CYBERCRIME,	  DIGITAL	  INVESTIGATIONS	  AND	  DIGITAL	  FORENSICS	  Giuseppe	  Vaciago	  	  Università	  degli	  Studi	  ...
Scopo della digital forensics è quello di conservare,identificare, acquisire, documentare o interpretare i datipresenti in...
Una prima caratteristica è data dalla complessità della digitalevidence. Il caso Amero ne è una dimostrazione.Le complessi...
Il caso “Amero”: la scansione temporaleLezione di Julie Amero.Immagini “inadatte”appaiono come pop-updal PC dell’insegnant...
 	  Digital Investigation – 5 StepsIl fine ultimo di ogni investigazione digitale consiste nel recupero di tutti i datiche...
Con un decreto del Pubblico Ministero viene effettuata laperquisizione e il sequestro dei dati informaticiCon l’indirizzo ...
Non c’è nessuna traccia dell’illecito nelcomputer sequestratoDifficoltà nell’identificazione delcomputer da sequestrareDif...
Conoscere la tecnica di socialengineeringRapidità nell’azione (data retention)Public-Private Partnership tra Forzedell’ord...
1. Identificare il sospetto – Soluzioni ?
Il risultato è eccellente, ma quali sono le implicazioni alivello di privacy?Caso “Palazzolo”: il tesoriere della Mafia, d...
Face	  RecogniKon	  Project	  Alessandro	  Acquis/	  CCTV	  Fair	  Fax	  Media	  1. Identify the Suspect – Solutions?
2. Individuazione di contenuti illecitiStrumenti d’indagine spesso usati per condurre investigazioni on linesono le tecnic...
Cosa succede se cambio il file in maniera infinitesimale?Ferrari.jpg Ferrari_copy2.jpgHASH:051ed4dbdb9bcd7957aa7cbb5dfd0e9...
Per tale ragione, ci sono tecniche (i.e. fuzzy hashing) o vari tipidi algoritmi che permettono di identificare un certo nu...
2. Individuazione di contenuti illeciti- SoluzioniLe tecniche più complesse hanno un range di errore del 20%Cosa significa...
Internet Surveillance Plans2. Individuazione di contenuti illeciti- Soluzioni
La Germania ha introdotto il 20 dicembre2006 un emendamento alla legge sullaprotezione della Costituzione nel Nord Reno-We...
La Corte Costituzionale tedesca il 27 febbraio 2008 hadichiarato incostituzionale tale emendamentosostenendo che violava i...
Tre anni dopo le affermazioni di principio pronunciate dallaCorte Costituzionale tedesca, Il Ministro della Giustizia tede...
3. La validazione della prova digitaleAffinché una prova digitale possa entrare legittimamente in unprocesso, gli agenti d...
La nuova sfida del Cloud computing è la perdita dilocalizzazione dei dati dovuta a:-­‐ “Data at rest” non sono presenti ne...
3. La validazione della prova digitaleCome è possibile validare la prova digitale online eimmediatamente dare come certa l...
4. Chain of Custody della prova digitale•  Quando la prova digitale può essere usata in un processo, deveessere trattata c...
5. Analisi della prova digitale•  Text searches: consiste nel condurre ricerche di tipotestuale all’interno dei file o del...
6. Presentazione dei risultatiQuesto processo è di fondamentale importanza per PM, giudicie avvocati, dato che l’esito del...
GRAZIE PER LA PAZIENZA !!!Giuseppe Vaciagovaciago@htlaw.it
Upcoming SlideShare
Loading in …5
×

Giuseppe Vaciago, Cybercrime, Digital Investigation e Digital Forensics

1,249 views

Published on

0 Comments
2 Likes
Statistics
Notes
  • Be the first to comment

No Downloads
Views
Total views
1,249
On SlideShare
0
From Embeds
0
Number of Embeds
1
Actions
Shares
0
Downloads
71
Comments
0
Likes
2
Embeds 0
No embeds

No notes for slide

Giuseppe Vaciago, Cybercrime, Digital Investigation e Digital Forensics

  1. 1. CYBERCRIME,  DIGITAL  INVESTIGATIONS  AND  DIGITAL  FORENSICS  Giuseppe  Vaciago    Università  degli  Studi  di  Milano    16  maggio  2013    
  2. 2. Scopo della digital forensics è quello di conservare,identificare, acquisire, documentare o interpretare i datipresenti in un computer. A livello generale si tratta diindividuare le modalità migliori per:•  acquisire le prove senza alterare il sistema informatico incui si trovano;•  garantire che le prove acquisite su altro supporto sianoidentiche a quelle originarie;•  analizzare i dati senza alterarli (Cesare Maioli)Digital Forensics - Definizione
  3. 3. Una prima caratteristica è data dalla complessità della digitalevidence. Il caso Amero ne è una dimostrazione.Le complessità della digital evidence (Julie Amero)Julie Amero è una supplente della Kelly School di Norwich delConnecticut che venne condannata per aver mostrato a ragazzi minoridi 16 anni immagini pornografiche.
  4. 4. Il caso “Amero”: la scansione temporaleLezione di Julie Amero.Immagini “inadatte”appaiono come pop-updal PC dell’insegnanteLa Polizia visiona ilcontenuto dell’harddisk,ma non ne esegueuna copia bit-streamLa Corte condanna JulieAmero per il reato dioffesa alla morale aminorenniJulie Amero ottenne unnuovo processo in cuivenne condannata allapena di 100 dollari26/10/04 05/01/07 10/11/0819/10/04Il docente titolare si reca inaula e nota che la cache filecontiene file pornografici eavvisa il preside20/10/04La difesa chiede un nuovo processo inquanto la prova non era stata acquisitacorrettamente e il computer era infetto(mousetrapping)01/06/08
  5. 5.    Digital Investigation – 5 StepsIl fine ultimo di ogni investigazione digitale consiste nel recupero di tutti i datiche possano costituire una prova utilizzabile durante il processo. Perraggiungere tale fine è necessario:1.  individuare l’autore dell’illecito e il supporto informatico e che contieneil dato digitale utile all’indagine, al fine di identificare il potenziale criminale2.  acquisire tale dato attraverso l’intercettazione nel caso di flussi dicomunicazioni in Rete, ovvero attraverso il sequestro e la duplicazione delsupporto di memorizzazione su cui è archiviato il dato;3.  conservare in un luogo idoneo tutti i dati digitali acquisiti e duplicati;4.  effettuare, esclusivamente sulla copia del supporto informatico, leopportune analisi che consentano di recuperare le informazioni utili alPubblico Ministero e all’avvocato durante la fase delle indagini preliminari, eal Giudice durante la fase dibattimentale;5.  presentare i risultati dell’indagine durante la fase dibattimentale o nellarelazione tecnica.
  6. 6. Con un decreto del Pubblico Ministero viene effettuata laperquisizione e il sequestro dei dati informaticiCon l’indirizzo IP, la Polizia Giudiziaria ottienedall’Access Provider l’ubicazione del soggetto sospettatoL’Autorità giudiziaria ordina all’ISP di fornire l’indirizzo IPdel soggetto che si è collegato1. Identificare il sospettoQuando viene investigato un crimine on line l’approccioè il seguente:
  7. 7. Non c’è nessuna traccia dell’illecito nelcomputer sequestratoDifficoltà nell’identificazione delcomputer da sequestrareDifficoltà nell’identificazione dell’utente(open Wifi, proxy, botnet, TOR)Le “sfide” sono le seguenti:1. Identificare il sospetto – “Sfide”
  8. 8. Conoscere la tecnica di socialengineeringRapidità nell’azione (data retention)Public-Private Partnership tra Forzedell’ordine/ISPsNon puoi (sempre) identificare un cybercriminale su Google ;)1. Identificare il sospetto – Soluzioni
  9. 9. 1. Identificare il sospetto – Soluzioni ?
  10. 10. Il risultato è eccellente, ma quali sono le implicazioni alivello di privacy?Caso “Palazzolo”: il tesoriere della Mafia, dopo 30 anni di latitanza èstato arrestato grazie ad un monitoraggio del suo account facebook1. Identificare il sospetto – Soluzioni ?
  11. 11. Face  RecogniKon  Project  Alessandro  Acquis/  CCTV  Fair  Fax  Media  1. Identify the Suspect – Solutions?
  12. 12. 2. Individuazione di contenuti illecitiStrumenti d’indagine spesso usati per condurre investigazioni on linesono le tecniche “hashing”.Per esempio, iniziando con un file contenente un immagine, èpossibile convertirlo in un message digest e intraprendere una ricercaall’interno di un supporto (hard drive, flash disk) o all’interno unnetwork (P2P networks).Ferrari.jpg Ferrari_copy.jpgHASH SHA-1051ed4dbdb9bcd7957aa7cbb5dfd0e94605cd887
  13. 13. Cosa succede se cambio il file in maniera infinitesimale?Ferrari.jpg Ferrari_copy2.jpgHASH:051ed4dbdb9bcd7957aa7cbb5dfd0e94605cd887HASH:a9fa2933484f828b95c1dde824dea28f35b509d6L’hash non corrisponde e la ricerca non genererà alcunrisultato2. Individuazione di contenuti illeciti-Sfida
  14. 14. Per tale ragione, ci sono tecniche (i.e. fuzzy hashing) o vari tipidi algoritmi che permettono di identificare un certo numero disimilarità.Un buon software è l’SSDEEP creato da Andrew Tridgell eutilizzato per individuare spamming.Online è disponibile: pHash (The open source perceptualhash library)2. Individuazione di contenuti illeciti– Soluzioni?
  15. 15. 2. Individuazione di contenuti illeciti- SoluzioniLe tecniche più complesse hanno un range di errore del 20%Cosa significa?Nessun problema se ci sono falsi positivi. Il controllo umano èsufficiente.Ma nel caso di falsi negativi?False Negative=(i.e., illegal content incorrectly deemed as non-illegalFalse positives=(i.e., non-illegal content incorrectly deemed as illegal
  16. 16. Internet Surveillance Plans2. Individuazione di contenuti illeciti- Soluzioni
  17. 17. La Germania ha introdotto il 20 dicembre2006 un emendamento alla legge sullaprotezione della Costituzione nel Nord Reno-Westfalia che consentiva l’accesso segreto asistemi informatici e il monitoraggio segretodella Rete attraverso sistemi keyloggerinstallati in forma di trojan horse.I sistemi informatici possono esseremonitorati da remoto grazie a keylogger esniffer installati sul sistema informatico delsospettato. Ad esempio convincendo ilsospettato ad installare uno spyware in gradodi rivelare le sue password.2. Individuazione di contenuti illeciti- Soluzioni
  18. 18. La Corte Costituzionale tedesca il 27 febbraio 2008 hadichiarato incostituzionale tale emendamentosostenendo che violava il “diritto alla riservatezza ed allaintegrità dei sistemi informatici”.2. Individuazione di contenuti illeciti- Soluzioni
  19. 19. Tre anni dopo le affermazioni di principio pronunciate dallaCorte Costituzionale tedesca, Il Ministro della Giustizia tedescochiese un’investigazione contro pubbliche autorità che inalmeno 4 stati della Germania si era scoperto spiassero iprivati cittadini utilizzando spyware informatici (Bavaria, Baden-Wurttemberg, Brandenburg and Lower Saxony)2. Individuazione di contenuti illeciti- Soluzioni
  20. 20. 3. La validazione della prova digitaleAffinché una prova digitale possa entrare legittimamente in unprocesso, gli agenti di P.G. devono rispettare due regolefondamentali della digital forensics menzionate sopraMa cosa succede se il dato digitale è nel sistema Cloud?Bitstream CopyHash function
  21. 21. La nuova sfida del Cloud computing è la perdita dilocalizzazione dei dati dovuta a:-­‐ “Data at rest” non sono presenti nel dispositivo usato.-­‐ “Data in transit” non possono essere facilmente analizzati acausa della codificazione.-­‐ “Data in execution” saranno presenti solo nel cloudIl soggetto che volesse effettuare l’immagine bit-stream dialcuni dati presenti all’interno del cloud di un dato sospettosarebbe nella stessa posizione di chi deve completare unpuzzle i cui pezzi sono sparsi a caso in giro per il mondo3. La validazione della prova digitale
  22. 22. 3. La validazione della prova digitaleCome è possibile validare la prova digitale online eimmediatamente dare come certa la presenza di un particolaredato in uno specifico website?
  23. 23. 4. Chain of Custody della prova digitale•  Quando la prova digitale può essere usata in un processo, deveessere trattata con cautela per evitare accuse di manipolazione ofalso che possono compromettere il processo.•  Il Digital storage media dura meno di quello dell’analogue media egli strumenti per leggere il primo, durano ancora meno.•  Domesday Book (1086): è stato leggibile per oltre 900 anni.•  Domesday Book 2 (1983): LaserDisc: illeggibile trascorsi 15 anni..
  24. 24. 5. Analisi della prova digitale•  Text searches: consiste nel condurre ricerche di tipotestuale all’interno dei file o delle directory e si estende atutte le strutture del file system•  Image searches: consiste nella ricerca delle immaginidigitali su file di vario formato•  Data recovery and identificationprocedimento perrecuperare dati presenti, cancellati o danneggiati damemorie di massa•  Data discovery: procedimento per scoprire dati nascosti dauna memoria o da un file cifrati o protetti in altro modo•  Data carving: tentativo di ricostruire un file danneggiatoattraverso il recupero di porzioni di file.•  Metadata recovery and identification: Il recupero el’identificazione di tali dati (es. date e orari, attributi di file)sono di particolare importanza per determinare la timeline diaccesso e di modifiche di un file
  25. 25. 6. Presentazione dei risultatiQuesto processo è di fondamentale importanza per PM, giudicie avvocati, dato che l’esito del processo non dipenderàsolamente dai risultati ottenuti, ma anche dal grado di chiarezzae comprensione di tali risultati.
  26. 26. GRAZIE PER LA PAZIENZA !!!Giuseppe Vaciagovaciago@htlaw.it

×