22 Ottobre 2008: Dal Sequestro al Report
Upcoming SlideShare
Loading in...5
×
 

22 Ottobre 2008: Dal Sequestro al Report

on

  • 1,008 views

Dal Sequestro al Report: il \"dietro le quinte\" di un\'investigazione digitale.

Dal Sequestro al Report: il \"dietro le quinte\" di un\'investigazione digitale.

Statistics

Views

Total Views
1,008
Views on SlideShare
1,008
Embed Views
0

Actions

Likes
1
Downloads
39
Comments
0

0 Embeds 0

No embeds

Accessibility

Categories

Upload Details

Uploaded via as Microsoft PowerPoint

Usage Rights

© All Rights Reserved

Report content

Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
  • Full Name Full Name Comment goes here.
    Are you sure you want to
    Your message goes here
    Processing…
Post Comment
Edit your comment

22 Ottobre 2008: Dal Sequestro al Report 22 Ottobre 2008: Dal Sequestro al Report Presentation Transcript

  • DAL SEQUESTRO AL REPORT Il “dietro le quinte” di un’indagine informatica in ambito “corporate”. Francesco Acchiappati Chief Technology Officer Brixia Forensics Institute s.r.l. bfi
  • LE PAROLE CHIAVE
    • SEQUESTRO
    • Mezzo di ricerca della prova
    • (art. 253 c.p.p.)
    • Diritto Processuale Penale
    REPORT Presentazione scritta di natura tecnico-giuridica delle operazioni forensi svolte sui dispositivi elettronici oggetto d’indagine Diritto Processuale Penale dell’Informatica? DAL AL Indagine Informatica Diritto e Informatica Informatica Forense Informatica Giudiziaria bfi
  • DAL-AL
    • Traduzione del linguaggio dei bit in “giuridichese”;
    • Traduzione, dal latino (traducěre), del giurista (avvocato o magistrato che sia), dalle macchine al foro, fino alla formazione della prova in aula, nel contraddittorio fra le parti. 
    • Trasformazione di un elemento di prova elettronica in qualcosa di tangibile. 
    • REPORT = TRADUZIONE in linguaggio giuridico di evidenze espresse in 0011000
    bfi Diritto COMPUTER FORENSICS Informatica Informatica COMPUTER FORENSICS Diritto
  • Definizioni
    • SVARIATE
    • Eccone alcune “datate”, d’oltreoceano:
    • “… il processo di identificazione, conservazione, analisi e presentazione
    • di digital evidence in processo garantendone l’ammissibilità”.
    • “… la raccolta e l’analisi di dati secondo una prassi che ne garantisca la libertà da distorsioni e pregiudizi cercando di ricostruire dati ed azioni avvenuti nel passato all’interno del sistema informatico”.
    bfi
  • … ne segue che la Computer Forensics interviene dopo che un sistema informatico è stato violato REATI INFORMATICI “PURI” Oppure un crimine è stato perpetrato attraverso l’impiego di sistemi informatici. REATI INFORMATICI “SPURI” bfi
  • SCOPI
    • Integrità probatoria
    • procedure
    • (best practice o linee guida e ora, x noi, anche la L.48/2008)
    • e strumentazioni specifiche
    • Computer Forensics HD E SW
    • Continuità probatoria
    • CHAIN OF CUSTODY
    bfi
  • IL PASSAGGIO DA-A bfi Elemento di prova Elettronico Computer Forensics Elemento di prova Fonte di prova Elettronica Computer Forensics Fonte di prova Ispezione, perquisizione, sequestro informatici (mezzi di ricerca della prova elettronica) Computer Forensics Ispezione, perquisizione, sequestro (mezzi di ricerca della prova) Indagini preliminari informatiche Computer Forensics Indagini preliminari Diritto Processuale Penale dell’Informatica? Computer Forensics Diritto Processuale Penale
  • IL TRADUTTORE l’ “Informatico forense. Chi era costui?” bfi
  • In Italia
    • Come ausiliario di P.G. e CT PM
    • Supporto all’ispezione, perquisizione e al sequestro, svolge operazioni informatica forense, in particolare di analisi in loco (preview), acquisizione in loco delle fonti di prova.
    • Come supporto alla difesa, CT
    • Esercizio diritto di difesa: verifica delle procedure. Supporto alle attività d’indagine difensiva, Libro VI, Titolo VI bis, c.p.p.,
    • per l’auspicata parità d’armi tra accusa e difesa
    bfi
  • PARTE II Un case study DAL SEQUESTRO AL REPORT in un’indagine di spionaggio industriale bfi
  • Questioni di fatto
    • La ditta “Keep-Out s.r.l.” Riscontra un calo di richieste di forniture da parte dei propri clienti. amministratori, che da qualche tempo avevano registrato vistose riduzioni dei ricavi, hanno avuto il sospetto che ci fosse in atto una fuga di dati.
    • A seguito di un’indagine interna emergono “prove” contro la ditta “Steal-Experts s.r.l.”, aperta da un ex dipendente della Keep-Out, che nel frattempo aveva instaurato rapporti commerciali con gli ora ex clienti della Keep-Out.
    • “ Keep-Out s.r.l.” sporge denuncia presso la Sezione Polizia delle Comunicazioni accusando “Steal-Experts s.r.l.” di aver sottratto loro l’archivio clienti.
    • Con il decreto di ispezione, di perquisizione e sequestro, sulla base di quanto disposto dalla nuova legge in materia di reati informatici, siamo intervenuti come ausiliari di PG per acquisire le fonti di prova elettronica del reato ipotizzato.
    bfi
  • Questioni di diritto
    • Caso di appropriazione e sottrazione di contenuti archiviati nella struttura informatica aziendale attraverso a ccesso abusivo a sistema informatico,
    • art. 615-ter del codice penale, l' accesso abusivo ad un sistema informatico o telematico è il reato di chi abusivamente si introduce in un sistema informatico o telematico protetto da misure di sicurezza ovvero vi si mantiene contro la volontà espressa o tacita di chi ha il diritto di escluderlo. La norma è stata introdotta con la legge 23 dicembre 1993, n.547.
    bfi
  • … nel caso di specie
    • Ruolo dei Computer Forensics Examiners: Ausiliari di PG per le operazioni di ispezione, perquisizione e sequestro nell’azienda e poi CT del PM
    • Totale assenza Forensics Examiner dell’avvocato, l’avvocato non poteva tutelare cliente non sapendo cosa stavamo facendo
    • Operazioni interessata: preview (L.48/2008), eventuale acquisizione in loco, analisi, reportistica.
    bfi
  • OPERAZIONI PRELIMINARI bfi niente
    • Analisi dlel’infrastruttura IT aziendale oggetto d’indagine
    • Identificazione dei punti chive della rete:
    • Server aziendale
    • mail server
    • File server
    Computer Forensics lato difesa Computer Forensics lato PG
  • Acquisizione Selettiva (Legge 48/2008)
    • Preview in loco alla ricerca di digital evidence
    • Si evita il sequestro “indiscriminato” (L. 48/2008)
    • Coinvolge procedure di Live Analysis
    bfi
  • Acquisizione Selettiva “PRO” E “CONTRO”
    • Riduce i tempi necessari al sequestro
    • Tutela la business continuity dell’azienda.
    • Ricostruzioni più accurate nelle indagini su macchine live.
    • Meno materiale da analizzare inutilmente in laboratorio.
    • Non ripetibilità per la Live Analysis
    • Luoghi o ambienti ostili.
    • Imprevisti sempre in agguato.
    bfi
  • Nel nostro caso
    • L’ambiente non era dei migliori
      • Stanze strette
      • Scrivanie in metallo (non adatte ad appoggiare materiale elettronico/informatico)
    • Il server aveva una configurazione di dischi raid
      • Apparentemente un’acquisizione di routine ma
      • Presentava dei guasti hardware: non è stato possibile effettuare la preview.
    bfi
  • Allora: bfi niente
    • Acquisizione fisica dei dischi:
    • Tentativo di ricostruzione
    • mediante strumenti d’analisi
    • in un secondo momento
    • Ricostruzione andata a buon fine, ma non garantita dagli strumenti sino ad ora esistenti sul mercato
    Computer Forensics lato difesa Computer Forensics lato PG
  • Come si è proceduto, ovvero GLI STRUMENTI DEL COMPUTER FORENSICS EXAMINER
    • Write Blocker, cavi, adattatori per ogni tipo di media.
    • Live-CD
      • Helix (acquisizione e preview)
      • Backtrack (Network forensics)
      • PlainSight (Preview) (Novità promettente)
    • Strumenti di analisi Live
      • Strumenti non invasivi di analisi
      • RAM Dumper
    • Storage, tanto storage…
    bfi
  • CHAIN OF CUSTODY “…lista dettagliata di cosa si è fatto dei dati originali una volta raccolti…”
    • FFINI IMMEDIATI
    • lla tracciabilità degli elementi di prova raccolti
    • Lla ricostruibilità degli eventi
    • Lla ripetibilità.
    • IIL FINE ULTIMO
    • Ll’ autenticità
    • Ll’ inalterabilità
    • Lla conseguente validità di un elemento di prova (elettronica)
    bfi
  • … to be continued… bfi
  • IL REPORT per il PM (LA TRADUZIONE)
    • Fornisce informazioni rilevanti circa le analisi forensi svolte
    • forma chiara, concisa, strutturata e non ambigua in maniera tale che si debba discutere su di essa il meno possibile.
    • N.B.
    • “ Questo approccio non è condiviso da tutti, soprattutto dai laboratori il cui scopo non è mostrare risultati ma evidenziare le possibili ambiguità dei risultati di altri. Il primo approccio quindi è tipico dei laboratori che operano per gli inquirenti mentre il secondo, spesso è tipico dei laboratori che operano per la difesa (in Italia discutere a lungo su qualcosa significa sminuirne la verità...)”.
    Fonte: Marco Mattiucci, http://www.marcomattiucci.com bfi
  • Struttura del REPORT
    • Identificazione del caso (es. Proc.penale);
    • Intestazione del laboratorio e nome del responsabile per l'indagine con annessi gli eventuali specialisti ed assistenti coinvolti;
    • Qualifica del responsabile per le indagini il quale deve firmare il documento in ogni suo foglio con data annessa;
    • La data di ricezione dei reperti, l'eventuale riconsegna e tutta la catena di custodia;
    • Riferimento del richiedente l'analisi;
    • La lista dei reperti impiegati per l'analisi;
    • La constatazione dello stato dei reperti al momento della ricezione;
    • La lista della documentazione inerente il fascicolo di indagine ricevuta all'inizio dell'indagine;
    • Richiesta relativa all'analisi forense;
    • Dettagli tecnici dell'analisi svolta;
    • Risultati tecnici e risultati legali;
    • Segnalazione degli eventuali reperti che non è stato possibile esaminare e le ragioni specifiche.
    • Descrizione dei tool e dei metodi impiegati o riferimento al manuale di qualità e/o a manuali specifici.
    • FONTE: Marco Mattiucci, http://www.marcomattiucci.com
    bfi
  • Fonti
    • Mc Kemmish, R. (1999), “What is Forensic Computing”, Trends and Issues in Crime and Criminal Justice (118), Australian Institute of Criminology.
    • Farmer D., Venema W. (2000), “Forensic Computer Analysis: an Introduction. Reconstructing past Events.”, Dr Dobb’s Journal, 29, 70-75.
    • Jesse Kornblum, “Preservation of Fragile-Digital Evidence by First Responders” 2002, Air Force Office of Special Investigation.
    • Luca Lupària, Giovanni Ziccardi, “Investigazione penale e tecnologia informtica”, Milano, 2007, Giuffrè Editore
    • Francesco Cajani, “Indagini infomatiche e attività del PM: peculiarità e aspetti problematici”, Ciclo di 10 seminari su “Computer Forensics, investigazione penale e criminalità tecnologica”, a.a. 2006/2007, Università degli Studi di Milano, L.E.F.T.
    • Marco Mattiucci, http://www.marcomattiucci.com
    bfi
  • Grazie dell’attenzione. Francesco Acchiappati BRIXIA FORENSICS INSTITUTE s.r.l. bfi