• Save
Giuseppe Vaciago - Introduzione alla Computer Forensic e garanzie dell'indagato - 15.03/5.04 2011 - Università degli Studi di Milano
Upcoming SlideShare
Loading in...5
×
 

Giuseppe Vaciago - Introduzione alla Computer Forensic e garanzie dell'indagato - 15.03/5.04 2011 - Università degli Studi di Milano

on

  • 1,634 views

Giuseppe Vaciago - Introduzione alla Computer Forensic e garanzie dell'indagato - 15.03/5.04 2011 - Università degli Studi di Milano

Giuseppe Vaciago - Introduzione alla Computer Forensic e garanzie dell'indagato - 15.03/5.04 2011 - Università degli Studi di Milano

Statistics

Views

Total Views
1,634
Views on SlideShare
1,633
Embed Views
1

Actions

Likes
0
Downloads
0
Comments
0

1 Embed 1

http://www.linkedin.com 1

Accessibility

Upload Details

Uploaded via as Microsoft PowerPoint

Usage Rights

© All Rights Reserved

Report content

Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
  • Full Name Full Name Comment goes here.
    Are you sure you want to
    Your message goes here
    Processing…
Post Comment
Edit your comment
  •  

Giuseppe Vaciago - Introduzione alla Computer Forensic e garanzie dell'indagato - 15.03/5.04 2011 - Università degli Studi di Milano Giuseppe Vaciago - Introduzione alla Computer Forensic e garanzie dell'indagato - 15.03/5.04 2011 - Università degli Studi di Milano Presentation Transcript

  • Introduzione alla Digital Forensics e garanzie dell’indagato Giuseppe Vaciago Università degli Studi di Milano 15 marzo 2011 – ore 16.30 5 aprile 2011 – ore 8.30
  • Cosa è la digital forensics ? Come Sherlock Holmes nel XIX secolo si serviva costantemente dei suoi apparecchi per l’analisi chimica, oggi nel XXI secolo egli non mancherebbe di effettuare un’accurata analisi di computer, di telefoni cellulari e di ogni tipo di apparecchiatura digitale (Ralph Losey). Scopo della digital forensics è quello di conservare, identificare, acquisire, documentare o interpretare i dati presenti in un computer. A livello generale si tratta di individuare le modalità migliori per: - acquisire le prove senza alterare il sistema informatico in cui si trovano; - garantire che le prove acquisite su altro supporto siano identiche a quelle originarie; - analizzare i dati senza alterarli (Cesare Maioli)
  • Cosa è la digital evidence? Digital evidence è una qualsiasi informazione, con valore probatorio, che sia o meno memorizzata o trasmessa in un formato digitale. Definizione dello Scientific Working Group on Digital Evidence (SWGDE) La rappresentazione del fatto è la medesima sia essa incorporata in uno scritto o in un file. Quello che cambia è soltanto il metodo di incorporamento su base materiale (Tonini).
  • Si possono avere tre diverse tipologie di prova digitale: Creata dall’uomo : ogni dato digitale che figuri come il risultato di un intervento o di un’azione umana e può essere di due tipi: a) Human to human (mail) b) Human to PC (documento word) Le classificazioni della digital evidence
  • Creata autonomamente dal computer : ogni dato che figuri come il risultato di un processo su dei dati effettuato da un software secondo un preciso algoritmo e senza l’intervento umano (tabulati telefonici, file di log di un Internet Service Provider) Le classificazioni della digital evidence
  • Creata sia dall’essere umano che dal computer : foglio di calcolo elettronico dove i dati vengono inseriti dall’essere umano, mentre il risultato viene effettuato dal computer. Le classificazioni della digital evidence
  • Le caratteristiche della digital evidence 1. Anonima e immateriale : non sempre è possibile risalire al soggetto che ha generato un dato informatico
  • 2. Rumorosa : è difficile filtrare la mole incredibile di dati digitali da analizzare Le caratteristiche della digital evidence
  • 3. Alterabile : è molto facile contaminare una prova digitale Le caratteristiche della digital evidence
  • Una prima caratteristica è data dalla complessità della digital evidence. Il caso Amero ne è una dimostrazione. Le complessità della digital evidence (Caso Julie Amero) Julie Amero è una supplente della Kelly School di Norwich del Connecticut che venne condannata per aver mostrato a ragazzi minori di 16 anni immagini pornografiche
  • Lezione di Julie Amero. Immagini “ inadatte ” appaiono come pop-up dal PC dell ’ insegnante La Polizia visiona il contenuto dell ’ hard disk,ma non ne esegue una copia bit-stream La Corte condanna Julie Amero per il reato di offesa alla morale ad una minorenne Julie Amero ottenne un nuovo processo in cui venne condannata alla pena di 100 dollari 26/10/04 05/01/07 10/11/08 19/10/04 Il docente titolare si reca in aula e nota che la cache file contiene file pornografici e avvisa il preside 20/10/04 La difesa chiede un nuovo processo in quanto la prova non era stata acquisita correttamente e il computer era infetto (mousetrapping) 01/06/08 Il caso “Amero”: la scansione temporale
  • Il Mousetrapping e il Pagejacking sono particolare tecniche di DNS hijacking , in forza della quale alcuni siti web trattengono i propri visitatori lanciando un’infinita serie di pop-up. Il caso Amero: Mousetrapping and Pagejacking
    • Il processo è stato revisionato, in quanto:
    • Julie è stata vittima di un mousetrapping , probabilmente generato dall’utilizzo improprio del PC da parte del docente titolare
    • Non è stata rispettata alcuna procedura di digital forensics da parte degli investigatori (nessuna copia bit stream e l’attività di analisi effettuata tra il 20 e il 26 ottobre non è stata documentata)
    • L’avvocato di Julie Amero non riuscì a far acquisire la consulenza tecnica della difesa effettuata sul computer
  • Un’ulteriore, ma fondamentale elemento della digital evidence è l’alterabilità e la capacità di contenere un innumerevole numero di informazioni. Il caso di “Garlasco” ne è un chiaro esempio. Alberto Stasi è stato assolto in primo grado dall’accusa di omicidio volontario della fidanzata Chiara Poggi L’alibi informatico (Caso Garlasco)
  • Chiara Poggi muore il 13 agosto 2007 tra le ore 10.30 e le ore 12. Stasi consegna volontariamente il suo PC ai Carabinieri Carabinieri dopo aver lavorato sul PC lo consegnano ai RIS Il Giudice Vitelli di Vigevano assolve Stasi dall’accusa di omicidio 14/08/07 29/08/07 17/12/09 13/08/07
    • Stasi si sveglia alle 9
    • Telefona a Chiara Poggi
    • Lavora alla tesi
    • Va a casa sua verso alle 13.30
    13/08/07 Dalla perizia richiesta dal Giudice emerge che Stasi ha lavorato alla tesi durante l ’ arco temporale in cui è stata uccisa Chiara Poggi 17/03/09 Il caso di “Garlasco”: l’”alibi informatico”
  • Investigazioni telematiche: crittografia Un classico metodo per nascondere un file è quello di utilizzare la crittografia: La crittografia tratta delle "scritture nascoste" (significato etimologico della parola) ovvero dei metodi per rendere un messaggio "offuscato" in modo da non essere comprensibile a persone non autorizzate a leggerlo. La parola crittografia deriva dalla parola greca kryptós che significa nascosto e dalla parola greca gráphein che significa scrivere. La crittografia è la controparte della crittanalisi ed assieme formano la crittologia.
  • Investigazioni telematiche: crittografia Decifrare un testo crittografato è semplice. Il problema è: in questo tempo? Ad esempio una chiave di cifratura a 20-bit consente fino a un milione di combinazioni possibili, per cui con un normalissimo computer portatile che processa circa un milione di operazioni al secondo, il tempo di cifratura massimo sarà addirittura inferiore al secondo. Tuttavia con un sistema di cifratura con una chiave a 56-bit lo stesso elaboratore potrebbe impiegare fino a 2285 anni per verificare tutte le combinazioni possibili. Per rendersi conto della complessità di tale operazione basti considerare che la più diffusa versione del software di cifratura PGP (Pretty Good Privacy) al momento attuale si basa su una chiave di 1024-bit .
  • Investigazioni telematiche: file di log I file di log sono file che, registrando tutte le operazioni compiute dall’elaboratore elettronico durante il suo funzionamento, contengono rilevanti informazioni relativi al sistema, compresi i servizi e le applicazioni in funzione. In un normale computer di casa coesistono diversi tipi di file di log: - log di sistema : memorizza gli eventi significativi che intercorrono tra il sistema, come fornitore di servizi e le applicazioni, come clienti dei servizi stessi; - log di applicazione : molte applicazioni prevedono i propri log su cui sono registrati eventi caratteristici dell'applicazione; - log di base dati : in questo caso è il sistema gestore di base dati che registra le operazioni fatte sulla base dati (inserimento, aggiornamento, cancellazione di record).
  • Investigazioni telematiche: file di log I file di log hanno generalmente la funzione di risolvere un determinato malfunzionamento del sistema, ma possono anche fornire utili informazioni nel caso di un ’investigazione telematica. L ’analisi dei file di log sul computer “vittima” o sui server che gestiscono il traffico telematico transitato su una data rete, possono consentire l’individuazione del soggetto che ha commesso l’illecito.
  • Investigazioni telematiche: Keylogger Un keylogger è, nel campo dell'informatica, uno strumento in grado di intercettare tutto ciò che un utente digita sulla tastiera del proprio computer. Esistono vari tipi di keylogger: Hardware: vengono collegati al cavo di comunicazione tra la tastiera ed il computer o all'interno della tastiera Software: programmi che controllano e salvano la sequenza di tasti che viene digitata da un utente.
  • Investigazioni telematiche: data recovery
    • 1. Undelete Plus è un software molto utile per i supporti removibili (memorie USB)
    • Installare il software reperibile all’indirizzo:
    • http://undelete-plus.com/download.html
    • b. Selezionare l ’unità di cui si vuole scansionare il contenuto cancellato
    • c. Provare a recuperare il file attraverso il comando undelete
    • 2. Attraverso Win Hex, invece, è possibile altresì conoscere almeno il titolo dei file cancellati
    • Installare il software Win Hex reperibile all ’indirizzo: http://www.x-ways.net/winhex/
    • Selezionare dal menù Tools Open Disk e scegliere l ’unità desiderata
    • La prova acquisita attraverso delle generiche investigazioni telematiche potrebbe difficilmente essere necessariamente prodotta in Tribunale perché non viene dimostrata la:
    • Genuinità (non alterazione)
    • Ripetibilità
    Investigazioni telematiche vs Digital Forensics: producibilità in giudizio INVESTIGAZIONI TELEMATICHE DIGITAL FORENSICS
  • Algoritmo di Hash L ’impronta di Hash garantisce durante un ’ analisi forense di supporti alterabili l ’ i ntangibilità dei dati in essi contenuti. L’ Hash è una funzione univoca operante in un solo senso (ossia, che non può essere invertita), attraverso la quale viene trasformato un documento di lunghezza arbitraria in una stringa di lunghezza fissa, relativamente limitata . Tale stringa rappresenta una sorta di “impronta digitale” del testo in chiaro, e viene detta valore di Hash o Message Digest. Se il documento venisse alterato anche in minima parte , cambierebbe di conseguenza anche l’impronta . In altre parole, calcolando e registrando l ’impronta, e successivamente ricalcolandola, è possibile mostrare al di là di ogni dubbio che i contenuti del file, oppure del supporto, abbiano subito o meno modifiche, anche solo accidentali.
  • Algoritmo di Hash La registrazione e la ripetizione costante del calcolo degli Hash sui reperti sequestrati costituisce l ’unico metodo scientificamente valido per garantire l’integrità e la catena di custodia dei reperti . La polizia giudiziaria, prima di apporre i sigilli al materiale informatico, ha il compito di collegare il supporto oggetto del sequestro ad un computer portatile su cui dovrà essere eseguito il comando che consente il calcolo dell ’impronta di Hash . Nella pratica gli algoritmi di Hash più utilizzati, sono l ’MD2, Md4, MD5 e SHA1; in particolare il calcolo dell’algoritmo MD5 (Message Digest 5) permette di generare una stringa di 128 bit, mentre l’algoritmo SHA1 genera una stringa a 160 bit. L’abbinamento di questi due algoritmi dovrebbe evitare qualsiasi contestazione, anche se ultimamente sono stati riscontrati problemi di vulnerabilità che rendono assai più facile del previsto la scoperta di collisioni al suo interno.
  • La funzione o “impronta” di Hash
    • Uno dei tanti software che generano l ’hash code si trova al seguente indirizzo: http://www.slavasoft.com/zip/fsum.zip
    • Dopo aver installato il software è sufficiente:
    • Andare su start/esegui e digitare a:cmd.exe
    • Digitare fsum –sha512 *.txt > hash.txt
    • In questo modo si genererà il file hash.txt che conterrà il calcolo di ogni singolo Hash ottenuto con l ’algoritmo SHA-512
  • Digital Forensics Software
  • Garanzie dell’indagato vs Digital Forensics: NY Times - anno 1915 “ Scandalo delle intercettazioni telefoniche” avvenuto a New York nell’aprile del 1915, vede coinvolto il Sindaco della città (John Mitchell) che autorizza l’intercettazione a trentanove istituti caritatevoli della città. 17 aprile 1916, Arthur Woods capo della polizia rese uno dei primi “accorati discorsi” per giustificare l’importanza per le indagini di utilizzare strumenti tecnologici di controllo anche se potenzialmente lesivi della privacy.
  • Il 16 dicembre 2005, il quotidiano New York Times pubblicò un articolo dal titolo “ Bush autorizza lo spionaggio telefonico senza un mandato dei tribunali ” scritto dai giornalisti investigativi James Risen e Eric Lichtblau, che in seguito vinsero congiuntamente un premio Pulitzer per il loro reportage sulle intercettazioni illegali effettuate dal Governo. L’articolo si riferisce all’ordine presidenziale del 2002 che autorizza la National Security Agency ad effettuare intercettazioni indiscriminate, telefoniche o telematiche, per trovare tracce del gruppo terroristico “Al Qaeda”. Garanzie dell’indagato vs Digital Forensics: NY Times - anno 2005
  • L’anno successivo si scopre che presso la AT&T di San Francisco è presente un sistema di “data mining” di traffico dati, equipaggiato un sistema informatico denominato Narus STA 6400 Divenuta poi nota con il nome di “Room 641”. Tale attività di intercettazione era giustificata dell’”Executive Order 12333” emanato dal Presidente Reagan nel 1981 allo scopo di regolare tutte le attività di intelligence a livello statunitense. Nel 2006 Electronic Frontier Foundation (EFF) fa causa alla National Security Agency (NSA) senza successo in primo grado. Garanzie dell’indagato vs Digital Forensics: NY Times - anno 2005
  • Una Commissione temporanea istituita dal Parlamento Europeo rivelò al mondo nel luglio del 2001 l’esistenza di “ Echelon ” , un programma prodotto e gestito da un gruppo di Paesi coordinati dagli Stati Uniti, con l ’ obiettivo di intercettare ogni forma di comunicazione elettronica su base planetaria. Nel 2010 il Governo inglese ha promosso l’“Interception Modernisation Programme”. Un programma di intercettazione che prevede anche una specifica attività di intercettazione di contenuti telematici liberamente presenti in Rete. La domanda è quella di Giovenale, che compare nel frontespizio del rapporto su “ Echelon ” della Commissione temporanea del Parlamento europeo: quis custodiet ipsos custodes ? Garanzie dell’indagato vs Digital Forensics: programma “ Echelon ”
  • Garanzie dell’indagato vs Digital Forensics: Legge Nord WestfAlia
    • La Germania ha introdotto il 20 dicembre 2006 un emendamento alla legge sulla protezione della Costituzione nel Nord Reno-Westfalia che consentiva l’accesso segreto a sistemi informatici e il monitoraggio segreto della Rete attraverso sistemi keylogger installati in forma di trojan horse
    • La Corte Costituzionale tedesca il 27 febbraio 2008 ha dichiarato incostituzionale tale emendamento sostenendo che violava il “diritto alla riservatezza ed alla integrità dei sistemi informatici”
  • Garanzie dell’indagato vs Digital Forensics: Cass. Pen. 14 ottobre 2009
    • La Corte di Cassazione ha ritenuto legittimo il decreto del Pubblico Ministero, che ai sensi dell’art. 234 c.p.p., ha consentito l’acquisizione in copia attraverso l’installazione di un captatore informatico della documentazione informatica memorizzata nel personal computer in uso all’imputato e installato presso un ufficio pubblico ritenendo per di più ripetibile tale atto.
  • Garanzie dell’indagato vs Digital Forensics: Caso Boucher
    • Sebastien Boucher viene trovato alla frontiera tra Canada e Stati Uniti con un computer acceso con immagini pedopornografiche
    • Il suo hard disk è crittografato e una volta spento la polizia non è più in grado di riavviarlo
    • La Grand Jury ordina all’indagato di rivelare la password di cifratura (DICHIARAZIONE AUTOINDIZIANTE)
    • Il Giudice Federale del Vermont (Niedermeier) annulla tale ordine in quanto in violazione con il quinto emendamento
  • Data retention vs Date check
  • Grazie per l’ attenzione Giuseppe Vaciago Mail: [email_address] Blog: http://infogiuridica.blogspot.it Web: www.studiovaciago.it Linkedin: http://it.linkedin.com/in/vaciago