International Information Systems Forensics Association
 
28 e 29 Ottobre 2008 Secondo Corso di Alta Formazione IISFA - Roma
Il 28 e 29 Ottobre 2008 si è tenuto a Roma il secondo corso intensivo di Digital Forensics della durata di 2 giorni presso le aule di Atlantica in Via Barberini nel centro di Roma.
Il corso intensivo ha proposto in 2 giorni un programma intenso ed esclusivo che ha visto impegnati docenti del calibro di Mazzaraco, Caccavella, Ghirardini e Graziani che hanno sviluppato un programma in 6 ore di teoria e 12 di pratica.
Il programma, che ha subito lievi variazioni nella prima metà giornata dove Mazzaraco e Graziani hanno sostituito l'intervento di Costabile, ha avuto un enorme successo e ottimi feedback dai discenti, il corso ha svuiluppato i seguenti temi:

Primo giorno - mattina 4 ore - Giuseppe Mazzaraco e Massimiliano Graziani:
  • Introduzione
  • Information Forensics nel panorama giuridico internazionale ed italiano: le varie definizioni
  • Legal Electronic Forensics Team – Università di Milano
  • Sequestro, Ispezione e incidente probatorio nell’informatica forense.
  • Computer forensics alla luce della Legge 18 marzo 2008, n. 48 di ratifica ed esecuzione della Convenzione di Budapest sulla criminalità informatica.
  • Modalità di acquisizione dei dati su hard disk, sessione pratica con Logicube MD5
  • Indicizzazione, ricerca e report con FTK 1.8 dei dati precedentemente acquisiti
  • Le linee guida internazionali e le differenze con il comparto italiano: IACIS guidelines
  • La Chain of custody
  • Le prove atipiche e la computer forensics
  • Acquisizione delle fonti di prova digitale sul web
  • Incidente informatico aziendale: modalità di formazione delle prove
  • Log files e accountability: l’uso della firma digitale
  • Consulente, Perito, CTP e CTU: differenze
  • I quesiti al consulente in Information Forensics
  • Cenni all’Information Intelligence e motori semantici



Giuseppe Mazzaraco

Primo giorno - pomeriggio 4 ore - Donato Caccavella:
  • Hashing: Md5 e Sha1
  • Collisioni degli hash
  • Blocchi hardware in scrittura
  • Blocchi software
  • Analisi di un sistema Windows
  • Utilizzo di macchine VMWare per replicare il computer originale
  • Registry: Tool e programmi per analizzare il database centralizzato di Windows nel migliore dei modi
  • Particolarità dei file system supportati: Data Hiding e Alternative data stream
  • Registry Event viewer
  • File di swap
  • Caching delle password
  • Internet Explorer
  • Outlook Express
  • Metadata
  • Case study: metodologia e processi in alcuni casi reali
  • Progettare un laboratorio di information forensics
  • Utilizzo dei seguenti software:
    1. Helix Knoppix (parte Windows e Linux)
    2. Raccolta di dati da un sistema Unix
    3. Autopsy
    4. Forensic Tool Kit
    5. Encase
    6. Ilook investigator
    7. Winhex
    8. DtSearch
    9. COMPRESO NEL MATERIALE DIDATTICO: information forensics di una flash card


    Donato Caccavella


    Secondo giorno - Andrea Ghirardini:

  • Information forensics con Linux:
    1. Sistema operativo Linux e fondamenti di informatica
    2. Comandi utili per l’analisi forense: “awk”, “sed”, “grep”, “find”, “strings”
    3. Linux: installazione e live cd
    4. Tecniche di duplicazione di RAM e dischi
    5. Boot con sistemi Linux Live CD, e l'uso di software come “dd”, “dcfldd”, “air” o “Adepto”.
    6. Acquisizione dischi RAID
  • Sessione specifica Filesystem:
    1. FAT: Il filesystem dei sistemi Microsoft dal DOS sino a oggi
    2. NTFS: File system avanzato derivato da HPFS usato dalla famiglia NT, 2k e Vista
    3. ext2/3: File system classico di Linux
    4. reiserfs: File system journaled usato in Linux
    5. UFS: Per i sistemi BSD
    6. ZFS: Sun Microsystem
SESSIONE PRATICA DEFT - HELIX:
Ad ogni discente è stata fornita una copia delle versioni aggiornate di Deft ed Helix, da testare durante il corso nei PC dedicati ai discenti.

SESSIONE PRATICA MOBILE FORENSICS:
Ghirardini ha presentato una delle più attuali apparecchiature per l'acquisizione degli apparati mobile. La sessione ha ripreso la problematica della gabbia di faraday, della ripetibilità ed i rischi connessi alla manipolazione degli apparati mobile.

CASE STUDY DI INFORMATION FORENSICS:
Esame del layout del disco: sessione su come controllare la veridicità della partition table e verificare che non vi siano zone non assegnate dello stesso. Sono stati trattati i sistemi di indirizzamento CHS e LBA
Gestione a più livelli: E' stato mostrato quando effettuare una analisi a livello di raw device, di slack space e di file filsystem.
In tutti i casi sono stati esaminati i pro e i contro delle singole scelte.
Esame del file system: sia software forensi dotati di GUI (Autopsy Browser e phyflag sia i tool specifici per i più noti filesystem oltre, naturalmente, alle utility che compongono lo sleuth Kit Raw Device Slack Space, Swap e Hibernation:
le tecniche di file carving per recuperare i dati dove fallisca l'analisi a livello di file system.
Uso di editor esadecimali per l'esame del disco a basso livello
Comandi linux e programmi specialistici: Come usare comandi specifici per trovare le informazioni necessarie ed estrapolarle dal contesto.



Andrea Ghirardini

FORENSICS SU ALTRI MEDIA
CD e DVD:
Masterizzazioni single session e multisession
Multisession e analisi forense
Disaster recovery di un supporto ottico

FORENSICS DI DEVICE NON CONVENZIONALI
Macchine fotografiche digitali
Apple iPod
Sony PSP
Lettori mp3

NETWORK FORENSICS
Raccolta di reperti da una rete
Protocolli di rete e analisi del traffico
Indagini sui router
Security Event & Incident Management in Azienda

Più volte i docenti hanno integrato il programma con esempi pratici dando spazio anche a sessioni di discussione su specifici temi particolarmente interessanti.
I discenti hanno così potuto assistere a scuole di pensiero e metodologie analoghe anche con strumenti diversi.

Disponibile la brochure dell'evento
 
Per informazioni inerenti questo sito puoi contattare il webmaster.
Copyright © 2005-2008 IISFA Italy Chapter
Contenuto aggiornato il: 02/01/2009