Analisi e interpretazione degli elementi di prova digitali: Standard ISO 27042:2016

Massimo Farina – Alessandro Bonu
«Analisi e interpretazione degli elementi di prova digitali:
Standard ISO 27042:2016»
Analisi e
interpretazione degli
elementi di prova
digitali: Standard ISO
27042:2016
a cura di
Massimo Farina
Alessandro Bonu

un network che raggruppa esperti e studiosi
mondo
tecnologico mondo giuridico

laboratorio di Informatica Forense
Dipartimento di Ingegneria Elettrica e Elettronica
dell’Università di Cagliari
Cyber Crimes, IT Security
& Digital Forensics
ict4forensics.diee.unica.it
laboratorio di Informatica Forense
Dipartimento di Ingegneria Elettrica e Elettronica
dell’Università di Cagliari
Cyber Crimes, IT Security
& Digital Forensics

Alessandro Bonu
Digital Forenser / CTU
ASPETTO TECNICO/ INFORMATICO
I relatori di oggi
Massimo Farina
PhD, docente di diritto dell'informatica
Università di Cagliari
ASPETTO GIURIDICO

IL NOSTRO TEAM
il talk viene presentato contemporaneamente in due sedi
• Smau Milano, relatori
• Massimo Farina, Docente di Diritto dell'Informatica - UniCA
• Alessandro Bonu, Systems Infrastructure Engineer
• LINUX DAY PISA, relatori
• Maria Letizia Perugini, blockchain postdoctoral researcher
• Marco Carlo Spada, Network Security Engineer

IL PROGETTO DI RICERCA
La presentazione fa parte del progetto di ricerca su
«standard ISO in materia di sicurezza informatica (serie 27000)»
coordinato dal laboratorio Universitario ICT4Law and Forensics
Nel mondo globalizzato, gli scambi e le comunicazioni si svolgono normalmente
in via digitale. I Tribunali italiani si trovano quotidianamente di fronte all’analisi
e interpretazione di questi possibili elementi di prova (digitali). Quale metodo
viene applicato? Come vengono verificati i risultati?
Lo Standard ISO 27042 stabilisce le linee guida per questa delicata e importante
attività, offrendo un modello di riferimento uniforme
AMBITO DI RICERCA

Una breve nota introduttiva
ISO
ABBREVIAZIONE
NON ACRONIMO !

E’ bene chiarire subito che non si tratta di una
guida completa ed esaustiva, ma stabilisce alcuni
principi fondamentali
intesi a garantire che gli strumenti, le tecniche e i
metodi siano scelti in modo appropriato e adatti
allo scopo
Una precisazione
Lo standard internazionale ISO 27042:2016 fornisce indicazioni
su come garantire che i metodi e i processi soddisfino i
requisiti dell'indagine e siano stati adeguatamente testati
richiamando le altre norme ISO della famiglia 27000 per le
prescrizioni di dettaglio

LE TRE NORME FONDAMENTALI
“linee guida per l’identificazione,
la raccolta, l’acquisizione, la
conservazione e il trasporto di
evidenze (elementi di prova)
digitali ”
27037:2012
“Guida all'accertamento
d'idoneità e di
adeguatezza del metodo di
indagine ”
27041:2015
“Linee guida per
l'analisi e
l'interpretazione dei
dati digitalI”
27042:2015
ISO/IEC ISO/IEC ISO/IEC

EVENTI E INCIDENTI
INFORMATICI
“qualsiasi
accadimento
osservabile in un
sistema o una
rete”
“la violazione o la
minaccia di una
violazione alle politiche di
sicurezza di un computer
o di una rete, ai suoi
criteri di utilizzo o alle sue
politiche di sicurezza”
Definizioni del Computer
Security Resource Center
(CSRC) del National Institute
of Standards and Technology
(NIST)
L’INCIDENTE INFORMATICO ALL’EPOCA DEL CYBERCRIME:
“Qualsiasi azione illegale, non autorizzata, o inaccettabile che coinvolge un sistema di computer, telefono
cellulare, tablet, e qualsiasi altro dispositivo elettronico con un sistema operativo o che opera su una rete di
computer”
NON SOLO CYBERCRIME (più in generale):
comportamento non atteso o non previsto di un sistema informatico: può essere dovuto a un
malfunzionamento di hardware o software; può avere carattere volontario (attacco) o accidentale (bug)

Incidenti informatici VS indagine
• È fondamentale che l'indagine sia
condotta in modo affidabile e che
produca RISULTANZE DIGITALI con
una PROVENIENZA CERTA
garantendo che ogni elemento di
produzione digitale possa essere
ricondotto alla FONTE DA CUI È
DERIVATO
• Lo scopo principale di
un'indagine è quello di
sviluppare la CONOSCENZA
DI UN INCIDENTE
1 2
3 4
• realizzato da INVESTIGATORI
COMPETENTI che utilizzano
PROCESSI ANALITICI
CONVALIDATI

MODELLO A STADI DELLA PROVA
DIGITALE
- PRIMO STADIO: “fonte potenziale di prova”,
quando questa passa la verifica tecnica diviene
- SECONDO STADIO: “elemento di prova digitale” e
al momento dell’accettazione nel procedimento
giuridico diviene
- TERZO STADIO: “elemento di prova digitale legale"

• IL QUESITO
• GUIDA (= LIMITA) IL PROCESSO
INVESTIGATIVO
•
- PERCHÉ consiste in una serie di
domande a cui rispondere inerenti al
caso di interesse
•- PERCHÉ contiene indicazione di
dettagli su eventuali vincoli e limitazioni
che si applicano al caso di indagine
IL TUTTO CONFLUISCE NEL RAPPORTO DI INDAGINE
IL RESPONSABILE DELL'INDAGINE
DEVE PREPARARE UNA
STRATEGIA O UN PIANO
INVESTIGATIVO MEDIANTE:
- determinazione delle risorse;
- selezione dei processi, delle
indicazioni e degli strumenti da fornire
al gruppo investigativo;
- Predisposizione della documentazione
con i dettagli operativi e i riferimenti
normativi
LIMITI E METODO
DELL’ATTIVITÀ D’INDAGINE

LA CATENA DI CUSTODIA
(Chain of Custody)
È la documentazione cronologica dei diversi attori
che hanno trattato un elemento di prova, come ad
esempio un hard disk, un server o uno
smartphone
Ogni passaggio di mano nelle fasi di
sequestro, controllo, trasferimento e
analisi deve essere tracciato e documentato
nel documento di Catena di Custodia, che
riveste particolare importanza nel corso di
procedimenti giudiziari civili e penali, e
dovrebbe sempre essere parte di una perizia
forense
La metodologia e le
prescrizioni che
riguardano la catena di
custodia sono descritte
nello standard ISO 27037
richiamato al paragrafo
6.4 della 27042.
Documentazione

RIPETIBILITÀ E PRODUCIBILITÀ
Gli elementi di prova
devono essere raccolti con
metodi che soddisfano i
principi di ripetibilità e
riproducibilità
L'applicazione di un procedimento convalidato
(ISO/IEC 27041) contribuisce a dimostrare che i
risultati ottenuti sono affidabili e riproducibili che
soddisfano un'esigenza investigativa
NOTA: Se il metodo non è ripetibile o riproducibile, i risultati ottenuti sono altamente suscettibili
di essere contestati e possono mettere in discussione la competenza e l'abilità dell'équipe
investigativa che le utilizza
Metodo

APPROCCIO STRUTTURATO
L'indagine, deve essere condotta da investigatori
con competenze accertata e certificata da
percorsi di aggiornamento professionale
documentabili
Gli inquirenti devono garantire che le loro conclusioni
siano comunicate nel modo più completo e imparziale
possibile
•Gli elementi di prova digitale devono essere
esaminati secondo procedure di analisi
adeguate ai dispositivi e ai dati oggetto
dell'indagine
Metodo

Gli investigatori devono essere consapevoli
delle aree di incertezza nei risultati
(QUANDO C’È) INCERTEZZA
Gli investigatori possono richiedere
ulteriori indicazioni alla persona o
all’organizzazione per conto della quale deve
essere effettuata l'indagine
1
2

ANALISI
L'analisi è necessaria in quanto molti elementi
di prova digitale vengono reperiti in forma
latente:
○ - tracce di un file cancellato
○ - ricostruzione della timeline tramite esame
dei metadati
l'analisi deve fare uso di processi convalidati
(come definiti dalla ISO/IEC 27041), deve
essere eseguita da personale competente ed
essere scrupolosamente documentata per
stabilire una provenienza delle informazioni
tracciabile e difendibile

STRUMENTI INFORMATICI
Gli strumenti informatici (combinazioni di software, hardware e firmware)
possono essere di grande aiuto nel processo di analisi.
La selezione degli strumenti dovrebbe essere basata sui requisiti
concordati e sui processi (vedi ISO/IEC 27041) che compongono
l'analisi
Gli investigatori devono essere in grado di utilizzare gli strumenti nel
contesto del processo in questione
I processi che comportano nuovi strumenti devono essere in grado di
superare la convalida e la conferma prima dell'implementazione
secondo la procedura specificata nella norma ISO/IEC 27041

ASPETTI TECNICI

Competenze
tecniche e legali rilevanti;
dimostrare di essere propriamente
qualificati;
idonea capacità di gestire le
potenziali prove digitali.
Competenze

SCENARI
PRIVATI PROFESSIONISTI
AZIENDE ENTERPRISE

CATENA DI CUSTODIA
IDENTIFICAZIONE
repertamento
ACQUISIZIONE
copia forense
ANALISI
estrazione dei dati
PRESENTAZIONE
relazione finale
INDAGINE
WorkFlow classico di indagine

Computer
Forensics
Le origini..

Mobile Forensics
Internet Forensics
Network Forensics
IoT Forensics, cloud, …??
Computer Forensics
L’evoluzione..
DIGITAL
Forensics

on laboratory
onsite
STATO
OFF
OFF
OFF
OFF
ON
ON
ON
ON
LIVE
DEAD
La realtà «operativa»
POCO STANDARDIZZABILE

REPERTI CALDIREPERTI FREDDI
DISPOSITIVI ACCESI CHE NECESSITANO DI
PARTICOLARE ATTENZIONE
LIVE FORENSICS
DISPOSITIVI SPENTI CHE POSSONO
ESSERE ACQUISITI IN LABORATORIO
DEAD FORENSICS
DATI VOLATILI
DATI STATICI
Tipologia dei reperti

SCENARI TIPICI

METTERE IN SICUREZZA LA
SCENA DEL CRIMINE
PROCEDERE CON
PROCEDURE DI LIVE
FORENSICS
SI
DOCUMENTARE E
SCHEMATIZZARE LA
SCENA DEL CRIMINE
FOTO / VIDEO
ESITONO
DISPOSITI
VI ACCESI
TRASPORTO IN LABORATORIO
NON ACCENDERE
NESSUN DISPOSITIVO!
NO
ETICHETTARE
DISPOSITIVI E
ACCESSORI CONNESSI
DOCUMENTARE E
FOTOGRAFARE IL
TUTTO
RIMUOVERE I CAVI
DI ALIMENTAZIONE E
DI CONNESSIONE
FLOWCHARTTIPICO
IMBALLARE E
SIGILLARE TUTTI I
DISPOSITIVI UTILI

DIGITAL EVIDENCE
SPECIALIST
DIGITAL EVIDENCE
DEFR FIRST RESPONDER
Figure competenti: ISO/IEC 27037
DEFR
persona autorizzata e
qualificata ad agire per
prima sulla scena per
eseguire la raccolta e
l'acquisizione delle
evidenze digitali
(con la relativa responsabilità)
persona che oltre ad
essere in grado di
assolvere i compiti
del DEFR, possiede
conoscenza
specialistica per
gestire una vasta
gamma di tecnologie
DES
ERRORE IN QUESTA FASE
COMPROMETTE QUESTA
FASE

Sentenza di Garlasco
« In data 14 agosto 2007 Stasi Alberto consegnava spontaneamente alla polizia
giudiziaria il proprio computer portatile (marca “Compaq”).
Da quel momento fino al 29 agosto 2007, quando il reperto informatico veniva
consegnato ai consulenti tecnici del pubblico ministero che procedevano all’effettuazione
delle copie forensi dello stesso, i carabinieri accedevano ripetutamente e
scorrettamente (senza l’utilizzo, cioè delle necessarie tecniche forensi di indagine) alla
quasi totalità del contenuto del computer.
… il collegio peritale evidenziava che le condotte scorrette di accesso da parte dei
carabinieri hanno determinato la sottrazione di contenuto informativo con
riferimento al personal computer di Alberto Stasi pari al 73,8% dei files visibili
(oltre 56.000) con riscontrati accessi su oltre 39.000 files, interventi di accesso su oltre
1500 files e creazione di oltre 500 files… »

IDENTIFICAZIONE DELLE PROVE
Attivita’ di competenza del DEFR
IN BASE A QUALE CRITERIO..

«Profilazione del caso»
caso di
stalking
durata
delle
chiamate
localizzaz.
delle
chiamate
numero di
chiamate
tipologia
dispositivi
mobile
caso di
pedofilia
accesso a
Internet
accesso a
Internet
archivi
organizzati e
gran numero di
immagini e video
archivi e
aree di
download
software di
download
CIFRATURA
steganografia

Profilazione del soggetto
• E’ importante capire chi sono gli attori..
• quali tecniche adottare per ottenere
informazioni utili del soggetto/i coinvolto/i;
• quali “tracce digitali” sono state dimenticate,
che possono essere rilevate, confrontate e
classificate;
• si gioca su fattore: ERRORE UMANO

TOOLS
FLEXIBILITY
CONSOLIDATED

SCENARI ATIPICI

S C E N A D E L C R I M I N E
DISPOSITIVI DI USO QUOTIDIANO

Ambienti virtualizzati
Appliance
Cluster
Containers
vSystems
Storage

Normalizzazione dei dati raccolti
• eliminare tutti i disallineamenti di output derivanti dalla varietà
degli strumenti utilizzati durante la fase di acquisizione da varie
fonti;
• i dati «normalizzati» confluiscono in un database e producono
«features» e statistiche;
• la scelta delle «features» viene accuratamente effettuata sulla
base di esperienze che nel tempo hanno portato a risultati
significativi.

Le priorità
codice rosso
codice giallo
codice verde
codice bianco
URGENZA
ASSOLUTA
POSSIBILE
RISCHIO
ASSENZA DI
RISCHI
NON URGENTE
Volendo traslare un
concetto utilizzato in
ambito ospedaliero,
potremo definire le
seguenti priorità..

dati
normalizzati?
allineamento delle
anomalie
elaborazione delle
evidenze
trasformazione dei
dati
memorizzazione
dei dati
Data Mining
estrazione delle
features
END
SI NO
START Workflow di
«normalizzazione»

IDENTIFICAZIONE
repertamento
Raccolta
mirata dei
reperti
PRESENTAZIONE FINALE
consegna
del lavoro
Normalizzazione
dei dati
Data Mining,
features per la
classificazione
dei dati

Conclusioni
L’esigenza che si avverte in questo ambito
multidisciplinare è quella di avere più certezze
attraverso la predisposizione di regole e
procedure stabilite dalla legge e dagli standard
in grado di dare garanzie alle attività di
acquisizione, analisi e interpretazione
della prova digitale

www.diricto.it
info@diricto.it
massimo.farina@diricto.it
alessandro.bonu@diricto.it

Attribuzione - non commerciale
Condividi allo stesso modo 4.0 (CC BY-NC-SA 4.0) Internazionale
Tu sei libero di:
1. condividere - riprodurre, distribuire, comunicare al pubblico, esporre in pubblico, rappresentare, eseguire e recitare questo materiale
con qualsiasi mezzo e formato;
2. modificare - remixare, trasformare il materiale e basarti su di esso per le tue opere;
Il licenziante non può revocare questi diritti fintanto che tu rispetti i termini della licenza alle seguenti condizioni:
• Attribuzione: devi riconoscere una menzione di paternità adeguata, fornire un link alla licenza e indicare se sono state effettuate delle
modifiche. Puoi fare ciò in qualsiasi maniera ragionevole possibile, ma non con modalità tali da suggerire che il licenziante avalli te o il
tuo utilizzo del materiale.
• Non commerciale: non puoi usare il materiale per fini commerciali.
• Stessa Licenza: se remixi, trasformi il materiale o ti basi su di esso, devi distribuire i tuoi contributi con la stessa licenza del materiale
originario.
Divieto di restrizioni aggiuntive - Non puoi applicare termini legali o misure tecnologiche che impongano ad altri soggetti dei vincoli giuridici
su quanto la licenza consente loro di fare.
Non sei tenuto a rispettare i termini della licenza per quelle componenti del materiale che siano in pubblico dominio o nei casi in cui il tuo
utilizzo sia consentito da una eccezione o limitazione prevista dalla legge
Non sono fornite garanzie. La licenza può non conferirti tutte le autorizzazioni necessarie per l'utilizzo che ti prefiggi. Ad esempio, diritti di
terzi come i diritti all'immagine, alla riservatezza e i diritti morali potrebbero restringere gli usi che ti prefiggi sul materiale.

Analisi e interpretazione degli elementi di prova digitali: Standard ISO 27042:2016

Recommended

Recommended

More Related Content

Similar to Analisi e interpretazione degli elementi di prova digitali: Standard ISO 27042:2016

Similar to Analisi e interpretazione degli elementi di prova digitali: Standard ISO 27042:2016 (20)

More from Alessandro Bonu

More from Alessandro Bonu (6)

Analisi e interpretazione degli elementi di prova digitali: Standard ISO 27042:2016