1. Forensic Profiling with Digital Data
Forensic Profiling with Digital Data
La profilazione forense nell’era dell’informazione
Dott. Mario Piccinelli - UniBS
December 19, 2011
Dott. Mario Piccinelli - UniBS Forensic Profiling with Digital Data
2. Forensic Profiling with Digital Data
Outline
1 Digital Forensics
Definizione
Campi di applicazione
Fonti di informazione
Procedura standard
2 Forensics Profiling
Definizione
Elementi del Digital Profiling
Procedura standard
Tecniche di Data Mining
3 Strumenti per il digital profiling
XIRAF
4 Bibliografia
5 Contatti
Dott. Mario Piccinelli - UniBS Forensic Profiling with Digital Data
3. Indice
1 Digital Forensics
Definizione
Campi di applicazione
Fonti di informazione
Procedura standard
2 Forensics Profiling
Definizione
Elementi del Digital Profiling
Procedura standard
Tecniche di Data Mining
3 Strumenti per il digital profiling
XIRAF
4 Bibliografia
5 Contatti
4. Forensic Profiling with Digital Data
Digital Forensics
Definizione
Digital Forensics
”La scienza che studia
l’individuazione
l’estrazione
la protezione
la conservazione
la documentazione
e ogni altra forma di trattamento
del dato informatico al fine di essere valutato in un processo
giuridico e studia, ai fini probatori, le tecniche e gli strumenti per
l’esame metodologico dei sistemi informatici”.
Dott. Mario Piccinelli - UniBS Forensic Profiling with Digital Data
5. Forensic Profiling with Digital Data
Digital Forensics
Campi di applicazione
Digital Forensics: campi di applicazione
Indagini interne ad una azienda
Frode
Spionaggio
Violazione policy aziendali
Controllo dipendenti
Valutazione danni
Supporto alla polizia giudiziaria ed ai PM e Giudici
Terrorismo
Frode
Pedopornografia
Supporto ai privati indagati
ecc...
Dott. Mario Piccinelli - UniBS Forensic Profiling with Digital Data
6. Forensic Profiling with Digital Data
Digital Forensics
Fonti di informazione
Fonti di informazione
Tutte le fonti digitali di prova da cui ` possibile attingere dati utili
e
per l’indagine in corso.
Computer
Smartphone / dispositivo cellulare
Altri apparecchi digitali
Log di rete
E chiss` cos’altro!
a
Dott. Mario Piccinelli - UniBS Forensic Profiling with Digital Data
7. Forensic Profiling with Digital Data
Digital Forensics
Fonti di informazione
Fonti di informazione: Personal Computer (I)
Contenuto della memoria volatile del sistema:
Credenziali degli utenti connessi.
Processi attivi.
Spazio di memoria allocato.
DLL / librerie aperte.
File aperti.
Collegamenti al registro di sistema
(Windows).
Connessioni di rete attive.
Moduli del kernel caricati.
...
Dott. Mario Piccinelli - UniBS Forensic Profiling with Digital Data
8. Forensic Profiling with Digital Data
Digital Forensics
Fonti di informazione
Fonti di informazione: Personal Computer (II)
Analisi memoria volatile: Volatility Framework
Dott. Mario Piccinelli - UniBS Forensic Profiling with Digital Data
9. Forensic Profiling with Digital Data
Digital Forensics
Fonti di informazione
Fonti di informazione: Personal Computer (III)
Contenuto delle memorie di
massa:
File nascosti.
File cancellati.
Registro di sistema.
...
Dott. Mario Piccinelli - UniBS Forensic Profiling with Digital Data
10. Forensic Profiling with Digital Data
Digital Forensics
Fonti di informazione
Fonti di informazione: Personal Computer (IV)
Cronologia del browser
Dott. Mario Piccinelli - UniBS Forensic Profiling with Digital Data
11. Forensic Profiling with Digital Data
Digital Forensics
Fonti di informazione
Fonti di informazione: Personal Computer (V)
Log di chat e client di messaggistica / VOIP
Dott. Mario Piccinelli - UniBS Forensic Profiling with Digital Data
12. Forensic Profiling with Digital Data
Digital Forensics
Fonti di informazione
Fonti di informazione: Personal Computer (VI)
Posta elettronica
Dott. Mario Piccinelli - UniBS Forensic Profiling with Digital Data
13. Forensic Profiling with Digital Data
Digital Forensics
Fonti di informazione
Fonti di informazione: Personal Computer (VII)
Informazioni sull’utilizzo del sistema
Dott. Mario Piccinelli - UniBS Forensic Profiling with Digital Data
14. Forensic Profiling with Digital Data
Digital Forensics
Fonti di informazione
Fonti di informazione: Personal Computer (VIII)
Informazioni sull’utilizzo di periferiche
Dott. Mario Piccinelli - UniBS Forensic Profiling with Digital Data
15. Forensic Profiling with Digital Data
Digital Forensics
Fonti di informazione
Fonti di informazione: Smartphone (I)
Informazioni contenute in uno
smartphone:
Log chiamate
effettuate/ricevute.
SMS/MMS/Emails
Browser
History
Bookmarks
Cache
Dott. Mario Piccinelli - UniBS Forensic Profiling with Digital Data
16. Forensic Profiling with Digital Data
Digital Forensics
Fonti di informazione
Fonti di informazione: Smartphone (II)
Informazioni contenute in uno
smartphone:
Rubrica telefonica.
Password salvate
Reti wireless
Posta elettronica
...
Note, appunti, appunti
vocali...
Dott. Mario Piccinelli - UniBS Forensic Profiling with Digital Data
17. Forensic Profiling with Digital Data
Digital Forensics
Fonti di informazione
Fonti di informazione: Smartphone (III)
Geolocalizzazione:
Reti wireless toccate.
Celle GSM/UMTS
toccate.
Dati GPS.
Dott. Mario Piccinelli - UniBS Forensic Profiling with Digital Data
18. Forensic Profiling with Digital Data
Digital Forensics
Fonti di informazione
Fonti di informazione: Smartphone (IV)
Dati contenuti nelle
applicazioni non standard:
Informazioni di
utilizzo (applicazioni
di home banking..).
Password salvate.
Immagini visualizzate.
...
Dott. Mario Piccinelli - UniBS Forensic Profiling with Digital Data
19. Forensic Profiling with Digital Data
Digital Forensics
Fonti di informazione
Fonti di informazione: Smartphone (V)
Galleria multimediale:
Foto
EXIF
Filmati
Audio
Note vocali
...
Dott. Mario Piccinelli - UniBS Forensic Profiling with Digital Data
20. Forensic Profiling with Digital Data
Digital Forensics
Procedura standard
Le fasi dell’analisi digitale forense
La procedura di analisi digitale forense ` composta di quattro
e
passaggi standard:
Acquisizione fisica del supporto
Acquisizione del dato
Analisi del dato
⇒ Forensic profiling
Report
Dott. Mario Piccinelli - UniBS Forensic Profiling with Digital Data
21. Indice
1 Digital Forensics
Definizione
Campi di applicazione
Fonti di informazione
Procedura standard
2 Forensics Profiling
Definizione
Elementi del Digital Profiling
Procedura standard
Tecniche di Data Mining
3 Strumenti per il digital profiling
XIRAF
4 Bibliografia
5 Contatti
22. Forensic Profiling with Digital Data
Forensics Profiling
Definizione
Forensic profiling
Processo di scoperta delle correlazioni tra i dati presenti in archivio
che possono essere utilizzati per identificare e rappresentare un
soggetto umano o non umano (individuale o di gruppo).
Applicazione dei profili per individuare e rappresentare un soggetto.
Dott. Mario Piccinelli - UniBS Forensic Profiling with Digital Data
23. Forensic Profiling with Digital Data
Forensics Profiling
Elementi del Digital Profiling
Elementi del Digital Profiling
I mattoni di base su cui si costruisce un profilo forense sono definiti
in letteratura come:
Firma
Modus Operandi
Vittimologia
Motivazione
Fattori di rischio
Staging
La possibilit` di evidenziare e correlare queste informazioni pu`
a o
portare con buona approssimazione a indirizzare le successive
indagini.
Dott. Mario Piccinelli - UniBS Forensic Profiling with Digital Data
24. Forensic Profiling with Digital Data
Forensics Profiling
Elementi del Digital Profiling
Firma
Una ”firma” propria dell’autore del crimine, riscontrata sulla scena
o connessa in altro modo all’evento. Pu` essere lasciata a livello
o
conscio o meno e non cambia nella reiterazione del crimine.
Tipicamente si tratta di un modello comportamentale univoco e
ripetuto, non necessario alla dinamica del crimine.
Esempi:
Particolari forme di violenza verbale nei messaggi.
Particolari elementi grafici nei casi di defacement.
Caratteristiche forme di commento del codice.
Dott. Mario Piccinelli - UniBS Forensic Profiling with Digital Data
25. Forensic Profiling with Digital Data
Forensics Profiling
Elementi del Digital Profiling
Modus Operandi
Modalit` attraverso le quali il crimine viene commesso (da non
a
confondere con la firma).
Esempi:
Sistemi utilizzati per penetrare un server.
Tecniche di scansione.
Tecniche di occultamento dei log.
Tecniche di avvicinamento alla vittima in un contesto
informatico.
Dott. Mario Piccinelli - UniBS Forensic Profiling with Digital Data
26. Forensic Profiling with Digital Data
Forensics Profiling
Elementi del Digital Profiling
Vittimologia
Studio delle caratteristiche della vittima (persona, azienda, ...) alla
ricerca di possibili collegamenti con l’autore del reato.
Esempi:
In un reato violento di natura sessuale, le vittime hanno
caratteristiche fisiche in comune?
In un reato contro la propriet`, i danneggiati hanno
a
caratteristiche lavorative, sociali, economiche, religiose in
comune?
Dott. Mario Piccinelli - UniBS Forensic Profiling with Digital Data
27. Forensic Profiling with Digital Data
Forensics Profiling
Elementi del Digital Profiling
Motivazione
Elementi psicologici, economici, politici o sociali che spingono
l’individuo a commettere un reato.
Esempi:
Motivazioni politiche che spingono un hacker ad attaccare la
rete di una particolare azienda.
Pulsioni sessuali che spingono un criminale a contattare una
certa categoria di persone.
Motivazioni economiche che spingono un dipendente a
vendere segreti industriali a un concorrente.
Dott. Mario Piccinelli - UniBS Forensic Profiling with Digital Data
28. Forensic Profiling with Digital Data
Forensics Profiling
Elementi del Digital Profiling
Fattori di rischio
Livello di rischio al quale si espone l’individuo nel compimento di
un atto criminale.
Esempi:
Un criminale sessuale ha un fattore di rischio legato a quanto
` disposto a esporsi fornendo informazioni personali alle
e
potenziali vittime. Pu` dare un’indicazione dell’urgenza delle
o
pulsioni.
Un insider ha un fattore di rischio proporzionale al valore
economico e strategico delle informazioni che ` disposto a
e
estrarre. Pu` dare indicazioni sulle competenze informatiche
o
dell’individuo, sulla sua sicurezza o sulla sua disperazione.
Dott. Mario Piccinelli - UniBS Forensic Profiling with Digital Data
29. Forensic Profiling with Digital Data
Forensics Profiling
Elementi del Digital Profiling
Staging
Alterazione della scena del crimine da parte del criminale, della
vittima o di persone a essa correlate.
Esempi:
Il criminale informatico pu` tentare di far cadere le sue
o
responsabilit` su un terzo. Pu` denotare una situazione di
a o
conflitto o risentimento.
La madre della vittima di un reato di pedofilia potrebbe
cancellare dal computer della figlia foto incriminanti per
evitare situazioni di imbarazzo.
Una vittima potrebbe manomettere dati informatici per coprire
delle sue responsabilit`, magari non inerenti il caso in oggetto.
a
Dott. Mario Piccinelli - UniBS Forensic Profiling with Digital Data
30. Forensic Profiling with Digital Data
Forensics Profiling
Procedura standard
Forensic profiling: procedura standard
La profilazione pu` essere suddivisa in una sequenza standard di
o
azioni:
Analisi preliminare del problema.
Raccolta dati.
Preparazione dei dati.
Interpretazione dei dati.
⇒Data mining.
Applicazione del profilo.
Decisione istituzionale.
Dott. Mario Piccinelli - UniBS Forensic Profiling with Digital Data
31. Forensic Profiling with Digital Data
Forensics Profiling
Tecniche di Data Mining
Data Mining
Analisi avanzata dei dati usata per identificare pattern non visibili
nei singoli componenti, attraverso procedimenti matematici e
statistici.
Expense Account Padding
Dott. Mario Piccinelli - UniBS Forensic Profiling with Digital Data
32. Forensic Profiling with Digital Data
Forensics Profiling
Tecniche di Data Mining
Tecniche di data mining (I) : analisi dell’istogramma
L’istogramma ` la
e
rappresentazione grafica di
una distribuzione in classi
di un carattere continuo.
Permette di individuare il
carattere generale di una
distribuzione.
Esempio: analisi del log di
accensione di un pc.
Dott. Mario Piccinelli - UniBS Forensic Profiling with Digital Data
33. Forensic Profiling with Digital Data
Forensics Profiling
Tecniche di Data Mining
Tecniche di data mining (II) : regressione
La regressione (lineare)
rappresenta un metodo di
stima del valore atteso una
variabile dipendente. Pu` o
essere utilizzata per
evidenziare scostamenti
rispetto al valore previsto
di un determinato
comportamento.
Esempio: analisi del
traffico di rete di un
computer.
Dott. Mario Piccinelli - UniBS Forensic Profiling with Digital Data
34. Forensic Profiling with Digital Data
Forensics Profiling
Tecniche di Data Mining
Tecniche di data mining (III) : clustering
Clustering (Unsupervised
learning) ` la suddivisione di una
e
collezione di oggetti in gruppi,
detti cluster, tali che:
gli oggetti un un cluster
sono molto simili tra loro
gli oggetti di cluster diversi
sono molto diversi tra di loro
Evidenzia trend e scostamenti.
Esempio: posizioni GPS estratte
da uno smartphone.
Dott. Mario Piccinelli - UniBS Forensic Profiling with Digital Data
35. Forensic Profiling with Digital Data
Forensics Profiling
Tecniche di Data Mining
Tecniche di data mining (IV) : cross-correlazione
La correlazione incrociata di
diverse fonti di informazione
permette di identificare
somiglianze e potenziali rapporti
di causalit`.
a
Esempio: visite alla macchinetta
del caff`.
e
Dott. Mario Piccinelli - UniBS Forensic Profiling with Digital Data
36. Indice
1 Digital Forensics
Definizione
Campi di applicazione
Fonti di informazione
Procedura standard
2 Forensics Profiling
Definizione
Elementi del Digital Profiling
Procedura standard
Tecniche di Data Mining
3 Strumenti per il digital profiling
XIRAF
4 Bibliografia
5 Contatti
37. Forensic Profiling with Digital Data
Strumenti per il digital profiling
XIRAF
XIRAF
XML-based indexing and querying for digital forensics.
Framework sperimentale realizzato nel 2005 come tesi di laurea da
W. Alink presso l’universit` di Twente (Paesi Bassi) in
a
collaborazione con il Netherlands Forensics Institute (NFI).
Dott. Mario Piccinelli - UniBS Forensic Profiling with Digital Data
38. Forensic Profiling with Digital Data
Strumenti per il digital profiling
XIRAF
XIRAF
Nasce per porre rimedio ai problemi tipici della profilazione forense
in campo informatico:
Grandi quantit` di dati.
a
Necessit` di terminare le analisi in un tempo ragionevole.
a
Troppe informazioni non possono essere analizzate
manualmente.
Grande variet` di formati e tool software.
a
Molti formati differenti.
Molti software standalone.
Dott. Mario Piccinelli - UniBS Forensic Profiling with Digital Data
39. Forensic Profiling with Digital Data
Strumenti per il digital profiling
XIRAF
Approccio scelto
Separazione netta tra:
Estrazione dati.
Analisi dati.
Formato di output standard per tutti i tool, basato su XML.
Uso di database basato su XML per estrazione e analisi dei
dati.
Riutilizzo di tool gi` esistenti per la forensics.
a
Dott. Mario Piccinelli - UniBS Forensic Profiling with Digital Data
40. Forensic Profiling with Digital Data
Strumenti per il digital profiling
XIRAF
Struttura del sistema
Dott. Mario Piccinelli - UniBS Forensic Profiling with Digital Data
41. Forensic Profiling with Digital Data
Strumenti per il digital profiling
XIRAF
Struttura del sistema (parallelo con il data warehousing)
Dott. Mario Piccinelli - UniBS Forensic Profiling with Digital Data
42. Forensic Profiling with Digital Data
Strumenti per il digital profiling
XIRAF
Esempio di estrazione di features
Dott. Mario Piccinelli - UniBS Forensic Profiling with Digital Data
43. Forensic Profiling with Digital Data
Strumenti per il digital profiling
XIRAF
Esempio di interrogazioni al database
Le interrogazioni sono svolte sul database XML mediante
linguaggio XQuery.
Ricerca di tutti gli URL relativi ai Google:
Ricerca di tutti gli URL nella history di Explorer:
Dott. Mario Piccinelli - UniBS Forensic Profiling with Digital Data
44. Indice
1 Digital Forensics
Definizione
Campi di applicazione
Fonti di informazione
Procedura standard
2 Forensics Profiling
Definizione
Elementi del Digital Profiling
Procedura standard
Tecniche di Data Mining
3 Strumenti per il digital profiling
XIRAF
4 Bibliografia
5 Contatti
45. Forensic Profiling with Digital Data
Bibliografia
Riferimenti bibliografici
Google Tech Talk, Geeks Guide to Digital Forensics.
http://viaforensics.com/computer-forensics/
google-tech-talk-geeks-guide-to-digital-forensics-june-2011.
html
Maurizio Anconelli, Introduzione al digital profiling.
http://cybercrimes.it/papers/DigitalProfiling.pdf
J.J.Irvine (Crucial Security), Digital Forensic Analysis and Cyber
Profiling.
http://www.afcea-qp.org/luncheons/CrucialBrief02Nov10.pdf
Pi` qualche centinaio di articoli vari qui:
u
http://secdocs.lonerunners.net/tags/details/8-forensic
Dott. Mario Piccinelli - UniBS Forensic Profiling with Digital Data
46. Forensic Profiling with Digital Data
Bibliografia
Riferimenti bibliografici (II)
W. Alink, XIRAF – an XML-IR Approach to Digital Forensics.
http://homepages.cwi.nl/~boncz/msc/2005-WouterAlink.pdf
Dott. Mario Piccinelli - UniBS Forensic Profiling with Digital Data
47. Indice
1 Digital Forensics
Definizione
Campi di applicazione
Fonti di informazione
Procedura standard
2 Forensics Profiling
Definizione
Elementi del Digital Profiling
Procedura standard
Tecniche di Data Mining
3 Strumenti per il digital profiling
XIRAF
4 Bibliografia
5 Contatti
48. Forensic Profiling with Digital Data
Contatti
Contatti
Dott. Mario Piccinelli
Dipartimento di Ingegneria dell’Informazione
Facolt` di Ingegneria
a
Universit` degli Studi di Brescia
a
mail: mario.piccinelli@ing.unibs.it
web: www.ing.unibs.it/∼mario.piccinelli
Dott. Mario Piccinelli - UniBS Forensic Profiling with Digital Data
49. Forensic Profiling with Digital Data
Contatti
Domande?
Domande?
Dott. Mario Piccinelli - UniBS Forensic Profiling with Digital Data