Comments
Transcript
Il recupero delle informazioni cancellate o nascoste
Il recupero delle informazioni cancellate o nascoste Avv. Edoardo E. Artese Dott. Fabio P. Prolo STUDIO LEGALE FERRARI ARTESE, Via Fontana 2, Milano [email protected] IL RECUPERO DEI FILE CANCELLATI Perché si recupera un file cancellato? 1) 2) 3) Curiosità Investigazione Necessità Curiosità: Un utente entra in possesso di un dispositivo altrui (computer, smartphone, tablet etc.) e decide di esplorarlo. Rischi: - Art. 167 D. Lgs. 196/2003 «Trattamento illecito di dati» - Art. 615 ter c.p. «Accesso abusivo a sistema informatico o telematico» Investigazione: Esigenze processuali possono spingere professionisti del settore a ricercare, oltre ai dati visibili, anche quelli cancellati. L’investigatore informatico ha solitamente a disposizione strumenti (hardware e software) molto potenti e costosi. Soggetti: - Forze dell’Ordine - Consulenti tecnici Necessità: Un utente può aver necessità di recuperare file cancellati accidentalmente o volontariamente. Cause della cancellazione: - Supporto rovinato - Dato cancellato volontariamente Possibilità di successo Variano a seconda: - del sistema utilizzato per la cancellazione - dalle cause della cancellazione - dal sistema utilizzato per il recupero - del tempo trascorso dalla cancellazione LE PROCEDURE DI RECUPERO • • Il recupero dati c.d. semplice Il Data Carving Il semplice recupero Consiste nel rimuovere uno strato «superficiale» di memoria per recuperare file cancellati in maniera semplice, recenti o risalenti nel tempo. Il Data Carving Consiste nello scavare nella memoria di un supporto al fine di recuperare più informazioni possibili da una massa di dati apparentemente informe. Una corretta definizione di carving: «Carving is the term most often used to indicate the act of recovering a file from unstructured digital forencis. The term unstructured indicates that the original digital image does not contain useful filesystem information which may be used to assist in this recovery. Typically, forensic analysts resort to carving techniques as an avenue of last resort due to the difficulty of current techniques. Most current techniques rely on manual inspection of the file to be recovered and manually reconstructing this file using trial and error. Manual processing is typically impractical for modern disk images which might contain hundreds of thousands of files.” - M. I. Choen, Advanced Carving Techniques in Digital Investigation, 4 (2007), pp. 119-128 Cosa si recupera? Il recupero può riguardare qualsiasi tipo di file: documenti, immagini, file di sistema, temporanei, di log etc. I file non devono per forza essere integri, bastano anche dei frammenti per ottenere un file completo o, comunque, un’informazione utile. Come si recupera? …..i Tools Gli strumenti possono essere: - Hardware Utilizzati se i dati di interesse sono stati corrotti o i supporti danneggiati. La loro efficienza si basa sulla potenza di calcolo. - Software Utilizzati per dare un senso ai file recuperati. I software Esistono due tipologie di software per il recupero dati: - Software di Data Recovery Funzionano solo se le informazioni nel file system sono integre, ossia se sono reperibili tutti i cluster. Possono recuperare, ma non ricostruire. E’ una delle forme di recupero c.d. semplici. - Software di Data Carving Recuperano anche semplici frammenti e ricostruiscono i file logicamente procedendo byte per byte. Funzionano a prescindere dall’integrità del cluster. PRO e CONTRO • • I programmi di data recovery : - recuperano il nome del file; - recuperano il percorso di salvatggio del file; - sono inefficaci verso i sistemi di cancellazione completa (wiping , shredding o semplice formattazione); - sono inefficaci verso file i cancellati da tempo. I programmi di data carving : - non recuperano il nome del file; - non recuperano il percorso di salvatggio del file; - presentano spesso file recuperati ma incompleti o contenenti errori; - sono sempre efficaci. Hands On: Free Undelete 2.0 1) Download del programma (3 fasi) TEST TEST TEST 2) Installazione (8 fasi) TEST TEST TEST TEST TEST TEST TEST TEST 3. Aggiungiamo dei file di prova (jpeg e PDF) su una chiavetta da 2GB (3 fasi) TEST TEST …e rimuoviamoli. TEST 4. Lanciamo FreeUndelete 2.0 TEST 5. Recuperiamo i nostri file cancellati (9 fasi) TEST TEST TEST TEST TEST TEST TEST TEST TEST TEST TEST IL RECUPERO DELLE INFORMAZIONI NASCOSTE I metadati Come suggerisce la parola stessa, i metadati sono dati contenuti in altri dati ( o più precisamente in file). Sono dati nascosti! Molti file non portano con se solamente il contenuto che racchiudono direttamente (il testo in un file .doc o un immagine in un .jpeg) ma anche ulteriori informazioni, spesso nascoste ad una ricerca superficiale. Alcuni esempi di metadati: - Autore del file - Software usato per la creazione - Chiavi di registro del software - Parti cancellate del file (es. precedenti revisioni) - Orari di stampa, di ultima modifica etc. La pericolosità dei metadati: Il curioso caso de «La proposta di legge per Internet territorio della libertà dei diritti e dei doveri» TEST TEST TEST Proteggere i propri dati (o metadati) Oltre che proteggere interamente i file tramite sistemi crittografici, è possibile nascondere anche solo i metadati presenti nei nostri documenti. La maggior parte dei software infatti mette a disposizione dell’utente delle opzioni che permettono di decidere quali dati rendere visibili e quali no. 1. File-> Opzioni TEST 2. Centro Protezione -> Impostazioni TEST 3. Opzioni -> Rimuovi… TEST Preservare l’integrità e la disponibilità del dato: L’arte del Backup Il Backup è una copia di sicurezza o di riserva delle informazioni presenti su una memoria di massa di un qualsiasi supporto. E’ il modo più semplice ed efficace per recuperare dati perduti. I tre fattori essenziali: i) La cadenza temporale del backup ii) Il luogo del back up iii) I dati del backup I. La cadenza temporale del backup: - Il backup automatizzato - Gli obblighi di legge ai sensi dell’Allegato B del D. Lgs. 196/2003 II. Il luogo del back up: - - - Il backup in locale Il backup su supporto esterno Il backup in cloud Un esempio di backup in cloud III. Il tipo di dati: - Copia immagine di un disco rigido - Copia selettiva di directory e singoli file Il fattore X LA SICUREZZA Anche i backup devono essere protetti! Al backup devono essere applicate le stesse misure di sicurezza utilizzate per copia originale. Non avrebbe senso, ad esempio, avere un hard disk cifrato e un backup in chiaro Hands On: Cobian Backup 10 1. Scarico e installo Cobian Backup 10 2. Creo un nuovo «task» 3. Scelgo i dati 4. Scelgo la cadenza temporale 5. Scelgo un’eventuale compressione 6. Scelgo un’eventuale sistema crittografico Il backup su dispositivi diversi dal computer iTunes: il backup dei dispositivi Apple. a. Il sistema «nativo» Il backup dei dispositivi Android b. Un App: Easy Backup Riferimenti La presente lezione è tratta da Giovanni Ziccardi L’Avvocato Hacker Capitolo XIX – Capitolo XX FINE Avv. Edoardo E. Artese Dott. Fabio P. Prolo [email protected] [email protected]