Rispondo a pie' pari con "cut e copy" da www.securityfocus.com
semplice , un disco che riporta in momenti diversi di analisi forense
valori diversi di hash lo considero valido?
per me NO e non mi interessa dove siano avvenute le modifiche visto che è
possibile realizzare e alcune modifiche anche estremamente rilevanti,
quali la stessa sostituzione del contenuto di un file .
"Principles of computer forensics
<... omiss...>
Nevertheless, attempts have been made to standardise principles on an
international basis and the following are commonly agreed upon:
- The act of collecting digital evidence should not result in any
alteration
of the data in question, wherever this is possible
- All handling of digital evidence (from collection through to
preservation
and analysis) must be fully documented
- Access to original digital evidence should be restricted to those
deemed
"forensically competent"
<...omisss...>"
per cui hash diversi = dischi dai contenuti diversi e l'unica prova
accettabile è un eventuale analisi file per file del contenuto eliminanto
i variati, ma no avendo tale strumento (analisi file per file iniziale)
non posso accettare il disco come valido !
giusto?
e qui ritorno alla mia domanda iniziale:
Sono state adottate metodiche di analisi forense ? (almeno secondo i
principi sopra richiamati) e, soprattutto, sono state effettuate da persone
"forensicamente competente" ?
Se l'errore "iniziale" e' aver effettuato un'analisi "pseudoforense" come
credi che tu possa accettare l'evidenza probatoria (evidence -
all'americana)?
Puoi semplicemente constatare che il disco stava su un PC (server o altro) e
che aveva un hash che non e' lo stesso di adesso => disco in cui anche un
solo bit e' cambiato (fosse anche solo della Swap o temp di nessuna
importanza) e quindi DIVERSO da quanto visto in analisi al passo 1.
Indi (chiedo lumi agli avvocati) la "prova" e' compromessa e non puo'
(potrebbbe) essere ammessa in quanto non uguale.
Qui pero' andiamo nel campo della misura, ed entrano altri fattori:
- esistono misure ripetibili e non (es, in caso legale, la ricerca DNA su
un
capello che dopo l'analisi... non esiste piu', tranne per capello lungo
e
sezionato, in ogni caso la misura ALTERA gli elementi anche se
parzialmente)
- esistono condizioni di misura "a contorno" ripetibili e no, influenzanti
e no (caso specifico la misura della resistenza elettrica la cui
temperatura
esterna ambientale - pochi gradi - influenza pochissimo la misura perche'
il resistore ha una temperatura .. "elevata";
provate pero' a fare una misura a -150 gradi!)
ecc.
ritornando dall'OT e al tema dell'analisi concordando con te sul dubbio:
come fai ad accettare una prova se questa e' compromessa o
compromettibile ? soprattutto, chi ha fatto la 1^ misura ?
e' una misura ripetibile (e mi pare di no) ? come hai (hanno) fatto ad
effettuare le altre misure ? tutte portano a hash differenti (anche questa
molto importante)???
A questo punto, da tecnico, cedo le "armi" e passo la palla agli avvocati
Stefano
________________________________________________________
http://www.sikurezza.org - Italian Security Mailing List
