Your SlideShare is downloading. ×
0
Profili e Metodologie investigative
Profili e Metodologie investigative
Profili e Metodologie investigative
Profili e Metodologie investigative
Profili e Metodologie investigative
Profili e Metodologie investigative
Profili e Metodologie investigative
Profili e Metodologie investigative
Profili e Metodologie investigative
Profili e Metodologie investigative
Profili e Metodologie investigative
Profili e Metodologie investigative
Profili e Metodologie investigative
Profili e Metodologie investigative
Profili e Metodologie investigative
Profili e Metodologie investigative
Profili e Metodologie investigative
Profili e Metodologie investigative
Profili e Metodologie investigative
Profili e Metodologie investigative
Profili e Metodologie investigative
Profili e Metodologie investigative
Profili e Metodologie investigative
Profili e Metodologie investigative
Profili e Metodologie investigative
Profili e Metodologie investigative
Profili e Metodologie investigative
Profili e Metodologie investigative
Profili e Metodologie investigative
Profili e Metodologie investigative
Profili e Metodologie investigative
Profili e Metodologie investigative
Profili e Metodologie investigative
Profili e Metodologie investigative
Profili e Metodologie investigative
Profili e Metodologie investigative
Profili e Metodologie investigative
Profili e Metodologie investigative
Profili e Metodologie investigative
Profili e Metodologie investigative
Profili e Metodologie investigative
Profili e Metodologie investigative
Profili e Metodologie investigative
Profili e Metodologie investigative
Profili e Metodologie investigative
Profili e Metodologie investigative
Profili e Metodologie investigative
Profili e Metodologie investigative
Profili e Metodologie investigative
Profili e Metodologie investigative
Profili e Metodologie investigative
Profili e Metodologie investigative
Profili e Metodologie investigative
Profili e Metodologie investigative
Profili e Metodologie investigative
Profili e Metodologie investigative
Profili e Metodologie investigative
Profili e Metodologie investigative
Profili e Metodologie investigative
Profili e Metodologie investigative
Profili e Metodologie investigative
Profili e Metodologie investigative
Profili e Metodologie investigative
Profili e Metodologie investigative
Profili e Metodologie investigative
Profili e Metodologie investigative
Upcoming SlideShare
Loading in...5
×

Thanks for flagging this SlideShare!

Oops! An error has occurred.

×
Saving this for later? Get the SlideShare app to save on your phone or tablet. Read anywhere, anytime – even offline.
Text the download link to your phone
Standard text messaging rates apply

Profili e Metodologie investigative

727

Published on

A cura di Alessandro Bonu …

A cura di Alessandro Bonu
Attività seminariale nell’ambito del Corso di Laurea Magistrale in Ingegneria delle Telecomunicazioni – insegnamento di Diritto dell’Informatica e delle Nuove Tecnologie.
(coordinamento delle attività a cura di Massimo Farina)

0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total Views
727
On Slideshare
0
From Embeds
0
Number of Embeds
6
Actions
Shares
0
Downloads
25
Comments
0
Likes
0
Embeds 0
No embeds

Report content
Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
No notes for slide

Transcript

  • 1. CORSO DI INFORMATICA FORENSE – PROFILI E METODOLOGIE INVESTIGATIVE di ALESSANDRO BONU Alessandro Bonu Corso di INFORMATICA FORENSE (A.A. 2013/2014) Profili e metodologie investigative Attività seminariale nell’ambito del Corso di Laurea Magistrale in Ingegneria delle Telecomunicazioni – insegnamento di Diritto dell’Informatica e delle Nuove Tecnologie (coordinamento delle attività a cura di Massimo Farina) DirICTo
  • 2. CORSO DI INFORMATICA FORENSE – Profili e metodologie investigative di Alessandro Bonu Agenda • Introduzione sui profili e metodologie • Incarico e regole di ingaggio • Acquisizione della prova • Tutela della prova • Metodologia di analisi • Definizione di un profilo investigativo • Conclusioni
  • 3. CORSO DI INFORMATICA FORENSE – Profili e metodologie investigative di Alessandro Bonu JFFDF84U4R8FRJU493INFHJDEGWEUID8 DH373E37WDBWDUDASKWOSOPFHF64 RG4F8FNDFKWDJUDFFHFRYFUFR7HFIED YE73BEFJNF57HJ484RHEFKEFJF8I8F83H2 GDWMX42656E76656E75746921RYFUF G73ED82N8C6RF5QSM6OGT9NHJUE63V DTCF5SC3DWH6TE7GUF7YDHWIJFEHJV7 8HFUEFUR7CEFEJNIAXUQWU1WUFIDQ9 HDWNQD89H374385T7ERYFEDY7D3787 JFFDF84U4R8FRJU493INFHJDEGWEUID8 DH373E37WDBWDUDASKWOSOPFHF64 RG4F8FNDFKWDJUDFFHFRYFUFR7HFIED YE73BEFJNF57HJ484RHEFKEFJF8I8F83H2 GDWMX42656E76656E75746921RYFUF G73ED82N8C6RF5QSM6OGT9NHJUE63V DTCF5SC3DWH6TE7GUF7YDHWIJFEHJV7 8HFUEFUR7CEFEJNIAXUQWU1WUFIDQ9 HDWNQD89H374385T7ERYFEDY7D3787 B e n v e n u t i !
  • 4. CORSO DI INFORMATICA FORENSE – Profili e metodologie investigative di Alessandro Bonu Perché? Per una semplice conversione in caratteri esadecimali della scritta: 42656E76656E75746921 «Benvenuti!» Mascherato poi con altre «informazioni» simili..
  • 5. CORSO DI INFORMATICA FORENSE – Profili e metodologie investigative di Alessandro Bonu Ma se cambiamo qualcosa? • 53767F87767F86857032 – + 1 alfanumerico = 42656E76656E75746921 • xxxxxxxxxxxxxxxxxxxxxxxx – - n lettere e numeri = 42656E76656E75746921 • xxxxxxxxxxxxxxxxxxxxxxxx – + n caratteri e - n numeri = 42656E76656E75746921 • xxxxxxxxxxxxxxxxxxxxxxxx – + n numeri e - n lettere = 42656E76656E75746921 • xxxxxxxxxxxxxxxxxxxxxxxx – x n numeri e +/-n caratteri = 42656E76656E75746921 • E così via! La variante che vorremmo aggiungere sarà la nostra chiave di lettura che si aggiungerà ad un primo livello di occultamento in questo caso esadecimale.
  • 6. CORSO DI INFORMATICA FORENSE – Profili e metodologie investigative di Alessandro Bonu Metodologia forense • Fondamentale è sapere che comportamenti errati possono invalidare la prova in fase di dibattimento; • L’esperienza insegna: – evitare errori noti – focalizzare le attività su metodologie consolidate e standardizzate; • L’utilizzo di metodi comuni: – consente ai periti della contro parte di verificare i risultati di indagine in maniera più agevole e incontrovertibile.. • Sia in sede di indagine; • Sia in sede di dibattimento; • Il «metodo» consente di sveltire le fasi più noiose e ripetitive, ma ciascun forenser avrà modo di esprimersi e dimostrare la propria competenza.
  • 7. CORSO DI INFORMATICA FORENSE – Profili e metodologie investigative di Alessandro Bonu Profilo informatico Insieme di funzionalità, strumenti e contenuti attribuiti ad un utente e riferiti ad uno specifico contesto operativo cos’è un profilo
  • 8. CORSO DI INFORMATICA FORENSE – Profili e metodologie investigative di Alessandro Bonu Profili Windows Area di sistema dedicata, in un contesto multiutente
  • 9. CORSO DI INFORMATICA FORENSE – Profili e metodologie investigative di Alessandro Bonu Profili Linux Area di sistema dedicata, in un contesto multiutente
  • 10. CORSO DI INFORMATICA FORENSE – Profili e metodologie investigative di Alessandro Bonu Profili social I dati (dei profili) non risiedono localmente ma sulla rete, questo potrebbe complicare le operazioni di indagine.
  • 11. CORSO DI INFORMATICA FORENSE – Profili e metodologie investigative di Alessandro Bonu Profili in ambito CF (Computer Forensics) • Profilo del forenser: – Competenze tecniche; – Calato sul caso specifico (specificità); – Metodi operativi comuni; – Allestimento di un laboratorio operativo ad hoc. • Profilo del soggetto investigato: – Attitudini e comportamenti; – Ambiente operativo su cui opera (profili informatici); – Informazioni utili all’indagine.
  • 12. CORSO DI INFORMATICA FORENSE – Profili e metodologie investigative di Alessandro Bonu Aspetti preliminari • Competenze e aspetti tecnici da conoscere bene: modus operandi – una buona base (skill), in contesto di routine; – soggettivo, per ciascun forenser ma sempre con le opportune garanzie. • Capire, in sede di indagine, aspetti comportamentali del soggetto indagato che serviranno a focalizzare meglio gli obiettivi da raggiungere. • Definire una strategia operativa (profilo investigativo) mirata a soddisfare in modo esaustivo i questi oggetto di incarico e ai quali ci si dovrà attenere scrupolosamente!
  • 13. CORSO DI INFORMATICA FORENSE – Profili e metodologie investigative di Alessandro Bonu Profili investigativi e aree di riferimento • Computer Forensics; • Network Forensics; • Mobile Forensics; • Embedded System Forensics; • Software Forensics.
  • 14. CORSO DI INFORMATICA FORENSE – Profili e metodologie investigative di Alessandro Bonu Elementi trasversali alle aree specifiche • Acquisizione dei reperti: – Sequestro fisico o logico. • Trasporto dei reperti: – Imballo dei reperti e sigillo dei reperti. • Catena di custodia: – Garanzie di tutela della prova originale. acquisizione cus todia
  • 15. CORSO DI INFORMATICA FORENSE – Profili e metodologie investigative di Alessandro Bonu Computer Forensics (CF) ”l’analisi di dispositivi informatici quali personal computer, server, sistemi virtuali, memorie di massa, ecc.. utili all'individuazione, la conservazione, la protezione, l'estrazione, la documentazione, l'impiego ed ogni altra forma di trattamento del dato informatico al fine di essere valutato in un processo giuridico”
  • 16. CORSO DI INFORMATICA FORENSE – Profili e metodologie investigative di Alessandro Bonu Network Forensics ”l’analisi di apparati e sistemi di rete di rete, senza tralasciare Internet, utili all'individuazione, la conservazione, la protezione, l'estrazione, la documentazione, l'impiego ed ogni altra forma di trattamento del dato informatico al fine di essere valutato in un processo giuridico”
  • 17. CORSO DI INFORMATICA FORENSE – Profili e metodologie investigative di Alessandro Bonu Mobile Forensics ”l’analisi di dispositivi mobili quali cellulari, i-Pod, sistemi di comunicazione wireless, telefoni satellitari, ecc.. Utili all'individuazione, la conservazione, la protezione, l'estrazione, la documentazione, l'impiego ed ogni altra forma di trattamento del dato informatico al fine di essere valutato in un processo giuridico”
  • 18. CORSO DI INFORMATICA FORENSE – Profili e metodologie investigative di Alessandro Bonu Embedded System Forensics ”l’analisi di sistemi digitali dotati di CPU (es. i giochi), anche creati talvolta artigianalmente o partendo da una base (es. arduino), ecc.. utili all'individuazione, la conservazione, la protezione, l'estrazione, la documentazione, l'impiego ed ogni altra forma di trattamento del dato informatico al fine di essere valutato in un processo giuridico”
  • 19. CORSO DI INFORMATICA FORENSE – Profili e metodologie investigative di Alessandro Bonu Software Forensics ”Tools e strumenti software adeguati (secondo degli standard riconosciuti) e necessari all'individuazione, la conservazione, la protezione, l'estrazione, la documentazione, l'impiego ed ogni altra forma di trattamento del dato informatico al fine di essere valutato in un processo giuridico”
  • 20. CORSO DI INFORMATICA FORENSE – Profili e metodologie investigative di Alessandro Bonu Ma quali software? • Open Source o Software commerciale? ..eterno dilemma! • Inevitabilmente saranno entrambi oggetto di utilizzo: – modalità operative di ciascun forenser; – in alcuni ambiti alcuni sono superiori ad altri; – i costi di licenza; – disponibilità dei sorgenti, per gli open source, questo può essere importante per vagliare le funzionalità del software nello specifico in relazione ai risultati ottenuti.
  • 21. CORSO DI INFORMATICA FORENSE – Profili e metodologie investigative di Alessandro Bonu Dove di concentra l’indagine nella CF • Memorie di massa (Disk Forensics) – HD, CD, DVD, USB, SSD, Nastri, ecc.. • Memorie volatili (Memory Forensics) – RAM
  • 22. CORSO DI INFORMATICA FORENSE – Profili e metodologie investigative di Alessandro Bonu I passi comuni che identificano la CF • Identificazione dei reperti utili; • Acquisizione e trasporto delle prove; • Analisi della copia forense (prove acquisite); • Refertazione dettagliata dei risultati; • Presentazione delle evidenze in sede processuale; esistono altre fasi ma che si applicano a casi e situazioni specifiche queste sono quelle sempre presenti in un profilo di indagine
  • 23. CORSO DI INFORMATICA FORENSE – Profili e metodologie investigative di Alessandro Bonu Identificazione dei reperti • Specificità in relazione al caso per il quale si opera; • Identificazione del tipo di supporto (magnetico, ottico, elettronico, ..); • Identificazione delle interfacce delle memorie di massa; • Conoscenza delle funzionalità dei BIOS; • Sistema Operativo utilizzato; • Tipologia del File System; • Altre condizioni particolari da valutare: (ibernazione/sospensione del sistema).
  • 24. CORSO DI INFORMATICA FORENSE – Profili e metodologie investigative di Alessandro Bonu Catena di custodia • La catena di custodia è un documento che contiene informazioni e dettagli in merito alla prova originale e con le copie forensi realizzate e «firmate», a partire dall'acquisizione fino ad arrivare al giorno del processo. • Vediamone alcuni aspetti: – Attribuire un ID al caso; – Chi è incaricato dell'investigazione; – Descrizione del caso; – Incaricato della duplicazione dei dati; – Data e ora di inizio custodia; – Luogo in cui il supporto è stato rinvenuto; – Produttore del supporto; – Modello del supporto; – Numero di serie del supporto.
  • 25. CORSO DI INFORMATICA FORENSE – Profili e metodologie investigative di Alessandro Bonu Copia forense La copia autenticata dei dati, deve essere eseguita adottando criteri e misure atte a garantire e salvaguardare il dato originale e impedirne l’alterazione: errori in questa fase si ripercuotono sulle fasi successive • Procedure forensi riconosciute; • Tool specifici, validi e riconosciuti; • Gestione degli errori, individuazione e documentazione; • Verbalizzazione e documentazione in dettaglio; • Firma/Sigillo elettronico (hash) e read-only.
  • 26. CORSO DI INFORMATICA FORENSE – Profili e metodologie investigative di Alessandro Bonu L’analisi • Orientata possibilmente alla copia forense: – non sempre risulta possibile in quanto alcune attività devono essere fatte direttamente sui reperti; • Rilevazioni delle informazioni: – quelle utili all’indagine; • In questa fase si rilevano comportamenti e attitudini (profili) dei soggetti oggetto di indagine, (vedi caso).
  • 27. CORSO DI INFORMATICA FORENSE – Profili e metodologie investigative di Alessandro Bonu Attività in sede di analisi • L’analisi implica una vasta serie di attività: – Informazioni a fini decisionali; – Informazioni utili al posizionamento (geografico) di un utente, di un reperto; – Individuazioni di informazioni temporali, date e variazioni delle stesse; – Identificazione di utenti, per capire chi ha operato; – Rilevazioni di password e cracking per accedere ad aree riservate; – Investigazione trasversale su diversi reperti per determinare e incrociare elementi utili ai fini dell’indagine; – Ripristino di dati (data-recovery), cancellati o occultati .
  • 28. CORSO DI INFORMATICA FORENSE – Profili e metodologie investigative di Alessandro Bonu Refertazione • Attività determinante in quanto il risultato dell’attività investigativa è un oggetto documentale; • Chi lo scrive è un tecnico specializzato; • Chi lo legge: – Atri tecnici: CTU, CTP; – Legali: Giudice, PM, Avvocati; – Altri organi investigativi; • Presentazione in sede di dibattimento.
  • 29. CORSO DI INFORMATICA FORENSE – Profili e metodologie investigative di Alessandro Bonu Presentazione in sede processuale • Chi deve convincere: – Un Giudice; • Chi deve capire di cosa si parla: – La parte; • Chi deve scoraggiare: – La controparte, nell’obbiettare le nostre evidenze che dovranno apparire incontrovertibili.
  • 30. CORSO DI INFORMATICA FORENSE – Profili e metodologie investigative di Alessandro Bonu L’approccio • Non esiste una regola generale nel metodo di indagine se non per alcune fasi comuni, fondamentale è ridurre al minimo rischi ed errori; • Operare nel contesto della computer forensics richiede elevate conoscenze informatiche congiunte a buone capacità di analisi, osservazione e pazienza; • Le metodologie di base rimangono sempre costanti, ma le tecnologie che permettono l'acquisizione e l'analisi sono in continua evoluzione; • Nelle attività di indagine troviamo essenzialmente due casistiche: • Il computer è il mezzo usato per compiere un’azione criminosa; • Il computer è a sua volta vittima di un crimine.
  • 31. CORSO DI INFORMATICA FORENSE – Profili e metodologie investigative di Alessandro Bonu incarico e regole di ingaggio
  • 32. CORSO DI INFORMATICA FORENSE – Profili e metodologie investigative di Alessandro Bonu Le regole di ingaggio CTU • Le regole consistono in quesiti specifici emanati dal magistrato in relazione ad un caso specifico e che delineano circostanze e limiti entro i quali il CTU dovrà operare nel corso dell’attività di indagine. • Obbiettivo di tale attività investigativa è pertanto dare risposta esaustiva e circostanziata ai quesiti oggetto di incarico.
  • 33. CORSO DI INFORMATICA FORENSE – Profili e metodologie investigative di Alessandro Bonu Modalità di ingaggio • Modalità di incarico e valutazione di fattibilità: • In relazione a competenze; • formulazione dei quesiti da parte del magistrato. • Acquisizione formale dell’incarico: • tempistiche e modalità di consegna della relazione; • modalità di acquisizione del materiale oggetto di esame. • Rispetto delle regole durante i lavori: • elementi estranei devono essere assolutamente ignorati. • Relazioni chiarificatrici su richiesta delle parti: • relazione scritta a corredo della precedente; • in sede di processo, con linguaggio “semplice”.
  • 34. CORSO DI INFORMATICA FORENSE – Profili e metodologie investigative di Alessandro Bonu Determinazione dei rischi • Inalterabilità della prova originale: – dovrebbe essere ripetibile, non sempre è così. • «errare humanum est», questo potrebbe determinare un incidente probatorio e invalidare la prova; • L’esperienza insegna.. – casi pregressi; – casi di studio e documentati. • Decisamente ridotti dalla competenza in materia; • Valutare il rispetto della privacy nelle varie fasi operative.
  • 35. CORSO DI INFORMATICA FORENSE – Profili e metodologie investigative di Alessandro Bonu Acquisizione della prova
  • 36. CORSO DI INFORMATICA FORENSE – Profili e metodologie investigative di Alessandro Bonu Acquisizione delle prove • Sequestro fisico del reperto; • Sequestro logico con relativa copia forense nelle seguenti modalità: – Dead : computer spento; – Live : computer acceso. • Intercettazione del dato: – Il dato viene acquisito durante la sua trasmissione.
  • 37. CORSO DI INFORMATICA FORENSE – Profili e metodologie investigative di Alessandro Bonu Modalità di acquisizione del reperto/prova • Ritiro in sede di incarico e redazione di apposito verbale di consegna. • Consegna da parte della PG presso la sede legale del CTU. • Acquisizione diretta, con idonea autorizzazione del magistrato, presso la sede in cui si trova il materiale utile all’indagine.
  • 38. CORSO DI INFORMATICA FORENSE – Profili e metodologie investigative di Alessandro Bonu Acquisizione in sede di incarico • Materiale cartaceo: – attinente all’attività investigativa; – verbale di consegna sottoscritto dalle parti. • Apparati /supporti informatici già sequestrati: – apparati catalogati e off-line; – verifica dello stato dei reperti e riscontro dei dettagli acquisiti in sede di sequestro; – verbale di consegna sottoscritto dalle parti.
  • 39. CORSO DI INFORMATICA FORENSE – Profili e metodologie investigative di Alessandro Bonu Acquisizione presso la sede legale del CTU • Incaricati da parte del tribunale: – Polizia Giudiziaria; – altri incaricati dal magistrato. • Modalità di trasporto e custodia del materiale /reperti in consegna: – verifica dello stato dei reperti e riscontro dei dettagli acquisiti; in sede di sequestro: sigilli. • Verifica e riscontro dei reperti, – verbale di consegna sottoscritto dalle parti.
  • 40. CORSO DI INFORMATICA FORENSE – Profili e metodologie investigative di Alessandro Bonu Acquisizione diretta da parte del CTU • Idonea autorizzazione del magistrato da esibire in sede di sequestro; • Valutazione delle modalità di acquisizione in caso per esempio di apparati in modalità LIVE; • Inventario dettagliato delle singole parti interessanti per l’indagine: (catena di custodia); • Apposizione dei imballi e sigilli di garanzia per la fase di trasporto dei reperti; • Verbale di consegna e sottoscrizione tra le parti di quanto acquisito.
  • 41. CORSO DI INFORMATICA FORENSE – Profili e metodologie investigative di Alessandro Bonu Acquisizione: DEAD • Una volta identificati i reperti, ad esempio un personal computer (spento) si procede in genere a: – Estrarre dispositivi floppy disk in esso contenuti; – Estrarre i cd rom utilizzando l’apposito foro; – Estrarre eventuali supporti di memoria (USB); – Identificazione del numero e delle caratteristiche tecniche dei device di memoria presenti nel computer.
  • 42. CORSO DI INFORMATICA FORENSE – Profili e metodologie investigative di Alessandro Bonu Acquisizione: LIVE e priorità • Non sempre i reperti da acquisire possono essere delocalizzati; • In taluni casi è pertanto necessario procedere all’acquisizione dai componenti con volatilità più alta: • Memoria RAM; • Memoria di swap; • Processi di rete; • Processi di sistema. • La RAM risulta essere più volatile in quanto vengono effettuati continuamente accessi. • La memoria di swap ha una priorità inferiore ma comunque alta dato che è usata per lo swap delle pagine della memoria. • I processi di rete e sistema hanno un tempo di vita che dipende dal tipo di operazioni che il processo deve effettuare. • I dati sul disco hanno una volatilità molto bassa in quanto persistono anche ad un riavvio del computer.
  • 43. CORSO DI INFORMATICA FORENSE – Profili e metodologie investigative di Alessandro Bonu Dati in RAM • Disribuzioni LIVE: – Helix, Caine, BackTrack, ecc.. pensate per funzionare unicamente su RAM, pertanto uno spegnimento determina una perdita completa del contenuto della memoria e delle informazioni/attività in essa contenute. • DUMP della RAM, operazione irripetibile: – L’utilizzo del programma, che consente questa attività, determina una necessaria modifica del contenuto della memoria. • Dati presenti in cache: – Esistono dei tool che forzano la sincronizzazione su disco, in questo caso comunque ci sarebbero variazioni dei dati ma sempre inferiori ad un shutdown regolare.
  • 44. CORSO DI INFORMATICA FORENSE – Profili e metodologie investigative di Alessandro Bonu Dove e cosa cercare.. • Dopo l’acquisizione la nostra attenzione dovrà concentrarsi principalmente su tutta una serie di dati che potrebbero contenere informazioni utili all’indagine: – Dati volatili; – File di swap; – File logici; – File di registro delle configurazioni; – E-mail; – Log delle applicazioni e di sicurezza; – File temporanei; – Log di sistema; – Spazio libero; – Cache del browser; – History file; – File cancellati.
  • 45. CORSO DI INFORMATICA FORENSE – Profili e metodologie investigative di Alessandro Bonu Stato del reperto /prova “La preservazione dello stato della prova assume una rilevanza fondamentale ai fini dell’utilizzabilità della stessa in sede di giudizio. Per questo motivo si deve evitare che le prove raccolte subiscano modificazioni idonee ad alterarne la genuinità.” • Fondamentale è pertanto preservare lo stato della prova di: – Supporti non modificabili, ma comunque non esenti da problematiche legate a fattori ambientali; – Supporti modificabili, da gestire con molta cautela; – Conservazione logica e fisica.
  • 46. CORSO DI INFORMATICA FORENSE – Profili e metodologie investigative di Alessandro Bonu Incidente probatorio Dall’analisi della prova dipende l’esito dell’indagine, pertanto la stessa non dovrà in alcun modo subire nessun tipo di manomissione/alterazione
  • 47. CORSO DI INFORMATICA FORENSE – Profili e metodologie investigative di Alessandro Bonu La conservazione della prova • Protezione da cariche elettrostatiche: – Utilizzo di materiali appositi di imballo per prevenire questi problemi. • Protezione da urti: – Utilizzo di contenitori adeguati e con opportuno imballo. • Evitare le manomissioni: – Apposizione di sigilli che permettano di verificare eventuali manomissioni.
  • 48. CORSO DI INFORMATICA FORENSE – Profili e metodologie investigative di Alessandro Bonu La ricerca della prova
  • 49. CORSO DI INFORMATICA FORENSE – Profili e metodologie investigative di Alessandro Bonu Dove si trova il dato? • Sembra banale ma la prima cosa da capire è dove si trova il dato oggetto di indagine; • Celare piccoli dispositivi è semplicissimo e anche in fase di sequestro qualcosa può sfuggire; • A questo si aggiunga il fatto che all’interno degli stessi dispositivi i dati potrebbero essere celati utilizzando anche tecniche particolari (es. steganografia).
  • 50. CORSO DI INFORMATICA FORENSE – Profili e metodologie investigative di Alessandro Bonu Occultamento dei dati • Intenzioni malevole: – scrittura malware, diffusione di segreti a danno di terzi, ecc..; • Intenzioni benevole/lecite – segretezza di dati in ambito privato/lavorativo, ecc..; • Alcune tecniche.. – Critografia: • tecnica di rappresentazione di un messaggio in una forma tale che l’informazione in essa contenuta possa essere recepita solo dal destinatario. – Steganografia: • tecnica che si prefigge di nascondere la comunicazione tra due o più interlocutori.
  • 51. CORSO DI INFORMATICA FORENSE – Profili e metodologie investigative di Alessandro Bonu Occultamento logico benvenuti nel corso di Computer Forensics ..una normale immagine, apparentemente!
  • 52. CORSO DI INFORMATICA FORENSE – Profili e metodologie investigative di Alessandro Bonu Occultamento fisico A quanti verrebbe in mente di guardare una ferita? • E’ di rilevante importanza che la parte indagata non sospetti un eventuale provvedimento a suo carico: perché??
  • 53. CORSO DI INFORMATICA FORENSE – Profili e metodologie investigative di Alessandro Bonu Dove focalizzare l’attenzione • Di norma i dispositivi oggetto di analisi sono: – Lettori multimediali; – HD esterni; – Supporti USB; – Smartphone; – NAS; – Stampanti – Altri dispositivi in grado di memorizzare dati.
  • 54. CORSO DI INFORMATICA FORENSE – Profili e metodologie investigative di Alessandro Bonu E’ sempre possibile sequestrare i reperti?
  • 55. CORSO DI INFORMATICA FORENSE – Profili e metodologie investigative di Alessandro Bonu Alcune considerazioni.. • Nella fase del sequestro occorre attenersi a quanto recitano le disposizioni di legge “..l’autorità giudiziaria acquisisce il corpo del reato o le cose pertinenti necessarie per l’accertamento dei fatti..”. • Troppo spesso accade che nel compimento di suddette operazioni, vengano acquisiti reperti che al fine probatorio risultano inutili. • Opportuno è pertanto attenersi sempre al caso specifico e valutare attentamente il profilo del destinatario del provvedimento, sia perché lo stesso non venga sottovalutato ma soprattutto perché non venga messo in condizioni tali da limitare l’utilizzo di strumenti utili in ambito aziendale/lavorativo e non a fine probatorio.
  • 56. CORSO DI INFORMATICA FORENSE – Profili e metodologie investigative di Alessandro Bonu La copia forense • La duplicazione del dato dev’essere tale da non poter essere contestata. • La duplicazione deve essere 1:1 rispetto al supporto oggetto di indagine e ricrearne uno identico a livello logico sul quale operare. • Questo comporta che l’intero device venga replicato, comprendendo struttura e spazio libero dello stesso. • Lo spazio impegnato del dispositivo logico, sarà pertanto uguale al dispositivo fisico a prescindere dall’effettiva quantità di informazioni contenute.
  • 57. CORSO DI INFORMATICA FORENSE – Profili e metodologie investigative di Alessandro Bonu Validazione della copia forense • Operazione fondamentale è validare la copia logica confrontandola con l’originale: Tra le due deve esserci perfetta corrispondenza. • La validazione può essere eseguita attraverso programmi di hash come l’MD5 e SHA1 i quali applicano una funzione non invertibile ed atta alla trasformazione di un testo di lunghezza arbitraria in una stringa di lunghezza fissata. • Il risultato dell'hash viene visto come una sorta di impronta digitale dell’evidenza, esso si definisce anche “valore di hash”.
  • 58. CORSO DI INFORMATICA FORENSE – Profili e metodologie investigative di Alessandro Bonu Software e hardware da utilizzare • Sul mercato sono disponibili diversi software che consentono di effettuare la copia bit-a-bit di un supporto di memoria: – Dispositivi HW ad hoc, con dei limiti: • Tecnologia specifica; • Singoli dischi (raid?). – Software specializzati (es.dd, semplice e in grado si essere mostrato a livello di file sorgente). • Ideale, dotarsi di workstation forense con le interfacce più utilizzate sul mercato.
  • 59. CORSO DI INFORMATICA FORENSE – Profili e metodologie investigative di Alessandro Bonu Write Blocker • Garantisce un blocco dell’accesso in scrittura per mantenere l’integrità della prova: read-only; • Esistono due differenti metodologie per garantire il write blocking: – Write blocker software: • Agisce sull’operazione di «mounting» del disco da parte del sistema operativo. – Write blocker hardware; • dispositivo fisico che viene posto tra l’hard disk e la macchina di acquisizione forense. Questi dispositivi sono anche più comprensibili per interlocutori non tecnici.
  • 60. CORSO DI INFORMATICA FORENSE – Profili e metodologie investigative di Alessandro Bonu Write Blocker hardware
  • 61. CORSO DI INFORMATICA FORENSE – Profili e metodologie investigative di Alessandro Bonu Intercettazione del dato • Definire i target e non acquisire dati indiscriminatamente pena: – Violazione della legge; – Perdita di tempo; – Mancanza degli obbiettivi oggetto di indagine. • Problemi legati alla connessione in rete (span port): – Il target è l’amministratore di sistema; – Lo switch è troppo esposto ed in evidenza; – Lo switch non dispone delle funzionalità necessarie a monitorare il traffico • «Man in the middle»: – Impossibilità di raggiungere lo switch; – Deviazione del traffico di rete A > B = A > C > B
  • 62. CORSO DI INFORMATICA FORENSE – Profili e metodologie investigative di Alessandro Bonu Man in the middle
  • 63. CORSO DI INFORMATICA FORENSE – Profili e metodologie investigative di Alessandro Bonu Relazione tecnica • Sintetica: dato che non necessita di riportare eccessivi particolari tecnici dell’analisi ma solo ciò che interessa dal punto di vista giuridico. • Semplificata: colui che legge e valuta l’esito è di principio un fruitore inesperto nel settore informatico e quindi, nell’ipotesi che sia possibile, bisogna eliminare terminologie non consuete e spiegare a livello elementare quanto rilevato. • Asettica: non deve contenere giudizi personali dell’operatore né tanto meno valutazioni legali sulle informazioni rilevate a meno che tali considerazioni non siano state espressamente richieste e inerenti all’indagine.
  • 64. CORSO DI INFORMATICA FORENSE – Profili e metodologie investigative di Alessandro Bonu Conclusioni Alcune considerazioni che potremo fare in merito alle metodologie e i profili di indagine è che al di là degli aspetti puramente tecnici e specialistici, che richiedono comunque una adeguata competenza, occorre valutare con attenzione un attento approccio metodologico e calato di volta in volta al caso di indagine specifico. Metodologia che deve poi astrarre le sole informazioni atte a dare risposta a quesiti ben precisi e delineati in sede di incarico. Tutto il resto è noia!
  • 65. CORSO DI INFORMATICA FORENSE – Profili e metodologie investigative di Alessandro Bonu Grazie per l’attenzione! alessandro.bonu@gmail.com it.linkedin.com/in/abonu
  • 66. CORSO DI INFORMATICA FORENSE – Profili e metodologie investigative di Alessandro Bonu 66 Attribuzione - Non Commerciale - Condividi allo stesso modo 3.0 o Tu sei libero: • di riprodurre, distribuire, comunicare al pubblico, esporre in pubblico, rappresentare, eseguire o recitare l'opera; • di modificare quest’opera; • Alle seguenti condizioni:  Attribuzione. Devi attribuire la paternità dell’opera nei modi indicati dall’autore o da chi ti ha dato l’opera in licenza e in modo tale da non suggerire che essi avallino te o il modo in cui tu usi l’opera.  Non commerciale. Non puoi usare quest’opera per fini commerciali.  Condividi allo stesso modo. Se alteri, trasformi quest’opera, o se la usi per crearne un’altra, puoi distribuire l’opera risultante solo con una licenza identica o equivalente a questa. o In occasione di ogni atto di riutilizzazione o distribuzione, devi chiarire agli altri i termini della licenza di quest’opera. o Se ottieni il permesso dal titolare del diritto d'autore, è possibile rinunciare ad ognuna di queste condizioni. o Le tue utilizzazioni libere e gli altri diritti non sono in nessun modo limitati da quanto sopra

×