Smau Milano 2015 - Alessandro Bonu

“Classificazione e profilazione dei referti
investigativi sulle fattispecie criminose”
Aspetti metodologici applicati alla disciplina della Digital
Forensics in relazione all’evoluzione delle nuove tecnologie
Alessandro Bonu 
alessandro.bonu@gmail.com

“Classificazione e profilazione dei referti investigativi  
sulle fattispecie criminose” a cura di Alessandro Bonu
www.diricto.it
ict4forensics.diee.unica.it
Premessa
• la diffusione di apparati tecnologici sul mercato globale
ha raggiunto numeri significativi e il trend di crescita  
continua ad essere decisamente alto
• cresce esponenzialmente il fattore di calcolo ma
soprattutto la capacità di memoria, numero e tipologia
dei dispositivi che le forze dell’ordine si trovano a
reperire e analizzare per tutte le fasi correlate alle
indagini di Digital Forensics
• in questo scenario si sente la necessità di nuove
strategie per snellire e velocizzare i lavori di indagine

www.diricto.it
• da una stima già del 2013 la mole di dati generata
aveva raggiunto i 4 zettabytes = 1 triliardo di dati
• il mercato Big Data Analytics in Italia, cresce anche
nel 2014 (+25%) è quanto emerge dalla ricerca
2014 dell’Osservatorio Big Data Analytics &
Business Intelligence
• questa crescita è sostenuta più che da un utilizzo
consapevole di questi strumenti, dalla disponibilità
di tecnologie a basso costo, oggi a portata di “tutti”
Big Data

www.diricto.it
Crimini informatici
• possono assumere varie forme
• possono essere perpetrati sempre e ovunque
• nel consiglio Europeo sulla criminalità
informatica, vengono definiti con termine
noto di CYBERCRIME
ma il cybercrime oggi non è questo..

www.diricto.it
Cybercrime
..oggi sono questi

www.diricto.it
Last news tecnologiche

www.diricto.it
• Il Cyber crimine nel mondo è aumentato del 30% nei
primi 6 mesi del 2015 ed è ormai la causa di circa il
60% degli attacchi informatici gravi avvenuti a livello
globale nello stesso periodo
• sono le "infrastrutture critiche", come le reti per
l'energia e le telecomunicazioni a registrare la crescita
maggiore, passando da 2 attacchi nella seconda metà
del 2014 a 20 nella prima metà del 2015, con un
incremento del 900%
Rapporto Clusit sulla sicurezza informatica
globale presentato a Verona - 2015

www.diricto.it
• crescita a tre cifre anche per gli attacchi che riguardano l'automotive, cioè
le auto connesse a Internet: +400%
• supermercati e la grande distribuzione: +400%
• informazione ed entertainment, cioè siti e testate online, piattaforme di
giochi e blogging: +179%
• il rapporto Clusit evidenzia - sempre nei primi sei mesi del 2015 - il
raddoppio degli attacchi informatici subito dalle realtà che operano nella
sanità, che segna un +81%
• I servizi online (mail, social network, siti di e-Commerce e piattaforme
Cloud) segnano una crescita degli incidenti di oltre il 50%, a dimostrazione
di quanto gli attacchi gravi siano mirati a tutte le tipologie di servizi erogati
via Internet
Rapporto Clusit sulla sicurezza informatica
globale presentato a Verona - 2015

www.diricto.it
Rapporto CLUSIT 2015 sulla sicurezza ICT in Italia
5%
8%
27%
60%
Cybercrime
Hack,vism
Espionage/Sabotage
Cyber warfare

www.diricto.it
Trend di crescita delle minacce
nel 2015
Piattaforme di
Social Network
Sistemi POS
Dispositivi Mobile
Logiche estorsive 
ransomware

www.diricto.it
ma come impattano queste
cifre sulla Digital Forensics?
+ crimini = + indagini

www.diricto.it
ma se oggi i cyber criminali sono questi?
con quali armi dobbiamo contrastarli?
sinergie di più forze

www.diricto.it
Dualismo della Digital Forensics

www.diricto.it
IoT
Automotive
Altre
frontiere..?
Ambiti della Digital Forensics

www.diricto.it
altre frontiere..

www.diricto.it
di fronte a questi scenari
come si pone l’attività di
indagine da parte degli
investigatori forensi?

www.diricto.it
Metodologie di indagine
• le metodologie di base restano
invariate e supportate dalle best
practices
• le strade da seguire sono due:
1. il mezzo tecnologico è vittima di
un crimine
2. il mezzo tecnologico è il tramite
per compiere un’azione
criminosa

www.diricto.it
Work flow classico di investigazione forense
IDENTIFICAZIONE
repertamento
ACQUISIZIONE
copia forense
ANALISI
estrazione dei dati
PRESENTAZIONE
relazione finale
CATENA 
DI
CUSTODIAINDAGINE

www.diricto.it
tipologie delle scene  
del crimine

www.diricto.it
INDAGINE
Uno o pochi soggetti coinvolti

www.diricto.it
INDAGINE
Pochi o molti soggetti coinvolti

www.diricto.it
INDAGINE
Realtà aziendali

www.diricto.it
INDAGINE
Organizzazioni evolute

www.diricto.it
INDAGINE
Organizzazioni Enterprise e oltre confine

www.diricto.it
Reperti nella scena del crimine

www.diricto.it
Attività sulla scena del crimine

www.diricto.it
L’analisi classica
• questa attività riguarda l’estrapolazione, interpretazione
e correlazione dei dati al fatto criminoso
• si applica sempre alle copie forensi e mai ai reperti
originali
• si tratta di un’analisi approfondita e organizzata rispetto
a ciò che accade in sede di “live forensics” dove i tempi
impongono delle marce più alte
• l’obiettivo è rispondere a quesiti ben precisi ma il modus
operandi è a discrezione degli operatori, sempre sulla
linea delle “best practices” e normative di riferimento

www.diricto.it
in questo scenario l’investigatore si trova di fronte a
una vasta ed eterogenea mole di dati come un’armata
ben allestita da fronteggiare su aspetti fondamentali
come:
➢tempistiche
➢aspetti organizzativi
➢aspetti economici
➢limite dei tools forensi
➢adeguamento di skill e formazione
Quali i problemi..?

www.diricto.it
Attività della Forensics Analysis
Forensics Analysis
L I V E D E A D
on crime scene on laboratory
reports

www.diricto.it
on crime scene
scenari atipici
che
richiedono
una notevole
professionalità
…
FotodiLucaSavoldi
…e
conoscenza di
aspetti tecnici
specifici

www.diricto.it
on Laboratory

www.diricto.it
• negli anni si è potuta osservare una certa inadeguatezza nel
tradizionale processo forense nel rispondere a determinate
esigenze investigative
• i tempi di risposta a queste esigenze sono aumentati
proporzionalmente al numero e alla tipologia dei reperti
acquisiti
• questo dovuto in genere ad una metodologia che mira ad
effettuare le classiche attività senza discriminanti o poco
relazionata al reato o al caso specifico
• alla luce di tutto questo si è introdotta una fase intermedia atta
a delimitare l’area d’interesse ad un numero di reperti valutati
più rilevanti e pertinenti
Standardizzazione dei processi

www.diricto.it
la continua evoluzione degli strumenti high-tech ha
introdotto nuove criticità nelle attività di Digital Forensics:
• incremento esponenziale della capacità di memoria dei
nuovi dispositivi
• nuove tecnologie hardware e software
• proliferazione di Sistemi Operativi e nuovi formati di file
• sistemi di virtualizzazione e relative macchine virtuali
• sistemi di crittografia che complicano non poco le
attività di analisi dei supporti interessati
• sistemi remoti e cloud
Nuove criticità

www.diricto.it
Quale approccio..
DI FORZA
• basato sull’incremento delle risorse in grado di sostenere il
carico di lavoro: hardware, software, personale, logistica
più immediato, si argina il problema ma i costi lievitano
esponenzialmente
DI METODO
• basato sul flusso di lavoro suddiviso tra diverse parti,
valutando le priorità sulle quali operare e concentrando
l’approfondimento dell’analisi dopo una prima scrematura
più economico e scalabile.. ma come metterlo in pratica?

www.diricto.it
Selezione e Triage Forensics
l’esigenza è quella di dare risposte rapide
ad ipotesi di reato o quando si delineano
aspetti non strettamente forensi
•identificare le informazioni più rilevanti e
dare loro una sorta di priorità (codice)
•l’analisi approfondita si applica pertanto in
maniera selettiva a partire dai reperti che
hanno ottenuto un grado di priorità maggiore

www.diricto.it
codice rosso
codice giallo
codice verde
codice bianco
URGENZA ASSOLUTA
POSSIBILE RISCHIO
ASSENZA DI RISCHI
NON URGENTE
Valutare le priorità?
volendo traslare un concetto utilizzato in ambito
ospedaliero, potremo definire le seguenti priorità

www.diricto.it
Applicazione del Triage
• questa metodologia può essere applicata sia nella fase
di live forensics che post-mortem a seconda del
contesto in cui ci si trova ad operare
• live forensics dove la tempestività nell’agire sulla scena
del crimine, per alcune fattispecie criminose, può
diventare di vitale importanza, in quanto fornisce indizi
rilevanti e discriminanti
• anche nei casi di analisi post-mortem, la classificazioni
di dispositivi “freddi” rappresenta un valido supporto e
una semplificazione della successiva fase di analisi

www.diricto.it
Vantaggi del Triage
• abbattimento dei tempi di elaborazione iniziale dei dati
• possibilità di consultazione rapida delle risultanze
• utilizzo flessibile delle risorse hardware a disposizione e
generazione di risposte affidabili
• determinazione delle priorità prima di mettere in campo
le risorse per un’analisi più approfondita e accurata
velocità e affidabilità sono le parole chiave del
triage per ridurre al minimo costi, tempi e risorse

www.diricto.it
• le informazioni vengono
opportunamente
classificate al fine di
identificare rapidamente
le prove che consentono
di porre in relazione la
prova digitale con la
fattispecie criminosa in
esame
• ad esempio, sui reperti
mobili, ci si è
concentrati sui dati
attinenti la rubrica
telefonica, la cronologia
delle chiamate, gli sms,
eventuale navigazione
internet
• si sono inoltre ricavate,
da queste ultime, anche
informazioni statistiche
relative a percentuale e
numero di eventi
suddivisi in slot
temporali
PROFILO DI UTILIZZO  
DEL DISPOSITIVO
classificazione
dei risultati
normalizzazione
dei dati
raccolta
dei
reperti
Classificazione delle informazioni

www.diricto.it
Raccolta dei reperti
• è la fase iniziale dell’indagine dove si identificano i reperti
• dispositivi in grado di memorizzare delle informazioni e che
potrebbero essere oggetto di reato o correlati allo stesso
• ricerca mirata di quei reperti che rappresentano potenziali
elementi probatori in relazione ad una profilazione
preliminare del caso
• importante è cercare di comprenderne la pertinenza
• questa fase di divide in due macro aree:
1. dati volatili (reperti caldi)
2. dati statici (reperti freddi)

www.diricto.it
• rientrano in questa categoria tutte le informazioni che sono
presenti su dispositivi accesi e operativi
• si tratta di informazioni “fragili”, operazioni errate o affrettate
in questa fase potrebbero alterare i dati = potenziali elementi
probatori
• scenari difficilmente standardizzabili proprio a causa delle
variabili che si possono di volta in volta incontrare
• lo spegnimento brutale, anche se meno indolore di uno
shutdown, determina quasi sempre una perdita di dati
• tale procedura si configura sempre come attività irripetibile
Dati volatili

www.diricto.it
sistemi accesi e
operativi che
possono
rappresentare
una fonte di dati
ed evidenze di
notevole
importanza e
che in alcuni
casi potrebbero
essere decisivi
per l’esito di
indagine
Scena del crimine con live data

www.diricto.it
• agevola le forze dell’ordine in un rapido
repertamento di prove più rilevanti
• attività svolta nell’immediatezza del fatto anche da
tecnici non altamente specializzati in analisi forense
• utile quando viene richiesto di dare rapidamente
risposta ad una ipotesi di reato
• agevola gli investigatori a decisioni più consapevoli
per la prosecuzione dell’indagine
Triage nel live forensics

www.diricto.it
• talvolta si ha necessità di agire in fretta nella scena del
crimine: dati e informazioni potrebbero altrimenti
essere compromesse
• l’agire in fretta è sempre un problema, si tralasciano
per esempio evidenze apparentemente irrilevanti
• contesto in cui il tempo è tiranno:
• devo avere una strategia operativa e capire da dove
iniziare e quali strumenti utilizzare in relazione al
contesto di indagine
Agire in fretta

www.diricto.it
Sentenza di Garlasco
• Il collegio peritale evidenziava che le condotte di accesso da parte dei
Carabinieri hanno determinato la sottrazione di contenuto informativo con
riferimento al pc di Alberto Stasi pari al 73,8% dei files visibili (oltre 156.000)
con riscontrati accessi su oltre 39.000 files”…
• perizia informatica, altro elemento cruciale nell'indagine per quanto riguarda il
possibile alibi e il movente di Stasi, per capire se il contenuto del portatile è stato
o meno inesorabilmente contaminato dai vari accessi fatti prima che venisse
consegnato ai tecnici del Ris di Parma. » questo, secondo il parere del GUP, uno
dei passaggi di cruciale importanza dell'intero quadro accusatorio…
• E a tal riguardo il GUP conclude: “non è più possibile esprimere delle valutazioni
certe né in un senso né nell'altro: in questo ambito, il danno irreparabile
prodotto dagli inquirenti attiene proprio all'accertamento della verità
processuale. Questi i sintesi i principali errori investigativi che hanno segnato
l'indagine sull'omicidio di Chiara Poggi, che ancora oggi resta un delitto
impunito e senza un perché…

www.diricto.it
• rientrano nella categoria dei dispositivi cosiddetti “freddi”
ovvero spenti e non operativi
• sono caratterizzati dal fatto che i dati all’interno di questi
device sono stabili nel tempo a meno che non
intervengano cause di esterne
• le attività su questi dispositivi si effettuano in laboratorio
attraverso l’acquisizione delle “copie forensi” sulle quali
poi operare l’analisi..
• anche in questo caso, come nel “live forensics” viene
acquisita l’intera area di memoria con le note procedure di
“bit stream image”
Dati statici

www.diricto.it
• kit forensi in grado di estrapolare dai dispositivi digitali gli
elementi più importanti ed evidenti per l’indagine in corso
• In genere in caso di truffe (caso classico) estrazione dei
dati orinati per formato (es.. .docx, .xlsx, pdf, ..ecc)
• analisi testuali su header delle mail per individuarne la
paternità o in caso di pedopornografia le immagini e i
video
• altrettanto rilevanti possono essere le informazioni di
sistema, navigazione internet, parco applicativo, contenuti
(anche cancellati) ..ecc
Gli strumenti del mestiere

www.diricto.it
CASE REPORT
Windows Ultimate Forensic Outflow

www.diricto.it
Catalogazione delle informazioni

www.diricto.it
Browser History View

www.diricto.it
Spektor di DELL

www.diricto.it
Normalizzazione dei dati
• la “normalizzazione” ha il fine di eliminare tutti i
disallineamenti di output derivanti dalla varietà degli
strumenti utilizzati durante la fase di acquisizione dalle
varie fonti
• una volta normalizzati i dati confluiscono in un database
sul quale vengono effettuate elaborazioni statistiche che
producono attributi (features) che identificano un data set
• la scelta di questi attributi viene accuratamente effettuata
sulla base di esperienze che nel tempo hanno portato a
risultati significativi

www.diricto.it
FEATURES TYPE DEVICE #1 DEVICE #2 DEVICE #3
feature #1 true false true
feature #2 false true false
feature #3 false false true
feature #4 true true true
feature #5 true true false
feature #6 1200 320 65000
feature #7 … … …
feature #n … … …
… … … …
FeaturesFeatures e data set

www.diricto.it
Data Mining
• queste metodologie hanno lo scopo di estrarre sapere e
conoscenza da una grande mole di dati
• processi matematici eseguiti attraverso automatismi che
hanno doppia valenza:
1. estrazione di informazioni implicite e/o nascoste da dati
già strutturati in modo tale che siano direttamente fruibili
2. esplorazione e analisi da una grossa mole di dati mirate a
scoprire schemi significativi
in entrambi i casi il dato diventa significativo o trascurabile  
in relazione all’ambito di indagine

www.diricto.it
start
dati
normaliz
zati?
allineamento delle
anomalie
elaborazione delle
evidenze
trasformazione dei
dati
memorizzazione
dei dati
Data Mining
estrazione delle
features
end
SI NO
work-flow di normalizzazione dei dati

www.diricto.it
• obiettivo è quindi quello di classificare i dati in
ingresso per definire specifiche classi
• gli algoritmi di classificazione consentono
identificare degli schemi o insiemi di
caratteristiche alle quali appartiene un
determinato record
• le features individuate servono a capire per es. il
grado di utilizzo del reperto da parte del soggetto
indagato e relazionandolo al reato commesso
Classificazione dei risultati

www.diricto.it
Applicazione alla Computer Forensics
• In questo contesto si valuta il profilo di utilizzo dei
dispositivi esaminati e classificati in relazione ad una
particolare fattispecie di reato: PIRATERIA
• il data set delle features è stato pertanto costruito con
l’obiettivo di valutare e classificare in modo
automatico ciascun dispositivo in relazione al reato di
pirateria informatica
INFORMAZIONI ESTRAPOLATE DAL REPERTO
numero di applicazioni installate
numero di applicazioni suddivise per tipologia funzionale (chat, browser, ecc)
numero e percentuale delle URL visitate e suddivise per tipologia
numero e percentuale dei file audio scaricati e suddivisi per dimensione

www.diricto.it
caso di 
stalking
accesso
a
Internet
numero di
chiamate
arco
temporale
durata
delle
chiamate
tipologia
dispositivi
mobile
caso di 
pedofilia
accesso
a
Internet
gran
numero di
immagini
e video
archivi e
aree di
download
software
di
download
criptaggio
steganografia
Valutazione dei risultati su casi differenti

www.diricto.it
• specifiche tecniche di intelligence e profiling atte ad
ottenere informazioni che possono essere utili alla
comprensione e risoluzione del problema per il quale si
procede
• tale processo si articola con la ricerca di “tracce digitali”
dell’utilizzatore degli apparati fisici che come tale
personalizza l’ambiente sul quale opera e interagisce, sia
questo reale che virtuale
• in questo ampio e bivalente contesto, anche
inconsciamente , si lasciano necessariamente delle tracce
che possono essere rilevate, confrontate e classificate
Digital Profiling

www.diricto.it
IDENTIFICAZIONE
repertamento
ACQUISIZIONE
copia forense
ANALISI
estrazione dei dati
PRESENTAZIONE
relazione finale
CATENA 
DI
CUSTODIAINDAGINE
Evoluzione del Work-flow del triage nel processo di investigazione
IDENTIFICAZIONE
repertamento
Raccolta mirata dei
reperti
PRESENTAZIONE
FINALE
consegna  
del lavoro
Normalizzazione  
dei dati
DataProfiling
Data Mining,
Features e  
Data Set per la
classificazione  
dei dati
TRIAGE
ANALISI
INDAGINE

www.diricto.it
• di fondamentale importanza è inoltre la fase di
preservazione delle evidenze digitali acquisite è
definita come “catena di custodia”
• insieme di procedure atte a tracciare tutte le
attività effettuate sul reperto dal momento in cui lo
stesso è stato preso in consegna
• tali evidenze devono essere inoltre custodite in
appositi contenitori idonei al trasporto e in grado di
evitare anche danneggiamenti involontari o
condizioni ambientali avverse
Catena di custodia

www.diricto.it
• i dispositivi tecnologici sono oggi parte integrante
nell’indagine, anche se non direttamente coinvolti
• rappresentano un elemento utile per ricostruire la sequenza
temporale del crimine e relativo modus operandi
• gli strumenti di analisi forense diventano tanto più obsoleti
quanto più velocemente si evolvono le nuove tecnologie
• questo fenomeno evolutivo richiede un grado di
specializzazione tecnica più elevato e qualificato rispetto a
quello tradizionale
Un nuovo approccio

www.diricto.it
Progetto ILLBuster
L'obiettivo del progetto ILLBuster, finanziato dalla Commissione Europea, all'interno del
programma "Prevention of and Fight Against Crime", è quello di fornire un sistema integrato
per il rilevamento automatico di attività illegali sulla rete internet. Il sistema è pensato per
fornire alle forze dell'ordine uno strumento prezioso nelle loro attività di prevenzione e lotta
contro il crimine informatico, e sarà costituito da:
• un motore principale responsabile della rilevazione di una lista “nera” di domini
malevoli;
• un insieme di periferiche e servizi che ispezioneranno le pagine web ospitate su
domini maligni con lo scopo di individuare materiale illecito o pericoloso
(pedopornografia, malware, phishing).
• Il sistema risultante sarà in grado di identificare domini (e contenuti) maligni attraverso
l'analisi del traffico DNS e segnalare URL sospetti alle forze dell'ordine, in modo che gli
illeciti possano essere facilmente individuati.
• Una caratteristica peculiare del sistema proposto è che esso sarà progettato tenendo
presenti tutti gli aspetti legali che garantiscono il rispetto della privacy dei cittadini e non
consentono abusi.

www.diricto.it
Progetto ILLBuster
Obiettivo
sviluppare una piattaforma che supporti le forze dell’ordine
nell’attività investigativa in rete

www.diricto.it
Progetto ILLBuster
Buster of ILLegal contents spread by
malicious computer networks
Università di Cagliari
www.illbuster-project.eu
Co-funded by the Prevention of and Fight against Crime Programme of the European Union

www.diricto.it
• i metodi descritti consentono un approccio più mirato
nella fase di ricerca delle prove
• gli investigatori operano con cognizione di causa e
possono dare ordine e priorità ai reperti rilevati
• l’analisi informatica è quindi più snella, rapida ed
efficace, ne beneficiano tempi e costi
• con l’evoluzione della tecnologia e con l’incremento
esponenziale della mole di dati che ci si trova ad
dover analizzare, oggi è un passaggio obbligato
Conclusioni

www.diricto.it
Grazie per l’attenzione
alessandro.bonu@gmail.com
it.linkedin.com/in/abonu
www.andig.it
www.diricto.it
www.massimofarina.it
Fine presentazione..

www.diricto.it
Attribuzione - Non Commerciale - Condividi allo stesso modo 2.5 
Tu sei libero:
• di riprodurre, distribuire, comunicare al pubblico, esporre in pubblico, rappresentare, eseguire o recitare
l'opera
• di creare opere derivate alle seguenti condizioni:
• Attribuzione. Devi riconoscere il contributo dell'autore originario.
• Non commerciale. Non puoi usare quest’opera per scopi commerciali.
• Condividi allo stesso modo. Se alteri, trasformi o sviluppi quest’opera, puoi distribuire l’opera risultante solo per mezzo di una
licenza identica a questa.
In occasione di ogni atto di riutilizzazione o distribuzione, devi chiarire agli altri i termini della licenza di
quest’opera.
Se ottieni il permesso dal titolare del diritto d'autore, è possibile rinunciare ad ognuna di queste condizioni.
Le tue utilizzazioni libere e gli altri diritti non sono in nessun modo limitati da quanto sopra

Smau Milano 2015 - Alessandro Bonu

Recommended

Recommended

More Related Content

Similar to Smau Milano 2015 - Alessandro Bonu

Similar to Smau Milano 2015 - Alessandro Bonu (20)

More from SMAU

More from SMAU (20)

Smau Milano 2015 - Alessandro Bonu