LA PROVA INFORMATICA NEL PROCESSO PENALE - Aspetti Tecnici e Giuridici
Se il bit diventa strategia: tra Cybercrime, Cyberwar e Battlefiled Forensic
1.
2. S A NO TOP SECRETS
ES
EM
PR troppi
Luoghi comuni
Fantasia
cinema
3. ie ld 2 maggio 2011
f ic
le s I Navy Seal irrompono nel compound
tt n
a re
di Osama bin Laden ad Abbotabad (Pakistan).
L'obiettivo primario viene ucciso nell'azione.
b o
f I soldati si attardano per circa 40 minuti sul luogo dell'azione
recuperando, computer, memory
stick e documenti.
4. ld Ne
ie
f ic ws
le s
tt n ??
a re
b o
1- E' la prima volta che i militari
dedicano attenzione ai media digitali ? Alle “evidence” in
f generale ?
2- Qual'è l'utilizzo che verrà fatto delle informazioni ?
3- Quali sono le procedure ed i protocolli adottati per
raccogliere le “evidence” ?
5. ie ld Nasce la Battlefiled Forensic, volta a
f ic
le s
stabilire i fatti verificatisi sul campo di
tt n
battaglia.
chi, cosa, dove, quando, perchè
a re
b o (five W: Who, what, where, when, why)
f È necessaria ?
Fornisce elementi di informazione all'intelligence operativa
- influenzando lo svolgimento delle operazioni sul campo;
- consentendo azioni di contrasto;
Consente di motivare azioni e reazioni (rispetto ROE,
CAVEAT)
Permette di indagare gli autori di crimini contro l'umanità.
7. ld Digital evidence ?
ie ....where?
f ic
le s
tt n
a re
Le forze sul terreno hanno la necessità di
b o comunicare, con continuità, con le strutture di comando e tra loro:
f -
-
-
ordini;
report;
richieste logistiche;
- richieste di intervento (assetti
specialistici, counter ED, 3a dimensione, genio, ecc...);
Senza scordare che forze irregolari potrebbero avere un
addestramento incompleto ed esser prive del concetto di riserbo e
riservatezza, causando una perdita informativa (abbandono foto,
documenti, memorie di massa, filmati per documentare/rivendicare
azioni terroristiche), o utilizzino impropriamente social network,
posta elettronica, cellulari, radio non criptate, ecc..
8. ie ld Nell'era digitale, l'analisi dei media digitali
f ic
le s
usati, dei dati in essi contenuti, consente di
ricostruire:
tt n
a re
- eventi;
- contatti;
b o - collegamenti;
f - vie di approvvigionamento (soldi,
equipaggiamenti, uomini, ecc..)
ricostruendo il network criminale
9. ld
Acquisizione evidence digitali
ie
f ic
le s
Quali Limiti ?
tt n
a re Dovuti a specificità
b o - dell'ambiente in cui si opera
f (naturale, condi meteo, stagione
presenza/contatto con il nemico);
- dei task da svolgere;
- della tipologia di movimento
e dei mezzi di movimento ;
- dell'equipaggiamento;
10. ie ld Esempio 1
f ic
le s Colpo di mano:
tt n
a re
- infiltrazione in territorio ostile via elicottero;
b o - bivacco.;
- attivazione OP;
f - acquisizione OBJ;
- azione;
- esfiltrazione;
Operation Red Wing
(http://en.wikipedia.org/
wiki/Operation_Red_Wi
ng)
“Caduta Libera” di
Nicolai Lilin, ed.
Einaudi, p. 190 e succ.
11. ie ld Esempio 2
f ic
le s Cordon & Search:
tt n
a re
Sono operazioni svolte con impiego di forze
b o diversificate e numerose, con assetti
specializzati alle diverse attività (cinturazione,
f ricerca e bonifica, sorveglianza, sicurezza,
ecc..)
Pur non essendo operazioni
speciali sono svolte in un ambiente
“particolare” e comportano un
elevato livello di rischio.
es. 2 luglio 1993 Mogadiscio:
Operazione Canguro 11
Checkpoint Pasta.
12. ie ld Procedure operative
f ic
le s L'esigenza di codificare
tt n
a re
le procedure operative e di
intervento nell'ambito della
b o ricerca di “evidence” digitali è
f chiaramente percepita.
Le forze armate USA hanno cercato
di standardizzare metodiche e
procedure. La Joint Special
Operations University (JSOU) nel
2009 pubblica:
“Information Warfare:
Assuring Digital Intelligence
Collection” - William G. Perry
http://www.globalsecurity.org/military/librar
y/report/2009/0907_jsou-paper-09-1.pdf
13. ie ld QUALI OPERATORI ?
f ic
le s
“STRATEGIC UTILIZATION OF NORWEGIAN
tt n
SPECIAL OPERATIONS FORCES” by Kjetil Mellingen
a re
b o
f
Giugno 2010 - NAVAL
POSTGRADUATE SCHOOL
MONTEREY, CALIFORNIA
http://dodreports.com/pdf/ada5
24701.pdf
14. ie ld Quindi ?
f ic
le s Esigenze:
Esperienze operative:
tt n
a re
Intelligence, investigative,
legali
Quando, come,
b o dove sono state
reperite evidence
f digitali ?
Tipologia
Problematiche tecniche: di missione ?
in loco/azione Problematiche
operative ?
nell'analisi successiva
Evitabili a fronte di Procedure,
operazioni differenti metodiche, standard
operativi, best
practices
15. r
e e wha t's ?
b r
y fa Spionaggio
C r
W a Computer Network
Cyber attacks
operation GuErra di
informazione
Cyber crime
Infrastrutture critiche
Electronic warfare
terrorismo
Advanced persistent threat
16. r
e e Target !
b r
y fa
C r Società globalizzata: industria,
W a comunicazioni,
ricerca, servizi sociali,
finanziari, strutture
commercio,
enti governativi,
sanitarie,
infrastrutture energetiche
on the net
Le FFAA, FFPP, gli assetti d'intelligence, devono acquisire e
mantenere la superiorità, supremazia ed iniziativa d'azione in rete ai
fini di tutelare gli interessi e la sicurezza della nazione.
Conservare la libertà di movimento, azione in rete, la gestione dei
servizi essenziali (infrastrutture critiche), proteggendo interessi
nazionali in rete.
17. r UN NUOVO DOMINIO
e e
b r
y fa Una nuov dimensione
a
C r Dopo terra, aria, mare e spazio...
W a..... il cyberspazio
di manovra per
di polizia e per
una nuova area
le forze armate,
gli assetti dell'
intelligence.
Non è guerra elettronica (EW):
- differente il mezzo da colpire:
- differenti gli strumenti;
non è guerra di informazione (pg.2 Air Force Doctrine Document 3-12, 15
July 2010):
- consente (come tutti gli altri domini) di fornire informazioni
- può essere parte dell' Information Warfare, come delle PSYOPS
18. r Quali possibilita' ?
e e
b r
y fa
C r Computer Network Operation (CNO)
- attack: distruzione delle strutture di rete avversarie;
W a - defence: proteggere, monitorare, analizzare la
propria rete per riconoscere, individuare,
rispondere ad attacchi, intrusione, ecc...;
- exploitation: accesso a dati avversari attraverso la
violazione di reti/sistemi avversari;
Prendere parte alle operazioni di guerra psicologica
(PSYOPS) agendo sulle informazioni fornite agli
utenti della rete, pilotandone opinioni, emozioni,
orientamenti.
19. r
e e in definitiva
b r
y fa
C r
W a “Dio creò gli uomini diversi.
Il signor Colt li rese uguali.”
Possiamo dire che il Cyberspace è
un sistema d'arma (operatore +
Strumento) che consente di
perseguire OBJ altamente
remunerativi a costi inesistenti,
essendo il mezzo (la rete) accessibile
a chiunque, ovunque, in tempo reale,
permettendo a qualunque nazione, movimento, individuo, uno
sproporzionato incremento del fattore efficacia.
20. r Chi e' l'avversario ?
e e
b r
y fa
C r - Lone Hacker;
- Script Kids;
W a - Antagonisti, movimenti di protesta (Anonymous,
LulzSec, .....)
- Industrie concorrenti;
- Terroristi;
- Paesi/blocchi contrapposti;
Cybercrime Hacktivismo Spy Ind. Cyberwararfare
A spot Protesta APT Strategia lungo
breve termine Evento termine
silenzioso rivendica silenzioso silenzioso
23. r
e e ARE WE READY ??
b r
y fa
C r (AGENPARL) - Roma, 22 giu - 'Cybercooperation,
cyberwarfare and cybersecurity on the eve of 21st Century' è il
W a titolo della conferenza, organizzata dal Centro Studi Sviluppo
Relazioni per la sicurezza Tts presso Sala Capitolare del Senato della
Repubblica.....
.... Interverranno: Jart Armin, analista Sigint esperto di cybercrime
presso la Fondazione CyberDefCon; Luisa Franchina, direttore della
Segreteria per le Infrastrutture critiche, Presidenza del Consiglio dei
Ministri; Raoul Chiesa, ethical hacker e esperto di sicurezza
informatica. ....
........ "L'Italia - spiega il senatore Esposito - è impreparata
mentalmente e strutturalmente ad affrontare gli attacchi informatici
alle sue infrastrutture digitali. Occorre al più presto una cabina di
regia che coordini, con il livello politico, la difesa informatica presso
la Presidenza del Consiglio, ispirata a qualche modello già adottato
da altri stati sensibili a questo problema. C'è anche un'altra carenza
italiana: manca un centro di raccolta dei dati sugli attacchi. L'Italia
non può devolvere la propria sovranità agli Usa o alla Nato".
24. r
e e ARE WE READY ??
b r
y fa
C r Gabriele Cicognani - Il tassello mancante (19/01/2011)
[http://www.matteocavallini.com/2011/01/gabriele-cicognani-il-tassello-mancante.html]
W a “Se l’amministrazione della Difesa è stata in grado di adeguare le
proprie capacità di difesa cibernetica (ma non di attacco) in adesione
alle direttrici disegnate in ambito NATO .....”
Gabriele Cicognani, Maggiore
della Guardia di Finanza in
forza ai Reparti Speciali del
Corpo, è in posizione di
comando presso DigitPA (già
Centro Nazionale per
l’Informatica nella Pubblica
Amministrazione), dove è
responsabile del Computer
Emergency Response Team del
Sistema Pubblico di
Connettività (CERT-SPC).
25. r A chi lo faccio fare ?
e e
b r
y fa
C r
W a
“STRATEGIC UTILIZATION
OF NORWEGIAN SPECIAL
OPERATIONS FORCES”
by Kjetil Mellingen
26. r
e e
b r
y fa ESEMPIO 1
C r Stuxnet: colpisce i sistemi Scada iraniani. USA & Israele ??
W a
Virus – by
Patric Clair
http://vimeo.co
m/25118844
27. r
e e
b r
y fa ESEMPIO 2
C r Giugno 2011:
W a Poderoso attacco di phishing contro centinaia di utenti Gmail,
presi di mira funzionari governativi USA, attivisti cinesi,
personale militare e giornalisti.
Google identifica l'origine dell'attacco in indirizzi IP cinesi.
La Cina glissa. Gli USA non reagiscono.
http://krebsonsecurity.com/2011/06/spotting-web-based-email-attacks/
Ma chi è il colpevole? Alcuni paesi minacciano di reagire a
cyber attacchi con operazioni militari Be Careful
tradizionali. When
Marcus Ranum: Dangerous Cyberwar Rhetoric
Collecting
http://blog.iansresearch.net/2011/08/cyberwar-rhetoric-.html Evidence
28. r ESEMPIO 3
e e
b r
y fa
C r Operation Cupcake:
W a USA e UK pianificano
separate operazioni
“Cyber Command chief
Lt. General Keith Alexander
argued the mag was a danger to
troops and in need of a
takedown”
La Cia blocca l'operazione “argued that it would expose sources and
methods and disrupt an important source of intelligence”
...che viene compiuta dall'MI6 britannico
http://www.telegraph.co.uk/news/uknews/terrorism-in-the-uk/8553366/MI6-attacks-al-Qaeda-in-
Operation-Cupcake.html
29. r ESEMPIO 4
e e
b r
y fa LulzSec Vs NATO e-book shop:
C r
W a
30. r ESEMPIO 5
e e
b r
y fa Antisec Vs Booz Allen Hamilton:
C r
W a
BASE64-ENCODED SHA HASH
echo -n PASSWORD | openssl dgst -sha1 -binary | openssl enc -base64
31. r Conclusioni (ipotetiche)
e e ESEMPIO 4/5
b r
y fa
C r Information gathering, profiling, furto di identità,
W a invio malware e phishing da mailbox trusted .........
.... e molto, molto altro !
32. r DALl'uso strategico
e e
b r
y fa ALL'uso T TTICo
A
C r
a o
W tr o
- Mappare la rete
avversaria
a tiv
te a
- Monitorarne le
comunicazioni
in er - Seguirne i movimenti
o p
- Fornire info ingannevoli
CIRCOSCRIVENDO
L'AREA
D'AZIONE
33. r
e e
b r
y fa
poisoning
C r Attività militari tradizionali:
a o
W tr o - vigilanza/interdizione;
a tiv
te a
- ricognizione e monitoraggio;
in er volte ad isolare la parte avversa (istruisci, informi,
coinvolgi, stimoli, migliori le condizioni di vita,
o p aggreghi la massa):
- PSYOPS (Operazioni Psicologiche);
- CIMIC (Cooperazione Civile Militare);
- PI (Pubblica informazioni)
Offrono le occasioni per immettere “sonde” nel tessuto
sociale, veicolandole verso la struttura avversaria.
34. r Differenza dall'obj
e e
b r
y fa In T.N.
C r
a o
W tr o
L'attività investigativa su territorio nazionale richiede
“l'acquisizione” di uno specifico obj, da profilarsi per
a tiv
te a
“attagliare” approccio, esca, intrusione.
in er In zona di operazioni non è indispensabile “acquisire”
l'obj puntiforme, quanto arrivare a contatto con
o p l'obiettivo, intendendo con esso la rete, la struttura
informatizzata avversaria, i suoi nodi periferici per
ricostruirla, mapparla, monitorarla.
35. Grazie
per l'attenzione
“All hackers are ethical.
But their ethics might not always match yours.”