deftcon 2012 - giuseppe dezzani - l'acquisizione di evidenze digitali nel quadro normativo...
TRANSCRIPT
![Page 1: DEFTCON 2012 - Giuseppe Dezzani - L'acquisizione di evidenze digitali nel quadro normativo italiano](https://reader033.vdocuments.site/reader033/viewer/2022052903/5576131bd8b42a0d5e8b4ecf/html5/thumbnails/1.jpg)
L’ACQUISIZIONE DI EVIDENZE DIGITALI NEL QUADRO NORMATIVO ITALIANO
Giuseppe DEZZANI [email protected]
![Page 2: DEFTCON 2012 - Giuseppe Dezzani - L'acquisizione di evidenze digitali nel quadro normativo italiano](https://reader033.vdocuments.site/reader033/viewer/2022052903/5576131bd8b42a0d5e8b4ecf/html5/thumbnails/2.jpg)
Legge 48/2008
L’importanza della Legge 48/2008 per le modifiche introdotte nel Codice di Procedura Penale
DeftConf 2012 - Torino - 30 Marzo 2012
![Page 3: DEFTCON 2012 - Giuseppe Dezzani - L'acquisizione di evidenze digitali nel quadro normativo italiano](https://reader033.vdocuments.site/reader033/viewer/2022052903/5576131bd8b42a0d5e8b4ecf/html5/thumbnails/3.jpg)
Le modifiche al codice di procedura penale
• 1. All'articolo 244, comma 2, secondo periodo, del codice di procedura penale sono aggiunte, in fine, le seguenti parole:
• «,anche in relazione a sistemi informatici o telematici, adottando misure tecniche dirette ad assicurare la conservazione dei dati originali e ad impedirne l'alterazione».
DeftConf 2012 - Torino - 30 Marzo 2012 22
![Page 4: DEFTCON 2012 - Giuseppe Dezzani - L'acquisizione di evidenze digitali nel quadro normativo italiano](https://reader033.vdocuments.site/reader033/viewer/2022052903/5576131bd8b42a0d5e8b4ecf/html5/thumbnails/4.jpg)
Le modifiche al codice di procedura penale • 2. All'articolo 247 del codice di procedura penale, dopo il
comma 1 è inserito il seguente:
• «1-bis. Quando vi è fondato motivo di ritenere che dati, informazioni, programmi informatici o tracce comunque pertinenti al reato si trovino in un sistema informatico o telematico, ancorché protetto da misure di sicurezza, ne è disposta la perquisizione, adottando misure tecniche dirette ad assicurare la conservazione dei dati originali e ad impedirne l'alterazione».
DeftConf 2012 - Torino - 30 Marzo 2012 22
![Page 5: DEFTCON 2012 - Giuseppe Dezzani - L'acquisizione di evidenze digitali nel quadro normativo italiano](https://reader033.vdocuments.site/reader033/viewer/2022052903/5576131bd8b42a0d5e8b4ecf/html5/thumbnails/5.jpg)
Le modifiche al codice di procedura penale • 7. All'articolo 259, comma 2, del codice di procedura
penale, dopo il primo periodo è inserito il seguente:
• «Quando la custodia riguarda dati, informazioni o programmi informatici, il custode è altresì avvertito dell'obbligo di impedirne l'alterazione o l'accesso da parte di terzi, salva, in quest'ultimo caso, diversa disposizione dell'autorità giudiziaria».
DeftConf 2012 - Torino - 30 Marzo 2012 22
![Page 6: DEFTCON 2012 - Giuseppe Dezzani - L'acquisizione di evidenze digitali nel quadro normativo italiano](https://reader033.vdocuments.site/reader033/viewer/2022052903/5576131bd8b42a0d5e8b4ecf/html5/thumbnails/6.jpg)
Le modifiche al codice di procedura penale • All'articolo 260 del codice di procedura penale sono apportate le seguenti modificazioni:
• a) al comma 1, dopo le parole: «con altro mezzo» sono inserite le seguenti: «, anche di carattere elettronico o informatico,»;
• b) al comma 2 è aggiunto, in fine, il seguente periodo: «Quando si tratta di dati, di informazioni o di programmi informatici, la copia deve essere realizzata su adeguati supporti, mediante procedura che assicuri la conformità della copia all'originale e la sua immodificabilità; in tali casi, la custodia degli originali può essere disposta anche in luoghi diversi dalla cancelleria o dalla segreteria».
DeftConf 2012 - Torino - 30 Marzo 2012 22
![Page 7: DEFTCON 2012 - Giuseppe Dezzani - L'acquisizione di evidenze digitali nel quadro normativo italiano](https://reader033.vdocuments.site/reader033/viewer/2022052903/5576131bd8b42a0d5e8b4ecf/html5/thumbnails/7.jpg)
Le procedure di Acquisizione
• RFC3227
Capture as accurate a picture of the system as possible
DeftConf 2012 - Torino - 30 Marzo 2012 22
![Page 8: DEFTCON 2012 - Giuseppe Dezzani - L'acquisizione di evidenze digitali nel quadro normativo italiano](https://reader033.vdocuments.site/reader033/viewer/2022052903/5576131bd8b42a0d5e8b4ecf/html5/thumbnails/8.jpg)
Le procedure di Acquisizione
• RFC3227
Keep detailed notes
DeftConf 2012 - Torino - 30 Marzo 2012 22
![Page 9: DEFTCON 2012 - Giuseppe Dezzani - L'acquisizione di evidenze digitali nel quadro normativo italiano](https://reader033.vdocuments.site/reader033/viewer/2022052903/5576131bd8b42a0d5e8b4ecf/html5/thumbnails/9.jpg)
Le procedure di Acquisizione
• RFC3227
Note the difference between the system clock and UTC.
DeftConf 2012 - Torino - 30 Marzo 2012 22
![Page 10: DEFTCON 2012 - Giuseppe Dezzani - L'acquisizione di evidenze digitali nel quadro normativo italiano](https://reader033.vdocuments.site/reader033/viewer/2022052903/5576131bd8b42a0d5e8b4ecf/html5/thumbnails/10.jpg)
Le procedure di Acquisizione
• RFC3227
Minimise changes to the data as you are collecting it.
DeftConf 2012 - Torino - 30 Marzo 2012 22
![Page 11: DEFTCON 2012 - Giuseppe Dezzani - L'acquisizione di evidenze digitali nel quadro normativo italiano](https://reader033.vdocuments.site/reader033/viewer/2022052903/5576131bd8b42a0d5e8b4ecf/html5/thumbnails/11.jpg)
Le procedure di Acquisizione
• RFC3227
Remove external avenues for change
DeftConf 2012 - Torino - 30 Marzo 2012 22
![Page 12: DEFTCON 2012 - Giuseppe Dezzani - L'acquisizione di evidenze digitali nel quadro normativo italiano](https://reader033.vdocuments.site/reader033/viewer/2022052903/5576131bd8b42a0d5e8b4ecf/html5/thumbnails/12.jpg)
Le procedure di Acquisizione
• RFC3227
When confronted with a choice between collection and analysis you should do collection first and analysis later
DeftConf 2012 - Torino - 30 Marzo 2012 22
![Page 13: DEFTCON 2012 - Giuseppe Dezzani - L'acquisizione di evidenze digitali nel quadro normativo italiano](https://reader033.vdocuments.site/reader033/viewer/2022052903/5576131bd8b42a0d5e8b4ecf/html5/thumbnails/13.jpg)
Le procedure di Acquisizione
• RFC3227
Proceed from the volatile to the less volatile
DeftConf 2012 - Torino - 30 Marzo 2012 22
![Page 14: DEFTCON 2012 - Giuseppe Dezzani - L'acquisizione di evidenze digitali nel quadro normativo italiano](https://reader033.vdocuments.site/reader033/viewer/2022052903/5576131bd8b42a0d5e8b4ecf/html5/thumbnails/14.jpg)
Acquisizione della memoria RAM (Windows)
DeftConf 2012 - Torino - 30 Marzo 2012 22
![Page 15: DEFTCON 2012 - Giuseppe Dezzani - L'acquisizione di evidenze digitali nel quadro normativo italiano](https://reader033.vdocuments.site/reader033/viewer/2022052903/5576131bd8b42a0d5e8b4ecf/html5/thumbnails/15.jpg)
Acquisizione della memoria RAM (Windows):
DeftConf 2012 - Torino - 30 Marzo 2012 22
![Page 16: DEFTCON 2012 - Giuseppe Dezzani - L'acquisizione di evidenze digitali nel quadro normativo italiano](https://reader033.vdocuments.site/reader033/viewer/2022052903/5576131bd8b42a0d5e8b4ecf/html5/thumbnails/16.jpg)
Acquisizione della memoria RAM (Linux):
Linea di Comando ! dd if=/dev/fmem of=“memdump” bs=… Potete/dovete installare una patch : http://hysteria.sk/~niekt0/foriana/
DeftConf 2012 - Torino - 30 Marzo 2012 22
![Page 17: DEFTCON 2012 - Giuseppe Dezzani - L'acquisizione di evidenze digitali nel quadro normativo italiano](https://reader033.vdocuments.site/reader033/viewer/2022052903/5576131bd8b42a0d5e8b4ecf/html5/thumbnails/17.jpg)
Acquisizione della memoria RAM (MAC):
Mac Memory Reader http://cybermarshal.com/index.php/cyber-marshal-utilities/mac-memory-reader Linea di comando : Si esegue : mac-memory-reader indicando dove salvare il file di risultato.
DeftConf 2012 - Torino - 30 Marzo 2012 22
![Page 18: DEFTCON 2012 - Giuseppe Dezzani - L'acquisizione di evidenze digitali nel quadro normativo italiano](https://reader033.vdocuments.site/reader033/viewer/2022052903/5576131bd8b42a0d5e8b4ecf/html5/thumbnails/18.jpg)
Acquisizione della memoria RAM (MAC):
DeftConf 2012 - Torino - 30 Marzo 2012 22
![Page 19: DEFTCON 2012 - Giuseppe Dezzani - L'acquisizione di evidenze digitali nel quadro normativo italiano](https://reader033.vdocuments.site/reader033/viewer/2022052903/5576131bd8b42a0d5e8b4ecf/html5/thumbnails/19.jpg)
Acquisizione della memoria RAM (Tutti):
Questi tools non calcolano l’hash del file risultato dell’acquisizione, ricordate di calcolarlo manualmente per la catena di conservazione.
DeftConf 2012 - Torino - 30 Marzo 2012 22
![Page 20: DEFTCON 2012 - Giuseppe Dezzani - L'acquisizione di evidenze digitali nel quadro normativo italiano](https://reader033.vdocuments.site/reader033/viewer/2022052903/5576131bd8b42a0d5e8b4ecf/html5/thumbnails/20.jpg)
Acquisizione di un Reperto Ma ci ricordiamo di fare sempre tutto ?
DeftConf 2012 - Torino - 30 Marzo 2012 22
![Page 21: DEFTCON 2012 - Giuseppe Dezzani - L'acquisizione di evidenze digitali nel quadro normativo italiano](https://reader033.vdocuments.site/reader033/viewer/2022052903/5576131bd8b42a0d5e8b4ecf/html5/thumbnails/21.jpg)
RepertAPP (Anteprima) Per fare tutto quello che abbiamo detto … e non dimenticare nulla ! Abbiamo realizzato «RepertAPP» Troverete a breve la nuova APP su Google Play ed il client sulla prossima Release di DEFT.
DeftConf 2012 - Torino - 30 Marzo 2012 22
![Page 22: DEFTCON 2012 - Giuseppe Dezzani - L'acquisizione di evidenze digitali nel quadro normativo italiano](https://reader033.vdocuments.site/reader033/viewer/2022052903/5576131bd8b42a0d5e8b4ecf/html5/thumbnails/22.jpg)
RepertAPP Cosa farà RepertAPP :
- Acquisizione di informazioni sul Caso - Acquisizione di note - Verifica dell’orario e calcolo differenza con UTC - Acquisizione dei numeri di serie (barcode scanner) - Fotografie
DeftConf 2012 - Torino - 30 Marzo 2012 22
![Page 23: DEFTCON 2012 - Giuseppe Dezzani - L'acquisizione di evidenze digitali nel quadro normativo italiano](https://reader033.vdocuments.site/reader033/viewer/2022052903/5576131bd8b42a0d5e8b4ecf/html5/thumbnails/23.jpg)
RepertAPP Report :
- Tutti i dati verranno trasmessi ad una casella DROPBOX, in una sottocartella con il nome con cui abbiamo etichettato il reperto.
- Generazione Report personalizzato in formato PDF e/o HTML con inclusione del Log dello strumento di duplicazione
DeftConf 2012 - Torino - 30 Marzo 2012 22
![Page 24: DEFTCON 2012 - Giuseppe Dezzani - L'acquisizione di evidenze digitali nel quadro normativo italiano](https://reader033.vdocuments.site/reader033/viewer/2022052903/5576131bd8b42a0d5e8b4ecf/html5/thumbnails/24.jpg)
Ringraziamenti
Grazie Giuseppe DEZZANI Studio Associato Di.Fo.B. – Torino [email protected]
DeftConf 2012 - Torino - 30 Marzo 2012 22