Giuseppe Vaciago - Introduzione alla Computer Forensic e garanzie dell'indagato - 15.03/5.04 2011 - Università degli Studi di Milano

1. Introduzione alla Digital Forensics e garanzie dell’indagato Giuseppe Vaciago Università degli Studi di Milano 15 marzo 2011 – ore 16.30 5 aprile 2011 – ore 8.30

2. Cosa è la digital forensics ? Come Sherlock Holmes nel XIX secolo si serviva costantemente dei suoi apparecchi per l’analisi chimica, oggi nel XXI secolo egli non mancherebbe di effettuare un’accurata analisi di computer, di telefoni cellulari e di ogni tipo di apparecchiatura digitale (Ralph Losey). Scopo della digital forensics è quello di conservare, identificare, acquisire, documentare o interpretare i dati presenti in un computer. A livello generale si tratta di individuare le modalità migliori per: - acquisire le prove senza alterare il sistema informatico in cui si trovano; - garantire che le prove acquisite su altro supporto siano identiche a quelle originarie; - analizzare i dati senza alterarli (Cesare Maioli)

3. Cosa è la digital evidence? Digital evidence è una qualsiasi informazione, con valore probatorio, che sia o meno memorizzata o trasmessa in un formato digitale. Definizione dello Scientific Working Group on Digital Evidence (SWGDE) La rappresentazione del fatto è la medesima sia essa incorporata in uno scritto o in un file. Quello che cambia è soltanto il metodo di incorporamento su base materiale (Tonini).

4. Si possono avere tre diverse tipologie di prova digitale: Creata dall’uomo : ogni dato digitale che figuri come il risultato di un intervento o di un’azione umana e può essere di due tipi: a) Human to human (mail) b) Human to PC (documento word) Le classificazioni della digital evidence

5. Creata autonomamente dal computer : ogni dato che figuri come il risultato di un processo su dei dati effettuato da un software secondo un preciso algoritmo e senza l’intervento umano (tabulati telefonici, file di log di un Internet Service Provider) Le classificazioni della digital evidence

6. Creata sia dall’essere umano che dal computer : foglio di calcolo elettronico dove i dati vengono inseriti dall’essere umano, mentre il risultato viene effettuato dal computer. Le classificazioni della digital evidence

7. Le caratteristiche della digital evidence 1. Anonima e immateriale : non sempre è possibile risalire al soggetto che ha generato un dato informatico

8. 2. Rumorosa : è difficile filtrare la mole incredibile di dati digitali da analizzare Le caratteristiche della digital evidence

9. 3. Alterabile : è molto facile contaminare una prova digitale Le caratteristiche della digital evidence

10. Una prima caratteristica è data dalla complessità della digital evidence. Il caso Amero ne è una dimostrazione. Le complessità della digital evidence (Caso Julie Amero) Julie Amero è una supplente della Kelly School di Norwich del Connecticut che venne condannata per aver mostrato a ragazzi minori di 16 anni immagini pornografiche

11. Lezione di Julie Amero. Immagini “ inadatte ” appaiono come pop-up dal PC dell ’ insegnante La Polizia visiona il contenuto dell ’ hard disk,ma non ne esegue una copia bit-stream La Corte condanna Julie Amero per il reato di offesa alla morale ad una minorenne Julie Amero ottenne un nuovo processo in cui venne condannata alla pena di 100 dollari 26/10/04 05/01/07 10/11/08 19/10/04 Il docente titolare si reca in aula e nota che la cache file contiene file pornografici e avvisa il preside 20/10/04 La difesa chiede un nuovo processo in quanto la prova non era stata acquisita correttamente e il computer era infetto (mousetrapping) 01/06/08 Il caso “Amero”: la scansione temporale

13. Un’ulteriore, ma fondamentale elemento della digital evidence è l’alterabilità e la capacità di contenere un innumerevole numero di informazioni. Il caso di “Garlasco” ne è un chiaro esempio. Alberto Stasi è stato assolto in primo grado dall’accusa di omicidio volontario della fidanzata Chiara Poggi L’alibi informatico (Caso Garlasco)

15. Investigazioni telematiche: crittografia Un classico metodo per nascondere un file è quello di utilizzare la crittografia: La crittografia tratta delle "scritture nascoste" (significato etimologico della parola) ovvero dei metodi per rendere un messaggio "offuscato" in modo da non essere comprensibile a persone non autorizzate a leggerlo. La parola crittografia deriva dalla parola greca kryptós che significa nascosto e dalla parola greca gráphein che significa scrivere. La crittografia è la controparte della crittanalisi ed assieme formano la crittologia.

16. Investigazioni telematiche: crittografia Decifrare un testo crittografato è semplice. Il problema è: in questo tempo? Ad esempio una chiave di cifratura a 20-bit consente fino a un milione di combinazioni possibili, per cui con un normalissimo computer portatile che processa circa un milione di operazioni al secondo, il tempo di cifratura massimo sarà addirittura inferiore al secondo. Tuttavia con un sistema di cifratura con una chiave a 56-bit lo stesso elaboratore potrebbe impiegare fino a 2285 anni per verificare tutte le combinazioni possibili. Per rendersi conto della complessità di tale operazione basti considerare che la più diffusa versione del software di cifratura PGP (Pretty Good Privacy) al momento attuale si basa su una chiave di 1024-bit .

17. Investigazioni telematiche: file di log I file di log sono file che, registrando tutte le operazioni compiute dall’elaboratore elettronico durante il suo funzionamento, contengono rilevanti informazioni relativi al sistema, compresi i servizi e le applicazioni in funzione. In un normale computer di casa coesistono diversi tipi di file di log: - log di sistema : memorizza gli eventi significativi che intercorrono tra il sistema, come fornitore di servizi e le applicazioni, come clienti dei servizi stessi; - log di applicazione : molte applicazioni prevedono i propri log su cui sono registrati eventi caratteristici dell'applicazione; - log di base dati : in questo caso è il sistema gestore di base dati che registra le operazioni fatte sulla base dati (inserimento, aggiornamento, cancellazione di record).

18. Investigazioni telematiche: file di log I file di log hanno generalmente la funzione di risolvere un determinato malfunzionamento del sistema, ma possono anche fornire utili informazioni nel caso di un ’investigazione telematica. L ’analisi dei file di log sul computer “vittima” o sui server che gestiscono il traffico telematico transitato su una data rete, possono consentire l’individuazione del soggetto che ha commesso l’illecito.

19. Investigazioni telematiche: Keylogger Un keylogger è, nel campo dell'informatica, uno strumento in grado di intercettare tutto ciò che un utente digita sulla tastiera del proprio computer. Esistono vari tipi di keylogger: Hardware: vengono collegati al cavo di comunicazione tra la tastiera ed il computer o all'interno della tastiera Software: programmi che controllano e salvano la sequenza di tasti che viene digitata da un utente.

22. Algoritmo di Hash L ’impronta di Hash garantisce durante un ’ analisi forense di supporti alterabili l ’ i ntangibilità dei dati in essi contenuti. L’ Hash è una funzione univoca operante in un solo senso (ossia, che non può essere invertita), attraverso la quale viene trasformato un documento di lunghezza arbitraria in una stringa di lunghezza fissa, relativamente limitata . Tale stringa rappresenta una sorta di “impronta digitale” del testo in chiaro, e viene detta valore di Hash o Message Digest. Se il documento venisse alterato anche in minima parte , cambierebbe di conseguenza anche l’impronta . In altre parole, calcolando e registrando l ’impronta, e successivamente ricalcolandola, è possibile mostrare al di là di ogni dubbio che i contenuti del file, oppure del supporto, abbiano subito o meno modifiche, anche solo accidentali.

23. Algoritmo di Hash La registrazione e la ripetizione costante del calcolo degli Hash sui reperti sequestrati costituisce l ’unico metodo scientificamente valido per garantire l’integrità e la catena di custodia dei reperti . La polizia giudiziaria, prima di apporre i sigilli al materiale informatico, ha il compito di collegare il supporto oggetto del sequestro ad un computer portatile su cui dovrà essere eseguito il comando che consente il calcolo dell ’impronta di Hash . Nella pratica gli algoritmi di Hash più utilizzati, sono l ’MD2, Md4, MD5 e SHA1; in particolare il calcolo dell’algoritmo MD5 (Message Digest 5) permette di generare una stringa di 128 bit, mentre l’algoritmo SHA1 genera una stringa a 160 bit. L’abbinamento di questi due algoritmi dovrebbe evitare qualsiasi contestazione, anche se ultimamente sono stati riscontrati problemi di vulnerabilità che rendono assai più facile del previsto la scoperta di collisioni al suo interno.

25. Digital Forensics Software

26. Garanzie dell’indagato vs Digital Forensics: NY Times - anno 1915 “ Scandalo delle intercettazioni telefoniche” avvenuto a New York nell’aprile del 1915, vede coinvolto il Sindaco della città (John Mitchell) che autorizza l’intercettazione a trentanove istituti caritatevoli della città. 17 aprile 1916, Arthur Woods capo della polizia rese uno dei primi “accorati discorsi” per giustificare l’importanza per le indagini di utilizzare strumenti tecnologici di controllo anche se potenzialmente lesivi della privacy.

27. Il 16 dicembre 2005, il quotidiano New York Times pubblicò un articolo dal titolo “ Bush autorizza lo spionaggio telefonico senza un mandato dei tribunali ” scritto dai giornalisti investigativi James Risen e Eric Lichtblau, che in seguito vinsero congiuntamente un premio Pulitzer per il loro reportage sulle intercettazioni illegali effettuate dal Governo. L’articolo si riferisce all’ordine presidenziale del 2002 che autorizza la National Security Agency ad effettuare intercettazioni indiscriminate, telefoniche o telematiche, per trovare tracce del gruppo terroristico “Al Qaeda”. Garanzie dell’indagato vs Digital Forensics: NY Times - anno 2005

28. L’anno successivo si scopre che presso la AT&T di San Francisco è presente un sistema di “data mining” di traffico dati, equipaggiato un sistema informatico denominato Narus STA 6400 Divenuta poi nota con il nome di “Room 641”. Tale attività di intercettazione era giustificata dell’”Executive Order 12333” emanato dal Presidente Reagan nel 1981 allo scopo di regolare tutte le attività di intelligence a livello statunitense. Nel 2006 Electronic Frontier Foundation (EFF) fa causa alla National Security Agency (NSA) senza successo in primo grado. Garanzie dell’indagato vs Digital Forensics: NY Times - anno 2005

29. Una Commissione temporanea istituita dal Parlamento Europeo rivelò al mondo nel luglio del 2001 l’esistenza di “ Echelon ” , un programma prodotto e gestito da un gruppo di Paesi coordinati dagli Stati Uniti, con l ’ obiettivo di intercettare ogni forma di comunicazione elettronica su base planetaria. Nel 2010 il Governo inglese ha promosso l’“Interception Modernisation Programme”. Un programma di intercettazione che prevede anche una specifica attività di intercettazione di contenuti telematici liberamente presenti in Rete. La domanda è quella di Giovenale, che compare nel frontespizio del rapporto su “ Echelon ” della Commissione temporanea del Parlamento europeo: quis custodiet ipsos custodes ? Garanzie dell’indagato vs Digital Forensics: programma “ Echelon ”

33. Data retention vs Date check

34. Grazie per l’ attenzione Giuseppe Vaciago Mail: [email_address] Blog: http://infogiuridica.blogspot.it Web: www.studiovaciago.it Linkedin: http://it.linkedin.com/in/vaciago