Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.

GDPR Day 2018 - GDPR e Digital Forensics: l’informatica forense a supporto della protezione dei dati.

152 views

Published on

Relatore: Dr. Paolo Dal Checco, Consulente Informatico Forense

A seguito del GDPR le aziende dovranno garantire il monitoraggio, la raccolta dati e il pronto intervento in caso di data breach, con l’obbligo di notificare il tutto al Garante in tempi brevi. Per poter adempiere a questi doveri, è necessario che l’azienda si doti di un piano di “forensic readiness” avvalendosi di metodologie, servizi e strumenti di eDiscovery e Digital Forensics al fine di cristallizzare le evidenze, analizzarle e produrle come prova a valore legale.
Il seminario illustrerà metodologie, tecniche e strumenti che l’azienda può utilizzare per identificare, acquisire, conservare, analizzare e descrivere le evidenze digitali così da soddisfare le richieste del Garante e allo stesso tempo informare debitamente eventuali assicurazioni, azionisti, clienti o soggetti i cui dati sono stati interessati dal data breach.

Published in: Technology
  • Be the first to comment

GDPR Day 2018 - GDPR e Digital Forensics: l’informatica forense a supporto della protezione dei dati.

  1. 1. GDPR E DIGITAL FORENSICS: L'INFORMATICA FORENSE A SUPPORTO DELLA PROTEZIONE DEI DATI GDPRDAY 2018 Torino, 9 ottobre 2018 Museo dell’Automobile Paolo Dal Checco Consulente Informatico Forense
  2. 2. GDPRDAY, Torino, 9 ottobre 2018 – Paolo Dal Checco GDPR e Digital Forensics: l'informatica forense a supporto della protezione dei dati 2 Chi sono q PhD @UniTO nel gruppo di Sicurezza delle Reti e degli Elaboratori q Passato di R&D su crittografia e sicurezza delle comunicazioni q Contractor @Università degli Studi di Torino q Consulente Informatico Forense, Perizie Informatiche per Privati, Aziende, Avvocati, Procure, Tribunali, F.F.O.O. q Albo CTU e Periti del Tribunale di Torino, Periti ed Esperti CCIAA TO q Tra i fondatori e nel direttivo dell’Osservatorio Nazionale d’Informatica Forense (www.onif.it) q Socio IISFA, Tech & Law, Clusit, LAB4INT, Assob.It, AIP q www.dalchecco.it, www.ransomware.it, www.bitcoinforensics.it q paolo@dalchecco.it, @forensico
  3. 3. GDPRDAY, Torino, 9 ottobre 2018 – Paolo Dal Checco GDPR e Digital Forensics: l'informatica forense a supporto della protezione dei dati 3 Cosa è l’informatica forense? • Ricerca, identificazione, raccolta, preservazione, acquisizione, analisi, presentazione e valutazione dei dati informatici a fini probatori • Regolata in Italia dalla Legge 48 del 2008 • Non esistono al momento altre normative o certificazioni • Alcuni esempi di reati in azienda: • Furto credenziali • Accesso abusivo a dati o sistemi • Violazione di Corrispondenza • Danneggiamento • Diffamazione su internet • Concorrenza sleale e dipendente infedele • Ransomware (accesso abusivo, danneggiamento, estorsione) • Phishing (truffa, sostituzione di persona, accesso abusivo) Chi si avvale dell’Informatica forense? • Giudici • CTU in procedimenti civili • Perito in procedimenti penali • Pubblici Ministeri • Consulente Tecnico del PM • Avvocati • Consulente Tecnico di Parte • Perizie stragiudiziali • Aziende • Investigazioni difensive • Gestione di incidenti di sicurezza • Società di investigazione • Privati
  4. 4. GDPRDAY, Torino, 9 ottobre 2018 – Paolo Dal Checco GDPR e Digital Forensics: l'informatica forense a supporto della protezione dei dati 4 • Figura altamente tecnica ma con conoscenze delle normative da rispettare • Conoscenze orizzontali su diversi fronti (computer, smartphone, reti, immagini, audio, criptomonete, etc…) • Utilizzo di apparecchiature specifiche di acquisizione e software di analisi • Impiego di metodologie che garantiscono la conservazione dei dati • Comprensione del suo ruolo nella scala delle decisioni • Autonomia • Chiarezza espositiva • Etica • Non è un investigatore, ma lo supporta • Non è un legale, ma lo supporta Chi è l’informatico forense?
  5. 5. GDPRDAY, Torino, 9 ottobre 2018 – Paolo Dal Checco GDPR e Digital Forensics: l'informatica forense a supporto della protezione dei dati 5 GDPR e digital forensics Prevenzione • identificazione degli asset • risk analysis • messa in opera, formazione • controlli e verifiche (audit, vulnerability assessment, penetration test, …) Intervento • gestione dell’emergenza (incident response) • analisi dell’incidente (digital forensics) • presentazione delle risultanze • azioni correttive regolamento generale sulla protezione dei dati
  6. 6. GDPRDAY, Torino, 9 ottobre 2018 – Paolo Dal Checco GDPR e Digital Forensics: l'informatica forense a supporto della protezione dei dati 6 Cosa è la «Forensic Readiness» E’ la capacità di far fronte a problematiche interne informatiche, grazie a una predisposizione ragionata, gestendo l’incidente, ripristinando le attività e mantenendo la possibilità di rivalsa • determinazione di scenari di rischio per i modelli di business adottati (security assessment, risk analysis, …) e loro verifica (vulnerability assessment) • verifica e hardening dei sistemi informatici, dei processi e delle postazioni di lavoro dal punto di vista del livello di sicurezza figurato • revisione e/o produzione di documenti aziendali per la miglior gestione del patrimonio informatico (stesura policy, moduli di presa in carico, uso e riconsegna di beni e servizi aziendali informatici da parte del personale dipendente e dei collaboratori/partner, …) • formazione del personale per il corretto impiego degli strumenti informatici • gestire l’incidente informatico (compromissione di sistema, trafugazione di dati, …) in funzione della business continuity e della collezione probatoria delle evidenze informatiche • ricostruire le cause, determinare le origini, quantificare i danni e fornire gli elementi necessari per la tutela anche giudiziaria del patrimonio aziendale informatico • definire e gestire un processo di rafforzamento delle difese e dei controlli a tutela dei dati
  7. 7. GDPRDAY, Torino, 9 ottobre 2018 – Paolo Dal Checco GDPR e Digital Forensics: l'informatica forense a supporto della protezione dei dati 7 Data breach • Episodio che causa la perdita/fuoriuscita d’informazioni riservate • In caso di data breach • Le aziende impiegano mesi per rilevare una intrusione* • L’intruso rimane silente per diverso tempo • L’intruso cancella le tracce dell’accesso e dell’operato • Spesso non è possibile capire: • Come l’intruso è entrato • Cosa ha fatto (preso dati, criptato, installato malware, fatto da ponte per attaccare terzi, etc…) • Quanto tempo è rimasto • Se è uscito *http://www.zdnet.com/article/businesses-take-over-six-months-to-detect-data-breaches/
  8. 8. GDPRDAY, Torino, 9 ottobre 2018 – Paolo Dal Checco GDPR e Digital Forensics: l'informatica forense a supporto della protezione dei dati 8 Data breach Trend Micro
  9. 9. GDPRDAY, Torino, 9 ottobre 2018 – Paolo Dal Checco GDPR e Digital Forensics: l'informatica forense a supporto della protezione dei dati 9 Esempio: Man in The Mail • Nota anche come BEC Scam o Business Email Compromise • Variante più pericolosa della CEO Fraud • Esempio calzante della difficoltà d’identificare il perimetro • Difficile capire: • Come sono entrati • Cosa hanno preso • Se sono ancora dentro il perimetro
  10. 10. GDPRDAY, Torino, 9 ottobre 2018 – Paolo Dal Checco GDPR e Digital Forensics: l'informatica forense a supporto della protezione dei dati 10 Esempio: Ransomware • Malware che infetta i sistemi (PC, server, talvolta Mac OS, Android, iOS e Linux) criptando i dati e chiedendo un riscatto (in genere in bitcoin) per fornire la chiave di decifratura • In alcuni casi gli attacchi vengono fatti da criminali che accedono ai sistemi (in genere server, in genere via RDP) e fanno danni
  11. 11. GDPRDAY, Torino, 9 ottobre 2018 – Paolo Dal Checco GDPR e Digital Forensics: l'informatica forense a supporto della protezione dei dati 11 Esempio: Trojan • Keylogger, banking trojan, spy software • Può diffondersi via mail, allegato, link, phishing, navigazione web, SMB, macro, etc… • Spesso i trojan acquisiscono informazioni e mandano «leak» all’esterno • Possibile tracciatura: firewall, proxy, siem, ids, proxy, etc… • Possibili analisi: PC infetto
  12. 12. GDPRDAY, Torino, 9 ottobre 2018 – Paolo Dal Checco GDPR e Digital Forensics: l'informatica forense a supporto della protezione dei dati 12 Esempio: Phishing • Spesso vettore per Man in The Mail, Ransomware e Trojan • Difficile da impedire tecnicamente • In caso di compromissione, può essere rilevato tramite analisi della posta o del PC del soggetto caduto nel tranello
  13. 13. GDPRDAY, Torino, 9 ottobre 2018 – Paolo Dal Checco GDPR e Digital Forensics: l'informatica forense a supporto della protezione dei dati 13 Esempio: Dipendente «infedele» • Caso frequente con diversi reati: accesso abusivo, violazione di corrispondenza, concorrenza sleale, danneggiamento, etc… • In genere il «dipendente infedele» agisce gli ultimi giorni prima di lasciare l’azienda • Possibile rilevare tracce su NAS, posta, DHCP, etc… • Importante capire se ha acquisito dati aziendali o di altri dipendenti
  14. 14. GDPRDAY, Torino, 9 ottobre 2018 – Paolo Dal Checco GDPR e Digital Forensics: l'informatica forense a supporto della protezione dei dati 14 Ci sono anche le ‘bufale’…
  15. 15. GDPRDAY, Torino, 9 ottobre 2018 – Paolo Dal Checco GDPR e Digital Forensics: l'informatica forense a supporto della protezione dei dati 15 Data breach e GDPR Fonte ZDNet http://www.zdnet.com/article/businesses-take-over-six-months-to-detect-data-breaches/ Art. 33 Regolamento (UE) 2016/679 - http://www.privacy-regulation.eu/it/33.htm
  16. 16. GDPRDAY, Torino, 9 ottobre 2018 – Paolo Dal Checco GDPR e Digital Forensics: l'informatica forense a supporto della protezione dei dati 16 Data breach e GDPR Art. 34 Regolamento (UE) 2016/679 - http://www.privacy-regulation.eu/it/34.htm
  17. 17. GDPRDAY, Torino, 9 ottobre 2018 – Paolo Dal Checco GDPR e Digital Forensics: l'informatica forense a supporto della protezione dei dati 17 Data breach e GDPR https://www.garanteprivacy.it/documents/10160/2052659/Modello+segnalazione+data+breach.pdf
  18. 18. GDPRDAY, Torino, 9 ottobre 2018 – Paolo Dal Checco GDPR e Digital Forensics: l'informatica forense a supporto della protezione dei dati 18 Data breach e GDPR
  19. 19. GDPRDAY, Torino, 9 ottobre 2018 – Paolo Dal Checco GDPR e Digital Forensics: l'informatica forense a supporto della protezione dei dati 19 Data breach e GDPR
  20. 20. GDPRDAY, Torino, 9 ottobre 2018 – Paolo Dal Checco GDPR e Digital Forensics: l'informatica forense a supporto della protezione dei dati 20 Data breach e GDPR
  21. 21. GDPRDAY, Torino, 9 ottobre 2018 – Paolo Dal Checco GDPR e Digital Forensics: l'informatica forense a supporto della protezione dei dati 21 Data breach e GDPR
  22. 22. GDPRDAY, Torino, 9 ottobre 2018 – Paolo Dal Checco GDPR e Digital Forensics: l'informatica forense a supporto della protezione dei dati 22 Data breach e GDPR
  23. 23. GDPRDAY, Torino, 9 ottobre 2018 – Paolo Dal Checco GDPR e Digital Forensics: l'informatica forense a supporto della protezione dei dati 23 Data breach e GDPR
  24. 24. GDPRDAY, Torino, 9 ottobre 2018 – Paolo Dal Checco GDPR e Digital Forensics: l'informatica forense a supporto della protezione dei dati 24 Data breach e GDPR
  25. 25. GDPRDAY, Torino, 9 ottobre 2018 – Paolo Dal Checco GDPR e Digital Forensics: l'informatica forense a supporto della protezione dei dati 25 Data breach e GDPR
  26. 26. GDPRDAY, Torino, 9 ottobre 2018 – Paolo Dal Checco GDPR e Digital Forensics: l'informatica forense a supporto della protezione dei dati 26 Data breach e GDPR
  27. 27. GDPRDAY, Torino, 9 ottobre 2018 – Paolo Dal Checco GDPR e Digital Forensics: l'informatica forense a supporto della protezione dei dati 27 Data breach e GDPR
  28. 28. GDPRDAY, Torino, 9 ottobre 2018 – Paolo Dal Checco GDPR e Digital Forensics: l'informatica forense a supporto della protezione dei dati 28 Data breach e GDPR
  29. 29. GDPRDAY, Torino, 9 ottobre 2018 – Paolo Dal Checco GDPR e Digital Forensics: l'informatica forense a supporto della protezione dei dati 29 Preparare la forensic readiness • Identificare le possibili fonti e i diversi tipi di evidenze digitali • Determinare i requisiti tecnici e legali per la raccolta delle evidenze digitali • Individuare e definire le risorse necessarie per la raccolta sicura e conforme alla legge di evidenze digitali • Stabilire Policy e sistemi per gestione e conservazione sicura delle sorgenti di informazione: • Email, Log, Documenti • Dotarsi di sistema di monitoraggio in grado di rilevare i principali incidenti • Definire in quali circostanze si rende necessaria attivare una investigazione informatica completa • Formare e sensibilizzare lo staff stabilire ruoli nella gestione delle prove • Assicurare una revisione legale delle procedure per agevolare le azioni di risposta all’incidente • Verificare i contratti e gli SLA con in fornitori
  30. 30. GDPRDAY, Torino, 9 ottobre 2018 – Paolo Dal Checco GDPR e Digital Forensics: l'informatica forense a supporto della protezione dei dati 30 Alcuni mezzi per agevolare la forensic readiness 1. IDS/IPS 2. Proxy, VPN, Router, Firewall, Antivirus 3. Log applicativi, Log di Sistema (PC e Server) 4. Server/relay DNS e DHCP 5. Server di posta 6. Directory Server 7. Sistema gestione log (SIEM) n Raccolta n Parsing n Correlazione n Analisi Allarme n Storicizzazione Tamper Proof
  31. 31. GDPRDAY, Torino, 9 ottobre 2018 – Paolo Dal Checco GDPR e Digital Forensics: l'informatica forense a supporto della protezione dei dati 31 Post incident n Acquisizione (con firma digitale, hash e documentazione continua) n Identificazione del perimetro e isolamento dei sistemi n Dump di rete n Copia forense dei sistemi n Live Forensics, Data Recovery, eDiscovery n Avvio procedure per recupero log da SIEM n Analisi: n Log n Copie forensi n Dati live n Obiettivi da identificare con ricostruzione temporale: n Modalità d’ingresso (se possibile anche autori) n Durata del breach (sé è terminato) n Entità del danno (accesso ai dati, sistemi, etc…)
  32. 32. GDPRDAY, Torino, 9 ottobre 2018 – Paolo Dal Checco GDPR e Digital Forensics: l'informatica forense a supporto della protezione dei dati 32 Post incident n Strumenti hardware n Write Blocker n Copiatori forensi n Strumenti software n DEFT, CAINE, PALADIN, Raptor, SIFT n FTK, X-Ways, Axiom n Risorse varie n Servizi n Timestamp digitale n AWS, Cloud n Decryption, Rainbow Table
  33. 33. GDPRDAY, Torino, 9 ottobre 2018 – Paolo Dal Checco GDPR e Digital Forensics: l'informatica forense a supporto della protezione dei dati 33 Grazie per l’attenzione!

×