Your SlideShare is downloading. ×
Forensic Profiling with Digital Data
Upcoming SlideShare
Loading in...5
×

Thanks for flagging this SlideShare!

Oops! An error has occurred.

×

Saving this for later?

Get the SlideShare app to save on your phone or tablet. Read anywhere, anytime - even offline.

Text the download link to your phone

Standard text messaging rates apply

Forensic Profiling with Digital Data

660
views

Published on

La profilazione forense nell'era dell'informazione

La profilazione forense nell'era dell'informazione


0 Comments
1 Like
Statistics
Notes
  • Be the first to comment

No Downloads
Views
Total Views
660
On Slideshare
0
From Embeds
0
Number of Embeds
1
Actions
Shares
0
Downloads
20
Comments
0
Likes
1
Embeds 0
No embeds

Report content
Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
No notes for slide

Transcript

  • 1. Forensic Profiling with Digital Data Forensic Profiling with Digital Data La profilazione forense nell’era dell’informazione Dott. Mario Piccinelli - UniBS December 19, 2011 Dott. Mario Piccinelli - UniBS Forensic Profiling with Digital Data
  • 2. Forensic Profiling with Digital Data Outline 1 Digital Forensics Definizione Campi di applicazione Fonti di informazione Procedura standard 2 Forensics Profiling Definizione Elementi del Digital Profiling Procedura standard Tecniche di Data Mining 3 Strumenti per il digital profiling XIRAF 4 Bibliografia 5 Contatti Dott. Mario Piccinelli - UniBS Forensic Profiling with Digital Data
  • 3. Indice 1 Digital Forensics Definizione Campi di applicazione Fonti di informazione Procedura standard 2 Forensics Profiling Definizione Elementi del Digital Profiling Procedura standard Tecniche di Data Mining 3 Strumenti per il digital profiling XIRAF 4 Bibliografia 5 Contatti
  • 4. Forensic Profiling with Digital Data Digital Forensics DefinizioneDigital Forensics ”La scienza che studia l’individuazione l’estrazione la protezione la conservazione la documentazione e ogni altra forma di trattamento del dato informatico al fine di essere valutato in un processo giuridico e studia, ai fini probatori, le tecniche e gli strumenti per l’esame metodologico dei sistemi informatici”. Dott. Mario Piccinelli - UniBS Forensic Profiling with Digital Data
  • 5. Forensic Profiling with Digital Data Digital Forensics Campi di applicazioneDigital Forensics: campi di applicazione Indagini interne ad una azienda Frode Spionaggio Violazione policy aziendali Controllo dipendenti Valutazione danni Supporto alla polizia giudiziaria ed ai PM e Giudici Terrorismo Frode Pedopornografia Supporto ai privati indagati ecc... Dott. Mario Piccinelli - UniBS Forensic Profiling with Digital Data
  • 6. Forensic Profiling with Digital Data Digital Forensics Fonti di informazioneFonti di informazione Tutte le fonti digitali di prova da cui ` possibile attingere dati utili e per l’indagine in corso. Computer Smartphone / dispositivo cellulare Altri apparecchi digitali Log di rete E chiss` cos’altro! a Dott. Mario Piccinelli - UniBS Forensic Profiling with Digital Data
  • 7. Forensic Profiling with Digital Data Digital Forensics Fonti di informazione Fonti di informazione: Personal Computer (I) Contenuto della memoria volatile del sistema: Credenziali degli utenti connessi. Processi attivi. Spazio di memoria allocato. DLL / librerie aperte. File aperti. Collegamenti al registro di sistema (Windows). Connessioni di rete attive. Moduli del kernel caricati. ... Dott. Mario Piccinelli - UniBS Forensic Profiling with Digital Data
  • 8. Forensic Profiling with Digital Data Digital Forensics Fonti di informazione Fonti di informazione: Personal Computer (II) Analisi memoria volatile: Volatility Framework Dott. Mario Piccinelli - UniBS Forensic Profiling with Digital Data
  • 9. Forensic Profiling with Digital Data Digital Forensics Fonti di informazione Fonti di informazione: Personal Computer (III) Contenuto delle memorie di massa: File nascosti. File cancellati. Registro di sistema. ... Dott. Mario Piccinelli - UniBS Forensic Profiling with Digital Data
  • 10. Forensic Profiling with Digital Data Digital Forensics Fonti di informazione Fonti di informazione: Personal Computer (IV) Cronologia del browser Dott. Mario Piccinelli - UniBS Forensic Profiling with Digital Data
  • 11. Forensic Profiling with Digital Data Digital Forensics Fonti di informazione Fonti di informazione: Personal Computer (V) Log di chat e client di messaggistica / VOIP Dott. Mario Piccinelli - UniBS Forensic Profiling with Digital Data
  • 12. Forensic Profiling with Digital Data Digital Forensics Fonti di informazione Fonti di informazione: Personal Computer (VI) Posta elettronica Dott. Mario Piccinelli - UniBS Forensic Profiling with Digital Data
  • 13. Forensic Profiling with Digital Data Digital Forensics Fonti di informazione Fonti di informazione: Personal Computer (VII) Informazioni sull’utilizzo del sistema Dott. Mario Piccinelli - UniBS Forensic Profiling with Digital Data
  • 14. Forensic Profiling with Digital Data Digital Forensics Fonti di informazione Fonti di informazione: Personal Computer (VIII) Informazioni sull’utilizzo di periferiche Dott. Mario Piccinelli - UniBS Forensic Profiling with Digital Data
  • 15. Forensic Profiling with Digital Data Digital Forensics Fonti di informazione Fonti di informazione: Smartphone (I) Informazioni contenute in uno smartphone: Log chiamate effettuate/ricevute. SMS/MMS/Emails Browser History Bookmarks Cache Dott. Mario Piccinelli - UniBS Forensic Profiling with Digital Data
  • 16. Forensic Profiling with Digital Data Digital Forensics Fonti di informazione Fonti di informazione: Smartphone (II) Informazioni contenute in uno smartphone: Rubrica telefonica. Password salvate Reti wireless Posta elettronica ... Note, appunti, appunti vocali... Dott. Mario Piccinelli - UniBS Forensic Profiling with Digital Data
  • 17. Forensic Profiling with Digital Data Digital Forensics Fonti di informazione Fonti di informazione: Smartphone (III) Geolocalizzazione: Reti wireless toccate. Celle GSM/UMTS toccate. Dati GPS. Dott. Mario Piccinelli - UniBS Forensic Profiling with Digital Data
  • 18. Forensic Profiling with Digital Data Digital Forensics Fonti di informazione Fonti di informazione: Smartphone (IV) Dati contenuti nelle applicazioni non standard: Informazioni di utilizzo (applicazioni di home banking..). Password salvate. Immagini visualizzate. ... Dott. Mario Piccinelli - UniBS Forensic Profiling with Digital Data
  • 19. Forensic Profiling with Digital Data Digital Forensics Fonti di informazione Fonti di informazione: Smartphone (V) Galleria multimediale: Foto EXIF Filmati Audio Note vocali ... Dott. Mario Piccinelli - UniBS Forensic Profiling with Digital Data
  • 20. Forensic Profiling with Digital Data Digital Forensics Procedura standardLe fasi dell’analisi digitale forense La procedura di analisi digitale forense ` composta di quattro e passaggi standard: Acquisizione fisica del supporto Acquisizione del dato Analisi del dato ⇒ Forensic profiling Report Dott. Mario Piccinelli - UniBS Forensic Profiling with Digital Data
  • 21. Indice 1 Digital Forensics Definizione Campi di applicazione Fonti di informazione Procedura standard 2 Forensics Profiling Definizione Elementi del Digital Profiling Procedura standard Tecniche di Data Mining 3 Strumenti per il digital profiling XIRAF 4 Bibliografia 5 Contatti
  • 22. Forensic Profiling with Digital Data Forensics Profiling DefinizioneForensic profiling Processo di scoperta delle correlazioni tra i dati presenti in archivio che possono essere utilizzati per identificare e rappresentare un soggetto umano o non umano (individuale o di gruppo). Applicazione dei profili per individuare e rappresentare un soggetto. Dott. Mario Piccinelli - UniBS Forensic Profiling with Digital Data
  • 23. Forensic Profiling with Digital Data Forensics Profiling Elementi del Digital ProfilingElementi del Digital Profiling I mattoni di base su cui si costruisce un profilo forense sono definiti in letteratura come: Firma Modus Operandi Vittimologia Motivazione Fattori di rischio Staging La possibilit` di evidenziare e correlare queste informazioni pu` a o portare con buona approssimazione a indirizzare le successive indagini. Dott. Mario Piccinelli - UniBS Forensic Profiling with Digital Data
  • 24. Forensic Profiling with Digital Data Forensics Profiling Elementi del Digital ProfilingFirma Una ”firma” propria dell’autore del crimine, riscontrata sulla scena o connessa in altro modo all’evento. Pu` essere lasciata a livello o conscio o meno e non cambia nella reiterazione del crimine. Tipicamente si tratta di un modello comportamentale univoco e ripetuto, non necessario alla dinamica del crimine. Esempi: Particolari forme di violenza verbale nei messaggi. Particolari elementi grafici nei casi di defacement. Caratteristiche forme di commento del codice. Dott. Mario Piccinelli - UniBS Forensic Profiling with Digital Data
  • 25. Forensic Profiling with Digital Data Forensics Profiling Elementi del Digital ProfilingModus Operandi Modalit` attraverso le quali il crimine viene commesso (da non a confondere con la firma). Esempi: Sistemi utilizzati per penetrare un server. Tecniche di scansione. Tecniche di occultamento dei log. Tecniche di avvicinamento alla vittima in un contesto informatico. Dott. Mario Piccinelli - UniBS Forensic Profiling with Digital Data
  • 26. Forensic Profiling with Digital Data Forensics Profiling Elementi del Digital ProfilingVittimologia Studio delle caratteristiche della vittima (persona, azienda, ...) alla ricerca di possibili collegamenti con l’autore del reato. Esempi: In un reato violento di natura sessuale, le vittime hanno caratteristiche fisiche in comune? In un reato contro la propriet`, i danneggiati hanno a caratteristiche lavorative, sociali, economiche, religiose in comune? Dott. Mario Piccinelli - UniBS Forensic Profiling with Digital Data
  • 27. Forensic Profiling with Digital Data Forensics Profiling Elementi del Digital ProfilingMotivazione Elementi psicologici, economici, politici o sociali che spingono l’individuo a commettere un reato. Esempi: Motivazioni politiche che spingono un hacker ad attaccare la rete di una particolare azienda. Pulsioni sessuali che spingono un criminale a contattare una certa categoria di persone. Motivazioni economiche che spingono un dipendente a vendere segreti industriali a un concorrente. Dott. Mario Piccinelli - UniBS Forensic Profiling with Digital Data
  • 28. Forensic Profiling with Digital Data Forensics Profiling Elementi del Digital ProfilingFattori di rischio Livello di rischio al quale si espone l’individuo nel compimento di un atto criminale. Esempi: Un criminale sessuale ha un fattore di rischio legato a quanto ` disposto a esporsi fornendo informazioni personali alle e potenziali vittime. Pu` dare un’indicazione dell’urgenza delle o pulsioni. Un insider ha un fattore di rischio proporzionale al valore economico e strategico delle informazioni che ` disposto a e estrarre. Pu` dare indicazioni sulle competenze informatiche o dell’individuo, sulla sua sicurezza o sulla sua disperazione. Dott. Mario Piccinelli - UniBS Forensic Profiling with Digital Data
  • 29. Forensic Profiling with Digital Data Forensics Profiling Elementi del Digital ProfilingStaging Alterazione della scena del crimine da parte del criminale, della vittima o di persone a essa correlate. Esempi: Il criminale informatico pu` tentare di far cadere le sue o responsabilit` su un terzo. Pu` denotare una situazione di a o conflitto o risentimento. La madre della vittima di un reato di pedofilia potrebbe cancellare dal computer della figlia foto incriminanti per evitare situazioni di imbarazzo. Una vittima potrebbe manomettere dati informatici per coprire delle sue responsabilit`, magari non inerenti il caso in oggetto. a Dott. Mario Piccinelli - UniBS Forensic Profiling with Digital Data
  • 30. Forensic Profiling with Digital Data Forensics Profiling Procedura standardForensic profiling: procedura standard La profilazione pu` essere suddivisa in una sequenza standard di o azioni: Analisi preliminare del problema. Raccolta dati. Preparazione dei dati. Interpretazione dei dati. ⇒Data mining. Applicazione del profilo. Decisione istituzionale. Dott. Mario Piccinelli - UniBS Forensic Profiling with Digital Data
  • 31. Forensic Profiling with Digital Data Forensics Profiling Tecniche di Data MiningData Mining Analisi avanzata dei dati usata per identificare pattern non visibili nei singoli componenti, attraverso procedimenti matematici e statistici. Expense Account Padding Dott. Mario Piccinelli - UniBS Forensic Profiling with Digital Data
  • 32. Forensic Profiling with Digital Data Forensics Profiling Tecniche di Data MiningTecniche di data mining (I) : analisi dell’istogramma L’istogramma ` la e rappresentazione grafica di una distribuzione in classi di un carattere continuo. Permette di individuare il carattere generale di una distribuzione. Esempio: analisi del log di accensione di un pc. Dott. Mario Piccinelli - UniBS Forensic Profiling with Digital Data
  • 33. Forensic Profiling with Digital Data Forensics Profiling Tecniche di Data MiningTecniche di data mining (II) : regressione La regressione (lineare) rappresenta un metodo di stima del valore atteso una variabile dipendente. Pu` o essere utilizzata per evidenziare scostamenti rispetto al valore previsto di un determinato comportamento. Esempio: analisi del traffico di rete di un computer. Dott. Mario Piccinelli - UniBS Forensic Profiling with Digital Data
  • 34. Forensic Profiling with Digital Data Forensics Profiling Tecniche di Data MiningTecniche di data mining (III) : clustering Clustering (Unsupervised learning) ` la suddivisione di una e collezione di oggetti in gruppi, detti cluster, tali che: gli oggetti un un cluster sono molto simili tra loro gli oggetti di cluster diversi sono molto diversi tra di loro Evidenzia trend e scostamenti. Esempio: posizioni GPS estratte da uno smartphone. Dott. Mario Piccinelli - UniBS Forensic Profiling with Digital Data
  • 35. Forensic Profiling with Digital Data Forensics Profiling Tecniche di Data MiningTecniche di data mining (IV) : cross-correlazione La correlazione incrociata di diverse fonti di informazione permette di identificare somiglianze e potenziali rapporti di causalit`. a Esempio: visite alla macchinetta del caff`. e Dott. Mario Piccinelli - UniBS Forensic Profiling with Digital Data
  • 36. Indice 1 Digital Forensics Definizione Campi di applicazione Fonti di informazione Procedura standard 2 Forensics Profiling Definizione Elementi del Digital Profiling Procedura standard Tecniche di Data Mining 3 Strumenti per il digital profiling XIRAF 4 Bibliografia 5 Contatti
  • 37. Forensic Profiling with Digital Data Strumenti per il digital profiling XIRAFXIRAF XML-based indexing and querying for digital forensics. Framework sperimentale realizzato nel 2005 come tesi di laurea da W. Alink presso l’universit` di Twente (Paesi Bassi) in a collaborazione con il Netherlands Forensics Institute (NFI). Dott. Mario Piccinelli - UniBS Forensic Profiling with Digital Data
  • 38. Forensic Profiling with Digital Data Strumenti per il digital profiling XIRAFXIRAF Nasce per porre rimedio ai problemi tipici della profilazione forense in campo informatico: Grandi quantit` di dati. a Necessit` di terminare le analisi in un tempo ragionevole. a Troppe informazioni non possono essere analizzate manualmente. Grande variet` di formati e tool software. a Molti formati differenti. Molti software standalone. Dott. Mario Piccinelli - UniBS Forensic Profiling with Digital Data
  • 39. Forensic Profiling with Digital Data Strumenti per il digital profiling XIRAFApproccio scelto Separazione netta tra: Estrazione dati. Analisi dati. Formato di output standard per tutti i tool, basato su XML. Uso di database basato su XML per estrazione e analisi dei dati. Riutilizzo di tool gi` esistenti per la forensics. a Dott. Mario Piccinelli - UniBS Forensic Profiling with Digital Data
  • 40. Forensic Profiling with Digital Data Strumenti per il digital profiling XIRAFStruttura del sistema Dott. Mario Piccinelli - UniBS Forensic Profiling with Digital Data
  • 41. Forensic Profiling with Digital Data Strumenti per il digital profiling XIRAFStruttura del sistema (parallelo con il data warehousing) Dott. Mario Piccinelli - UniBS Forensic Profiling with Digital Data
  • 42. Forensic Profiling with Digital Data Strumenti per il digital profiling XIRAFEsempio di estrazione di features Dott. Mario Piccinelli - UniBS Forensic Profiling with Digital Data
  • 43. Forensic Profiling with Digital Data Strumenti per il digital profiling XIRAFEsempio di interrogazioni al database Le interrogazioni sono svolte sul database XML mediante linguaggio XQuery. Ricerca di tutti gli URL relativi ai Google: Ricerca di tutti gli URL nella history di Explorer: Dott. Mario Piccinelli - UniBS Forensic Profiling with Digital Data
  • 44. Indice 1 Digital Forensics Definizione Campi di applicazione Fonti di informazione Procedura standard 2 Forensics Profiling Definizione Elementi del Digital Profiling Procedura standard Tecniche di Data Mining 3 Strumenti per il digital profiling XIRAF 4 Bibliografia 5 Contatti
  • 45. Forensic Profiling with Digital Data BibliografiaRiferimenti bibliografici Google Tech Talk, Geeks Guide to Digital Forensics. http://viaforensics.com/computer-forensics/ google-tech-talk-geeks-guide-to-digital-forensics-june-2011. html Maurizio Anconelli, Introduzione al digital profiling. http://cybercrimes.it/papers/DigitalProfiling.pdf J.J.Irvine (Crucial Security), Digital Forensic Analysis and Cyber Profiling. http://www.afcea-qp.org/luncheons/CrucialBrief02Nov10.pdf Pi` qualche centinaio di articoli vari qui: u http://secdocs.lonerunners.net/tags/details/8-forensic Dott. Mario Piccinelli - UniBS Forensic Profiling with Digital Data
  • 46. Forensic Profiling with Digital Data BibliografiaRiferimenti bibliografici (II) W. Alink, XIRAF – an XML-IR Approach to Digital Forensics. http://homepages.cwi.nl/~boncz/msc/2005-WouterAlink.pdf Dott. Mario Piccinelli - UniBS Forensic Profiling with Digital Data
  • 47. Indice 1 Digital Forensics Definizione Campi di applicazione Fonti di informazione Procedura standard 2 Forensics Profiling Definizione Elementi del Digital Profiling Procedura standard Tecniche di Data Mining 3 Strumenti per il digital profiling XIRAF 4 Bibliografia 5 Contatti
  • 48. Forensic Profiling with Digital Data ContattiContatti Dott. Mario Piccinelli Dipartimento di Ingegneria dell’Informazione Facolt` di Ingegneria a Universit` degli Studi di Brescia a mail: mario.piccinelli@ing.unibs.it web: www.ing.unibs.it/∼mario.piccinelli Dott. Mario Piccinelli - UniBS Forensic Profiling with Digital Data
  • 49. Forensic Profiling with Digital Data ContattiDomande? Domande? Dott. Mario Piccinelli - UniBS Forensic Profiling with Digital Data