Rino, non comprendo il senso della tua domanda.
quoto dove necessario...
Un quesito per chi si interessa di informatica giuridica.
Si ha in sequestro un disco che ha un determinato valore di hash calcolato
attraverso MD5.
Sono state adottate metodiche di analisi forense ?
es. la "duplicazione" fisica del disco ?
In sede peritale (quella del giudice) si è constatato che il valore
ricalcolato con le stesse procedure risulta essere diverso.
A questo punto sorgono diverse domanda e perplessità, ovvero il disco è lo
stesso?i contenuti sono uguali?.
Il disco si! (tranne che non lo abbiano sostituito ^__^)
I contenuti mi sento di dire si, a parte aree di swap, temporanee ecc.
Poi, cosi' su due piedi, il perito ha utilizzato GLI STESSI metodi e
strumenti di misura ?
Ad una sommaria indagine ( sono presenti diverse migliaia di archivi)
sembra che le dimensioni di diversi file coincidano e il disco ha la
stessa dimensione globale, ma è possibile affermare che si tratti dello
stesso disco?
E qui credo che ricadiamo nell'errore principale della storia:
perche' l'hash si e' calcolato solo per il disco e non per tutti i file (o
almeno quelli di importanza probatoria) ivi contenuti e oggetto
dell'indagine e del contendere giudiziario ?
Se poi , ai fini dell'indagine, sono rilevanti alcune informazioni quali
le configurazioni di determinati programmi , è possibile affermare la
validità di quanto trovato?.
Vedi sopra, perche' non e' stato calcolato l'hash dei programmi e delle
configurazioni oggetto della prova ?
Spesso le modifiche di configurazione non modificano le dimensioni del
file che le contiene, spesso si tratta solo di flag che occupano lo stesso
spazio indipendentemente dallo stato (on/ off), prove effettuate
confermano ciò , le uniche variazioni in caso di analisi sono l'hash.
Me se è accettabile che l'hash diverso non significhi disco / fiel diversi
allora a che serve calcolarlo?
Come dici tu l'hash crittografico serve proprio a questo se del file cambi
un solo byte (es variabilex = 1 => variabilex=0) cambia anche l'hash e
conseguentemente puoi dire che il file non e' lo stesso e null'altro
(poi cambiano anche data di modifica del file ed altri parametri...)
Sono del parere che hash diversi mi rendano di fatto diverso il disco e
quindi non ammissibile la prova o comunque no accettabile l'analisi del
disco salvo un confronto manuale diretto file per file.
dal puntio di vista strettamente teorico si, specie se non si e' valutato
l'hash dei file che interessavano.
poi dipende dal sistema di prova e di calcolo dell'hash.
Se il sistema e' Win, come ti sarai accorto facendo una ricerca degli
"ultimi file modificati" quando cerchi un file, ti ritrovi con un mare di
file
che non hai mai toccato e che sono, da sistema, aggiornati alla data
odierna. Non ho mai approfondito il perche'.
In caso di analisi forense utilizzo altri strumenti con montaggio SOLO R
per il calcolo hash.
Che ne dite?
Esistono casi simili? ovvero casi in cui nonostante la diversità di hash
si sia accettato il disco, ed in tal caso come giustificarlo? escludendo
l'analisi interna file per file?
su questo caso, passo agli avvocati la palla...
Rino
Stefano.
________________________________________________________
http://www.sikurezza.org - Italian Security Mailing List
