Your SlideShare is downloading. ×
0
OWASP Day 3 - Analisi forense dei sistemi compromessi
OWASP Day 3 - Analisi forense dei sistemi compromessi
OWASP Day 3 - Analisi forense dei sistemi compromessi
OWASP Day 3 - Analisi forense dei sistemi compromessi
OWASP Day 3 - Analisi forense dei sistemi compromessi
OWASP Day 3 - Analisi forense dei sistemi compromessi
OWASP Day 3 - Analisi forense dei sistemi compromessi
OWASP Day 3 - Analisi forense dei sistemi compromessi
OWASP Day 3 - Analisi forense dei sistemi compromessi
OWASP Day 3 - Analisi forense dei sistemi compromessi
OWASP Day 3 - Analisi forense dei sistemi compromessi
OWASP Day 3 - Analisi forense dei sistemi compromessi
OWASP Day 3 - Analisi forense dei sistemi compromessi
OWASP Day 3 - Analisi forense dei sistemi compromessi
OWASP Day 3 - Analisi forense dei sistemi compromessi
OWASP Day 3 - Analisi forense dei sistemi compromessi
OWASP Day 3 - Analisi forense dei sistemi compromessi
OWASP Day 3 - Analisi forense dei sistemi compromessi
OWASP Day 3 - Analisi forense dei sistemi compromessi
OWASP Day 3 - Analisi forense dei sistemi compromessi
OWASP Day 3 - Analisi forense dei sistemi compromessi
OWASP Day 3 - Analisi forense dei sistemi compromessi
OWASP Day 3 - Analisi forense dei sistemi compromessi
OWASP Day 3 - Analisi forense dei sistemi compromessi
OWASP Day 3 - Analisi forense dei sistemi compromessi
OWASP Day 3 - Analisi forense dei sistemi compromessi
OWASP Day 3 - Analisi forense dei sistemi compromessi
OWASP Day 3 - Analisi forense dei sistemi compromessi
OWASP Day 3 - Analisi forense dei sistemi compromessi
OWASP Day 3 - Analisi forense dei sistemi compromessi
OWASP Day 3 - Analisi forense dei sistemi compromessi
OWASP Day 3 - Analisi forense dei sistemi compromessi
OWASP Day 3 - Analisi forense dei sistemi compromessi
OWASP Day 3 - Analisi forense dei sistemi compromessi
OWASP Day 3 - Analisi forense dei sistemi compromessi
OWASP Day 3 - Analisi forense dei sistemi compromessi
OWASP Day 3 - Analisi forense dei sistemi compromessi
OWASP Day 3 - Analisi forense dei sistemi compromessi
OWASP Day 3 - Analisi forense dei sistemi compromessi
OWASP Day 3 - Analisi forense dei sistemi compromessi
OWASP Day 3 - Analisi forense dei sistemi compromessi
OWASP Day 3 - Analisi forense dei sistemi compromessi
OWASP Day 3 - Analisi forense dei sistemi compromessi
OWASP Day 3 - Analisi forense dei sistemi compromessi
OWASP Day 3 - Analisi forense dei sistemi compromessi
OWASP Day 3 - Analisi forense dei sistemi compromessi
OWASP Day 3 - Analisi forense dei sistemi compromessi
Upcoming SlideShare
Loading in...5
×

Thanks for flagging this SlideShare!

Oops! An error has occurred.

×
Saving this for later? Get the SlideShare app to save on your phone or tablet. Read anywhere, anytime – even offline.
Text the download link to your phone
Standard text messaging rates apply

OWASP Day 3 - Analisi forense dei sistemi compromessi

1,662

Published on

http://www.owasp.org/index.php/Italy_OWASP_Day_3 …

http://www.owasp.org/index.php/Italy_OWASP_Day_3
http://www.tipiloschi.net/drupal/?q=OWASP-Day-3

Published in: Technology
0 Comments
1 Like
Statistics
Notes
  • Be the first to comment

No Downloads
Views
Total Views
1,662
On Slideshare
0
From Embeds
0
Number of Embeds
1
Actions
Shares
0
Downloads
94
Comments
0
Likes
1
Embeds 0
No embeds

Report content
Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
No notes for slide

Transcript

  • 1. OWASP Day III Università degli Studi di Bari 23.02.2009 Presentazioni Cybercrime Reazione Analisi forense Fasi canoniche Best Practices Live forensics Normativa In aula Contatti Ass. Davide Gabrini Ufficio Tecnico
  • 2. Chi siamo L’Ufficio Tecnico del Compartimento Polizia Postale e delle Comunicazioni di Milano si occupa di: OWASP Day III Università degli Studi di Bari Ricerca e Sviluppo 23.02.2009 Osservatorio sulle nuove tecnologie Presentazioni Studio e implementazione di Cybercrime strumenti e metodologie Reazione Analisi forense Formazione del personale Fasi canoniche Supporto tecnico alle attività investigative Best Practices Live forensics Computer Forensics Normativa …e ovviamente Pubbliche Relazioni ☺ In aula Contatti Seminari, Convegni, Workshop… Ass. Davide Gabrini Interventi formativi per scuole, P.A. e realtà aziendali Ufficio Tecnico
  • 3. Di cosa parliamo OWASP Day III Università degli Studi di Bari 23.02.2009 Cybercrime, nel mondo e in Italia Presentazioni Cybercrime Reazione ad un attacco subìto Reazione Analisi forense Computer Forensics Fasi canoniche Best Practices Live forensics Normativa e giurisprudenza Normativa In aula Contatti Ass. Davide Gabrini Ufficio Tecnico
  • 4. Cybercrime OWASP Day III Nel 2008, il cybercrime ha prodotto profitti per Università degli Studi di Bari 276 milioni di dollari (Symantec) 23.02.2009 Sempre nel 2008 ha anche prodotto danni per un Presentazioni trilione di dollari (McAfee) Cybercrime Il numero dei malware catalogati supera gli 11 Reazione milioni (Sophos) Analisi forense Fasi canoniche Si scopre una nuova infezione web ogni 4,5 Best Practices secondi (Sophos) Live forensics I paesi che hostano più malware sono USA (37%), Normativa Cina (27,7%) e Russia (9,1%) (Sophos) In aula Contatti Si tratta soprattutto di siti legittimi che sono stati compromessi per distribuire malware Ass. Davide Gabrini Ufficio Tecnico
  • 5. Vettori di attacco: la Top10 di Websense OWASP Day III Università degli Studi 1. Browser vulnerabilities di Bari 23.02.2009 2. Rogue antivirus/social engineering 3. SQL injection Presentazioni 4. Malicious Web 2.0 components (e.g. Facebook Cybercrime applications, third-party widgets and gadgets, banner ads) Reazione 5. Adobe Flash vulnerabilities Analisi forense 6. DNS Cache Poisoning and DNS Zone fle hijacking Fasi canoniche Best Practices 7. ActiveX vulnerabilities Live forensics 8. RealPlayer vulnerabilities Normativa 9. Apple QuickTime vulnerabilities In aula 10. Adobe Acrobat Reader PDF vulnerabilities Contatti Ass. Davide Gabrini Ufficio Tecnico Websense Security Labs Report Q3Q4 2008
  • 6. Vulnerabilità web apps: Top 10 di OWASP apps: OWASP Day III Università degli Studi 1. Cross Site Scripting (XSS) di Bari 23.02.2009 2. Injection Flaws 3. Malicious File Execution Presentazioni 4. Insecure Direct Object Reference Cybercrime Reazione 5. Cross Site Request Forgery (CSRF) Analisi forense 6. Information Leakage and Improper Error Handling Fasi canoniche 7. Broken Authentication and Session Management Best Practices 8. Insecure Cryptographic Storage Live forensics 9. Insecure Communications Normativa 10. Failure to Restrict URL Access In aula Contatti Ass. Davide Gabrini Ufficio Tecnico http://www.owasp.org/index.php/Top_10_2007
  • 7. Quotazioni dei tool d’attacco OWASP Day III Università degli Studi di Bari 23.02.2009 Presentazioni Cybercrime Reazione Analisi forense Fasi canoniche Best Practices Live forensics Normativa In aula Contatti Ass. Davide Gabrini Ufficio Tecnico Symantec Corporation: Report on the Underground Economy 11/2008
  • 8. Le botnet nell’ultimo anno OWASP Day III Università degli Studi di Bari 23.02.2009 Presentazioni Cybercrime Reazione Analisi forense Fasi canoniche Best Practices Live forensics Normativa In aula Contatti Ass. Davide Gabrini Ufficio Tecnico Shadowserver Foundation
  • 9. E in Italia? Statistiche aggiornate sul fenomeno: OWASP Day III Università degli Studi di Bari 23.02.2009 Presentazioni Cybercrime Reazione Analisi forense Fasi canoniche Best Practices Live forensics Normativa In aula Contatti Ass. Davide Gabrini O siamo un’isola felice, oppure vige l’omertà… Ufficio Tecnico
  • 10. Sotto la punta dell’iceberg Il grosso delle violazioni non viene OWASP Day III Università degli Studi di Bari denunciato. Possibili cause: 23.02.2009 La compromissione non viene rilevata Presentazioni Cybercrime Il problema viene quot;rattoppatoquot; senza Reazione indagare ulteriormente Analisi forense Fasi canoniche L'indagine rimane interna all'azienda Best Practices Live forensics Timore di danno d'immagine Normativa Scarsa fiducia o interesse in un'azione In aula Contatti legale Ass. Davide Gabrini Ufficio Tecnico
  • 11. E chi chiamerai? Cosa fare, dal punto di vista legale, in caso di accertato OWASP Day III Università degli Studi accesso abusivo? E' possibile presentare una querela: di Bari 23.02.2009 Chi: la parte lesa. Nel caso di un'azienza, chi ne ha la rappresentanza legale. Presentazioni La procedibilità d'ufficio è possibile solo in presenza di aggravanti Cybercrime È comunque opportuno che il legale/amministivo sia Reazione accompagnato dal tecnico Analisi forense Quando si tratta di reati con alto profilo tecnico, serve una querela con un profilo tecnico altrettanto alto Fasi canoniche Best Practices Quando: entro 3 mesi dal giorno in cui si è appreso il fatto Live forensics Dove: qualunque ufficio di Polizia Giudiziaria. Tuttavia la Normativa Polizia Postale è solitamente più avvezza alla materia In aula Cosa serve: tutto! Ogni informazione, dato, rilievo utile a Contatti circostanziare i fatti. Meglio ancora se già filtrato, ma attenti alla conservazione degli originali! Per operare al meglio, sono Ass. Davide Gabrini utili nozioni di computer forensics Ufficio Tecnico
  • 12. Computer Forensics e Incident Response Le procedure di CF ben si inseriscono nel OWASP Day III Università degli Studi di Bari processo di gestione degli incidenti 23.02.2009 Un processo di IR non è completo senza Presentazioni una fase di indagine Cybercrime Reazione Nonostante i possibili obiettivi comuni, CF Analisi forense e IR hanno spesso priorità e finalità diverse Fasi canoniche Best Practices Ciò che va bene per l'IR, non è detto che Live forensics vada altrettanto bene per la CF Normativa sempre se si desidera arrivare in sede di giudizio In aula Contatti Ass. Davide Gabrini Ufficio Tecnico
  • 13. Computer Forensics La computer forensics è la OWASP Day III Università degli Studi disciplina che si occupa della di Bari 23.02.2009 preservazione, dell'identificazione, dello studio, della documentazione Presentazioni dei computer, o dei sistemi Cybercrime informativi in generale, al fine di Reazione evidenziare l’esistenza di prove Analisi forense nello svolgimento dell’attività Fasi canoniche investigativa. Best Practices (A.Ghirardini: “Computer forensics” – Apogeo) Live forensics Normativa L’obiettivo è dunque quello di evidenziare dei In aula Contatti fatti pertinenti l’indagine da sottoporre a giudizio Ass. Davide Gabrini Ufficio Tecnico
  • 14. Necessità di una metodologia scientifica Pervasività delle tecnologie digitali OWASP Day III Università degli Studi di Bari Loro implicazione in attività delittuose 23.02.2009 Lo strumento informatico come mezzo Presentazioni Lo strumento informatico come fine Cybercrime Reazione Nonostante la pervasività, il reale Analisi forense funzionamento della tecnologia resta ai più Fasi canoniche misterioso… Best Practices Live forensics Le tracce digitali possono avere una Normativa natura estremamente delicata, che richiede In aula competenze specifiche per la trattazione Contatti Ass. Davide Gabrini Ufficio Tecnico
  • 15. Scopi di un’analisi forense Confermare o escludere un evento OWASP Day III Università degli Studi di Bari 23.02.2009 Individuare tracce e informazioni utili a circostanziarlo Presentazioni Cybercrime Acquisire e conservare le tracce in Reazione maniera idonea, che garantisca integrità Analisi forense Fasi canoniche e non ripudiabilità Best Practices Live forensics Interpretare e correlare le evidenze Normativa acquisite In aula Contatti Riferire con precisione ed efficienza Ass. Davide Gabrini Ufficio Tecnico
  • 16. Principi fondamentali di CF Limitare al minimo l'impatto: OWASP Day III Università degli Studi di Bari Primo: non nuocere 23.02.2009 Non alterare lo stato delle cose Presentazioni Cybercrime Isolamento della scena del crimine Reazione Utilizzo di procedure non invasive Analisi forense Fasi canoniche Documentare nel dettaglio ogni Best Practices intervento Live forensics Normativa Previene possibili contestazioni In aula Consente in certa misura di ricostruire Contatti la situazione Ass. Davide Gabrini Ufficio Tecnico
  • 17. Le fasi canoniche OWASP Day III Università degli Studi di Bari 23.02.2009 Identificazione Presentazioni Cybercrime Acquisizione / Preservazione Reazione Analisi forense Fasi canoniche Best Practices Analisi / Valutazione Live forensics Normativa In aula Presentazione Contatti Ass. Davide Gabrini Ufficio Tecnico
  • 18. 1. Identificazione Individuare le informazioni o le fonti OWASP Day III Università degli Studi di Bari di informazione disponibili 23.02.2009 Presentazioni Comprenderne natura e pertinenza Cybercrime Reazione Individuare il metodo di acquisizione Analisi forense Fasi canoniche più ideoneo Best Practices Live forensics Stabilire un piano di acquisizione Normativa In aula Contatti Ass. Davide Gabrini Ufficio Tecnico
  • 19. 2. Acquisizione Il sequestro è un metodo facile, veloce OWASP Day III Università degli Studi di Bari e sicuro, ma non tutti i dati possono 23.02.2009 essere acquisiti quot;fisicamentequot; Presentazioni Cybercrime Le copie eseguite devono essere Reazione identiche all'originale (integrità e non Analisi forense Fasi canoniche ripudiabilità) Best Practices Le procedure devono essere Live forensics Normativa documentate e attuate secondo metodi e In aula tecnologie conosciute, così da essere Contatti verificabili dalla controparte Ass. Davide Gabrini Ufficio Tecnico
  • 20. 3- Analisi e valutazione Dare un senso a quanto acquisito OWASP Day III Università degli Studi di Bari Estrarre i dati e processarli per 23.02.2009 ricostruire informazioni Presentazioni Cybercrime Interpretare le informazioni per Reazione individuare elementi utili Analisi forense Fasi canoniche Comprendere e correlare, per affinare le Best Practices ricerche e trarre conclusioni Live forensics E' sicuramente la fase più onerosa di Normativa In aula tutto il processo e richiede conoscenze Contatti davvero disparate Ass. Davide Gabrini Ufficio Tecnico
  • 21. 4. Presentazione I risultati devono essere presentati in OWASP Day III Università degli Studi di Bari forma facilmente comprensibile 23.02.2009 I destinatari non hanno di solito Presentazioni Cybercrime competenze informatiche approfondite Reazione Tuttavia è probabile che la relazione Analisi forense venga esaminata da un tecnico della Fasi canoniche Best Practices controparte Live forensics Semplicità e chiarezza, non Normativa In aula superficialità e approssimazione Contatti Ass. Davide Gabrini Ufficio Tecnico
  • 22. Problemi procedurali Manca una validazione quot;localequot; degli OWASP Day III Università degli Studi di Bari strumenti impiegati 23.02.2009 Negli Stati Uniti il NIST testa e certifica Presentazioni Cybercrime gli strumenti hardware e software Reazione In Italia manca un istituto analogo Analisi forense Fasi canoniche Manca una metodologia legalmente Best Practices riconosciuta o una giurisprudenza Live forensics Normativa affermata in materia In aula La questione anzi pare spesso Contatti considerata di scarsa rilevanza giuridica Ass. Davide Gabrini Ufficio Tecnico
  • 23. Best practices internazionali In Italia, nessuna istituzione pubblica si è presa la briga di OWASP Day III Università degli Studi compilare delle linee guida per le indagini digitali di Bari 23.02.2009 All'estero ci sono diverse fonti interessanti: IACP: International Association of Chiefs of Police Presentazioni Best Practices for Seizing Electronic Evidence Cybercrime CERT: Computer Emergency Response Team (Carnegie Mellon University) First Responders Guide to Computer Forensics Reazione IACIS: International Association of Computer Investigative Specialists Analisi forense IACIS Forensics Procedures Fasi canoniche NIST: National Institute of Standards and Technology Best Practices Guide to Integrating Forensics Techniques into Incident Response Live forensics Guidelines on Cell Phone Forensics Normativa Guidelines on PDA Forensics In aula US Department of Justice: Contatti Search and Seizure Manual UK ACPO: Association of Chief Police Officers Ass. Davide Gabrini Computer based evidence Ufficio Tecnico
  • 24. La RFC3227 Guidelines for Evidence Collection and Archiving Pubblicata nel febbraio 2002, è ancora un non smentito punto OWASP Day III di riferimento internazionale. Tra le altre cose consiglia: Università degli Studi di Bari 23.02.2009 Documentare dettagliatamente ogni operazione svolta Chiari riferimenti temporali Presentazioni Indicazione di eventuali discrepanze Cybercrime Evitare tecniche invasive o limitare l'impatto Reazione all'irrinunciabile, preferendo strumenti ben documentabili Analisi forense Isolare il sistema da fattori esterni che possono modificarlo Fasi canoniche (attenzione: l'attività potrebbe essere rilevata) Best Practices Nella scelta tra acquisizione e analisi, prima si acquisisce e Live forensics poi si analizza Normativa Essere metodici e implementare automatismi (attenzione: In aula arma a doppio taglio…) Contatti Procedere dalle fonti più volatili alle meno volatili Ass. Davide Gabrini Eseguire copie bit-level (bit stream image) e lavorare su esse Ufficio Tecnico
  • 25. Chain of custody Procedura necessaria per poter tracciare lo stato di OWASP Day III Università degli Studi un reperto e la relativa responsabilità in qualsiasi di Bari 23.02.2009 momento della sua esistenza. Presentazioni Deve documentare chiaramente: Cybercrime Dove, quando e da chi l’evidence è stata scoperta e acquisita Reazione Dove, quando e da chi è stata custodita o analizzata Analisi forense Chi l’ha avuta in custodia e in quale periodo Fasi canoniche Come è stata conservata Best Practices Ad ogni passaggio di consegna, dove, come e tra chi è stata Live forensics trasferita Normativa Gli accessi all’evidence devono essere estremamente In aula Contatti ristretti e chiaramente documentati. Devono potersi rilevare accessi non autorizzati. Ass. Davide Gabrini Ufficio Tecnico
  • 26. Piano di acquisizione L'acquisizione va fatta rispettando OWASP Day III Università degli Studi di Bari l'ordine di volatilità 23.02.2009 Per i sistemi in esecuzione: Presentazioni Cybercrime Registri, cache Reazione Memorie RAM Analisi forense Fasi canoniche Stato della rete (connessioni stabilite, socket in ascolto, Best Practices applicazioni coinvolte, cache ARP, routing table, DNS cache ecc…) Live forensics Processi attivi Normativa File system temporanei In aula Contatti Dischi Ass. Davide Gabrini Ufficio Tecnico
  • 27. Ordine di volatilità (segue) Dopo l'eventuale spegnimento, si OWASP Day III Università degli Studi di Bari prosegue con: 23.02.2009 Dischi (post-mortem) Presentazioni Cybercrime Log remoti Reazione Configurazione fisica e Analisi forense Fasi canoniche topologia di rete Best Practices Floppy, nastri e altri dispositivi Live forensics Normativa di backup In aula Supporti ottici, stampe ecc. Contatti Ass. Davide Gabrini Ufficio Tecnico
  • 28. Analisi Live vs Post-mortem Post- Quando si interviene su un sistema OWASP Day III Università degli Studi di Bari acceso, si è davanti ad una scelta: 23.02.2009 Spegnerlo subito per procedere ad Presentazioni acquisizione e analisi post-mortem Cybercrime Esaminarlo mentre è in esecuzione Reazione Analisi forense Entrambe le scelte hanno pro e contro, Fasi canoniche dipendenti anche da: Best Practices Live forensics Competenza del personale impiegato Normativa Strumentazione a disposizione In aula Perdita di dati (o di servizi) e loro rilevanza Contatti Nel caso, valutare la modalità di spegnimento Ass. Davide Gabrini Ufficio Tecnico
  • 29. OWASP Day III Università degli Studi di Bari 23.02.2009 Presentazioni Cybercrime Reazione Analisi forense Fasi canoniche Best Practices Live forensics Normativa In aula Contatti Ass. Davide Gabrini Ufficio Tecnico
  • 30. Quando è necessario un intervento live Se il sistema è in esecuzione, qualsiasi OWASP Day III Università degli Studi di Bari azione lo modificherà 23.02.2009 tanto vale intraprendere azioni utili… Presentazioni Se il sistema non è fisicamente rimovibile Cybercrime Se il sistema non può essere spento Reazione Se il sistema non può essere acquisito Analisi forense Fasi canoniche nella sua interezza Best Practices Se le informazioni volatili possono essere Live forensics rilevanti ai fini dell'indagine Normativa In aula In particolar modo, se occorre acquisire il Contatti traffico di rete riguardante la macchina Ass. Davide Gabrini Ufficio Tecnico
  • 31. Invasività Il sistema viene sicuramente alterato OWASP Day III Università degli Studi di Bari le modifiche sono note? 23.02.2009 sono documentabili? Presentazioni Cybercrime intaccano significativamente il risultato Reazione dell'analisi? Analisi forense Fasi canoniche ogni modifica distrugge qualcosa Best Practices Gli accertamenti svolti su sistemi Live forensics Normativa accesi non saranno ripetibili In aula Contatti Ass. Davide Gabrini Ufficio Tecnico
  • 32. Live forensics best practices L'intervento dell'utente deve essere ridotto al minimo OWASP Day III Università degli Studi Ogni azione deve essere indispensabile e meno invasiva di Bari 23.02.2009 possibile Le modifiche ai dati memorizzati staticamente devono essere Presentazioni ridotte all'inevitabile Cybercrime Le aquisizioni hanno priorità secondo l'ordine di volatilità Reazione Ogni azione intrapresa deve essere scrupolosamente Analisi forense verbalizzata, con gli opportuni riferimenti temporali Fasi canoniche Gli strumenti utilizzati devono essere fidati, il più possibile Best Practices indipendenti dal sistema e impiegare il minimo delle risorse; Live forensics non devono produrre alterazioni né ai dati né ai metadati Normativa I dati estratti vanno sottoposti ad hash e duplicati prima di In aula procedere all'analisi Contatti I dati che non sono volatili devono preferibilmente essere Ass. Davide Gabrini acquisiti secondo metodologia tradizionale Ufficio Tecnico
  • 33. Live forensics best practices Più in generale: OWASP Day III Università degli Studi di Bari E’ necessario comprendere le azioni che si 23.02.2009 stanno per compiere e le loro conseguenze Presentazioni In caso contrario, è indispensabile ricorrere a Cybercrime Reazione personale specializzato Analisi forense E’ consigliabile attenersi agli obiettivi Fasi canoniche dell’indagine, evitando divagazioni Best Practices Live forensics La live forensics non dovrebbe sostituirsi Normativa all'analisi post-mortem, ma esserne In aula complementare Contatti Ass. Davide Gabrini Ufficio Tecnico
  • 34. Nemici delle live forensics Rootkit OWASP Day III Università degli Studi di Bari user space (ring 3) 23.02.2009 kernel space (ring 0) Presentazioni Cybercrime VM based Reazione Non sempre è facile rilevarli Analisi forense Fasi canoniche Possono rilevare l'azione dei tool forensi Best Practices Live forensics Possono quindi alterarne i risultati, p.e. Normativa impedendo l'acquisizione di un'evidence In aula Contatti Rendono necessaria l'analisi post-mortem Ass. Davide Gabrini Ufficio Tecnico
  • 35. Metodi di spegnimento Se si decide di spegnere il sistema, scegliere la OWASP Day III Università degli Studi modalità più opportuna: di Bari 23.02.2009 1) Procedura canonica (in genere deprecata) le normali procedure alterano numerose informazioni Presentazioni sul disco! Cybercrime ogni scrittura sovrascrive dati preesistenti (rilevanti?) Reazione è possibile siano state predisposte procedure di quot;puliziaquot; Analisi forense 2) Interrompendo l'alimentazione Fasi canoniche L'impatto sui dati è solitamente minore che con lo Best Practices shutdown del sistema Live forensics Per contro, potrebbero perdersi dati non ancora Normativa registrati su disco In aula Operazioni di scrittura ancora in cache Contatti Transazioni DB Problemi di coerenza al successivo riavvio Ass. Davide Gabrini Danni ai componenti elettronici Ufficio Tecnico
  • 36. OWASP Day III Università degli Studi di Bari 23.02.2009 Presentazioni Cybercrime Reazione Analisi forense Fasi canoniche Best Practices Live forensics Normativa In aula Contatti Ass. Davide Gabrini Ufficio Tecnico
  • 37. Raccolta delle prove Oltre che dalla Polizia Giudiziaria, le OWASP Day III Università degli Studi di Bari prove possono essere raccolte anche da 23.02.2009 altri soggetti: Presentazioni Cybercrime il Pubblico Ministero durante le Reazione indagini preliminari; Analisi forense Fasi canoniche la parte sottoposta a indagine, a fini Best Practices difensivi; Live forensics Normativa la parte offesa, per valutare In aula l'opportunità di una denuncia o querela. Contatti Ass. Davide Gabrini Ufficio Tecnico
  • 38. Prove atipiche Art.189 c.p.p. comma 1: Prove non OWASP Day III Università degli Studi di Bari disciplinate dalla legge 23.02.2009 Quando è richiesta una prova non Presentazioni Cybercrime disciplinata dalla legge, il giudice può Reazione assumerla se essa risulta idonea ad Analisi forense Fasi canoniche assicurare l’accertamento dei fatti e non Best Practices pregiudica la libertà morale della Live forensics persona. Il giudice provvede Normativa In aula all’ammissione, sentite le parti sulle Contatti modalità di assunzione della prova. Ass. Davide Gabrini Ufficio Tecnico
  • 39. Indagini difensive Principio di parità tra accusa e difesa OWASP Day III Università degli Studi di Bari L. 397/2000: Disposizioni in materia di indagini difensive 23.02.2009 Art. da 391bis a 391decies cpp Presentazioni Il difensore, gli investigatori privati, i consulenti Cybercrime tecnici possono: Reazione Ricevere dichiarazioni dalle persone in grado di Analisi forense riferire su circostanze utili Fasi canoniche Richiedere documentazione alla Pubblica Best Practices Amministrazione Live forensics Normativa Prendere visione dello stato di luoghi e cose ed In aula effettuare rilievi Contatti Accedere a luoghi privati o non aperti al pubblico, eventualmente su autorizzazione del giudice, al solo Ass. Davide Gabrini Ufficio Tecnico fine di ispezione.
  • 40. Art.391- Art.391-nonies: Attività investigativa preventiva L’attività investigativa del difensore (Art.327-bis) OWASP Day III Università degli Studi può essere svolta anche preventivamente, su di Bari 23.02.2009 apposito mandato e per l’eventualità che si instauri un procedimento penale. Presentazioni Cybercrime Il difensore può incaricare dell'attività il sostituto, Reazione l'investigatore privato autorizzato o il consulente Analisi forense tecnico Fasi canoniche L'attività investigativa preventiva non può Best Practices comprendere atti che richiedono l'autorizzazione Live forensics Normativa dell'Autorità Giudiziaria In aula Si possono dunque svolgere autonomamente Contatti indagini private in attesa di valutare l'eventualità di Ass. Davide Gabrini procedere a un'azione penale e/o civile. Ufficio Tecnico
  • 41. Legge 48/2008 Per la prima volta, vengono introdotte procedure OWASP Day III Università degli Studi di acquisizione dell'evidenza informatica, di Bari 23.02.2009 mediante l'imposizione dell'adozione di misure tecniche dirette ad assicurare la conservazione dei Presentazioni dati originali e ad impedirne l'alterazione; Cybercrime Reazione Adozione di procedure che assicurino la Analisi forense conformità dei dati acquisiti a quelli originali e la Fasi canoniche loro immodificabilità. Best Practices Live forensics Le novità riguardano, tra l'altro, gli articoli relativi Normativa a perquisizione, ispezione, sequestro, accertamenti In aula urgenti, oltre al concetto stesso di corpo del reato. Contatti Ass. Davide Gabrini Ufficio Tecnico
  • 42. OWASP Day III Università degli Studi di Bari 23.02.2009 Presentazioni Cybercrime Reazione Analisi forense Fasi canoniche Best Practices Live forensics Normativa In aula Contatti Ass. Davide Gabrini Ufficio Tecnico
  • 43. Idoneità della Computer Forensics Per essere ammessa nel processo civile o penale, OWASP Day III Università degli Studi la prova deve essere idonea a dimostrare i fatti a di Bari 23.02.2009 cui si riferisce. Presentazioni Nel processo civile, è onere della parte raccogliere Cybercrime e conservare le prove in maniera tale che non Reazione rischino di essere considerate inidonee. Analisi forense Se il metodo di raccolta è opinabile e la Fasi canoniche conservazione incerta, la prova può perdere Best Practices facilmente di attendibilità. Live forensics Normativa Più i procedimenti sono rigorosi e documentati, In aula più è probabile che il giudice ne riconosca l'idoneità Contatti (per questa valutazione il giudice può avvalersi di Ass. Davide Gabrini consulenti tecnici). Ufficio Tecnico
  • 44. Idoneità della Computer Forensics Nel procedimento penale è il giudice che deve OWASP Day III Università degli Studi verificare la validità scientifica dei metodi d'indagine di Bari 23.02.2009 per stabilirne l'affidabilità: Presentazioni quot;Nel valutare i risultati di una perizia, il giudice deve verificare la stessa validità scientifica dei criteri e dei metodi di indagine Cybercrime utilizzati dal perito, allorché essi si presentino come nuovi e Reazione sperimentali e perciò non sottoposti al vaglio di una pluralità di Analisi forense casi ed al confronto critico tra gli esperti del settore, sì da non Fasi canoniche potersi considerare ancora acquisiti al patrimonio della Best Practices comunità scientifica. Quando, invece, la perizia si fonda su Live forensics cognizioni di comune dominio degli esperti e su tecniche di Normativa indagine ormai consolidate, il giudice deve verificare In aula unicamente la corretta applicazione delle suddette cognizioni e Contatti tecniche. quot; Cass. Pen. Sez. V, 9 luglio 1993, Arch. nuova proc.pen. Ass. Davide Gabrini Ufficio Tecnico 1994, 226; Giust. pen. 1994, III, 42.
  • 45. Sentenza 1823/05 del Tribunale di Bologna La difesa mise in discussione la correttezza del metodo utilizzato dalla p.g. per OWASP Day III estrarre i programmi dal computer. Università degli Studi di Bari Nella sentenza di legge: 23.02.2009 quot;Il tema […] appare nella fattispecie in esame di secondo rilievo.quot; quot;non è compito di questo Tribunale determinare un protocollo relativo alle Presentazioni procedure informatiche forensi, ma semmai verificare se il metodo utilizzato Cybercrime dalla p.g. nel caso in esame abbia concretamente alterato alcuni dei dati Reazione ricercati.quot; Analisi forense quot;non è permesso al Tribunale escludere a priori i risultati di una tecnica informatica utilizzata a fini forensi solo perché alcune fonti ritengono ve ne Fasi canoniche siano di più scientificamente corrette, in assenza della allegazione di fatti che Best Practices suggeriscano che si possa essere astrattamente verificata nel caso concreto una qualsiasi forma di alterazione dei datiquot; Live forensics quot;quando anche il metodo utilizzato dalla p.g. non dovesse ritenersi conforme Normativa alla migliore pratica scientifica, in difetto di prova di una alterazione concreta, In aula conduce a risultati che sono, per il principio di cui all’art. 192 c.p.p., Contatti liberamente valutabili dal giudice alla luce del contesto probatorio complessivo (fermo restando che maggiore è la scientificità del metodo scelto, minori Ass. Davide Gabrini saranno i riscontri che il giudice è chiamato a considerare per ritenere Ufficio Tecnico attendibili gli esiti delle operazioni tecniche).
  • 46. Sentenza 175/2006 del Tribunale di Chieti [...]le indagini non proseguirono con sufficiente approfondimento OWASP Day III Università degli Studi poiché ci si limitò ad interpellare la ditta senza alcuna formale di Bari 23.02.2009 acquisizione di dati e senza alcuna verifica circa le modalità della conservazione degli stessi allo scopo di Presentazioni assicurarne la genuinità e l'attendibilità nel tempo. Cybercrime […][l'U.P.G.] ha poi aggiunto di non essere andato sul posto e di Reazione non essere in grado di riferire circa le quot;operazioni tecniche che Analisi forense sono state compiute da Technorail per estrarre questi datiquot;. Fasi canoniche Se a ciò aggiungiamo che questi dati provenivano dalla stessa Best Practices persona offesa e che trattasi di dati tecnici di particolare Live forensics delicatezza e manipolabilità ci pare che il dato acquisito sia Normativa minimo e del tutto insufficiente a fondare qualsivoglia In aula affermazione di responsabilità al di là del ragionevole dubbio con la conseguenza che il prevenuto deve essere mandato Contatti assolto con la già annunciata formula. Ass. Davide Gabrini Ufficio Tecnico
  • 47. Contatti Compartimento Polizia Postale e delle OWASP Day III Università degli Studi di Bari Comunicazioni per la Lombardia 23.02.2009 Via Moisè Loria, 74 - 20144 – MILANO Loria, Presentazioni Tel. 02/43.33.3011 – Fax 02/43.33.3067 Cybercrime E-mail: poltel.mi@poliziadistato.it Reazione Analisi forense Fasi canoniche Best Practices UFFICIO T ECNICO Live forensics Normativa In aula Assistente Davide GABRINI Contatti davide.gabrini@poliziadistato.it Ass. Davide Gabrini Ufficio Tecnico

×