Ricette e contromisure per la sicurezza delle informazioni
Analisi e interpretazione degli elementi di prova digitali: Standard ISO 27042:2016
1. Massimo Farina – Alessandro Bonu
«Analisi e interpretazione degli elementi di prova digitali:
Standard ISO 27042:2016»
Analisi e
interpretazione degli
elementi di prova
digitali: Standard ISO
27042:2016
a cura di
Massimo Farina
Alessandro Bonu
2. Massimo Farina – Alessandro Bonu
«Analisi e interpretazione degli elementi di prova digitali:
Standard ISO 27042:2016»
un network che raggruppa esperti e studiosi
mondo
tecnologico mondo giuridico
3. Massimo Farina – Alessandro Bonu
«Analisi e interpretazione degli elementi di prova digitali:
Standard ISO 27042:2016»
laboratorio di Informatica Forense
Dipartimento di Ingegneria Elettrica e Elettronica
dell’Università di Cagliari
Cyber Crimes, IT Security
& Digital Forensics
ict4forensics.diee.unica.it
laboratorio di Informatica Forense
Dipartimento di Ingegneria Elettrica e Elettronica
dell’Università di Cagliari
Cyber Crimes, IT Security
& Digital Forensics
ict4forensics.diee.unica.it
4. Massimo Farina – Alessandro Bonu
«Analisi e interpretazione degli elementi di prova digitali:
Standard ISO 27042:2016»
Alessandro Bonu
Digital Forenser / CTU
ASPETTO TECNICO/ INFORMATICO
I relatori di oggi
Massimo Farina
PhD, docente di diritto dell'informatica
Università di Cagliari
ASPETTO GIURIDICO
5. Massimo Farina – Alessandro Bonu
«Analisi e interpretazione degli elementi di prova digitali:
Standard ISO 27042:2016»
IL NOSTRO TEAM
il talk viene presentato contemporaneamente in due sedi
• Smau Milano, relatori
• Massimo Farina, Docente di Diritto dell'Informatica - UniCA
• Alessandro Bonu, Systems Infrastructure Engineer
• LINUX DAY PISA, relatori
• Maria Letizia Perugini, blockchain postdoctoral researcher
• Marco Carlo Spada, Network Security Engineer
6. Massimo Farina – Alessandro Bonu
«Analisi e interpretazione degli elementi di prova digitali:
Standard ISO 27042:2016»
IL PROGETTO DI RICERCA
La presentazione fa parte del progetto di ricerca su
«standard ISO in materia di sicurezza informatica (serie 27000)»
coordinato dal laboratorio Universitario ICT4Law and Forensics
Nel mondo globalizzato, gli scambi e le comunicazioni si svolgono normalmente
in via digitale. I Tribunali italiani si trovano quotidianamente di fronte all’analisi
e interpretazione di questi possibili elementi di prova (digitali). Quale metodo
viene applicato? Come vengono verificati i risultati?
Lo Standard ISO 27042 stabilisce le linee guida per questa delicata e importante
attività, offrendo un modello di riferimento uniforme
AMBITO DI RICERCA
7. Massimo Farina – Alessandro Bonu
«Analisi e interpretazione degli elementi di prova digitali:
Standard ISO 27042:2016»
Una breve nota introduttiva
ISO
ABBREVIAZIONE
NON ACRONIMO !
8. Massimo Farina – Alessandro Bonu
«Analisi e interpretazione degli elementi di prova digitali:
Standard ISO 27042:2016»
E’ bene chiarire subito che non si tratta di una
guida completa ed esaustiva, ma stabilisce alcuni
principi fondamentali
intesi a garantire che gli strumenti, le tecniche e i
metodi siano scelti in modo appropriato e adatti
allo scopo
Una precisazione
Lo standard internazionale ISO 27042:2016 fornisce indicazioni
su come garantire che i metodi e i processi soddisfino i
requisiti dell'indagine e siano stati adeguatamente testati
richiamando le altre norme ISO della famiglia 27000 per le
prescrizioni di dettaglio
9. Massimo Farina – Alessandro Bonu
«Analisi e interpretazione degli elementi di prova digitali:
Standard ISO 27042:2016»
LE TRE NORME FONDAMENTALI
“linee guida per l’identificazione,
la raccolta, l’acquisizione, la
conservazione e il trasporto di
evidenze (elementi di prova)
digitali ”
27037:2012
“Guida all'accertamento
d'idoneità e di
adeguatezza del metodo di
indagine ”
27041:2015
“Linee guida per
l'analisi e
l'interpretazione dei
dati digitalI”
27042:2015
ISO/IEC ISO/IEC ISO/IEC
10. Massimo Farina – Alessandro Bonu
«Analisi e interpretazione degli elementi di prova digitali:
Standard ISO 27042:2016»
EVENTI E INCIDENTI
INFORMATICI
“qualsiasi
accadimento
osservabile in un
sistema o una
rete”
“la violazione o la
minaccia di una
violazione alle politiche di
sicurezza di un computer
o di una rete, ai suoi
criteri di utilizzo o alle sue
politiche di sicurezza”
Definizioni del Computer
Security Resource Center
(CSRC) del National Institute
of Standards and Technology
(NIST)
L’INCIDENTE INFORMATICO ALL’EPOCA DEL CYBERCRIME:
“Qualsiasi azione illegale, non autorizzata, o inaccettabile che coinvolge un sistema di computer, telefono
cellulare, tablet, e qualsiasi altro dispositivo elettronico con un sistema operativo o che opera su una rete di
computer”
NON SOLO CYBERCRIME (più in generale):
comportamento non atteso o non previsto di un sistema informatico: può essere dovuto a un
malfunzionamento di hardware o software; può avere carattere volontario (attacco) o accidentale (bug)
11. Massimo Farina – Alessandro Bonu
«Analisi e interpretazione degli elementi di prova digitali:
Standard ISO 27042:2016»
Incidenti informatici VS indagine
• È fondamentale che l'indagine sia
condotta in modo affidabile e che
produca RISULTANZE DIGITALI con
una PROVENIENZA CERTA
garantendo che ogni elemento di
produzione digitale possa essere
ricondotto alla FONTE DA CUI È
DERIVATO
• Lo scopo principale di
un'indagine è quello di
sviluppare la CONOSCENZA
DI UN INCIDENTE
1 2
3 4
• realizzato da INVESTIGATORI
COMPETENTI che utilizzano
PROCESSI ANALITICI
CONVALIDATI
12. Massimo Farina – Alessandro Bonu
«Analisi e interpretazione degli elementi di prova digitali:
Standard ISO 27042:2016»
MODELLO A STADI DELLA PROVA
DIGITALE
- PRIMO STADIO: “fonte potenziale di prova”,
quando questa passa la verifica tecnica diviene
- SECONDO STADIO: “elemento di prova digitale” e
al momento dell’accettazione nel procedimento
giuridico diviene
- TERZO STADIO: “elemento di prova digitale legale"
13. Massimo Farina – Alessandro Bonu
«Analisi e interpretazione degli elementi di prova digitali:
Standard ISO 27042:2016»
• IL QUESITO
• GUIDA (= LIMITA) IL PROCESSO
INVESTIGATIVO
•
- PERCHÉ consiste in una serie di
domande a cui rispondere inerenti al
caso di interesse
•- PERCHÉ contiene indicazione di
dettagli su eventuali vincoli e limitazioni
che si applicano al caso di indagine
IL TUTTO CONFLUISCE NEL RAPPORTO DI INDAGINE
IL RESPONSABILE DELL'INDAGINE
DEVE PREPARARE UNA
STRATEGIA O UN PIANO
INVESTIGATIVO MEDIANTE:
- determinazione delle risorse;
- selezione dei processi, delle
indicazioni e degli strumenti da fornire
al gruppo investigativo;
- Predisposizione della documentazione
con i dettagli operativi e i riferimenti
normativi
LIMITI E METODO
DELL’ATTIVITÀ D’INDAGINE
14. Massimo Farina – Alessandro Bonu
«Analisi e interpretazione degli elementi di prova digitali:
Standard ISO 27042:2016»
LA CATENA DI CUSTODIA
(Chain of Custody)
È la documentazione cronologica dei diversi attori
che hanno trattato un elemento di prova, come ad
esempio un hard disk, un server o uno
smartphone
Ogni passaggio di mano nelle fasi di
sequestro, controllo, trasferimento e
analisi deve essere tracciato e documentato
nel documento di Catena di Custodia, che
riveste particolare importanza nel corso di
procedimenti giudiziari civili e penali, e
dovrebbe sempre essere parte di una perizia
forense
La metodologia e le
prescrizioni che
riguardano la catena di
custodia sono descritte
nello standard ISO 27037
richiamato al paragrafo
6.4 della 27042.
Documentazione
15. Massimo Farina – Alessandro Bonu
«Analisi e interpretazione degli elementi di prova digitali:
Standard ISO 27042:2016»
RIPETIBILITÀ E PRODUCIBILITÀ
Gli elementi di prova
devono essere raccolti con
metodi che soddisfano i
principi di ripetibilità e
riproducibilità
L'applicazione di un procedimento convalidato
(ISO/IEC 27041) contribuisce a dimostrare che i
risultati ottenuti sono affidabili e riproducibili che
soddisfano un'esigenza investigativa
NOTA: Se il metodo non è ripetibile o riproducibile, i risultati ottenuti sono altamente suscettibili
di essere contestati e possono mettere in discussione la competenza e l'abilità dell'équipe
investigativa che le utilizza
Metodo
16. Massimo Farina – Alessandro Bonu
«Analisi e interpretazione degli elementi di prova digitali:
Standard ISO 27042:2016»
APPROCCIO STRUTTURATO
L'indagine, deve essere condotta da investigatori
con competenze accertata e certificata da
percorsi di aggiornamento professionale
documentabili
Gli inquirenti devono garantire che le loro conclusioni
siano comunicate nel modo più completo e imparziale
possibile
•Gli elementi di prova digitale devono essere
esaminati secondo procedure di analisi
adeguate ai dispositivi e ai dati oggetto
dell'indagine
Metodo
17. Massimo Farina – Alessandro Bonu
«Analisi e interpretazione degli elementi di prova digitali:
Standard ISO 27042:2016»
Gli investigatori devono essere consapevoli
delle aree di incertezza nei risultati
(QUANDO C’È) INCERTEZZA
Gli investigatori possono richiedere
ulteriori indicazioni alla persona o
all’organizzazione per conto della quale deve
essere effettuata l'indagine
1
2
18. Massimo Farina – Alessandro Bonu
«Analisi e interpretazione degli elementi di prova digitali:
Standard ISO 27042:2016»
ANALISI
L'analisi è necessaria in quanto molti elementi
di prova digitale vengono reperiti in forma
latente:
○ - tracce di un file cancellato
○ - ricostruzione della timeline tramite esame
dei metadati
l'analisi deve fare uso di processi convalidati
(come definiti dalla ISO/IEC 27041), deve
essere eseguita da personale competente ed
essere scrupolosamente documentata per
stabilire una provenienza delle informazioni
tracciabile e difendibile
19. Massimo Farina – Alessandro Bonu
«Analisi e interpretazione degli elementi di prova digitali:
Standard ISO 27042:2016»
STRUMENTI INFORMATICI
Gli strumenti informatici (combinazioni di software, hardware e firmware)
possono essere di grande aiuto nel processo di analisi.
La selezione degli strumenti dovrebbe essere basata sui requisiti
concordati e sui processi (vedi ISO/IEC 27041) che compongono
l'analisi
Gli investigatori devono essere in grado di utilizzare gli strumenti nel
contesto del processo in questione
I processi che comportano nuovi strumenti devono essere in grado di
superare la convalida e la conferma prima dell'implementazione
secondo la procedura specificata nella norma ISO/IEC 27041
20. Massimo Farina – Alessandro Bonu
«Analisi e interpretazione degli elementi di prova digitali:
Standard ISO 27042:2016»
ASPETTI TECNICI
21. Massimo Farina – Alessandro Bonu
«Analisi e interpretazione degli elementi di prova digitali:
Standard ISO 27042:2016»
Competenze
tecniche e legali rilevanti;
dimostrare di essere propriamente
qualificati;
idonea capacità di gestire le
potenziali prove digitali.
Competenze
22. Massimo Farina – Alessandro Bonu
«Analisi e interpretazione degli elementi di prova digitali:
Standard ISO 27042:2016»
SCENARI
PRIVATI PROFESSIONISTI
AZIENDE ENTERPRISE
23. Massimo Farina – Alessandro Bonu
«Analisi e interpretazione degli elementi di prova digitali:
Standard ISO 27042:2016»
CATENA DI CUSTODIA
IDENTIFICAZIONE
repertamento
ACQUISIZIONE
copia forense
ANALISI
estrazione dei dati
PRESENTAZIONE
relazione finale
INDAGINE
WorkFlow classico di indagine
24. Massimo Farina – Alessandro Bonu
«Analisi e interpretazione degli elementi di prova digitali:
Standard ISO 27042:2016»
Computer
Forensics
Le origini..
25. Massimo Farina – Alessandro Bonu
«Analisi e interpretazione degli elementi di prova digitali:
Standard ISO 27042:2016»
Mobile Forensics
Internet Forensics
Network Forensics
IoT Forensics, cloud, …??
Computer Forensics
L’evoluzione..
DIGITAL
Forensics
26. Massimo Farina – Alessandro Bonu
«Analisi e interpretazione degli elementi di prova digitali:
Standard ISO 27042:2016»
on laboratory
onsite
STATO
OFF
OFF
OFF
OFF
ON
ON
ON
ON
LIVE
DEAD
La realtà «operativa»
POCO STANDARDIZZABILE
27. Massimo Farina – Alessandro Bonu
«Analisi e interpretazione degli elementi di prova digitali:
Standard ISO 27042:2016»
REPERTI CALDIREPERTI FREDDI
DISPOSITIVI ACCESI CHE NECESSITANO DI
PARTICOLARE ATTENZIONE
LIVE FORENSICS
DISPOSITIVI SPENTI CHE POSSONO
ESSERE ACQUISITI IN LABORATORIO
DEAD FORENSICS
DATI VOLATILI
DATI STATICI
Tipologia dei reperti
28. Massimo Farina – Alessandro Bonu
«Analisi e interpretazione degli elementi di prova digitali:
Standard ISO 27042:2016»
SCENARI TIPICI
29. Massimo Farina – Alessandro Bonu
«Analisi e interpretazione degli elementi di prova digitali:
Standard ISO 27042:2016»
METTERE IN SICUREZZA LA
SCENA DEL CRIMINE
PROCEDERE CON
PROCEDURE DI LIVE
FORENSICS
SI
DOCUMENTARE E
SCHEMATIZZARE LA
SCENA DEL CRIMINE
FOTO / VIDEO
ESITONO
DISPOSITI
VI ACCESI
TRASPORTO IN LABORATORIO
NON ACCENDERE
NESSUN DISPOSITIVO!
NO
ETICHETTARE
DISPOSITIVI E
ACCESSORI CONNESSI
DOCUMENTARE E
FOTOGRAFARE IL
TUTTO
RIMUOVERE I CAVI
DI ALIMENTAZIONE E
DI CONNESSIONE
FLOWCHARTTIPICO
IMBALLARE E
SIGILLARE TUTTI I
DISPOSITIVI UTILI
30. Massimo Farina – Alessandro Bonu
«Analisi e interpretazione degli elementi di prova digitali:
Standard ISO 27042:2016»
DIGITAL EVIDENCE
SPECIALIST
DIGITAL EVIDENCE
DEFR FIRST RESPONDER
Figure competenti: ISO/IEC 27037
DEFR
persona autorizzata e
qualificata ad agire per
prima sulla scena per
eseguire la raccolta e
l'acquisizione delle
evidenze digitali
(con la relativa responsabilità)
persona che oltre ad
essere in grado di
assolvere i compiti
del DEFR, possiede
conoscenza
specialistica per
gestire una vasta
gamma di tecnologie
DES
ERRORE IN QUESTA FASE
COMPROMETTE QUESTA
FASE
31. Massimo Farina – Alessandro Bonu
«Analisi e interpretazione degli elementi di prova digitali:
Standard ISO 27042:2016»
Sentenza di Garlasco
« In data 14 agosto 2007 Stasi Alberto consegnava spontaneamente alla polizia
giudiziaria il proprio computer portatile (marca “Compaq”).
Da quel momento fino al 29 agosto 2007, quando il reperto informatico veniva
consegnato ai consulenti tecnici del pubblico ministero che procedevano all’effettuazione
delle copie forensi dello stesso, i carabinieri accedevano ripetutamente e
scorrettamente (senza l’utilizzo, cioè delle necessarie tecniche forensi di indagine) alla
quasi totalità del contenuto del computer.
… il collegio peritale evidenziava che le condotte scorrette di accesso da parte dei
carabinieri hanno determinato la sottrazione di contenuto informativo con
riferimento al personal computer di Alberto Stasi pari al 73,8% dei files visibili
(oltre 56.000) con riscontrati accessi su oltre 39.000 files, interventi di accesso su oltre
1500 files e creazione di oltre 500 files… »
32. Massimo Farina – Alessandro Bonu
«Analisi e interpretazione degli elementi di prova digitali:
Standard ISO 27042:2016»
IDENTIFICAZIONE DELLE PROVE
Attivita’ di competenza del DEFR
IN BASE A QUALE CRITERIO..
33. Massimo Farina – Alessandro Bonu
«Analisi e interpretazione degli elementi di prova digitali:
Standard ISO 27042:2016»
«Profilazione del caso»
caso di
stalking
durata
delle
chiamate
localizzaz.
delle
chiamate
numero di
chiamate
tipologia
dispositivi
mobile
caso di
pedofilia
accesso a
Internet
accesso a
Internet
archivi
organizzati e
gran numero di
immagini e video
archivi e
aree di
download
software di
download
CIFRATURA
steganografia
34. Massimo Farina – Alessandro Bonu
«Analisi e interpretazione degli elementi di prova digitali:
Standard ISO 27042:2016»
Profilazione del soggetto
• E’ importante capire chi sono gli attori..
• quali tecniche adottare per ottenere
informazioni utili del soggetto/i coinvolto/i;
• quali “tracce digitali” sono state dimenticate,
che possono essere rilevate, confrontate e
classificate;
• si gioca su fattore: ERRORE UMANO
35. Massimo Farina – Alessandro Bonu
«Analisi e interpretazione degli elementi di prova digitali:
Standard ISO 27042:2016»
TOOLS
FLEXIBILITY
CONSOLIDATED
36. Massimo Farina – Alessandro Bonu
«Analisi e interpretazione degli elementi di prova digitali:
Standard ISO 27042:2016»
SCENARI ATIPICI
37. Massimo Farina – Alessandro Bonu
«Analisi e interpretazione degli elementi di prova digitali:
Standard ISO 27042:2016»
S C E N A D E L C R I M I N E
DISPOSITIVI DI USO QUOTIDIANO
38. Massimo Farina – Alessandro Bonu
«Analisi e interpretazione degli elementi di prova digitali:
Standard ISO 27042:2016»
Ambienti virtualizzati
Appliance
Cluster
Containers
vSystems
Storage
39. Massimo Farina – Alessandro Bonu
«Analisi e interpretazione degli elementi di prova digitali:
Standard ISO 27042:2016»
Normalizzazione dei dati raccolti
• eliminare tutti i disallineamenti di output derivanti dalla varietà
degli strumenti utilizzati durante la fase di acquisizione da varie
fonti;
• i dati «normalizzati» confluiscono in un database e producono
«features» e statistiche;
• la scelta delle «features» viene accuratamente effettuata sulla
base di esperienze che nel tempo hanno portato a risultati
significativi.
40. Massimo Farina – Alessandro Bonu
«Analisi e interpretazione degli elementi di prova digitali:
Standard ISO 27042:2016»
Le priorità
codice rosso
codice giallo
codice verde
codice bianco
URGENZA
ASSOLUTA
POSSIBILE
RISCHIO
ASSENZA DI
RISCHI
NON URGENTE
Volendo traslare un
concetto utilizzato in
ambito ospedaliero,
potremo definire le
seguenti priorità..
41. Massimo Farina – Alessandro Bonu
«Analisi e interpretazione degli elementi di prova digitali:
Standard ISO 27042:2016»
dati
normalizzati?
allineamento delle
anomalie
elaborazione delle
evidenze
trasformazione dei
dati
memorizzazione
dei dati
Data Mining
estrazione delle
features
END
SI NO
START Workflow di
«normalizzazione»
42. Massimo Farina – Alessandro Bonu
«Analisi e interpretazione degli elementi di prova digitali:
Standard ISO 27042:2016»
IDENTIFICAZIONE
repertamento
Raccolta
mirata dei
reperti
PRESENTAZIONE FINALE
consegna
del lavoro
Normalizzazione
dei dati
Data Mining,
features per la
classificazione
dei dati
43. Massimo Farina – Alessandro Bonu
«Analisi e interpretazione degli elementi di prova digitali:
Standard ISO 27042:2016»
Conclusioni
L’esigenza che si avverte in questo ambito
multidisciplinare è quella di avere più certezze
attraverso la predisposizione di regole e
procedure stabilite dalla legge e dagli standard
in grado di dare garanzie alle attività di
acquisizione, analisi e interpretazione
della prova digitale
44. Massimo Farina – Alessandro Bonu
«Analisi e interpretazione degli elementi di prova digitali:
Standard ISO 27042:2016»
www.diricto.it
info@diricto.it
massimo.farina@diricto.it
alessandro.bonu@diricto.it
ict4forensics.diee.unica.it
45. Massimo Farina – Alessandro Bonu
«Analisi e interpretazione degli elementi di prova digitali:
Standard ISO 27042:2016»
Attribuzione - non commerciale
Condividi allo stesso modo 4.0 (CC BY-NC-SA 4.0) Internazionale
Tu sei libero di:
1. condividere - riprodurre, distribuire, comunicare al pubblico, esporre in pubblico, rappresentare, eseguire e recitare questo materiale
con qualsiasi mezzo e formato;
2. modificare - remixare, trasformare il materiale e basarti su di esso per le tue opere;
Il licenziante non può revocare questi diritti fintanto che tu rispetti i termini della licenza alle seguenti condizioni:
• Attribuzione: devi riconoscere una menzione di paternità adeguata, fornire un link alla licenza e indicare se sono state effettuate delle
modifiche. Puoi fare ciò in qualsiasi maniera ragionevole possibile, ma non con modalità tali da suggerire che il licenziante avalli te o il
tuo utilizzo del materiale.
• Non commerciale: non puoi usare il materiale per fini commerciali.
• Stessa Licenza: se remixi, trasformi il materiale o ti basi su di esso, devi distribuire i tuoi contributi con la stessa licenza del materiale
originario.
Divieto di restrizioni aggiuntive - Non puoi applicare termini legali o misure tecnologiche che impongano ad altri soggetti dei vincoli giuridici
su quanto la licenza consente loro di fare.
Non sei tenuto a rispettare i termini della licenza per quelle componenti del materiale che siano in pubblico dominio o nei casi in cui il tuo
utilizzo sia consentito da una eccezione o limitazione prevista dalla legge
Non sono fornite garanzie. La licenza può non conferirti tutte le autorizzazioni necessarie per l'utilizzo che ti prefiggi. Ad esempio, diritti di
terzi come i diritti all'immagine, alla riservatezza e i diritti morali potrebbero restringere gli usi che ti prefiggi sul materiale.