Computer Forensics

Programma delle lezioni:

Lezione 1 (4 ore)
· Introduzione del corso
· Cos'è la Computer Forensics: definizioni e applicazioni
· Disciplina giuridica
· Filosofia di base e Best practices
· Catena di custodia
· Impostazioni operative
· Identificazione e marcatura dei supporti e dei media non convenzionali

Lezione 2 (4 ore)
· Preservazione del dato: il sequestro e l’acquisizione
· Acquisizione di memorie di massa
o Concetto di copia forense
o Verifica d'integrità
o Tecnologie più frequenti
o Blocker hardware
o Strumenti software
· Acquisizione di memorie volatili

Lezione 3 (4 ore)
· Preservazione del dato: le intercettazioni
o Disciplina giuridica
o Problemi tecnici
· Applicazioni in reti ethernet
o Problematiche delle tecniche di Man-in-the-middle
o Software utili
· Applicazioni in reti wireless
o Dotazione HW e SW
o Problemi derivanti dall’uso di crittografia
· Analisi del traffico intercettato

Lezione 4 (4 ore)
· Analisi e valutazione delle digital evidence
· Strumentazione hardware e software
· Descrizione dei software commerciali e open source
· Distribuzioni live Linux
· Visualizzatori, player e codec
o Analisi dei documenti (formati più diffusi) e dei loro metadati
o Analisi delle immagini: metadati e individuazione delle manipolazioni
· Dimostrazioni ed esercitazioni pratiche

Lezione 5 (4 ore)
· Partizioni e Filesystem più diffusi
o FAT, NTFS, EXT, HFS ecc.
o Cluster, allocazione e slack space
· Utilizzo di Virtual Machine
· Problematiche sull’aggiramento delle password

Lezione 6 (4 ore)
· Analisi dei sistemi Windows, Mac e Unix-like. Per ogni sistema:
o File di log
o File di configurazione / registro di sistema
o Informazioni sull’utilizzo (history, file recenti, ecc.)
o Dati applicativi (browser, client di posta, cartelle temporanee, ecc.)

Lezione 7 (4 ore)
· Recupero dati
o Ripristino dei dati cancellati tramite analisi del filesystem
o File carving
· Analisi delle aree di swap e dei file di ibernazione
· Individuazione e analisi del malware
· Software utili, dimostrazioni ed esercitazioni pratiche

Lezione 8 (4 ore)
· Tecniche di antiforensic e loro contenimento
o Tecniche di distruzione dei dati
o Tecniche di occultamento
o Tecniche di falsificazione delle digital evidence
o Altre tecniche di elusione
· Contromisure e mitigazione delle tecniche discusse
· Fasi finali: la presentazione dei risultati dell’indagine
· Necessità e opportunità per l’aggiornamento professionale in materia di Computer Forensic