corso di informatica forense (a.a. 2013/2014) - profili metodologie investigative
Post on 01-Jul-2015
245 Views
Preview:
DESCRIPTION
TRANSCRIPT
CORSO DI INFORMATICA FORENSE – PROFILI E METODOLOGIE
INVESTIGATIVE di ALESSANDRO BONU
Alessandro Bonu
Corso di INFORMATICA FORENSE (A.A. 2013/2014)
Profili e metodologie investigative
DirICTo
Attività seminariale nell’ambito del Corso di Laurea Magistrale in Ingegneria delle Telecomunicazioni – insegnamento di Diritto dell’Informatica e delle Nuove Tecnologie (coordinamento delle attività a cura di Massimo Farina)
CORSO DI INFORMATICA FORENSE - PROFILI E METODOLOGIE INVESTIGATIVE
DI ALESSANDRO BONU
Agenda• Introduzione sui profili e metodologie
• Incarico e regole di ingaggio
• Acquisizione della prova
• Tutela della prova
• Metodologia di analisi
• Definizione di un profilo investigativo
• Conclusioni
CORSO DI INFORMATICA FORENSE - PROFILI E METODOLOGIE INVESTIGATIVE
DI ALESSANDRO BONU
JFFDF84U4R8FRJU493INFHJDEGWEUID8DH373E37WDBWDUDASKWOSOPFHF64RG4F8FNDFKWDJUDFFHFRYFUFR7HFIEDYE73BEFJNF57HJ484RHEFKEFJF8I8F83H2GDWMX42656E76656E75746921RYFUFG73ED82N8C6RF5QSM6OGT9NHJUE63VDTCF5SC3DWH6TE7GUF7YDHWIJFEHJV78HFUEFUR7CEFEJNIAXUQWU1WUFIDQ9HDWNQD89H374385T7ERYFEDY7D3787
JFFDF84U4R8FRJU493INFHJDEGWEUID8DH373E37WDBWDUDASKWOSOPFHF64RG4F8FNDFKWDJUDFFHFRYFUFR7HFIEDYE73BEFJNF57HJ484RHEFKEFJF8I8F83H2GDWMX42656E76656E75746921RYFUFG73ED82N8C6RF5QSM6OGT9NHJUE63VDTCF5SC3DWH6TE7GUF7YDHWIJFEHJV78HFUEFUR7CEFEJNIAXUQWU1WUFIDQ9HDWNQD89H374385T7ERYFEDY7D3787
B e n v e n u t i !
CORSO DI INFORMATICA FORENSE - PROFILI E METODOLOGIE INVESTIGATIVE
DI ALESSANDRO BONU
Perché?Per una semplice conversione in caratteri esadecimali della scritta:
42656E76656E75746921
«Benvenuti!»
Mascherato poi con altre «informazioni» simili..
CORSO DI INFORMATICA FORENSE - PROFILI E METODOLOGIE INVESTIGATIVE
DI ALESSANDRO BONU
Ma se cambiamo qualcosa?
• 53767F87767F86857032
+ 1 alfanumerico = 42656E76656E75746921
• xxxxxxxxxxxxxxxxxxxxxxxx - n lettere e numeri = 42656E76656E75746921
• xxxxxxxxxxxxxxxxxxxxxxxx + n caratteri e - n numeri = 42656E76656E75746921
• xxxxxxxxxxxxxxxxxxxxxxxx + n numeri e - n lettere = 42656E76656E75746921
• xxxxxxxxxxxxxxxxxxxxxxxx x n numeri e +/-n caratteri = 42656E76656E75746921
• E così via! La variante che vorremmo aggiungere sarà la nostra chiave di lettura che si aggiungerà ad un primo livello di occultamento in questo caso esadecimale.
CORSO DI INFORMATICA FORENSE - PROFILI E METODOLOGIE INVESTIGATIVE
DI ALESSANDRO BONU
Metodologia forense
• Fondamentale è sapere che comportamenti errati
possono invalidare la prova in fase di dibattimento;
• L’esperienza insegna: evitare errori noti
focalizzare le attività su metodologie consolidate e standardizzate;
• L’utilizzo di metodi comuni: consente ai periti della contro parte di verificare i risultati di indagine in
maniera più agevole e incontrovertibile..
o Sia in sede di indagine;
o Sia in sede di dibattimento;
• Il «metodo» consente di sveltire le fasi più noiose e ripetitive, ma ciascun
forenser avrà modo di esprimersi e dimostrare la propria competenza.
CORSO DI INFORMATICA FORENSE - PROFILI E METODOLOGIE INVESTIGATIVE
DI ALESSANDRO BONU
Profilo informatico
Insieme di funzionalità, strumenti e
contenuti attribuiti ad un utente e riferiti ad
uno specifico contesto operativo
cos’è un profilo
CORSO DI INFORMATICA FORENSE - PROFILI E METODOLOGIE INVESTIGATIVE
DI ALESSANDRO BONU
Profili Windows
Area di sistema dedicata, in un contesto multiutente
CORSO DI INFORMATICA FORENSE - PROFILI E METODOLOGIE INVESTIGATIVE
DI ALESSANDRO BONU
Profili Linux
Area di sistema dedicata, in un contesto multiutente
CORSO DI INFORMATICA FORENSE - PROFILI E METODOLOGIE INVESTIGATIVE
DI ALESSANDRO BONU
Profili social
I dati (dei profili) non risiedono localmente ma sulla rete,questo potrebbe complicare le operazioni di indagine.
CORSO DI INFORMATICA FORENSE - PROFILI E METODOLOGIE INVESTIGATIVE
DI ALESSANDRO BONU
Profili in ambito CF (Computer Forensics)
• Profilo del forenser:
Competenze tecniche;
Calato sul caso specifico (specificità);
Metodi operativi comuni;
Allestimento di un laboratorio operativo ad hoc.
• Profilo del soggetto investigato:
Attitudini e comportamenti;
Ambiente operativo su cui opera (profili informatici);
Informazioni utili all’indagine.
CORSO DI INFORMATICA FORENSE - PROFILI E METODOLOGIE INVESTIGATIVE
DI ALESSANDRO BONU
Aspetti preliminari
• Competenze e aspetti tecnici da conoscere bene: modus operandi
una buona base (skill), in contesto di routine;
soggettivo, per ciascun forenser ma sempre con le opportune garanzie.
• Capire, in sede di indagine, aspetti comportamentali del soggetto indagato
che serviranno a focalizzare meglio gli obiettivi da raggiungere.
• Definire una strategia operativa (profilo investigativo) mirata a soddisfare
in modo esaustivo i questi oggetto di incarico e
ai quali ci si dovrà attenere scrupolosamente!
CORSO DI INFORMATICA FORENSE - PROFILI E METODOLOGIE INVESTIGATIVE
DI ALESSANDRO BONU
Profili investigativi e aree di riferimento
• Computer Forensics;
• Network Forensics;
• Mobile Forensics;
• Embedded System Forensics;
• Software Forensics.
CORSO DI INFORMATICA FORENSE - PROFILI E METODOLOGIE INVESTIGATIVE
DI ALESSANDRO BONU
Elementi trasversali alle aree specifiche
• Acquisizione dei reperti:
Sequestro fisico o logico.
• Trasporto dei reperti:
Imballo dei reperti e sigillo dei reperti.
• Catena di custodia:
Garanzie di tutela della prova originale.
acquisizione
Tras
por
to
cus todia
CORSO DI INFORMATICA FORENSE - PROFILI E METODOLOGIE INVESTIGATIVE
DI ALESSANDRO BONU
Computer Forensics (CF)
”l’analisi di dispositivi informatici quali personal computer, server,
sistemi virtuali, memorie di massa, ecc..
utili all'individuazione, la conservazione, la protezione,
l'estrazione, la documentazione, l'impiego ed ogni altra forma
di trattamento del dato informatico al fine di essere valutato in
un processo giuridico”
CORSO DI INFORMATICA FORENSE - PROFILI E METODOLOGIE INVESTIGATIVE
DI ALESSANDRO BONU
Network Forensics
”l’analisi di apparati e sistemi di rete di rete, senza tralasciare
Internet, utili all'individuazione, la conservazione, la protezione,
l'estrazione, la documentazione, l'impiego ed ogni altra forma
di trattamento del dato informatico al fine di essere valutato in
un processo giuridico”
CORSO DI INFORMATICA FORENSE - PROFILI E METODOLOGIE INVESTIGATIVE
DI ALESSANDRO BONU
Mobile Forensics
”l’analisi di dispositivi mobili quali cellulari, i-Pod, sistemi di
comunicazione wireless, telefoni satellitari, ecc..
Utili all'individuazione, la conservazione, la protezione,
l'estrazione, la documentazione, l'impiego ed ogni altra forma
di trattamento del dato informatico al fine di essere valutato in
un processo giuridico”
CORSO DI INFORMATICA FORENSE - PROFILI E METODOLOGIE INVESTIGATIVE
DI ALESSANDRO BONU
Embedded System Forensics
”l’analisi di sistemi digitali dotati di CPU (es. i giochi), anche creati
talvolta artigianalmente o partendo da una base (es. arduino),
ecc.. utili all'individuazione, la conservazione, la protezione,
l'estrazione, la documentazione, l'impiego ed ogni altra forma
di trattamento del dato informatico al fine di essere valutato in
un processo giuridico”
CORSO DI INFORMATICA FORENSE - PROFILI E METODOLOGIE INVESTIGATIVE
DI ALESSANDRO BONU
Software Forensics
”Tools e strumenti software adeguati (secondo degli standard
riconosciuti) e necessari all'individuazione, la conservazione, la
protezione, l'estrazione, la documentazione, l'impiego ed ogni
altra forma di trattamento del dato informatico al fine di essere
valutato in un processo giuridico”
CORSO DI INFORMATICA FORENSE - PROFILI E METODOLOGIE INVESTIGATIVE
DI ALESSANDRO BONU
Ma quali software?
• Open Source o Software commerciale? ..eterno dilemma!
• Inevitabilmente saranno entrambi oggetto di utilizzo:
modalità operative di ciascun forenser;
in alcuni ambiti alcuni sono superiori ad altri;
i costi di licenza;
disponibilità dei sorgenti, per gli open source, questo può essere importante
per vagliare le funzionalità del software nello specifico in relazione
ai risultati ottenuti.
CORSO DI INFORMATICA FORENSE - PROFILI E METODOLOGIE INVESTIGATIVE
DI ALESSANDRO BONU
Dove di concentra l’indagine nella CF
• Memorie di massa (Disk Forensics)
HD, CD, DVD, USB, SSD, Nastri, ecc..
• Memorie volatili (Memory Forensics)
RAM
CORSO DI INFORMATICA FORENSE - PROFILI E METODOLOGIE INVESTIGATIVE
DI ALESSANDRO BONU
I passi comuni che identificano la CF
• Identificazione dei reperti utili;
• Acquisizione e trasporto delle prove;
• Analisi della copia forense (prove acquisite);
• Refertazione dettagliata dei risultati;
• Presentazione delle evidenze in sede processuale;
esistono altre fasi ma che si applicano a casi e situazioni specifiche
queste sono quelle sempre presenti in un profilo di indagine
CORSO DI INFORMATICA FORENSE - PROFILI E METODOLOGIE INVESTIGATIVE
DI ALESSANDRO BONU
Identificazione dei reperti
• Specificità in relazione al caso per il quale si opera;
• Identificazione del tipo di supporto (magnetico, ottico, elettronico, ..);
• Identificazione delle interfacce delle memorie di massa;
• Conoscenza delle funzionalità dei BIOS;
• Sistema Operativo utilizzato;
• Tipologia del File System;
• Altre condizioni particolari da valutare:
(ibernazione/sospensione del sistema).
CORSO DI INFORMATICA FORENSE - PROFILI E METODOLOGIE INVESTIGATIVE
DI ALESSANDRO BONU
Catena di custodia• La catena di custodia è un documento che contiene informazioni e dettagli
in merito alla prova originale e con le copie forensi realizzate e «firmate», a partire dall'acquisizione fino ad arrivare al giorno del processo.
• Vediamone alcuni aspetti:
Attribuire un ID al caso;
Chi è incaricato dell'investigazione;
Descrizione del caso;
Incaricato della duplicazione dei dati;
Data e ora di inizio custodia;
Luogo in cui il supporto è stato rinvenuto;
Produttore del supporto;
Modello del supporto;
Numero di serie del supporto.
CORSO DI INFORMATICA FORENSE - PROFILI E METODOLOGIE INVESTIGATIVE
DI ALESSANDRO BONU
Copia forense
La copia autenticata dei dati, deve essere eseguita adottando criteri e
misure atte a garantire e salvaguardare il dato originale e impedirne
l’alterazione: errori in questa fase si ripercuotono sulle fasi successive
• Procedure forensi riconosciute;
• Tool specifici, validi e riconosciuti;
• Gestione degli errori, individuazione e documentazione;
• Verbalizzazione e documentazione in dettaglio;
• Firma/Sigillo elettronico (hash) e read-only.
CORSO DI INFORMATICA FORENSE - PROFILI E METODOLOGIE INVESTIGATIVE
DI ALESSANDRO BONU
L’analisi
• Orientata possibilmente alla copia forense:
non sempre risulta possibile in quanto alcune attività devono essere fatte
direttamente sui reperti;
• Rilevazioni delle informazioni:
quelle utili all’indagine;
• In questa fase si rilevano comportamenti e attitudini (profili) dei soggetti
oggetto di indagine, (vedi caso).
Un caso, personalmente trattato, recita di una persona accusata di
distribuzione di materiale pedopornografico. Venne identificato e sequestrato il
computer del soggetto indiziato e durante le procedure di analisi della copia forense
emersero evidenti dati oggetto di accusa.
Nella fase preliminare di indagine per questo caso furono inserite delle "esche" in rete,
da parte di infiltrati della polizia postale e le stesse vennero rinvenute in fase di analisi.
Unica «attenuante» in sede di refertazione fu il fatto che l'ingente quantitativo di
materiale oggetto di accusa risiedeva palesemente in un'area di download non
organizzata e assieme a tanti altri dati di varia natura e senza il minimo criterio di
custodia o gestione. Questa profilazione fu specificata in sede di refertazione,
presupponendo che dal modus operandi rilevato, il soggetto non era predisposto in
qualche modo alla distribuzione organizzata del materiale incriminato.
CORSO DI INFORMATICA FORENSE - PROFILI E METODOLOGIE INVESTIGATIVE
DI ALESSANDRO BONU
Attività in sede di analisi
• L’analisi implica una vasta serie di attività:
Informazioni a fini decisionali;
Informazioni utili al posizionamento (geografico) di un utente, di un reperto;
Individuazioni di informazioni temporali, date e variazioni delle stesse;
Identificazione di utenti, per capire chi ha operato;
Rilevazioni di password e cracking per accedere ad aree riservate;
Investigazione trasversale su diversi reperti per determinare e incrociare
elementi utili ai fini dell’indagine;
Ripristino di dati (data-recovery), cancellati o occultati .
CORSO DI INFORMATICA FORENSE - PROFILI E METODOLOGIE INVESTIGATIVE
DI ALESSANDRO BONU
Refertazione
• Attività determinante in quanto il risultato dell’attività investigativa è un
oggetto documentale;
• Chi lo scrive è un tecnico specializzato;
• Chi lo legge:
Atri tecnici: CTU, CTP;
Legali: Giudice, PM, Avvocati;
Altri organi investigativi;
• Presentazione in sede di dibattimento.
CORSO DI INFORMATICA FORENSE - PROFILI E METODOLOGIE INVESTIGATIVE
DI ALESSANDRO BONU
Presentazione in sede processuale
• Chi deve convincere:
Un Giudice;
• Chi deve capire di cosa si parla:
La parte;
• Chi deve scoraggiare:
La controparte, nell’obbiettare le nostre evidenze che dovranno apparire
incontrovertibili.
CORSO DI INFORMATICA FORENSE - PROFILI E METODOLOGIE INVESTIGATIVE
DI ALESSANDRO BONU
L’approccio
• Non esiste una regola generale nel metodo di indagine se non per alcune
fasi comuni, fondamentale è ridurre al minimo rischi ed errori;
• Operare nel contesto della computer forensics richiede elevate
conoscenze informatiche congiunte a buone capacità di analisi,
osservazione e pazienza;
• Le metodologie di base rimangono sempre costanti, ma le tecnologie che
permettono l'acquisizione e l'analisi sono in continua evoluzione;
• Nelle attività di indagine troviamo essenzialmente due casistiche:
• Il computer è il mezzo usato per compiere un’azione criminosa;
• Il computer è a sua volta vittima di un crimine.
CORSO DI INFORMATICA FORENSE - PROFILI E METODOLOGIE INVESTIGATIVE
DI ALESSANDRO BONU
incarico e regole di ingaggio
CORSO DI INFORMATICA FORENSE - PROFILI E METODOLOGIE INVESTIGATIVE
DI ALESSANDRO BONU
Le regole di ingaggio CTU
• Le regole consistono in quesiti specifici emanati dal
magistrato in relazione ad un caso specifico e che delineano
circostanze e limiti entro i quali il CTU dovrà operare nel
corso dell’attività di indagine.
• Obbiettivo di tale attività investigativa è pertanto dare
risposta esaustiva e circostanziata ai quesiti oggetto di
incarico.
CORSO DI INFORMATICA FORENSE - PROFILI E METODOLOGIE INVESTIGATIVE
DI ALESSANDRO BONU
Modalità di ingaggio
• Modalità di incarico e valutazione di fattibilità:
• In relazione a competenze;
• formulazione dei quesiti da parte del magistrato.
• Acquisizione formale dell’incarico:
• tempistiche e modalità di consegna della relazione;
• modalità di acquisizione del materiale oggetto di esame.
• Rispetto delle regole durante i lavori:
• elementi estranei devono essere assolutamente ignorati.
• Relazioni chiarificatrici su richiesta delle parti:
• relazione scritta a corredo della precedente;
• in sede di processo, con linguaggio “semplice”.
CORSO DI INFORMATICA FORENSE - PROFILI E METODOLOGIE INVESTIGATIVE
DI ALESSANDRO BONU
Determinazione dei rischi
• Inalterabilità della prova originale:
dovrebbe essere ripetibile, non sempre è così.
• «errare humanum est», questo potrebbe determinare un
incidente probatorio e invalidare la prova;
• L’esperienza insegna.. casi pregressi;
casi di studio e documentati.
• Decisamente ridotti dalla competenza in materia;
• Valutare il rispetto della privacy nelle varie fasi operative.
CORSO DI INFORMATICA FORENSE - PROFILI E METODOLOGIE INVESTIGATIVE
DI ALESSANDRO BONU
Acquisizione della prova
CORSO DI INFORMATICA FORENSE - PROFILI E METODOLOGIE INVESTIGATIVE
DI ALESSANDRO BONU
Acquisizione delle prove
• Sequestro fisico del reperto;
• Sequestro logico con relativa copia forense nelle
seguenti modalità:
Dead : computer spento;
Live : computer acceso.
• Intercettazione del dato:
Il dato viene acquisito durante la sua trasmissione.
CORSO DI INFORMATICA FORENSE - PROFILI E METODOLOGIE INVESTIGATIVE
DI ALESSANDRO BONU
Modalità di acquisizione del reperto/prova
• Ritiro in sede di incarico e redazione di apposito verbale di
consegna.
• Consegna da parte della PG presso la sede legale del CTU.
• Acquisizione diretta, con idonea autorizzazione del
magistrato, presso la sede in cui si trova il materiale utile
all’indagine.
CORSO DI INFORMATICA FORENSE - PROFILI E METODOLOGIE INVESTIGATIVE
DI ALESSANDRO BONU
Acquisizione in sede di incarico
• Materiale cartaceo:
attinente all’attività investigativa;
verbale di consegna sottoscritto dalle parti.
• Apparati /supporti informatici già sequestrati:
apparati catalogati e off-line;
verifica dello stato dei reperti e riscontro dei dettagli acquisiti
in sede di sequestro;
verbale di consegna sottoscritto dalle parti.
CORSO DI INFORMATICA FORENSE - PROFILI E METODOLOGIE INVESTIGATIVE
DI ALESSANDRO BONU
Acquisizione presso la sede legale del CTU
• Incaricati da parte del tribunale:
Polizia Giudiziaria;
altri incaricati dal magistrato.
• Modalità di trasporto e custodia del materiale /reperti in consegna:
verifica dello stato dei reperti e riscontro dei dettagli acquisiti;
in sede di sequestro: sigilli.
• Verifica e riscontro dei reperti,
verbale di consegna sottoscritto dalle parti.
CORSO DI INFORMATICA FORENSE - PROFILI E METODOLOGIE INVESTIGATIVE
DI ALESSANDRO BONU
Acquisizione diretta da parte del CTU
• Idonea autorizzazione del magistrato da esibire in sede di sequestro;
• Valutazione delle modalità di acquisizione in caso per esempio di apparati
in modalità LIVE;
• Inventario dettagliato delle singole parti interessanti per l’indagine:
(catena di custodia);
• Apposizione dei imballi e sigilli di garanzia per la fase di trasporto dei
reperti;
• Verbale di consegna e sottoscrizione tra le parti di quanto acquisito.
CORSO DI INFORMATICA FORENSE - PROFILI E METODOLOGIE INVESTIGATIVE
DI ALESSANDRO BONU
Acquisizione: DEAD
• Una volta identificati i reperti, ad esempio un personal
computer (spento) si procede in genere a:
Estrarre dispositivi floppy disk in esso contenuti;
Estrarre i cd rom utilizzando l’apposito foro;
Estrarre eventuali supporti di memoria (USB);
Identificazione del numero e delle caratteristiche tecniche dei
device di memoria presenti nel computer.
CORSO DI INFORMATICA FORENSE - PROFILI E METODOLOGIE INVESTIGATIVE
DI ALESSANDRO BONU
Acquisizione: LIVE e priorità• Non sempre i reperti da acquisire possono essere delocalizzati;
• In taluni casi è pertanto necessario procedere all’acquisizione dai componenti con volatilità più alta:
• Memoria RAM;• Memoria di swap;• Processi di rete;• Processi di sistema.
• La RAM risulta essere più volatile in quanto vengono effettuati continuamente accessi.
• La memoria di swap ha una priorità inferiore ma comunque alta dato che è usata per lo swap delle pagine della memoria.
• I processi di rete e sistema hanno un tempo di vita che dipende dal tipo di operazioni che il processo deve effettuare.
• I dati sul disco hanno una volatilità molto bassa in quanto persistono anche ad un riavvio del computer.
CORSO DI INFORMATICA FORENSE - PROFILI E METODOLOGIE INVESTIGATIVE
DI ALESSANDRO BONU
Dati in RAM• Disribuzioni LIVE:
Helix, Caine, BackTrack, ecc..
pensate per funzionare unicamente su RAM, pertanto uno spegnimento
determina una perdita completa del contenuto della memoria e delle
informazioni/attività in essa contenute.
• DUMP della RAM, operazione irripetibile:
L’utilizzo del programma, che consente questa attività, determina una
necessaria modifica del contenuto della memoria.
• Dati presenti in cache:
Esistono dei tool che forzano la sincronizzazione su disco, in questo caso
comunque ci sarebbero variazioni dei dati ma sempre inferiori ad un shutdown
regolare.
CORSO DI INFORMATICA FORENSE - PROFILI E METODOLOGIE INVESTIGATIVE
DI ALESSANDRO BONU
Dove e cosa cercare..
• Dopo l’acquisizione la nostra attenzione dovrà concentrarsi principalmente su tutta una serie di dati che potrebbero contenere informazioni utili all’indagine: Dati volatili; File di swap; File logici; File di registro delle configurazioni; E-mail; Log delle applicazioni e di sicurezza; File temporanei; Log di sistema; Spazio libero; Cache del browser; History file; File cancellati.
CORSO DI INFORMATICA FORENSE - PROFILI E METODOLOGIE INVESTIGATIVE
DI ALESSANDRO BONU
Stato del reperto /prova
“La preservazione dello stato della prova assume una rilevanza
fondamentale ai fini dell’utilizzabilità della stessa in sede di
giudizio. Per questo motivo si deve evitare che le prove raccolte
subiscano modificazioni idonee ad alterarne la genuinità.”
• Fondamentale è pertanto preservare lo stato della prova di:
Supporti non modificabili, ma comunque non esenti da problematiche legate a fattori ambientali;
Supporti modificabili, da gestire con molta cautela;
Conservazione logica e fisica.
CORSO DI INFORMATICA FORENSE - PROFILI E METODOLOGIE INVESTIGATIVE
DI ALESSANDRO BONU
Incidente probatorio
Dall’analisi della prova dipende l’esito dell’indagine, pertanto la stessa non dovrà in alcun modo subire
nessun tipo di manomissione/alterazione
CORSO DI INFORMATICA FORENSE - PROFILI E METODOLOGIE INVESTIGATIVE
DI ALESSANDRO BONU
La conservazione della prova
• Protezione da cariche elettrostatiche:
Utilizzo di materiali appositi di imballo per prevenire questi problemi.
• Protezione da urti:
Utilizzo di contenitori adeguati e con opportuno imballo.
• Evitare le manomissioni:
Apposizione di sigilli che permettano di verificare eventuali
manomissioni.
Un caso recita di una spia all’interno di un laboratorio di ricerca. Dalle
ricerche venne individuato un PC dal quale venivano scaricate le informazioni
oggetto di indagine. Il PC, dopo essere stato fotografato anche nelle sue
parti interne, venne preso in custodia da una persona di fiducia per il
trasporto verso il laboratorio di analisi.
Quando il PC venne aperto apparve chiaro che il disco rigido era nuovo e non
ricoperto di polvere come il resto dei componenti. Durante il tragitto in treno,
si evidenziò che l’unico momento in cui il PC è rimasto incustodito è stato
durante il pranzo in vagone ristorante. Pertanto è stata individuata come
finestra temporale utile alla sostituzione del device. I sigilli in questo caso
avrebbero evidenziato la manomissione del reperto.
CORSO DI INFORMATICA FORENSE - PROFILI E METODOLOGIE INVESTIGATIVE
DI ALESSANDRO BONU
La ricerca della prov
CORSO DI INFORMATICA FORENSE - PROFILI E METODOLOGIE INVESTIGATIVE
DI ALESSANDRO BONU
Dove si trova il dato?
• Sembra banale ma la prima cosa da capire è dove si trova il dato
oggetto di indagine;
• Celare piccoli dispositivi è semplicissimo e anche in fase di
sequestro qualcosa può sfuggire;
• A questo si aggiunga il fatto che all’interno degli stessi dispositivi i
dati potrebbero essere celati utilizzando anche tecniche particolari
(es. steganografia).
Un caso recita di una persona accusata di distribuzione di materiale
pedopornografico. Venne identificato e sequestrato il computer del soggetto
indiziato e si lavorò a lungo per cercare le prove per le quali venne accusato. Si poté
evidenziare il fatto che non ci fossero tracce alcune del materiale indiziato. Si
evidenziò che sul sistema però venivano adoperate, con perizia, operazioni di
routine di pulizie di cache, file temporanei e recenti, inoltre la cancellazione
avveniva non nella modalità classica ma con un deleter sicuro a più passaggi.
I dati rilevanti ai fini dell'indagine furono alla fine due: URL riferite a siti di pedofilia e
tracce su registry sull'utilizzo di un hard disk esterno che però non fu rinvenuto in
sede di perquisizione. Il caso venne archiviato ma il rinvenimento del predetto
device avrebbe molto probabilmente fornito elementi utili ai fini dell'indagine.
CORSO DI INFORMATICA FORENSE - PROFILI E METODOLOGIE INVESTIGATIVE
DI ALESSANDRO BONU
Occultamento dei dati
• Intenzioni malevole: scrittura malware, diffusione di segreti a danno di terzi, ecc..;
• Intenzioni benevole/lecite
segretezza di dati in ambito privato/lavorativo, ecc..;
• Alcune tecniche.. Critografia:
o tecnica di rappresentazione di un messaggio in una forma tale che l’informazione in essa contenuta possa essere recepita solo dal destinatario.
Steganografia:
o tecnica che si prefigge di nascondere la comunicazione tra due o più interlocutori.
CORSO DI INFORMATICA FORENSE - PROFILI E METODOLOGIE INVESTIGATIVE
DI ALESSANDRO BONU
Occultamento logico
benvenuti nel corso di Computer Forensics
..una normale immagine, apparentemente!
CORSO DI INFORMATICA FORENSE - PROFILI E METODOLOGIE INVESTIGATIVE
DI ALESSANDRO BONU
Occultamento fisico
• E’ di rilevante importanza che la parte indagata non sospetti
un eventuale provvedimento a suo carico: perché??
A quanti verrebbe in mente di guardare una ferita?
CORSO DI INFORMATICA FORENSE - PROFILI E METODOLOGIE INVESTIGATIVE
DI ALESSANDRO BONU
Dove focalizzare l’attenzione
• Di norma i dispositivi oggetto di analisi sono:
Lettori multimediali;
HD esterni;
Supporti USB;
Smartphone;
NAS;
Stampanti
Altri dispositivi in grado di memorizzare dati.
CORSO DI INFORMATICA FORENSE - PROFILI E METODOLOGIE INVESTIGATIVE
DI ALESSANDRO BONU
E’ sempre possibile sequestrare i reperti?
CORSO DI INFORMATICA FORENSE - PROFILI E METODOLOGIE INVESTIGATIVE
DI ALESSANDRO BONU
Alcune considerazioni..
• Nella fase del sequestro occorre attenersi a quanto recitano le disposizioni
di legge “..l’autorità giudiziaria acquisisce il corpo del reato o le cose
pertinenti necessarie per l’accertamento dei fatti..”.
• Troppo spesso accade che nel compimento di suddette operazioni,
vengano acquisiti reperti che al fine probatorio risultano inutili.
• Opportuno è pertanto attenersi sempre al caso specifico e valutare
attentamente il profilo del destinatario del provvedimento, sia perché lo
stesso non venga sottovalutato ma soprattutto perché non venga messo in
condizioni tali da limitare l’utilizzo di strumenti utili in ambito
aziendale/lavorativo e non a fine probatorio.
CORSO DI INFORMATICA FORENSE - PROFILI E METODOLOGIE INVESTIGATIVE
DI ALESSANDRO BONU
La copia forense
• La duplicazione del dato dev’essere tale da non poter essere contestata.
• La duplicazione deve essere 1:1 rispetto al supporto oggetto di indagine e
ricrearne uno identico a livello logico sul quale operare.
• Questo comporta che l’intero device venga replicato, comprendendo
struttura e spazio libero dello stesso.
• Lo spazio impegnato del dispositivo logico, sarà pertanto uguale al
dispositivo fisico a prescindere dall’effettiva quantità di informazioni
contenute.
CORSO DI INFORMATICA FORENSE - PROFILI E METODOLOGIE INVESTIGATIVE
DI ALESSANDRO BONU
Validazione della copia forense
• Operazione fondamentale è validare la copia logica confrontandola
con l’originale:
Tra le due deve esserci perfetta corrispondenza.
• La validazione può essere eseguita attraverso programmi di hash
come l’MD5 e SHA1 i quali applicano una funzione non invertibile
ed atta alla trasformazione di un testo di lunghezza arbitraria in una
stringa di lunghezza fissata.
• Il risultato dell'hash viene visto come una sorta di impronta digitale
dell’evidenza, esso si definisce anche “valore di hash”.
CORSO DI INFORMATICA FORENSE - PROFILI E METODOLOGIE INVESTIGATIVE
DI ALESSANDRO BONU
Software e hardware da utilizzare
• Sul mercato sono disponibili diversi software che consentono di effettuare
la copia bit-a-bit di un supporto di memoria:
Dispositivi HW ad hoc, con dei limiti:
o Tecnologia specifica;
o Singoli dischi (raid?).
Software specializzati (es.dd, semplice e in grado si essere mostrato a
livello di file sorgente).
• Ideale, dotarsi di workstation forense con le interfacce più utilizzate sul
mercato.
CORSO DI INFORMATICA FORENSE - PROFILI E METODOLOGIE INVESTIGATIVE
DI ALESSANDRO BONU
Write Blocker
• Garantisce un blocco dell’accesso in scrittura per mantenere l’integrità
della prova: read-only;
• Esistono due differenti metodologie per garantire il write blocking:
Write blocker software:
o Agisce sull’operazione di «mounting» del disco da parte del
sistema operativo.
Write blocker hardware;
o dispositivo fisico che viene posto tra l’hard disk e la macchina di
acquisizione forense. Questi dispositivi sono anche più
comprensibili per interlocutori non tecnici.
CORSO DI INFORMATICA FORENSE - PROFILI E METODOLOGIE INVESTIGATIVE
DI ALESSANDRO BONU
Write Blocker hardware
CORSO DI INFORMATICA FORENSE - PROFILI E METODOLOGIE INVESTIGATIVE
DI ALESSANDRO BONU
Intercettazione del dato
• Definire i target e non acquisire dati indiscriminatamente pena:
Violazione della legge;
Perdita di tempo;
Mancanza degli obbiettivi oggetto di indagine.
• Problemi legati alla connessione in rete (span port):
Il target è l’amministratore di sistema;
Lo switch è troppo esposto ed in evidenza;
Lo switch non dispone delle funzionalità necessarie a monitorare il traffico
• «Man in the middle»:
Impossibilità di raggiungere lo switch;
Deviazione del traffico di rete A > B = A > C > B
CORSO DI INFORMATICA FORENSE - PROFILI E METODOLOGIE INVESTIGATIVE
DI ALESSANDRO BONU
Man in the middle
CORSO DI INFORMATICA FORENSE - PROFILI E METODOLOGIE INVESTIGATIVE
DI ALESSANDRO BONU
Relazione tecnica• Sintetica: dato che non necessita di riportare eccessivi particolari tecnici
dell’analisi ma solo ciò che interessa dal punto di vista giuridico.
• Semplificata: colui che legge e valuta l’esito è di principio un fruitore
inesperto nel settore informatico e quindi, nell’ipotesi che sia possibile,
bisogna eliminare terminologie non consuete e spiegare a livello
elementare quanto rilevato.
• Asettica: non deve contenere giudizi personali dell’operatore né tanto
meno valutazioni legali sulle informazioni rilevate a meno che tali
considerazioni non siano state espressamente richieste e inerenti
all’indagine.
CORSO DI INFORMATICA FORENSE - PROFILI E METODOLOGIE INVESTIGATIVE
DI ALESSANDRO BONU
Conclusioni
Alcune considerazioni che potremo fare in merito alle
metodologie e i profili di indagine è che al di là degli aspetti
puramente tecnici e specialistici, che richiedono comunque
una adeguata competenza, occorre valutare con attenzione
un attento approccio metodologico e calato di volta in volta al
caso di indagine specifico. Metodologia che deve poi astrarre
le sole informazioni atte a dare risposta a quesiti ben precisi e
delineati in sede di incarico. Tutto il resto è noia!
CORSO DI INFORMATICA FORENSE - PROFILI E METODOLOGIE INVESTIGATIVE
DI ALESSANDRO BONU
Grazie per l’attenzione!
alessandro.bonu@gmail.com
it.linkedin.com/in/abonu
CORSO DI INFORMATICA FORENSE - PROFILI E METODOLOGIE INVESTIGATIVE
DI ALESSANDRO BONU66
LICENZAAttribuzione - Non Commerciale - Condividi allo stesso modo 2.5
Tu sei libero: di riprodurre, distribuire, comunicare al pubblico, esporre in pubblico, rappresentare,
eseguire o recitare l'opera di creare opere derivate Alle seguenti condizioni:
Attribuzione. Devi riconoscere il contributo dell'autore originario. Non commerciale. Non puoi usare quest’opera per scopi commerciali. Condividi allo stesso modo. Se alteri, trasformi o sviluppi quest’opera, puoi
distribuire l’opera risultante solo per mezzo di una licenza identica a questa. In occasione di ogni atto di riutilizzazione o distribuzione, devi chiarire agli altri i termini
della licenza di quest’opera. Se ottieni il permesso dal titolare del diritto d'autore, è possibile rinunciare ad ognuna di
queste condizioni. Le tue utilizzazioni libere e gli altri diritti non sono in nessun modo limitati da quanto sopra
top related