SlideShare a Scribd company logo

Slide chivari 20130517

denis frati
denis frati

Utilità della'analisi forense dei dispositivi digitali in teatro di operazioni militari. Digital Intelligence tr

Data & Analytics
1 of 45
Download to read offline
Se il bit diventa Strategia: Tra Cybercrime, Cyberwar e Battlefield Forensics Sestri Levante 16-17 Maggio 2013 Sensitive Site Eploitation Evidence Intelligence Antagonismo Attivismo Cybercrime Terrorismo Information warfare Cyberwarfare
battlefield forensic 2 maggio 2011 I Navy Seal irrompono nel compound di Osama bin Laden ad Abbotabad (Pakistan). L'obiettivo primario viene ucciso nell'azione. I soldati si attardano per circa 40 minuti sul luogo dell'azione recuperando, computer, memory stick e documenti. Alla ribalta delle cronache!
battlefield forensic News ?? ● Quanto avvenuto rappresenta una novità? ● E' la prima volta che i militari dedicano questa attenzione ai media digitali? ● Quale utilizzo verrà fatto (o potrebbe essere fatto) delle informazioni raccolte? ● Quali sono le procedure ed i protocolli adottati per raccogliere le “evidence” ?
La società moderna basa sempre più le comunicazione e la conservazione delle informazioni su canali e dispositivi digitali: ● posta elettronica; ● sms: ● pagine web: ● chat; ● social network; ● computer; ● server; ● memorie di massa (hard disk, drive usb, memorie SD) ● fotocamere e videocamere digitali; ● telefoni cellulari; ● smartphone e Tablet battlefield forensic
battlefield forensic I teatri di guerra, le aree di conflitto, non si differenziano dal resto del mondo. SEBBENE diffusione della tecnologia sia frenata da: ● cultura; ● arretratezza; ● tribalismo; ● dettami sociali e/o religiosi; GLI INSURGENTS Apprezzano vantaggio offerto dalla tecnologia per: ● comunicazioni; ● logistica; ● balistica; ● Intelligence; ● propaganda;
battlefield forensic Le forze sul terreno hanno la necessità di comunicare, con continuità, con le strutture di comando e tra loro: ● ordini; ● report; ● richieste logistiche; ● richieste di intervento (assetti specialistici, counter ED, 3a dimensione, genio, ecc...);
battlefield forensic Il dialogo con i media e con le masse avviene attraverso video e fotografie elaborati digitalmente, diffusi attraverso web, email, chat. I dispositivi digitali si prestano alla realizzazione di IED controllabili a distanza.
battlefield forensic Tuttavia le forze irregolari potrebbero: ● avere un addestramento incompleto ed esser prive del concetto di riserbo e riservatezza, causando una perdita informativa (abbandono foto, documenti, memorie di massa, filmati per documentare/rivendicare azioni terroristiche), o utilizzino impropriamente social network, posta elettronica, cellulari, radio non criptate, ecc..
battlefield forensic La Battlefield Forensic è volta a stabilire i fatti verificatisi sul campo di battaglia rispondendo alle “five W” chi, cosa, dove, quando, perchè (Who, what, where, when, why) Fornisce elementi di informazione all'intelligence operativa ● influenzando lo svolgimento delle operazioni sul campo consentendo azioni di contrasto; ● consente di motivare azioni e reazioni (rispetto ROE, CAVEAT); ● permette di indagare gli autori di crimini contro l'umanità. È necessaria ? BATTLEFIELD Forensics
battlefield forensic Intelligence & Operazioni Organi livello superiore elaborazione Attività sul Terreno Nuove Informazioni Acquisite da assetti intelligenge S2/G2 valutazione Reparti schierati Modifica pianificazione delle attività
battlefield forensic Nell'era digitale, l'analisi dei media digitali usati, dei dati in essi contenuti, consente di ricostruire: ● eventi; ● contatti; ● collegamenti; ● vie di approvvigionamento (soldi, equipaggiamenti, uomini, ecc..); ricostruendo il network criminale/terroristico/avversario NETWORK Tracking & REBUILDING
QUALI INFORMAZIONI POSSIAMO trovARE nei dispositivi digitali? Evidence Info diretta Info derivata formato Documenti Progetti, organigrammi, liste, procedure Dipendente dall'attività investigativa e di analisi Doc, odt, rtf, txt, pdf Immagini Schemi, progetti, fotografie, scansioni Identificazione luoghi e soggetti, correlazione tra luoghi e soggetti, correlazioni temporali, individuazione possibili target Tutti i formati grafici (jpg, png, jiff, tiff, ecc...) Video Eventi, dialoghi Identificazione luoghi, persone, correlazione evento, istante temporale, luogo, soggetti coinvolti, individuazione possibili target e progetti Tutti i formati video (3gp, avi, flv, mp4v, DivX, ecc...) Audio dialoghi Dipendente dall'attività investigativa e di analisi Tutti i formati audio (mp1/2/3, wav, wma, ecc..) Cronologia e cache Internet Browser Navigazione internet Correlazione account social network/posta con soggetti, identificazione risorse informative, vie di comunicazione, supporters, individuazione possibili target, username/password Sqlite, index.dat, cache Data base posta elettronica corrispondenza Correlazione account posta con soggetti, contenuti propri corrispondenza,username/password, indirizzi ip eml, pst, dbx, mbox Chat Dialoghi/corrispondenza Correlazione account posta con soggetti,dipendente dall'attività investigativa e di analisi proprietari SMS Dialoghi/corrispondenza Numeri telefonia mobile, dipendente dall'attività investigativa e di analisi Rubrica contatti Contatti Correlazione numeri telefono/inidirizzi mail con nomi/nickname Liste chiamate Chiamate entrata/uscita Correlazioni tra numeri telefono/contatti/chiamate GPS/GoogleMaps Posizioni geografiche Correlazioni geografico/temporali, individuazione depositi, sedi, rifugi battlefield forensic
QUALE puq' essere l'utilita' Di queste informazioni? battlefield forensic Conoscere, attraverso l'analisi dei media digitali del sospetto (prigioniero, collaborazionista, ecc...) il suo orientamento politico, religioso, sessuale, la sua situazione famigliare, economica, sentimentale, può rivelarsi utile in fase di “intervista” per motivarlo ad assumere atteggiamenti di maggior collaborazione?
battlefield forensic Acquisizione evidence digitali Quali Limiti ? Dovuti a specificità ● dell'ambiente in cui si opera (naturale, condi meteo, stagione presenza/contatto con il nemico); ● dei task da svolgere; ● della tipologia di movimento e dei mezzi di movimento ; ● dell'equipaggiamento;
battlefield forensic Esempio 1Colpo di mano: ● infiltrazione in territorio ostile via elicottero; ● bivacco.; ● attivazione OP; ● acquisizione OBJ; ● azione; ● esfiltrazione; Operation Red Wing (http://en.wikipedia.org/wiki/ Operation_Red_Wing) “No Easy Day” Mark Owen & Kevin Maurer, p.109-p.116 “Caduta Libera” di Nicolai Lilin, ed. Einaudi, p. 190 e succ.
battlefield forensic Cordon & Search: Sono operazioni svolte con impiego di forze diversificate e numerose, con assetti specializzati alle diverse attività Esempio 2 (cinturazione, ricerca e bonifica, sorveglianza, sicurezza, ecc..). Pur non essendo operazioni speciali sono svolte in un ambiente particolare” e comportano un elevato livello di rischio.
battlefield forensic Procedure OperativE L'esigenza di codificare le procedure operative e di intervento nell'ambito della ricerca di “evidence” digitali è chiaramente percepita. Le forze armate USA hanno cercato di standardizzare metodiche e procedure. La Joint Special Operations University (JSOU) nel 2009 pubblica: “Information Warfare: Assuring Digital Intelligence Collection” - William G. Perry http://www.globalsecurity.org/military/library/ report/2009/0907_jsou-paper-09-1.pdf
battlefield forensic Giugno 2010 - NAVAL POSTGRADUATE SCHOOL MONTEREY, CALIFORNIA http://dodreports.com/pdf/ada524 701.pdf Citando da: “STRATEGIC UTILIZATION OF NORWEGIAN SPECIAL OPERATIONS FORCES” by Kjetil Mellingen Quali operatori ?
battlefield forensic Quindi ? Esperienze operative: Quando, come, dove sono state reperite evidence digitali ? Tipologia di missione ? Problematiche operative ? Esigenze: Intelligence, investigative, legali Problematiche tecniche: in loco/azione nell'analisi successiva Evitabili a fronte di operazioni differenti Procedure, metodiche, standard operativi, best practices
what's ? Cyber attacks GuErra di informazione terrorismo Advanced persistent threat Electronic warfare Cyber crime Computer Network operation Spionaggio Infrastrutture critiche Cyber Warfare
Cyber Warfare Target ! Società globalizzata: industria, comunicazioni, commercio, ricerca, servizi sociali, enti governativi, finanziari, strutture sanitarie, infrastrutture energetiche... tutto ON line Le FFAA, FFPP, gli assetti d'intelligence, devono acquisire e mantenere la superiorità, supremazia ed iniziativa d'azione in rete ai fini di tutelare gli interessi e la sicurezza della nazione. Conservare la libertà di movimento, azione in rete, la gestione dei servizi essenziali (infrastrutture critiche), proteggendo interessi nazionali in rete.
Cyber Warfare UN NUOVO DOMINIO Una nuova dimensione Dopo terra, aria, mare e spazio... IL CYBERSPAZIO! una nuova area di manovra per le forze armate, di polizia e per gli assetti dell' intelligence. Non è guerra elettronica (EW): ● differente il mezzo da colpire; ● differenti gli strumenti; non è guerra di informazione (pg.2 Air Force Doctrine Document 3-12, 15 July 2010): ● consente (come tutti gli altri domini) di fornire informazioni ● può essere parte dell' Information Warfare, come delle PSYOPS
Cyber Warfare Quali possibilita' ? Computer Network Operation (CNO) ● attack: distruzione delle strutture di rete avversarie; ● defence: proteggere, monitorare, analizzare la propria rete per riconoscere, individuare, rispondere ad attacchi, intrusione, ecc...; ● exploitation: accesso a dati avversari attraverso la violazione di reti/sistemi avversari; Prendere parte alle operazioni di guerra psicologica (PSYOPS) agendo sulle informazioni fornite agli utenti della rete, pilotandone opinioni, emozioni, orientamenti. Possiamo dire che il Cyberspace è un sistema d'arma (operatore + Strumento) che consente di perseguire OBJ altamente remunerativi a costi inesistenti, essendo il mezzo (la rete) accessibile a chiunque, ovunque, in tempo reale, permettendo a qualunque nazione, movimento, individuo, uno sproporzionato incremento del fattore efficacia.
Cyber Warfare Chi e' l'avversario ? - Lone Hacker; - Script Kids; - Antagonisti, movimenti di protesta (Anonymous, LulzSec, .....) - Industrie concorrenti; - Terroristi; - Paesi/blocchi contrapposti; Cybercrime Hacktivismo Spy Ind. Cyberwararfare A spot Protesta APT Strategia lungo breve termine Evento termine silenzioso rivendica silenzioso silenzioso
Cyber Warfare Qualcuno e' gia' pronto
Cyber Warfare Qualcuno e' gia' pronto
Cyber Warfare Siamo Pronti ?? (AGENPARL) - Roma, 22 giu 2011 - 'Cybercooperation, cyberwarfare and cybersecurity on the eve of 21st Century' è il titolo della conferenza, organizzata dal Centro Studi Sviluppo Relazioni per la sicurezza Tts presso Sala Capitolare del Senato della Repubblica..... .... Interverranno: Jart Armin, analista Sigint esperto di cybercrime presso la Fondazione CyberDefCon; Luisa Franchina, direttore della Segreteria per le Infrastrutture critiche, Presidenza del Consiglio dei Ministri; Raoul Chiesa, ethical hacker e esperto di sicurezza informatica. .... ........ "L'Italia - spiega il senatore Esposito - è impreparata mentalmente e strutturalmente ad affrontare gli attacchi informatici alle sue infrastrutture digitali. Occorre al più presto una cabina di regia che coordini, con il livello politico, la difesa informatica presso la Presidenza del Consiglio, ispirata a qualche modello già adottato da altri stati sensibili a questo problema. C'è anche un'altra carenza italiana: manca un centro di raccolta dei dati sugli attacchi. L'Italia non può devolvere la propria sovranità agli Usa o alla Nato".
Cyber Warfare Quali risorse umane? Citando ancora “STRATEGIC UTILIZATION OF NORWEGIAN SPECIAL OPERATIONS FORCES” by Kjetil Mellingen
Cyber Warfare ESEMPIO 1 1990 Iraq, Prima Guerra del Golfo: ● gli assetti EW della coalizione intercettano e disturbano le comunicazioni radio; ● Le forze speciali sono inviate oltre le linee nemiche per tagliare i cavi delle linee telefoniche; <<Il vostro compito si divide in due parti>>, intervenne il capo. <<Uno, localizzare e distruggere le linee telefoniche nell'area della strada principale nord. Due, trovare e distruggere gli Scud.>> Pattuglia Barvo Two Zero – p. 31 - Andy McNab – Longanesi & C 2008 Seconda guerra in Ossezia del Sud: “The Russian invasion of Georgia was preceded by an intensive build up of cyberattacks attempting to disrupt, deface and bring down critical Georgian governmental and civilian online infrastructure. These attacks became a massive assault on the eve of the invasion which resulted in the blocking, re-routing of traffic and control being seized of various sections of Georgian cyberspace.” http://georgiaupdate.gov.ge/doc/10006922/ http://en.wikipedia.org/wiki/Cyberattacks_during_the_Russia%E2%80%93Georgia_war
Cyber Warfare ESEMPIO 2 Stuxnet: colpisce i sistemi Scada iraniani. Virus – by Patric Clair http://vimeo.com/25118844
Cyber Warfare ESEMPIO 3 Giugno 2011: Poderoso attacco di phishing contro centinaia di utenti Gmail, presi di mira funzionari governativi USA, attivisti cinesi, personale militare e giornalisti. Google identifica l'origine dell'attacco in indirizzi IP cinesi. La Cina glissa. Gli USA non reagiscono. http://krebsonsecurity.com/2011/06/spotting-web-based-email-attacks/ Ma chi è il colpevole? Alcuni paesi minacciano di reagire a cyber attacchi con operazioni militari tradizionali. Marcus Ranum: Dangerous Cyberwar Rhetoric http://blog.iansresearch.net/2011/08/cyberwar-rhetoric-.html Be Careful When Collecting Evidence
Cyber Warfare ESEMPIO 4 Estate 2011 Operation Cupcake: USA e UK pianificano separate operazioni “Cyber Command chief Lt. General Keith Alexander argued the mag was a danger to troops and in need of a takedown” La Cia blocca l'operazione “argued that it would expose sources and methods and disrupt an important source of intelligence” ...che viene compiuta dall'MI6 britannico http://www.telegraph.co.uk/news/u knews/terrorism-in-the-uk/8553366 /MI6-attacks-al-Qaeda-in-Operatio n-Cupcake.html
Cyber Warfare ESEMPIO 5 LulzSec Vs NATO e-book shop:
Cyber Warfare ESEMPIO 6 Antisec Vs Booz Allen Hamilton: BASE64-ENCODED SHA HASH echo -n PASSWORD | openssl dgst -sha1 -binary | openssl enc -base64
Cyber Warfare Conclusioni (ipotetiche) ESEMPIO 5/6 Information gathering, profiling, furto di identità, invio malware e phishing da mailbox trusted .......... e molto, molto altro !
Cyber Warfare A Noi non capita !! ● Firewall; ● Anti Virus Enterprise; ● Intrusion Detection System; ● Sonde; ● Sistemi operativi aggiornati; ● Ediscovery Systems; ● CERT; ● Presidi; ● Procedure codificate; ● Regolamenti;
Cyber Warfare ESEMPIO 7 24 Luglio 2011 - CNAIPIC: Anonymous & LulzSec annunciano (poi smentiscono) di aver violato il CNAIPIC, Centro Nazionale Anticrimine Informatico per la Protezione delle Infrastrutture Critiche, acquisendo 8 GB di documenti di cui rilasciano una preview. http://pastebin.com/r21cExeP http://thehackernews.com/2011/07/cnaipic-italian-government-hacked-by.html http://www.matteocavallini.com/2011/07/hanno-bucato-il-cnaipic.html
Cyber Warfare 23 Ottobre 2012: Il gruppo hacker/attivista Par:AnoIA rilascia documenti sottratti alla Polizia di Stato http://www.par-anoia.net/releases2012.html http://it.reuters.com/article/topNews/idITMIE89M019201210 23 ESEMPIO 8
Cyber Warfare L'Espresso pubblica “La Farnesina 'bucata' dagli hacker” 29 Aprile 2013 http://espresso.repubblica.it/dettaglio/la-farnesina-bucata-dagli-hacker/2205912 [cit]Solo ora il ministero si è accorto che i pirati del gruppo 'Par-anoia' hanno violato quasi due anni fa il sistema informatico che gestisce i visti d'ingresso. Ignoti i danni, ma il problema è la vulnerabilità dei siti di Stato ...Il primo obiettivo, colpito e probabilmente almeno per ora affondato, è il protocollo informatico per il rilascio dei visti, un elaborato software progettato per conto del Ministero degli Affari esteri e affidato alla polizia di stato. Il sistema si chiama "I-Vis"e per la sua realizzazione la Farnesina ha sborsato quasi quattro milioni di euro. Approvato nel 2001 e affidato con gara d'appalto, il protocollo da quel momento e sino ad oggi è ancora in fase di "roll-out". ...Proprio a quel periodo, verso la fine del 2011, risale l'effrazione portata a termine dagli hacker di "Par-anoia", che sono riusciti ad entrare nel sito della polizia italiana, presumibilmente attraverso un indirizzo mail collegato al portale istituzionale. Hanno catturato il messaggio di posta elettronica con cui il gruppo di aziende che ha prodotto il sistema si premurava di comunicare a tutte le sedi della polizia di frontiera del nostro paese i dati con cui accedere a "I-Vis" e gestirne le autorizzazioni per il rilascio dei visti d'ingresso. Buttata nel mare magnum della Rete, quella mail datata 28 ottobre 2011, non solo consente di navigare nel portale I-Vis con le autorizzazioni, i codici e le procedure per accedere ai visti d'ingresso, ma fornisce in chiaro gli account di posta elettronica di oltre 350 agenti di polizia italiana - proprio quelli impegnati nel settore di frontiera- i numeri di telefono di alcuni funzionari e progettisti. [/cit] E S E M P I O 9
Cyber Warfare Le informazioni non erano, come scritto da L'Espresso, rilasciate nel 2011, ma nel dump ad opera di Anonymous/Par:AnoIA dell'Ottobre 2012 … Non servivano costosi digital forensics e/o eDiscovery systems Poteva bastare un comando unix... $ grep ­ilR "password|passwd" * ... un differente approccio.
Cyber Warfare inteatro operativo DALl'uso strategico ALL'uso TATTICo ● Mappare la rete avversaria ● Monitorarne le comunicazioni ● Seguirne i movimenti ● Fornire info ingannevoli CIRCOSCRIVENDO L'AREA D'AZIONE
Cyber Warfare inteatro operativo poisoninG Attività militari tradizionali: ● vigilanza/interdizione; ● ricognizione e monitoraggio; volte ad isolare la parte avversa (istruisci, informi, coinvolgi, stimoli, migliori le condizioni di vita, aggreghi la massa): ● PSYOPS (Operazioni Psicologiche); ● CIMIC (Cooperazione Civile Militare); ● PI (Pubblica informazioni) Offrono le occasioni per immettere “sonde” nel tessuto sociale, veicolandole verso la struttura avversaria.
Cyber Warfare inteatro operativo Differenza dall'obj In T.N. L'attività investigativa su territorio nazionale richiede “l'acquisizione” di uno specifico obj, da profilarsi per “attagliare” approccio, esca, intrusione. In zona di operazioni non è indispensabile “acquisire” l'obj puntiforme, quanto arrivare a contatto con l'obiettivo, intendendo con esso la rete, la struttura informatizzata avversaria, i suoi nodi periferici per ricostruirla, mapparla, monitorarla.
“All hackers are ethical. But their ethics might not always match yours.” - QUESTION TIME -
ABOUT ME C.le 106° Cp. Mortai Btg.Alp.Saluzzo; 146° Corso AUC Smalp; C.te pl.mortai Btg.Alp.Susa; Gare Ptg. UNUCI; 151° Corso Allievi Agenti PdS; 1999-->2013 Polizia di Stato; Ideazione e partecipazione a progetti Open Source SFDumper, Caine Live-cd, CFItaly. Attività di divulgazione, convegni e seminari. Fondatore D3Lab (Phishing Monitoring & Fighting). info@d3lab.net

Recommended

Se il bit diventa strategia: tra Cybercrime, Cyberwar e Battlefiled Forensic
Se il bit diventa strategia: tra Cybercrime, Cyberwar e Battlefiled ForensicSe il bit diventa strategia: tra Cybercrime, Cyberwar e Battlefiled Forensic
Se il bit diventa strategia: tra Cybercrime, Cyberwar e Battlefiled Forensicdenis frati
 
social network e investigazione: alla ricerca del reo
social network e investigazione: alla ricerca del reosocial network e investigazione: alla ricerca del reo
social network e investigazione: alla ricerca del reodenis frati
 
I 10 trend tecnologici che definiranno il mercato della sicurezza nel 2018
I 10 trend tecnologici che definiranno il mercato della sicurezza nel 2018I 10 trend tecnologici che definiranno il mercato della sicurezza nel 2018
I 10 trend tecnologici che definiranno il mercato della sicurezza nel 2018Axis Communications
 
Sicurezza Informatica: Questa Sconosciuta
Sicurezza Informatica: Questa SconosciutaSicurezza Informatica: Questa Sconosciuta
Sicurezza Informatica: Questa SconosciutaMauro Gallo
 
Guida galattica per i data journalists
Guida galattica per i data journalistsGuida galattica per i data journalists
Guida galattica per i data journalistsDataninja
 
Seminario di informatica 2
Seminario di informatica 2Seminario di informatica 2
Seminario di informatica 2Andrea Barilli
 
le attivita di digital forensics nel cybercrime
le attivita di digital forensics nel cybercrimele attivita di digital forensics nel cybercrime
le attivita di digital forensics nel cybercrimeVincenzo Calabrò
 
Francesca Bosco, Cybercrime e cybersecurity. Profili internazionali
Francesca Bosco, Cybercrime e cybersecurity. Profili internazionaliFrancesca Bosco, Cybercrime e cybersecurity. Profili internazionali
Francesca Bosco, Cybercrime e cybersecurity. Profili internazionaliAndrea Rossetti
 

Recommended

Se il bit diventa strategia: tra Cybercrime, Cyberwar e Battlefiled Forensic
Se il bit diventa strategia: tra Cybercrime, Cyberwar e Battlefiled ForensicSe il bit diventa strategia: tra Cybercrime, Cyberwar e Battlefiled Forensic
Se il bit diventa strategia: tra Cybercrime, Cyberwar e Battlefiled Forensicdenis frati
 
social network e investigazione: alla ricerca del reo
social network e investigazione: alla ricerca del reosocial network e investigazione: alla ricerca del reo
social network e investigazione: alla ricerca del reodenis frati
 
I 10 trend tecnologici che definiranno il mercato della sicurezza nel 2018
I 10 trend tecnologici che definiranno il mercato della sicurezza nel 2018I 10 trend tecnologici che definiranno il mercato della sicurezza nel 2018
I 10 trend tecnologici che definiranno il mercato della sicurezza nel 2018Axis Communications
 
Sicurezza Informatica: Questa Sconosciuta
Sicurezza Informatica: Questa SconosciutaSicurezza Informatica: Questa Sconosciuta
Sicurezza Informatica: Questa SconosciutaMauro Gallo
 
Guida galattica per i data journalists
Guida galattica per i data journalistsGuida galattica per i data journalists
Guida galattica per i data journalistsDataninja
 
Seminario di informatica 2
Seminario di informatica 2Seminario di informatica 2
Seminario di informatica 2Andrea Barilli
 
le attivita di digital forensics nel cybercrime
le attivita di digital forensics nel cybercrimele attivita di digital forensics nel cybercrime
le attivita di digital forensics nel cybercrimeVincenzo Calabrò
 
Francesca Bosco, Cybercrime e cybersecurity. Profili internazionali
Francesca Bosco, Cybercrime e cybersecurity. Profili internazionaliFrancesca Bosco, Cybercrime e cybersecurity. Profili internazionali
Francesca Bosco, Cybercrime e cybersecurity. Profili internazionaliAndrea Rossetti
 
Claudio Agosti - Veneto 2014
Claudio Agosti - Veneto 2014Claudio Agosti - Veneto 2014
Claudio Agosti - Veneto 2014Claudio Vecna
 
G. Matarazzo, Offerta ICT e scenari di digitalizzazione
G. Matarazzo, Offerta ICT e scenari di digitalizzazioneG. Matarazzo, Offerta ICT e scenari di digitalizzazione
G. Matarazzo, Offerta ICT e scenari di digitalizzazioneIstituto nazionale di statistica
 
Il Diritto Processuale Penale dell’Informatica e le Investigazioni Informatiche
Il Diritto Processuale Penale dell’Informatica e le Investigazioni InformaticheIl Diritto Processuale Penale dell’Informatica e le Investigazioni Informatiche
Il Diritto Processuale Penale dell’Informatica e le Investigazioni InformaticheVincenzo Calabrò
 
Big data and iot
Big data and iotBig data and iot
Big data and iotT3basilicata
 
Sicurezza in rete: Hacking Team
Sicurezza in rete: Hacking TeamSicurezza in rete: Hacking Team
Sicurezza in rete: Hacking TeamNaLUG
 
Live forensics e Cloud Computing
Live forensics e Cloud ComputingLive forensics e Cloud Computing
Live forensics e Cloud ComputingDavide Gabrini
 
Sicurezza informatica per le professioni legali
Sicurezza informatica per le professioni legaliSicurezza informatica per le professioni legali
Sicurezza informatica per le professioni legaliRaffaella Brighi
 
Dai dati al valore: come utilizzare i dati per migliorare le strategie di dis...
Dai dati al valore: come utilizzare i dati per migliorare le strategie di dis...Dai dati al valore: come utilizzare i dati per migliorare le strategie di dis...
Dai dati al valore: come utilizzare i dati per migliorare le strategie di dis...Elisabetta Parodi
 
TESI - FONDAZIONE FALCONE 2016/2017
TESI - FONDAZIONE FALCONE 2016/2017TESI - FONDAZIONE FALCONE 2016/2017
TESI - FONDAZIONE FALCONE 2016/2017Gianluca Bertolini
 
Dati prodotti da sensori Una risorsa per scelte consapevoli e città intelligenti
Dati prodotti da sensori Una risorsa per scelte consapevoli e città intelligentiDati prodotti da sensori Una risorsa per scelte consapevoli e città intelligenti
Dati prodotti da sensori Una risorsa per scelte consapevoli e città intelligentidatitrentinoit
 
Sardegna DistrICT - Il Distretto ICT della Regione Autonoma della Sardegna (1...
Sardegna DistrICT - Il Distretto ICT della Regione Autonoma della Sardegna (1...Sardegna DistrICT - Il Distretto ICT della Regione Autonoma della Sardegna (1...
Sardegna DistrICT - Il Distretto ICT della Regione Autonoma della Sardegna (1...Pietro Zanarini
 
Alter Ego del Web: Cybersquatting e furti di identità
Alter Ego del Web: Cybersquatting e furti di identitàAlter Ego del Web: Cybersquatting e furti di identità
Alter Ego del Web: Cybersquatting e furti di identitàRossella D'Onofrio
 
Ardomino: può un sensore parlare?
Ardomino: può un sensore parlare? Ardomino: può un sensore parlare?
Ardomino: può un sensore parlare? Valentina Grasso
 
Vincenzo Calabrò - Tracciabilita' delle Operazioni in Rete e Network Forensics
Vincenzo Calabrò - Tracciabilita' delle Operazioni in Rete e Network ForensicsVincenzo Calabrò - Tracciabilita' delle Operazioni in Rete e Network Forensics
Vincenzo Calabrò - Tracciabilita' delle Operazioni in Rete e Network ForensicsVincenzo Calabrò
 
Approfondimento sui Big Data
Approfondimento sui Big DataApprofondimento sui Big Data
Approfondimento sui Big DataMartinaSalvini
 
Informatica Presente e Futuro
Informatica Presente e FuturoInformatica Presente e Futuro
Informatica Presente e FuturoFrancesco De Angelis
 
Intelligence: tecnologie e servizi
Intelligence: tecnologie e servizi Intelligence: tecnologie e servizi
Intelligence: tecnologie e servizi Leonardo
 
Fonti di prova digitali
Fonti di prova digitaliFonti di prova digitali
Fonti di prova digitaliGennaro Esposito
 
Rete di sicurezza
Rete di sicurezzaRete di sicurezza
Rete di sicurezzaVittorio Pasteris
 
Perché oggi è importante tutelare le informazioni
Perché oggi è importante tutelare le informazioniPerché oggi è importante tutelare le informazioni
Perché oggi è importante tutelare le informazioniDI.TECH - Innovazione per la distribuzione
 
Phishing: monitoraggio e contrasto - i possibili approcci e le reali possibilità
Phishing: monitoraggio e contrasto - i possibili approcci e le reali possibilitàPhishing: monitoraggio e contrasto - i possibili approcci e le reali possibilità
Phishing: monitoraggio e contrasto - i possibili approcci e le reali possibilitàdenis frati
 
Phishing fast & furious
Phishing fast & furiousPhishing fast & furious
Phishing fast & furiousdenis frati
 

More Related Content

Similar to Slide chivari 20130517

Claudio Agosti - Veneto 2014
Claudio Agosti - Veneto 2014Claudio Agosti - Veneto 2014
Claudio Agosti - Veneto 2014Claudio Vecna
 
Il Diritto Processuale Penale dell’Informatica e le Investigazioni Informatiche
Il Diritto Processuale Penale dell’Informatica e le Investigazioni InformaticheIl Diritto Processuale Penale dell’Informatica e le Investigazioni Informatiche
Il Diritto Processuale Penale dell’Informatica e le Investigazioni InformaticheVincenzo Calabrò
 
Sicurezza in rete: Hacking Team
Sicurezza in rete: Hacking TeamSicurezza in rete: Hacking Team
Sicurezza in rete: Hacking TeamNaLUG
 
Live forensics e Cloud Computing
Live forensics e Cloud ComputingLive forensics e Cloud Computing
Live forensics e Cloud ComputingDavide Gabrini
 
Sicurezza informatica per le professioni legali
Sicurezza informatica per le professioni legaliSicurezza informatica per le professioni legali
Sicurezza informatica per le professioni legaliRaffaella Brighi
 
Dai dati al valore: come utilizzare i dati per migliorare le strategie di dis...
Dai dati al valore: come utilizzare i dati per migliorare le strategie di dis...Dai dati al valore: come utilizzare i dati per migliorare le strategie di dis...
Dai dati al valore: come utilizzare i dati per migliorare le strategie di dis...Elisabetta Parodi
 
TESI - FONDAZIONE FALCONE 2016/2017
TESI - FONDAZIONE FALCONE 2016/2017TESI - FONDAZIONE FALCONE 2016/2017
TESI - FONDAZIONE FALCONE 2016/2017Gianluca Bertolini
 
Dati prodotti da sensori Una risorsa per scelte consapevoli e città intelligenti
Dati prodotti da sensori Una risorsa per scelte consapevoli e città intelligentiDati prodotti da sensori Una risorsa per scelte consapevoli e città intelligenti
Dati prodotti da sensori Una risorsa per scelte consapevoli e città intelligentidatitrentinoit
 
Sardegna DistrICT - Il Distretto ICT della Regione Autonoma della Sardegna (1...
Sardegna DistrICT - Il Distretto ICT della Regione Autonoma della Sardegna (1...Sardegna DistrICT - Il Distretto ICT della Regione Autonoma della Sardegna (1...
Sardegna DistrICT - Il Distretto ICT della Regione Autonoma della Sardegna (1...Pietro Zanarini
 
Alter Ego del Web: Cybersquatting e furti di identità
Alter Ego del Web: Cybersquatting e furti di identitàAlter Ego del Web: Cybersquatting e furti di identità
Alter Ego del Web: Cybersquatting e furti di identitàRossella D'Onofrio
 
Ardomino: può un sensore parlare?
Ardomino: può un sensore parlare? Ardomino: può un sensore parlare?
Ardomino: può un sensore parlare? Valentina Grasso
 
Vincenzo Calabrò - Tracciabilita' delle Operazioni in Rete e Network Forensics
Vincenzo Calabrò - Tracciabilita' delle Operazioni in Rete e Network ForensicsVincenzo Calabrò - Tracciabilita' delle Operazioni in Rete e Network Forensics
Vincenzo Calabrò - Tracciabilita' delle Operazioni in Rete e Network ForensicsVincenzo Calabrò
 
Approfondimento sui Big Data
Approfondimento sui Big DataApprofondimento sui Big Data
Approfondimento sui Big DataMartinaSalvini
 
Intelligence: tecnologie e servizi
Intelligence: tecnologie e servizi Intelligence: tecnologie e servizi
Intelligence: tecnologie e servizi Leonardo
 

Similar to Slide chivari 20130517 (20)

Claudio Agosti - Veneto 2014
Claudio Agosti - Veneto 2014Claudio Agosti - Veneto 2014
Claudio Agosti - Veneto 2014
 
G. Matarazzo, Offerta ICT e scenari di digitalizzazione
G. Matarazzo, Offerta ICT e scenari di digitalizzazioneG. Matarazzo, Offerta ICT e scenari di digitalizzazione
G. Matarazzo, Offerta ICT e scenari di digitalizzazione
 
Il Diritto Processuale Penale dell’Informatica e le Investigazioni Informatiche
Il Diritto Processuale Penale dell’Informatica e le Investigazioni InformaticheIl Diritto Processuale Penale dell’Informatica e le Investigazioni Informatiche
Il Diritto Processuale Penale dell’Informatica e le Investigazioni Informatiche
 
Big data and iot
Big data and iotBig data and iot
Big data and iot
 
Sicurezza in rete: Hacking Team
Sicurezza in rete: Hacking TeamSicurezza in rete: Hacking Team
Sicurezza in rete: Hacking Team
 
Live forensics e Cloud Computing
Live forensics e Cloud ComputingLive forensics e Cloud Computing
Live forensics e Cloud Computing
 
Sicurezza informatica per le professioni legali
Sicurezza informatica per le professioni legaliSicurezza informatica per le professioni legali
Sicurezza informatica per le professioni legali
 
Dai dati al valore: come utilizzare i dati per migliorare le strategie di dis...
Dai dati al valore: come utilizzare i dati per migliorare le strategie di dis...Dai dati al valore: come utilizzare i dati per migliorare le strategie di dis...
Dai dati al valore: come utilizzare i dati per migliorare le strategie di dis...
 
TESI - FONDAZIONE FALCONE 2016/2017
TESI - FONDAZIONE FALCONE 2016/2017TESI - FONDAZIONE FALCONE 2016/2017
TESI - FONDAZIONE FALCONE 2016/2017
 
Dati prodotti da sensori Una risorsa per scelte consapevoli e città intelligenti
Dati prodotti da sensori Una risorsa per scelte consapevoli e città intelligentiDati prodotti da sensori Una risorsa per scelte consapevoli e città intelligenti
Dati prodotti da sensori Una risorsa per scelte consapevoli e città intelligenti
 
Sardegna DistrICT - Il Distretto ICT della Regione Autonoma della Sardegna (1...
Sardegna DistrICT - Il Distretto ICT della Regione Autonoma della Sardegna (1...Sardegna DistrICT - Il Distretto ICT della Regione Autonoma della Sardegna (1...
Sardegna DistrICT - Il Distretto ICT della Regione Autonoma della Sardegna (1...
 
Alter Ego del Web: Cybersquatting e furti di identità
Alter Ego del Web: Cybersquatting e furti di identitàAlter Ego del Web: Cybersquatting e furti di identità
Alter Ego del Web: Cybersquatting e furti di identità
 
Ardomino: può un sensore parlare?
Ardomino: può un sensore parlare? Ardomino: può un sensore parlare?
Ardomino: può un sensore parlare?
 
Vincenzo Calabrò - Tracciabilita' delle Operazioni in Rete e Network Forensics
Vincenzo Calabrò - Tracciabilita' delle Operazioni in Rete e Network ForensicsVincenzo Calabrò - Tracciabilita' delle Operazioni in Rete e Network Forensics
Vincenzo Calabrò - Tracciabilita' delle Operazioni in Rete e Network Forensics
 
Approfondimento sui Big Data
Approfondimento sui Big DataApprofondimento sui Big Data
Approfondimento sui Big Data
 
Informatica Presente e Futuro
Informatica Presente e FuturoInformatica Presente e Futuro
Informatica Presente e Futuro
 
Intelligence: tecnologie e servizi
Intelligence: tecnologie e servizi Intelligence: tecnologie e servizi
Intelligence: tecnologie e servizi
 
Fonti di prova digitali
Fonti di prova digitaliFonti di prova digitali
Fonti di prova digitali
 
Rete di sicurezza
Rete di sicurezzaRete di sicurezza
Rete di sicurezza
 
Perché oggi è importante tutelare le informazioni
Perché oggi è importante tutelare le informazioniPerché oggi è importante tutelare le informazioni
Perché oggi è importante tutelare le informazioni
 

More from denis frati

Phishing: monitoraggio e contrasto - i possibili approcci e le reali possibilità
Phishing: monitoraggio e contrasto - i possibili approcci e le reali possibilitàPhishing: monitoraggio e contrasto - i possibili approcci e le reali possibilità
Phishing: monitoraggio e contrasto - i possibili approcci e le reali possibilitàdenis frati
 
Phishing fast & furious
Phishing fast & furiousPhishing fast & furious
Phishing fast & furiousdenis frati
 
Identità digitali violate: Phishing
Identità digitali violate: PhishingIdentità digitali violate: Phishing
Identità digitali violate: Phishingdenis frati
 
Phishing: anatomia del fenomeno
Phishing: anatomia del fenomenoPhishing: anatomia del fenomeno
Phishing: anatomia del fenomenodenis frati
 
Phishing: come si realizza, come riconoscerlo ed evitarlo
Phishing: come si realizza, come riconoscerlo ed evitarloPhishing: come si realizza, come riconoscerlo ed evitarlo
Phishing: come si realizza, come riconoscerlo ed evitarlodenis frati
 
Computer Forensics e L.48/2008 - Avv. Giovanni battista Gallus
Computer Forensics e L.48/2008 - Avv. Giovanni battista GallusComputer Forensics e L.48/2008 - Avv. Giovanni battista Gallus
Computer Forensics e L.48/2008 - Avv. Giovanni battista Gallusdenis frati
 
CAINE una distribuzione GNU/Linux per la computer forensics
CAINE una distribuzione GNU/Linux per la computer forensicsCAINE una distribuzione GNU/Linux per la computer forensics
CAINE una distribuzione GNU/Linux per la computer forensicsdenis frati
 
Sfdumper e cugini
Sfdumper e cuginiSfdumper e cugini
Sfdumper e cuginidenis frati
 
Linux per la Computer Forensics: i motivi di una scelta
Linux per la Computer Forensics: i motivi di una sceltaLinux per la Computer Forensics: i motivi di una scelta
Linux per la Computer Forensics: i motivi di una sceltadenis frati
 
LA PROVA INFORMATICA NEL PROCESSO PENALE - Aspetti Tecnici e Giuridici
LA PROVA INFORMATICA NEL PROCESSO PENALE - Aspetti Tecnici e GiuridiciLA PROVA INFORMATICA NEL PROCESSO PENALE - Aspetti Tecnici e Giuridici
LA PROVA INFORMATICA NEL PROCESSO PENALE - Aspetti Tecnici e Giuridicidenis frati
 

More from denis frati (10)

Phishing: monitoraggio e contrasto - i possibili approcci e le reali possibilità
Phishing: monitoraggio e contrasto - i possibili approcci e le reali possibilitàPhishing: monitoraggio e contrasto - i possibili approcci e le reali possibilità
Phishing: monitoraggio e contrasto - i possibili approcci e le reali possibilità
 
Phishing fast & furious
Phishing fast & furiousPhishing fast & furious
Phishing fast & furious
 
Identità digitali violate: Phishing
Identità digitali violate: PhishingIdentità digitali violate: Phishing
Identità digitali violate: Phishing
 
Phishing: anatomia del fenomeno
Phishing: anatomia del fenomenoPhishing: anatomia del fenomeno
Phishing: anatomia del fenomeno
 
Phishing: come si realizza, come riconoscerlo ed evitarlo
Phishing: come si realizza, come riconoscerlo ed evitarloPhishing: come si realizza, come riconoscerlo ed evitarlo
Phishing: come si realizza, come riconoscerlo ed evitarlo
 
Computer Forensics e L.48/2008 - Avv. Giovanni battista Gallus
Computer Forensics e L.48/2008 - Avv. Giovanni battista GallusComputer Forensics e L.48/2008 - Avv. Giovanni battista Gallus
Computer Forensics e L.48/2008 - Avv. Giovanni battista Gallus
 
CAINE una distribuzione GNU/Linux per la computer forensics
CAINE una distribuzione GNU/Linux per la computer forensicsCAINE una distribuzione GNU/Linux per la computer forensics
CAINE una distribuzione GNU/Linux per la computer forensics
 
Sfdumper e cugini
Sfdumper e cuginiSfdumper e cugini
Sfdumper e cugini
 
Linux per la Computer Forensics: i motivi di una scelta
Linux per la Computer Forensics: i motivi di una sceltaLinux per la Computer Forensics: i motivi di una scelta
Linux per la Computer Forensics: i motivi di una scelta
 
LA PROVA INFORMATICA NEL PROCESSO PENALE - Aspetti Tecnici e Giuridici
LA PROVA INFORMATICA NEL PROCESSO PENALE - Aspetti Tecnici e GiuridiciLA PROVA INFORMATICA NEL PROCESSO PENALE - Aspetti Tecnici e Giuridici
LA PROVA INFORMATICA NEL PROCESSO PENALE - Aspetti Tecnici e Giuridici
 

Slide chivari 20130517

  • 1. Se il bit diventa Strategia: Tra Cybercrime, Cyberwar e Battlefield Forensics Sestri Levante 16-17 Maggio 2013 Sensitive Site Eploitation Evidence Intelligence Antagonismo Attivismo Cybercrime Terrorismo Information warfare Cyberwarfare
  • 2. battlefield forensic 2 maggio 2011 I Navy Seal irrompono nel compound di Osama bin Laden ad Abbotabad (Pakistan). L'obiettivo primario viene ucciso nell'azione. I soldati si attardano per circa 40 minuti sul luogo dell'azione recuperando, computer, memory stick e documenti. Alla ribalta delle cronache!
  • 3. battlefield forensic News ?? ● Quanto avvenuto rappresenta una novità? ● E' la prima volta che i militari dedicano questa attenzione ai media digitali? ● Quale utilizzo verrà fatto (o potrebbe essere fatto) delle informazioni raccolte? ● Quali sono le procedure ed i protocolli adottati per raccogliere le “evidence” ?
  • 4. La società moderna basa sempre più le comunicazione e la conservazione delle informazioni su canali e dispositivi digitali: ● posta elettronica; ● sms: ● pagine web: ● chat; ● social network; ● computer; ● server; ● memorie di massa (hard disk, drive usb, memorie SD) ● fotocamere e videocamere digitali; ● telefoni cellulari; ● smartphone e Tablet battlefield forensic
  • 5. battlefield forensic I teatri di guerra, le aree di conflitto, non si differenziano dal resto del mondo. SEBBENE diffusione della tecnologia sia frenata da: ● cultura; ● arretratezza; ● tribalismo; ● dettami sociali e/o religiosi; GLI INSURGENTS Apprezzano vantaggio offerto dalla tecnologia per: ● comunicazioni; ● logistica; ● balistica; ● Intelligence; ● propaganda;
  • 6. battlefield forensic Le forze sul terreno hanno la necessità di comunicare, con continuità, con le strutture di comando e tra loro: ● ordini; ● report; ● richieste logistiche; ● richieste di intervento (assetti specialistici, counter ED, 3a dimensione, genio, ecc...);
  • 7. battlefield forensic Il dialogo con i media e con le masse avviene attraverso video e fotografie elaborati digitalmente, diffusi attraverso web, email, chat. I dispositivi digitali si prestano alla realizzazione di IED controllabili a distanza.
  • 8. battlefield forensic Tuttavia le forze irregolari potrebbero: ● avere un addestramento incompleto ed esser prive del concetto di riserbo e riservatezza, causando una perdita informativa (abbandono foto, documenti, memorie di massa, filmati per documentare/rivendicare azioni terroristiche), o utilizzino impropriamente social network, posta elettronica, cellulari, radio non criptate, ecc..
  • 9. battlefield forensic La Battlefield Forensic è volta a stabilire i fatti verificatisi sul campo di battaglia rispondendo alle “five W” chi, cosa, dove, quando, perchè (Who, what, where, when, why) Fornisce elementi di informazione all'intelligence operativa ● influenzando lo svolgimento delle operazioni sul campo consentendo azioni di contrasto; ● consente di motivare azioni e reazioni (rispetto ROE, CAVEAT); ● permette di indagare gli autori di crimini contro l'umanità. È necessaria ? BATTLEFIELD Forensics
  • 10. battlefield forensic Intelligence & Operazioni Organi livello superiore elaborazione Attività sul Terreno Nuove Informazioni Acquisite da assetti intelligenge S2/G2 valutazione Reparti schierati Modifica pianificazione delle attività
  • 11. battlefield forensic Nell'era digitale, l'analisi dei media digitali usati, dei dati in essi contenuti, consente di ricostruire: ● eventi; ● contatti; ● collegamenti; ● vie di approvvigionamento (soldi, equipaggiamenti, uomini, ecc..); ricostruendo il network criminale/terroristico/avversario NETWORK Tracking & REBUILDING
  • 12. QUALI INFORMAZIONI POSSIAMO trovARE nei dispositivi digitali? Evidence Info diretta Info derivata formato Documenti Progetti, organigrammi, liste, procedure Dipendente dall'attività investigativa e di analisi Doc, odt, rtf, txt, pdf Immagini Schemi, progetti, fotografie, scansioni Identificazione luoghi e soggetti, correlazione tra luoghi e soggetti, correlazioni temporali, individuazione possibili target Tutti i formati grafici (jpg, png, jiff, tiff, ecc...) Video Eventi, dialoghi Identificazione luoghi, persone, correlazione evento, istante temporale, luogo, soggetti coinvolti, individuazione possibili target e progetti Tutti i formati video (3gp, avi, flv, mp4v, DivX, ecc...) Audio dialoghi Dipendente dall'attività investigativa e di analisi Tutti i formati audio (mp1/2/3, wav, wma, ecc..) Cronologia e cache Internet Browser Navigazione internet Correlazione account social network/posta con soggetti, identificazione risorse informative, vie di comunicazione, supporters, individuazione possibili target, username/password Sqlite, index.dat, cache Data base posta elettronica corrispondenza Correlazione account posta con soggetti, contenuti propri corrispondenza,username/password, indirizzi ip eml, pst, dbx, mbox Chat Dialoghi/corrispondenza Correlazione account posta con soggetti,dipendente dall'attività investigativa e di analisi proprietari SMS Dialoghi/corrispondenza Numeri telefonia mobile, dipendente dall'attività investigativa e di analisi Rubrica contatti Contatti Correlazione numeri telefono/inidirizzi mail con nomi/nickname Liste chiamate Chiamate entrata/uscita Correlazioni tra numeri telefono/contatti/chiamate GPS/GoogleMaps Posizioni geografiche Correlazioni geografico/temporali, individuazione depositi, sedi, rifugi battlefield forensic
  • 13. QUALE puq' essere l'utilita' Di queste informazioni? battlefield forensic Conoscere, attraverso l'analisi dei media digitali del sospetto (prigioniero, collaborazionista, ecc...) il suo orientamento politico, religioso, sessuale, la sua situazione famigliare, economica, sentimentale, può rivelarsi utile in fase di “intervista” per motivarlo ad assumere atteggiamenti di maggior collaborazione?
  • 14. battlefield forensic Acquisizione evidence digitali Quali Limiti ? Dovuti a specificità ● dell'ambiente in cui si opera (naturale, condi meteo, stagione presenza/contatto con il nemico); ● dei task da svolgere; ● della tipologia di movimento e dei mezzi di movimento ; ● dell'equipaggiamento;
  • 15. battlefield forensic Esempio 1Colpo di mano: ● infiltrazione in territorio ostile via elicottero; ● bivacco.; ● attivazione OP; ● acquisizione OBJ; ● azione; ● esfiltrazione; Operation Red Wing (http://en.wikipedia.org/wiki/ Operation_Red_Wing) “No Easy Day” Mark Owen & Kevin Maurer, p.109-p.116 “Caduta Libera” di Nicolai Lilin, ed. Einaudi, p. 190 e succ.
  • 16. battlefield forensic Cordon & Search: Sono operazioni svolte con impiego di forze diversificate e numerose, con assetti specializzati alle diverse attività Esempio 2 (cinturazione, ricerca e bonifica, sorveglianza, sicurezza, ecc..). Pur non essendo operazioni speciali sono svolte in un ambiente particolare” e comportano un elevato livello di rischio.
  • 17. battlefield forensic Procedure OperativE L'esigenza di codificare le procedure operative e di intervento nell'ambito della ricerca di “evidence” digitali è chiaramente percepita. Le forze armate USA hanno cercato di standardizzare metodiche e procedure. La Joint Special Operations University (JSOU) nel 2009 pubblica: “Information Warfare: Assuring Digital Intelligence Collection” - William G. Perry http://www.globalsecurity.org/military/library/ report/2009/0907_jsou-paper-09-1.pdf
  • 18. battlefield forensic Giugno 2010 - NAVAL POSTGRADUATE SCHOOL MONTEREY, CALIFORNIA http://dodreports.com/pdf/ada524 701.pdf Citando da: “STRATEGIC UTILIZATION OF NORWEGIAN SPECIAL OPERATIONS FORCES” by Kjetil Mellingen Quali operatori ?
  • 19. battlefield forensic Quindi ? Esperienze operative: Quando, come, dove sono state reperite evidence digitali ? Tipologia di missione ? Problematiche operative ? Esigenze: Intelligence, investigative, legali Problematiche tecniche: in loco/azione nell'analisi successiva Evitabili a fronte di operazioni differenti Procedure, metodiche, standard operativi, best practices
  • 20. what's ? Cyber attacks GuErra di informazione terrorismo Advanced persistent threat Electronic warfare Cyber crime Computer Network operation Spionaggio Infrastrutture critiche Cyber Warfare
  • 21. Cyber Warfare Target ! Società globalizzata: industria, comunicazioni, commercio, ricerca, servizi sociali, enti governativi, finanziari, strutture sanitarie, infrastrutture energetiche... tutto ON line Le FFAA, FFPP, gli assetti d'intelligence, devono acquisire e mantenere la superiorità, supremazia ed iniziativa d'azione in rete ai fini di tutelare gli interessi e la sicurezza della nazione. Conservare la libertà di movimento, azione in rete, la gestione dei servizi essenziali (infrastrutture critiche), proteggendo interessi nazionali in rete.
  • 22. Cyber Warfare UN NUOVO DOMINIO Una nuova dimensione Dopo terra, aria, mare e spazio... IL CYBERSPAZIO! una nuova area di manovra per le forze armate, di polizia e per gli assetti dell' intelligence. Non è guerra elettronica (EW): ● differente il mezzo da colpire; ● differenti gli strumenti; non è guerra di informazione (pg.2 Air Force Doctrine Document 3-12, 15 July 2010): ● consente (come tutti gli altri domini) di fornire informazioni ● può essere parte dell' Information Warfare, come delle PSYOPS
  • 23. Cyber Warfare Quali possibilita' ? Computer Network Operation (CNO) ● attack: distruzione delle strutture di rete avversarie; ● defence: proteggere, monitorare, analizzare la propria rete per riconoscere, individuare, rispondere ad attacchi, intrusione, ecc...; ● exploitation: accesso a dati avversari attraverso la violazione di reti/sistemi avversari; Prendere parte alle operazioni di guerra psicologica (PSYOPS) agendo sulle informazioni fornite agli utenti della rete, pilotandone opinioni, emozioni, orientamenti. Possiamo dire che il Cyberspace è un sistema d'arma (operatore + Strumento) che consente di perseguire OBJ altamente remunerativi a costi inesistenti, essendo il mezzo (la rete) accessibile a chiunque, ovunque, in tempo reale, permettendo a qualunque nazione, movimento, individuo, uno sproporzionato incremento del fattore efficacia.
  • 24. Cyber Warfare Chi e' l'avversario ? - Lone Hacker; - Script Kids; - Antagonisti, movimenti di protesta (Anonymous, LulzSec, .....) - Industrie concorrenti; - Terroristi; - Paesi/blocchi contrapposti; Cybercrime Hacktivismo Spy Ind. Cyberwararfare A spot Protesta APT Strategia lungo breve termine Evento termine silenzioso rivendica silenzioso silenzioso
  • 27. Cyber Warfare Siamo Pronti ?? (AGENPARL) - Roma, 22 giu 2011 - 'Cybercooperation, cyberwarfare and cybersecurity on the eve of 21st Century' è il titolo della conferenza, organizzata dal Centro Studi Sviluppo Relazioni per la sicurezza Tts presso Sala Capitolare del Senato della Repubblica..... .... Interverranno: Jart Armin, analista Sigint esperto di cybercrime presso la Fondazione CyberDefCon; Luisa Franchina, direttore della Segreteria per le Infrastrutture critiche, Presidenza del Consiglio dei Ministri; Raoul Chiesa, ethical hacker e esperto di sicurezza informatica. .... ........ "L'Italia - spiega il senatore Esposito - è impreparata mentalmente e strutturalmente ad affrontare gli attacchi informatici alle sue infrastrutture digitali. Occorre al più presto una cabina di regia che coordini, con il livello politico, la difesa informatica presso la Presidenza del Consiglio, ispirata a qualche modello già adottato da altri stati sensibili a questo problema. C'è anche un'altra carenza italiana: manca un centro di raccolta dei dati sugli attacchi. L'Italia non può devolvere la propria sovranità agli Usa o alla Nato".
  • 28. Cyber Warfare Quali risorse umane? Citando ancora “STRATEGIC UTILIZATION OF NORWEGIAN SPECIAL OPERATIONS FORCES” by Kjetil Mellingen
  • 29. Cyber Warfare ESEMPIO 1 1990 Iraq, Prima Guerra del Golfo: ● gli assetti EW della coalizione intercettano e disturbano le comunicazioni radio; ● Le forze speciali sono inviate oltre le linee nemiche per tagliare i cavi delle linee telefoniche; <<Il vostro compito si divide in due parti>>, intervenne il capo. <<Uno, localizzare e distruggere le linee telefoniche nell'area della strada principale nord. Due, trovare e distruggere gli Scud.>> Pattuglia Barvo Two Zero – p. 31 - Andy McNab – Longanesi & C 2008 Seconda guerra in Ossezia del Sud: “The Russian invasion of Georgia was preceded by an intensive build up of cyberattacks attempting to disrupt, deface and bring down critical Georgian governmental and civilian online infrastructure. These attacks became a massive assault on the eve of the invasion which resulted in the blocking, re-routing of traffic and control being seized of various sections of Georgian cyberspace.” http://georgiaupdate.gov.ge/doc/10006922/ http://en.wikipedia.org/wiki/Cyberattacks_during_the_Russia%E2%80%93Georgia_war
  • 30. Cyber Warfare ESEMPIO 2 Stuxnet: colpisce i sistemi Scada iraniani. Virus – by Patric Clair http://vimeo.com/25118844
  • 31. Cyber Warfare ESEMPIO 3 Giugno 2011: Poderoso attacco di phishing contro centinaia di utenti Gmail, presi di mira funzionari governativi USA, attivisti cinesi, personale militare e giornalisti. Google identifica l'origine dell'attacco in indirizzi IP cinesi. La Cina glissa. Gli USA non reagiscono. http://krebsonsecurity.com/2011/06/spotting-web-based-email-attacks/ Ma chi è il colpevole? Alcuni paesi minacciano di reagire a cyber attacchi con operazioni militari tradizionali. Marcus Ranum: Dangerous Cyberwar Rhetoric http://blog.iansresearch.net/2011/08/cyberwar-rhetoric-.html Be Careful When Collecting Evidence
  • 32. Cyber Warfare ESEMPIO 4 Estate 2011 Operation Cupcake: USA e UK pianificano separate operazioni “Cyber Command chief Lt. General Keith Alexander argued the mag was a danger to troops and in need of a takedown” La Cia blocca l'operazione “argued that it would expose sources and methods and disrupt an important source of intelligence” ...che viene compiuta dall'MI6 britannico http://www.telegraph.co.uk/news/u knews/terrorism-in-the-uk/8553366 /MI6-attacks-al-Qaeda-in-Operatio n-Cupcake.html
  • 34. Cyber Warfare ESEMPIO 6 Antisec Vs Booz Allen Hamilton: BASE64-ENCODED SHA HASH echo -n PASSWORD | openssl dgst -sha1 -binary | openssl enc -base64
  • 35. Cyber Warfare Conclusioni (ipotetiche) ESEMPIO 5/6 Information gathering, profiling, furto di identità, invio malware e phishing da mailbox trusted .......... e molto, molto altro !
  • 36. Cyber Warfare A Noi non capita !! ● Firewall; ● Anti Virus Enterprise; ● Intrusion Detection System; ● Sonde; ● Sistemi operativi aggiornati; ● Ediscovery Systems; ● CERT; ● Presidi; ● Procedure codificate; ● Regolamenti;
  • 37. Cyber Warfare ESEMPIO 7 24 Luglio 2011 - CNAIPIC: Anonymous & LulzSec annunciano (poi smentiscono) di aver violato il CNAIPIC, Centro Nazionale Anticrimine Informatico per la Protezione delle Infrastrutture Critiche, acquisendo 8 GB di documenti di cui rilasciano una preview. http://pastebin.com/r21cExeP http://thehackernews.com/2011/07/cnaipic-italian-government-hacked-by.html http://www.matteocavallini.com/2011/07/hanno-bucato-il-cnaipic.html
  • 38. Cyber Warfare 23 Ottobre 2012: Il gruppo hacker/attivista Par:AnoIA rilascia documenti sottratti alla Polizia di Stato http://www.par-anoia.net/releases2012.html http://it.reuters.com/article/topNews/idITMIE89M019201210 23 ESEMPIO 8
  • 39. Cyber Warfare L'Espresso pubblica “La Farnesina 'bucata' dagli hacker” 29 Aprile 2013 http://espresso.repubblica.it/dettaglio/la-farnesina-bucata-dagli-hacker/2205912 [cit]Solo ora il ministero si è accorto che i pirati del gruppo 'Par-anoia' hanno violato quasi due anni fa il sistema informatico che gestisce i visti d'ingresso. Ignoti i danni, ma il problema è la vulnerabilità dei siti di Stato ...Il primo obiettivo, colpito e probabilmente almeno per ora affondato, è il protocollo informatico per il rilascio dei visti, un elaborato software progettato per conto del Ministero degli Affari esteri e affidato alla polizia di stato. Il sistema si chiama "I-Vis"e per la sua realizzazione la Farnesina ha sborsato quasi quattro milioni di euro. Approvato nel 2001 e affidato con gara d'appalto, il protocollo da quel momento e sino ad oggi è ancora in fase di "roll-out". ...Proprio a quel periodo, verso la fine del 2011, risale l'effrazione portata a termine dagli hacker di "Par-anoia", che sono riusciti ad entrare nel sito della polizia italiana, presumibilmente attraverso un indirizzo mail collegato al portale istituzionale. Hanno catturato il messaggio di posta elettronica con cui il gruppo di aziende che ha prodotto il sistema si premurava di comunicare a tutte le sedi della polizia di frontiera del nostro paese i dati con cui accedere a "I-Vis" e gestirne le autorizzazioni per il rilascio dei visti d'ingresso. Buttata nel mare magnum della Rete, quella mail datata 28 ottobre 2011, non solo consente di navigare nel portale I-Vis con le autorizzazioni, i codici e le procedure per accedere ai visti d'ingresso, ma fornisce in chiaro gli account di posta elettronica di oltre 350 agenti di polizia italiana - proprio quelli impegnati nel settore di frontiera- i numeri di telefono di alcuni funzionari e progettisti. [/cit] E S E M P I O 9
  • 40. Cyber Warfare Le informazioni non erano, come scritto da L'Espresso, rilasciate nel 2011, ma nel dump ad opera di Anonymous/Par:AnoIA dell'Ottobre 2012 … Non servivano costosi digital forensics e/o eDiscovery systems Poteva bastare un comando unix... $ grep ­ilR "password|passwd" * ... un differente approccio.
  • 41. Cyber Warfare inteatro operativo DALl'uso strategico ALL'uso TATTICo ● Mappare la rete avversaria ● Monitorarne le comunicazioni ● Seguirne i movimenti ● Fornire info ingannevoli CIRCOSCRIVENDO L'AREA D'AZIONE
  • 42. Cyber Warfare inteatro operativo poisoninG Attività militari tradizionali: ● vigilanza/interdizione; ● ricognizione e monitoraggio; volte ad isolare la parte avversa (istruisci, informi, coinvolgi, stimoli, migliori le condizioni di vita, aggreghi la massa): ● PSYOPS (Operazioni Psicologiche); ● CIMIC (Cooperazione Civile Militare); ● PI (Pubblica informazioni) Offrono le occasioni per immettere “sonde” nel tessuto sociale, veicolandole verso la struttura avversaria.
  • 43. Cyber Warfare inteatro operativo Differenza dall'obj In T.N. L'attività investigativa su territorio nazionale richiede “l'acquisizione” di uno specifico obj, da profilarsi per “attagliare” approccio, esca, intrusione. In zona di operazioni non è indispensabile “acquisire” l'obj puntiforme, quanto arrivare a contatto con l'obiettivo, intendendo con esso la rete, la struttura informatizzata avversaria, i suoi nodi periferici per ricostruirla, mapparla, monitorarla.
  • 44. “All hackers are ethical. But their ethics might not always match yours.” - QUESTION TIME -
  • 45. ABOUT ME C.le 106° Cp. Mortai Btg.Alp.Saluzzo; 146° Corso AUC Smalp; C.te pl.mortai Btg.Alp.Susa; Gare Ptg. UNUCI; 151° Corso Allievi Agenti PdS; 1999-->2013 Polizia di Stato; Ideazione e partecipazione a progetti Open Source SFDumper, Caine Live-cd, CFItaly. Attività di divulgazione, convegni e seminari. Fondatore D3Lab (Phishing Monitoring & Fighting). info@d3lab.net