Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.
INFORMATICA COME SCIENZA FORENSE
IL CONSULENTE TECNICO INFORMATICO NEL PROCESSO
ONIF, 2016
Roma
La Digital Forensics è la disciplina scientifica che serve per identificare, acquisire ed
analizzare una fonte di prova di...
• Autenticità: il dato proviene dalla fonte informativa
presunta?
• Integrità: il dato è stato conservato inalterato?
• Ve...
• Tali proprietà sono quindi requisiti atti a fornire al dato la
predetta capacità di resistenza
Digital Evidence
• “Quals...
• Un insieme di conoscenze processo collettivo e continuativo
atto a rappresentare il “mondo” in modo affidabile
consisten...
• Nelle scienze ci sono delle leggi ormai dimostrate e
consolidate.
• Nell'informatica pure, ma questa ha dei tempi di
cam...
Nel forense si deve garantire che una fonte di prova sia valida e
inoppugnabile, per raggiungere questo target si utilizza...
LA SCIENZA FORENSE
PERCEZIONE DEL
“metodo scientifico computer”
10ONIF - Roma 2016
LO SMANETTONE!
La legge 48/2008 in Italia, impone alcune cautele nell'analisi dei reperti digitali,
proprio come avviene di solito con i ...
Non bisogna esser rigidi e cullarsi sulle procedure e i mezzi conosciuti, bisogna
evitare di diventare dei “push the butto...
A questo scopo serve ragionare, formulare delle ipotesi, verificarle con dei sistemi
simili per poter sperimentare in sicu...
Principi dell'ACPO:
Principio 1: Nessuna azione intrapresa dalle forze dell'ordine o dai loro agenti
dovrebbe cambiare i d...
Test di Daubert:
La procedura/strumento:
* Verifica empirica: se la teoria o la tecnica è falsificabile, confutabile e / o...
Un esempio pratico di come il metodo scientifico sia stato utile in una causa
legale è il caso:
Nucor Corp v. Bell, 2008 W...
L'IMPORTANZA DELLA BIBLIOGRAFIA UFFICIALE
LA KNOWLEDGE SHARING
L'AFFIDABILITà DEGLI STRUMENTI SW/HW
LA FORMAZIONE DEL CONS...
• La condizione necessaria ma NON sufficiente è che l'esperto abbia
la cultura di base giusta, sappia scrivere e parlare, ...
Possibili criteri
• capacità di comunicazione e gestione del digital divide
• l’esperto non giudica
• non accusa
• non dif...
NESSUNO
Chi ha delle pubblicazioni online/offline
Chi ha un C.V. qualificante
Chi sviluppa sw. Digital forensics
Chi conos...
 cracking di password complesse con la semplice
pressione compulsiva di tasti
 recuperare file cancellati con velocità i...
NEI FILM È COSÌ
25ONIF - Roma 2016
NELLA REALTÀ È COSÌ
26ONIF - Roma 2016
Che bello sarebbe lanciare un programmino che in pochi minuti trova
la password di un file criptato o l'accesso ad un sito...
In molti film fanno vedere come alcuni hacker o forze dell'ordine
riescano ad accedere ovunque, si collegano alle reti di ...
E ancora, i telefonini spenti non comunicano con le celle, e non si possono
usare per intercettazioni ambientali a meno ch...
Fonte:
http://imgur.com/dnfe6JO
SUPER ZOOM
30ONIF - Roma 2016
Fonte:
http://imgur.com/dnfe6JO
TODO
31ONIF - Roma 2016
Insomma la digital forensics è spesso lenta e noiosa, e si scontra
sovente contro le limitazioni tecnologiche degli strume...
Chiudo ricordando la super-chicca di
"Indipendence Day" (R. Emmerich 1996) film nel
quale si sviluppa un virus su un Mac, ...
Upcoming SlideShare
Loading in …5
×

Informatica come Scienza Forense - ONIF

2,004 views

Published on

Slide utilizzate durante la conferenza “Il consulente tecnico informatico nel processo”, organizzata dall'Osservatorio Nazionale d'Informatica Forense, tenutasi a Roma il 28 aprile 2016.

Published in: Technology
  • Be the first to comment

  • Be the first to like this

Informatica come Scienza Forense - ONIF

  1. 1. INFORMATICA COME SCIENZA FORENSE IL CONSULENTE TECNICO INFORMATICO NEL PROCESSO ONIF, 2016 Roma
  2. 2. La Digital Forensics è la disciplina scientifica che serve per identificare, acquisire ed analizzare una fonte di prova digitale, preservandola da eventuali alterazioni. Scientifica: ripetibile (Galileo Galilei) è la modalità tipica con cui la scienza procede per raggiungere una conoscenza della realtà oggettiva, affidabile, verificabile e condivisibile. Esso consiste, da una parte, nella raccolta di evidenza empirica e misurabile attraverso l'osservazione e l'esperimento; dall'altra, nella formulazione di ipotesi e teorie da sottoporre nuovamente al vaglio dell'esperimento. POPPER: ciò che conta di una teoria scientifica non è la sua genesi soggettiva, ma il fatto che essa sia espressa in forma criticabile e falsificabile sul piano oggettivo. Fonte di prova: deve garantire il suo uso in tribunale DEFINIZIONE 2ONIF - Roma 2016
  3. 3. • Autenticità: il dato proviene dalla fonte informativa presunta? • Integrità: il dato è stato conservato inalterato? • Veridicità: il dato è interpretato in maniera corretta? • Completezza: sono stati raccolti tutti i dati relativi all’informazione rilevante? • Legalità: il dato è stato raccolto secondo le disposizioni della legge? DEFINIZIONI 4ONIF - Roma 2016
  4. 4. • Tali proprietà sono quindi requisiti atti a fornire al dato la predetta capacità di resistenza Digital Evidence • “Qualsiasi informazione con valore probatorio generata, memorizzata o trasmessa in un formato digitale” • Il dato diventa un’informazione che rappresenta - o più di avvicina a rappresentare - il vero Scientific Working Group on Digital Evidence (1998) DEFINIZIONI 5ONIF - Roma 2016
  5. 5. • Un insieme di conoscenze processo collettivo e continuativo atto a rappresentare il “mondo” in modo affidabile consistente e non arbitrario • Il metodo scientifico è necessario, per descrivere oggettivamente le metodologie utilizzate per raggiungere certi risultati, anche di fronte a scenari mai affrontati prima o con scarsa documentazione. • L’obiettivo finale è quindi la verità, la realtà oggettiva. Wolf S. (2002) “Introduction to scientific method”, http://teacher.pas.rochester.edu/phy_labs/AppendixE/AppendixE.html SCIENZA 6ONIF - Roma 2016
  6. 6. • Nelle scienze ci sono delle leggi ormai dimostrate e consolidate. • Nell'informatica pure, ma questa ha dei tempi di cambiamento ed evoluzione molto più rapidi e relativi ad una moltitudine di tecnologie, applicazioni, sistemi, ecc. • Consegue che spesso ci si ritrova di fronte all'ignoto ed al “bizzarro” SCIENZA e MONDO DIGITALE 7ONIF - Roma 2016 hard disk pendrive cd-rom ecc. cloud crittografia SSD telefoni ecc.
  7. 7. Nel forense si deve garantire che una fonte di prova sia valida e inoppugnabile, per raggiungere questo target si utilizza il metodo scientifico. » “metodo scientifico impronte” » “Metodo scientifico DNA” “balistica” metodo scientifico balistica foto wikipedia LA SCIENZA FORENSE 9ONIF - Roma 2016
  8. 8. LA SCIENZA FORENSE PERCEZIONE DEL “metodo scientifico computer” 10ONIF - Roma 2016 LO SMANETTONE!
  9. 9. La legge 48/2008 in Italia, impone alcune cautele nell'analisi dei reperti digitali, proprio come avviene di solito con i reperti “classici”, come le armi, le impronte digitali, ecc. ecc . La difficoltà principale è data dal fatto che il reperto digitale è immateriale, non è unico, può essere “clonato” infinite volte, è presente in dei contenitori software o hardware, a volte è volatile, ossia non persistente, può esser di diverse tipologie, quindi non analizzabile dagli strumenti attuali, può esser coperto da segreto industriale, può necessitare di azioni d'ingegneria inversa e tanto altro ancora. Pertanto, la digital forensics o informatica forense, è una disciplina che è in costante evoluzione e con delle regole di massima da seguire, ma non potrà mai coprire tutte le casistiche che si potranno presentare, quindi si dovrà adottare una strategia scientifica al fine di razionalizzare ogni azione compiuta nel trattamento delle evidenze digitali. LA SCIENZA FORENSE 11ONIF - Roma 2016
  10. 10. Non bisogna esser rigidi e cullarsi sulle procedure e i mezzi conosciuti, bisogna evitare di diventare dei “push the button forensic expert”, infatti spesso può capitare di trovarsi di fronte a reperti che dovrebbero poter esser acquisiti o analizzati in modo standard, ma per una serie di motivi non si riesce, come ad esempio: software forense che non mantiene ciò che promette; reperto non funzionante; situazione particolare che non permette certe procedure; reperti “esotici”; mancanza di documentazione; In questi casi, si naviga in acque sconosciute e allora bisogna adattarsi, inventare, documentarsi e riuscire ad acquisire ed analizzare, mantenendo la rigorosità scientifica. Ricordiamoci che “copia ad uso forense”, non significa necessariamente e rigidamente una copia bit a bit di qualsiasi cosa, ma è una copia di dati che deve garantire l'uso in tribunale, quindi deve avere delle motivazioni razionali per cui è stata creata in un certo modo. LA SCIENZA FORENSE 12ONIF - Roma 2016
  11. 11. A questo scopo serve ragionare, formulare delle ipotesi, verificarle con dei sistemi simili per poter sperimentare in sicurezza, confrontarsi con altri esperti, cercare bibliografia e documentazione ufficiale e scientifica, realizzare dei nuovi strumenti, fornire il codice sorgente, insomma scrivere un documento in cui si spieghi il perché si è dovuto agire in un certo modo, chi ha agito, quindi se aveva competenze acclarate per farlo, quali sono i limiti, quanto la procedura adottata ha inciso sul reperto, che conseguenze ha avuto, se è noto il tasso d'errore e se c'è della documentazione che giustifichi in tutto o in parte la procedura. Quanto descritto è una fusione tra le regole enunciate dall'ACPO (Association of Chief Police Officers ) del 1999 ed il test di Daubert (2003). LA SCIENZA FORENSE 13ONIF - Roma 2016
  12. 12. Principi dell'ACPO: Principio 1: Nessuna azione intrapresa dalle forze dell'ordine o dai loro agenti dovrebbe cambiare i dati memorizzati su uno dei supporti informatici o di archiviazione che successivamente possono essere fatti valere in tribunale. Principio 2: In circostanze eccezionali, quando una persona si trova nella necessità di accedere ai dati originali conservati su un computer o su supporti di memorizzazione e che tale persona sia competente a farlo ed essere in grado di testimoniare e spiegare la rilevanza e le implicazioni delle loro azioni. Principio 3: Il metodo adottato o altri documenti di tutti i processi applicati alla raccolta delle evidenze elettroniche deve essere creato e conservato. Una terza parte indipendente deve essere in grado di esaminare i processi e ottenere lo stesso risultato. Principio 4: Il responsabile delle indagini ha la responsabilità generale di assicurare che il diritto e tali principi siano rispettati. LA SCIENZA FORENSE 14ONIF - Roma 2016
  13. 13. Test di Daubert: La procedura/strumento: * Verifica empirica: se la teoria o la tecnica è falsificabile, confutabile e / o verificabile è stata testata in maniera indipendente? * Se è stato sottoposto a peer review e a pubblicazione. * Se è noto il tasso d'errore * L'esistenza e il mantenimento di norme e controlli per il suo funzionamento. * Il grado in cui la teoria e la tecnica è generalmente accettato da una comunità scientifica pertinente. Quindi in una perizia tecnica informatica si dovrebbe dettagliare tutte le procedure adottate e fornire tutti i mezzi necessari a riprodurla e avere le due descrizioni, quella tecnica e quella divulgativa al fine di rendere comprensibile il tutto ai non tecnici che affollano l'aula di un tribunale. Infine, si dovrebbe corredare sempre con rilievi fotografici, laddove possibile, bibliografia attendibile, software attendibile e non lasciare tutto all'immaginazione o al caso. LA SCIENZA FORENSE 15ONIF - Roma 2016
  14. 14. Un esempio pratico di come il metodo scientifico sia stato utile in una causa legale è il caso: Nucor Corp v. Bell, 2008 WL 4442571 (D.S.C. Jan. 11, 2008) nel quale un digital forensics expert affermò che l'indagato aveva utilizzato un programma che effettuava il wiping (cancellazione sicura) dei dati dall'hard disk del suo computer, al fine di eliminare ogni prova digitale. La Corte negò la mozione di rigettare l'ipotesi del perito informatico, perché quest'ultimo riuscì, rifacendosi alla procedura di Daubert, a dimostrare la perfetta coincidenza dei dati risultanti dal proprio esperimento ripetibile, con quelli che apparivano sull'hard disk dell'indagato, quindi tutta la procedura era testabile e ripetibile e questo colmava il divario tra la semplice “opinione” e la verifica scientifica. LA SCIENZA FORENSE 16ONIF - Roma 2016
  15. 15. L'IMPORTANZA DELLA BIBLIOGRAFIA UFFICIALE LA KNOWLEDGE SHARING L'AFFIDABILITà DEGLI STRUMENTI SW/HW LA FORMAZIONE DEL CONSULENTE INFORMATICO FORENSE LA SCIENZA FORENSE 17ONIF - Roma 2016
  16. 16. • La condizione necessaria ma NON sufficiente è che l'esperto abbia la cultura di base giusta, sappia scrivere e parlare, sappia divulgare e sappia applicare il metodo scientifico, conosca l'inglese, abbia una cultura informatica vasta ed orizzontale Le competenze non fanno l'esperto, ma servono da basi solide, ma non determinano la correttezza della perizia. • In sostanza non è detto che un ingegnere costruisca bene una casa, ma voi affidereste la costruzione di casa vostra ad uno che non è ingegnere edile? foto wikipedia L’ESPERTO 21ONIF - Roma 2016
  17. 17. Possibili criteri • capacità di comunicazione e gestione del digital divide • l’esperto non giudica • non accusa • non difende • codice etico Un esperto in digital forensics è orientato a ricostruire al meglio la verità, sulla base della quale avvocati/magistrati/etc possano decidere al meglio. Scientific Working Group on Digital Evidence (1998) CRITERI 22ONIF - Roma 2016
  18. 18. NESSUNO Chi ha delle pubblicazioni online/offline Chi ha un C.V. qualificante Chi sviluppa sw. Digital forensics Chi conosce i sw e hw della digital forensics Chi conosce leggi e metodologie della digital forensics CHI È IL DIGITAL FORENSICS EXPERT 23ONIF - Roma 2016
  19. 19.  cracking di password complesse con la semplice pressione compulsiva di tasti  recuperare file cancellati con velocità inimmaginabile  riconoscimenti facciali  accessi a tutte le reti e database del mondo  analisi di qualsiasi telefonino, contenuti decriptati al volo  Zoom esagerati! LE BUFALE INFORMATICHE 24ONIF - Roma 2016
  20. 20. NEI FILM È COSÌ 25ONIF - Roma 2016
  21. 21. NELLA REALTÀ È COSÌ 26ONIF - Roma 2016
  22. 22. Che bello sarebbe lanciare un programmino che in pochi minuti trova la password di un file criptato o l'accesso ad un sito web, a un firewall, a un PC o altro. "... ah... codice criptato a 128 bit... difficile... ma non per me!" ed in meno di 30 secondi lo ha gia' scardinato... Ehmmm..... PASSWORD CRACKING 27ONIF - Roma 2016
  23. 23. In molti film fanno vedere come alcuni hacker o forze dell'ordine riescano ad accedere ovunque, si collegano alle reti di ogni Ente, azienda, ecc., in tempo reale. Ma è possibile? In alcuni casi proprio no, perché non tutti i sistemi sono raggiungibili da Internet: alcune reti infatti sono delle LAN senza affaccio sulla Rete né tantomeno raggiungibili via Web. Alcune di queste reti a volte possono essere collegate a computer che a loro volta hanno un accesso a Internet, ma anche in questi casi l'accesso è quasi impossibile, e di certo non si ottiene in quattro e quattr'otto come si vede al cinema. Non esistono database in rete di tutto, dalle moquette dei tappetini delle auto, alle marche di bulloni...in Italia solo ora, pare, stiano costruendo la banca dati del DNA!!!! RETI 28ONIF - Roma 2016
  24. 24. E ancora, i telefonini spenti non comunicano con le celle, e non si possono usare per intercettazioni ambientali a meno che non siano opportunamente modificati via software o hardware. I cellulari accesi invece si possono usare come microspie, se sotto intercettazione o infettati, altrimenti non c'è modo, specialmente da parte di privati, di agganciarsi al telefonino di Tizio e sentire i fatti suoi senza averlo mai infettato con qualcosa. Gli SMS non vengono conservati dai gestori telefonici, infatti quest'ultimi forniscono solo i tabulati di mittente, destinatario, data ed ora, ma non il testo del messaggio, anche se ci sarà sempre un "qualcuno” che ha un "amico" nella Telecom che dirà il contrario. TELEFONI 29ONIF - Roma 2016
  25. 25. Fonte: http://imgur.com/dnfe6JO SUPER ZOOM 30ONIF - Roma 2016
  26. 26. Fonte: http://imgur.com/dnfe6JO TODO 31ONIF - Roma 2016
  27. 27. Insomma la digital forensics è spesso lenta e noiosa, e si scontra sovente contro le limitazioni tecnologiche degli strumenti e delle conoscenze: i sistemi proprietari sono in aumento, i sistemi crittografici sempre più diffusi, i dati viaggiano sulle "nuvole" e sono in mano a Big Company dislocate su tutto il globo, ma l'effetto CSI e l'ignoranza informatica permettono di accettare qualunque cosa, creando richieste assurde da parte di chi si rivolge al digital forensics expert. Si pensa che tutto è possibile, tutto è veloce e non ci sono differenze tra sistemi operativi, hardware, reti e quant'altro, è tutto "informatica". CONCLUSIONI 32ONIF - Roma 2016
  28. 28. Chiudo ricordando la super-chicca di "Indipendence Day" (R. Emmerich 1996) film nel quale si sviluppa un virus su un Mac, lo si carica sull'astronave madre degli alieni invasori e funziona. Strano che nel mondo reale un virus per Windows non funzioni su Mac o Linux e viceversa, ma poi si riesca a scrivere un virus per un computer alieno. CONCLUSIONI 33ONIF - Roma 2016

×