SlideShare a Scribd company logo

Vincenzo Calabrò - Tracciabilita' delle Operazioni in Rete e Network Forensics

V
Vincenzo Calabrò

Il 4 giugno 2011, presso il Centro Studi Informatica Giuridica di Reggio Calabria, Vincenzo Calabrò ha tenuto un seminario dal titolo: Tracciabilita' delle Operazioni in Rete e Network Forensics. Questo seminario ha come obiettivo l'analisi delle problematiche lagate alla tracciabilità delle operazioni in Rete e cenni di Network Forensics. https://www.vincenzocalabro.it

Technology
1 of 36
Download to read offline
1 Tracciabilità Tracciabilità Tracciabilità delle operazioni in rete delle operazioni in rete delle operazioni in rete e network e network e network forensics forensics forensics Diritto e Nuove Tecnologie Diritto e Nuove Tecnologie Diritto e Nuove Tecnologie Campus Campus Campus 4 giugno 2011 4 giugno 2011 4 giugno 2011 www.vincenzocalabro.it www.vincenzocalabro.it www.vincenzocalabro.it
2 Premessa Premessa Siamo ormai arrivati a quello che Mark Weiser nel lontanissimo 1988 definiva "computer ubiquo" (ubiquitous computing), intendendo quel sistema di periferiche talmente pervasivo e capillare da spostare l'utilizzo della rete sullo sfondo costante delle nostre vite reali.
3 Quando il sistema GPS del tuo telefono informa un negozio d'interesse della tua presenza, quando Facebook usa il riconoscimento facciale per taggare le foto che posti, quando i tuoi movimenti finanziari vengono tracciati mediante carta di credito in real-time, qualcosa sta cambiando! Se il Web 2.0 è stata la piena realizzazione della promessa di un internet collaborativo – nel quale gli utenti potevano creare anziché consumare: pensate a Flickr, Facebook, Wikipedia - il Web 3.0 farà loro dimenticare che stanno creando in rete.
4 Le tracce Le tracce Distinguiamo due tipologie: 1. Quelle che dimostrano l’avvenuta connessione: • i Log file, si trovano sugli apparati di comunicazione (switch, router, firewall, ids,...) • i Tabulati del traffico telefonico o dati, si trovano sui server dei provider telefonici o degli ISP (Internet Service Provider) 2. Quelle che rappresentano il contenuto della comunicazione, o parte di essa: • i Log file di sistema, presenti nei terminali di comunicazione (sia client che server) • le Memorie di Massa o Cache, presente nei client di connessione, nei dispositivi proxy, ed i server di rete
5 Paradigma: Paradigma: Paradigma: Client Client Client- - -Server Server Server • WWW • Web services • Email, Newsletter • Newsgroup • FTP • Video-on-demand • Voip • Social network • Cloud computing
6 Paradigma: Paradigma: Paradigma: Peer Peer Peer- - -to to to- - -Peer Peer Peer • Chat (IRC) • Instant messaging • Web P2P (Osiris) • Voip P2P (Skype) • File sharing (Emule, Kazaa, ecc.) • Streaming media • Distributed search engine • Grid computing
7 Network Network forensics forensics
8 Cos’è la Network Cos’è la Network forensics forensics? ? Si riferisce all’analisi dei sistemi di rete, ivi inclusa la Rete delle reti ossia Internet, al fine di determinare elementi probatori inerenti un determinato caso investigativo. Si distingue dalla Network Security, con cui condivide gli strumenti, perché opera in ambito legale e si occupa delle violazioni delle leggi.
9 Ambiti di applicazione Ambiti di applicazione “… è il prelievo, la memorizzazione e l’analisi degli eventi di rete al fine di identificare la sorgente degli attacchi alla sicurezza o l’origine di altri problemi del sistema di rete…” M. M. Ranum Ranum, , Network Network Forensics Forensics and and Traffic Traffic Monitoring Monitoring, Computer , Computer Security Security Journal, Journal, Vol. Vol. XII, 1997 XII, 1997 Distinguiamo: 1. Ambiti locali (LAN) 2. Ambiti geografici (WAN e Internet)
10 Metodologie d’analisi Metodologie d’analisi
11 ANALISI REAL TIME o LIVE ANALISI REAL TIME o LIVE ANALISI REAL TIME o LIVE Nel contesto delle investigazioni tramite intercettazione telematica, vi è la necessità di conoscere una pluralità di componenti hardware e software per poter eseguire qualsiasi tipo di attività Componenti hardware di una rete più comuni: • Hub • Switch • Router • Firewall • Sonda di rete • Bilanciatore
12 Approccio Approccio Approccio 1. Si individua il target da intercettare 2. Si studiano i software ed i protocolli da analizzare 3. Si sceglie il punto di ascolto, ovvero dove conviene agganciarsi 4. Si inserisce l’apparato d’intercettazione appropriato 5. Si registra il flusso telematico catturato su un dispositivo sicuro 6. Si analizza il traffico acquisito
13 Analisi Analisi Problematiche da affrontare: • mole di dati spesso molto elevate • ricostruzione del dato acquisito • ricostruzione delle sessioni e dei collegamenti Utilizzo di software per una giusta interpretazione dei dati: • Editor testuale (???) • Wireshark • Xplico
14 www.wireshark.org www.wireshark.org • Possibilità di analizzare dati acquisiti in tempo reale su una rete attiva • I dati possono essere acquisiti dal vivo su reti Ethernet, FDDI, PPP, Token Ring, IEEE 802.11, IP classico su ATM, e interfacce di loopback (non tutti i tipi sono supportati su tutte le piattaforme) • Possibilità di filtrare i dati da visualizzare utilizzando filtri di visualizzazione per colorare o evidenziare selettivamente le informazioni sommarie sui pacchetti • È possibile scomporre e analizzare centinaia di protocolli di comunicazione
15
16 Xplico.org Xplico.org Consente una ricostruzione completa dei seguenti contenuti intercettati usando come unica risorsa la capture eseguita
17
18
19
20 ANALISI POST MORTEM ANALISI POST MORTEM ANALISI POST MORTEM A volte, nelle investigazioni digitali, vi è la necessità di ottenere ulteriori informazioni a sostegno di una determinata tesi. Dalla Network Forensics si possono ottenere altri pezzi di un “puzzle”, ulteriori informazioni su “cosa è successo”, cercando tra le tracce lasciate sugli apparati di rete. Queste informazioni possono essere utilizzate per: • Ricostruire le sessioni (ad esempio: web, ftp, telnet, IM) • Trovare i file (scaricati o consultati sulle unità di rete) • Trovare le password • Identificare le macchine remote
21 Approccio Approccio Approccio 1. Si individua la sorgente e la destinazione della sessione 2. Si verifica quali sistemi e supporti sono stati coinvolti (switch, router, ISP, ) 3. Si cercano gli elementi che testimoniano una determinata attività in rete (log, report IDS, journal, …) 4. Si normalizzano i tracciati per ricostruire la comunicazione avvenuta 5. Si individuano le eventuali macchine o supporti di memoria da “girare” alla Computer Forensics
22 Problematiche da affrontare: • Sistemi distribuiti • Raccolta di ipertesti dinamici • Spesso le macchine non possono essere spente • Troppi dati da memorizzare • Difficoltà nel documentare e certificare la copia • Difficoltà in dibattimento della presentazione dei risultati
23 Esempio Log Web Server Esempio Log Web Server
24 Esempio di Esempio di Geolocalizzazione Geolocalizzazione
25 Esempio Esempio Email Email Header Header 0 0 1 1 2 2 3 3 4 4 5 5 6 6
26 Esempio Esempio Phishing Phishing
27 Esempio Esempio Phishing Phishing
28 Esempio Esempio Phishing Phishing
29 Esempio Esempio Phishing Phishing
30 homograph spoofing attacks
31 Considerazioni finali Considerazioni finali
32 Nella CF si sono consolidate prassi a garanzia che il supporto analizzato non sia stato alterato prima e dopo l’analisi Nella NF entrano in gioco tantissime variabili • Bisogna certificare il processo di ottenimento assieme allo stato della rete in quel momento • La copia a runtime di dati su una memoria di massa operativa è un’operazione sicuramente irripetibile • E’ molto difficile e complesso chiedersi quali dati recuperare • Entra in gioco un grado di aleatorietà notevole che rende i dati più un mezzo investigativo (indizi) che elementi probatori
33 Una rete di computer, pur essendo impiegata come mezzo per lo svolgimento di un determinato reato, non è necessariamente tutta coinvolta nel reato stesso: si ha spesso la necessità di allargare l’ambito dell’analisi, ma si rischia di commettere violazioni durante le operazioni che possono implicare danni agli utenti e ricadute economiche Il personale del sistema informativo non sono minimamente interessati dal reato, ma potrebbero conoscere o mantenere, per ragioni di sicurezza, informazioni determinanti per la dimostrazione dei fatti: l’unico problema è che la metodologia di raccolta e conservazione non sempre corrisponde a canoni forensi e talvolta neanche alle disposizioni sulla privacy
34 Pertanto vi è la necessità di autorizzazioni specifiche e non generiche di più di quanto accada per la Computer Forensics. L’aspetto legale si evidenzia perché spesso il NF può essere realizzato attraverso strumenti come il cracking, lo sniffing, il denial of service, ecc. non specificatamente autorizzati dalla magistratura. Queste scorciatoie, problematicamente alla portata di un gran numero di specialisti, conseguono risultati il più delle volte non impiegabili in dibattimento.
35 Infine ci sono dei limiti con cui la Network Forensics deve continuamente fare i conti: • La sincronizzazione degli orologi • La mole dei dati • L’Internazionalità o extraterritorialità • La Crittografia • L’Anonimato • Il Cloud computing • Le Botnet
36 Terrence Terrence V. V. Lillard Lillard Digital Digital Forensics Forensics for for Network, Network, Internet, and Internet, and Cloud Cloud Computing: Computing: A A Forensic Forensic Evidence Evidence Guide Guide for for Moving Moving Targets Targets and Data and Data Syngress Syngress; 1 ; 1 edition edition ( (June June 16, 2010) 16, 2010) Grazie per l’attenzione Grazie per l’attenzione www.vincenzocalabro.it www.vincenzocalabro.it

Recommended

GDPR & GDPR - Confindustria Ravenna - Alessandro Rani
GDPR & GDPR - Confindustria Ravenna - Alessandro RaniGDPR & GDPR - Confindustria Ravenna - Alessandro Rani
GDPR & GDPR - Confindustria Ravenna - Alessandro RaniAdalberto Casalboni
 
Fonti di prova digitali
Fonti di prova digitaliFonti di prova digitali
Fonti di prova digitaliGennaro Esposito
 
Enterprise digital forensics e sicurezza con strumenti open Automatizzare Aud...
Enterprise digital forensics e sicurezza con strumenti open Automatizzare Aud...Enterprise digital forensics e sicurezza con strumenti open Automatizzare Aud...
Enterprise digital forensics e sicurezza con strumenti open Automatizzare Aud...Studio Fiorenzi Security & Forensics
 
Vincenzo Calabrò - Evidenza Digitale e Informatica Forense
Vincenzo Calabrò - Evidenza Digitale e Informatica ForenseVincenzo Calabrò - Evidenza Digitale e Informatica Forense
Vincenzo Calabrò - Evidenza Digitale e Informatica ForenseVincenzo Calabrò
 
Modulo 1 - Lezione 4
Modulo 1 - Lezione 4Modulo 1 - Lezione 4
Modulo 1 - Lezione 4Giacomo Migliorini
 
Sicurezza in Rete
Sicurezza in ReteSicurezza in Rete
Sicurezza in ReteVincenzo Calabrò
 
Network_Forensics_Analysis_Tool.pptx
Network_Forensics_Analysis_Tool.pptxNetwork_Forensics_Analysis_Tool.pptx
Network_Forensics_Analysis_Tool.pptxManlioSantonastaso
 
Giuseppe Vaciago, Cybercrime, Digital Investigation e Digital Forensics
Giuseppe Vaciago, Cybercrime, Digital Investigation e Digital ForensicsGiuseppe Vaciago, Cybercrime, Digital Investigation e Digital Forensics
Giuseppe Vaciago, Cybercrime, Digital Investigation e Digital ForensicsAndrea Rossetti
 

Recommended

GDPR & GDPR - Confindustria Ravenna - Alessandro Rani
GDPR & GDPR - Confindustria Ravenna - Alessandro RaniGDPR & GDPR - Confindustria Ravenna - Alessandro Rani
GDPR & GDPR - Confindustria Ravenna - Alessandro RaniAdalberto Casalboni
 
Fonti di prova digitali
Fonti di prova digitaliFonti di prova digitali
Fonti di prova digitaliGennaro Esposito
 
Enterprise digital forensics e sicurezza con strumenti open Automatizzare Aud...
Enterprise digital forensics e sicurezza con strumenti open Automatizzare Aud...Enterprise digital forensics e sicurezza con strumenti open Automatizzare Aud...
Enterprise digital forensics e sicurezza con strumenti open Automatizzare Aud...Studio Fiorenzi Security & Forensics
 
Vincenzo Calabrò - Evidenza Digitale e Informatica Forense
Vincenzo Calabrò - Evidenza Digitale e Informatica ForenseVincenzo Calabrò - Evidenza Digitale e Informatica Forense
Vincenzo Calabrò - Evidenza Digitale e Informatica ForenseVincenzo Calabrò
 
Modulo 1 - Lezione 4
Modulo 1 - Lezione 4Modulo 1 - Lezione 4
Modulo 1 - Lezione 4Giacomo Migliorini
 
Sicurezza in Rete
Sicurezza in ReteSicurezza in Rete
Sicurezza in ReteVincenzo Calabrò
 
Network_Forensics_Analysis_Tool.pptx
Network_Forensics_Analysis_Tool.pptxNetwork_Forensics_Analysis_Tool.pptx
Network_Forensics_Analysis_Tool.pptxManlioSantonastaso
 
Giuseppe Vaciago, Cybercrime, Digital Investigation e Digital Forensics
Giuseppe Vaciago, Cybercrime, Digital Investigation e Digital ForensicsGiuseppe Vaciago, Cybercrime, Digital Investigation e Digital Forensics
Giuseppe Vaciago, Cybercrime, Digital Investigation e Digital ForensicsAndrea Rossetti
 
Progettazione e realizzazione di un sistema DRM utilizzando SSL e GStreamer
Progettazione e realizzazione di un sistema DRM utilizzando SSL e GStreamerProgettazione e realizzazione di un sistema DRM utilizzando SSL e GStreamer
Progettazione e realizzazione di un sistema DRM utilizzando SSL e GStreamerLorenzo Sfarra
 
Vincenzo Calabrò - Strumenti e Tecniche per la creazione di un Falso Alibi In...
Vincenzo Calabrò - Strumenti e Tecniche per la creazione di un Falso Alibi In...Vincenzo Calabrò - Strumenti e Tecniche per la creazione di un Falso Alibi In...
Vincenzo Calabrò - Strumenti e Tecniche per la creazione di un Falso Alibi In...Vincenzo Calabrò
 
Il “captatore informatico”uno strumento d'indagine tra esigenze investigative...
Il “captatore informatico”uno strumento d'indagine tra esigenze investigative...Il “captatore informatico”uno strumento d'indagine tra esigenze investigative...
Il “captatore informatico”uno strumento d'indagine tra esigenze investigative...Giovanni Fiorino
 
Intelligence: tecnologie e servizi
Intelligence: tecnologie e servizi Intelligence: tecnologie e servizi
Intelligence: tecnologie e servizi Leonardo
 
Intrusion Detection Systems
Intrusion Detection SystemsIntrusion Detection Systems
Intrusion Detection Systemsjekil
 
Il Diritto Processuale Penale dell’Informatica e le Investigazioni Informatiche
Il Diritto Processuale Penale dell’Informatica e le Investigazioni InformaticheIl Diritto Processuale Penale dell’Informatica e le Investigazioni Informatiche
Il Diritto Processuale Penale dell’Informatica e le Investigazioni InformaticheVincenzo Calabrò
 
Sesta parte sicurezza_in_rete
Sesta parte sicurezza_in_reteSesta parte sicurezza_in_rete
Sesta parte sicurezza_in_reteZilli Emilio
 
Corso di Informatica forense: dall'informatica giuridica all'informatica forense
Corso di Informatica forense: dall'informatica giuridica all'informatica forenseCorso di Informatica forense: dall'informatica giuridica all'informatica forense
Corso di Informatica forense: dall'informatica giuridica all'informatica forenseEmanuele Florindi
 
Linux per la Computer Forensics: i motivi di una scelta
Linux per la Computer Forensics: i motivi di una sceltaLinux per la Computer Forensics: i motivi di una scelta
Linux per la Computer Forensics: i motivi di una sceltadenis frati
 
Summary of “Packet-Level Signatures for Smart Home Devices”
Summary of “Packet-Level Signatures for Smart Home Devices”Summary of “Packet-Level Signatures for Smart Home Devices”
Summary of “Packet-Level Signatures for Smart Home Devices”RiccardoZulla
 
Computer Forensics
Computer ForensicsComputer Forensics
Computer Forensicsitis e.divini san severino marche
 
Splunk live! roma 2015 HBG Gaming presentation
Splunk live! roma 2015 HBG Gaming presentationSplunk live! roma 2015 HBG Gaming presentation
Splunk live! roma 2015 HBG Gaming presentationGeorg Knon
 
SplunkLive! Rome 2015 - HBG Gaming
SplunkLive! Rome 2015 - HBG GamingSplunkLive! Rome 2015 - HBG Gaming
SplunkLive! Rome 2015 - HBG GamingSplunk
 
La sicurezza nelle reti IEEE 802.15.4
La sicurezza nelle reti IEEE 802.15.4La sicurezza nelle reti IEEE 802.15.4
La sicurezza nelle reti IEEE 802.15.4Gianmarco Beato
 
Automotive Security
Automotive SecurityAutomotive Security
Automotive Securityraffaele_forte
 
Digital Forensics - Fabio Massa.pptx
Digital Forensics - Fabio Massa.pptxDigital Forensics - Fabio Massa.pptx
Digital Forensics - Fabio Massa.pptxFabioMassa2
 
La sicurezza non è un prodotto, ma un processo
La sicurezza non è un prodotto, ma un processoLa sicurezza non è un prodotto, ma un processo
La sicurezza non è un prodotto, ma un processoVincenzo Calabrò
 
Giuseppe Vaciago Profili giuridici dell'indagine digitale 08 09 18 Ordine Ber...
Giuseppe Vaciago Profili giuridici dell'indagine digitale 08 09 18 Ordine Ber...Giuseppe Vaciago Profili giuridici dell'indagine digitale 08 09 18 Ordine Ber...
Giuseppe Vaciago Profili giuridici dell'indagine digitale 08 09 18 Ordine Ber...Andrea Rossetti
 
Open Security
Open SecurityOpen Security
Open SecurityFrancesco Taurino
 
Valutazione delle prestazioni di un protocollo di routing (Surge) per reti di...
Valutazione delle prestazioni di un protocollo di routing (Surge) per reti di...Valutazione delle prestazioni di un protocollo di routing (Surge) per reti di...
Valutazione delle prestazioni di un protocollo di routing (Surge) per reti di...Andrea Marchetti
 
Vincenzo Calabrò - Generazione ed Analisi di una Timeline Forense
Vincenzo Calabrò - Generazione ed Analisi di una Timeline ForenseVincenzo Calabrò - Generazione ed Analisi di una Timeline Forense
Vincenzo Calabrò - Generazione ed Analisi di una Timeline ForenseVincenzo Calabrò
 
Vincenzo Calabrò - Modalità di intervento del Consulente Tecnico
Vincenzo Calabrò - Modalità di intervento del Consulente TecnicoVincenzo Calabrò - Modalità di intervento del Consulente Tecnico
Vincenzo Calabrò - Modalità di intervento del Consulente TecnicoVincenzo Calabrò
 

More Related Content

Similar to Vincenzo Calabrò - Tracciabilita' delle Operazioni in Rete e Network Forensics

Progettazione e realizzazione di un sistema DRM utilizzando SSL e GStreamer
Progettazione e realizzazione di un sistema DRM utilizzando SSL e GStreamerProgettazione e realizzazione di un sistema DRM utilizzando SSL e GStreamer
Progettazione e realizzazione di un sistema DRM utilizzando SSL e GStreamerLorenzo Sfarra
 
Vincenzo Calabrò - Strumenti e Tecniche per la creazione di un Falso Alibi In...
Vincenzo Calabrò - Strumenti e Tecniche per la creazione di un Falso Alibi In...Vincenzo Calabrò - Strumenti e Tecniche per la creazione di un Falso Alibi In...
Vincenzo Calabrò - Strumenti e Tecniche per la creazione di un Falso Alibi In...Vincenzo Calabrò
 
Il “captatore informatico”uno strumento d'indagine tra esigenze investigative...
Il “captatore informatico”uno strumento d'indagine tra esigenze investigative...Il “captatore informatico”uno strumento d'indagine tra esigenze investigative...
Il “captatore informatico”uno strumento d'indagine tra esigenze investigative...Giovanni Fiorino
 
Intelligence: tecnologie e servizi
Intelligence: tecnologie e servizi Intelligence: tecnologie e servizi
Intelligence: tecnologie e servizi Leonardo
 
Intrusion Detection Systems
Intrusion Detection SystemsIntrusion Detection Systems
Intrusion Detection Systemsjekil
 
Il Diritto Processuale Penale dell’Informatica e le Investigazioni Informatiche
Il Diritto Processuale Penale dell’Informatica e le Investigazioni InformaticheIl Diritto Processuale Penale dell’Informatica e le Investigazioni Informatiche
Il Diritto Processuale Penale dell’Informatica e le Investigazioni InformaticheVincenzo Calabrò
 
Sesta parte sicurezza_in_rete
Sesta parte sicurezza_in_reteSesta parte sicurezza_in_rete
Sesta parte sicurezza_in_reteZilli Emilio
 
Corso di Informatica forense: dall'informatica giuridica all'informatica forense
Corso di Informatica forense: dall'informatica giuridica all'informatica forenseCorso di Informatica forense: dall'informatica giuridica all'informatica forense
Corso di Informatica forense: dall'informatica giuridica all'informatica forenseEmanuele Florindi
 
Linux per la Computer Forensics: i motivi di una scelta
Linux per la Computer Forensics: i motivi di una sceltaLinux per la Computer Forensics: i motivi di una scelta
Linux per la Computer Forensics: i motivi di una sceltadenis frati
 
Summary of “Packet-Level Signatures for Smart Home Devices”
Summary of “Packet-Level Signatures for Smart Home Devices”Summary of “Packet-Level Signatures for Smart Home Devices”
Summary of “Packet-Level Signatures for Smart Home Devices”RiccardoZulla
 
Splunk live! roma 2015 HBG Gaming presentation
Splunk live! roma 2015 HBG Gaming presentationSplunk live! roma 2015 HBG Gaming presentation
Splunk live! roma 2015 HBG Gaming presentationGeorg Knon
 
SplunkLive! Rome 2015 - HBG Gaming
SplunkLive! Rome 2015 - HBG GamingSplunkLive! Rome 2015 - HBG Gaming
SplunkLive! Rome 2015 - HBG GamingSplunk
 
La sicurezza nelle reti IEEE 802.15.4
La sicurezza nelle reti IEEE 802.15.4La sicurezza nelle reti IEEE 802.15.4
La sicurezza nelle reti IEEE 802.15.4Gianmarco Beato
 
Digital Forensics - Fabio Massa.pptx
Digital Forensics - Fabio Massa.pptxDigital Forensics - Fabio Massa.pptx
Digital Forensics - Fabio Massa.pptxFabioMassa2
 
La sicurezza non è un prodotto, ma un processo
La sicurezza non è un prodotto, ma un processoLa sicurezza non è un prodotto, ma un processo
La sicurezza non è un prodotto, ma un processoVincenzo Calabrò
 
Giuseppe Vaciago Profili giuridici dell'indagine digitale 08 09 18 Ordine Ber...
Giuseppe Vaciago Profili giuridici dell'indagine digitale 08 09 18 Ordine Ber...Giuseppe Vaciago Profili giuridici dell'indagine digitale 08 09 18 Ordine Ber...
Giuseppe Vaciago Profili giuridici dell'indagine digitale 08 09 18 Ordine Ber...Andrea Rossetti
 
Valutazione delle prestazioni di un protocollo di routing (Surge) per reti di...
Valutazione delle prestazioni di un protocollo di routing (Surge) per reti di...Valutazione delle prestazioni di un protocollo di routing (Surge) per reti di...
Valutazione delle prestazioni di un protocollo di routing (Surge) per reti di...Andrea Marchetti
 

Similar to Vincenzo Calabrò - Tracciabilita' delle Operazioni in Rete e Network Forensics (20)

Progettazione e realizzazione di un sistema DRM utilizzando SSL e GStreamer
Progettazione e realizzazione di un sistema DRM utilizzando SSL e GStreamerProgettazione e realizzazione di un sistema DRM utilizzando SSL e GStreamer
Progettazione e realizzazione di un sistema DRM utilizzando SSL e GStreamer
 
Vincenzo Calabrò - Strumenti e Tecniche per la creazione di un Falso Alibi In...
Vincenzo Calabrò - Strumenti e Tecniche per la creazione di un Falso Alibi In...Vincenzo Calabrò - Strumenti e Tecniche per la creazione di un Falso Alibi In...
Vincenzo Calabrò - Strumenti e Tecniche per la creazione di un Falso Alibi In...
 
Il “captatore informatico”uno strumento d'indagine tra esigenze investigative...
Il “captatore informatico”uno strumento d'indagine tra esigenze investigative...Il “captatore informatico”uno strumento d'indagine tra esigenze investigative...
Il “captatore informatico”uno strumento d'indagine tra esigenze investigative...
 
Intelligence: tecnologie e servizi
Intelligence: tecnologie e servizi Intelligence: tecnologie e servizi
Intelligence: tecnologie e servizi
 
Intrusion Detection Systems
Intrusion Detection SystemsIntrusion Detection Systems
Intrusion Detection Systems
 
Il Diritto Processuale Penale dell’Informatica e le Investigazioni Informatiche
Il Diritto Processuale Penale dell’Informatica e le Investigazioni InformaticheIl Diritto Processuale Penale dell’Informatica e le Investigazioni Informatiche
Il Diritto Processuale Penale dell’Informatica e le Investigazioni Informatiche
 
Sesta parte sicurezza_in_rete
Sesta parte sicurezza_in_reteSesta parte sicurezza_in_rete
Sesta parte sicurezza_in_rete
 
Corso di Informatica forense: dall'informatica giuridica all'informatica forense
Corso di Informatica forense: dall'informatica giuridica all'informatica forenseCorso di Informatica forense: dall'informatica giuridica all'informatica forense
Corso di Informatica forense: dall'informatica giuridica all'informatica forense
 
Linux per la Computer Forensics: i motivi di una scelta
Linux per la Computer Forensics: i motivi di una sceltaLinux per la Computer Forensics: i motivi di una scelta
Linux per la Computer Forensics: i motivi di una scelta
 
Summary of “Packet-Level Signatures for Smart Home Devices”
Summary of “Packet-Level Signatures for Smart Home Devices”Summary of “Packet-Level Signatures for Smart Home Devices”
Summary of “Packet-Level Signatures for Smart Home Devices”
 
Computer Forensics
Computer ForensicsComputer Forensics
Computer Forensics
 
Splunk live! roma 2015 HBG Gaming presentation
Splunk live! roma 2015 HBG Gaming presentationSplunk live! roma 2015 HBG Gaming presentation
Splunk live! roma 2015 HBG Gaming presentation
 
SplunkLive! Rome 2015 - HBG Gaming
SplunkLive! Rome 2015 - HBG GamingSplunkLive! Rome 2015 - HBG Gaming
SplunkLive! Rome 2015 - HBG Gaming
 
La sicurezza nelle reti IEEE 802.15.4
La sicurezza nelle reti IEEE 802.15.4La sicurezza nelle reti IEEE 802.15.4
La sicurezza nelle reti IEEE 802.15.4
 
Automotive Security
Automotive SecurityAutomotive Security
Automotive Security
 
Digital Forensics - Fabio Massa.pptx
Digital Forensics - Fabio Massa.pptxDigital Forensics - Fabio Massa.pptx
Digital Forensics - Fabio Massa.pptx
 
La sicurezza non è un prodotto, ma un processo
La sicurezza non è un prodotto, ma un processoLa sicurezza non è un prodotto, ma un processo
La sicurezza non è un prodotto, ma un processo
 
Giuseppe Vaciago Profili giuridici dell'indagine digitale 08 09 18 Ordine Ber...
Giuseppe Vaciago Profili giuridici dell'indagine digitale 08 09 18 Ordine Ber...Giuseppe Vaciago Profili giuridici dell'indagine digitale 08 09 18 Ordine Ber...
Giuseppe Vaciago Profili giuridici dell'indagine digitale 08 09 18 Ordine Ber...
 
Open Security
Open SecurityOpen Security
Open Security
 
Valutazione delle prestazioni di un protocollo di routing (Surge) per reti di...
Valutazione delle prestazioni di un protocollo di routing (Surge) per reti di...Valutazione delle prestazioni di un protocollo di routing (Surge) per reti di...
Valutazione delle prestazioni di un protocollo di routing (Surge) per reti di...
 

More from Vincenzo Calabrò

Vincenzo Calabrò - Generazione ed Analisi di una Timeline Forense
Vincenzo Calabrò - Generazione ed Analisi di una Timeline ForenseVincenzo Calabrò - Generazione ed Analisi di una Timeline Forense
Vincenzo Calabrò - Generazione ed Analisi di una Timeline ForenseVincenzo Calabrò
 
Vincenzo Calabrò - Modalità di intervento del Consulente Tecnico
Vincenzo Calabrò - Modalità di intervento del Consulente TecnicoVincenzo Calabrò - Modalità di intervento del Consulente Tecnico
Vincenzo Calabrò - Modalità di intervento del Consulente TecnicoVincenzo Calabrò
 
La Riduzione del Rischio - D.Lgs. 231/2001
La Riduzione del Rischio - D.Lgs. 231/2001La Riduzione del Rischio - D.Lgs. 231/2001
La Riduzione del Rischio - D.Lgs. 231/2001Vincenzo Calabrò
 
Le Best Practices per proteggere Informazioni, Sistemi e Reti
Le Best Practices per proteggere Informazioni, Sistemi e RetiLe Best Practices per proteggere Informazioni, Sistemi e Reti
Le Best Practices per proteggere Informazioni, Sistemi e RetiVincenzo Calabrò
 
La Privacy: Protezione dei Dati Personali
La Privacy: Protezione dei Dati PersonaliLa Privacy: Protezione dei Dati Personali
La Privacy: Protezione dei Dati PersonaliVincenzo Calabrò
 
Implementazione Politiche di Sicurezza
Implementazione Politiche di SicurezzaImplementazione Politiche di Sicurezza
Implementazione Politiche di SicurezzaVincenzo Calabrò
 
Criticita Sistemi Informatici
Criticita Sistemi InformaticiCriticita Sistemi Informatici
Criticita Sistemi InformaticiVincenzo Calabrò
 
Introduzione alla Sicurezza Informatica
Introduzione alla Sicurezza InformaticaIntroduzione alla Sicurezza Informatica
Introduzione alla Sicurezza InformaticaVincenzo Calabrò
 
OpenID Connect 1.0: verifica formale del protocollo in HLPSL
OpenID Connect 1.0: verifica formale del protocollo in HLPSLOpenID Connect 1.0: verifica formale del protocollo in HLPSL
OpenID Connect 1.0: verifica formale del protocollo in HLPSLVincenzo Calabrò
 
Il Cloud Computing: la nuova sfida per legislatori e forenser
Il Cloud Computing: la nuova sfida per legislatori e forenserIl Cloud Computing: la nuova sfida per legislatori e forenser
Il Cloud Computing: la nuova sfida per legislatori e forenserVincenzo Calabrò
 
La timeline: aspetti tecnici e rilevanza processuale
La timeline: aspetti tecnici e rilevanza processualeLa timeline: aspetti tecnici e rilevanza processuale
La timeline: aspetti tecnici e rilevanza processualeVincenzo Calabrò
 
Approccio all’Analisi Forense delle Celle Telefoniche
Approccio all’Analisi Forense delle Celle TelefonicheApproccio all’Analisi Forense delle Celle Telefoniche
Approccio all’Analisi Forense delle Celle TelefonicheVincenzo Calabrò
 
L'Alibi Informatico: aspetti tecnici e giuridici.
L'Alibi Informatico: aspetti tecnici e giuridici.L'Alibi Informatico: aspetti tecnici e giuridici.
L'Alibi Informatico: aspetti tecnici e giuridici.Vincenzo Calabrò
 
IL WEB 2.0: analisi e potenzialità
IL WEB 2.0: analisi e potenzialitàIL WEB 2.0: analisi e potenzialità
IL WEB 2.0: analisi e potenzialitàVincenzo Calabrò
 
La Fragilità della Prova Informatica
La Fragilità della Prova InformaticaLa Fragilità della Prova Informatica
La Fragilità della Prova InformaticaVincenzo Calabrò
 
Introduzione Mobile Forensics
Introduzione Mobile ForensicsIntroduzione Mobile Forensics
Introduzione Mobile ForensicsVincenzo Calabrò
 

More from Vincenzo Calabrò (20)

Vincenzo Calabrò - Generazione ed Analisi di una Timeline Forense
Vincenzo Calabrò - Generazione ed Analisi di una Timeline ForenseVincenzo Calabrò - Generazione ed Analisi di una Timeline Forense
Vincenzo Calabrò - Generazione ed Analisi di una Timeline Forense
 
Vincenzo Calabrò - Modalità di intervento del Consulente Tecnico
Vincenzo Calabrò - Modalità di intervento del Consulente TecnicoVincenzo Calabrò - Modalità di intervento del Consulente Tecnico
Vincenzo Calabrò - Modalità di intervento del Consulente Tecnico
 
La Riduzione del Rischio - D.Lgs. 231/2001
La Riduzione del Rischio - D.Lgs. 231/2001La Riduzione del Rischio - D.Lgs. 231/2001
La Riduzione del Rischio - D.Lgs. 231/2001
 
Le Best Practices per proteggere Informazioni, Sistemi e Reti
Le Best Practices per proteggere Informazioni, Sistemi e RetiLe Best Practices per proteggere Informazioni, Sistemi e Reti
Le Best Practices per proteggere Informazioni, Sistemi e Reti
 
Open vs. Closed Source
Open vs. Closed SourceOpen vs. Closed Source
Open vs. Closed Source
 
La Privacy: Protezione dei Dati Personali
La Privacy: Protezione dei Dati PersonaliLa Privacy: Protezione dei Dati Personali
La Privacy: Protezione dei Dati Personali
 
Reti di Calcolatori
Reti di CalcolatoriReti di Calcolatori
Reti di Calcolatori
 
Implementazione Politiche di Sicurezza
Implementazione Politiche di SicurezzaImplementazione Politiche di Sicurezza
Implementazione Politiche di Sicurezza
 
Criticita Sistemi Informatici
Criticita Sistemi InformaticiCriticita Sistemi Informatici
Criticita Sistemi Informatici
 
Introduzione alla Sicurezza Informatica
Introduzione alla Sicurezza InformaticaIntroduzione alla Sicurezza Informatica
Introduzione alla Sicurezza Informatica
 
Programmazione Sicura
Programmazione SicuraProgrammazione Sicura
Programmazione Sicura
 
OpenID Connect 1.0: verifica formale del protocollo in HLPSL
OpenID Connect 1.0: verifica formale del protocollo in HLPSLOpenID Connect 1.0: verifica formale del protocollo in HLPSL
OpenID Connect 1.0: verifica formale del protocollo in HLPSL
 
Il Cloud Computing: la nuova sfida per legislatori e forenser
Il Cloud Computing: la nuova sfida per legislatori e forenserIl Cloud Computing: la nuova sfida per legislatori e forenser
Il Cloud Computing: la nuova sfida per legislatori e forenser
 
La timeline: aspetti tecnici e rilevanza processuale
La timeline: aspetti tecnici e rilevanza processualeLa timeline: aspetti tecnici e rilevanza processuale
La timeline: aspetti tecnici e rilevanza processuale
 
Proteggiamo I Dati
Proteggiamo I DatiProteggiamo I Dati
Proteggiamo I Dati
 
Approccio all’Analisi Forense delle Celle Telefoniche
Approccio all’Analisi Forense delle Celle TelefonicheApproccio all’Analisi Forense delle Celle Telefoniche
Approccio all’Analisi Forense delle Celle Telefoniche
 
L'Alibi Informatico: aspetti tecnici e giuridici.
L'Alibi Informatico: aspetti tecnici e giuridici.L'Alibi Informatico: aspetti tecnici e giuridici.
L'Alibi Informatico: aspetti tecnici e giuridici.
 
IL WEB 2.0: analisi e potenzialità
IL WEB 2.0: analisi e potenzialitàIL WEB 2.0: analisi e potenzialità
IL WEB 2.0: analisi e potenzialità
 
La Fragilità della Prova Informatica
La Fragilità della Prova InformaticaLa Fragilità della Prova Informatica
La Fragilità della Prova Informatica
 
Introduzione Mobile Forensics
Introduzione Mobile ForensicsIntroduzione Mobile Forensics
Introduzione Mobile Forensics
 

Vincenzo Calabrò - Tracciabilita' delle Operazioni in Rete e Network Forensics

  • 1. 1 Tracciabilità Tracciabilità Tracciabilità delle operazioni in rete delle operazioni in rete delle operazioni in rete e network e network e network forensics forensics forensics Diritto e Nuove Tecnologie Diritto e Nuove Tecnologie Diritto e Nuove Tecnologie Campus Campus Campus 4 giugno 2011 4 giugno 2011 4 giugno 2011 www.vincenzocalabro.it www.vincenzocalabro.it www.vincenzocalabro.it
  • 2. 2 Premessa Premessa Siamo ormai arrivati a quello che Mark Weiser nel lontanissimo 1988 definiva "computer ubiquo" (ubiquitous computing), intendendo quel sistema di periferiche talmente pervasivo e capillare da spostare l'utilizzo della rete sullo sfondo costante delle nostre vite reali.
  • 3. 3 Quando il sistema GPS del tuo telefono informa un negozio d'interesse della tua presenza, quando Facebook usa il riconoscimento facciale per taggare le foto che posti, quando i tuoi movimenti finanziari vengono tracciati mediante carta di credito in real-time, qualcosa sta cambiando! Se il Web 2.0 è stata la piena realizzazione della promessa di un internet collaborativo – nel quale gli utenti potevano creare anziché consumare: pensate a Flickr, Facebook, Wikipedia - il Web 3.0 farà loro dimenticare che stanno creando in rete.
  • 4. 4 Le tracce Le tracce Distinguiamo due tipologie: 1. Quelle che dimostrano l’avvenuta connessione: • i Log file, si trovano sugli apparati di comunicazione (switch, router, firewall, ids,...) • i Tabulati del traffico telefonico o dati, si trovano sui server dei provider telefonici o degli ISP (Internet Service Provider) 2. Quelle che rappresentano il contenuto della comunicazione, o parte di essa: • i Log file di sistema, presenti nei terminali di comunicazione (sia client che server) • le Memorie di Massa o Cache, presente nei client di connessione, nei dispositivi proxy, ed i server di rete
  • 5. 5 Paradigma: Paradigma: Paradigma: Client Client Client- - -Server Server Server • WWW • Web services • Email, Newsletter • Newsgroup • FTP • Video-on-demand • Voip • Social network • Cloud computing
  • 6. 6 Paradigma: Paradigma: Paradigma: Peer Peer Peer- - -to to to- - -Peer Peer Peer • Chat (IRC) • Instant messaging • Web P2P (Osiris) • Voip P2P (Skype) • File sharing (Emule, Kazaa, ecc.) • Streaming media • Distributed search engine • Grid computing
  • 8. 8 Cos’è la Network Cos’è la Network forensics forensics? ? Si riferisce all’analisi dei sistemi di rete, ivi inclusa la Rete delle reti ossia Internet, al fine di determinare elementi probatori inerenti un determinato caso investigativo. Si distingue dalla Network Security, con cui condivide gli strumenti, perché opera in ambito legale e si occupa delle violazioni delle leggi.
  • 9. 9 Ambiti di applicazione Ambiti di applicazione “… è il prelievo, la memorizzazione e l’analisi degli eventi di rete al fine di identificare la sorgente degli attacchi alla sicurezza o l’origine di altri problemi del sistema di rete…” M. M. Ranum Ranum, , Network Network Forensics Forensics and and Traffic Traffic Monitoring Monitoring, Computer , Computer Security Security Journal, Journal, Vol. Vol. XII, 1997 XII, 1997 Distinguiamo: 1. Ambiti locali (LAN) 2. Ambiti geografici (WAN e Internet)
  • 11. 11 ANALISI REAL TIME o LIVE ANALISI REAL TIME o LIVE ANALISI REAL TIME o LIVE Nel contesto delle investigazioni tramite intercettazione telematica, vi è la necessità di conoscere una pluralità di componenti hardware e software per poter eseguire qualsiasi tipo di attività Componenti hardware di una rete più comuni: • Hub • Switch • Router • Firewall • Sonda di rete • Bilanciatore
  • 12. 12 Approccio Approccio Approccio 1. Si individua il target da intercettare 2. Si studiano i software ed i protocolli da analizzare 3. Si sceglie il punto di ascolto, ovvero dove conviene agganciarsi 4. Si inserisce l’apparato d’intercettazione appropriato 5. Si registra il flusso telematico catturato su un dispositivo sicuro 6. Si analizza il traffico acquisito
  • 13. 13 Analisi Analisi Problematiche da affrontare: • mole di dati spesso molto elevate • ricostruzione del dato acquisito • ricostruzione delle sessioni e dei collegamenti Utilizzo di software per una giusta interpretazione dei dati: • Editor testuale (???) • Wireshark • Xplico
  • 14. 14 www.wireshark.org www.wireshark.org • Possibilità di analizzare dati acquisiti in tempo reale su una rete attiva • I dati possono essere acquisiti dal vivo su reti Ethernet, FDDI, PPP, Token Ring, IEEE 802.11, IP classico su ATM, e interfacce di loopback (non tutti i tipi sono supportati su tutte le piattaforme) • Possibilità di filtrare i dati da visualizzare utilizzando filtri di visualizzazione per colorare o evidenziare selettivamente le informazioni sommarie sui pacchetti • È possibile scomporre e analizzare centinaia di protocolli di comunicazione
  • 15. 15
  • 17. 17
  • 18. 18
  • 19. 19
  • 20. 20 ANALISI POST MORTEM ANALISI POST MORTEM ANALISI POST MORTEM A volte, nelle investigazioni digitali, vi è la necessità di ottenere ulteriori informazioni a sostegno di una determinata tesi. Dalla Network Forensics si possono ottenere altri pezzi di un “puzzle”, ulteriori informazioni su “cosa è successo”, cercando tra le tracce lasciate sugli apparati di rete. Queste informazioni possono essere utilizzate per: • Ricostruire le sessioni (ad esempio: web, ftp, telnet, IM) • Trovare i file (scaricati o consultati sulle unità di rete) • Trovare le password • Identificare le macchine remote
  • 21. 21 Approccio Approccio Approccio 1. Si individua la sorgente e la destinazione della sessione 2. Si verifica quali sistemi e supporti sono stati coinvolti (switch, router, ISP, ) 3. Si cercano gli elementi che testimoniano una determinata attività in rete (log, report IDS, journal, …) 4. Si normalizzano i tracciati per ricostruire la comunicazione avvenuta 5. Si individuano le eventuali macchine o supporti di memoria da “girare” alla Computer Forensics
  • 22. 22 Problematiche da affrontare: • Sistemi distribuiti • Raccolta di ipertesti dinamici • Spesso le macchine non possono essere spente • Troppi dati da memorizzare • Difficoltà nel documentare e certificare la copia • Difficoltà in dibattimento della presentazione dei risultati
  • 23. 23 Esempio Log Web Server Esempio Log Web Server
  • 24. 24 Esempio di Esempio di Geolocalizzazione Geolocalizzazione
  • 32. 32 Nella CF si sono consolidate prassi a garanzia che il supporto analizzato non sia stato alterato prima e dopo l’analisi Nella NF entrano in gioco tantissime variabili • Bisogna certificare il processo di ottenimento assieme allo stato della rete in quel momento • La copia a runtime di dati su una memoria di massa operativa è un’operazione sicuramente irripetibile • E’ molto difficile e complesso chiedersi quali dati recuperare • Entra in gioco un grado di aleatorietà notevole che rende i dati più un mezzo investigativo (indizi) che elementi probatori
  • 33. 33 Una rete di computer, pur essendo impiegata come mezzo per lo svolgimento di un determinato reato, non è necessariamente tutta coinvolta nel reato stesso: si ha spesso la necessità di allargare l’ambito dell’analisi, ma si rischia di commettere violazioni durante le operazioni che possono implicare danni agli utenti e ricadute economiche Il personale del sistema informativo non sono minimamente interessati dal reato, ma potrebbero conoscere o mantenere, per ragioni di sicurezza, informazioni determinanti per la dimostrazione dei fatti: l’unico problema è che la metodologia di raccolta e conservazione non sempre corrisponde a canoni forensi e talvolta neanche alle disposizioni sulla privacy
  • 34. 34 Pertanto vi è la necessità di autorizzazioni specifiche e non generiche di più di quanto accada per la Computer Forensics. L’aspetto legale si evidenzia perché spesso il NF può essere realizzato attraverso strumenti come il cracking, lo sniffing, il denial of service, ecc. non specificatamente autorizzati dalla magistratura. Queste scorciatoie, problematicamente alla portata di un gran numero di specialisti, conseguono risultati il più delle volte non impiegabili in dibattimento.
  • 35. 35 Infine ci sono dei limiti con cui la Network Forensics deve continuamente fare i conti: • La sincronizzazione degli orologi • La mole dei dati • L’Internazionalità o extraterritorialità • La Crittografia • L’Anonimato • Il Cloud computing • Le Botnet
  • 36. 36 Terrence Terrence V. V. Lillard Lillard Digital Digital Forensics Forensics for for Network, Network, Internet, and Internet, and Cloud Cloud Computing: Computing: A A Forensic Forensic Evidence Evidence Guide Guide for for Moving Moving Targets Targets and Data and Data Syngress Syngress; 1 ; 1 edition edition ( (June June 16, 2010) 16, 2010) Grazie per l’attenzione Grazie per l’attenzione www.vincenzocalabro.it www.vincenzocalabro.it