International Information Systems Forensics Association
 
Corso Intensivo di Digital Forensics 5-6 Marzo 2008 - Roma
Il 5 e 6 Marzo 2008 si è tenuto a Roma il primo corso intensivo di Digital Forensics della durata di 2 giorni presso le aule di Atlantica in Via Barberini nel centro di Roma.
Il corso intensivo ha proposto in 2 giorni un programma intenso ed esclusivo che ha visto impegnati docenti del calibro di Costabile, Caccavella, Ghirardini e Mazzaraco che hanno sviluppato un programma in 6 ore di teoria e 12 di pratica.
Il programma, primo nel suo genere in Italia, ha avuto un enorme successo e ottimi feedback dai discenti, il corso ha svuiluppato i seguenti temi:
  • Information Forensics nel panorama giuridico internazionale ed italiano: le varie definizioni
  • Legal Electronic Forensics Team – Università di Milano
  • Sequestro, Ispezione e incidente probatorio nell’informatica forense.
  • Modalità di acquisizione dei dati su hard disk
  • Le linee guida internazionali e le differenze con il comparto italiano: IACIS guidelines
  • La Chain of custody
  • Le prove atipiche e la computer forensics
  • Acquisizione delle fonti di prova digitale sul web
  • Incidente informatico aziendale: modalità di formazione delle prove
  • Log files e accountability: l’uso della firma digitale
  • Consulente, Perito, CTP e CTU: differenze
  • I quesiti al consulente in Information Forensics
  • Cenni sulle modifiche legislative in studio
  • Cenni all’Information Intelligence e motori semantici
  • Case study italiani: caso Vierika, Fineco, Chieti etc



Donato Caccavella
  • Hashing: Md5 e Sha1
  • Collisioni degli hash
  • Blocchi hardware in scrittura
  • Blocchi software
  • Analisi di un sistema Windows
  • Utilizzo di macchine VMWare per replicare il computer originale
  • Registry: Tool e programmi per analizzare il database centralizzato di Windows nel migliore dei modi
  • Particolarità dei file system supportati: Data Hiding e Alternative data stream
  • Registry Event viewer
  • File di swap
  • Caching delle password
  • Internet Explorer
  • Outlook Express
  • Metadata
  • Case study: metodologia e processi in alcuni casi reali
  • Progettare un laboratorio di information forensics
  • Utilizzo dei seguenti software:
    1. Helix Knoppix (parte Windows e Linux)
    2. Raccolta di dati da un sistema Unix
    3. Autopsy http://www.digital-evidence.org/
    4. FTK http://www.accessdata.com/products.htm
    5. Encase http://www.encase.com/
    6. Ilook investigator
  • Information forensics con Linux:
    1. Sistema operativo Linux e fondamenti di informatica
    2. Comandi utili per l’analisi forense: “awk”, “sed”, “grep”, “find”, “strings”
    3. Linux: installazione e live cd
    4. Tecniche di duplicazione di RAM e dischi
    5. Boot con sistemi Linux Live CD, e l'uso di software come “dd”, “dcfldd”, “air” o “Adepto”.
    6. Acquisizione dischi RAID
  • Sessione specifica Filesystem:
    1. FAT: Il filesystem dei sistemi Microsoft dal DOS sino a oggi
    2. NTFS: File system avanzato derivato da HPFS usato dalla famiglia NT, 2k e Vista
    3. ext2/3: File system classico di Linux
    4. reiserfs: File system journaled usato in Linux
    5. UFS: Per i sistemi BSD
    6. ZFS: Sun Microsystem



Gerardo Costabile

CASE STUDY DI INFORMATION FORENSICS:
Esame del layout del disco: sessione su come controllare la veridicità della partition table e verificare che non vi siano zone non assegnate dello stesso. Sono stati trattati i sistemi di indirizzamento CHS e LBA
Gestione a più livelli: E' stato mostrato quando effettuare una analisi a livello di raw device, di slack space e di file filsystem.
In tutti i casi sono stati esaminati i pro e i contro delle singole scelte.
Esame del file system: sia software forensi dotati di GUI (Autopsy Browser e phyflag sia i tool specifici per i più noti filesystem oltre, naturalmente, alle utility che compongono lo sleuth Kit Raw Device Slack Space, Swap e Hibernation:
le tecniche di file carving per recuperare i dati dove fallisca l'analisi a livello di file system.
Uso di editor esadecimali per l'esame del disco a basso livello
Comandi linux e programmi specialistici: Come usare comandi specifici per trovare le informazioni necessarie ed estrapolarle dal contesto.


Andrea Ghirardini

FORENSICS SU ALTRI MEDIA
CD e DVD:
Masterizzazioni single session e multisession
Multisession e analisi forense
Disaster recovery di un supporto ottico

FORENSICS DI DEVICE NON CONVENZIONALI
Macchine fotografiche digitali
Apple iPod
Sony PSP
Lettori mp3

NETWORK FORENSICS
Raccolta di reperti da una rete
Protocolli di rete e analisi del traffico
Indagini sui router
Security Event & Incident Management in Azienda

Più volte i docenti hanno integrato il programma con esempi pratici dando spazio anche a sessioni di discussione su specifici temi particolarmente interessanti.
I discenti hanno così potuto assistere a scuole di pensiero e metodologie analoghe anche con strumenti diversi.


Il fuori programma di Giuseppe Mazzaraco.


Disponibile la brochure dell'evento
 
Per informazioni inerenti questo sito puoi contattare il webmaster.
Copyright © 2005-2008 IISFA Italy Chapter
Contenuto aggiornato il: 27/03/2008