...

Il recupero delle informazioni cancellate o nascoste

by user

on
Category: Documents
36

views

Report

Comments

Transcript

Il recupero delle informazioni cancellate o nascoste
Il recupero delle informazioni
cancellate o nascoste
Avv. Edoardo E. Artese
Dott. Fabio P. Prolo
STUDIO LEGALE FERRARI ARTESE, Via Fontana 2, Milano
[email protected]
IL RECUPERO DEI
FILE CANCELLATI
Perché si recupera
un file cancellato?
1)
2)
3)
Curiosità
Investigazione
Necessità
Curiosità:
Un utente entra in possesso di un dispositivo altrui
(computer, smartphone, tablet etc.) e decide di
esplorarlo.
Rischi:
- Art. 167 D. Lgs. 196/2003
«Trattamento illecito di dati»
- Art. 615 ter c.p. «Accesso abusivo a
sistema informatico o telematico»
Investigazione:
Esigenze processuali possono spingere professionisti del settore a ricercare, oltre ai dati
visibili, anche quelli cancellati. L’investigatore informatico ha solitamente a disposizione
strumenti (hardware e software) molto potenti e costosi.
Soggetti:
- Forze dell’Ordine
- Consulenti tecnici
Necessità:
Un utente può aver necessità di recuperare file
cancellati accidentalmente o volontariamente.
Cause della cancellazione:
- Supporto rovinato
- Dato cancellato volontariamente
Possibilità di successo
Variano a seconda:
-
del sistema utilizzato per la cancellazione
-
dalle cause della cancellazione
-
dal sistema utilizzato per il recupero
-
del tempo trascorso dalla cancellazione
LE PROCEDURE DI RECUPERO
•
•
Il recupero dati c.d. semplice
Il Data Carving
Il semplice recupero
Consiste nel rimuovere uno strato
«superficiale»
di
memoria
per
recuperare file cancellati in maniera
semplice, recenti o risalenti nel tempo.
Il Data Carving
Consiste nello scavare nella memoria
di un supporto al fine di recuperare
più informazioni possibili da una
massa
di
dati
apparentemente
informe.
Una corretta definizione di carving:
«Carving is the term most often used to indicate the act of recovering a
file from unstructured digital forencis. The term unstructured indicates
that the original digital image does not contain useful filesystem
information which may be used to assist in this recovery. Typically,
forensic analysts resort to carving techniques as an avenue of last resort
due to the difficulty of current techniques. Most current techniques rely
on manual inspection of the file to be recovered and manually
reconstructing this file using trial and error. Manual processing is
typically impractical for modern disk images which might contain
hundreds of thousands of files.”
-
M. I. Choen, Advanced Carving Techniques
in Digital Investigation, 4 (2007), pp. 119-128
Cosa si recupera?
Il recupero può riguardare qualsiasi tipo di
file: documenti, immagini, file di sistema,
temporanei, di log etc.
I file non devono per forza essere integri,
bastano anche dei frammenti per ottenere un
file completo o, comunque, un’informazione
utile.
Come si recupera?
…..i Tools
Gli strumenti possono essere:
-
Hardware
Utilizzati se i dati di interesse sono stati corrotti o i
supporti danneggiati. La loro efficienza si basa
sulla potenza di calcolo.
-
Software
Utilizzati per dare un senso ai file recuperati.
I software
Esistono due tipologie di software per il recupero dati:
-
Software di Data Recovery
Funzionano solo se le informazioni nel file system sono
integre, ossia se sono reperibili tutti i cluster. Possono
recuperare, ma non ricostruire. E’ una delle forme di
recupero
c.d. semplici.
-
Software di Data Carving
Recuperano anche semplici frammenti e ricostruiscono i
file logicamente procedendo byte per byte. Funzionano a
prescindere dall’integrità del cluster.
PRO e CONTRO
•
•
I programmi di data recovery :
- recuperano il nome del file;
- recuperano il percorso di salvatggio del file;
- sono inefficaci verso i sistemi di cancellazione
completa (wiping , shredding o semplice
formattazione);
- sono inefficaci verso file i cancellati da tempo.
I programmi di data carving :
- non recuperano il nome del file;
- non recuperano il percorso di
salvatggio del file;
- presentano spesso file recuperati ma
incompleti o contenenti errori;
- sono sempre efficaci.
Hands On: Free Undelete 2.0
1) Download del programma (3 fasi)
TEST
TEST
TEST
2) Installazione (8 fasi)
TEST
TEST
TEST
TEST
TEST
TEST
TEST
TEST
3. Aggiungiamo dei file di prova (jpeg e PDF) su una chiavetta da 2GB (3 fasi)
TEST
TEST
…e rimuoviamoli.
TEST
4. Lanciamo FreeUndelete 2.0
TEST
5. Recuperiamo i nostri file cancellati (9 fasi)
TEST
TEST
TEST
TEST
TEST
TEST
TEST
TEST
TEST
TEST
TEST
IL RECUPERO DELLE
INFORMAZIONI
NASCOSTE
I metadati
Come suggerisce la parola stessa, i metadati sono
dati contenuti in altri dati ( o più precisamente in
file).
Sono dati nascosti!
Molti file non portano con se
solamente il contenuto che
racchiudono direttamente (il
testo in un file .doc o un
immagine in un .jpeg) ma anche
ulteriori informazioni, spesso
nascoste
ad
una
ricerca
superficiale.
Alcuni esempi di metadati:
-
Autore del file
-
Software usato per la creazione
-
Chiavi di registro del software
-
Parti cancellate del file (es. precedenti revisioni)
-
Orari di stampa, di ultima modifica etc.
La pericolosità dei metadati:
Il curioso caso de «La proposta di
legge per Internet territorio della
libertà dei diritti e dei doveri»
TEST
TEST
TEST
Proteggere i propri dati (o metadati)
Oltre che proteggere interamente i file tramite sistemi
crittografici, è possibile nascondere anche solo i
metadati presenti nei nostri documenti.
La maggior parte dei software infatti mette a
disposizione dell’utente delle opzioni che permettono
di decidere quali dati rendere visibili e quali no.
1. File-> Opzioni
TEST
2. Centro Protezione -> Impostazioni
TEST
3. Opzioni -> Rimuovi…
TEST
Preservare l’integrità e la disponibilità
del dato:
L’arte del Backup
Il Backup è una copia di sicurezza o
di riserva delle informazioni presenti
su una memoria di massa di un
qualsiasi supporto.
E’ il modo più semplice
ed efficace per
recuperare dati perduti.
I tre fattori essenziali:
i)
La cadenza temporale del backup
ii)
Il luogo del back up
iii)
I dati del backup
I. La cadenza temporale del backup:
-
Il backup automatizzato
- Gli obblighi di legge ai sensi dell’Allegato B
del D. Lgs. 196/2003
II. Il luogo del back up:
-
-
-
Il backup in locale
Il backup su supporto
esterno
Il backup in cloud
Un esempio di backup in cloud
III. Il tipo di dati:
-
Copia immagine di un disco rigido
- Copia selettiva di directory e singoli file
Il fattore X
LA SICUREZZA
Anche i backup devono essere protetti!
Al backup devono essere applicate le stesse misure
di sicurezza utilizzate per copia originale.
Non avrebbe senso, ad esempio, avere un hard
disk cifrato e un backup in chiaro
Hands On: Cobian Backup 10
1. Scarico e installo Cobian Backup 10
2. Creo un nuovo «task»
3. Scelgo i dati
4. Scelgo la cadenza temporale
5. Scelgo un’eventuale compressione
6. Scelgo un’eventuale sistema crittografico
Il backup su dispositivi diversi dal computer
iTunes: il backup dei dispositivi Apple.
a. Il sistema «nativo»
Il backup dei dispositivi Android
b. Un App: Easy Backup
Riferimenti
La presente lezione è tratta da
Giovanni Ziccardi
L’Avvocato Hacker
Capitolo XIX – Capitolo XX
FINE
Avv. Edoardo E. Artese
Dott. Fabio P. Prolo
[email protected]
[email protected]
Fly UP