22 Ottobre 2008: Dal Sequestro al Report

808
-1

Published on

Dal Sequestro al Report: il \"dietro le quinte\" di un\'investigazione digitale.

Published in: Technology
0 Comments
1 Like
Statistics
Notes
  • Be the first to comment

No Downloads
Views
Total Views
808
On Slideshare
0
From Embeds
0
Number of Embeds
0
Actions
Shares
0
Downloads
41
Comments
0
Likes
1
Embeds 0
No embeds

No notes for slide

22 Ottobre 2008: Dal Sequestro al Report

  1. 1. DAL SEQUESTRO AL REPORT Il “dietro le quinte” di un’indagine informatica in ambito “corporate”. Francesco Acchiappati Chief Technology Officer Brixia Forensics Institute s.r.l. bfi
  2. 2. LE PAROLE CHIAVE <ul><li>SEQUESTRO </li></ul><ul><li>Mezzo di ricerca della prova </li></ul><ul><li>(art. 253 c.p.p.) </li></ul><ul><li>Diritto Processuale Penale </li></ul>REPORT Presentazione scritta di natura tecnico-giuridica delle operazioni forensi svolte sui dispositivi elettronici oggetto d’indagine Diritto Processuale Penale dell’Informatica? DAL AL Indagine Informatica Diritto e Informatica Informatica Forense Informatica Giudiziaria bfi
  3. 3. DAL-AL <ul><li>Traduzione del linguaggio dei bit in “giuridichese”; </li></ul><ul><li>Traduzione, dal latino (traducěre), del giurista (avvocato o magistrato che sia), dalle macchine al foro, fino alla formazione della prova in aula, nel contraddittorio fra le parti.  </li></ul><ul><li>Trasformazione di un elemento di prova elettronica in qualcosa di tangibile.  </li></ul><ul><li>REPORT = TRADUZIONE in linguaggio giuridico di evidenze espresse in 0011000 </li></ul>bfi Diritto COMPUTER FORENSICS Informatica Informatica COMPUTER FORENSICS Diritto
  4. 4. Definizioni <ul><li>SVARIATE </li></ul><ul><li>Eccone alcune “datate”, d’oltreoceano: </li></ul><ul><li>“… il processo di identificazione, conservazione, analisi e presentazione </li></ul><ul><li>di digital evidence in processo garantendone l’ammissibilità”. </li></ul><ul><li>“… la raccolta e l’analisi di dati secondo una prassi che ne garantisca la libertà da distorsioni e pregiudizi cercando di ricostruire dati ed azioni avvenuti nel passato all’interno del sistema informatico”. </li></ul>bfi
  5. 5. … ne segue che la Computer Forensics interviene dopo che un sistema informatico è stato violato REATI INFORMATICI “PURI” Oppure un crimine è stato perpetrato attraverso l’impiego di sistemi informatici. REATI INFORMATICI “SPURI” bfi
  6. 6. SCOPI <ul><li>Integrità probatoria </li></ul><ul><li>procedure </li></ul><ul><li>(best practice o linee guida e ora, x noi, anche la L.48/2008) </li></ul><ul><li>e strumentazioni specifiche </li></ul><ul><li>Computer Forensics HD E SW </li></ul><ul><li>Continuità probatoria </li></ul><ul><li>CHAIN OF CUSTODY </li></ul>bfi
  7. 7. IL PASSAGGIO DA-A bfi Elemento di prova Elettronico Computer Forensics Elemento di prova Fonte di prova Elettronica Computer Forensics Fonte di prova Ispezione, perquisizione, sequestro informatici (mezzi di ricerca della prova elettronica) Computer Forensics Ispezione, perquisizione, sequestro (mezzi di ricerca della prova) Indagini preliminari informatiche Computer Forensics Indagini preliminari Diritto Processuale Penale dell’Informatica? Computer Forensics Diritto Processuale Penale
  8. 8. IL TRADUTTORE l’ “Informatico forense. Chi era costui?” bfi
  9. 9. In Italia <ul><li>Come ausiliario di P.G. e CT PM </li></ul><ul><li>Supporto all’ispezione, perquisizione e al sequestro, svolge operazioni informatica forense, in particolare di analisi in loco (preview), acquisizione in loco delle fonti di prova. </li></ul><ul><li>Come supporto alla difesa, CT </li></ul><ul><li>Esercizio diritto di difesa: verifica delle procedure. Supporto alle attività d’indagine difensiva, Libro VI, Titolo VI bis, c.p.p., </li></ul><ul><li>per l’auspicata parità d’armi tra accusa e difesa </li></ul>bfi
  10. 10. PARTE II Un case study DAL SEQUESTRO AL REPORT in un’indagine di spionaggio industriale bfi
  11. 11. Questioni di fatto <ul><li>La ditta “Keep-Out s.r.l.” Riscontra un calo di richieste di forniture da parte dei propri clienti. amministratori, che da qualche tempo avevano registrato vistose riduzioni dei ricavi, hanno avuto il sospetto che ci fosse in atto una fuga di dati. </li></ul><ul><li>A seguito di un’indagine interna emergono “prove” contro la ditta “Steal-Experts s.r.l.”, aperta da un ex dipendente della Keep-Out, che nel frattempo aveva instaurato rapporti commerciali con gli ora ex clienti della Keep-Out. </li></ul><ul><li>“ Keep-Out s.r.l.” sporge denuncia presso la Sezione Polizia delle Comunicazioni accusando “Steal-Experts s.r.l.” di aver sottratto loro l’archivio clienti. </li></ul><ul><li>Con il decreto di ispezione, di perquisizione e sequestro, sulla base di quanto disposto dalla nuova legge in materia di reati informatici, siamo intervenuti come ausiliari di PG per acquisire le fonti di prova elettronica del reato ipotizzato. </li></ul>bfi
  12. 12. Questioni di diritto <ul><li>Caso di appropriazione e sottrazione di contenuti archiviati nella struttura informatica aziendale attraverso a ccesso abusivo a sistema informatico, </li></ul><ul><li>art. 615-ter del codice penale, l' accesso abusivo ad un sistema informatico o telematico è il reato di chi abusivamente si introduce in un sistema informatico o telematico protetto da misure di sicurezza ovvero vi si mantiene contro la volontà espressa o tacita di chi ha il diritto di escluderlo. La norma è stata introdotta con la legge 23 dicembre 1993, n.547. </li></ul>bfi
  13. 13. … nel caso di specie <ul><li>Ruolo dei Computer Forensics Examiners: Ausiliari di PG per le operazioni di ispezione, perquisizione e sequestro nell’azienda e poi CT del PM </li></ul><ul><li>Totale assenza Forensics Examiner dell’avvocato, l’avvocato non poteva tutelare cliente non sapendo cosa stavamo facendo </li></ul><ul><li>Operazioni interessata: preview (L.48/2008), eventuale acquisizione in loco, analisi, reportistica. </li></ul>bfi
  14. 14. OPERAZIONI PRELIMINARI bfi niente <ul><li>Analisi dlel’infrastruttura IT aziendale oggetto d’indagine </li></ul><ul><li>Identificazione dei punti chive della rete: </li></ul><ul><li>Server aziendale </li></ul><ul><li>mail server </li></ul><ul><li>File server </li></ul>Computer Forensics lato difesa Computer Forensics lato PG
  15. 15. Acquisizione Selettiva (Legge 48/2008) <ul><li>Preview in loco alla ricerca di digital evidence </li></ul><ul><li>Si evita il sequestro “indiscriminato” (L. 48/2008) </li></ul><ul><li>Coinvolge procedure di Live Analysis </li></ul>bfi
  16. 16. Acquisizione Selettiva “PRO” E “CONTRO” <ul><li>Riduce i tempi necessari al sequestro </li></ul><ul><li>Tutela la business continuity dell’azienda. </li></ul><ul><li>Ricostruzioni più accurate nelle indagini su macchine live. </li></ul><ul><li>Meno materiale da analizzare inutilmente in laboratorio. </li></ul><ul><li>Non ripetibilità per la Live Analysis </li></ul><ul><li>Luoghi o ambienti ostili. </li></ul><ul><li>Imprevisti sempre in agguato. </li></ul>bfi
  17. 17. Nel nostro caso <ul><li>L’ambiente non era dei migliori </li></ul><ul><ul><li>Stanze strette </li></ul></ul><ul><ul><li>Scrivanie in metallo (non adatte ad appoggiare materiale elettronico/informatico) </li></ul></ul><ul><li>Il server aveva una configurazione di dischi raid </li></ul><ul><ul><li>Apparentemente un’acquisizione di routine ma </li></ul></ul><ul><ul><li>Presentava dei guasti hardware: non è stato possibile effettuare la preview. </li></ul></ul>bfi
  18. 18. Allora: bfi niente <ul><li>Acquisizione fisica dei dischi: </li></ul><ul><li>Tentativo di ricostruzione </li></ul><ul><li>mediante strumenti d’analisi </li></ul><ul><li>in un secondo momento </li></ul><ul><li>Ricostruzione andata a buon fine, ma non garantita dagli strumenti sino ad ora esistenti sul mercato </li></ul>Computer Forensics lato difesa Computer Forensics lato PG
  19. 19. Come si è proceduto, ovvero GLI STRUMENTI DEL COMPUTER FORENSICS EXAMINER <ul><li>Write Blocker, cavi, adattatori per ogni tipo di media. </li></ul><ul><li>Live-CD </li></ul><ul><ul><li>Helix (acquisizione e preview) </li></ul></ul><ul><ul><li>Backtrack (Network forensics) </li></ul></ul><ul><ul><li>PlainSight (Preview) (Novità promettente) </li></ul></ul><ul><li>Strumenti di analisi Live </li></ul><ul><ul><li>Strumenti non invasivi di analisi </li></ul></ul><ul><ul><li>RAM Dumper </li></ul></ul><ul><li>Storage, tanto storage… </li></ul>bfi
  20. 20. CHAIN OF CUSTODY “…lista dettagliata di cosa si è fatto dei dati originali una volta raccolti…” <ul><li>FFINI IMMEDIATI </li></ul><ul><li>lla tracciabilità degli elementi di prova raccolti </li></ul><ul><li>Lla ricostruibilità degli eventi </li></ul><ul><li>Lla ripetibilità. </li></ul><ul><li>IIL FINE ULTIMO </li></ul><ul><li>Ll’ autenticità </li></ul><ul><li>Ll’ inalterabilità </li></ul><ul><li>Lla conseguente validità di un elemento di prova (elettronica) </li></ul>bfi
  21. 21. … to be continued… bfi
  22. 22. IL REPORT per il PM (LA TRADUZIONE) <ul><li>Fornisce informazioni rilevanti circa le analisi forensi svolte </li></ul><ul><li>forma chiara, concisa, strutturata e non ambigua in maniera tale che si debba discutere su di essa il meno possibile. </li></ul><ul><li>N.B. </li></ul><ul><li>“ Questo approccio non è condiviso da tutti, soprattutto dai laboratori il cui scopo non è mostrare risultati ma evidenziare le possibili ambiguità dei risultati di altri. Il primo approccio quindi è tipico dei laboratori che operano per gli inquirenti mentre il secondo, spesso è tipico dei laboratori che operano per la difesa (in Italia discutere a lungo su qualcosa significa sminuirne la verità...)”. </li></ul>Fonte: Marco Mattiucci, http://www.marcomattiucci.com bfi
  23. 23. Struttura del REPORT <ul><li>Identificazione del caso (es. Proc.penale); </li></ul><ul><li>Intestazione del laboratorio e nome del responsabile per l'indagine con annessi gli eventuali specialisti ed assistenti coinvolti; </li></ul><ul><li>Qualifica del responsabile per le indagini il quale deve firmare il documento in ogni suo foglio con data annessa; </li></ul><ul><li>La data di ricezione dei reperti, l'eventuale riconsegna e tutta la catena di custodia; </li></ul><ul><li>Riferimento del richiedente l'analisi; </li></ul><ul><li>La lista dei reperti impiegati per l'analisi; </li></ul><ul><li>La constatazione dello stato dei reperti al momento della ricezione; </li></ul><ul><li>La lista della documentazione inerente il fascicolo di indagine ricevuta all'inizio dell'indagine; </li></ul><ul><li>Richiesta relativa all'analisi forense; </li></ul><ul><li>Dettagli tecnici dell'analisi svolta; </li></ul><ul><li>Risultati tecnici e risultati legali; </li></ul><ul><li>Segnalazione degli eventuali reperti che non è stato possibile esaminare e le ragioni specifiche. </li></ul><ul><li>Descrizione dei tool e dei metodi impiegati o riferimento al manuale di qualità e/o a manuali specifici. </li></ul><ul><li>FONTE: Marco Mattiucci, http://www.marcomattiucci.com </li></ul>bfi
  24. 24. Fonti <ul><li>Mc Kemmish, R. (1999), “What is Forensic Computing”, Trends and Issues in Crime and Criminal Justice (118), Australian Institute of Criminology. </li></ul><ul><li>Farmer D., Venema W. (2000), “Forensic Computer Analysis: an Introduction. Reconstructing past Events.”, Dr Dobb’s Journal, 29, 70-75. </li></ul><ul><li>Jesse Kornblum, “Preservation of Fragile-Digital Evidence by First Responders” 2002, Air Force Office of Special Investigation. </li></ul><ul><li>Luca Lupària, Giovanni Ziccardi, “Investigazione penale e tecnologia informtica”, Milano, 2007, Giuffrè Editore </li></ul><ul><li>Francesco Cajani, “Indagini infomatiche e attività del PM: peculiarità e aspetti problematici”, Ciclo di 10 seminari su “Computer Forensics, investigazione penale e criminalità tecnologica”, a.a. 2006/2007, Università degli Studi di Milano, L.E.F.T. </li></ul><ul><li>Marco Mattiucci, http://www.marcomattiucci.com </li></ul>bfi
  25. 25. Grazie dell’attenzione. Francesco Acchiappati BRIXIA FORENSICS INSTITUTE s.r.l. bfi

×