SMAU MILANO 2023 | SMAU MILANO 2023 | Intelligenza Artificiale e chatbots
Â
Smau Milano 2015 - Alessandro Bonu
1. âClassificazione e profilazione dei referti
investigativi sulle fattispecie criminoseâ
Aspetti metodologici applicati alla disciplina della Digital
Forensics in relazione allâevoluzione delle nuove tecnologie
Alessandro Bonuâ¨
alessandro.bonu@gmail.com
2. âClassificazione e profilazione dei referti investigativi â¨
sulle fattispecie criminoseâ a cura di Alessandro Bonu
www.diricto.it
ict4forensics.diee.unica.it
Premessa
⢠la diffusione di apparati tecnologici sul mercato globale
ha raggiunto numeri significativi e il trend di crescita â¨
continua ad essere decisamente alto
⢠cresce esponenzialmente il fattore di calcolo ma
soprattutto la capacitĂ di memoria, numero e tipologia
dei dispositivi che le forze dellâordine si trovano a
reperire e analizzare per tutte le fasi correlate alle
indagini di Digital Forensics
⢠in questo scenario si sente la necessità di nuove
strategie per snellire e velocizzare i lavori di indagine
3. âClassificazione e profilazione dei referti investigativi â¨
sulle fattispecie criminoseâ a cura di Alessandro Bonu
www.diricto.it
ict4forensics.diee.unica.it
⢠da una stima già del 2013 la mole di dati generata
aveva raggiunto i 4 zettabytes = 1 triliardo di dati
⢠il mercato Big Data Analytics in Italia, cresce anche
nel 2014 (+25%) è quanto emerge dalla ricerca
2014 dellâOsservatorio Big Data Analytics &
Business Intelligence
⢠questa crescita è sostenuta piÚ che da un utilizzo
consapevole di questi strumenti, dalla disponibilitĂ
di tecnologie a basso costo, oggi a portata di âtuttiâ
Big Data
4. âClassificazione e profilazione dei referti investigativi â¨
sulle fattispecie criminoseâ a cura di Alessandro Bonu
www.diricto.it
ict4forensics.diee.unica.it
Crimini informatici
⢠possono assumere varie forme
⢠possono essere perpetrati sempre e ovunque
⢠nel consiglio Europeo sulla criminalitĂ
informatica, vengono definiti con termine
noto di CYBERCRIME
ma il cybercrime oggi non è questo..
5. âClassificazione e profilazione dei referti investigativi â¨
sulle fattispecie criminoseâ a cura di Alessandro Bonu
www.diricto.it
ict4forensics.diee.unica.it
Cybercrime
..oggi sono questi
6. âClassificazione e profilazione dei referti investigativi â¨
sulle fattispecie criminoseâ a cura di Alessandro Bonu
www.diricto.it
ict4forensics.diee.unica.it
Last news tecnologiche
7. âClassificazione e profilazione dei referti investigativi â¨
sulle fattispecie criminoseâ a cura di Alessandro Bonu
www.diricto.it
ict4forensics.diee.unica.it
⢠Il Cyber crimine nel mondo è aumentato del 30% nei
primi 6 mesi del 2015 ed è ormai la causa di circa il
60% degli attacchi informatici gravi avvenuti a livello
globale nello stesso periodo
⢠sono le "infrastrutture critiche", come le reti per
l'energia e le telecomunicazioni a registrare la crescita
maggiore, passando da 2 attacchi nella seconda metĂ
del 2014 a 20 nella prima metĂ del 2015, con un
incremento del 900%
Rapporto Clusit sulla sicurezza informatica
globale presentato a Verona - 2015
8. âClassificazione e profilazione dei referti investigativi â¨
sulle fattispecie criminoseâ a cura di Alessandro Bonu
www.diricto.it
ict4forensics.diee.unica.it
⢠crescita a tre cifre anche per gli attacchi che riguardano l'automotive, cioè
le auto connesse a Internet: +400%
⢠supermercati e la grande distribuzione: +400%
⢠informazione ed entertainment, cioè siti e testate online, piattaforme di
giochi e blogging: +179%
⢠il rapporto Clusit evidenzia - sempre nei primi sei mesi del 2015 - il
raddoppio degli attacchi informatici subito dalle realtĂ che operano nella
sanitĂ , che segna un +81%
⢠I servizi online (mail, social network, siti di e-Commerce e piattaforme
Cloud) segnano una crescita degli incidenti di oltre il 50%, a dimostrazione
di quanto gli attacchi gravi siano mirati a tutte le tipologie di servizi erogati
via Internet
Rapporto Clusit sulla sicurezza informatica
globale presentato a Verona - 2015
9. âClassificazione e profilazione dei referti investigativi â¨
sulle fattispecie criminoseâ a cura di Alessandro Bonu
www.diricto.it
ict4forensics.diee.unica.it
Rapporto CLUSIT 2015 sulla sicurezza ICT in Italia
5%
8%
27%
60%
Cybercrime
Hack,vism
Espionage/Sabotage
Cyber warfare
10. âClassificazione e profilazione dei referti investigativi â¨
sulle fattispecie criminoseâ a cura di Alessandro Bonu
www.diricto.it
ict4forensics.diee.unica.it
Trend di crescita delle minacce
nel 2015
Piattaforme di
Social Network
Sistemi POS
Dispositivi Mobile
Logiche estorsiveâ¨
ransomware
11. âClassificazione e profilazione dei referti investigativi â¨
sulle fattispecie criminoseâ a cura di Alessandro Bonu
www.diricto.it
ict4forensics.diee.unica.it
ma come impattano queste
cifre sulla Digital Forensics?
+ crimini = + indagini
12. âClassificazione e profilazione dei referti investigativi â¨
sulle fattispecie criminoseâ a cura di Alessandro Bonu
www.diricto.it
ict4forensics.diee.unica.it
ma se oggi i cyber criminali sono questi?
con quali armi dobbiamo contrastarli?
sinergie di piĂš forze
13. âClassificazione e profilazione dei referti investigativi â¨
sulle fattispecie criminoseâ a cura di Alessandro Bonu
www.diricto.it
ict4forensics.diee.unica.it
Dualismo della Digital Forensics
14. âClassificazione e profilazione dei referti investigativi â¨
sulle fattispecie criminoseâ a cura di Alessandro Bonu
www.diricto.it
ict4forensics.diee.unica.it
IoT
Automotive
Altre
frontiere..?
Ambiti della Digital Forensics
15. âClassificazione e profilazione dei referti investigativi â¨
sulle fattispecie criminoseâ a cura di Alessandro Bonu
www.diricto.it
ict4forensics.diee.unica.it
altre frontiere..
16. âClassificazione e profilazione dei referti investigativi â¨
sulle fattispecie criminoseâ a cura di Alessandro Bonu
www.diricto.it
ict4forensics.diee.unica.it
di fronte a questi scenari
come si pone lâattivitĂ di
indagine da parte degli
investigatori forensi?
17. âClassificazione e profilazione dei referti investigativi â¨
sulle fattispecie criminoseâ a cura di Alessandro Bonu
www.diricto.it
ict4forensics.diee.unica.it
Metodologie di indagine
⢠le metodologie di base restano
invariate e supportate dalle best
practices
⢠le strade da seguire sono due:
1. il mezzo tecnologico è vittima di
un crimine
2. il mezzo tecnologico è il tramite
per compiere unâazione
criminosa
18. âClassificazione e profilazione dei referti investigativi â¨
sulle fattispecie criminoseâ a cura di Alessandro Bonu
www.diricto.it
ict4forensics.diee.unica.it
Work flow classico di investigazione forense
IDENTIFICAZIONE
repertamento
ACQUISIZIONE
copia forense
ANALISI
estrazione dei dati
PRESENTAZIONE
relazione finale
CATENAâ¨
DI
CUSTODIAINDAGINE
19. âClassificazione e profilazione dei referti investigativi â¨
sulle fattispecie criminoseâ a cura di Alessandro Bonu
www.diricto.it
ict4forensics.diee.unica.it
tipologie delle scene â¨
del crimine
20. âClassificazione e profilazione dei referti investigativi â¨
sulle fattispecie criminoseâ a cura di Alessandro Bonu
www.diricto.it
ict4forensics.diee.unica.it
INDAGINE
Uno o pochi soggetti coinvolti
21. âClassificazione e profilazione dei referti investigativi â¨
sulle fattispecie criminoseâ a cura di Alessandro Bonu
www.diricto.it
ict4forensics.diee.unica.it
INDAGINE
Pochi o molti soggetti coinvolti
22. âClassificazione e profilazione dei referti investigativi â¨
sulle fattispecie criminoseâ a cura di Alessandro Bonu
www.diricto.it
ict4forensics.diee.unica.it
INDAGINE
RealtĂ aziendali
23. âClassificazione e profilazione dei referti investigativi â¨
sulle fattispecie criminoseâ a cura di Alessandro Bonu
www.diricto.it
ict4forensics.diee.unica.it
INDAGINE
Organizzazioni evolute
24. âClassificazione e profilazione dei referti investigativi â¨
sulle fattispecie criminoseâ a cura di Alessandro Bonu
www.diricto.it
ict4forensics.diee.unica.it
INDAGINE
Organizzazioni Enterprise e oltre confine
25. âClassificazione e profilazione dei referti investigativi â¨
sulle fattispecie criminoseâ a cura di Alessandro Bonu
www.diricto.it
ict4forensics.diee.unica.it
Reperti nella scena del crimine
26. âClassificazione e profilazione dei referti investigativi â¨
sulle fattispecie criminoseâ a cura di Alessandro Bonu
www.diricto.it
ict4forensics.diee.unica.it
AttivitĂ sulla scena del crimine
27. âClassificazione e profilazione dei referti investigativi â¨
sulle fattispecie criminoseâ a cura di Alessandro Bonu
www.diricto.it
ict4forensics.diee.unica.it
Lâanalisi classica
⢠questa attivitĂ riguarda lâestrapolazione, interpretazione
e correlazione dei dati al fatto criminoso
⢠si applica sempre alle copie forensi e mai ai reperti
originali
⢠si tratta di unâanalisi approfondita e organizzata rispetto
a ciò che accade in sede di âlive forensicsâ dove i tempi
impongono delle marce piĂš alte
⢠lâobiettivo è rispondere a quesiti ben precisi ma il modus
operandi è a discrezione degli operatori, sempre sulla
linea delle âbest practicesâ e normative di riferimento
28. âClassificazione e profilazione dei referti investigativi â¨
sulle fattispecie criminoseâ a cura di Alessandro Bonu
www.diricto.it
ict4forensics.diee.unica.it
in questo scenario lâinvestigatore si trova di fronte a
una vasta ed eterogenea mole di dati come unâarmata
ben allestita da fronteggiare su aspetti fondamentali
come:
â˘tempistiche
â˘aspetti organizzativi
â˘aspetti economici
â˘limite dei tools forensi
â˘adeguamento di skill e formazione
Quali i problemi..?
29. âClassificazione e profilazione dei referti investigativi â¨
sulle fattispecie criminoseâ a cura di Alessandro Bonu
www.diricto.it
ict4forensics.diee.unica.it
AttivitĂ della Forensics Analysis
Forensics Analysis
L I V E D E A D
on crime scene on laboratory
reports
30. âClassificazione e profilazione dei referti investigativi â¨
sulle fattispecie criminoseâ a cura di Alessandro Bonu
www.diricto.it
ict4forensics.diee.unica.it
on crime scene
scenari atipici
che
richiedono
una notevole
professionalitĂ
âŚ
FotodiLucaSavoldi
âŚe
conoscenza di
aspetti tecnici
specifici
31. âClassificazione e profilazione dei referti investigativi â¨
sulle fattispecie criminoseâ a cura di Alessandro Bonu
www.diricto.it
ict4forensics.diee.unica.it
on Laboratory
32. âClassificazione e profilazione dei referti investigativi â¨
sulle fattispecie criminoseâ a cura di Alessandro Bonu
www.diricto.it
ict4forensics.diee.unica.it
⢠negli anni si è potuta osservare una certa inadeguatezza nel
tradizionale processo forense nel rispondere a determinate
esigenze investigative
⢠i tempi di risposta a queste esigenze sono aumentati
proporzionalmente al numero e alla tipologia dei reperti
acquisiti
⢠questo dovuto in genere ad una metodologia che mira ad
effettuare le classiche attivitĂ senza discriminanti o poco
relazionata al reato o al caso specifico
⢠alla luce di tutto questo si è introdotta una fase intermedia atta
a delimitare lâarea dâinteresse ad un numero di reperti valutati
piĂš rilevanti e pertinenti
Standardizzazione dei processi
33. âClassificazione e profilazione dei referti investigativi â¨
sulle fattispecie criminoseâ a cura di Alessandro Bonu
www.diricto.it
ict4forensics.diee.unica.it
la continua evoluzione degli strumenti high-tech ha
introdotto nuove criticitĂ nelle attivitĂ di Digital Forensics:
⢠incremento esponenziale della capacità di memoria dei
nuovi dispositivi
⢠nuove tecnologie hardware e software
⢠proliferazione di Sistemi Operativi e nuovi formati di file
⢠sistemi di virtualizzazione e relative macchine virtuali
⢠sistemi di crittografia che complicano non poco le
attivitĂ di analisi dei supporti interessati
⢠sistemi remoti e cloud
Nuove criticitĂ
34. âClassificazione e profilazione dei referti investigativi â¨
sulle fattispecie criminoseâ a cura di Alessandro Bonu
www.diricto.it
ict4forensics.diee.unica.it
Quale approccio..
DI FORZA
⢠basato sullâincremento delle risorse in grado di sostenere il
carico di lavoro: hardware, software, personale, logistica
piĂš immediato, si argina il problema ma i costi lievitano
esponenzialmente
DI METODO
⢠basato sul flusso di lavoro suddiviso tra diverse parti,
valutando le prioritĂ sulle quali operare e concentrando
lâapprofondimento dellâanalisi dopo una prima scrematura
piĂš economico e scalabile.. ma come metterlo in pratica?
35. âClassificazione e profilazione dei referti investigativi â¨
sulle fattispecie criminoseâ a cura di Alessandro Bonu
www.diricto.it
ict4forensics.diee.unica.it
Selezione e Triage Forensics
lâesigenza è quella di dare risposte rapide
ad ipotesi di reato o quando si delineano
aspetti non strettamente forensi
â˘identificare le informazioni piĂš rilevanti e
dare loro una sorta di prioritĂ (codice)
â˘lâanalisi approfondita si applica pertanto in
maniera selettiva a partire dai reperti che
hanno ottenuto un grado di prioritĂ maggiore
36. âClassificazione e profilazione dei referti investigativi â¨
sulle fattispecie criminoseâ a cura di Alessandro Bonu
www.diricto.it
ict4forensics.diee.unica.it
codice rosso
codice giallo
codice verde
codice bianco
URGENZA ASSOLUTA
POSSIBILE RISCHIO
ASSENZA DI RISCHI
NON URGENTE
Valutare le prioritĂ ?
volendo traslare un concetto utilizzato in ambito
ospedaliero, potremo definire le seguenti prioritĂ
37. âClassificazione e profilazione dei referti investigativi â¨
sulle fattispecie criminoseâ a cura di Alessandro Bonu
www.diricto.it
ict4forensics.diee.unica.it
Applicazione del Triage
⢠questa metodologia può essere applicata sia nella fase
di live forensics che post-mortem a seconda del
contesto in cui ci si trova ad operare
⢠live forensics dove la tempestivitĂ nellâagire sulla scena
del crimine, per alcune fattispecie criminose, può
diventare di vitale importanza, in quanto fornisce indizi
rilevanti e discriminanti
⢠anche nei casi di analisi post-mortem, la classificazioni
di dispositivi âfreddiâ rappresenta un valido supporto e
una semplificazione della successiva fase di analisi
38. âClassificazione e profilazione dei referti investigativi â¨
sulle fattispecie criminoseâ a cura di Alessandro Bonu
www.diricto.it
ict4forensics.diee.unica.it
Vantaggi del Triage
⢠abbattimento dei tempi di elaborazione iniziale dei dati
⢠possibilità di consultazione rapida delle risultanze
⢠utilizzo flessibile delle risorse hardware a disposizione e
generazione di risposte affidabili
⢠determinazione delle priorità prima di mettere in campo
le risorse per unâanalisi piĂš approfondita e accurata
velocitĂ e affidabilitĂ sono le parole chiave del
triage per ridurre al minimo costi, tempi e risorse
39. âClassificazione e profilazione dei referti investigativi â¨
sulle fattispecie criminoseâ a cura di Alessandro Bonu
www.diricto.it
ict4forensics.diee.unica.it
⢠le informazioni vengono
opportunamente
classificate al fine di
identificare rapidamente
le prove che consentono
di porre in relazione la
prova digitale con la
fattispecie criminosa in
esame
⢠ad esempio, sui reperti
mobili, ci si è
concentrati sui dati
attinenti la rubrica
telefonica, la cronologia
delle chiamate, gli sms,
eventuale navigazione
internet
⢠si sono inoltre ricavate,
da queste ultime, anche
informazioni statistiche
relative a percentuale e
numero di eventi
suddivisi in slot
temporali
PROFILO DI UTILIZZO â¨
DEL DISPOSITIVO
classificazione
dei risultati
normalizzazione
dei dati
raccolta
dei
reperti
Classificazione delle informazioni
40. âClassificazione e profilazione dei referti investigativi â¨
sulle fattispecie criminoseâ a cura di Alessandro Bonu
www.diricto.it
ict4forensics.diee.unica.it
Raccolta dei reperti
⢠è la fase iniziale dellâindagine dove si identificano i reperti
⢠dispositivi in grado di memorizzare delle informazioni e che
potrebbero essere oggetto di reato o correlati allo stesso
⢠ricerca mirata di quei reperti che rappresentano potenziali
elementi probatori in relazione ad una profilazione
preliminare del caso
⢠importante è cercare di comprenderne la pertinenza
⢠questa fase di divide in due macro aree:
1. dati volatili (reperti caldi)
2. dati statici (reperti freddi)
41. âClassificazione e profilazione dei referti investigativi â¨
sulle fattispecie criminoseâ a cura di Alessandro Bonu
www.diricto.it
ict4forensics.diee.unica.it
⢠rientrano in questa categoria tutte le informazioni che sono
presenti su dispositivi accesi e operativi
⢠si tratta di informazioni âfragiliâ, operazioni errate o affrettate
in questa fase potrebbero alterare i dati = potenziali elementi
probatori
⢠scenari difficilmente standardizzabili proprio a causa delle
variabili che si possono di volta in volta incontrare
⢠lo spegnimento brutale, anche se meno indolore di uno
shutdown, determina quasi sempre una perdita di dati
⢠tale procedura si configura sempre come attività irripetibile
Dati volatili
42. âClassificazione e profilazione dei referti investigativi â¨
sulle fattispecie criminoseâ a cura di Alessandro Bonu
www.diricto.it
ict4forensics.diee.unica.it
sistemi accesi e
operativi che
possono
rappresentare
una fonte di dati
ed evidenze di
notevole
importanza e
che in alcuni
casi potrebbero
essere decisivi
per lâesito di
indagine
Scena del crimine con live data
43. âClassificazione e profilazione dei referti investigativi â¨
sulle fattispecie criminoseâ a cura di Alessandro Bonu
www.diricto.it
ict4forensics.diee.unica.it
⢠agevola le forze dellâordine in un rapido
repertamento di prove piĂš rilevanti
⢠attivitĂ svolta nellâimmediatezza del fatto anche da
tecnici non altamente specializzati in analisi forense
⢠utile quando viene richiesto di dare rapidamente
risposta ad una ipotesi di reato
⢠agevola gli investigatori a decisioni piÚ consapevoli
per la prosecuzione dellâindagine
Triage nel live forensics
44. âClassificazione e profilazione dei referti investigativi â¨
sulle fattispecie criminoseâ a cura di Alessandro Bonu
www.diricto.it
ict4forensics.diee.unica.it
⢠talvolta si ha necessità di agire in fretta nella scena del
crimine: dati e informazioni potrebbero altrimenti
essere compromesse
⢠lâagire in fretta è sempre un problema, si tralasciano
per esempio evidenze apparentemente irrilevanti
⢠contesto in cui il tempo è tiranno:
⢠devo avere una strategia operativa e capire da dove
iniziare e quali strumenti utilizzare in relazione al
contesto di indagine
Agire in fretta
45. âClassificazione e profilazione dei referti investigativi â¨
sulle fattispecie criminoseâ a cura di Alessandro Bonu
www.diricto.it
ict4forensics.diee.unica.it
Sentenza di Garlasco
⢠Il collegio peritale evidenziava che le condotte di accesso da parte dei
Carabinieri hanno determinato la sottrazione di contenuto informativo con
riferimento al pc di Alberto Stasi pari al 73,8% dei files visibili (oltre 156.000)
con riscontrati accessi su oltre 39.000 filesââŚ
⢠perizia informatica, altro elemento cruciale nell'indagine per quanto riguarda il
possibile alibi e il movente di Stasi, per capire se il contenuto del portatile è stato
o meno inesorabilmente contaminato dai vari accessi fatti prima che venisse
consegnato ai tecnici del Ris di Parma. Âť questo, secondo il parere del GUP, uno
dei passaggi di cruciale importanza dell'intero quadro accusatorioâŚ
⢠E a tal riguardo il GUP conclude: ânon è piĂš possibile esprimere delle valutazioni
certe nĂŠ in un senso nĂŠ nell'altro: in questo ambito, il danno irreparabile
prodotto dagli inquirenti attiene proprio all'accertamento della veritĂ
processuale. Questi i sintesi i principali errori investigativi che hanno segnato
l'indagine sull'omicidio di Chiara Poggi, che ancora oggi resta un delitto
impunito e senza un perchĂŠâŚ
46. âClassificazione e profilazione dei referti investigativi â¨
sulle fattispecie criminoseâ a cura di Alessandro Bonu
www.diricto.it
ict4forensics.diee.unica.it
⢠rientrano nella categoria dei dispositivi cosiddetti âfreddiâ
ovvero spenti e non operativi
⢠sono caratterizzati dal fatto che i dati allâinterno di questi
device sono stabili nel tempo a meno che non
intervengano cause di esterne
⢠le attività su questi dispositivi si effettuano in laboratorio
attraverso lâacquisizione delle âcopie forensiâ sulle quali
poi operare lâanalisi..
⢠anche in questo caso, come nel âlive forensicsâ viene
acquisita lâintera area di memoria con le note procedure di
âbit stream imageâ
Dati statici
47. âClassificazione e profilazione dei referti investigativi â¨
sulle fattispecie criminoseâ a cura di Alessandro Bonu
www.diricto.it
ict4forensics.diee.unica.it
⢠kit forensi in grado di estrapolare dai dispositivi digitali gli
elementi piĂš importanti ed evidenti per lâindagine in corso
⢠In genere in caso di truffe (caso classico) estrazione dei
dati orinati per formato (es.. .docx, .xlsx, pdf, ..ecc)
⢠analisi testuali su header delle mail per individuarne la
paternitĂ o in caso di pedopornografia le immagini e i
video
⢠altrettanto rilevanti possono essere le informazioni di
sistema, navigazione internet, parco applicativo, contenuti
(anche cancellati) ..ecc
Gli strumenti del mestiere
48. âClassificazione e profilazione dei referti investigativi â¨
sulle fattispecie criminoseâ a cura di Alessandro Bonu
www.diricto.it
ict4forensics.diee.unica.it
CASE REPORT
Windows Ultimate Forensic Outflow
49. âClassificazione e profilazione dei referti investigativi â¨
sulle fattispecie criminoseâ a cura di Alessandro Bonu
www.diricto.it
ict4forensics.diee.unica.it
Catalogazione delle informazioni
50. âClassificazione e profilazione dei referti investigativi â¨
sulle fattispecie criminoseâ a cura di Alessandro Bonu
www.diricto.it
ict4forensics.diee.unica.it
Browser History View
51. âClassificazione e profilazione dei referti investigativi â¨
sulle fattispecie criminoseâ a cura di Alessandro Bonu
www.diricto.it
ict4forensics.diee.unica.it
Spektor di DELL
52. âClassificazione e profilazione dei referti investigativi â¨
sulle fattispecie criminoseâ a cura di Alessandro Bonu
www.diricto.it
ict4forensics.diee.unica.it
Normalizzazione dei dati
⢠la ânormalizzazioneâ ha il fine di eliminare tutti i
disallineamenti di output derivanti dalla varietĂ degli
strumenti utilizzati durante la fase di acquisizione dalle
varie fonti
⢠una volta normalizzati i dati confluiscono in un database
sul quale vengono effettuate elaborazioni statistiche che
producono attributi (features) che identificano un data set
⢠la scelta di questi attributi viene accuratamente effettuata
sulla base di esperienze che nel tempo hanno portato a
risultati significativi
53. âClassificazione e profilazione dei referti investigativi â¨
sulle fattispecie criminoseâ a cura di Alessandro Bonu
www.diricto.it
ict4forensics.diee.unica.it
FEATURES TYPE DEVICE #1 DEVICE #2 DEVICE #3
feature #1 true false true
feature #2 false true false
feature #3 false false true
feature #4 true true true
feature #5 true true false
feature #6 1200 320 65000
feature #7 ⌠⌠âŚ
feature #n ⌠⌠âŚ
⌠⌠⌠âŚ
FeaturesFeatures e data set
54. âClassificazione e profilazione dei referti investigativi â¨
sulle fattispecie criminoseâ a cura di Alessandro Bonu
www.diricto.it
ict4forensics.diee.unica.it
Data Mining
⢠queste metodologie hanno lo scopo di estrarre sapere e
conoscenza da una grande mole di dati
⢠processi matematici eseguiti attraverso automatismi che
hanno doppia valenza:
1. estrazione di informazioni implicite e/o nascoste da dati
giĂ strutturati in modo tale che siano direttamente fruibili
2. esplorazione e analisi da una grossa mole di dati mirate a
scoprire schemi significativi
in entrambi i casi il dato diventa significativo o trascurabile â¨
in relazione allâambito di indagine
55. âClassificazione e profilazione dei referti investigativi â¨
sulle fattispecie criminoseâ a cura di Alessandro Bonu
www.diricto.it
ict4forensics.diee.unica.it
start
dati
normaliz
zati?
allineamento delle
anomalie
elaborazione delle
evidenze
trasformazione dei
dati
memorizzazione
dei dati
Data Mining
estrazione delle
features
end
SI NO
work-flow di normalizzazione dei dati
56. âClassificazione e profilazione dei referti investigativi â¨
sulle fattispecie criminoseâ a cura di Alessandro Bonu
www.diricto.it
ict4forensics.diee.unica.it
⢠obiettivo è quindi quello di classificare i dati in
ingresso per definire specifiche classi
⢠gli algoritmi di classificazione consentono
identificare degli schemi o insiemi di
caratteristiche alle quali appartiene un
determinato record
⢠le features individuate servono a capire per es. il
grado di utilizzo del reperto da parte del soggetto
indagato e relazionandolo al reato commesso
Classificazione dei risultati
57. âClassificazione e profilazione dei referti investigativi â¨
sulle fattispecie criminoseâ a cura di Alessandro Bonu
www.diricto.it
ict4forensics.diee.unica.it
Applicazione alla Computer Forensics
⢠In questo contesto si valuta il profilo di utilizzo dei
dispositivi esaminati e classificati in relazione ad una
particolare fattispecie di reato: PIRATERIA
⢠il data set delle features è stato pertanto costruito con
lâobiettivo di valutare e classificare in modo
automatico ciascun dispositivo in relazione al reato di
pirateria informatica
INFORMAZIONI ESTRAPOLATE DAL REPERTO
numero di applicazioni installate
numero di applicazioni suddivise per tipologia funzionale (chat, browser, ecc)
numero e percentuale delle URL visitate e suddivise per tipologia
numero e percentuale dei file audio scaricati e suddivisi per dimensione
58. âClassificazione e profilazione dei referti investigativi â¨
sulle fattispecie criminoseâ a cura di Alessandro Bonu
www.diricto.it
ict4forensics.diee.unica.it
caso diâ¨
stalking
accesso
a
Internet
numero di
chiamate
arco
temporale
durata
delle
chiamate
tipologia
dispositivi
mobile
caso diâ¨
pedofilia
accesso
a
Internet
gran
numero di
immagini
e video
archivi e
aree di
download
software
di
download
criptaggio
steganografia
Valutazione dei risultati su casi differenti
59. âClassificazione e profilazione dei referti investigativi â¨
sulle fattispecie criminoseâ a cura di Alessandro Bonu
www.diricto.it
ict4forensics.diee.unica.it
⢠specifiche tecniche di intelligence e profiling atte ad
ottenere informazioni che possono essere utili alla
comprensione e risoluzione del problema per il quale si
procede
⢠tale processo si articola con la ricerca di âtracce digitaliâ
dellâutilizzatore degli apparati fisici che come tale
personalizza lâambiente sul quale opera e interagisce, sia
questo reale che virtuale
⢠in questo ampio e bivalente contesto, anche
inconsciamente , si lasciano necessariamente delle tracce
che possono essere rilevate, confrontate e classificate
Digital Profiling
60. âClassificazione e profilazione dei referti investigativi â¨
sulle fattispecie criminoseâ a cura di Alessandro Bonu
www.diricto.it
ict4forensics.diee.unica.it
IDENTIFICAZIONE
repertamento
ACQUISIZIONE
copia forense
ANALISI
estrazione dei dati
PRESENTAZIONE
relazione finale
CATENAâ¨
DI
CUSTODIAINDAGINE
Evoluzione del Work-flow del triage nel processo di investigazione
IDENTIFICAZIONE
repertamento
Raccolta mirata dei
reperti
PRESENTAZIONE
FINALE
consegna â¨
del lavoro
Normalizzazione â¨
dei dati
DataProfiling
Data Mining,
Features e â¨
Data Set per la
classificazione â¨
dei dati
TRIAGE
ANALISI
INDAGINE
61. âClassificazione e profilazione dei referti investigativi â¨
sulle fattispecie criminoseâ a cura di Alessandro Bonu
www.diricto.it
ict4forensics.diee.unica.it
⢠di fondamentale importanza è inoltre la fase di
preservazione delle evidenze digitali acquisite è
definita come âcatena di custodiaâ
⢠insieme di procedure atte a tracciare tutte le
attivitĂ effettuate sul reperto dal momento in cui lo
stesso è stato preso in consegna
⢠tali evidenze devono essere inoltre custodite in
appositi contenitori idonei al trasporto e in grado di
evitare anche danneggiamenti involontari o
condizioni ambientali avverse
Catena di custodia
62. âClassificazione e profilazione dei referti investigativi â¨
sulle fattispecie criminoseâ a cura di Alessandro Bonu
www.diricto.it
ict4forensics.diee.unica.it
⢠i dispositivi tecnologici sono oggi parte integrante
nellâindagine, anche se non direttamente coinvolti
⢠rappresentano un elemento utile per ricostruire la sequenza
temporale del crimine e relativo modus operandi
⢠gli strumenti di analisi forense diventano tanto piÚ obsoleti
quanto piĂš velocemente si evolvono le nuove tecnologie
⢠questo fenomeno evolutivo richiede un grado di
specializzazione tecnica piĂš elevato e qualificato rispetto a
quello tradizionale
Un nuovo approccio
63. âClassificazione e profilazione dei referti investigativi â¨
sulle fattispecie criminoseâ a cura di Alessandro Bonu
www.diricto.it
ict4forensics.diee.unica.it
Progetto ILLBuster
L'obiettivo del progetto ILLBuster, finanziato dalla Commissione Europea, all'interno del
programma "Prevention of and Fight Against Crime", è quello di fornire un sistema integrato
per il rilevamento automatico di attività illegali sulla rete internet. Il sistema è pensato per
fornire alle forze dell'ordine uno strumento prezioso nelle loro attivitĂ di prevenzione e lotta
contro il crimine informatico, e sarĂ costituito da:
⢠un motore principale responsabile della rilevazione di una lista âneraâ di domini
malevoli;
⢠un insieme di periferiche e servizi che ispezioneranno le pagine web ospitate su
domini maligni con lo scopo di individuare materiale illecito o pericoloso
(pedopornografia, malware, phishing).
⢠Il sistema risultante sarà in grado di identificare domini (e contenuti) maligni attraverso
l'analisi del traffico DNS e segnalare URL sospetti alle forze dell'ordine, in modo che gli
illeciti possano essere facilmente individuati.
⢠Una caratteristica peculiare del sistema proposto è che esso sarà progettato tenendo
presenti tutti gli aspetti legali che garantiscono il rispetto della privacy dei cittadini e non
consentono abusi.
64. âClassificazione e profilazione dei referti investigativi â¨
sulle fattispecie criminoseâ a cura di Alessandro Bonu
www.diricto.it
ict4forensics.diee.unica.it
Progetto ILLBuster
Obiettivo
sviluppare una piattaforma che supporti le forze dellâordine
nellâattivitĂ investigativa in rete
65. âClassificazione e profilazione dei referti investigativi â¨
sulle fattispecie criminoseâ a cura di Alessandro Bonu
www.diricto.it
ict4forensics.diee.unica.it
Progetto ILLBuster
Buster of ILLegal contents spread by
malicious computer networks
UniversitĂ di Cagliari
www.illbuster-project.eu
Co-funded by the Prevention of and Fight against Crime Programme of the European Union
66. âClassificazione e profilazione dei referti investigativi â¨
sulle fattispecie criminoseâ a cura di Alessandro Bonu
www.diricto.it
ict4forensics.diee.unica.it
⢠i metodi descritti consentono un approccio piÚ mirato
nella fase di ricerca delle prove
⢠gli investigatori operano con cognizione di causa e
possono dare ordine e prioritĂ ai reperti rilevati
⢠lâanalisi informatica è quindi piĂš snella, rapida ed
efficace, ne beneficiano tempi e costi
⢠con lâevoluzione della tecnologia e con lâincremento
esponenziale della mole di dati che ci si trova ad
dover analizzare, oggi è un passaggio obbligato
Conclusioni
67. âClassificazione e profilazione dei referti investigativi â¨
sulle fattispecie criminoseâ a cura di Alessandro Bonu
www.diricto.it
ict4forensics.diee.unica.it
Grazie per lâattenzione
alessandro.bonu@gmail.com
it.linkedin.com/in/abonu
www.andig.it
www.diricto.it
ict4forensics.diee.unica.it
www.massimofarina.it
Fine presentazione..
68. âClassificazione e profilazione dei referti investigativi â¨
sulle fattispecie criminoseâ a cura di Alessandro Bonu
www.diricto.it
ict4forensics.diee.unica.it
Attribuzione - Non Commerciale - Condividi allo stesso modo 2.5â¨
Tu sei libero:
⢠di riprodurre, distribuire, comunicare al pubblico, esporre in pubblico, rappresentare, eseguire o recitare
l'opera
⢠di creare opere derivate alle seguenti condizioni:
⢠Attribuzione. Devi riconoscere il contributo dell'autore originario.
⢠Non commerciale. Non puoi usare questâopera per scopi commerciali.
⢠Condividi allo stesso modo. Se alteri, trasformi o sviluppi questâopera, puoi distribuire lâopera risultante solo per mezzo di una
licenza identica a questa.
In occasione di ogni atto di riutilizzazione o distribuzione, devi chiarire agli altri i termini della licenza di
questâopera.
Se ottieni il permesso dal titolare del diritto d'autore, è possibile rinunciare ad ognuna di queste condizioni.
Le tue utilizzazioni libere e gli altri diritti non sono in nessun modo limitati da quanto sopra