Il 3 maggio 2009, presso il Centro Studi Informatica Giuridica di Reggio Calabria, Vincenzo Calabrò ha tenuto un seminario dal titolo: Evidenza Digitale e Informatica Forense. Questo seminario intende approfondire gli aspetti legati alla fragilità delle prove digitali e le contromisure per renderle idonee a sostenere un dibattimento.
https://www.vincenzocalabro.it
Vincenzo Calabrò - Generazione ed Analisi di una Timeline ForenseVincenzo Calabrò
L'8 maggio 2012, presso il Centro Studi Informatica Giuridica di Reggio Calabria, Vincenzo Calabrò ha tenuto un seminario dal titolo: Generazione ed Analisi di una Timeline Forense. Questo seminario illustra gli aspetti tecnici ed alcune metodologie per la Creazione e l'Analisi di una Timeline in ambito forense e dell'incident response.
https://www.vincenzocalabro.it
Vincenzo Calabrò - Tracciabilita' delle Operazioni in Rete e Network ForensicsVincenzo Calabrò
Il 4 giugno 2011, presso il Centro Studi Informatica Giuridica di Reggio Calabria, Vincenzo Calabrò ha tenuto un seminario dal titolo: Tracciabilita' delle Operazioni in Rete e Network Forensics. Questo seminario ha come obiettivo l'analisi delle problematiche lagate alla tracciabilità delle operazioni in Rete e cenni di Network Forensics.
https://www.vincenzocalabro.it
Il “captatore informatico”uno strumento d'indagine tra esigenze investigative...Giovanni Fiorino
La necessità di adeguare l'attività d'indagine agli strumenti informatici o telematici - sempre più al centro dell'attenzione sia quali strumenti idonei alla commissione di reati sia quali canali di comunicazione utili alla ricerca dei mezzi di prova - ha posto all'attenzione degli operatori del diritto la questione inerente l'utilizzabilità di veri e propri "virus di Stato", i c.d. "captatori informatici", idonei sia a duplicare il contenuto di dispositivi informatici sia ad intercettare comunicazioni altrimenti non intellegibili poiché "criptate".
Il tutto - com'è ovvio - all'oscuro del titolare del dispositivo informatico, nell'ottica della segretezza dell'attività d'indagine.
Sia i Tribunali di merito che la Corte di Cassazione - da ultima, a Sezioni Unite, con la sentenza n. 26889/2016 - hanno esaminato gli aspetti problematici di tale strumento d'indagine, nell'ottica di un bilanciamento - non sempre raggiunto - tra l'esigenza di accertamento di reati e le garanzie difensive.
Come fare la Conservazione Sostituiva a NormaLevia Group
corso Dematerializzazione e Gestione a Norma dei Documenti Aziendali, organizzato da Levia Group in collaborazione con Treviso Tecnologia il 24 settembre 2013: una completa disamina degli aspetti legali connessi alle procedure di archiviazione e conservazione a norma dei documenti fiscali e contabili.
Ecco come procedere alla conservazione sostitutiva a norma dei documenti aziendali: le slide del corso organizzato da Levia Group in collaborazione con Treviso Tecnologia il 24 settembre 2013.
Il ruolo del Responsabile della conservazione digitale dei documenti: profess...Sergio Primo Del Bello
Intervento dell'avv. Andrea Lisi, presidente ANORC, al workshop sulla "Conservazione sostitutiva" organizzato dalla Provincia di Bergamo e ANAI Lombardia.
Nembro, 14 maggio 2013
Vincenzo Calabrò - Generazione ed Analisi di una Timeline ForenseVincenzo Calabrò
L'8 maggio 2012, presso il Centro Studi Informatica Giuridica di Reggio Calabria, Vincenzo Calabrò ha tenuto un seminario dal titolo: Generazione ed Analisi di una Timeline Forense. Questo seminario illustra gli aspetti tecnici ed alcune metodologie per la Creazione e l'Analisi di una Timeline in ambito forense e dell'incident response.
https://www.vincenzocalabro.it
Vincenzo Calabrò - Tracciabilita' delle Operazioni in Rete e Network ForensicsVincenzo Calabrò
Il 4 giugno 2011, presso il Centro Studi Informatica Giuridica di Reggio Calabria, Vincenzo Calabrò ha tenuto un seminario dal titolo: Tracciabilita' delle Operazioni in Rete e Network Forensics. Questo seminario ha come obiettivo l'analisi delle problematiche lagate alla tracciabilità delle operazioni in Rete e cenni di Network Forensics.
https://www.vincenzocalabro.it
Il “captatore informatico”uno strumento d'indagine tra esigenze investigative...Giovanni Fiorino
La necessità di adeguare l'attività d'indagine agli strumenti informatici o telematici - sempre più al centro dell'attenzione sia quali strumenti idonei alla commissione di reati sia quali canali di comunicazione utili alla ricerca dei mezzi di prova - ha posto all'attenzione degli operatori del diritto la questione inerente l'utilizzabilità di veri e propri "virus di Stato", i c.d. "captatori informatici", idonei sia a duplicare il contenuto di dispositivi informatici sia ad intercettare comunicazioni altrimenti non intellegibili poiché "criptate".
Il tutto - com'è ovvio - all'oscuro del titolare del dispositivo informatico, nell'ottica della segretezza dell'attività d'indagine.
Sia i Tribunali di merito che la Corte di Cassazione - da ultima, a Sezioni Unite, con la sentenza n. 26889/2016 - hanno esaminato gli aspetti problematici di tale strumento d'indagine, nell'ottica di un bilanciamento - non sempre raggiunto - tra l'esigenza di accertamento di reati e le garanzie difensive.
Come fare la Conservazione Sostituiva a NormaLevia Group
corso Dematerializzazione e Gestione a Norma dei Documenti Aziendali, organizzato da Levia Group in collaborazione con Treviso Tecnologia il 24 settembre 2013: una completa disamina degli aspetti legali connessi alle procedure di archiviazione e conservazione a norma dei documenti fiscali e contabili.
Ecco come procedere alla conservazione sostitutiva a norma dei documenti aziendali: le slide del corso organizzato da Levia Group in collaborazione con Treviso Tecnologia il 24 settembre 2013.
Il ruolo del Responsabile della conservazione digitale dei documenti: profess...Sergio Primo Del Bello
Intervento dell'avv. Andrea Lisi, presidente ANORC, al workshop sulla "Conservazione sostitutiva" organizzato dalla Provincia di Bergamo e ANAI Lombardia.
Nembro, 14 maggio 2013
Qualsiasi azienda o PA ormai lavora quotidianamente con dati, informazioni e documenti di natura e formato diversi generati internamente o provenienti da fonti esterne
Gestire correttamente i propri documenti, i propri dati e le proprie informazioni rilevanti significa adottare modelli e metodologie “a norma” finalizzati a garantire l’attribuibilità, l’integrità, l’autenticità, la sicurezza, il corretto trattamento, l’adeguata archiviazione e la conservazione nel tempo al proprio patrimonio di dati e documenti digitali
Sistemi documentali per la pubblica amministrazione digitale: conservazione -...Sergio Primo Del Bello
Intervento del dr. Mauro Livraga, Soprintendenza Archivistica per la Lombardia, al workshop sulla "Conservazione sostitutiva" organizzato dalla Provincia di Bergamo e ANAI Lombardia.
Nembro bg, 14/05/2013
Vincenzo Calabrò - Strumenti e Tecniche per la creazione di un Falso Alibi In...Vincenzo Calabrò
Il 21 aprile 2010, presso il Centro Studi Informatica Giuridica di Reggio Calabria, Vincenzo Calabrò ha tenuto un seminario dal titolo: Strumenti e Tecniche per la creazione di un Falso Alibi Informatico. Questo seminario ha come obiettivo la creazione di un Alibi Informatico al fine di fornire un metodo di analisi per verificare la genuinità degli stessi
https://www.vincenzocalabro.it
A cura di Luca Savoldi
Attività seminariale nell’ambito del Corso di Laurea Magistrale in Ingegneria delle Telecomunicazioni – insegnamento di Diritto dell’Informatica e delle Nuove Tecnologie.
(coordinamento delle attività a cura di Massimo Farina)
Mauro Livraga, Soprintendenza Archivistica per la Lombardia
Giornata di aggiornamento e formazione sulla
"Gestione del Sistema gestione dei documenti e degli archivi degli enti pubblici e la nuova normativa sulla privacy"
26 settembre 2017, ore 9.15 – 16.00
Archivio di Stato di Bergamo
Continuità operativa e disaster recovery, Mauro Livraga, Archivio di Stato di...Sergio Primo Del Bello
Workshop - Provincia di Bergamo, ANAI Lombardia, Comune di Nembro, ANORC
"I servizi forniti dal CST Centro Servizi Territoriali della Provincia di Bergamo"
4 giugno 2013, ore 9.00 – 13.00, Bergamo, Spazio Viterbi
"Sistemi documentali per la pubblica amministrazione digitale: organizzazione
e sicurezza", Mauro Livraga, Direttore Archivio di Stato di Bergamo
Programma: https://dl.dropboxusercontent.com/u/21632223/Archiviando/2%5E%20WS%20Provincia%20BG%20Disaster%20recovery.pdf
Fotografie: https://picasaweb.google.com/117290793877692021380/ConstinuitaOperativaEDisasterRecovery?authuser=0&feat=directlink
Videoregistrazione intervento: https://vimeo.com/album/2442466/video/69387312
Aspetti della Digital Forensics applicati alla tutela della privacyAlessandro Bonu
Alcune tecniche della Digital Forensics, disciplina utilizzata in ambito giuridico per l’individuazione e l’estrazione di informazioni digitali da presentare in sede giudiziale, ci aiuteranno a capire di quante informazioni potrebbe disporre un utente, mediamente esperto, che entra in possesso di un nostro dispositivo elettronico o banalmente delle credenziali di accesso di una mail o di un social network.
Master Informatica del Testo – Edizione elettronica - Arezzo 2013Walter Volpi
Università degli studi di Siena – Sede di Arezzo
Dipartimento di Teoria e documentazione delle tradizioni culturali
Master Informatica del Testo – Edizione elettronica
2013
Il Diritto Processuale Penale dell’Informatica e le Investigazioni InformaticheVincenzo Calabrò
Dal punto di vista normativo, con particolare riferimento alla Ratifica della Convenzione di Budapest del 2001, il Legislatore Italiano ha preso atto dell'evoluzione tecnologica in corso ed ha quindi predisposto gli opportuni interventi legislativi necessari al fine di contrastare il sempre crescente fenomeno della criminalità informatica. Allo stesso tempo, il Legislatore ha previsto adeguati strumenti d'indagine e nuove garanzie processuali con particolare riferimento alle investigazioni informatiche. La costante presenza di apparecchiature informatiche e digitali sulla scena di un crimine, l'importanza delle informazioni in esse contenute, la fragilità e volatilità del dato informatico, l'importanza della corretta acquisizione e gestione delle prove informatiche, anche per il loro uso in dibattimento, sono condizioni che hanno creato il terreno fertile per la nascita di una nuova branca delle scienze forensi, nota come computer forensics 1. Secondo la migliore dottrina, la computer forensics è «la disciplina che si occupa della preservazione, dell'identificazione, dello studio, delle informazioni contenute nei computer, o nei sistemi informativi in generale, al fine di evidenziare l'esistenza di prove utili allo svolgimento dell'attività investigativa» 2. Ogni dispositivo tecnologico rinvenuto sulla scena di un crimine ha due distinti aspetti: quello fisico, ove 1 ZICCARDI e LUPÀRIA sostengono che «contestualmente al mutuamento portato, nelle società, dalle nuove tecnologie e, in particolare, dall'avvento dell'elaboratore elettronico e delle reti, si è verificato un cambiamento nelle modalità di rilevazione, gestione, raccolta ed analisi di elementi che, in senso lato e assolutamente generico, si potrebbero definire fonti di prova, prova, indizio o testimonianza» in LUPARIA-ZICCARDI, Investigazione penale e tecnologia informatica, Milano, 2008, 3 e ss. 2 GHIRARDINI-FAGGIOLI, Computer Forensics, Milano, 2009, 1 e ss., LUPARIA, ZICCARDI, op. cit, 3 e ss. si possono rinvenire impronte digitali e altri elementi di prova tipici degli oggetti di uso comune, e quello logico, costituito dai dati contenuti nella memoria del dispositivo. L'esperto di computer forensics che si occupa di identificare, analizzare e produrre in giudizio delle prove informatiche, pertanto, deve possedere una specifica competenza ed esperienza in ambito informatico e telematico ed anche una buona conoscenza delle norme processuali attinenti principalmente le fasi di perquisizione, ispezione e sequestro.
https://www.vincenzocalabro.it
Vincenzo Calabrò - Modalità di intervento del Consulente TecnicoVincenzo Calabrò
Il 19 maggio 2007, presso il Centro Studi Informatica Giuridica di Reggio Calabria, Vincenzo Calabrò ha tenuto un seminario dal titolo: Modalità di intervento del Consulente Tecnico. Questo seminario ha come obiettivo la trattazione delle problematiche e delle modalità operative che un consulente tecnico di parte può affrontare durante un'indagine d'informatica forense.
https://www.vincenzocalabro.it
Il 21 aprile 2008, presso il Centro Studi Informatica Giuridica di Reggio Calabria, Vincenzo Calabrò ha tenuto un seminario dal titolo: La Riduzione del Rischio - D.Lgs. 231/2001. Questo seminario illustra brevemente gli obiettivi raggiungibili attraverso l'applicazione delle previsioni normative, contenute nel D.Lgs. 231/2001, finalizzate alla riduzione del rischio aziendale.
https://www.vincenzocalabro.it
More Related Content
Similar to Vincenzo Calabrò - Evidenza Digitale e Informatica Forense
Qualsiasi azienda o PA ormai lavora quotidianamente con dati, informazioni e documenti di natura e formato diversi generati internamente o provenienti da fonti esterne
Gestire correttamente i propri documenti, i propri dati e le proprie informazioni rilevanti significa adottare modelli e metodologie “a norma” finalizzati a garantire l’attribuibilità, l’integrità, l’autenticità, la sicurezza, il corretto trattamento, l’adeguata archiviazione e la conservazione nel tempo al proprio patrimonio di dati e documenti digitali
Sistemi documentali per la pubblica amministrazione digitale: conservazione -...Sergio Primo Del Bello
Intervento del dr. Mauro Livraga, Soprintendenza Archivistica per la Lombardia, al workshop sulla "Conservazione sostitutiva" organizzato dalla Provincia di Bergamo e ANAI Lombardia.
Nembro bg, 14/05/2013
Vincenzo Calabrò - Strumenti e Tecniche per la creazione di un Falso Alibi In...Vincenzo Calabrò
Il 21 aprile 2010, presso il Centro Studi Informatica Giuridica di Reggio Calabria, Vincenzo Calabrò ha tenuto un seminario dal titolo: Strumenti e Tecniche per la creazione di un Falso Alibi Informatico. Questo seminario ha come obiettivo la creazione di un Alibi Informatico al fine di fornire un metodo di analisi per verificare la genuinità degli stessi
https://www.vincenzocalabro.it
A cura di Luca Savoldi
Attività seminariale nell’ambito del Corso di Laurea Magistrale in Ingegneria delle Telecomunicazioni – insegnamento di Diritto dell’Informatica e delle Nuove Tecnologie.
(coordinamento delle attività a cura di Massimo Farina)
Mauro Livraga, Soprintendenza Archivistica per la Lombardia
Giornata di aggiornamento e formazione sulla
"Gestione del Sistema gestione dei documenti e degli archivi degli enti pubblici e la nuova normativa sulla privacy"
26 settembre 2017, ore 9.15 – 16.00
Archivio di Stato di Bergamo
Continuità operativa e disaster recovery, Mauro Livraga, Archivio di Stato di...Sergio Primo Del Bello
Workshop - Provincia di Bergamo, ANAI Lombardia, Comune di Nembro, ANORC
"I servizi forniti dal CST Centro Servizi Territoriali della Provincia di Bergamo"
4 giugno 2013, ore 9.00 – 13.00, Bergamo, Spazio Viterbi
"Sistemi documentali per la pubblica amministrazione digitale: organizzazione
e sicurezza", Mauro Livraga, Direttore Archivio di Stato di Bergamo
Programma: https://dl.dropboxusercontent.com/u/21632223/Archiviando/2%5E%20WS%20Provincia%20BG%20Disaster%20recovery.pdf
Fotografie: https://picasaweb.google.com/117290793877692021380/ConstinuitaOperativaEDisasterRecovery?authuser=0&feat=directlink
Videoregistrazione intervento: https://vimeo.com/album/2442466/video/69387312
Aspetti della Digital Forensics applicati alla tutela della privacyAlessandro Bonu
Alcune tecniche della Digital Forensics, disciplina utilizzata in ambito giuridico per l’individuazione e l’estrazione di informazioni digitali da presentare in sede giudiziale, ci aiuteranno a capire di quante informazioni potrebbe disporre un utente, mediamente esperto, che entra in possesso di un nostro dispositivo elettronico o banalmente delle credenziali di accesso di una mail o di un social network.
Master Informatica del Testo – Edizione elettronica - Arezzo 2013Walter Volpi
Università degli studi di Siena – Sede di Arezzo
Dipartimento di Teoria e documentazione delle tradizioni culturali
Master Informatica del Testo – Edizione elettronica
2013
Il Diritto Processuale Penale dell’Informatica e le Investigazioni InformaticheVincenzo Calabrò
Dal punto di vista normativo, con particolare riferimento alla Ratifica della Convenzione di Budapest del 2001, il Legislatore Italiano ha preso atto dell'evoluzione tecnologica in corso ed ha quindi predisposto gli opportuni interventi legislativi necessari al fine di contrastare il sempre crescente fenomeno della criminalità informatica. Allo stesso tempo, il Legislatore ha previsto adeguati strumenti d'indagine e nuove garanzie processuali con particolare riferimento alle investigazioni informatiche. La costante presenza di apparecchiature informatiche e digitali sulla scena di un crimine, l'importanza delle informazioni in esse contenute, la fragilità e volatilità del dato informatico, l'importanza della corretta acquisizione e gestione delle prove informatiche, anche per il loro uso in dibattimento, sono condizioni che hanno creato il terreno fertile per la nascita di una nuova branca delle scienze forensi, nota come computer forensics 1. Secondo la migliore dottrina, la computer forensics è «la disciplina che si occupa della preservazione, dell'identificazione, dello studio, delle informazioni contenute nei computer, o nei sistemi informativi in generale, al fine di evidenziare l'esistenza di prove utili allo svolgimento dell'attività investigativa» 2. Ogni dispositivo tecnologico rinvenuto sulla scena di un crimine ha due distinti aspetti: quello fisico, ove 1 ZICCARDI e LUPÀRIA sostengono che «contestualmente al mutuamento portato, nelle società, dalle nuove tecnologie e, in particolare, dall'avvento dell'elaboratore elettronico e delle reti, si è verificato un cambiamento nelle modalità di rilevazione, gestione, raccolta ed analisi di elementi che, in senso lato e assolutamente generico, si potrebbero definire fonti di prova, prova, indizio o testimonianza» in LUPARIA-ZICCARDI, Investigazione penale e tecnologia informatica, Milano, 2008, 3 e ss. 2 GHIRARDINI-FAGGIOLI, Computer Forensics, Milano, 2009, 1 e ss., LUPARIA, ZICCARDI, op. cit, 3 e ss. si possono rinvenire impronte digitali e altri elementi di prova tipici degli oggetti di uso comune, e quello logico, costituito dai dati contenuti nella memoria del dispositivo. L'esperto di computer forensics che si occupa di identificare, analizzare e produrre in giudizio delle prove informatiche, pertanto, deve possedere una specifica competenza ed esperienza in ambito informatico e telematico ed anche una buona conoscenza delle norme processuali attinenti principalmente le fasi di perquisizione, ispezione e sequestro.
https://www.vincenzocalabro.it
Vincenzo Calabrò - Modalità di intervento del Consulente TecnicoVincenzo Calabrò
Il 19 maggio 2007, presso il Centro Studi Informatica Giuridica di Reggio Calabria, Vincenzo Calabrò ha tenuto un seminario dal titolo: Modalità di intervento del Consulente Tecnico. Questo seminario ha come obiettivo la trattazione delle problematiche e delle modalità operative che un consulente tecnico di parte può affrontare durante un'indagine d'informatica forense.
https://www.vincenzocalabro.it
Il 21 aprile 2008, presso il Centro Studi Informatica Giuridica di Reggio Calabria, Vincenzo Calabrò ha tenuto un seminario dal titolo: La Riduzione del Rischio - D.Lgs. 231/2001. Questo seminario illustra brevemente gli obiettivi raggiungibili attraverso l'applicazione delle previsioni normative, contenute nel D.Lgs. 231/2001, finalizzate alla riduzione del rischio aziendale.
https://www.vincenzocalabro.it
Le Best Practices per proteggere Informazioni, Sistemi e RetiVincenzo Calabrò
Il 2 settembre 2007, presso la Scuola Superiore dell'Amministrazione dell'Interno, Vincenzo Calabrò ha tenuto un seminario dal titolo: Le Best Practices per proteggere Informazioni, Sistemi e Reti. Questo seminario illustra alcune metodologie per una corretta gestione della Sicurezza Informatica in contesti aziendali.
https://www.vincenzocalabro.it
L'8 giugno 2006, presso la Scuola Superiore dell'Amministrazione dell'Interno, Vincenzo Calabrò ha tenuto un seminario dal titolo: Open vs. Closed Source. Questo seminario analizza le differenze tra i software open source e closed source alla luce della sicurezza informatica.
https://www.vincenzocalabro.it
L'8 aprile 2004, presso la Scuola Superiore dell'Amministrazione dell'Interno, Vincenzo Calabrò ha tenuto un seminario dal titolo: La Privacy: Protezione dei Dati Personali. Questo seminario illustra brevemente alcune Linee Guida per l'applicazione del testo unico sul trattamento dei dati personali.
https://www.vincenzocalabro.it
Il 20 aprile 2003, presso la Scuola Superiore dell'Amministrazione dell'Interno, Vincenzo Calabrò ha tenuto un seminario dal titolo: Sicurezza in Rete. Questo seminario introduce ai principi, la metodologia ed alcune applicazioni pratiche relative alla Sicurezza in Rete.
https://www.vincenzocalabro.it
Il 20 aprile 2003, presso la Scuola Superiore dell'Amministrazione dell'Interno, Vincenzo Calabrò ha tenuto un seminario dal titolo: Sicurezza in Rete. Questo seminario introduce ai principi, la metodologia ed alcune applicazioni pratiche relative alla Sicurezza in Rete.
https://www.vincenzocalabro.it
Il 18 aprile 2003, presso la Scuola Superiore dell'Amministrazione dell'Interno, Vincenzo Calabrò ha tenuto un seminario dal titolo: Sicurezza dei Sistemi Informatici. Questo seminario introduce all'esame delle criticità dei sistemi informatici, la valutazione dei rischi e delle possibili contromisure.
https://www.vincenzocalabro.it
Il 18 aprile 2003, presso la Scuola Superiore dell'Amministrazione dell'Interno, Vincenzo Calabrò ha tenuto un seminario dal titolo: Sicurezza dei Sistemi Informatici. Questo seminario introduce all'esame delle criticità dei sistemi informatici, la valutazione dei rischi e delle possibili contromisure.
https://www.vincenzocalabro.it
Il 3 marzo 2003, presso la Scuola Superiore dell'Amministrazione dell'Interno, Vincenzo Calabrò ha tenuto un seminario dal titolo: Introduzione alla Sicurezza Informatica. Questo seminario introduce ai principi, la metodologia ed alcune applicazioni pratiche relative alla Sicurezza Informatica.
https://www.vincenzocalabro.it
Il 18 giugno 2003, presso la Scuola Superiore dell'Amministrazione dell'Interno, Vincenzo Calabrò ha tenuto un seminario dal titolo: Programmazione Sicura. Questo seminario introduce ai principi, la metodologia ed alcune applicazioni pratiche relative alla Programmazione Sicura.
https://www.vincenzocalabro.it
Il Cloud Computing: la nuova sfida per legislatori e forenserVincenzo Calabrò
La nuova tendenza dell'Internet degli ultimi anni ha portato alla nascita di numerose nuove applicazioni, spesso accompagnate dalla recente tendenza volta a una sorta di "dematerializzazione" degli oggetti informatici. Ci si riferisce in particolare al nuovo fenomeno del cloud computing, o più semplicemente cloud che vedrà sicuramente nei prossimi anni una vera e propria esplosione, imponendosi quale risposta agli ultimi anni di "dittatura" delle tecnologie della rete. Un primo punto da considerare attiene alla sua definizione: al momento, la più autorevole può essere ricondotta alla formulazione del NIST 1 la quale lo definisce come «model for enabling ubiquitous, convenient, on-demand network access to a shared pool of configurable computing resources (e.g., networks, servers, storage, applications, and services) that can be rapidly provisioned and released with minimal management effort or service provider interaction» 2. In sostanza quindi «il cloud computing è un paradigma distribuito che virtualizza dati, software, hardware e comunicazione dati in servizi» 3. 1 National Institue of Standards and Technology; è un'agenzia federale governativa che si occupa della gestione delle tecnologie, si veda più in dettaglio http://www.nist.gov/index.html
https://www.vincenzocalabro.it
La timeline: aspetti tecnici e rilevanza processualeVincenzo Calabrò
SOMMARIO: 1. Premessa.-2. La Timeline.-3. Il problema dell' "ora esatta".-4. Metodologia.-4.1 Analisi dei timestamp presenti nei file system. 4.2 Analisi dei timestamp contenuti all'interno dei file. 4.3 Riscontro con altri riferimen-ti temporali rilevabili. 4.4 Contestualizzazione dei timestamp. 5. Case study: creazione ed analisi della timeline.-5.1 I problemi dell'analisi tradizionale. 5.2 Anti-forensics. 5.3 Estensione delle timeline. 5.4 Impostazione del case study. 5.5 I tool per la generazione di timeline. 5.6 I tool per la generazione di supertimeline. 5.7 Log2Timeline e le supertimeline. 5.8 Ambiente di lavoro. 5.9 "Montaggio" dell'immagine forense. 5.10 Estrazione della tabella. MFT 5.11 Generazione della supertimeline. 5.12 Analisi dei risultati. 5.13 Strumenti per raffinare l'analisi. 5.14 Note pratiche sulla sincronizzazione temporale. 6. Valore probatorio.-7. Conclusioni.-8. Bibliografia. 1. PREMESSA La riconducibilità di un determinato fatto, in un preciso spazio temporale, è, senza ombra di dubbio, uno degli elementi primari per la corretta interpretazione della scena criminis, in quanto consente di rivelare la dinamica degli eventi nell'ordine in cui gli stessi si sono verificati. In caso di omicidio, la prima domanda che gli inquirenti rivolgono al medico legale è quella di stabilire la data e l'ora del decesso, rappresentando un momento fondamentale per la ricostruzione degli avvenimenti che si sono verificati prima dello stesso e subito dopo. La ricostruzione della sequenza temporale degli eventi che hanno determinato un fatto è quindi d'interesse vitale per la risoluzione di qualsiasi caso, di natura legale o professionale, indipendentemente dal contesto di riferimento. Uno degli strumenti che consentono di effettuare l'analisi forense sul tempo è la cosiddetta timeline, ovvero la rappresentazione o esposizione cronologica e concatenata di avvenimenti chiave all'interno di un particolare arco temporale. Nell'informatica forense, con la locuzione timeline s'intende una "fotografia" di tutti gli eventi storici avvenuti in un determinato sistema informatico o telematico. Viene ricostruita mettendo in ordine cronologico tutti gli eventi successivi in un determinato tempo di vita del sistema posto sotto analisi.
https://www.vincenzocalabro.it
Proteggere i dati significa evitare che il patrimonio informativo di un'azienda venga perso. Occorre evitare che un attacco passivo o attivo possa compromettere l'integrità dei dati. Una metodologia di difesa consiste nell'effettuare una risk analysis per valutare le minacce e le vulnerabilità. Successivamente, occorre intraprendere le opportune contromisure per ridurre il rischio di incidente.
https://www.vincenzocalabro.it
Approccio all’Analisi Forense delle Celle TelefonicheVincenzo Calabrò
L'enorme diffusione dei telefoni cellulari e le numerose possibilità di utilizzo degli stessi, non solo per la comunicazione di tipo voce ma anche per lo scambio di dati (messaggi brevi, navigazione Internet ed altre forme), hanno portato le indagini giudiziarie a fare largo uso dell'analisi forense sia degli stessi terminali sia delle tracce che questi lasciano nelle reti degli operatori telefonici. Senza entrare nel merito del funzionamento di una rete di telefonia mobile, in tale contesto è sufficiente evidenziare che il terminale mobile, quando è acceso ed ha al suo interno una SIM attiva, colloquia con la rete dell'Operatore di appartenenza in modo regolare, aggiornandola costantemente ed in maniera puntuale relativamente alla localizzazione, anche quando non è utilizzato dall'utente per effettuare telefonate o altro. Su queste informazioni, per inciso, si basano alcuni servizi di geolocalizzazione forniti dagli operatori stessi (informazioni turistiche, mappe, etc.). Tali dettagli non sono conservati all'interno della rete dell'operatore se non all'interno della documentazione di traffico storico, che costringe l'investigatore ad un arduo lavoro di ricostruzione e di analisi della localizzazione sulla base di informazioni poco dettagliate. L'unico metodo che può essere utilizzato, quindi, per individuare la posizione di un cellulare in un dato momento, "a posteriori", è quello di basarsi sui dati disponibili nei tabulati telefonici, basati a loro volta sui cartellini di traffico (Call Detail Record-CDR) generati dalle centrali telefoniche. Premesso che ogni operatore telefonico fornisce questi dati in formati differenti, sono comunque sempre presenti informazioni quali: data, ora, durata della conversazione, numerazione chiamante, numerazione chiamata, iden-tificativo del telefono (IMEI) chiamante e ricevente, cella agganciata (Cell ID) del terminale chiamante e ricevente. Per l'analisi riveste grande importanza l'informazione sulla cella, identificata dal codice Cell ID, che consente di conoscere con certezza la stazione base cui il terminale era connesso mentre stava ricevendo/trasmettendo. Ciò significa che nei momenti in cui il terminale è acceso, ma non sviluppa traffico, non è possibile conoscere (a posteriori) la cella (BTS) su cui era attestato. Nota l'informazione sulla cella, bisogna disporre delle cosiddette "mappe di copertura" della rete. Queste mappe vengono costruite dall'operatore telefonico sulla base dei parametri di configurazione della cella e del territorio e sono, sostanzialmente, una rappresentazione simulata del grado di copertura territoriale di ogni singola BTS.
https://www.vincenzocalabro.it
L'Alibi Informatico: aspetti tecnici e giuridici.Vincenzo Calabrò
Questo articolo tratta in maniera esaustiva gli aspetti tecnici e giuridici degli alibi informatici con alcuni esempi pratici.
https://www.vincenzocalabro.it
Il web 2.0 è l'insieme delle tecnologie collaborative per organizzare Internet come una piattaforma in cui tutti possono inserire i propri contributi ed interagire con gli altri utenti. Il termine nasce da una frase coniata da O'Reilly e da Dale Dougherty nel 2004 e il documento che ne ha ufficialmente sancito l'inizio risale al 30 settembre del 2005. "Il Web 2.0 è la rete intesa come una piattaforma con tutti i dispositivi collegati; le applicazioni Web 2.0 sono quelle che permettono di ottenere la maggior parte dei vantaggi intrinseci della piattaforma, fornendo il software come un servizio in continuo aggiornamento e che migliora con l'utilizzo delle persone, sfruttando e mescolando i dati da sorgenti multiple, tra cui gli utenti, i quali forniscono i propri contenuti e servizi in un modo da permetterne il riutilizzo da parte di altri utenti, e creando una serie di effetti attraverso "un'architettura della partecipazione" che va oltre la metafora delle pagine del Web 1.0 per produrre così user experience più significative". (traduzione da "Web 2.0: compact definition", Tim O'Reilly) Il web 2.0 vuole segnare una separazione netta con la New Economy dell'inizio millennio definita come web 1.0 e caratterizzata da siti web statici, di sola consultazione e con scarsa possibilità di interazione dell'utente. La tendenza attuale è quella di indicare come Web 2.0 l'insieme di tutti gli strumenti/le applicazioni online che permettono uno spiccato livello di interazione sito-utenti quali i blog, i forum, le chat, etc... In ambito aziendale, la condivisione del Web 2.0 permette di creare idee insieme a tutti i dipendenti, commentare gli sviluppi di progetti in collaborazione con i dipendenti. Tutto ciò è stato reso possibile da collegamenti ad Internet molto più veloci e dall'unione di varie tecnologie di facile apprendimento e uso. Come appena citato, Il Web 1.0 a differenza del Web 2.0 era composto prevalentemente da siti web "statici", che non davano alcuna possibilità di interazione con l'utente, eccetto la normale navigazione tra le pagine, l'uso delle e-mail e dei motori di ricerca. Il Web 2.0 viceversa costituisce un approccio filosofico alla rete che ne connota la dimensione sociale, la condivisione, l'autorialità rispetto alla mera fruizione. Il ruolo dell'utente in questo senso diventa centrale, esce dalla passività che lo contraddiceva nel Web 1.0 per diventare protagonista tramite la creazione, modifica e condivisione di contenuti multimediali a propria scelta.
https://www.vincenzocalabro.it
L'evoluzione tecnologica, in particolare quella telematica, ha cambiato profondamente e radicalmente la società odierna. Il settore delle comunicazioni è stato profondamente rivoluzionato: le forme tradizionali di comunicazione hanno lasciato spazio a forme d'interazione completamente nuove e impensabili in cui gli uomini interagiscono e arricchiscono le proprie conoscenze attraverso l'utilizzo di dispositivi capaci di comunicare con loro e fra di loro. Il nuovo millennio ha consolidato quella che è stata definita tempo prima come « rivoluzione digitale", in particolare ha permesso alla nuova società dell'informazione di imporsi in quasi tutti i contesti economici e sociali. Uno dei fattori determinanti di tale cambiamento è sicuramente rappresentato dall'approdo di Internet nella società: l'accessibilità universale al sapere comune ha in un primo momento permesso la diffusione e lo scambio di un'enorme quantità di dati e informazioni, per essere, ad oggi, sempre più perfezionati e raffinati attraverso l'evoluzione del cd semantic web. In sostanza, la moderna società è retta e si sviluppa ormai sul paradigma costituito dal settore ICT (Information and Communication Technology): se da un lato, i nuovi strumenti tecnologici hanno portato e portano tuttora indubbi vantaggi alla comunità, dall'altro si è costatato come i nuovi scenari virtuali abbiano portato allo sviluppo di un «lato oscuro del progresso». Ci si riferisce, in particolare, a quelle condotte devianti che hanno fin da subito riconosciuto le potenzialità legate ai computer e alla rete, vedendo negli stessi un terreno fertile nel quale dare vita a nuove attività illecite. Lo strumento informatico o telematico è diventato ben presto bersaglio della cd cybercriminalità la quale sostanzialmente ha sviluppato due differenti modalità operative di aggressione: la prima, dove l'azione delittuosa ha come fine quello di aggredire e compromettere sistemi informatici o telematici; la seconda, invece, che riconosce nei nuovi mezzi un veicolo attraverso il quale perpetrare, mediante modalità proprie dell'ambiente virtuale, condotte afferenti a reati tradizionali propri del "mondo fisico". Le diverse istanze di legalità e di tutela, derivanti sia dall'ambito nazionale che internazionale, hanno palesato la necessità per il legislatore di adoperarsi ai fini dell'individuazione di nuovi beni giuridici da proteggere nonché la predisposizione di misure idonee ai fini della individuazione e persecuzione dell'autore della condotta criminosa.
https://www.vincenzocalabro.it
Un dispositivo mobile è potenzialmente in grado di contenere una grande quantità di informazioni, sia relative alle azioni compiute dall'utente, sia relative ai dati in esso contenuti. Tali informazioni sono sempre più richieste come prove in indagini della magistratura poiché, a causa della loro enorme diffusione nella nostra società, gli apparecchi mobili sono spesso coinvolti in attività criminali legate, sia al crimine tradizionale, quali acquisto di droga, rapine, molestie ecc., sia al crimine elettronico, come ad esempio il furto di informazioni sensibili, che, grazie all'integrazione delle comunicazioni e all'interoperabilità con Internet, si dimostra in costante crescita. In particolare, il veloce sviluppo del settore della telefonia mobile, sta portando alla produzione di dispositivi sempre più potenti e con maggiori funzionalità; Questa crescente complessità li rende sempre più vulnerabili ad attacchi, tanto più gravi se si considera l'aumento del carico informativo che tali strumenti sono capaci di contenere. Per poter capire quali siano i dati potenzialmente rilevanti contenuti in un dispositivo mobile e quali strategie adottare per ottenerli, è necessario avere una profonda conoscenza delle caratteristiche hardware e software del dispositivo stesso. La comunità forense deve affrontare una costante sfida per tenersi al passo con le ultime tecnologie ed ottenere quelle informazioni che potrebbero essere fondamentali per il buon esito di una analisi investigativa. Nel seguito, dopo una breve introduzione sulle caratteristiche delle reti cellulari e dei dispositivi mobili, studieremo i principi e metodi per effettuare una analisi forense, vedremo come i dati ottenuti debbano essere trattati al fine di costituire delle valide prove in un contesto processuale, presenteremo una panoramica sui tool disponibili per questo tipo di analisi ed infine un caso pratico affrontato. 2. BACKGROUND Le reti di telefonia mobile sono basate su una gamma di differenti tecnologie. In questo capitolo vogliamo darne una descrizione sia dal punto di vista hardware che dal punto di vista software. Sebbene non si tratti di una descrizione esaustiva, molti di questi concetti saranno utili per comprendere i prossimi capitoli, in cui entreremo più nel dettaglio delle tecniche usate per l'analisi forense. 2.1 CARATTERISTICHE SULLE RETI CELLULARI La telefonia cellulare è una tipologia di accesso ad una rete telefonica realizzata per mezzo di onde radio e ricetrasmettitori terrestri. Il termine "cellulare" si riferisce al fatto che il sistema di comunicazione senza fili utilizzato, suddivide le grandi aree geografiche in aree più piccole chiamate celle.
https://www.vincenzocalabro.it
2. Le tracce informatiche
• Quando si usa un dispositivo elettronico si
lasciano sui dispositivi di memorizzazione ad
lasciano sui dispositivi di memorizzazione ad
esso collegati delle tracce, vale a dire artefatti
dovuti all’interazione di un utente con il
computer
• Queste tracce sono in genere dette tracce
• Queste tracce sono in genere dette tracce
informatiche o, anche, tracce digitali
www.vincenzocalabro.it Page 2 of 40
3. Le tracce informatiche
• Alcuni esempi:
– File prodotti da applicazioni di varia natura
– File prodotti da applicazioni di varia natura
– File di sistema (es. file di log)
– Informazioni relative ai file gestite direttamente
dal sistema operativo (es. data ed ora di creazione
ed ultima modifica del contenuto di un file)
– Dati trasmessi tra due o piu’ computer collegati ad
Internet
www.vincenzocalabro.it Page 3 of 40
4. Immaterialita’ delle tracce digitali
• Le tracce digitali sono immateriali
– non esistono come oggetto fisico, ma consistono
– non esistono come oggetto fisico, ma consistono
in sequenze di bit memorizzate su dei dispositivi di
archiviazione dati
• Per accedere ad una traccia digitale, occorre
quindi accedere al dispositivo su cui essa e’
memorizzata
quindi accedere al dispositivo su cui essa e’
memorizzata
www.vincenzocalabro.it Page 4 of 40
5. I dispositivi di memorizzazione
• Dispositivi di memorizzazione persistenti: non
necessitano di alimentazione per mantenere i
necessitano di alimentazione per mantenere i
dati memorizzati
– hard disk, penne USB, CD/DVD-ROM, nastri, schede di
memoria di vario tipo (Compact Flash, Secure Digital,
MMC, …)
• Dispositivi di memorizzazione volatili: i dati
memorizzati sono persi nel momento in cui si
memorizzati sono persi nel momento in cui si
interrompe l’alimentazione
– Memoria RAM del computer, telefonino, palmare, ecc.
www.vincenzocalabro.it Page 5 of 40
6. Evidenza digitale: una definizione
• “Qualsiasi informazione, con valore
probatorio, che sia memorizzata o trasmessa
probatorio, che sia memorizzata o trasmessa
in formato digitale “ [Scientific Working Group
on Digital Evidence, 1998]
www.vincenzocalabro.it Page 6 of 40
7. Da traccia ad evidenza digitale
• Affinche’ una traccia digitale assuma valore
probatorio , e’ necessario che essa sia:
probatorio , e’ necessario che essa sia:
– Autentica: vi e’ certezza della sua provenienza
– Integra: priva di alterazioni
– Veritiera: ottenuta mediante una corretta
interpretazione dei dati
– Completa: sono stati raccolti ed interpretati tutti i
– Completa: sono stati raccolti ed interpretati tutti i
dati ad essa relativi
– Legale: e’ stata raccolta nel rispetto delle leggi
vigenti
www.vincenzocalabro.it Page 7 of 40
8. Autenticita’ di una traccia digitale
• Determinazione certa della sua provenienza
– Individuazione della catena causale che ha portato
– Individuazione della catena causale che ha portato
alla sua comparsa nel dispositivo in cui essa e’
memorizzata
• Esempio: la presenza di un determinato file in
un disco puo’ essere dovuta alle operazioni
compiute da un virus , o da un terzo, piuttosto
un disco puo’ essere dovuta alle operazioni
compiute da un virus , o da un terzo, piuttosto
che da un’azione volontaria di dato utente
www.vincenzocalabro.it Page 8 of 40
9. Integrita’ di una traccia digitale
• Le tracce digitali sono fragili, cioe’ facilmente
modificabili nel caso in cui i dispositivi che le
modificabili nel caso in cui i dispositivi che le
contengono siano maneggiati in modo
inappropriato
– L’accensione di un computer spento comporta la
scrittura e/o modifica di numerosi file sul suo disco di
sistema
– L’esplorazione del contenuto di un hard disk comporta
la modifica di varie proprieta’ importanti dei file, come
la modifica di varie proprieta’ importanti dei file, come
ad esempio l’ora e la data dell’ultimo accesso
– Lo spegnimento di un computer determina la perdita
delle evidenze contenute nella sua memoria volatile
www.vincenzocalabro.it Page 9 of 40
10. Integrita’ di una traccia digitale
• La fragilita’ delle tracce digitali impone l’utilizzo
di metodologie e strumenti in grado di garantire
di metodologie e strumenti in grado di garantire
in modo dimostrabile che l’evidenza non e’ stata
modificata accidentalmente o deliberatamente
durante la sua conservazione ed analisi
www.vincenzocalabro.it Page 10 of 40
11. Veridicita’ di una traccia digitale
• Una traccia digitale consiste in una o piu’
informazioni reperite in un dispositivo di
informazioni reperite in un dispositivo di
memorizzazione
• Un computer si limita a memorizzare dati
– sequenze arbitrarie di bit (unita’ elementare di
informazione che puo’ assumere unicamente i due valori
‘0’ ed ‘1’)
Informazione = dato+interpretazione
• Informazione = dato+interpretazione
– per essere trasformate in informazioni, e quindi tracce
digitali, i dati grezzi devono essere interpretati
www.vincenzocalabro.it Page 11 of 40
12. Veridicita’ di una traccia digitale
• Problema: data una sequenza di bit, la sua
interpretazione non e’ univoca
interpretazione non e’ univoca
• Ad esempio, la sequenza di bit 1111101 puo’
essere interpretata come:
– il numero intero positivo 125
– Il numero intero negativo -3
– Il numero intero negativo -3
– il carattere ‘}’
– sono possibili molte altre interpretazioni
www.vincenzocalabro.it Page 12 of 40
13. Veridicita’ di una traccia digitale
• Una corretta interpretazione richiede la
conoscenza certa del significato del dato in
conoscenza certa del significato del dato in
questione
• che a sua volta richiede la conoscenza profonda
del funzionamento del sistema informatico e
delle applicazioni che lo hanno prodotto
delle applicazioni che lo hanno prodotto
– notevole difficolta’ dovuta alla complessita’ dei
sistemi informatici moderni
www.vincenzocalabro.it Page 13 of 40
14. Completezza di una traccia digitale
• La corretta interpretazione di una traccia digitale puo’
richiedere l’analisi di piu’ informazioni ad essa relative
richiedere l’analisi di piu’ informazioni ad essa relative
• Esempio: per accertare l’intenzionalita’ di un utente nel
detenere materiale illecito, bisogna non solo reperire il
materiale, ma anche accertare che
– Lo stesso sia presente in cartelle non di sistema (per
esempio i cosiddetti “file temporanei di Internet”), e che
magari sia organizzato in cartelle o sottocartelle
magari sia organizzato in cartelle o sottocartelle
– Lo stesso non sia frutto di visualizzazione di finestre di
“pop-up” aperte automaticamente da un sito web durante
la sua visita
– …
www.vincenzocalabro.it Page 14 of 40
15. Completezza di una traccia digitale
• Anche in questo caso e’ richiesta una
conoscenza profonda delle dinamiche delle
conoscenza profonda delle dinamiche delle
varie applicazioni e delle componenti del
sistema operativo, nonche’ delle loro
interazioni
www.vincenzocalabro.it Page 15 of 40
16. Informatica Forense
• L’Informatica forense studia metodologie e
strumenti per la raccolta, l’interpretazione,
strumenti per la raccolta, l’interpretazione,
l’analisi, e la conservazione di evidenze digitali
in modo da garantirne autenticita’, integrita’,
veridicita’, completezza
• La simultanea presenza di queste proprieta’
rendono l’evidenza digitale non ripudiabile, e
rendono l’evidenza digitale non ripudiabile, e
quindi efficacemente utilizzabile in giudizio
www.vincenzocalabro.it Page 16 of 40
17. Legislazione rilevante
• Sino a pochissimo tempo fa, le procedure di
gestione dell’evidenza digitale non erano
gestione dell’evidenza digitale non erano
regolamentate in alcun modo
• La recentissima ratifica della Convenzione del
Consiglio d’Europa sulla criminalita’
informatica prevede per la prima volta la
informatica prevede per la prima volta la
necessita’ di adottare specifiche cautele nella
gestione dell’evidenza digitale
www.vincenzocalabro.it Page 17 of 40
18. Legislazione rilevante
• In particolare, e’ previsto che nelle operazioni di
perquisizione e sequestro di dati digitali ad opera
perquisizione e sequestro di dati digitali ad opera
della P.G.
– siano adottate “misure tecniche dirette ad assicurare
la conservazione dei dati originali e ad impedirne
l’alterazione” (artt. 8 commi 1 e 2, 9 commi 1 e 3)
– “la loro acquisizione avvenga mediante copia di essi su
– “la loro acquisizione avvenga mediante copia di essi su
adeguato supporto con una procedura che assicuri la
conformita’ dei dati acquisiti a quelli originali e la loro
immodificabilita’” (artt. 8 commi 5 ed 8, 9 comma 3)
www.vincenzocalabro.it Page 18 of 40
19. Legislazione rilevante
• Il legislatore non specifica pero’ quali debbanno
essere le procedure che permettono di rispettare
essere le procedure che permettono di rispettare
le suddette disposizioni
• Una risposta in tal senso e’ fornita dalle
cosiddette “Best practices”
– linee guida che specificano le migliori procedure per
– linee guida che specificano le migliori procedure per
la gestione dell’evidenza digitale
www.vincenzocalabro.it Page 19 of 40
20. Best practices
• In alcuni paesi anglosassoni (USA e UK)
formalizzate da documenti emanati da
formalizzate da documenti emanati da
organismi istituzionali
– Association of Chief Police Officers (ACPO) in Gran
Bretagna [ACPO 2007]
– US Department of Justice – National Institute of
Justice – USA [NIJ 2004] e [NIJ 2007]
Justice – USA [NIJ 2004] e [NIJ 2007]
www.vincenzocalabro.it Page 20 of 40
24. Possibilita’ di errore
• Le metodologie e gli strumenti utilizzati
nell’Informatica Forense non sono perfetti, e
nell’Informatica Forense non sono perfetti, e
possono dare luogo ad errori di varia natura,
che possono inficiare in toto o in parte la
valenza probatoria delle tracce informatiche
riscontrate
riscontrate
www.vincenzocalabro.it Page 24 of 40
25. Contaminazione dell’evidenza digitale
• Gli errori piu’ frequentemente riscontrati
sono:
sono:
– collegamento di un disco ad un PC senza write
blocker con conseguente modifica di dati e/o
metadati e discrepanza tra i codici di hash
– accensione di un PC congelato e suo collegamento
ad Internet (con proseguimento di attivita’ di
ad Internet (con proseguimento di attivita’ di
download / file sharing)
– ispezione di un PC acceso
www.vincenzocalabro.it Page 25 of 40
26. Identita’ virtuale ed identita’ reale
• Spesso si tende a confondere l’identita’ virtuale di
un utente con quella reale di una persona
un utente con quella reale di una persona
– le evidenze digitali permettono di individuare
l’identificatore dell’utente (login name) che ha
compiuto determinate azioni con un certo computer
– questo non e’ pero’ di per se sufficiente per stabilire
con certezza l’identita’ reale della persona che ha
commesso un dato fatto
– l’analista dovrebbe (anche nella sua relazione finale)
– l’analista dovrebbe (anche nella sua relazione finale)
non attribuire mai le attivita’ individuate sul computer
ad una persona, quanto piuttosto ad un particolare
utente definito nella configurazione del sistema
operativo del computer
www.vincenzocalabro.it Page 26 of 40
27. Gestione dell’informazione temporale
• Le evidenze che riguardano informazioni
temporali sono quelle piu’ delicate da gestire
temporali sono quelle piu’ delicate da gestire
• Eventuali errori nella loro gestione possono
inficiare ogni ricostruzione temporale delle
attivita’ reperite su un computer
www.vincenzocalabro.it Page 27 of 40
28. Gestione dell’informazione temporale
• Errore 1: non rilevare e documentare le
impostazioni di data ed ora del BIOS del
impostazioni di data ed ora del BIOS del
computer all’atto del congelamento
– le varie informazioni temporali memorizzate dal
sistema operativo nei tempi MACE o nei file di log, e
dalle applicazioni nei metadati che esse producono,
sono lette dalle impostazioni dell’orologio del
computer
computer
– se l’orologio e’ impostato ad un valore diverso da
quello corretto, i riferimenti temporali possono essere
errati
www.vincenzocalabro.it Page 28 of 40
29. Gestione dell’informazione temporale
• Errore 2: non controllare (ed eventualmente
confermare o escludere) l’eventuale presenza
confermare o escludere) l’eventuale presenza
di modifiche all’orologio del sistema
– se anche le impostazioni del BIOS dovessero
risultare corrette all’atto del congelamento, le
stesse potrebbero essere state modificate in
momenti precedenti
momenti precedenti
– in tal caso, alcune informazioni temporali
sarebbero errate, mentre altre sarebbero corrette
www.vincenzocalabro.it Page 29 of 40
30. Gestione dell’informazione temporale
• Errore 3: errori di interpretazione e
conversione dell’informazione temporale
conversione dell’informazione temporale
– Le informazioni temporali possono essere
memorizzate in molti modi diversi
– In generale, le informazioni temporali sono
memorizzate come numero di unita’ temporali
(secondi, minuti, millisecondi, ecc.) trascorse da
(secondi, minuti, millisecondi, ecc.) trascorse da
un certo istante (questa quantita’ e’ detta offset)
www.vincenzocalabro.it Page 30 of 40
31. Gestione dell’informazione temporale
• Differenze di unita’ di misura
– Componenti del sistema operativo diverse, o applicazioni
diverse, possono usare unita’ diverse
– Componenti del sistema operativo diverse, o applicazioni
diverse, possono usare unita’ diverse
• Differenze di momento di riferimento
– Il momento a partire dal quale si misura l’offset puo’
essere diverso (ad esempio, corrisponde alle 00:00 del
1/1/1970 nei sistemi Unix, ed alle 00:00 del 1/1/1601 nei
sistemi Windows)
• Differenze di zona oraria
• Differenze di zona oraria
– Applicazioni diverse possono riferire le informazioni
temporali da esse memorizzate a zone orarie diverse (ad
esempio, UTC o zona locale, oppure ora solare o ora legale)
www.vincenzocalabro.it Page 31 of 40
32. Gestione dell’informazione temporale
• In sintesi, la gestione dell’informazione
temporale nel corso di una investigazione
temporale nel corso di una investigazione
digitale deve essere effettuata con la massima
cura
– e’ una grave negligenza non documentare nella
relazione finale le procedure utilizzate per
trattarla, che lascia la porta aperta a contestazioni
trattarla, che lascia la porta aperta a contestazioni
successive
www.vincenzocalabro.it Page 32 of 40
33. Gestione dell’informazione temporale
• La presenza di eventuali alterazioni puo’
essere accertata in diversi modi
essere accertata in diversi modi
• Il mancato reperimento di modifiche, invece,
non permette di escludere con certezza che le
stesse non si siano verificate e che le tracce
siano state successivamente cancellate
siano state successivamente cancellate
– occorre fornire il maggior numero di elementi che
supportino l’ipotesi di assenza di modifiche
www.vincenzocalabro.it Page 33 of 40
34. Non considerare il quadro d’insieme
• I computer sono sistemi complicati in cui una data traccia
digitale puo’ essere dovuta a diverse cause: occorre
escludere tutte le ipotesi che non spiegano l’evidenza
escludere tutte le ipotesi che non spiegano l’evidenza
• Ad esempio, il ritrovamento di file illeciti su un PC puo’ non
essere sufficiente se non si e’ in grado di dimomstrare che
l’utente li ha scaricati intenzionalmente:
– sono nei file temporanei di Internet o sono organizzati in
cartelle/sottocartelle?
– Sono presenti virus/trojan che possono aver trasferito il
materiale?
materiale?
– Sono stati scaricati in conseguenza a visite involontare a siti
web, dovute a redirezioni automatiche oppure alla comparsa di
finestre di “pop up”?
www.vincenzocalabro.it Page 34 of 40
35. Errori nell’interpretazione degli artefatti
• Una conoscenza incompleta o imprecisa del
funzionamento del sistema operativo e delle
funzionamento del sistema operativo e delle
applicazioni puo’ portare ad interpretare
erroneamente il significato di una traccia
digitale
– decodifica dei record di un file di log
– decodifica dei record di un file di log
– interpretazione delle date MACE
www.vincenzocalabro.it Page 35 of 40
36. Errori nell’interpretazione dei dati
• Le tracce digitali sono il risultato
dell’interpretazione di dati memorizzati
dell’interpretazione di dati memorizzati
fisicamente sui dispositivi
• Se l’interpretazione e’ errata, sono errate le
conclusioni cui si giunge
www.vincenzocalabro.it Page 36 of 40
37. Errori del software di analisi
• Un programma software contiene sempre dei
bug dovuti ad errori di programmazione o
bug dovuti ad errori di programmazione o
ingnoranza del programmatore
– La maggioranza dei software di analisi forense
sono di tipo commerciale e closed-source, e non
permettono l’ispezione del codice per accertare
eventuali errori
eventuali errori
– L’analista dovrebbe sempre validare i propri
risultati, al fine da escludere al presenza di errori
www.vincenzocalabro.it Page 37 of 40
38. Ammissibilita’ e test scientifici
• Idealmente, l’ammissibilita’ di un dato strumento
o procedura dovrebbe essere subordinata al
o procedura dovrebbe essere subordinata al
superamento di test specifici (per es. il Test di
Daubert):
– testing: verifica sperimentale della procedura
– error rate: la percentuale di errore deve essere nota
– publication: pubblicazione della procedura su
riviste/congressi peer-reviewed
– publication: pubblicazione della procedura su
riviste/congressi peer-reviewed
– acceptance: la procedura e’ generalmente accettata
dalla comunita’ scientifica di riferimento
www.vincenzocalabro.it Page 38 of 40
39. Il buon analista [Monga 2006]
• Formazione ed aggiornamento
– so quel che faccio
– so quel che faccio
• Verifiche incrociate ed indipendenti
– lo so fare in molti modi
• Adesione a standard d’azione internazionali
– molti altri fanno come me
• Scrupolosa reportistica
– tutto cio’ che faccio lo documento in modo che possa
essere esaminato in contraddittorio
www.vincenzocalabro.it Page 39 of 40
40. Conclusioni
• Le tecniche di Informatica Forense assumono un ruolo
sempre piu’ importante sia in ambito civile che penale
sempre piu’ importante sia in ambito civile che penale
• Necessaria una maggior comprensione delle sue
potenzialita’ e problematiche da parte degli “operatori
del diritto” (magistratura, avvocati, p.g.)
• Ancora troppa improvvisazione da parte di consulenti e
periti che spesso mancano di una formazione specifica
• Poco applicate le regole previste dalle best practices e
• Poco applicate le regole previste dalle best practices e
dalle discipline forensi classiche
www.vincenzocalabro.it Page 40 of 40
