Marco Mattiucci
Email me
L'oracolo alle 2024-04-19 13:56:31 dice:
Rispetta la natura e fallo con umiltà!
INFORMATICA - DIGITAL FORENSICS
Caso dei 2 Tool(s) (2T Problem)
"...e se il risultato viene differente? Avere chiare le soluzioni teoriche permette poi di reagire velocemente di fronte alle questioni pratiche, soprattutto se le questioni teoriche provengono da problemi reali ricorrenti..."
Ottobre 2016
Il problema dei 2 tool
Quello che qui chiamo problema dei 2 tool e' sostanzialmente la situazione in cui 2 tool di analisi forense vanno ad ottenere risultati diversi a partire dallo stesso stato iniziale.
Ipotesi
Sia l'unico reperto digitale R.
Sia CT il consulente tecnico che ha l'incarico dal PM (CTU) o dalla parte (CTP) di svolgere l'analisi forense di R.
Siano T1 e T2 i due tool forensi che CT usa su R applicando una stessa procedura P.
Questa ipotesi semplifica la situazione dividendo ed escludendo le interazioni che possono esserci in un ambiente multi-consulente e/o multi-reperto / multi-procedura.
Situazione
Siano X1 = T1(P(R)) e X2 = T2(P(R)) i risultati dell'analisi rispettivamente con T1 e T2.
GESTIONE DEI RISULTATI:
Nell'ipotesi che P sia una procedura intrinsecamente irripetibile, a prescindere dai tool T1 e T2, allora puo' accadere con alta probabilita' che i due risultati X1 e X2 siano diversi tra loro e diviene determinante quale tool e' stato usato per primo. Se e' T1 allora l'unico risultato considerabile e' X1 perche' X2 è affetto dalle alterazioni che T1 ha applicato al reperto R.
Questa soluzione di gestione (considerare solo X1) puo' essere ampliata (considerare sia X1 che X2) nell'ulteriore ipotesi che il CT sia in grado di verificare e spiegare dettagliatamente tutte le alterazioni che R ha subito quando analizzato con il primo tool T1. Contrariamente a quanto si possa pensare questo non è immediato. Nella Digital Forensics e' "semplice" mostrare che qualcosa esiste o e' avvenuto ma e' veramente complicato mostrare che qualcosa non esiste o non e' avvenuto. Nello stesso modo capire perfettamente cosa accade in un accertamento irripetibile è molto complicato, si pensi all'acquisizione non convenzionale della memoria di un cellulare.
Passando ora alla situazione in cui P è plausibilmente ripetibile e' doveroso considerare le possibilita' che seguono:
I) X1 = X2 da cui si considera X1 come risultato valido;
II) X1 diverso da X2 da cui e' necessario verificare quali delle seguenti ulteriori situazioni possono presentarsi:
II.a) X1 ed X2 non si intersecano: con un tool T1 si ottiene un risultato X1 che non ha nulla in comune con X2 risultato dell'applicazione di T2;
II.b) X1 include X2 o viceversa: un tool T1 ottiene tutti i risultati ottenuti con T2 piu' altri (o viceversa);
II.c) X1 ed X2 si intersecano ma non si includono: T1 e T2 ottengono alcuni risultati in comune ma anche altri totalmente differenti.
Il caso (II.a) di risultati totalmente differenti e' veramente critico e vanno prese serie contromisure. Un approccio garantista consiglia di non considerare come validi nessuno dei due (ne' X1 ne' X2) e passare ad impiegare altri tool, rivedere la procedura, compiere sperimentazioni mirate, analizzare le condizioni al contorno, ecc.
Il caso (II.b), piuttosto comune nel mobile forensics e nel cloud forensics, di un tool che ottiene piu' risultati di un altro va trattato con un controllo di coerenza importante: Se ad esempio X1 include X2 si puo' anche dire che X1 e' dato da X2 unito ad ulteriori risultati XD; qualora gli ulteriori risultati in XD contraddicano anche uno solo degli asserti di X2 (determinati da entrambi i tool) si puo' tranquillamente dire che T1 non ha svolto l'analisi in un modo consistente dato che contraddice se stesso. In questo caso, se ci sono ragioni di urgenza (e nella DF ci sono sempre...) e' bene considerare come valido solo X2 (il minore dei due) e magari proporre X1 come una questione aperta da risolvere.
Sempre nel caso (II.b), se non ci sono problemi di coerenza come sopra esposti, e' bene considerare come validi entrambi i risultati X1 ed X2 ed in particolare X2 (incluso da X1) ne viene rafforzato (ci sono due riscontri).
Il caso (II.c), in cui i due tool T1 e T2 ottengono X1 ed X2 che parzialmente aderiscono in XI richiede la verifica della coerenza di X1-XI ed X2-XI con tutto il resto. Qualora non si presentino contraddizioni critiche e' bene considerare come validi entrambi X1 ed X2 ed in particolare XI (risultati in comune) ne risulta rafforzato con un doppio riscontro. Se invece le contraddizioni esistono e ci sono le solite ragioni di urgenza e' bene considerare come valido solo XI (intersezione) e magari proporre sia X1 che X2 come affetti da particolari non regolari i quali debbono essere approfonditi.
Cookie(s) & Privacy
Questo sito web, per quanto da me programmato e realizzato in php, non emette cookie, non effettua il profiling dell'utente e non raccoglie vostri dati personali. Alcuni cookie possono essere emessi dal cloud che lo supporta, strumento al di fuori della possibilità di controllo dello scrivente. Per qualsiasi dubbio in proposito smettete immediatamente la navigazione.marcomattiucci.it
Informatica:
Digital Forensics - articoli:
- Home(DF-articoli)
- Smartphones(pdf-2009)
- TomTom(pdf-2009)
- Repertare(pdf-2011)
- Profiling(pdf-2011)
- TesiHighTech(pdf-2011)
- MD5collision(pdf-2007)
- Steganografia(pdf-2007)
- Crittografia(pdf-2008)
Digital forensics:
- Home(DF)
- Domande comuni...
- Principi generali
- Repertamento su Scena
- Computer Forensics
- Mobile Forensics
- Network Forensics
- Cloud Forensics
- Cloud Challenges
- Database Forensics
- Electronic Forensics
- Payment Cards
- RAM Forensics
- Live Digital Forensics
- Distributed DF
- Cybercrime
- Captatore - 12 punti
- Fisica delle prove digitali
- Logica delle prove digitali
- Dati e Informazioni
- Caso dei 2 Tool
- Persistenza dei dati
- Anti-Forensics
- Volatilità dei dati
- La Legge 48/2008
- Plug Computer
- Hash MD5
- Hash & Similarity
- Write Blockers
- Comando dd
- Catena di Custodia
- Qualità totale
- Presentazione fonti