- Information of probative value that is either stored or transmitted in a binary form
- Information or data, stored or transmitted in binary form that may be relied on as evidence
The use of scientifically derived and proven methods toward the preservation, collection, validation, identification, analysis, interpretation, documentation and presentation of digital evidence derived from digital sources for the purpose of facilitating or furthering the reconstruction of events found to be criminal
Digital Evidence First Responder: soggetto autorizzato, formato e qualificato per agire per primo sulla scena di un incidente per effettuare l’identificazione e l’acquisizione di una digital evidence
Digital Evidence Specialist: soggetto che può svolgere i compiti di un DEFR e che possiede conoscenze e competenze specialistiche per una ampia gestione di problemi di natura tecnica (es. live forensics, network forensics, database forensics, ecc.)
- Integrità
- Non ripudiabilità dell’elemento raccolto
- Ripetibilità
Una digital evidence è governata da 3 principi fondamentali:
- Rilevante: deve essere possibile dimostrare che i dati acquisiti siano rilevanti per l’investigazione in corso. In altri termini una digital evidence è rilevante se contiene informazioni di valore per il particolare incidente e se c’è una buona ragione per acquisirla
- Affidabile: tutti i processi utilizzati per la gestione di una potenziale digital evidence dovrebbero essere verificabili e ripetibili
- Sufficiente: devono essere acquisiti abbastanza elementi per poter effettuare l’investigazione nel modo più completo possibile
- Una digital evidence è fragile per natura
- Può essere modificata, alterata o distrutta a causa di una gestione non corretta Alcuni esempi...
- Se viene rinvenuto un dispositivo spento, l’accensione comporta modifiche al sistema e/o ai dati in esso contenuti
- Se viene rinvenuto un dispositivo acceso, i dati che non sono stati salvati possono andare definitivamente persi (es. file aperti e non salvati) oppure i dati potrebbero diventare inaccessibili (es. cifratura)
- Ma se il dispositivo è accesso e collegato ad una rete o ad Internet, possono avvenire accessi dall’esterno con l’obiettivo di cancellare le informazioni
-
In order to be useful in court, but also during the entire investigation phase, digital evidence must be collected, preserved, and analyzed in a forensically sound manner
-
This means that each single step, from the identification to the reporting, has to be carefully and strictly followed
-
Historically, we have used to refer to a methodology as forensically sound if and only if it would imply the original source of evidence to remain unmodified and unaltered
-
This was mostly true when talking about classical computer forensics, in scenarios where the forensic practitioner found the computer switched off
-
But since the rise of live forensics, this concept has become more and more untrue. In fact, methods and tools for acquiring memory from live systems inevitably alter, even if just a little bit, the target system where they are run on
-
Moreover, in order to make an acquisition of a mobile device, forensic practitioners need to have some degree of interaction with the device. Based on the type, a smartphone can need more or less interaction, altering in this way the "original" state of the device.
-
One of the keys to forensic soundness is documentation. A solid case is built on supporting documentation that reports on where the evidence originated and how it was handled. From a forensic standpoint, the acquisition process should change the original evidence as little as possible and any changes should be documented and assessed in the context of the final analytical results
-
Casey, 2011
Preparation -> Gathering -> Processing -> Presentation
Identification Examination
Collection Analysis
Preservation
Computer, Live, Media, Mobile network, DB, Malware, Image, Video, Audio, Cloud
-
Associare una determinata azione ad un determinato soggetto
- Il fatto che una determinata azione sia stata effettuata da una determinata user-id non implica che l’azione sia stata fatta dall’assegnatario dell’id
-
Associare una determinata azione all’intenzionalità di un determinato soggetto
- Il fatto che un evento sia rilevabile su un sistema informatico non implica che l’esecutore fosse a conoscenza di ciò che stava facendo
-
Associare una determinata azione ad un determinato tempo
- Il fatto che su una evidenza compaia una data e ora non significa
-
Associazione dell’operatività di un computer alla presenza di un determinato soggetto
- il fatto che su un sistema si sia registrata dell’operatività non indica in maniera certa chi la ha effettuata
-
Determinazione della coerenza temporale dell’alibi
- le informazioni di data e ora legate ad un evento non devono essere considerate probanti a meno di specifiche verifiche sulla qualità dei dati
-
Determinazione della coerenza georeferenziata dell’alibi
- le evidenze presenti su un sistema mobile o facilmente trasportabile non sono indicative del luogo dove sono avvenute le elaborazioni
- Incarico: L’oggetto dell’attività deve essere ben identificato
- Autorizzazioni e preparazione Tutto deve essere autorizzato (giudice, vertici aziendali). Gli interventi devono essere preparati (luoghi e sistemi)
- Identificazione: Ogni apparato/sistema deve essere identificato, classificato e controllato. Tracciamento di eventuali analisi preliminari
- Acquisizione e messa in cautela Impiego di metodologie e apparecchiature accettate. Time stamp e firma digitale, gestione di catena di custodia
- Analisi Ripetibile, ricostruzione temporale degli eventi, correttezza logica e metodo scientifico, documentazione di ogni passaggio
- Report Chiaro, strettamente confinato ai limiti dell’incarico, esaustivo su tutti i quesiti, non autoreferente
- Figura altamente tecnica (conoscenza di come i dati sono gestiti dai sistemi)
- Utilizzo di apparecchiature specifiche di acquisizione
- Impiego di metodologie che garantiscono la conservazione dei dati
- Comprensione del suo ruolo nella scala delle decisioni
- (azienda/giudice – avvocato – CT)
- Utilizzo di software per l’analisi e l’identificazione di elementi di
- interesse da vaste moli di dati
- Non è un investigatore, ma lo supporta
- Chiarezza espositiva
- Etica
Esistono linee guida dettagliate con le corrette metodologie di identificazione e conservazione:
- RFC3227 - Guidelines for Evidence Collection and Archiving (2002)
- USA – Department of Justice - Searching and Seizing Computers (2002)
- USA – IACP - Best Practices for Seizing Electronic Evidence (2006)
- USA – DoJ – Electronic Crime Scene Investigation v. 2 (2008)
- UK – ACPO – Computer Based Evidence Guidelines v.4 (2008)
- ISO 27037 - Guidelines for identification, collection, acquisition and preservation of digital evidence (2012)
ELECTRONIC EVIDENCE GUIDE
- Redatta dal Council of Europe
- Distribuita gratuitamente previa richiesta della password
- Preparazione
- Identificazione
- Conservazione
- Acquisizione
- Analisi
- Documentazione
- Prima di avviare l’attività si procede con un planning iniziale
- Informazioni «a priori»
- Tipo di caso investigato
- Data e ora di riferimento dell’incidente/caso
- Luogo dell’acquisizione (ubicazione, dimensione, tipo di struttura, ecc.)
- Informazioni sul tipo di informazioni ricercate (es. file, comunicazioni, attività utente, ecc.)
- Informazioni note sull’infrastruttura informatica (network, server, virtualizzazione, dati in remoto, dati su cloud, ecc.)
- Tipologia di dispostivi da acquisire (computer, mobile, server, virtualizzazione, cloud, ecc.)
- Stima del numero di persone coinvolte nell’attività
- Fare sempre una check list dei dispositivi necessari!
- Macchina fotografica digitale (CARICA!)
- Strumenti di smontaggio (Cacciaviti (tanti e di tutti i tipi...e comunque non bastano mai....), Pinze, Torcia, Guanti..)
- Strumenti per il packaging e il trasporto (etichette, borse antistatiche, borse da trasporto, faraday bag, ecc.)
- Hard disk di destinazione opportunamente preparati
- Adattatori per tutti i tipi di hard disk (PATA, SATA, SAS, SCSI, ZIF, ecc.)
- Duplicatori di hard disk
- Workstation di acquisizione
- Write blocker hardware
- Live CD
- Documentazione cartacea/template di lavoro
- La fase di identificazione avviene in corrispondenza dell’analisi della scena dell’incidente
- Può sembrare la fase più semplice, perché si tratta «unicamente» di individuare e catalogare le potenziali source of evidence
- Tuttavia, vista l’enorme quantità di strumenti atti a conservare dati, è fondamentale individuare tutto quello che può essere utile
- E’ sempre facile? E’ sempre possibile?
- In questa fase è inoltre necessario tenere in considerazione l’ordine di volatilità di una digital evidence
- Dati volatili
- Dati conservati in memorie volatili che sono persi in caso di spegnimento del dispositivo che li conserva (es. contenuto della memoria RAM)
- Dati non volatili
- Dati conservati in memorie di massa e che non vanno persi in caso di spegnimento del dispositivo che li conserva
- Username e password
- Chiavi di cifratura
- Password/Token di connessione
- Processi in esecuzione/chiusi di recente
- Connessioni di rete attive
- File aperti (e non salvati su disco)
- Sessioni di login attive
- Memory-only Malware
- Swap/Page file
- Hibernation
- File temporanei/cache
- Account configurati
- File di configurazione e log files
- File di dati
- Mettere in sicurezza la scena e prendere il controllo dell’area che contiene il dispositivo
- Allontanare le persone presenti dal computer e dai dispositivi di alimentazione
- Fotografare o fare una ripresa video della scena del crimine e di tutte le componenti interessate.
- Se non è disponibile una fotocamera, disegnare la scena
- Assicurarsi che il computer sia effettivamente spento!
- Alcuni screen saver o modalità del computer (es. stand-by) possono far apparire il computer come spento quando è ancora acceso
- NON ACCENDERE IL COMPUTER PER NESSUN MOTIVO!
- Preparazione
- Identificazione
- Conservazione
- Acquisizione
- Analisi
- Documentazione
- Una volta che i supporti sono stati identificati e si è avviata la catena di custodia, bisogna preoccuparsi di conservarli adeguatamente e trasportarli in laboratorio
- L’appropriata modalità di conservazione dipende dal supporto
- Alcuni esempi sono:
- Sacchetti antistatici (hard disk)
- Valigie da trasporto
- Gabbie di Faraday (dispositivi mobili)
- La prova digitale deve essere trattata e conservata molto attentamente per evitare contaminazioni, danni e qualsiasi azione che potrebbe renderla inutilizzabile
- Tutte le azioni compiute devono essere attentamente documentate
- Si deve predisporre una catena di custodia che identifichi tutte le persone che hanno avuto accesso al supporto originale
- La catena di custodia deve contenere alcune informazioni fondamentali:
- Dati identificativi del caso (numero, investigatore, natura e breve descrizione)
- Dati identificativi del supporto (produttore, modello, numero di serie)
- Dati identificati del sequestro (data e ora di inizio custodia, luogo)
- Ogni volta che i supporti oggetto di indagini sono affidati a un nuovo investigatore, nella catena di custodia dovrà essere aggiunta un’informazione contenente:
- Nome della persona che ha preso in carico il supporto
- Data e ora di consegna e data e ora di restituzione
REGOLA FONDAMENTALE! PRESERVARE LO STATO DELL’ORIGINALE COPIA FORENSE
- L’originale non deve mai essere utilizzato per l’analisi dei dati!
- Per garantire l’acquisizione di tutti i dati presenti sul dispositivo è opportuno (ove possibile) effettuare una copia bit-a-bit (o bit-stream o copia forense o immagine) del supporto originale, ovvero una copia esatta del supporto originale
- Questa operazione è differente da un semplice backup dei dati, che consiste nella copia di file noti e tralascia lo spazio non allocato
- L’acquisizione viene solitamente effettuata leggendo ogni bit del supporto originale (prevenendo qualsiasi possibile scrittura) e scrivendo un file immagine su un disco di destinazione
- Il formato “immagine” più utilizzato è il formato RAW (o dd, dal nome del tool Linux utilizzato per effettuare la copia)
- La duplicazione può essere effettuata via software o via hardware
E SE TROVIAMO UN COMPUTER ACCESO?
Quando ci si trova davanti a un computer acceso si deve effettuare una scelta:
- Spegnerlo subito per effettuare una copia forense
- Estrarre alcune informazioni finché è acceso
- La scelta dipende da diversi fattori
- Competenza e/o conoscenza dello specifico sistema
- Strumenti disponibili
- Rilevanza dei dati rispetto all’indagine
Un intervento di live forensics si rende necessario (o molto utile) quando:
- Il sistema non è fisicamente rimovibile
- Il sistema non può essere spento
- Militari
- Videosorveglianza
- Strumenti medicali
- Database server condivisi
- Server in hosting/housing
- Il sistema non può essere acquisito nella sua interezza
- Le informazioni “volatili” sono rilevanti rispetto alle indagini (es. stato della rete, chat/download in corso, memorie volatili, ecc.)
- Siamo in presenza di volumi cifrati (BitLocker, FileVault, TrueCrypt, PGP, ecc.)
- L’analisi di dati digitali non consiste semplicemente nell’estrazione delle informazioni (es. utilizzo del sistema operativo), nel recupero di file cancellati o nella ricerca di uno specifico file
- L’analisi richiede la comprensione di come evidence specifiche consentono di rispondere a uno o più quesiti
- E’ fondamentale focalizzare l’attenzione sulle domande chiave alle quali si deve rispondere (fatti e non teorie...)
- Identificazione della struttura logica del supporto
- Sistema di partizionamento, file system e dimensione blocchi/cluster, spazio non allocato, ecc.
- Analisi dei metadati del/i file system presente/i
- Nomi dei file, date MACB, journaling, logfile, ecc.
- Caratteristiche peculiari degli specifici file system (es. NTFS, FAT, HFS+, ecc.)
NTFS – PRINCIPALI CARATTERISTICHE
- Journaling/Transaction Logging
- Change Tracking
- Hard/Soft Links
- ACL (Access Control Lists)
- Reparse Points
- EFS (Encrypted File System)
- Volume Shadow Copy
- Alternate Data Streams
- Informazioni sul sistema operativo (tipo, versione, data di installazione, licenza d’uso, nome del computer, informazioni di login, ultimo spegnimento, timezone, ecc.)
- Utenti e gruppi configurati (tipo di utente, gruppi di appartenenza, numero di login, ecc.)
- Servizi e applicazioni (servizi attivi, software installati, software in esecuzione automatica, ecc.)
- Network (schede di rete installate, configurazioni di rete, connessioni a reti WiFi, share attive, dischi di rete mappati, RDP, ecc.)
- Periferiche collegate (dispositivi IDE/SATA, USB, stampanti, ecc.)
- Attività degli utenti (file recenti, ricerche effettuate, esecuzione di programmi, ecc.)
- Browser (cronologia, cookies, cache, download, form, session restore, suggested/top sites, flash cookies, private browsing, ecc.)
- Posta Elettronica (archivi su client, archivi su server, web mail, calendari, rubrica, ecc.)
- Chat e Messenger
- Cloud Storage
- P2P
- Database
Esistono almeno 6 tipologie di file cancellati:
- Deleted: ovvero file che sono stati cancellati ma per i quali sono ancora presenti le informazioni nei metadati del file system (es. MFT o FAT) e i cui settori non sono ancora stati sovrascritti
- Orfani: file «Deleted» nei quali è stata sovrascritta l’informazione relativa alla cartella di provenienza
- Unallocated: file i cui riferimenti nei metadati del file system sono stati completamente sovrascritti da un nuovo file ma il cui contenuto è ancora totalmente disponibile (ovvero nessun settore è stato sovrascritto)
- Deleted Overwritten: file per i quali sono ancora presenti le informazioni nei metadati del file system (es. MFT o FAT) ma il cui contenuto è stato parzialmente sovrascritto
- Partially Overwritten: file i cui riferimenti nel file system sono stati completamente sovrascritti e i cui settori sono stati parzialmente sovrascritti
- Overwritten: file i cui riferimenti nel file system sono stati completamente sovrascritti e i cui settori sono stati completamente sovrascritti
- I risultati e le conclusioni dedotte devono essere presentate in forma facilmente comprensibile
- I destinatari (giudici, avvocati, amministratori) non hanno di solito competenze informatiche approfondite
- Tuttavia è probabile che la relazione venga esaminata da un tecnico della controparte
- Semplicità e chiarezza, non superficialità e approssimazione
- Informazioni generali del caso: lettera di incarico/nomina a C.T., quesiti posti, analisi degli atti o delle informazioni «a priori» note, ecc.
- Quesiti: quesiti posti dal committente (pubblico ministero, giudice, avvocato, manager, ecc.)
- Risultati: risposte ai quesiti posti in forma breve e con un dettaglio tecnico limitato e comprensibile
- Dettaglio dell’analisi: analisi tecnica che illustri la metodologia seguita, le evidenze rinvenute, gli strumenti utilizzati, ecc.
- Dettaglio dell’acquisizione: documentazione fotografica dei reperti, report di acquisizione generati dagli strumenti utilizzati, firme hash delle copie forensi, ecc.
- Allegati: estratti in formato digitale di interesse rispetto ai quesiti posti e citati nei risultati e/o nel dettaglio dell’analisi
- ambito
Le procedure per la gestione degli incidenti sono presenti in organizzazioni strutturate (aziende, pubblica amministrazione, militari)
- operatori Sistemisti, responsabili della sicurezza, HR, responsabili della comunicazione, sviluppatori ...
- obiettivo Minimizzare o meglio, prevenire, danni economici all’organizzazione
- ambito
Investigazioni e procedimenti legali civili e penali, sia per aziende sia per privati
- operatori Esperti nell’individuazione, conservazione ed analisi delle evidenze digitali di reato
- obiettivo Analizzare le evidenze digitali e fornire una descrizione tecnicamente ineccepibile di quanto accaduto
- Un Evento è una qualunque azione, automatica o manuale, eseguita da un sistema ed in qualche modo registrabile ed osservabile
- Un Incidente di Sicurezza è una violazione delle policy di sicurezza (o la minaccia che tale violazione stia per avvenire) Nella gestione degli incidenti occorre essere precisi e rigorosi. Quanto troveremo potrà essere portato in tribunale come prova ...
Eventi – Es.
- Sequenza di boot di un sistema
- Crash di un sistema
- Rilevazione di pacchetti malformati su una rete
- Uso NON autorizzato di privilegi di sistema
- Uso NON autorizzato di account utenti
- Esecuzione di codice malevolo
Intorno agli anni 80 alcuni tra i paesi più industrializzati si sono dotati di un apposito impianto legislativo per il computer crime
- USA, Counterfeit Access Device and Computer Fraud and Abuse (1984)
- Danimarca, legge n. 229 del 6 giugno 1985
- Norvegia, legge n. 54 del 12 giugno 1987
- Austria, legge n. 605 del 1987 (in vigore 1 marzo 1988)
- Grecia, legge n. 1805 del 30 agosto 1988
- Gran Bretagna, Computer Misure Act del 29 giugno 1990
L’introduzione delle nuove tecnologie è stata più graduale, così pure la creazione del nostro impianto legislativo. La legge cardine sul computer crime in Italia è la 547 del 1993, prima di essa vi erano stati solo alcuni interventi sporadici:
- Legge 18 maggio 1978 n. 191, introduzione dell’articolo 420 al c.p. per sanzionare l'attentato ad impianti di pubblica utilità tra cui gli impianti di elaborazione di dati
- Art. 12 della legge 5 luglio 1991 n. 197, punisce l'uso indebito di carte di credito
- Art. 10 del decreto legislativo n. 518 del 1992 che tutela penalmente una serie di condotte riassuntivamente definibili di "pirateria informatica"
Prima della legge n. 547 del 1993 la giurisprudenza tentava di ricondurre le nuove figure criminose a fattispecie tradizionali. Il problema non si poneva tanto in relazione alla parte fisica del sistema informatico (hardware), che poteva trovare facile riconoscimento nelle ipotesi classiche del danneggiamento, del furto, etc., quanto piuttosto, ed in primo luogo, per le truffe commesse attraverso l'elaboratore nonché per la tutelabilità del software e del complesso di dati ed informazioni contenute nel sistema informatico stesso. Es. l'art. 640 c.p. era stato ritenuto applicabile in un caso riguardante l'immissione nel computer dell'I.N.P.S. di dati non veritieri relativi a contributi in realtà non versati (Trib. Roma, 20 giugno 1984), ritenendosi, peraltro, che in tal modo fossero ingannati i dipendenti preposti al controllo del versamento dei contributi e all'esazione degli stessi, e non il computer.
Art. 615 ter Accesso abusivo ad un sistema informatico o telematico. (1-5 anni) se pubblico uff. o armato o se causa distruzione o danneggiamento del sistema.
Art. 615 quater Detenzione e diffusione abusiva di codici di accesso a sistemi informatici o telematici 1-2 anni multa da 5k a 10k EUR
Art. 615 quinquies Diffusione di programmi diretti a danneggiare o interrompere un sistema informatico
Art. 616 Violazione, sottrazione e soppressione di corrispondenza (sino ad un anno con multa da 30 a 500 euro, se viene rivelato il contenuto sino a 3 anni di carcere)
- Art. 617 quater Intercettazione, impedimento o interruzione illecita di comunicazioni informatiche o telematiche (da 6 mesi a 4 anni di carcere / da 1 a 5 anni di carcere)
- Art. 640 ter Frode informatica (da 1 a 5 anni di carcere e da 300 sino a 1.500 euro di multa)
- Riconoscimento e identificazione degli elementi di prova
- Documentazione della «scena del crimine»
- Acquisizione e conservazione delle evidenze
- Imballaggio e trasporto delle evidenze
‘Analisi Forense è la scienza che attiene l’individuazione, la raccolta, la conservazione, l'estrazione, l’analisi e la documentazione delle evidenze di reati digitali.
Queste evidenze devo essere:
- Ammissibili, per poter essere utilizzate in sede legale
- Autentiche, ovvero strettamente legate ai media digitali da cui sono state rilevate
- Complete, correlando tutte le informazioni possibili
- Affidabili, per non sollevare dubbi sulla loro autenticità
- Credibili, permettendo a chiunque di ricostruire il processo che ha portato alla loro rilevazione ottenendo gli stessi risultati
- Verificare che sia stato effettivamente compiuta un’attività malevola;
- Identificare il colpevole;
- Identificare il metodo e/o la vulnerabilità utilizzati per l’attività malevola;
- Condurre un assessment che permetta di comprendere l’accaduto ed il corretto perimetro. Per un corretto assessment è indispensabile che vi sia una corretta procedura di gestione degli incidenti, e che questa sia stata applicata. In caso contrario l’assessment risulterebbe inutile in quanto l’incidente non sarebbe “circoscrivibile in modo chiaro”;
- Raccogliere e conservare correttamente le evidenze al fine di poterle eventualmente utilizzare in un’azione giudiziaria;
Le Evidenze affinché abbiano valore probatorio devono rispettare i seguenti principi:
- Pertinenza al caso
- Accuratezza
- Autenticità
- Completezza
- Integrità
- Legalità
- In seguito ad un incidente informatico (di sicurezza o meno)
- Durante una causa legale in sede di perizia
- Durante le indagini (preliminari o meno) relative ad un reato: le indagini preliminari sono quelle richieste da un giudice per le indagini preliminari a periti, negli altri casi ricadono le indagini eseguite da periti incaricati ad esempio da una parte
Analisi forense a seguito di un incidente informatico In caso di incidente informatico vi sono numerosi fattori che giocano un ruolo fondamentale, per la corretta gestione dell’incidente:
- Riconoscimento dell’incidente informatico
- Gestione immediata. E’ fondamentale che in azienda ci sia un “Piano per la gestione degli incidenti” che definisca:
- Come comportarsi a fronte dell’incidente
- Chi contattare e come (es. sia internamente che verso l’esterno)
- Legale responsabile per l’azienda
- Procedura operativa per l’eventuale messa in sicurezza dei sistemi (se sotto attacco) e sulla preservazione delle evidenze
Metodologie di acquisizione Le metodologie si dividono in due macro tipologie:
- Dead Acquisition: riguarda l’acquisizione delle evidenze da sistemi spenti.
- Live Acquisition: riguarda l’acquisizione delle evidenze da sistemi accesi ed eventualmente in esercizio (es. server).
Questo tipo di acquisizione riguarda sistemi spenti e che dunque possono essere interfacciati via hardware allo scopo di copiarne i dati. Questo tipo di acquisizione può essere eseguito in due diverse modalità:
- Smontaggio dell’Hard Disk dalla macchina oggetto dell’analisi ed acquisizione di un’immagine raw collegandolo ad un PC tramite un write blocker con interfaccia USB o utilizzando appositi apparati per la copia;
- Avvio della macchina oggetto dell’analisi con un CD o chiavetta USB bootable (es. Deft) con installati software trusted di analisi forense. In questo caso è bene verificare le impostazioni di boot della macchina prima di eseguire la procedura.
In entrambi i casi descritti, questo tipo di acquisizione implica :
- La NON alterazione/scrittura sul disco da analizzare
- La NON alterazione dei dati durante l’acquisizione
- La dead acquisition implica ovviamente la perdita dei dati volatili !! (RAM, processi, connessioni di rete etc.)
Un sistema live è innanzitutto un sistema potenzialmente ancora sotto attacco, su tale sistema è possibile acquisire:
- Memoria RAM (processi, servizi, connessioni di rete ecc..)
- Immagine dei dischi
Attenzione !!! L’attività di acquisizione può essere eventualmente rilevata dell’attaccante nel caso in cui si operi su un sistema compromesso!