grigi in input e in output, tramite regolazione delle curve o dei livelli, otteniamo un’immagine dove oltre ai tubi in primo piano si possono osservare gli oggetti presenti nel resto del corridoio del sotterraneo, si nota infatti ora la presenza di un contatore elettrico e di una forma poco distante.

Pulizia dell'immagine scura tramite perizia fotografica

Particolare del Demone di MombelloIngrandendo la parte centrale e ottimizzando l’immagine tramite sharpening e gaussian blur, si può osservare chiaramente una forma che antropomorficamente possiamo interpretare come simile a un corpo umano e che l’AIPO ha soprannominato “il Demone di Mombello” per la sua struttura esile e ambigua. La forma umanoide è posizionata sotto la trave che percorre il soffitto, di fianco alla cassetta elettrica e la sua altezza sembra di circa due metri ipotizzando un soffitto del sotterraneo a circa tre metri. Per chi non riesce a identificare la forma del “Demone”, abbiamo preparato un’animazione dove i contorni vengono delineati in modo graduale.

 Ricostruzione del corpo tramite perizia video

Non è necessaria una perizia antropometrica forense per osservare come le proporzioni della figura siano sostanzialmente compatibili con quelle del fisico di un uomo, per quanto le gambe siano esili, il busto sia in ombra e il braccio destro si veda poco. Conoscendo le misure del sotterraneo sarebbe anche possibile stabilire – cosa comunemente fatta durante le perizie antropometriche forensi – un sistema di riferimento tridimensionale su cui poi calcolare le misure del corpo come altezza, larghezza del busto e parti del corpo.

Gli esami tecnici eseguiti sull’immagine sono diversi e fanno tutti parte delle metodologie utilizzate nelle perizie fotografiche dove il quesito è quello di rilevare eventuali anomalie o artefazioni. In primo luogo, sono stati richiesti altri scatti eseguiti durante la stessa giornata, possibilmente quelli immediatamente precedenti e successivi, per verificare la coerenza dei metadati exif e la numerazione.

I dati exif risultano sostanzialmente corretti e compatibili con quelli prodotti da una fotocamera Nikon D3100, anche se abbiamo rilevato un’anomalia su alcuni campi che mostrano una differenza rispetto alle immagini presenti e successive. Nell’immagine sottostante, la parte sinistra mostra i dati exif dell’immagine con il “demone” mentre sulla destra abbiamo i dati di alcune altre immagini scattate poco dopo.

Confronto dati EXIF per perizia fotografica

L’immagine su cui è stata eseguita la perizia fotografica di autenticazione e una seconda immagine fornita risultano essere state marchiate da “Microsoft Windows Live Photo Gallery” con UUID “faf5bdd5-ba3d-11da-ad31-d33d75182f1b”, come se fossero state riversate su PC, aperte probabilmente tramite Windows Explorer, salvate e poi inviate per le analisi. Riteniamo che queste anomalie non rappresentino una alterazione, poiché probabilmente create nel tentativo di modificare la scala di chiari/scuri per visualizzare eventuali oggetti presenti sullo sfondo anche nella seconda immagine fornita come campione. Le indicazioni su orario, giorno, numero incrementale dello scatto, informazioni sulle impostazioni di scatto e sulla fotocamera sembrano corrette e anche il rapporto di compressione jpg tra le immagini con i dati exif modificati e quelli originali è identico.

Analisi forense anteprima thumbnail exifIl thumbnail exif risulta corretto e corrispondente all’immagine principale, cosa che talvolta in corrispondenza di alterazioni non avviene perché gli autori modificano l’immagine senza aggiornare anche l’anteprima contenuta nell’immagine stessa. Sono frequenti i casi nei quali sono state rilevate alterazioni alle immagini grazie all’analisi forense delle anteprime exif che contenevano le immagini originali, non alterate o compromesse. Ovviamente l’anteprima è ridotta come dimensioni rispetto all’originale ma si può notare che modificandone la scala di grigi risulta contenere la sagoma sospetta.

Photo Forensics - ELA, Error Level AnalysisSi è quindi proceduto ad eseguire alcune analisi tipiche di photo forensics, come quella del livello di errore nel tasso di compressione delle diverse aree jpg (ELA, Error Level Analysis) che in caso di alterazioni spesso permette d’identificare l’area modificata marcandola con colori più chiari che indicano appunto una differenza nella modalità con la quale sono state compresse le aree contenenti artefazioni. Ovviamente un eventuale malintenzionato potrebbe alterare una fotografia operando modifiche tali da rendere l’analisi ELA neutra, quindi questa verifica non può essere considerata esaustiva ma è certamente un passaggio nelle analisi dell’integrità di fotografie digitali che viene eseguita all’interno delle perizie informatiche forensi su fotografie e video finalizzate a verificare e identificare un potenziale fotomontaggio o manipolazione della fotografia.

Eseguite anche ulteriori analisi e dopo confronto con colleghi abbiamo concluso che non risultano tracce di alterazione, manipolazioni o fotomontaggi nell’immagine fotografica fornita, il che conferma la buona fede di chi ha eseguito e fornito gli scatti e una presunta integrità degli stessi.

Questo non esclude ovviamente attività di staging, cioè di riprese e fotografie “originali” e autentiche di oggetti o soggetti effettivamente presenti nell’ambiente ma preparati ad hoc (es. sagome predisposte per rappresentare soggetti particolari, etc…) o scelti in modo da essere fuorvianti. Gli scatti di questo genere producono quindi fotografie “originali” (nel senso di prive di manipolazioni grafiche post produzione) ma contenenti oggetti o soggetti non reali. Si pensi ad esempio alle foto dei frisbee che vengono presentate come foto di UFO, sono “originali”, integre e prive di forgery o manipolazioni nel senso che non c’è attività di post produzione ma non ritraggono UFO…

Ovviamente possono verificarsi episodi non intenzionali di scatti originali con soggetti la cui identificazione è dubbia. Per questo motivo, pur non trattandosi presumibilmente di un fotomontaggio o di una manipolazione, poco convinti che la sagoma rappresentata fosse davvero quella di un demone, abbiamo deciso quindi di procedere tramite riscontro sull’ambiente fotografato, ipotizzando che il “demone” potesse trattarsi di qualche effetto legato alla conformazione del posto. Si è quindi deciso di eseguire attività di ricerca su fonti aperte OSINT con l’intento di trovare altre fotografie scattate nello stesso corridoio del sotterraneo del Manicomio di Mombello, possibilmente dalla stessa angolazione. Attraverso ricerca su pagine web, social network, Youtube, Flickr, etc… abbiamo trovato un filmato su Youtube che riporta diverse fotografie scattate nel Manicomio di Mombello, una delle quali risulta compatibile con l’oggetto della ricerca: stesso corridoio, stessa angolazione, periodo leggermente diverso.

Il video risulta essere stato girato a febbraio 2014, quindi circa un anno prima dello scatto oggetto della perizia sull’immagine, ma la qualità della fotografia estratta dal filmato Youtube non è sufficiente per le analisi. L’AIPO ha quindi provveduto a contattare l’autore del video per chiedere cortesemente se l’originale, il sorgente della fotografia inserita al minuto 01:46, fosse disponibile per le analisi.

Immagine contenuta nel filmato Youtube girato nell'ex Manicomio di Mombello

L’autore ha gentilmente concesso all’AIPO di esaminare il sorgente della fotografia per confrontarla con quella oggetto di perizia forense. L’immagine risulta scattata con una Nikon D700 in formato portrait invece che landscape come l’originale oggetto di analisi tecnica, da posizione leggermente più arretrata. Mostriamo qui una versione ritagliata e con la distribuzione di chiari/scuri in modo che l’immagine sia simile a quella della foto oggetto di analisi.

Perizia fotografica della foto estratta dal video di Youtube

Come si nota già dal filmato su Youtube, la luce del flash è distribuita meglio, illuminando sia i quattro tubi in primo piano sia il fondo della galleria. permettendo d’identificare chiaramente l’arco sotto il quale nell’immagine oggetto di perizia tecnica è presente la figura sospetta, il tubo metallico (leggermente spostato) e il contatore elettrico sulla destra.

Particolare della foto prelevata dal video di YoutubeCiò che emerge da una rapida analisi è che al posto della figura del demone, nella fotografia estratta dal filmato di Youtube vi sono delle tubature con una giuntura, che si sviluppano creando una forma tridimensionale, scendendo dall’arco soprastante con la macchia gialla (presente in entrambi gli scatti) e arrivando al pavimento. Mostriamo qui a destra una versione ingrandita e ottimizzata nella distribuzione delle luci e degli scuri sul particolare della zona dove risiedono i tubi o il demone, a seconda di quale versione si preferisca.  Il tubo presenta una giuntura in corrispondenza della testa del “demone” e si sdoppia, una tubatura va verso la parete (in corrispondenza del braccio del “demone”) mentre ne scendono due (in corrispondenza delle “gambe” del demone) e una segue una curva proprio in corrispondenza del piede del “demone”.

La spiegazione scientifica del “demone” che compare nella foto originale sembra quindi delinearsi: complici l’oscurità e il flash che nella foto del “demone” ha illuminato con meno chiarezza la galleria rispetto a quella dell’anno prima presente nel video Youtube, si è creato un effetto di chiari/scuri che ha fatto sì che la mente di chi osserva vi veda una forma umana, esattamente in corrispondenza di ciò che invece trattasi di tubature.

Per mostrare meglio quanto ricavato dalle analisi esperite, abbiamo sovrapposto le due immagini passando da una all’altra tramite dissolvenza graduale, così da poter apprezzare il passaggio dalle tubature al “demone” e viceversa.

Confronto tra fotografia originale e filmato Youtube nell'ambito della perizia video-fotografica

La corrispondenza è molto marcata, vi sono alcune piccole differenze dovute al fatto che le tubature risultano essere state leggermente spostate durante l’anno intercorso tra i due scatti, in particolare il tubo che percorre la galleria (da cui poi sale quello che va a formare il “demone”) è stato spostato verso sinistra, muovendo quindi anche l’intera figura di tubi che non risulta quindi essere corrispondente 1:1 con il demone.

In conclusione, riteniamo che la fotografia sia autentica, nel senso di priva di forgery o manipolazioni post produzione, ma ritragga un soggetto che viene “percepito” dagli occhi dell’osservatore come una figura umanoide (o un “demone”, come taluni hanno sottolineato) pur essendo in realtà un oggetto diverso. Il “demone” è infatti in realtà un effetto dovuto alla presenza nell’immagine di tubature, conformate in modo particolare, riprese con un grado di luce così basso da generare sfumature nel bilanciamento dei livelli. Non si può escludere, inoltre, la presenza di stracci od oggetti appoggiati sopra ai tubi che nelle fotografie di raffronto sono “puliti” e ben delineati mentre nella foto del demone appaiono meno definiti e più sfocati, certamente anche a causa della poca luce che li illumina.

Speriamo che questo esempio di perizia informatica e fotografica, seppur sostanziale e ridotto alle analisi principali, privo degli aspetti d’informatica forense come catena di conservazione, calcolo degli hash, documentazione tecnica possa essere utile per capire come in diversi contesti le perizie informatiche (fotografiche, audio, video, su computer, cellulari, smartphone, web, social network, etc…) possono essere dirimenti.

Cellebrite annuncia il servizio di sblocco PIN per iPhone 5s, 6 e 6 plus

Messaggio Twitter di Shahar Tal con annuncio sblocco PIN di iPhone 6 plusCon un tweet, il responsabile della ricerca in ambito forense della società israeliana Cellebrite, Shahar Tal, ha annunciato pubblicamente [WBM] che Cellebrite è in grado di trovare il PIN dagli smartphone Apple iPhone 5S, 6 e 6+ e sbloccarli, cosa che fino a qualche giorno fa sembrava possibile soltanto con gli iPhone 4S, 5 e 5C.

Tutti ricorderanno il caso dello sblocco dell’iPhone 5C di San Bernardino richiesto dall’FBI del 2016 e la notizia della settimana scorsa dell’iPhone 5S di Tiziana Cantone sbloccato su richiesta dalla Procura di Napoli, il primo risolto grazie a una società esterna di cui non è mai stato confermato il nome ma che in tanti ritengono essere l’israeliana Cellebrite, mentre per il secondo – avvenuto per coincidenza pochi giorni prima il comunicato di Cellebrite – non ci sono ancora conferme ufficiali né sul metodo utilizzato né sugli autori per quanto sui giornali si parla di una collaborazione tra i Carabinieri di Napoli e l’Ing. Carmine Testa [WBM] senza cenni a interventi esterni.

Le informazioni presenti sul sito web della Cellebrite, incluse le pagine relative al servizio CAIS tramite il quale l’Autorità Giudiziaria può richiedere il servizio di sblocco PIN presso i laboratori Cellebrite a Israele o Monaco, non sono ancora state aggiornate ma ormai la nuova funzionalità del servizio sembra confermata anche dalle domande che diversi utenti hanno posto a Shahar sul suo profilo twitter. Messaggi di complimenti, come il “congrats on the new capability” cui Shahar Tal risponde con un  “Who said anything about ‘new’?” lasciando persino trapelare come la funzionalità di sblocco dei nuovi iPhone non sia una novità per la società israeliana.

Come sbloccare il PIN di iPhone con Cellebrite

Fino a pochi giorni fa infatti il servizio CAIS (Cellebrite Advanced Investigative Services) che permette di trovare il PIN dei dispositivi iOS (iPhone, iPad) a 32 bit e 64bit e Android per sbloccarli ed acquisire copia forense veniva offerto soltanto per i seguenti dispositivi:

  • iPhone 4S / 5 / 5c, iPad 2 / 3G / 4G, iPad mini 1G, e iPod touch 5G con iOS 8.x (8.0 / 8.0.1 / 8.0.2 / 8.1 / 8.1.1 / 8.1.2 / 8.1.3 / 8.2/ 8.3 / 8.4 / 8.4.1) or iOS 9.x (9.0 / 9.0.1 / 9.0.2 / 9.1 / 9.2 / 9.2.1 / 9.3 / 9.3.1 / 9.3.2)
  • Samsung Galaxy S6, Galaxy Note 5 e Galaxy S7 con tutte le versioni Android versions fino a e inclusa la Android Marshmallow 6.0.1

Per chi non la conosce, Cellebrite è una delle società leader in campo di mobile forensics, che fornisce il prodotto UFED utilizzato quotidianamente dai consulenti informatici forensi che eseguono perizie su cellulari e smartphone. La funzionalità di sblocco PIN da alcuni cellulari e smartphone era in parte già realtà grazie agli strumenti in dotazione a diversi studi di Informatica Forense, quali il Cellebrite UFED, il Micro Systemation XRY, l’Oxygen Forensics o l’IPBOX ma soltanto per alcune versioni di Android e per le vecchie versioni di iOS (iOS 7 e in parte iOS 8). Per gli iPhone con versione del Sistema Operativo iOS 7 è persino possibile lo sblocco pin quando il dispositivo è disabilitato e richiede di connettersi a iTunes per ripristinare il cellulare.

Sblocco del PIN di un iPhone disabilitato

Le versioni successive di iOS (quindi tutti gli iPhone inclusi quelli con processore a 64bit) non sono supportate da nessuno di questi tool e quindi il servizio di sblocco PIN e password da cellulare fornito da Cellebrite diventa strategico in caso di perizia tecnica informatica su dispositivi mobili in ambito giudiziario, considerando però che la momento non supporta ancora i dispositivi con processore A9 come iPhone 6s, iPhone 6s plus e iPhone 7 e non è compatibile con smartphone con processore A10 Fusion come l’iPhone 7 e iPhone 7 Plus.

Cellebrite deve essere infatti riuscita a superare le protezioni impose dal meccanismo di secure enclave, che come descrive Apple a pagina 12 della sua Guida Ufficiale sulla Sicurezza dei Dispositivi iOS [WBM] comanda i ritardi dell’inserimento del PIN lock sui dispositivi con processore A7 o successivi. Secure Enclave impone infatti i seguenti ritardi tra i tentativi di inserimento del codice: da 1 a 4 tentativi nessun ritardo, al quinto tentativo 1 minuto di ritardo, al sesto 5 minuti, al settimo e ottavo 15 minuti, al nono 1 ora. Un ulteriore tentativo errato d’inserimento PIN porta l’iPhone nello stato di disabled, disabilitato, oppure ne avvia il ripristino se “Impostazioni > Touch ID e codice > Inizializza dati” è attivato.

Shahar, con ulteriori tweet, ringrazia il suo team per gli obiettivi raggiunti e per il supporto dato alla giustizia in tutto il mondo, in particolare nei casi relativi a molestie su minori che vengono catturati e imprigionati grazie al lavoro dei ricercatori che permettono alle Forze dell’Ordine di acquisire in maniera forense i dati presenti sugli smartphone per utilizzarli come elementi probatori.

In base alle informazioni presenti in rete, il servizio CAIS di sblocco PIN e password di iPhone e Android possiede le seguenti caratteristiche e limitazioni:

  • il servizio può essere richiesto solamente dall’Autorità Giudiziaria, in ambito d’indagini per processi penali o civili;
  • l’operazione di PIN unlock costa circa 1.500 dollari;
  • l’unlock del PIN non supporta ancora i dispositivi con processore A9 come iPhone 6s, iPhone 6s plus e iPhone 7 né quelli con processore A10 Fusion come l’iPhone 7 e iPhone 7 Plus
  • il servizio di sblocco viene offerto soltanto presso le sedi Cellebrite, è quindi necessario portare di persona lo smartphone da loro o spedirlo;
  • non è possibile assistere all’operazione di sblocco del PIN o della password del dispositivo;
  • al termine dell’attività tecnica viene fornito al committente il codice PIN con il quale il cellulare è bloccato.

DEFT Zero v 2017.1 stable è disponibile per il download

DEFT Zero - DownloadIndispensabile per acquisizioni forensi di hard disk, pendrive, schede di memoria e supporti ottici, una delle suite di computer forensics più utilizzate dagli operatori del settore, DEFT Zero è stata aggiornata alla versione 2017.1 stable, dopo un periodo di test che ha permesso al DEFT Team e agli utilizzatori di consolidarne la sicurezza e l’affidabilità.

DEFT Zero è una versione light della distribuzione forense DEFT dedicata espressamente all’acquisizione di immagini forensi delle memorie di massa, utilizzata in ambito di perizia informatica da consulenti informatici forensi di tutto il mondo, con il numero indispensabile di tool di acquisizione e preview nello spazio ridotto di 500MB, tale da poter essere riversato su un CDROM o su una pendrive USB e poter essere caricato direttamente in RAM.

La distro live DEFT Zero in versione Stable 2017.1 si può scaricare liberamente in formato ISO da questo link e utilizzre liberamente, essendo composta da tutto software open source dedicato alla digital forensics.

DEFT Zero - Scaricare ISO in Download diretto

Tra le maggiori novità della versione 2017.1 di DEFT Zero troviamo:

  • supporto alle memorie SSD NVMExpress presenti nei Macbook Apple edizione 2015 e successive;
  • supporto per le memorie SSD eMMC presenti in notebook come i nuovi DELL XPS 13 o XPS 15;
  • supporto UEFI per poter avviare il sistema Linux su BIOS con UEFI;
  • aggiornamento librerie e tool di acquisizione forense.

Dato che ormai difficilmente si utilizzano supporti ottici come CDROM o DVDROM per distribuzioni live da utilizzare nell’ambito delle perizie informatiche forensi, si consiglia riversare DEFT Zero su di una pendrive USB, con dimensione almeno 512MB.

Riversare DEFT Zero su pendrive USB o CDROM

Per la creazione di una chiavetta USB per fare boot con DEFT 0 Linux è possibile utilizzare i seguenti strumenti:

Sul sito DEFT è possibile scaricare in download il manuale d’uso in PDF di DEFT Zero stable in italiano e in inglese.

Al link seguente potete trovare l’elenco dei pacchetti installati su DEFT Zero 2017.1 Stable.

Risultati del sondaggio ONIF sull’Informatico Forense

Questionario sulla figura del Consulente Informatico ForenseSono stati pubblicati i risultati dell’elaborazione dei dati acquisiti grazie al sondaggio anonimo realizzato dall’Associazione ONIF circa la figura professionale dell’informatico forense, predisposto al fine di consentire di conoscere meglio il contesto e le modalità con cui e in cui opera chi svolge il mestiere di Consulente Informatico Forense  in Italia.

L’elaborazione dei risultati della sua compilazione, terminata il 31 dicembre 2015, ha richiesto del tempo ma i risultati sono davvero interessanti e sulla linea di quelli già ricavati a suo tempo dall’Associazione IISFA a livello nazionale e dalla SANS a livello internazionale. La figura del Consulente d’Informatica Forense ha ancora dei tratti incerti e da definire, a causa anche di carenze legislative e di regolamentazione che fanno sì che le conoscenze, i prezzi, la preparazione, i titoli, la professionalità, gli strumenti, l’esperienza possano variare in modo ancora sostanziale da consulente a consulente.

Il sondaggio ONIF è interamente dedicato alla professione dei Consulenti Informatici Forensi, coloro quindi che operano come attività prevalente nell’ambito delle perizie informatiche forensi come CTP, CTU, CT del PM o Perito del Giudice, anche in ambito stragiudiziale.

Come si può notare, le domande proposte sono state incentrate su tutti gli aspetti correlati all’attività di perito informatico: la formazione personale, l’aggiornamento professionale, l’ambito in cui si opera, le attrezzature di lavoro, la composizione dei compensi, i prezzi delle analisi informatiche forensi, le attività di divulgazione.

I risultati dell’analisi dei dati ricavati dal sondaggio sulla figura del perito informatico forense sono stati suddivisi in una presentazione, nel rapporto completo e in un riassunto per i giornalisti, visionabili pubblicamente ai seguenti link e disponibili per il download in PDF:

 

Corso di Computer Forensics e Indagini Digitali a Torino

Per chi fosse interessato alla computer forensics e digital forensics, durante i giorni di venerdì 14, 21, 28 Ottobre e venerdì 4 Novembre 2016 si terrà il corso sulle attività d’informatica forense e investigazioni digitali.

Corso di Computer Forensics a Torino

Il corso di digital forensics su informatica forense e indagini digitali che si terrà a Torino tra ottobre e novembre 2016 fornirà agli allievi le conoscenze principali dell’informatica forense, mettendo in evidenza sia gli aspetti tecnologici che quelli giuridici attinenti alla prova digitale in ambito d’informatica forense, elementi necessari per le attività di perizia informatica svolta dai consulenti informatici forensi. Durante il corso verrà  illustrato l’utilizzo dei sistemi DEFT e DART, utilizzati quotidianamente da Consulenti Tecnici Forensi e Forze dell’Ordine, per attività digital forensics e incident response su computer e dispositivi mobili.

Si partirà dalle basi della digital forensics, analizzando le metodologie di base impiegate dagli operatori per attività di recupero dati o ricostruzione delle attività svolte sul PC, fino ad arrivare ad illustrare le più sofisticate tecniche di acquisizione forense di evidenze digitali e recupero dati da cellulari, smartphone e tablet mediante sistemi di mobile forensics, oltre che acquisizione e analisi del traffico di rete tramite tecniche di network forensics. Seguiranno nozioni sulle tecniche di analisi, elaborazione, reportistica e relazione tecnica che fanno parte di un corretto processo di perizia informatica prodotta da consulenti informatici forensi specializzati in informatica forense.

Il corso sull’informatica forense e investigazioni digitali che si terrà a Torino è articolato in 4 giornate sia teoriche sia pratico operative sulla digital forensics, con l’ultima giornata che sarà effettuata presso un vero laboratorio d’informatica forense permettendo un approccio strettamente procedurale.

Il dettaglio del programma del corso di Computer Forensics e Acquisizione/Analisi della Prova Digitale è il seguente:

Giorno 1

  • Introduzione alle problematiche di computer forensics
  • Le fasi dell’accertamento forense su dati digitali
  • Princìpi, preparazione, precauzioni e utilizzo dei sistemi live
  • Introduzione al sistema DEFT e DART
  • Utilizzo di DEFT con i principali OS e filesystem
  • Tipologie di acquisizione forense e formati
  • Attività di preview e triage sicuro con DEFT
  • Acquisizione di memorie di massa
  • Acquisizione di memoria volatile
  • Cenni su acquisizione di smartphone

Giorno 2

  • Verifica e apertura delle immagini forensi
  • Virtualizzazione delle immagini
  • Recupero dei dati cancellati
  • Analisi dei metadati
  • Ricostruzione delle attività tramite timeline e supertimeline
  • Rilevamento di compromissioni
  • Analisi delle periferiche USB utilizzate
  • Analisi dei documenti aperti e utilizzati
  • Estrazione di evidenze tramite Bulk Extractor e Autopsy

Giorno 3

  • Riepilogo su metodologie e strumenti di acquisizione
  • Acquisizione di memorie di massa via rete
  • Acquisizione di dispositivi iOS
  • Acquisizione di dispositivi Android
  • Analisi di file pList e database SQLite

Giorno 4

  • Introduzione a DART
  • Panoramica degli strumenti presenti in DART
  • Utilizzo di DART in DEFT
  • Incident response
  • Cracking di password e creazione di dizionari
  • Network forensics
  • Gestione di un incidente informatico
  • Riepilogo degli argomenti

Per informazioni sui costi, sconti di pre-iscrizione, contatti o registrazione al corso di digital forensics e informatica forense, per l’edizione in corso e quelle successive, potete contattare lo Studio agli indirizzi indicati nella pagina contatti.