LA PROVA INFORMATICA LA PROVA INFORMATICA NEL PROCESSO PENALENEL PROCESSO PENALE
Aspetti Tecnici e GiuridiciAspetti Tecnici e GiuridiciIvrea 4 maggio 2007Ivrea 4 maggio 2007
Seminari di Diritto Penale dell'InformaticaSeminari di Diritto Penale dell'InformaticaOsservatorio CSIG Ivrea & Camera Penale Vittorio ChiusanoOsservatorio CSIG Ivrea & Camera Penale Vittorio Chiusano
Denis FratiDenis Frati
LA PROVA INFORMATICA NEL PROCESSO PENALE LA PROVA INFORMATICA NEL PROCESSO PENALE Aspetti Tecnici e Giuridici Ivrea 4 maggio 2007Aspetti Tecnici e Giuridici Ivrea 4 maggio 2007
Denis FratiDenis Frati
In principio:
La casistica correlata all'acquisizione e all'analisi di prove digitali era limitata (1nni 7080) a reati prettamente informatici, ovvero dove il computer rappresentava il tramite attraverso cui commettere il reato o il target stesso dell'azione criminosa.
LA PROVA INFORMATICA NEL PROCESSO PENALE LA PROVA INFORMATICA NEL PROCESSO PENALE Aspetti Tecnici e Giuridici Ivrea 4 maggio 2007Aspetti Tecnici e Giuridici Ivrea 4 maggio 2007
Denis FratiDenis Frati
Attualmente:
I dispositivi elettronici/digitali hanno avuto diffusione di massa, divenendo compendio della vita quotidiana.Il loro utilizzo, non più legato al solo ambito informatico, implica la presenza di informazioni digitali, rilevanti ai fini dell'indagine, sulla scena di crimini comuni, in quanto dispositivi usati dall'autore del reato nella organizzazione/realizzazione dell'atto criminoso e/o dalla vittima.
LA PROVA INFORMATICA NEL PROCESSO PENALE LA PROVA INFORMATICA NEL PROCESSO PENALE Aspetti Tecnici e Giuridici Ivrea 4 maggio 2007Aspetti Tecnici e Giuridici Ivrea 4 maggio 2007
Denis FratiDenis Frati
sarà possibile
individuare
sulla scena del crimine
LA PROVA INFORMATICA NEL PROCESSO PENALE LA PROVA INFORMATICA NEL PROCESSO PENALE Aspetti Tecnici e Giuridici Ivrea 4 maggio 2007Aspetti Tecnici e Giuridici Ivrea 4 maggio 2007
Denis FratiDenis Frati
Definizione “Prova digitale”:
“Qualsiasi informazione, con valore probatorio, che sia o memorizzata o trasmessa in un formato digitale”
(Scientific Working Group on Digital Evidence, 1998)
L'informazione digitale è l'unica interpretabile da dispositivi elettronico/digitali, in quanto rappresentazione nel linguaggio binario, composto da 1 (uno) e 0 (zero), delle condizioni si/no, vero/falso, on/offL'unità minima è definita bit (binary unit)
Il mantenimento delle informazioni nella memoria dei dispositivi elettronici avviene attraverso la polarizzazione di unità fisiche costituenti i supporti di memoria magnetici e magnetoottici.
LA PROVA INFORMATICA NEL PROCESSO PENALE LA PROVA INFORMATICA NEL PROCESSO PENALE Aspetti Tecnici e Giuridici Ivrea 4 maggio 2007Aspetti Tecnici e Giuridici Ivrea 4 maggio 2007
Denis FratiDenis Frati
Perquisizione
Sequestro(fonte di prova)
Acquisizione della prova
(quale insieme dati contenuti sul supporto)
Estrazione dati/file rilevanti
(elementi di prova)
DibattimentoDibattimento
Notizia di reato
Il Valore Probatorio della prova è garantito da:● autenticità● integrità● veracità● completezza● legalità
LA PROVA INFORMATICA NEL PROCESSO PENALE LA PROVA INFORMATICA NEL PROCESSO PENALE Aspetti Tecnici e Giuridici Ivrea 4 maggio 2007Aspetti Tecnici e Giuridici Ivrea 4 maggio 2007
Denis FratiDenis Frati
perviene alla prova digitale, mantenendone
il valore probatorio
attraverso● identificazione● preservazione● acquisizione● analisi● presentazione
Digital forensics computer forensics
mobile forensics
network forensics
LA PROVA INFORMATICA NEL PROCESSO PENALE LA PROVA INFORMATICA NEL PROCESSO PENALE Aspetti Tecnici e Giuridici Ivrea 4 maggio 2007Aspetti Tecnici e Giuridici Ivrea 4 maggio 2007
Denis FratiDenis Frati
Identificazione:
attività volta, attraverso: ➔ l'analisi esterna
✔ dei dispositivi elettronico/digitali✔ dei supporti di memoria
➔ l'analisi a basso livello della logica dei supporti di memoria➔ l'hashing dei dati di interesse
al riconoscimento inequivocabile ed univoco dei dispositivi, dei supporti e dei dati.
LA PROVA INFORMATICA NEL PROCESSO PENALE LA PROVA INFORMATICA NEL PROCESSO PENALE Aspetti Tecnici e Giuridici Ivrea 4 maggio 2007Aspetti Tecnici e Giuridici Ivrea 4 maggio 2007
Denis FratiDenis Frati
Preservazione:
è quell'insieme di procedure tecnico/burocratiche volte a garantire la non alterazione della prova, quale insieme di dati digitali.si esplica:
➔ tecnicamente attraverso:✔ l'uso di hardware/software writeblocker✔ la sua duplicazione bit a bit✔ lo svolgimento dell'analisi sulle sole copie
➔ burocraticamente e formalmente attraverso:✔ la tracciabilità degli spostamenti (consegna/presa in carico)
subiti dalla prova:➢ ambito giudiziario: verbale di sequestro, di consegna o
affidamento, di deposito c/o uff. prove di reato➢ ambito civile: chain of custody (catena di custodia)
✔ la registrazione delle attività svolte sulla prova
LA PROVA INFORMATICA NEL PROCESSO PENALE LA PROVA INFORMATICA NEL PROCESSO PENALE Aspetti Tecnici e Giuridici Ivrea 4 maggio 2007Aspetti Tecnici e Giuridici Ivrea 4 maggio 2007
Denis FratiDenis Frati
Acquisizione (1):
attività volta alla copia dei dati presenti su supporti di memoria, o in transito nella rete.
deve :➔ garantire l'identicità dei dati tra copia e originale➔ non causare alterazioni nei dati/prova originali➔ essere scrupolosamente documentata
può essere effettuata:➔ in locale su host vittima o su forensic workstation➔ attraverso la rete (netcat)➔ in modalità live o postmortem
LA PROVA INFORMATICA NEL PROCESSO PENALE LA PROVA INFORMATICA NEL PROCESSO PENALE Aspetti Tecnici e Giuridici Ivrea 4 maggio 2007Aspetti Tecnici e Giuridici Ivrea 4 maggio 2007
Denis FratiDenis Frati
Acquisizione (2):
è una fase estremamente delicata, nella quale si potrebbero produrre alterazione dei dati/prova, se:
➔ il sequestro del dispositivo viene effettuato da operatori non esperti➔ non viene utilizzato hardware/software writeblocker➔ vengono utilizzati software non validati a fini forensi
LA PROVA INFORMATICA NEL PROCESSO PENALE LA PROVA INFORMATICA NEL PROCESSO PENALE Aspetti Tecnici e Giuridici Ivrea 4 maggio 2007Aspetti Tecnici e Giuridici Ivrea 4 maggio 2007
Denis FratiDenis Frati
Acquisizione (3):
i write blocker hardware sono dispositivi che vengono interposti tra il sistema che deve effettuare l'acquisizione e il supporto di memoria sul risiedono i dati di interesse
i software writeblocker consentono su sitemi operativi Unixlike di “montare” dispositivi e immagini in modalità di sola lettura
root# mount t vfat o ro,noexec /dev/sorg /mnt/punto_di_mount
LA PROVA INFORMATICA NEL PROCESSO PENALE LA PROVA INFORMATICA NEL PROCESSO PENALE Aspetti Tecnici e Giuridici Ivrea 4 maggio 2007Aspetti Tecnici e Giuridici Ivrea 4 maggio 2007
Denis FratiDenis Frati
Acquisizione (4):
provadigitale
minime quantità di dati (bytes)
perdita dati rilevanti
acquisizionecon parametrinon corretti
LA PROVA INFORMATICA NEL PROCESSO PENALE LA PROVA INFORMATICA NEL PROCESSO PENALE Aspetti Tecnici e Giuridici Ivrea 4 maggio 2007Aspetti Tecnici e Giuridici Ivrea 4 maggio 2007
Denis FratiDenis Frati
Acquisizione (5):
L'identicità speculare bit a bit, dei dati originali e di quelli prodotti come copia viene certificata attraverso il confronto degli HASH.L'algoritmo di hash trasforma una quantità di bit arbitraria in un output di lunghezza fissa.
Ivrea è bella
ALGORITMOdi
HASHMD5
885b9c97cf70c551d855b68a5354bc81
d9cd79e44d75c0b3a70b754d18b795fa
70dc1f163cc96dd2b58387e259d6c072
LA PROVA INFORMATICA NEL PROCESSO PENALE LA PROVA INFORMATICA NEL PROCESSO PENALE Aspetti Tecnici e Giuridici Ivrea 4 maggio 2007Aspetti Tecnici e Giuridici Ivrea 4 maggio 2007
Denis FratiDenis Frati
Analisi (1):
attività volta alla ricerca e identificazione dell'informazione, rilevante ai fini probatori (elemento di prova), svolta sui dati (quali insieme di bit) acquisiti.
l'analisi deve:➔ essere scrupolosamente documentata
✔ procedimenti svolti✔ sistema forense (hardware, sistema operativo e tools) utilizzato
➔ essere ripetibile➔ non apportare modifiche alla prova
LA PROVA INFORMATICA NEL PROCESSO PENALE LA PROVA INFORMATICA NEL PROCESSO PENALE Aspetti Tecnici e Giuridici Ivrea 4 maggio 2007Aspetti Tecnici e Giuridici Ivrea 4 maggio 2007
Denis FratiDenis Frati
Analisi (2):
l'analisi deve essere svolta in aderenza all'informazione da ricercare, potendo/dovendo prendere in considerazione:➔ files di sistema➔ files di log➔ files utente, documenti ufficio, email, testo, immagini, audio, video,
ecc..➔ files protetti da password➔ cronologia internet➔ spazio non allocato➔ spazio di slack➔ partizioni/files di swap➔ files cancellati➔ files criptati➔ files steganografati
LA PROVA INFORMATICA NEL PROCESSO PENALE LA PROVA INFORMATICA NEL PROCESSO PENALE Aspetti Tecnici e Giuridici Ivrea 4 maggio 2007Aspetti Tecnici e Giuridici Ivrea 4 maggio 2007
Denis FratiDenis Frati
Analisi (3) i tools:
Gli strumenti software utilizzati per l'analisi:non sono ancora certificati da alcun ente/organo/istituto
devono: ➔ garantire che nessuna modifica venga apportata ai dati➔ essere licenziati, se non distribuiti gratuitamente➔ non essere provento di cracking/pirateria
➔ essendone illecito l'utilizzo➔ non potendo garantire che il cracking non comporti modifiche al
funzionamentopossono essere:➔ open source: è possibile analizzare i processi logici a cui sono
sottoposti i dati➔ closed source: tipico dei software commerciali, non consente l'analisi
della logica di funzionamento, la verifica dei processi a cui i dati sono sottoposti
VSVS
LA PROVA INFORMATICA NEL PROCESSO PENALE LA PROVA INFORMATICA NEL PROCESSO PENALE Aspetti Tecnici e Giuridici Ivrea 4 maggio 2007Aspetti Tecnici e Giuridici Ivrea 4 maggio 2007
Denis FratiDenis Frati
Analisi (4) i tools:
I software closed source (EnCase, FTK, XWay Forensic, ecc..) offrono:➔ interfaccia user friendly➔ tools integrati (editor esadecimale, player, password cracker, hashing, log
attività, ecc...)➔ compilazione reportisticanon dispongono di larga compatibilità verso i file system non nativi
I software/sistemi open source (ambiente Unixlike) offrono:➔ ampio riconoscimento file systemnon offrono:➔ tools integrati in un'unica interfaccia grafica➔ compatibilità applicativi sviluppati per differenti SO➔ compilazione reportistica
Esistono, in ambiente Linux, interfacce grafiche che integrano i differenti tools in un'unica interfaccia (non gratuiti):➔ SMART di ASR Data➔ THE FARMER'S BOOT CD
LA PROVA INFORMATICA NEL PROCESSO PENALE LA PROVA INFORMATICA NEL PROCESSO PENALE Aspetti Tecnici e Giuridici Ivrea 4 maggio 2007Aspetti Tecnici e Giuridici Ivrea 4 maggio 2007
Denis FratiDenis Frati
Analisi (5) i tools/sistemi open source:
particolare attenzione meritano i Forensic Boot CD basati su GNU/Linux
LA PROVA INFORMATICA NEL PROCESSO PENALE LA PROVA INFORMATICA NEL PROCESSO PENALE Aspetti Tecnici e Giuridici Ivrea 4 maggio 2007Aspetti Tecnici e Giuridici Ivrea 4 maggio 2007
Denis FratiDenis Frati
Analisi (6) rischi:
Mostriamo in pratica quanto una prova digitale sia fragile: ipotizzando di star svolgendo un'analisi live, consideriamo il file immagine fccu_2.JPG. L'intefaccia Windows del boot live cd HELIX indica che l'immagine è stata
creata e modificata in data:12 marzo 2007e l'ultimo accesso al file è avvenuto in data:3 aprile 2007
LA PROVA INFORMATICA NEL PROCESSO PENALE LA PROVA INFORMATICA NEL PROCESSO PENALE Aspetti Tecnici e Giuridici Ivrea 4 maggio 2007Aspetti Tecnici e Giuridici Ivrea 4 maggio 2007
Denis FratiDenis Frati
Analisi (7) rischi:
Se l'analista forense prende visione del contenuto del disco rigido, per esempio visionando le immagini (come sotto mostrato), i filmati, o i documenti di testo, causerà la modifica del time stamp dei file.
se controlliamo nuovamente il time stamp notiamo che la data dell'ultimo accesso è cambiata:3 maggio 2007 !!
la prova è alterata !!
LA PROVA INFORMATICA NEL PROCESSO PENALE LA PROVA INFORMATICA NEL PROCESSO PENALE Aspetti Tecnici e Giuridici Ivrea 4 maggio 2007Aspetti Tecnici e Giuridici Ivrea 4 maggio 2007
Denis FratiDenis Frati
Presentazione:
Il procedimento di investigazione della prova digitale si conclude con la presentazione di:
➔ informazioni estratte dai dati recuperati➔ correlazione esistente tra informazione digitale e fatto reato➔ procedimenti di identificazione, preservazione, acquisizione e analisi➔ dispositivi e software utilizzati➔ dati estratti/recuperati su supporto digitale
LA PROVA INFORMATICA NEL PROCESSO PENALE LA PROVA INFORMATICA NEL PROCESSO PENALE Aspetti Tecnici e Giuridici Ivrea 4 maggio 2007Aspetti Tecnici e Giuridici Ivrea 4 maggio 2007
Denis FratiDenis Frati
Riferimenti (1) siti:
➔ Legal Electronic Forensics Team (L.E.F.T.), progetto di ricerca (e gruppo di studio) della Cattedra di Informatica Giuridica Avanzata dell'Università degli Studi di Milano http://www.avanzata.it/left/
➔ Cybercrimes.it, computer forensics e crimine informatico http://www.cybercrimes.it/
➔ Marco Mattiucci, il sito del maggiore dei Carabinieri http://www.marcomattiucci.it/
➔ Corso Informatica Forense, università degli Studi di Bologna http://www.informaticaforense.it/
➔ International Information Systems Forensic Association http://www.iisfa.it/
LA PROVA INFORMATICA NEL PROCESSO PENALE LA PROVA INFORMATICA NEL PROCESSO PENALE Aspetti Tecnici e Giuridici Ivrea 4 maggio 2007Aspetti Tecnici e Giuridici Ivrea 4 maggio 2007
Denis FratiDenis Frati
Riferimenti (2) – blog e forum:
➔ Forensics Web Log, il blog dell'Avv. Federica Bertoni http://4ensix.blogspot.com/
➔ Computer Forensics, il blog del Prof. Giovanni Ziccardi http://forensics.typepad.com/
➔ Computer Forensics, il blog di Andrea Ghirardini http://forensicsbypila.blogspot.com/
➔ Cybercrimes.it forum http://www.cybercrimes.it/forum/ ➔ DigitalSherlock, il forum di Nani Bassetti Consulente tecnico
http://www.nannibassetti.com/cf ➔ IRItaly blog – il blog del progetto http://iritaly.blogspot.com/
LA PROVA INFORMATICA NEL PROCESSO PENALE LA PROVA INFORMATICA NEL PROCESSO PENALE Aspetti Tecnici e Giuridici Ivrea 4 maggio 2007Aspetti Tecnici e Giuridici Ivrea 4 maggio 2007
Denis FratiDenis Frati
Riferimenti (3) – boot live cd:
➔ IRItaly, il progetto e il boot live cd http://www.iritalylivecd.org/ ➔ Deft Computer Forensics, il progetto e il boot live cd
http://www.stevelab.net/deft/ ➔ Helix, progetto e boot live cd http://www.efense.com/helix/ ➔ FCCU, il boot live cd della Polizia Belga
http://www.lnx4n6.be/index.php ➔ Penguin Sleuth, macchina virtuale e boot live cd
http://www.linuxforensics.com/ ➔ SMART http://www.asrdata.com/SMART/➔ The Farmer's Boot Cd http://www.forensicbootcd.com