Successfully reported this slideshow.

Giuseppe vaciago, Digital forensics e garanzie dell’indagato 2011 04 05

3,083 views

Published on

  • Be the first to comment

Giuseppe vaciago, Digital forensics e garanzie dell’indagato 2011 04 05

  1. 1. Introduzione  alla  Digital  Forensics  e   garanzie  dell’indagato   Giuseppe Vaciago Università degli Studi di Milano 15 marzo 2011 – ore 16.30 5 aprile 2011 – ore 8.30
  2. 2. Cosa  è  la  digital  forensics  ?  Come   Sherlock   Holmes   nel   XIX   secolo   si   serviva   costantemente   dei   suoi  apparecchi   per   l’analisi   chimica,   oggi   nel   XXI   secolo   egli   non   mancherebbe   di  effe=uare  un’accurata  analisi  di  computer,  di  telefoni  cellulari  e  di  ogni  ?po  di  apparecchiatura  digitale  (Ralph  Losey).                    Scopo   della   digital   forensics   è   quello   di   conservare,   iden?ficare,   acquisire,  documentare   o   interpretare   i   da?   presen?   in   un   computer.   A   livello   generale  si  tra=a  di  individuare  le  modalità  migliori  per:  -­‐  acquisire  le  prove  senza  alterare  il  sistema  informa?co  in  cui  si  trovano;  -­‐  garan?re  che  le  prove  acquisite  su  altro  supporto  siano  iden?che  a  quelle  originarie;  -­‐  analizzare  i  da?  senza  alterarli  (Cesare  Maioli)  
  3. 3. Cosa  è  la  digital  evidence?  Digital  evidence  è  una  qualsiasi  informazione,  con  valore  probatorio,  che  sia  o   meno   memorizzata   o   trasmessa   in   un   formato   digitale.   Definizione   dello  Scien?fic  Working  Group  on  Digital  Evidence  (SWGDE)    La   rappresentazione   del   fa=o   è   la   medesima   sia   essa   incorporata   in   uno  scri=o  o  in  un  file.  Quello  che  cambia  è  soltanto  il  metodo  di  incorporamento  su  base  materiale  (Tonini).  
  4. 4. Le  classificazioni  della  digital  evidence  Si  possono  avere  tre  diverse  ?pologie  di  prova  digitale:    Creata   dall’uomo:   ogni   dato   digitale   che   figuri   come   il   risultato   di   un  intervento  o  di  un’azione  umana  e  può  essere  di  due  ?pi:    a)  Human  to  human  (mail)  b)  Human  to  PC  (documento  word)  
  5. 5. Le  classificazioni  della  digital  evidence  Creata   autonomamente   dal   computer:   ogni   dato   che   figuri   come   il   risultato  di   un   processo   su   dei   da?   effeNuato   da   un   soOware   secondo   un   preciso  algoritmo   e   senza   l’intervento   umano   (tabula?   telefonici,   file   di   log   di   un  Internet  Service  Provider)  
  6. 6. Le  classificazioni  della  digital  evidence  Creata   sia   dall’essere   umano   che   dal   computer:   foglio   di   calcolo   eleNronico  dove   i   da?   vengono   inseri?   dall’essere   umano,   mentre   il   risultato   viene  effeNuato  dal  computer.  
  7. 7. Le  cara<eris=che  della  digital  evidence   1.  Anonima  e  immateriale:  non  sempre  è  possibile  risalire  al  soggeNo  che   ha  generato  un  dato  informa?co  
  8. 8. Le  cara<eris=che  della  digital  evidence   2.  Rumorosa:  è  difficile  filtrare  la  mole  incredibile  di  da?  digitali  da   analizzare  
  9. 9. Le  cara<eris=che  della  digital  evidence  3.  Alterabile:  è  molto  facile  contaminare  una  prova  digitale  
  10. 10. Le  complessità  della  digital  evidence  (Caso  Julie  Amero)  Una   prima   caraNeris?ca   è   data   dalla   complessità   della   digital   evidence.   Il  caso  Amero  ne  è  una  dimostrazione.   Julie   Amero   è   una   supplente   della   Kelly   School   di   Norwich   del   Connec?cut   che   venne   condannata   per   aver   mostrato   a   ragazzi   minori   di   16   anni   immagini  pornografiche  
  11. 11. Il  caso  “Amero”:  la  scansione  temporale   19/10/04   26/10/04   05/01/07   10/11/08  Lezione  di  Julie  Amero.   La  Polizia  visiona  il   La  Corte  condanna   Julie  Amero  oNenne  un   Immagini  “inadaNe”   contenuto  dell’hard   Julie  Amero  per  il  reato   nuovo  processo  in  cui  appaiono  come  pop-­‐up   disk,ma  non  ne  esegue   di  offesa  alla  morale  ad   venne  condannata  alla   dal  PC  dell’insegnante   una  copia  bit-­‐stream   una  minorenne   pena  di  100  dollari   Il  docente  ?tolare  si  reca  in   La  difesa    chiede  un  nuovo  processo   aula  e  nota  che  la  cache  file   in  quanto  la  prova  non  era  stata   con?ene  file  pornografici  e   acquisita  correNamente  e  il  computer   avvisa  il  preside   era  infeNo  (mousetrapping)   20/10/04   01/06/08  
  12. 12. Il  caso  Amero:  Mousetrapping  and  Pagejacking  Il  Mousetrapping  e  il  Pagejacking  sono  par?colare  tecniche  di  DNS  hijacking,  in   forza   della   quale   alcuni   si?   web   traNengono   i   propri   visitatori   lanciando  un’infinita  serie  di  pop-­‐up.     Il  processo  è  stato  revisionato,  in  quanto:     1)  Julie     è   stata   vicma   di   un   mousetrapping,   probabilmente   generato   dall’u?lizzo  improprio  del  PC  da  parte  del  docente  ?tolare   2)  Non  è  stata  rispeNata  alcuna  procedura  di  digital  forensics  da  parte  degli   inves?gatori   (nessuna   copia   bit   stream   e   l’acvità   di   analisi   effeNuata   tra   il  20  e  il  26  oNobre  non  è  stata  documentata)   3)  L’avvocato   di   Julie   Amero   non   riuscì   a   far   acquisire   la   consulenza   tecnica   della  difesa  effeNuata  sul  computer    
  13. 13. L’alibi  informa=co  (Caso  Garlasco)  Un’ulteriore,   ma   fondamentale   elemento   della   digital   evidence   è  l’alterabilità   e   la   capacità   di   contenere   un   innumerevole   numero   di  informazioni.  Il  caso  di  “Garlasco”  ne  è  un  chiaro  esempio.  Alberto   Stasi   è   stato   assolto   in   primo   grado   dall’accusa   di   omicidio  volontario  della  fidanzata  Chiara  Poggi    
  14. 14. Il  caso  di  “Garlasco”:  l’”alibi  informa=co”   13/08/07   14/08/07   29/08/07   17/12/09  Chiara  Poggi  muore  il   Stasi  consegna   Carabinieri  dopo  aver   Il  Giudice  Vitelli  di  13  agosto  2007  tra  le   volontariamente  il  suo   lavorato  sul  PC  lo   Vigevano  assolve  Stasi  ore  10.30  e  le  ore  12.   PC  ai  Carabinieri   consegnano  ai  RIS   dall’accusa  di  omicidio   -­‐ Stasi  si  sveglia  alle  9     Dalla  perizia  richiesta  dal   -­‐ Telefona  a  Chiara  Poggi   Giudice  emerge  che  Stasi  ha   -­‐ Lavora  alla  tesi   lavorato  alla  tesi  durante   -­‐ Va   a   casa   sua   verso   alle   l’arco  temporale  in  cui  è   13.30   stata  uccisa  Chiara  Poggi     13/08/07   17/03/09  
  15. 15. Inves=gazioni  telema=che:  cri<ografia    Un   classico   metodo   per   nascondere   un   file   è   quello   di   u?lizzare   la  criNografia:    La   criNografia   traNa   delle   "scri<ure   nascoste"   (significato   e?mologico  della  parola)  ovvero  dei  metodi  per  rendere  un  messaggio  "offuscato"  in  modo  da  non  essere  comprensibile  a  persone  non  autorizzate  a  leggerlo.  La   parola   criNografia   deriva   dalla   parola   greca   kryptós   che   significa  nascosto  e  dalla  parola  greca  gráphein  che  significa  scrivere.  La   criNografia   è   la   controparte   della   criNanalisi   ed   assieme   formano   la  criNologia.  
  16. 16. Inves=gazioni  telema=che:  cri<ografia     Decifrare  un  testo  cri<ografato  è  semplice.     Il  problema  è:  in  questo  tempo?      Ad  esempio  una  chiave  di  cifratura  a  20-­‐bit  consente  fino  a  un  milione  di  combinazioni   possibili,   per   cui   con   un   normalissimo   computer   porta?le  che   processa   circa   un   milione   di   operazioni   al   secondo,   il   tempo   di  cifratura  massimo  sarà  addiriNura  inferiore  al  secondo.    TuNavia   con   un   sistema   di   cifratura   con   una   chiave   a   56-­‐bit   lo   stesso  elaboratore   potrebbe   impiegare   fino   a   2285   anni   per   verificare   tuNe   le  combinazioni  possibili.    Per   rendersi   conto   della   complessità   di   tale   operazione   bas?   considerare  che   la   più   diffusa   versione   del   soOware   di   cifratura   PGP   (PreNy   Good  Privacy)  al  momento  aNuale  si  basa  su  una  chiave  di  1024-­‐bit  .  
  17. 17. Inves=gazioni  telema=che:  file  di  log     I   file   di   log   sono   file   che,   registrando   tuNe   le   operazioni   compiute   dall’elaboratore   eleNronico   durante   il   suo   funzionamento,   contengono   rilevan?  informazioni  rela?vi  al  sistema,  compresi  i  servizi  e  le  applicazioni   in  funzione.   In  un  normale  computer  di  casa  coesistono  diversi  ?pi  di  file  di  log:   -­‐   log   di   sistema:   memorizza   gli   even?   significa?vi   che   intercorrono   tra   il   sistema,  come  fornitore  di  servizi  e  le  applicazioni,  come  clien?  dei  servizi   stessi;   -­‐  log  di  applicazione:  molte  applicazioni  prevedono  i  propri  log  su  cui  sono   registra?  even?  caraNeris?ci  dellapplicazione;   -­‐   log   di   base   da=:   in   questo   caso   è   il   sistema   gestore   di   base   da?   che   registra   le   operazioni   faNe   sulla   base   da?   (inserimento,   aggiornamento,   cancellazione  di  record).  
  18. 18. Inves=gazioni  telema=che:  file  di  log  I   file   di   log   hanno   generalmente   la   funzione   di   risolvere   un   determinato  malfunzionamento   del   sistema,   ma   possono   anche   fornire   u?li  informazioni  nel  caso  di  un inves?gazione  telema?ca.  L analisi   dei   file   di   log   sul   computer   vicma   o   sui   server   che   ges?scono   il  traffico   telema?co   transitato   su   una   data   rete,   possono   consen?re  l individuazione  del  soggeNo  che  ha  commesso  l illecito.  
  19. 19. Inves=gazioni  telema=che:  Keylogger    Un  keylogger  è,  nel  campo  dellinforma?ca,  uno  strumento  in  grado  di   interceNare   tuNo   ciò   che   un   utente   digita   sulla   tas?era   del  proprio  computer.  Esistono  vari  ?pi  di  keylogger:  Hardware:  vengono  collega?  al  cavo  di  comunicazione  tra  la  tas?era  ed  il  computer  o  allinterno  della  tas?era                SoOware:  programmi  che  controllano  e  salvano  la  sequenza  di  tas?  che  viene  digitata  da  un  utente.  
  20. 20. Inves=gazioni  telema=che:  data  recovery    1.   Undelete   Plus   è   un   soOware   molto   u?le   per   i   suppor?   removibili   (memorie  USB)    a.  Installare  il  soOware  reperibile  all’indirizzo:      hNp://undelete-­‐plus.com/download.html    b.  Selezionare  l unità  di  cui  si  vuole  scansionare  il  contenuto  cancellato  c.  Provare  a  recuperare  il  file  aNraverso  il  comando  undelete    2.  ANraverso  Win  Hex,  invece,  è  possibile  altresì  conoscere  almeno  il  ?tolo   dei  file  cancella?  a.  Installare  il  soOware  Win  Hex  reperibile  all indirizzo:                             hNp://www.x-­‐ways.net/winhex/    b.  Selezionare  dal  menù  Tools  Open  Disk  e  scegliere  l unità  desiderata  
  21. 21. Inves=gazioni  telema=che  vs  Digital  Forensics:  producibilità  in  giudizio  La  prova  acquisita  aNraverso  delle  generiche  inves?gazioni  telema?che  potrebbe   difficilmente   essere   necessariamente   prodoNa   in   Tribunale  perché  non  viene  dimostrata  la:    1)  Genuinità  (non  alterazione)  2)  Ripe?bilità   INVESTIGAZIONI  TELEMATICHE             DIGITAL  FORENSICS  
  22. 22.  Algoritmo  di  Hash  L impronta  di  Hash  garan?sce  durante  un’analisi  forense  di  suppor?  alterabili  l’intangibilità  dei  da?  in  essi  contenu?.  L’Hash  è  una  funzione  univoca  operante  in  un  solo  senso  (ossia,  che  non   può   essere   inver?ta),   aNraverso   la   quale   viene   trasformato   un  documento   di   lunghezza   arbitraria   in   una   stringa   di   lunghezza   fissa,  rela?vamente  limitata.  Tale   stringa   rappresenta   una   sorta   di   impronta   digitale   del   testo   in  chiaro,  e  viene  deNa  valore  di  Hash  o  Message  Digest.    Se   il   documento   venisse   alterato   anche   in   minima   parte,  cambierebbe   di   conseguenza   anche   l’impronta.   In   altre   parole,  calcolando   e   registrando   l impronta,   e   successivamente  ricalcolandola,   è   possibile   mostrare   al   di   là   di   ogni   dubbio   che   i  contenu?   del   file,   oppure   del   supporto,   abbiano   subito   o   meno  modifiche,  anche  solo  accidentali.  
  23. 23. Algoritmo  di  Hash  La   registrazione   e   la   ripe?zione   costante   del   calcolo   degli   Hash   sui  reper?   sequestra?   cos?tuisce   l unico   metodo   scien=ficamente  valido  per  garan=re  l integrità  e  la  catena  di  custodia  dei  reper=.  La   polizia   giudiziaria,   prima   di   apporre   i   sigilli   al   materiale  informa?co,   ha   il   compito   di   collegare   il   supporto   oggeNo   del  sequestro   ad   un   computer   porta?le   su   cui   dovrà   essere   eseguito   il  comando  che  consente  il  calcolo  dell impronta  di  Hash.    Nella   pra?ca   gli   algoritmi   di   Hash   più   u?lizza?,   sono   l MD2,   Md4,  MD5   e   SHA1;   in   par?colare   il   calcolo   dell algoritmo   MD5   (Message  Digest   5)   permeNe   di   generare   una   stringa   di   128   bit,   mentre  l algoritmo   SHA1   genera   una   stringa   a   160   bit.   L abbinamento   di  ques?   due   algoritmi   dovrebbe   evitare   qualsiasi   contestazione,   anche  se   ul?mamente   sono   sta?   riscontra?   problemi   di   vulnerabilità   che  rendono   assai   più   facile   del   previsto   la   scoperta   di   collisioni   al   suo  interno.    
  24. 24. La  funzione  o   impronta  di  Hash   Uno   dei   tan?   soOware   che   generano   l hash   code   si   trova   al   seguente  indirizzo:  hNp://www.slavasoO.com/zip/fsum.zip       Dopo  aver  installato  il  soOware  è  sufficiente:   •   Andare  su  start/esegui  e  digitare  a:cmd.exe   •   Digitare  fsum  –sha512  *.txt  >  hash.txt     In  questo  modo  si  genererà  il  file  hash.txt  che  conterrà  il  calcolo  di   ogni  singolo  Hash  oNenuto  con  l algoritmo  SHA-­‐512  
  25. 25. Digital  Forensics  Sohware  
  26. 26. Garanzie  dell’indagato  vs  Digital  Forensics:  NY  Times  -­‐  anno  1915   “Scandalo   delle   interce<azioni   telefoniche”   avvenuto   a   New   York   nell’aprile   del   1915,   vede   coinvolto   il   Sindaco   della   ciNà   (John   Mitchell)   che   autorizza   l’interceNazione   a   trentanove   is?tu?   caritatevoli  della  ciNà.     17  aprile  1916,  Arthur  Woods  capo  della  polizia  rese  uno  dei  primi   “accora?   discorsi”   per   gius?ficare   l’importanza   per   le   indagini   di   u?lizzare  strumen?  tecnologici  di  controllo  anche  se  potenzialmente   lesivi  della  privacy.      
  27. 27. Garanzie  dell’indagato  vs  Digital  Forensics:  NY  Times  -­‐  anno  2005   Il   16   dicembre   2005,   il   quo?diano   New   York   Times   pubblicò   un   ar?colo   dal   ?tolo   “Bush   autorizza   lo   spionaggio   telefonico   senza   un   mandato   dei   tribunali”   scriNo   dai   giornalis?   inves?ga?vi   James   Risen   e   Eric   Lichtblau,   che   in   seguito   vinsero   congiuntamente   un   premio   Pulitzer   per   il   loro   reportage   sulle   interceNazioni   illegali   effeNuate  dal  Governo.     L’ar?colo   si   riferisce   all’ordine   presidenziale   del   2002   che   autorizza   la   Na?onal   Security   Agency   ad   effeNuare   interceNazioni   indiscriminate,   telefoniche   o   telema?che,   per   trovare   tracce   del   gruppo  terroris?co  “Al  Qaeda”.  
  28. 28. Garanzie  dell’indagato  vs  Digital  Forensics:  NY  Times  -­‐  anno  2005   L’anno   successivo   si   scopre   che   presso   la   AT&T   di   San   Francisco   è   presente   un   sistema   di   “data   mining”   di   traffico   da?,   equipaggiato   un   sistema   informa?co   denominato   Narus   STA   6400   Divenuta   poi   nota  con  il  nome  di  “Room  641”.                   Tale   acvità   di   interceNazione   era   gius?ficata   dell’”Execu?ve   Order   12333”   emanato   dal   Presidente   Reagan   nel   1981   allo   scopo   di   regolare  tuNe  le  acvità  di  intelligence    a  livello  statunitense.       Nel  2006  Electronic  Fron?er  Founda?on  (EFF)  fa  causa  alla  Na?onal   Security  Agency  (NSA)  senza  successo  in  primo  grado.  
  29. 29. Garanzie  dell’indagato  vs  Digital  Forensics:  programma  “Echelon”  Una   Commissione   temporanea   is?tuita   dal   Parlamento   Europeo   rivelò   al  mondo   nel   luglio   del   2001   l’esistenza   di   “Echelon”,   un   programma   prodoNo  e   ges?to   da   un   gruppo   di   Paesi   coordina?   dagli   Sta?   Uni?,   con   l’obiecvo   di  interceNare  ogni  forma  di  comunicazione  eleNronica  su  base  planetaria.    Nel   2010   il   Governo   inglese   ha   promosso   l’“Intercep?on   Modernisa?on  Programme”.   Un   programma   di   interceNazione   che   prevede   anche   una  specifica   acvità   di   interceNazione   di   contenu?   telema?ci   liberamente  presen?  in  Rete.    La   domanda   è   quella   di   Giovenale,   che   compare   nel   frontespizio   del  rapporto   su   “Echelon”   della   Commissione   temporanea   del   Parlamento  europeo:  quis  custodiet  ipsos  custodes?  
  30. 30. Garanzie  dell’indagato  vs  Digital  Forensics:  Legge  Nord  WesmAlia  q  La  Germania  ha  introdoNo  il  20  dicembre  2006  un  emendamento   alla   legge   sulla   protezione   della   Cos?tuzione   nel   Nord   Reno-­‐ Wes•alia  che  consen?va  l’accesso  segreto  a  sistemi  informa?ci  e   il   monitoraggio   segreto   della   Rete   aNraverso   sistemi   keylogger   installa?  in  forma  di  trojan  horse  q  La  Corte  Cos?tuzionale  tedesca  il  27  febbraio  2008  ha  dichiarato   incos?tuzionale   tale   emendamento   sostenendo   che   violava   il   “diri<o  alla  riservatezza  ed  alla  integrità  dei  sistemi  informa=ci”  
  31. 31. Garanzie  dell’indagato  vs  Digital  Forensics:  Cass.  Pen.  14  o<obre  2009  q  La   Corte   di   Cassazione   ha   ritenuto   legicmo   il   decreto   del   Pubblico  Ministero,  che  ai  sensi  dell’art.  234  c.p.p.,  ha  consen?to   l’acquisizione   in   copia   aNraverso   l’installazione   di   un   captatore   informa?co   della   documentazione   informa?ca   memorizzata   nel   personal   computer   in   uso   all’imputato   e   installato   presso   un   ufficio  pubblico  ritenendo  per  di  più  ripe?bile  tale  aNo.  
  32. 32. Garanzie  dell’indagato  vs  Digital  Forensics:  Caso  Boucher  q  Sebas?en  Boucher  viene  trovato  alla  fron?era  tra  Canada  e  Sta?   Uni?  con  un  computer  acceso  con  immagini  pedopornografiche  q  Il  suo  hard  disk  è  criNografato  e  una  volta  spento  la  polizia  non  è   più  in  grado  di  riavviarlo  q  La   Grand   Jury   ordina   all’indagato   di   rivelare   la   password   di   cifratura  (DICHIARAZIONE  AUTOINDIZIANTE)  q  Il   Giudice   Federale   del   Vermont   (Niedermeier)   annulla   tale   ordine  in  quanto  in  violazione  con  il  quinto  emendamento  
  33. 33. Data  reten=on  vs  Date  check  
  34. 34. Grazie  per  l’aNenzione   Giuseppe  Vaciago   Mail:  giuseppe.vaciago@studiovaciago.it   Blog:  h=p://infogiuridica.blogspot.it   Web:  www.studiovaciago.it     Linkedin:  h=p://it.linkedin.com/in/vaciago    

×