Digital Forensics (SEC339)

Agenda (3 giorni)
Introduzione:
* introduzione alla Digital Forensics e al concetto di prova digitale
* standard ISO di riferimento
* legislazione in materia di criminalità informatica.
Il Sopralluogo Digitale:
* attuazione della ISO27037:2012 sulla scena del crimine informatico, attraverso lo studio delle fasi di:
o Identificazione (Identification): ricerca della fonte di prova digitale
o Acquisizione (Acquisition): rilievo tecnico volto a congelare la fonte di prova digitale
o Repertamento (Collection): attività volta ad assicurare la fonte di prova digitale
o Preservazione (Preservation): attività volta a garantire l'integrità e riservatezza della fonte di prova digitale
o Validazione (Validation): conferma che sono stati rispettati i requisiti per i fini d'indagine (principio di pertinenza).
Verifica, Analisi ed Interpretazione dei dati:
* uso di software, preferibilmente Open Source, al fine di attuare le principali tecniche di verifica ed analisi di reperti virtuali, secondo procedure scientificamente derivate dirette a confermare, o confutare, una tesi accusatoria
* l’interpretazione è l’unica fase soggettiva dell’intero processo in cui l’investigatore fornisce valutazioni di merito alla pertinenza con il contesto d’indagine e l’uso dei dati per l’eventuale proseguimento delle indagini.
Documentazione e Presentazione:
* la documentazione è l’insieme di atti e documenti volti a storicizzare le attività svolte. Tale attività è prologo della presentazione, dove lo specialista dovrà aver cura di fornire una giustificazione dell'attinenza con l'indagine della traccia informatica rilevata, ossia fornire un legame logico-deduttivo comprensibile a persone che non hanno un'elevata competenza informatica, come ad esempio Giudice, Pubblico Ministero ed Avvocato.
* la professionalità sia del DEFR che del DES sarà quindi misurata anche nel saper realizzare:
o una solida Catena di Custodia (Chain of Custody), ossia l’insieme di documenti che accompagnano la vita del reperto dalla sua formazione alla sua restituzione all'avente diritto o distruzione
o un Verbale (art. 134 c.p.p. e seg.) di operazioni tecniche, in caso l’operatore appartenga alla PG
o Referto tecnico nel caso in cui l’operatore non appartenga alla PG (es. CTU, CTU, Perito).
Cenni sulle Tecniche investigative in internet
* tecniche di OSINT (Open Source Intelligence)
* Sopralluogo Virtuale
* tracciamento.

Obiettivi
Al termine del corso i partecipanti sono in grado di investigare nel rispetto dei principi stabiliti sia dal Legislatore italiano (ex L.48/2008) che dai principali standard (ISO 27037 e segg.) e linee guida internazionali (NIST, …).

Destinatari
Tecnici informatici, Ingegneri informatici, CTP/CTU, membri delle Forze dell’Ordine e cultori della materia.

Prerequisiti
Per trarre i massimi benefici da questo corso i partecipanti devono possedere le seguenti conoscenze di base: sistema operativo linux, principi di base di networking.