Rispondo a pie' pari con "cut e copy" da www.securityfocus.com

semplice , un disco che riporta in momenti diversi di analisi forense
valori diversi di hash lo considero valido?
per me NO e non mi interessa dove siano avvenute le modifiche visto che è
possibile realizzare e alcune modifiche anche estremamente rilevanti,
quali la stessa sostituzione del contenuto di un file .


"Principles of computer forensics
<... omiss...>
Nevertheless, attempts have been made to standardise principles on an
international basis and the following are commonly agreed upon:
- The act of collecting digital evidence should not result in any alteration
   of the data in question, wherever this is possible
- All handling of digital evidence (from collection through to preservation
    and analysis) must be fully documented
- Access to original digital evidence should be restricted to those deemed
     "forensically competent"
<...omisss...>"

per cui hash diversi = dischi dai contenuti diversi e l'unica prova
accettabile è un eventuale analisi file per file del contenuto eliminanto
i variati, ma no avendo tale strumento (analisi file per file iniziale)
non posso accettare il disco come valido !
giusto?
e qui ritorno alla mia domanda iniziale:
Sono state adottate metodiche di analisi forense ? (almeno secondo i
principi sopra richiamati) e, soprattutto, sono state effettuate da persone
"forensicamente competente" ?
Se l'errore "iniziale" e' aver effettuato un'analisi "pseudoforense" come
credi che tu possa accettare l'evidenza probatoria (evidence - all'americana)?

Puoi semplicemente constatare che il disco stava su un PC (server o altro) e
che aveva un hash che non e' lo stesso di adesso => disco in cui anche un
solo bit e' cambiato (fosse anche solo della Swap o temp di nessuna
importanza) e quindi DIVERSO da quanto visto in analisi al passo 1.

Indi (chiedo lumi agli avvocati) la "prova" e' compromessa e non puo'
(potrebbbe) essere ammessa in quanto non uguale.

Qui pero' andiamo nel campo della misura, ed entrano altri fattori:
- esistono misure ripetibili e non (es, in caso legale, la ricerca DNA su un capello che dopo l'analisi... non esiste piu', tranne per capello lungo e
   sezionato, in ogni caso la misura ALTERA gli elementi anche se
   parzialmente)
- esistono condizioni di misura "a contorno" ripetibili e no, influenzanti
e no (caso specifico la misura della resistenza elettrica la cui temperatura
  esterna ambientale - pochi gradi - influenza pochissimo la misura perche'
  il resistore ha una temperatura .. "elevata";
  provate pero'  a fare una misura a  -150 gradi!)
ecc.

ritornando dall'OT e al tema dell'analisi concordando con te sul dubbio:
come fai ad accettare una prova se questa e' compromessa o
compromettibile ? soprattutto, chi ha fatto la 1^ misura ?
e' una misura ripetibile (e mi pare di no) ? come hai (hanno) fatto ad
effettuare le altre misure ? tutte portano a hash differenti (anche questa
molto importante)???

A questo punto, da tecnico, cedo le "armi" e passo la palla agli avvocati

Stefano
________________________________________________________
http://www.sikurezza.org - Italian Security Mailing List

Rispondere a