1.
INFORMATICA COME SCIENZA FORENSE
IL CONSULENTE TECNICO INFORMATICO NEL PROCESSO
ONIF, 2016
Roma

2.
La Digital Forensics è la disciplina scientifica che serve per identificare, acquisire ed
analizzare una fonte di prova digitale, preservandola da eventuali alterazioni.
Scientifica: ripetibile (Galileo Galilei)
è la modalità tipica con cui la scienza procede per raggiungere una conoscenza
della realtà oggettiva, affidabile, verificabile e condivisibile. Esso consiste, da una
parte, nella raccolta di evidenza empirica e misurabile attraverso l'osservazione e
l'esperimento; dall'altra, nella formulazione di ipotesi e teorie da sottoporre
nuovamente al vaglio dell'esperimento.
POPPER: ciò che conta di una teoria scientifica non è la sua genesi soggettiva, ma
il fatto che essa sia espressa in forma criticabile e falsificabile sul piano oggettivo.
Fonte di prova: deve garantire il suo uso in tribunale
DEFINIZIONE
2ONIF - Roma 2016

3.
• Autenticità: il dato proviene dalla fonte informativa
presunta?
• Integrità: il dato è stato conservato inalterato?
• Veridicità: il dato è interpretato in maniera corretta?
• Completezza: sono stati raccolti tutti i dati relativi
all’informazione rilevante?
• Legalità: il dato è stato raccolto secondo le disposizioni della
legge?
DEFINIZIONI
4ONIF - Roma 2016

4.
• Tali proprietà sono quindi requisiti atti a fornire al dato la
predetta capacità di resistenza
Digital Evidence
• “Qualsiasi informazione con valore probatorio generata,
memorizzata o trasmessa in un formato digitale”
• Il dato diventa un’informazione che rappresenta - o più di
avvicina a rappresentare - il vero
Scientific Working Group on Digital Evidence (1998)
DEFINIZIONI
5ONIF - Roma 2016

5.
• Un insieme di conoscenze processo collettivo e continuativo
atto a rappresentare il “mondo” in modo affidabile
consistente e non arbitrario
• Il metodo scientifico è necessario, per descrivere
oggettivamente le metodologie utilizzate per raggiungere
certi risultati, anche di fronte a scenari mai affrontati prima o
con scarsa documentazione.
• L’obiettivo finale è quindi la verità, la realtà oggettiva.
Wolf S. (2002) “Introduction to scientific method”, http://teacher.pas.rochester.edu/phy_labs/AppendixE/AppendixE.html
SCIENZA
6ONIF - Roma 2016

6.
• Nelle scienze ci sono delle leggi ormai dimostrate e
consolidate.
• Nell'informatica pure, ma questa ha dei tempi di
cambiamento ed evoluzione molto più rapidi e relativi ad una
moltitudine di tecnologie, applicazioni, sistemi, ecc.
• Consegue che spesso ci si ritrova di fronte all'ignoto ed al
“bizzarro”
SCIENZA e MONDO DIGITALE
7ONIF - Roma 2016
hard disk
pendrive
cd-rom
ecc.
cloud
crittografia
SSD
telefoni
ecc.

7.
Nel forense si deve garantire che una fonte di prova sia valida e
inoppugnabile, per raggiungere questo target si utilizza il metodo
scientifico.
» “metodo scientifico impronte”
» “Metodo scientifico DNA”
“balistica” metodo scientifico
balistica
foto
wikipedia
LA SCIENZA FORENSE
9ONIF - Roma 2016

8.
LA SCIENZA FORENSE
PERCEZIONE DEL
“metodo scientifico computer”
10ONIF - Roma 2016
LO SMANETTONE!

9.
La legge 48/2008 in Italia, impone alcune cautele nell'analisi dei reperti digitali,
proprio come avviene di solito con i reperti “classici”, come le armi, le impronte
digitali, ecc. ecc
.
La difficoltà principale è data dal fatto che il reperto digitale è immateriale, non è
unico, può essere “clonato” infinite volte, è presente in dei contenitori software o
hardware, a volte è volatile, ossia non persistente, può esser di diverse tipologie,
quindi non analizzabile dagli strumenti attuali, può esser coperto da segreto
industriale, può necessitare di azioni d'ingegneria inversa e tanto altro ancora.
Pertanto, la digital forensics o informatica forense, è una disciplina che è in
costante evoluzione e con delle regole di massima da seguire, ma non potrà mai
coprire tutte le casistiche che si potranno presentare, quindi si dovrà adottare
una strategia scientifica al fine di razionalizzare ogni azione compiuta nel
trattamento delle evidenze digitali.
LA SCIENZA FORENSE
11ONIF - Roma 2016

10.
Non bisogna esser rigidi e cullarsi sulle procedure e i mezzi conosciuti, bisogna
evitare di diventare dei “push the button forensic expert”, infatti spesso può
capitare di trovarsi di fronte a reperti che dovrebbero poter esser acquisiti o
analizzati in modo standard, ma per una serie di motivi non si riesce, come ad
esempio:
software forense che non mantiene ciò che promette;
reperto non funzionante;
situazione particolare che non permette certe procedure;
reperti “esotici”;
mancanza di documentazione;
In questi casi, si naviga in acque sconosciute e allora bisogna adattarsi, inventare,
documentarsi e riuscire ad acquisire ed analizzare, mantenendo la rigorosità
scientifica.
Ricordiamoci che “copia ad uso forense”, non significa necessariamente e
rigidamente una copia bit a bit di qualsiasi cosa, ma è una copia di dati che
deve garantire l'uso in tribunale, quindi deve avere delle motivazioni razionali
per cui è stata creata in un certo modo.
LA SCIENZA FORENSE
12ONIF - Roma 2016

11.
A questo scopo serve ragionare, formulare delle ipotesi, verificarle con dei sistemi
simili per poter sperimentare in sicurezza, confrontarsi con altri esperti, cercare
bibliografia e documentazione ufficiale e scientifica, realizzare dei nuovi
strumenti, fornire il codice sorgente, insomma scrivere un documento in cui si
spieghi il perché si è dovuto agire in un certo modo, chi ha agito, quindi se aveva
competenze acclarate per farlo, quali sono i limiti, quanto la procedura adottata
ha inciso sul reperto, che conseguenze ha avuto, se è noto il tasso d'errore e se
c'è della documentazione che giustifichi in tutto o in parte la procedura.
Quanto descritto è una fusione tra le regole enunciate dall'ACPO (Association of
Chief Police Officers ) del 1999 ed il test di Daubert (2003).
LA SCIENZA FORENSE
13ONIF - Roma 2016

12.
Principi dell'ACPO:
Principio 1: Nessuna azione intrapresa dalle forze dell'ordine o dai loro agenti
dovrebbe cambiare i dati memorizzati su uno dei supporti informatici o di
archiviazione che successivamente possono essere fatti valere in tribunale.
Principio 2: In circostanze eccezionali, quando una persona si trova nella
necessità di accedere ai dati originali conservati su un computer o su supporti
di memorizzazione e che tale persona sia competente a farlo ed essere in
grado di testimoniare e spiegare la rilevanza e le implicazioni delle loro azioni.
Principio 3: Il metodo adottato o altri documenti di tutti i processi applicati alla
raccolta delle evidenze elettroniche deve essere creato e conservato. Una terza
parte indipendente deve essere in grado di esaminare i processi e ottenere lo
stesso risultato.
Principio 4: Il responsabile delle indagini ha la responsabilità generale di
assicurare che il diritto e tali principi siano rispettati.
LA SCIENZA FORENSE
14ONIF - Roma 2016

13.
Test di Daubert:
La procedura/strumento:
* Verifica empirica: se la teoria o la tecnica è falsificabile, confutabile e / o
verificabile è stata testata in maniera indipendente?
* Se è stato sottoposto a peer review e a pubblicazione.
* Se è noto il tasso d'errore
* L'esistenza e il mantenimento di norme e controlli per il suo funzionamento.
* Il grado in cui la teoria e la tecnica è generalmente accettato da una comunità
scientifica pertinente.
Quindi in una perizia tecnica informatica si dovrebbe dettagliare tutte le procedure
adottate e fornire tutti i mezzi necessari a riprodurla e avere le due descrizioni,
quella tecnica e quella divulgativa al fine di rendere comprensibile il tutto ai non
tecnici che affollano l'aula di un tribunale.
Infine, si dovrebbe corredare sempre con rilievi fotografici, laddove possibile,
bibliografia attendibile, software attendibile e non lasciare tutto
all'immaginazione o al caso.
LA SCIENZA FORENSE
15ONIF - Roma 2016

14.
Un esempio pratico di come il metodo scientifico sia stato utile in una causa
legale è il caso:
Nucor Corp v. Bell, 2008 WL 4442571 (D.S.C. Jan. 11, 2008) nel quale un digital
forensics expert affermò che l'indagato aveva utilizzato un programma che
effettuava il wiping (cancellazione sicura) dei dati dall'hard disk del suo
computer, al fine di eliminare ogni prova digitale.
La Corte negò la mozione di rigettare l'ipotesi del perito informatico, perché
quest'ultimo riuscì, rifacendosi alla procedura di Daubert, a dimostrare la
perfetta coincidenza dei dati risultanti dal proprio esperimento ripetibile,
con quelli che apparivano sull'hard disk dell'indagato, quindi tutta la
procedura era testabile e ripetibile e questo colmava il divario tra la
semplice “opinione” e la verifica scientifica.
LA SCIENZA FORENSE
16ONIF - Roma 2016

15.
L'IMPORTANZA DELLA BIBLIOGRAFIA UFFICIALE
LA KNOWLEDGE SHARING
L'AFFIDABILITà DEGLI STRUMENTI SW/HW
LA FORMAZIONE DEL CONSULENTE INFORMATICO FORENSE
LA SCIENZA FORENSE
17ONIF - Roma 2016

16.
• La condizione necessaria ma NON sufficiente è che l'esperto abbia
la cultura di base giusta, sappia scrivere e parlare, sappia divulgare
e sappia applicare il metodo scientifico, conosca l'inglese, abbia una
cultura informatica vasta ed orizzontale Le competenze non fanno
l'esperto, ma servono da basi solide, ma non determinano la
correttezza della perizia.
• In sostanza non è detto che un ingegnere costruisca bene una casa,
ma voi affidereste la costruzione di casa vostra ad uno che non è
ingegnere edile?
foto
wikipedia
L’ESPERTO
21ONIF - Roma 2016

17.
Possibili criteri
• capacità di comunicazione e gestione del digital divide
• l’esperto non giudica
• non accusa
• non difende
• codice etico
Un esperto in digital forensics è orientato a ricostruire al meglio
la verità, sulla base della quale avvocati/magistrati/etc possano
decidere al meglio.
Scientific Working Group on Digital Evidence (1998)
CRITERI
22ONIF - Roma 2016

18.
NESSUNO
Chi ha delle pubblicazioni online/offline
Chi ha un C.V. qualificante
Chi sviluppa sw. Digital forensics
Chi conosce i sw e hw della digital forensics
Chi conosce leggi e metodologie della digital
forensics
CHI È IL DIGITAL FORENSICS EXPERT
23ONIF - Roma 2016

19.
 cracking di password complesse con la semplice
pressione compulsiva di tasti
 recuperare file cancellati con velocità inimmaginabile
 riconoscimenti facciali
 accessi a tutte le reti e database del mondo
 analisi di qualsiasi telefonino, contenuti decriptati al volo
 Zoom esagerati!
LE BUFALE INFORMATICHE
24ONIF - Roma 2016

20.
NEI FILM È COSÌ
25ONIF - Roma 2016

21.
NELLA REALTÀ È COSÌ
26ONIF - Roma 2016

22.
Che bello sarebbe lanciare un programmino che in pochi minuti trova
la password di un file criptato o l'accesso ad un sito web, a un
firewall, a un PC o altro.
"... ah... codice criptato a 128 bit... difficile... ma non per me!" ed in
meno di 30 secondi lo ha gia' scardinato...
Ehmmm.....
PASSWORD CRACKING
27ONIF - Roma 2016

23.
In molti film fanno vedere come alcuni hacker o forze dell'ordine
riescano ad accedere ovunque, si collegano alle reti di ogni Ente,
azienda, ecc., in tempo reale. Ma è possibile?
In alcuni casi proprio no, perché non tutti i sistemi sono raggiungibili
da Internet: alcune reti infatti sono delle LAN senza affaccio sulla
Rete né tantomeno raggiungibili via Web. Alcune di queste reti a volte
possono essere collegate a computer che a loro volta hanno un
accesso a Internet, ma anche in questi casi l'accesso è quasi
impossibile, e di certo non si ottiene in quattro e quattr'otto come si
vede al cinema.
Non esistono database in rete di tutto, dalle moquette dei tappetini
delle auto, alle marche di bulloni...in Italia solo ora, pare, stiano
costruendo la banca dati del DNA!!!!
RETI
28ONIF - Roma 2016

24.
E ancora, i telefonini spenti non comunicano con le celle, e non si possono
usare per intercettazioni ambientali a meno che non siano opportunamente
modificati via software o hardware. I cellulari accesi invece si possono
usare come microspie, se sotto intercettazione o infettati, altrimenti non c'è
modo, specialmente da parte di privati, di agganciarsi al telefonino di Tizio e
sentire i fatti suoi senza averlo mai infettato con qualcosa.
Gli SMS non vengono conservati dai gestori telefonici, infatti quest'ultimi
forniscono solo i tabulati di mittente, destinatario, data ed ora, ma non il
testo del messaggio, anche se ci sarà sempre un "qualcuno” che ha un
"amico" nella Telecom che dirà il contrario.
TELEFONI
29ONIF - Roma 2016

25.
Fonte:
http://imgur.com/dnfe6JO
SUPER ZOOM
30ONIF - Roma 2016

26.
Fonte:
http://imgur.com/dnfe6JO
TODO
31ONIF - Roma 2016

27.
Insomma la digital forensics è spesso lenta e noiosa, e si scontra
sovente contro le limitazioni tecnologiche degli strumenti e delle
conoscenze: i sistemi proprietari sono in aumento, i sistemi
crittografici sempre più diffusi, i dati viaggiano sulle "nuvole" e
sono in mano a Big Company dislocate su tutto il globo, ma
l'effetto CSI e l'ignoranza informatica permettono di accettare
qualunque cosa, creando richieste assurde da parte di chi si
rivolge al digital forensics expert. Si pensa che tutto è possibile,
tutto è veloce e non ci sono differenze tra sistemi operativi,
hardware, reti e quant'altro, è tutto "informatica".
CONCLUSIONI
32ONIF - Roma 2016

28.
Chiudo ricordando la super-chicca di
"Indipendence Day" (R. Emmerich 1996) film nel
quale si sviluppa un virus su un Mac, lo si carica
sull'astronave madre degli alieni invasori e
funziona. Strano che nel mondo reale un virus per
Windows non funzioni su Mac o Linux e viceversa,
ma poi si riesca a scrivere un virus per un
computer alieno.
CONCLUSIONI
33ONIF - Roma 2016