Il 4 giugno 2011, presso il Centro Studi Informatica Giuridica di Reggio Calabria, Vincenzo Calabrò ha tenuto un seminario dal titolo: Tracciabilita' delle Operazioni in Rete e Network Forensics. Questo seminario ha come obiettivo l'analisi delle problematiche lagate alla tracciabilità delle operazioni in Rete e cenni di Network Forensics.
https://www.vincenzocalabro.it
In Aziende medio grandi, con centinaia di postazioni di lavoro, dispositivi mobile e server in cloud e on premises, la Digital Forensics e soprattutto l’approccio DFIR sono strumenti fondamentali per gestire in efficienza ed efficacia situazioni di incident handling come data breach o violazione dei sistemi, ma anche per la gestione di indagini e investigazioni informatiche aziendali per la tutela del patrimonio aziendale: proprietà intellettuale, protezione dati, dipendenti infedeli, furti di informazioni riservate; inoltre processi e strumenti della DF e della DFIR possono essere usati proficuamente per Audit di sicurezza in ambito ISO, Dlgs 231/01, GDPR, COBIT, etc.. garantendo una raccolta delle prove di tipo "forense".
Velociraptor e AWX Ansible due strumenti open molto diversi che si usano in ambito corporate per eseguire indagini informatiche e raccogliere prove su larga scala con modalità forensi.
Vincenzo Calabrò - Evidenza Digitale e Informatica ForenseVincenzo Calabrò
Il 3 maggio 2009, presso il Centro Studi Informatica Giuridica di Reggio Calabria, Vincenzo Calabrò ha tenuto un seminario dal titolo: Evidenza Digitale e Informatica Forense. Questo seminario intende approfondire gli aspetti legati alla fragilità delle prove digitali e le contromisure per renderle idonee a sostenere un dibattimento.
https://www.vincenzocalabro.it
Il 20 aprile 2003, presso la Scuola Superiore dell'Amministrazione dell'Interno, Vincenzo Calabrò ha tenuto un seminario dal titolo: Sicurezza in Rete. Questo seminario introduce ai principi, la metodologia ed alcune applicazioni pratiche relative alla Sicurezza in Rete.
https://www.vincenzocalabro.it
Esistono diversi strumenti per l’analisi forense per indagare gli attacchi sulla rete. In questa presentazione discuteremo degli strumenti alcuni disponibili gratuitamente e altri a pagamento
Innanzitutto, la presentazione inizia con la descrizione del tool NetworkMiner e con un relativo esempio su come rilevare un malware Zyklon utilizzando l’apposito strumento.
Poi la presentazione continua con il tool Colasoft Copsa un software che permette di acquisire e analizzare il traffico di rete, verranno spiegate le sezioni che si trovano nel menù principale dell’applicazione e infine come rilevare il worm SQL Slammer.
Infine, viene presentato il tool E-Detective un sistema di intercettazione (sniffing), analisi forense, auditing e record keeping , verrà spiegato brevemente come viene implementato il sistema e le principali funzionalità della GUI Web.
In Aziende medio grandi, con centinaia di postazioni di lavoro, dispositivi mobile e server in cloud e on premises, la Digital Forensics e soprattutto l’approccio DFIR sono strumenti fondamentali per gestire in efficienza ed efficacia situazioni di incident handling come data breach o violazione dei sistemi, ma anche per la gestione di indagini e investigazioni informatiche aziendali per la tutela del patrimonio aziendale: proprietà intellettuale, protezione dati, dipendenti infedeli, furti di informazioni riservate; inoltre processi e strumenti della DF e della DFIR possono essere usati proficuamente per Audit di sicurezza in ambito ISO, Dlgs 231/01, GDPR, COBIT, etc.. garantendo una raccolta delle prove di tipo "forense".
Velociraptor e AWX Ansible due strumenti open molto diversi che si usano in ambito corporate per eseguire indagini informatiche e raccogliere prove su larga scala con modalità forensi.
Vincenzo Calabrò - Evidenza Digitale e Informatica ForenseVincenzo Calabrò
Il 3 maggio 2009, presso il Centro Studi Informatica Giuridica di Reggio Calabria, Vincenzo Calabrò ha tenuto un seminario dal titolo: Evidenza Digitale e Informatica Forense. Questo seminario intende approfondire gli aspetti legati alla fragilità delle prove digitali e le contromisure per renderle idonee a sostenere un dibattimento.
https://www.vincenzocalabro.it
Il 20 aprile 2003, presso la Scuola Superiore dell'Amministrazione dell'Interno, Vincenzo Calabrò ha tenuto un seminario dal titolo: Sicurezza in Rete. Questo seminario introduce ai principi, la metodologia ed alcune applicazioni pratiche relative alla Sicurezza in Rete.
https://www.vincenzocalabro.it
Esistono diversi strumenti per l’analisi forense per indagare gli attacchi sulla rete. In questa presentazione discuteremo degli strumenti alcuni disponibili gratuitamente e altri a pagamento
Innanzitutto, la presentazione inizia con la descrizione del tool NetworkMiner e con un relativo esempio su come rilevare un malware Zyklon utilizzando l’apposito strumento.
Poi la presentazione continua con il tool Colasoft Copsa un software che permette di acquisire e analizzare il traffico di rete, verranno spiegate le sezioni che si trovano nel menù principale dell’applicazione e infine come rilevare il worm SQL Slammer.
Infine, viene presentato il tool E-Detective un sistema di intercettazione (sniffing), analisi forense, auditing e record keeping , verrà spiegato brevemente come viene implementato il sistema e le principali funzionalità della GUI Web.
Vincenzo Calabrò - Strumenti e Tecniche per la creazione di un Falso Alibi In...Vincenzo Calabrò
Il 21 aprile 2010, presso il Centro Studi Informatica Giuridica di Reggio Calabria, Vincenzo Calabrò ha tenuto un seminario dal titolo: Strumenti e Tecniche per la creazione di un Falso Alibi Informatico. Questo seminario ha come obiettivo la creazione di un Alibi Informatico al fine di fornire un metodo di analisi per verificare la genuinità degli stessi
https://www.vincenzocalabro.it
Il “captatore informatico”uno strumento d'indagine tra esigenze investigative...Giovanni Fiorino
La necessità di adeguare l'attività d'indagine agli strumenti informatici o telematici - sempre più al centro dell'attenzione sia quali strumenti idonei alla commissione di reati sia quali canali di comunicazione utili alla ricerca dei mezzi di prova - ha posto all'attenzione degli operatori del diritto la questione inerente l'utilizzabilità di veri e propri "virus di Stato", i c.d. "captatori informatici", idonei sia a duplicare il contenuto di dispositivi informatici sia ad intercettare comunicazioni altrimenti non intellegibili poiché "criptate".
Il tutto - com'è ovvio - all'oscuro del titolare del dispositivo informatico, nell'ottica della segretezza dell'attività d'indagine.
Sia i Tribunali di merito che la Corte di Cassazione - da ultima, a Sezioni Unite, con la sentenza n. 26889/2016 - hanno esaminato gli aspetti problematici di tale strumento d'indagine, nell'ottica di un bilanciamento - non sempre raggiunto - tra l'esigenza di accertamento di reati e le garanzie difensive.
Introduzione alle metodologie e tipologie di strumenti per il rilevamento di intrusioni informatiche.
Talk tenuto da Alessandro Tanasi (http://www.tanasi.it)
Il Diritto Processuale Penale dell’Informatica e le Investigazioni InformaticheVincenzo Calabrò
Dal punto di vista normativo, con particolare riferimento alla Ratifica della Convenzione di Budapest del 2001, il Legislatore Italiano ha preso atto dell'evoluzione tecnologica in corso ed ha quindi predisposto gli opportuni interventi legislativi necessari al fine di contrastare il sempre crescente fenomeno della criminalità informatica. Allo stesso tempo, il Legislatore ha previsto adeguati strumenti d'indagine e nuove garanzie processuali con particolare riferimento alle investigazioni informatiche. La costante presenza di apparecchiature informatiche e digitali sulla scena di un crimine, l'importanza delle informazioni in esse contenute, la fragilità e volatilità del dato informatico, l'importanza della corretta acquisizione e gestione delle prove informatiche, anche per il loro uso in dibattimento, sono condizioni che hanno creato il terreno fertile per la nascita di una nuova branca delle scienze forensi, nota come computer forensics 1. Secondo la migliore dottrina, la computer forensics è «la disciplina che si occupa della preservazione, dell'identificazione, dello studio, delle informazioni contenute nei computer, o nei sistemi informativi in generale, al fine di evidenziare l'esistenza di prove utili allo svolgimento dell'attività investigativa» 2. Ogni dispositivo tecnologico rinvenuto sulla scena di un crimine ha due distinti aspetti: quello fisico, ove 1 ZICCARDI e LUPÀRIA sostengono che «contestualmente al mutuamento portato, nelle società, dalle nuove tecnologie e, in particolare, dall'avvento dell'elaboratore elettronico e delle reti, si è verificato un cambiamento nelle modalità di rilevazione, gestione, raccolta ed analisi di elementi che, in senso lato e assolutamente generico, si potrebbero definire fonti di prova, prova, indizio o testimonianza» in LUPARIA-ZICCARDI, Investigazione penale e tecnologia informatica, Milano, 2008, 3 e ss. 2 GHIRARDINI-FAGGIOLI, Computer Forensics, Milano, 2009, 1 e ss., LUPARIA, ZICCARDI, op. cit, 3 e ss. si possono rinvenire impronte digitali e altri elementi di prova tipici degli oggetti di uso comune, e quello logico, costituito dai dati contenuti nella memoria del dispositivo. L'esperto di computer forensics che si occupa di identificare, analizzare e produrre in giudizio delle prove informatiche, pertanto, deve possedere una specifica competenza ed esperienza in ambito informatico e telematico ed anche una buona conoscenza delle norme processuali attinenti principalmente le fasi di perquisizione, ispezione e sequestro.
https://www.vincenzocalabro.it
linux day 2009, itis divini, Computer Forensics - classe 5° sezione F - A cura di Adriano Calvitto
Michele Curletta e con la partecipazione di Oliver Chacou
La sicurezza non è un prodotto, ma un processo. IL CONCETTO DI SICUREZZA INFORMATICA La sicurezza informatica ha come obiettivi: • il controllo del diritto di accesso alle informazioni; • la protezione delle risorse da danneggiamenti volontari o involontari; • la protezione delle informazioni mentre esse sono in transito sulla rete; • la verifica dell'identità dell'interlocutore, in particolare la certezza che sia veramente chi dice di essere. Per creare sicurezza bisogna prima studiare: • chi può attaccare il sistema, perché lo fa e cosa cerca; • quali sono i punti deboli del sistema; • quanto costa la sicurezza rispetto al valore da proteggere e rispetto al valore dei danni causati; • con quale cadenza gli apparati/sistemi di sicurezza vengono aggiornati. Il ciclo di vita della sicurezza informatica prevede: 1. Prevention: è necessario implementare delle misure per prevenire lo sfruttamento delle vulnerabilità del sistema. 2. Detection: è importante rilevare prontamente il problema; prima si rileva il problema, più semplice è la sua risoluzione. 3. Response: è necessario sviluppare un piano appropriato di intervento in caso di violazione con individuazione delle responsabilità e le azioni da intraprendere. Occorre tenere ben presente l'importanza del documento di Auditing del sistema: il documento analizza la struttura del sistema e individua le operazioni atte a verificare lo stato di salute del sistema con varie tipologie di verifica della sicurezza. Gli elementi da considerare in un progetto di sicurezza informatica sono, nell'ordine: 1. beni da proteggere 2. minacce 3. agenti 4. vulnerabilità 5. vincoli 6. misure di protezione Gli elementi elencati sono raccolti nel documento di Risk Analysis. Questo documento permette di conoscere qual è il rischio di subire danni al proprio sistema informatico e, di conseguenza, di preparare una mappa delle possibili contromisure da adottare. Il Vulnerability Assesment permette di raccogliere informazioni sul sistema informatico tramite la registrazione dei potenziali problemi di sicurezza individuati. Si decide poi di proseguire con il Penetration Test per controllare la sicurezza del sistema informatico con una serie di attacchi mirati alla ricerca di problemi di sicurezza. La nascita di nuovi problemi per la sicurezza informatica.
https://www.vincenzocalabro.it
Vincenzo Calabrò - Generazione ed Analisi di una Timeline ForenseVincenzo Calabrò
L'8 maggio 2012, presso il Centro Studi Informatica Giuridica di Reggio Calabria, Vincenzo Calabrò ha tenuto un seminario dal titolo: Generazione ed Analisi di una Timeline Forense. Questo seminario illustra gli aspetti tecnici ed alcune metodologie per la Creazione e l'Analisi di una Timeline in ambito forense e dell'incident response.
https://www.vincenzocalabro.it
Vincenzo Calabrò - Modalità di intervento del Consulente TecnicoVincenzo Calabrò
Il 19 maggio 2007, presso il Centro Studi Informatica Giuridica di Reggio Calabria, Vincenzo Calabrò ha tenuto un seminario dal titolo: Modalità di intervento del Consulente Tecnico. Questo seminario ha come obiettivo la trattazione delle problematiche e delle modalità operative che un consulente tecnico di parte può affrontare durante un'indagine d'informatica forense.
https://www.vincenzocalabro.it
More Related Content
Similar to Vincenzo Calabrò - Tracciabilita' delle Operazioni in Rete e Network Forensics
Vincenzo Calabrò - Strumenti e Tecniche per la creazione di un Falso Alibi In...Vincenzo Calabrò
Il 21 aprile 2010, presso il Centro Studi Informatica Giuridica di Reggio Calabria, Vincenzo Calabrò ha tenuto un seminario dal titolo: Strumenti e Tecniche per la creazione di un Falso Alibi Informatico. Questo seminario ha come obiettivo la creazione di un Alibi Informatico al fine di fornire un metodo di analisi per verificare la genuinità degli stessi
https://www.vincenzocalabro.it
Il “captatore informatico”uno strumento d'indagine tra esigenze investigative...Giovanni Fiorino
La necessità di adeguare l'attività d'indagine agli strumenti informatici o telematici - sempre più al centro dell'attenzione sia quali strumenti idonei alla commissione di reati sia quali canali di comunicazione utili alla ricerca dei mezzi di prova - ha posto all'attenzione degli operatori del diritto la questione inerente l'utilizzabilità di veri e propri "virus di Stato", i c.d. "captatori informatici", idonei sia a duplicare il contenuto di dispositivi informatici sia ad intercettare comunicazioni altrimenti non intellegibili poiché "criptate".
Il tutto - com'è ovvio - all'oscuro del titolare del dispositivo informatico, nell'ottica della segretezza dell'attività d'indagine.
Sia i Tribunali di merito che la Corte di Cassazione - da ultima, a Sezioni Unite, con la sentenza n. 26889/2016 - hanno esaminato gli aspetti problematici di tale strumento d'indagine, nell'ottica di un bilanciamento - non sempre raggiunto - tra l'esigenza di accertamento di reati e le garanzie difensive.
Introduzione alle metodologie e tipologie di strumenti per il rilevamento di intrusioni informatiche.
Talk tenuto da Alessandro Tanasi (http://www.tanasi.it)
Il Diritto Processuale Penale dell’Informatica e le Investigazioni InformaticheVincenzo Calabrò
Dal punto di vista normativo, con particolare riferimento alla Ratifica della Convenzione di Budapest del 2001, il Legislatore Italiano ha preso atto dell'evoluzione tecnologica in corso ed ha quindi predisposto gli opportuni interventi legislativi necessari al fine di contrastare il sempre crescente fenomeno della criminalità informatica. Allo stesso tempo, il Legislatore ha previsto adeguati strumenti d'indagine e nuove garanzie processuali con particolare riferimento alle investigazioni informatiche. La costante presenza di apparecchiature informatiche e digitali sulla scena di un crimine, l'importanza delle informazioni in esse contenute, la fragilità e volatilità del dato informatico, l'importanza della corretta acquisizione e gestione delle prove informatiche, anche per il loro uso in dibattimento, sono condizioni che hanno creato il terreno fertile per la nascita di una nuova branca delle scienze forensi, nota come computer forensics 1. Secondo la migliore dottrina, la computer forensics è «la disciplina che si occupa della preservazione, dell'identificazione, dello studio, delle informazioni contenute nei computer, o nei sistemi informativi in generale, al fine di evidenziare l'esistenza di prove utili allo svolgimento dell'attività investigativa» 2. Ogni dispositivo tecnologico rinvenuto sulla scena di un crimine ha due distinti aspetti: quello fisico, ove 1 ZICCARDI e LUPÀRIA sostengono che «contestualmente al mutuamento portato, nelle società, dalle nuove tecnologie e, in particolare, dall'avvento dell'elaboratore elettronico e delle reti, si è verificato un cambiamento nelle modalità di rilevazione, gestione, raccolta ed analisi di elementi che, in senso lato e assolutamente generico, si potrebbero definire fonti di prova, prova, indizio o testimonianza» in LUPARIA-ZICCARDI, Investigazione penale e tecnologia informatica, Milano, 2008, 3 e ss. 2 GHIRARDINI-FAGGIOLI, Computer Forensics, Milano, 2009, 1 e ss., LUPARIA, ZICCARDI, op. cit, 3 e ss. si possono rinvenire impronte digitali e altri elementi di prova tipici degli oggetti di uso comune, e quello logico, costituito dai dati contenuti nella memoria del dispositivo. L'esperto di computer forensics che si occupa di identificare, analizzare e produrre in giudizio delle prove informatiche, pertanto, deve possedere una specifica competenza ed esperienza in ambito informatico e telematico ed anche una buona conoscenza delle norme processuali attinenti principalmente le fasi di perquisizione, ispezione e sequestro.
https://www.vincenzocalabro.it
linux day 2009, itis divini, Computer Forensics - classe 5° sezione F - A cura di Adriano Calvitto
Michele Curletta e con la partecipazione di Oliver Chacou
La sicurezza non è un prodotto, ma un processo. IL CONCETTO DI SICUREZZA INFORMATICA La sicurezza informatica ha come obiettivi: • il controllo del diritto di accesso alle informazioni; • la protezione delle risorse da danneggiamenti volontari o involontari; • la protezione delle informazioni mentre esse sono in transito sulla rete; • la verifica dell'identità dell'interlocutore, in particolare la certezza che sia veramente chi dice di essere. Per creare sicurezza bisogna prima studiare: • chi può attaccare il sistema, perché lo fa e cosa cerca; • quali sono i punti deboli del sistema; • quanto costa la sicurezza rispetto al valore da proteggere e rispetto al valore dei danni causati; • con quale cadenza gli apparati/sistemi di sicurezza vengono aggiornati. Il ciclo di vita della sicurezza informatica prevede: 1. Prevention: è necessario implementare delle misure per prevenire lo sfruttamento delle vulnerabilità del sistema. 2. Detection: è importante rilevare prontamente il problema; prima si rileva il problema, più semplice è la sua risoluzione. 3. Response: è necessario sviluppare un piano appropriato di intervento in caso di violazione con individuazione delle responsabilità e le azioni da intraprendere. Occorre tenere ben presente l'importanza del documento di Auditing del sistema: il documento analizza la struttura del sistema e individua le operazioni atte a verificare lo stato di salute del sistema con varie tipologie di verifica della sicurezza. Gli elementi da considerare in un progetto di sicurezza informatica sono, nell'ordine: 1. beni da proteggere 2. minacce 3. agenti 4. vulnerabilità 5. vincoli 6. misure di protezione Gli elementi elencati sono raccolti nel documento di Risk Analysis. Questo documento permette di conoscere qual è il rischio di subire danni al proprio sistema informatico e, di conseguenza, di preparare una mappa delle possibili contromisure da adottare. Il Vulnerability Assesment permette di raccogliere informazioni sul sistema informatico tramite la registrazione dei potenziali problemi di sicurezza individuati. Si decide poi di proseguire con il Penetration Test per controllare la sicurezza del sistema informatico con una serie di attacchi mirati alla ricerca di problemi di sicurezza. La nascita di nuovi problemi per la sicurezza informatica.
https://www.vincenzocalabro.it
Vincenzo Calabrò - Generazione ed Analisi di una Timeline ForenseVincenzo Calabrò
L'8 maggio 2012, presso il Centro Studi Informatica Giuridica di Reggio Calabria, Vincenzo Calabrò ha tenuto un seminario dal titolo: Generazione ed Analisi di una Timeline Forense. Questo seminario illustra gli aspetti tecnici ed alcune metodologie per la Creazione e l'Analisi di una Timeline in ambito forense e dell'incident response.
https://www.vincenzocalabro.it
Vincenzo Calabrò - Modalità di intervento del Consulente TecnicoVincenzo Calabrò
Il 19 maggio 2007, presso il Centro Studi Informatica Giuridica di Reggio Calabria, Vincenzo Calabrò ha tenuto un seminario dal titolo: Modalità di intervento del Consulente Tecnico. Questo seminario ha come obiettivo la trattazione delle problematiche e delle modalità operative che un consulente tecnico di parte può affrontare durante un'indagine d'informatica forense.
https://www.vincenzocalabro.it
Il 21 aprile 2008, presso il Centro Studi Informatica Giuridica di Reggio Calabria, Vincenzo Calabrò ha tenuto un seminario dal titolo: La Riduzione del Rischio - D.Lgs. 231/2001. Questo seminario illustra brevemente gli obiettivi raggiungibili attraverso l'applicazione delle previsioni normative, contenute nel D.Lgs. 231/2001, finalizzate alla riduzione del rischio aziendale.
https://www.vincenzocalabro.it
Le Best Practices per proteggere Informazioni, Sistemi e RetiVincenzo Calabrò
Il 2 settembre 2007, presso la Scuola Superiore dell'Amministrazione dell'Interno, Vincenzo Calabrò ha tenuto un seminario dal titolo: Le Best Practices per proteggere Informazioni, Sistemi e Reti. Questo seminario illustra alcune metodologie per una corretta gestione della Sicurezza Informatica in contesti aziendali.
https://www.vincenzocalabro.it
L'8 giugno 2006, presso la Scuola Superiore dell'Amministrazione dell'Interno, Vincenzo Calabrò ha tenuto un seminario dal titolo: Open vs. Closed Source. Questo seminario analizza le differenze tra i software open source e closed source alla luce della sicurezza informatica.
https://www.vincenzocalabro.it
L'8 aprile 2004, presso la Scuola Superiore dell'Amministrazione dell'Interno, Vincenzo Calabrò ha tenuto un seminario dal titolo: La Privacy: Protezione dei Dati Personali. Questo seminario illustra brevemente alcune Linee Guida per l'applicazione del testo unico sul trattamento dei dati personali.
https://www.vincenzocalabro.it
Il 20 aprile 2003, presso la Scuola Superiore dell'Amministrazione dell'Interno, Vincenzo Calabrò ha tenuto un seminario dal titolo: Sicurezza in Rete. Questo seminario introduce ai principi, la metodologia ed alcune applicazioni pratiche relative alla Sicurezza in Rete.
https://www.vincenzocalabro.it
Il 18 aprile 2003, presso la Scuola Superiore dell'Amministrazione dell'Interno, Vincenzo Calabrò ha tenuto un seminario dal titolo: Sicurezza dei Sistemi Informatici. Questo seminario introduce all'esame delle criticità dei sistemi informatici, la valutazione dei rischi e delle possibili contromisure.
https://www.vincenzocalabro.it
Il 18 aprile 2003, presso la Scuola Superiore dell'Amministrazione dell'Interno, Vincenzo Calabrò ha tenuto un seminario dal titolo: Sicurezza dei Sistemi Informatici. Questo seminario introduce all'esame delle criticità dei sistemi informatici, la valutazione dei rischi e delle possibili contromisure.
https://www.vincenzocalabro.it
Il 3 marzo 2003, presso la Scuola Superiore dell'Amministrazione dell'Interno, Vincenzo Calabrò ha tenuto un seminario dal titolo: Introduzione alla Sicurezza Informatica. Questo seminario introduce ai principi, la metodologia ed alcune applicazioni pratiche relative alla Sicurezza Informatica.
https://www.vincenzocalabro.it
Il 18 giugno 2003, presso la Scuola Superiore dell'Amministrazione dell'Interno, Vincenzo Calabrò ha tenuto un seminario dal titolo: Programmazione Sicura. Questo seminario introduce ai principi, la metodologia ed alcune applicazioni pratiche relative alla Programmazione Sicura.
https://www.vincenzocalabro.it
Il Cloud Computing: la nuova sfida per legislatori e forenserVincenzo Calabrò
La nuova tendenza dell'Internet degli ultimi anni ha portato alla nascita di numerose nuove applicazioni, spesso accompagnate dalla recente tendenza volta a una sorta di "dematerializzazione" degli oggetti informatici. Ci si riferisce in particolare al nuovo fenomeno del cloud computing, o più semplicemente cloud che vedrà sicuramente nei prossimi anni una vera e propria esplosione, imponendosi quale risposta agli ultimi anni di "dittatura" delle tecnologie della rete. Un primo punto da considerare attiene alla sua definizione: al momento, la più autorevole può essere ricondotta alla formulazione del NIST 1 la quale lo definisce come «model for enabling ubiquitous, convenient, on-demand network access to a shared pool of configurable computing resources (e.g., networks, servers, storage, applications, and services) that can be rapidly provisioned and released with minimal management effort or service provider interaction» 2. In sostanza quindi «il cloud computing è un paradigma distribuito che virtualizza dati, software, hardware e comunicazione dati in servizi» 3. 1 National Institue of Standards and Technology; è un'agenzia federale governativa che si occupa della gestione delle tecnologie, si veda più in dettaglio http://www.nist.gov/index.html
https://www.vincenzocalabro.it
La timeline: aspetti tecnici e rilevanza processualeVincenzo Calabrò
SOMMARIO: 1. Premessa.-2. La Timeline.-3. Il problema dell' "ora esatta".-4. Metodologia.-4.1 Analisi dei timestamp presenti nei file system. 4.2 Analisi dei timestamp contenuti all'interno dei file. 4.3 Riscontro con altri riferimen-ti temporali rilevabili. 4.4 Contestualizzazione dei timestamp. 5. Case study: creazione ed analisi della timeline.-5.1 I problemi dell'analisi tradizionale. 5.2 Anti-forensics. 5.3 Estensione delle timeline. 5.4 Impostazione del case study. 5.5 I tool per la generazione di timeline. 5.6 I tool per la generazione di supertimeline. 5.7 Log2Timeline e le supertimeline. 5.8 Ambiente di lavoro. 5.9 "Montaggio" dell'immagine forense. 5.10 Estrazione della tabella. MFT 5.11 Generazione della supertimeline. 5.12 Analisi dei risultati. 5.13 Strumenti per raffinare l'analisi. 5.14 Note pratiche sulla sincronizzazione temporale. 6. Valore probatorio.-7. Conclusioni.-8. Bibliografia. 1. PREMESSA La riconducibilità di un determinato fatto, in un preciso spazio temporale, è, senza ombra di dubbio, uno degli elementi primari per la corretta interpretazione della scena criminis, in quanto consente di rivelare la dinamica degli eventi nell'ordine in cui gli stessi si sono verificati. In caso di omicidio, la prima domanda che gli inquirenti rivolgono al medico legale è quella di stabilire la data e l'ora del decesso, rappresentando un momento fondamentale per la ricostruzione degli avvenimenti che si sono verificati prima dello stesso e subito dopo. La ricostruzione della sequenza temporale degli eventi che hanno determinato un fatto è quindi d'interesse vitale per la risoluzione di qualsiasi caso, di natura legale o professionale, indipendentemente dal contesto di riferimento. Uno degli strumenti che consentono di effettuare l'analisi forense sul tempo è la cosiddetta timeline, ovvero la rappresentazione o esposizione cronologica e concatenata di avvenimenti chiave all'interno di un particolare arco temporale. Nell'informatica forense, con la locuzione timeline s'intende una "fotografia" di tutti gli eventi storici avvenuti in un determinato sistema informatico o telematico. Viene ricostruita mettendo in ordine cronologico tutti gli eventi successivi in un determinato tempo di vita del sistema posto sotto analisi.
https://www.vincenzocalabro.it
Proteggere i dati significa evitare che il patrimonio informativo di un'azienda venga perso. Occorre evitare che un attacco passivo o attivo possa compromettere l'integrità dei dati. Una metodologia di difesa consiste nell'effettuare una risk analysis per valutare le minacce e le vulnerabilità. Successivamente, occorre intraprendere le opportune contromisure per ridurre il rischio di incidente.
https://www.vincenzocalabro.it
Approccio all’Analisi Forense delle Celle TelefonicheVincenzo Calabrò
L'enorme diffusione dei telefoni cellulari e le numerose possibilità di utilizzo degli stessi, non solo per la comunicazione di tipo voce ma anche per lo scambio di dati (messaggi brevi, navigazione Internet ed altre forme), hanno portato le indagini giudiziarie a fare largo uso dell'analisi forense sia degli stessi terminali sia delle tracce che questi lasciano nelle reti degli operatori telefonici. Senza entrare nel merito del funzionamento di una rete di telefonia mobile, in tale contesto è sufficiente evidenziare che il terminale mobile, quando è acceso ed ha al suo interno una SIM attiva, colloquia con la rete dell'Operatore di appartenenza in modo regolare, aggiornandola costantemente ed in maniera puntuale relativamente alla localizzazione, anche quando non è utilizzato dall'utente per effettuare telefonate o altro. Su queste informazioni, per inciso, si basano alcuni servizi di geolocalizzazione forniti dagli operatori stessi (informazioni turistiche, mappe, etc.). Tali dettagli non sono conservati all'interno della rete dell'operatore se non all'interno della documentazione di traffico storico, che costringe l'investigatore ad un arduo lavoro di ricostruzione e di analisi della localizzazione sulla base di informazioni poco dettagliate. L'unico metodo che può essere utilizzato, quindi, per individuare la posizione di un cellulare in un dato momento, "a posteriori", è quello di basarsi sui dati disponibili nei tabulati telefonici, basati a loro volta sui cartellini di traffico (Call Detail Record-CDR) generati dalle centrali telefoniche. Premesso che ogni operatore telefonico fornisce questi dati in formati differenti, sono comunque sempre presenti informazioni quali: data, ora, durata della conversazione, numerazione chiamante, numerazione chiamata, iden-tificativo del telefono (IMEI) chiamante e ricevente, cella agganciata (Cell ID) del terminale chiamante e ricevente. Per l'analisi riveste grande importanza l'informazione sulla cella, identificata dal codice Cell ID, che consente di conoscere con certezza la stazione base cui il terminale era connesso mentre stava ricevendo/trasmettendo. Ciò significa che nei momenti in cui il terminale è acceso, ma non sviluppa traffico, non è possibile conoscere (a posteriori) la cella (BTS) su cui era attestato. Nota l'informazione sulla cella, bisogna disporre delle cosiddette "mappe di copertura" della rete. Queste mappe vengono costruite dall'operatore telefonico sulla base dei parametri di configurazione della cella e del territorio e sono, sostanzialmente, una rappresentazione simulata del grado di copertura territoriale di ogni singola BTS.
https://www.vincenzocalabro.it
L'Alibi Informatico: aspetti tecnici e giuridici.Vincenzo Calabrò
Questo articolo tratta in maniera esaustiva gli aspetti tecnici e giuridici degli alibi informatici con alcuni esempi pratici.
https://www.vincenzocalabro.it
Il web 2.0 è l'insieme delle tecnologie collaborative per organizzare Internet come una piattaforma in cui tutti possono inserire i propri contributi ed interagire con gli altri utenti. Il termine nasce da una frase coniata da O'Reilly e da Dale Dougherty nel 2004 e il documento che ne ha ufficialmente sancito l'inizio risale al 30 settembre del 2005. "Il Web 2.0 è la rete intesa come una piattaforma con tutti i dispositivi collegati; le applicazioni Web 2.0 sono quelle che permettono di ottenere la maggior parte dei vantaggi intrinseci della piattaforma, fornendo il software come un servizio in continuo aggiornamento e che migliora con l'utilizzo delle persone, sfruttando e mescolando i dati da sorgenti multiple, tra cui gli utenti, i quali forniscono i propri contenuti e servizi in un modo da permetterne il riutilizzo da parte di altri utenti, e creando una serie di effetti attraverso "un'architettura della partecipazione" che va oltre la metafora delle pagine del Web 1.0 per produrre così user experience più significative". (traduzione da "Web 2.0: compact definition", Tim O'Reilly) Il web 2.0 vuole segnare una separazione netta con la New Economy dell'inizio millennio definita come web 1.0 e caratterizzata da siti web statici, di sola consultazione e con scarsa possibilità di interazione dell'utente. La tendenza attuale è quella di indicare come Web 2.0 l'insieme di tutti gli strumenti/le applicazioni online che permettono uno spiccato livello di interazione sito-utenti quali i blog, i forum, le chat, etc... In ambito aziendale, la condivisione del Web 2.0 permette di creare idee insieme a tutti i dipendenti, commentare gli sviluppi di progetti in collaborazione con i dipendenti. Tutto ciò è stato reso possibile da collegamenti ad Internet molto più veloci e dall'unione di varie tecnologie di facile apprendimento e uso. Come appena citato, Il Web 1.0 a differenza del Web 2.0 era composto prevalentemente da siti web "statici", che non davano alcuna possibilità di interazione con l'utente, eccetto la normale navigazione tra le pagine, l'uso delle e-mail e dei motori di ricerca. Il Web 2.0 viceversa costituisce un approccio filosofico alla rete che ne connota la dimensione sociale, la condivisione, l'autorialità rispetto alla mera fruizione. Il ruolo dell'utente in questo senso diventa centrale, esce dalla passività che lo contraddiceva nel Web 1.0 per diventare protagonista tramite la creazione, modifica e condivisione di contenuti multimediali a propria scelta.
https://www.vincenzocalabro.it
L'evoluzione tecnologica, in particolare quella telematica, ha cambiato profondamente e radicalmente la società odierna. Il settore delle comunicazioni è stato profondamente rivoluzionato: le forme tradizionali di comunicazione hanno lasciato spazio a forme d'interazione completamente nuove e impensabili in cui gli uomini interagiscono e arricchiscono le proprie conoscenze attraverso l'utilizzo di dispositivi capaci di comunicare con loro e fra di loro. Il nuovo millennio ha consolidato quella che è stata definita tempo prima come « rivoluzione digitale", in particolare ha permesso alla nuova società dell'informazione di imporsi in quasi tutti i contesti economici e sociali. Uno dei fattori determinanti di tale cambiamento è sicuramente rappresentato dall'approdo di Internet nella società: l'accessibilità universale al sapere comune ha in un primo momento permesso la diffusione e lo scambio di un'enorme quantità di dati e informazioni, per essere, ad oggi, sempre più perfezionati e raffinati attraverso l'evoluzione del cd semantic web. In sostanza, la moderna società è retta e si sviluppa ormai sul paradigma costituito dal settore ICT (Information and Communication Technology): se da un lato, i nuovi strumenti tecnologici hanno portato e portano tuttora indubbi vantaggi alla comunità, dall'altro si è costatato come i nuovi scenari virtuali abbiano portato allo sviluppo di un «lato oscuro del progresso». Ci si riferisce, in particolare, a quelle condotte devianti che hanno fin da subito riconosciuto le potenzialità legate ai computer e alla rete, vedendo negli stessi un terreno fertile nel quale dare vita a nuove attività illecite. Lo strumento informatico o telematico è diventato ben presto bersaglio della cd cybercriminalità la quale sostanzialmente ha sviluppato due differenti modalità operative di aggressione: la prima, dove l'azione delittuosa ha come fine quello di aggredire e compromettere sistemi informatici o telematici; la seconda, invece, che riconosce nei nuovi mezzi un veicolo attraverso il quale perpetrare, mediante modalità proprie dell'ambiente virtuale, condotte afferenti a reati tradizionali propri del "mondo fisico". Le diverse istanze di legalità e di tutela, derivanti sia dall'ambito nazionale che internazionale, hanno palesato la necessità per il legislatore di adoperarsi ai fini dell'individuazione di nuovi beni giuridici da proteggere nonché la predisposizione di misure idonee ai fini della individuazione e persecuzione dell'autore della condotta criminosa.
https://www.vincenzocalabro.it
Un dispositivo mobile è potenzialmente in grado di contenere una grande quantità di informazioni, sia relative alle azioni compiute dall'utente, sia relative ai dati in esso contenuti. Tali informazioni sono sempre più richieste come prove in indagini della magistratura poiché, a causa della loro enorme diffusione nella nostra società, gli apparecchi mobili sono spesso coinvolti in attività criminali legate, sia al crimine tradizionale, quali acquisto di droga, rapine, molestie ecc., sia al crimine elettronico, come ad esempio il furto di informazioni sensibili, che, grazie all'integrazione delle comunicazioni e all'interoperabilità con Internet, si dimostra in costante crescita. In particolare, il veloce sviluppo del settore della telefonia mobile, sta portando alla produzione di dispositivi sempre più potenti e con maggiori funzionalità; Questa crescente complessità li rende sempre più vulnerabili ad attacchi, tanto più gravi se si considera l'aumento del carico informativo che tali strumenti sono capaci di contenere. Per poter capire quali siano i dati potenzialmente rilevanti contenuti in un dispositivo mobile e quali strategie adottare per ottenerli, è necessario avere una profonda conoscenza delle caratteristiche hardware e software del dispositivo stesso. La comunità forense deve affrontare una costante sfida per tenersi al passo con le ultime tecnologie ed ottenere quelle informazioni che potrebbero essere fondamentali per il buon esito di una analisi investigativa. Nel seguito, dopo una breve introduzione sulle caratteristiche delle reti cellulari e dei dispositivi mobili, studieremo i principi e metodi per effettuare una analisi forense, vedremo come i dati ottenuti debbano essere trattati al fine di costituire delle valide prove in un contesto processuale, presenteremo una panoramica sui tool disponibili per questo tipo di analisi ed infine un caso pratico affrontato. 2. BACKGROUND Le reti di telefonia mobile sono basate su una gamma di differenti tecnologie. In questo capitolo vogliamo darne una descrizione sia dal punto di vista hardware che dal punto di vista software. Sebbene non si tratti di una descrizione esaustiva, molti di questi concetti saranno utili per comprendere i prossimi capitoli, in cui entreremo più nel dettaglio delle tecniche usate per l'analisi forense. 2.1 CARATTERISTICHE SULLE RETI CELLULARI La telefonia cellulare è una tipologia di accesso ad una rete telefonica realizzata per mezzo di onde radio e ricetrasmettitori terrestri. Il termine "cellulare" si riferisce al fatto che il sistema di comunicazione senza fili utilizzato, suddivide le grandi aree geografiche in aree più piccole chiamate celle.
https://www.vincenzocalabro.it
Vincenzo Calabrò - Tracciabilita' delle Operazioni in Rete e Network Forensics
1. 1
Tracciabilità
Tracciabilità
Tracciabilità delle operazioni in rete
delle operazioni in rete
delle operazioni in rete
e network
e network
e network forensics
forensics
forensics
Diritto e Nuove Tecnologie
Diritto e Nuove Tecnologie
Diritto e Nuove Tecnologie
Campus
Campus
Campus
4 giugno 2011
4 giugno 2011
4 giugno 2011
www.vincenzocalabro.it
www.vincenzocalabro.it
www.vincenzocalabro.it
2. 2
Premessa
Premessa
Siamo ormai arrivati a quello che
Mark Weiser nel lontanissimo
1988 definiva "computer ubiquo"
(ubiquitous computing),
intendendo quel sistema di
periferiche talmente pervasivo e
capillare da spostare l'utilizzo
della rete sullo sfondo costante
delle nostre vite reali.
3. 3
Quando il sistema GPS del tuo
telefono informa un negozio d'interesse
della tua presenza, quando Facebook
usa il riconoscimento facciale per
taggare le foto che posti, quando i tuoi
movimenti finanziari vengono tracciati
mediante carta di credito in real-time,
qualcosa sta cambiando!
Se il Web 2.0 è stata la piena realizzazione della
promessa di un internet collaborativo – nel quale
gli utenti potevano creare anziché consumare:
pensate a Flickr, Facebook, Wikipedia - il Web 3.0
farà loro dimenticare che stanno creando in rete.
4. 4
Le tracce
Le tracce
Distinguiamo due tipologie:
1. Quelle che dimostrano l’avvenuta connessione:
• i Log file, si trovano sugli apparati di
comunicazione (switch, router, firewall, ids,...)
• i Tabulati del traffico telefonico o dati, si
trovano sui server dei provider telefonici o
degli ISP (Internet Service Provider)
2. Quelle che rappresentano il contenuto della
comunicazione, o parte di essa:
• i Log file di sistema, presenti nei terminali di
comunicazione (sia client che server)
• le Memorie di Massa o Cache, presente nei
client di connessione, nei dispositivi proxy, ed
i server di rete
8. 8
Cos’è la Network
Cos’è la Network forensics
forensics?
?
Si riferisce all’analisi dei sistemi di rete,
ivi inclusa la Rete delle reti ossia
Internet, al fine di determinare elementi
probatori inerenti un determinato caso
investigativo.
Si distingue dalla Network Security,
con cui condivide gli strumenti, perché
opera in ambito legale e si occupa
delle violazioni delle leggi.
9. 9
Ambiti di applicazione
Ambiti di applicazione
“… è il prelievo, la memorizzazione e
l’analisi degli eventi di rete al fine
di identificare la sorgente degli
attacchi alla sicurezza o l’origine di
altri problemi del sistema di rete…”
M.
M. Ranum
Ranum,
, Network
Network Forensics
Forensics and
and Traffic
Traffic Monitoring
Monitoring, Computer
, Computer Security
Security Journal,
Journal, Vol.
Vol. XII, 1997
XII, 1997
Distinguiamo:
1. Ambiti locali (LAN)
2. Ambiti geografici (WAN e
Internet)
11. 11
ANALISI REAL TIME o LIVE
ANALISI REAL TIME o LIVE
ANALISI REAL TIME o LIVE
Nel contesto delle investigazioni tramite intercettazione
telematica, vi è la necessità di conoscere una pluralità
di componenti hardware e software per poter eseguire
qualsiasi tipo di attività
Componenti hardware di una rete più comuni:
• Hub
• Switch
• Router
• Firewall
• Sonda di rete
• Bilanciatore
12. 12
Approccio
Approccio
Approccio
1. Si individua il target da
intercettare
2. Si studiano i software ed i
protocolli da analizzare
3. Si sceglie il punto di ascolto,
ovvero dove conviene agganciarsi
4. Si inserisce l’apparato
d’intercettazione appropriato
5. Si registra il flusso telematico
catturato su un dispositivo sicuro
6. Si analizza il traffico acquisito
13. 13
Analisi
Analisi
Problematiche da affrontare:
• mole di dati spesso molto elevate
• ricostruzione del dato acquisito
• ricostruzione delle sessioni e dei
collegamenti
Utilizzo di software per una giusta
interpretazione dei dati:
• Editor testuale (???)
• Wireshark
• Xplico
14. 14
www.wireshark.org
www.wireshark.org
• Possibilità di analizzare dati acquisiti in tempo
reale su una rete attiva
• I dati possono essere acquisiti dal vivo su reti
Ethernet, FDDI, PPP, Token Ring, IEEE 802.11, IP
classico su ATM, e interfacce di loopback (non tutti
i tipi sono supportati su tutte le piattaforme)
• Possibilità di filtrare i dati da visualizzare
utilizzando filtri di visualizzazione per colorare o
evidenziare selettivamente le informazioni
sommarie sui pacchetti
• È possibile scomporre e analizzare centinaia di
protocolli di comunicazione
20. 20
ANALISI POST MORTEM
ANALISI POST MORTEM
ANALISI POST MORTEM
A volte, nelle investigazioni digitali, vi è la necessità di
ottenere ulteriori informazioni a sostegno di una
determinata tesi.
Dalla Network Forensics si possono ottenere altri pezzi di
un “puzzle”, ulteriori informazioni su “cosa è successo”,
cercando tra le tracce lasciate sugli apparati di rete.
Queste informazioni possono essere utilizzate per:
• Ricostruire le sessioni (ad esempio: web, ftp, telnet, IM)
• Trovare i file (scaricati o consultati sulle unità di rete)
• Trovare le password
• Identificare le macchine remote
21. 21
Approccio
Approccio
Approccio
1. Si individua la sorgente e la
destinazione della sessione
2. Si verifica quali sistemi e supporti
sono stati coinvolti (switch, router,
ISP, )
3. Si cercano gli elementi che
testimoniano una determinata attività
in rete (log, report IDS, journal, …)
4. Si normalizzano i tracciati per
ricostruire la comunicazione avvenuta
5. Si individuano le eventuali macchine
o supporti di memoria da “girare” alla
Computer Forensics
22. 22
Problematiche da affrontare:
• Sistemi distribuiti
• Raccolta di ipertesti dinamici
• Spesso le macchine non
possono essere spente
• Troppi dati da memorizzare
• Difficoltà nel documentare e
certificare la copia
• Difficoltà in dibattimento della
presentazione dei risultati
32. 32
Nella CF si sono consolidate prassi a garanzia
che il supporto analizzato non sia stato
alterato prima e dopo l’analisi
Nella NF entrano in gioco tantissime variabili
• Bisogna certificare il processo di
ottenimento assieme allo stato della rete in
quel momento
• La copia a runtime di dati su una memoria
di massa operativa è un’operazione
sicuramente irripetibile
• E’ molto difficile e complesso chiedersi
quali dati recuperare
• Entra in gioco un grado di aleatorietà
notevole che rende i dati più un mezzo
investigativo (indizi) che elementi probatori
33. 33
Una rete di computer, pur essendo impiegata
come mezzo per lo svolgimento di un
determinato reato, non è necessariamente tutta
coinvolta nel reato stesso: si ha spesso la
necessità di allargare l’ambito dell’analisi, ma si
rischia di commettere violazioni durante le
operazioni che possono implicare danni agli
utenti e ricadute economiche
Il personale del sistema informativo non sono
minimamente interessati dal reato, ma
potrebbero conoscere o mantenere, per ragioni
di sicurezza, informazioni determinanti per la
dimostrazione dei fatti: l’unico problema è che la
metodologia di raccolta e conservazione non
sempre corrisponde a canoni forensi e talvolta
neanche alle disposizioni sulla privacy
34. 34
Pertanto vi è la necessità di
autorizzazioni specifiche e non
generiche di più di quanto accada
per la Computer Forensics.
L’aspetto legale si evidenzia perché
spesso il NF può essere realizzato
attraverso strumenti come il cracking, lo
sniffing, il denial of service, ecc. non
specificatamente autorizzati dalla
magistratura. Queste scorciatoie,
problematicamente alla portata di un
gran numero di specialisti, conseguono
risultati il più delle volte non impiegabili
in dibattimento.
35. 35
Infine ci sono dei limiti con cui la
Network Forensics deve
continuamente fare i conti:
• La sincronizzazione degli orologi
• La mole dei dati
• L’Internazionalità o extraterritorialità
• La Crittografia
• L’Anonimato
• Il Cloud computing
• Le Botnet
36. 36
Terrence
Terrence V.
V. Lillard
Lillard
Digital
Digital Forensics
Forensics for
for Network,
Network,
Internet, and
Internet, and Cloud
Cloud Computing:
Computing:
A
A Forensic
Forensic Evidence
Evidence Guide
Guide for
for Moving
Moving Targets
Targets and Data
and Data
Syngress
Syngress; 1
; 1 edition
edition (
(June
June 16, 2010)
16, 2010)
Grazie per l’attenzione
Grazie per l’attenzione
www.vincenzocalabro.it
www.vincenzocalabro.it