1. CYBERCRIME,
DIGITAL
INVESTIGATIONS
AND
DIGITAL
FORENSICS
Giuseppe
Vaciago
Università
degli
Studi
di
Milano
16
maggio
2013

2. Scopo della digital forensics è quello di conservare,
identificare, acquisire, documentare o interpretare i dati
presenti in un computer. A livello generale si tratta di
individuare le modalità migliori per:
• acquisire le prove senza alterare il sistema informatico in
cui si trovano;
• garantire che le prove acquisite su altro supporto siano
identiche a quelle originarie;
• analizzare i dati senza alterarli (Cesare Maioli)
Digital Forensics - Definizione

3. Una prima caratteristica è data dalla complessità della digital
evidence. Il caso Amero ne è una dimostrazione.
Le complessità della digital evidence (Julie Amero)
Julie Amero è una supplente della Kelly School di Norwich del
Connecticut che venne condannata per aver mostrato a ragazzi minori
di 16 anni immagini pornografiche.

4. Il caso “Amero”: la scansione temporale
Lezione di Julie Amero.
Immagini “inadatte”
appaiono come pop-up
dal PC dell’insegnante
La Polizia visiona il
contenuto dell’hard
disk,ma non ne esegue
una copia bit-stream
La Corte condanna Julie
Amero per il reato di
offesa alla morale a
minorenni
Julie Amero ottenne un
nuovo processo in cui
venne condannata alla
pena di 100 dollari
26/10/04 05/01/07 10/11/0819/10/04
Il docente titolare si reca in
aula e nota che la cache file
contiene file pornografici e
avvisa il preside
20/10/04
La difesa chiede un nuovo processo in
quanto la prova non era stata acquisita
correttamente e il computer era infetto
(mousetrapping)
01/06/08

5.
Digital Investigation – 5 Steps
Il fine ultimo di ogni investigazione digitale consiste nel recupero di tutti i dati
che possano costituire una prova utilizzabile durante il processo. Per
raggiungere tale fine è necessario:
1. individuare l’autore dell’illecito e il supporto informatico e che contiene
il dato digitale utile all’indagine, al fine di identificare il potenziale criminale
2. acquisire tale dato attraverso l’intercettazione nel caso di flussi di
comunicazioni in Rete, ovvero attraverso il sequestro e la duplicazione del
supporto di memorizzazione su cui è archiviato il dato;
3. conservare in un luogo idoneo tutti i dati digitali acquisiti e duplicati;
4. effettuare, esclusivamente sulla copia del supporto informatico, le
opportune analisi che consentano di recuperare le informazioni utili al
Pubblico Ministero e all’avvocato durante la fase delle indagini preliminari, e
al Giudice durante la fase dibattimentale;
5. presentare i risultati dell’indagine durante la fase dibattimentale o nella
relazione tecnica.

6. Con un decreto del Pubblico Ministero viene effettuata la
perquisizione e il sequestro dei dati informatici
Con l’indirizzo IP, la Polizia Giudiziaria ottiene
dall’Access Provider l’ubicazione del soggetto sospettato
L’Autorità giudiziaria ordina all’ISP di fornire l’indirizzo IP
del soggetto che si è collegato
1. Identificare il sospetto
Quando viene investigato un crimine on line l’approccio
è il seguente:

7. Non c’è nessuna traccia dell’illecito nel
computer sequestrato
Difficoltà nell’identificazione del
computer da sequestrare
Difficoltà nell’identificazione dell’utente
(open Wifi, proxy, botnet, TOR)
Le “sfide” sono le seguenti:
1. Identificare il sospetto – “Sfide”

8. Conoscere la tecnica di social
engineering
Rapidità nell’azione (data retention)
Public-Private Partnership tra Forze
dell’ordine/ISPs
Non puoi (sempre) identificare un cybercriminale su Google ;)
1. Identificare il sospetto – Soluzioni

9. 1. Identificare il sospetto – Soluzioni ?

10. Il risultato è eccellente, ma quali sono le implicazioni a
livello di privacy?
Caso “Palazzolo”: il tesoriere della Mafia, dopo 30 anni di latitanza è
stato arrestato grazie ad un monitoraggio del suo account facebook
1. Identificare il sospetto – Soluzioni ?

11. Face
RecogniKon
Project
Alessandro
Acquis/
CCTV
Fair
Fax
Media
1. Identify the Suspect – Solutions?

12. 2. Individuazione di contenuti illeciti
Strumenti d’indagine spesso usati per condurre investigazioni on line
sono le tecniche “hashing”.
Per esempio, iniziando con un file contenente un immagine, è
possibile convertirlo in un message digest e intraprendere una ricerca
all’interno di un supporto (hard drive, flash disk) o all’interno un
network (P2P networks).
Ferrari.jpg Ferrari_copy.jp
g
HASH SHA-1
051ed4dbdb9bcd7957
aa7cbb5dfd0e94605cd
887

13. Cosa succede se cambio il file in maniera infinitesimale?
Ferrari.jpg Ferrari_copy2.jp
g
HASH:
051ed4dbdb9bcd7957aa7cbb5df
d0e94605cd887
HASH:
a9fa2933484f828b95c1dde824dea
28f35b509d6
L’hash non corrisponde e la ricerca non genererà alcun
risultato
2. Individuazione di contenuti illeciti-
Sfida

14. Per tale ragione, ci sono tecniche (i.e. fuzzy hashing) o vari tipi
di algoritmi che permettono di identificare un certo numero di
similarità.
Un buon software è l’SSDEEP creato da Andrew Tridgell e
utilizzato per individuare spamming.
Online è disponibile: pHash (The open source perceptual
hash library)
2. Individuazione di contenuti illeciti– Soluzioni?

15. 2. Individuazione di contenuti illeciti- Soluzioni
Le tecniche più complesse hanno un range di errore del 20%
Cosa significa?
Nessun problema se ci sono falsi positivi. Il controllo umano è
sufficiente.
Ma nel caso di falsi negativi?
False Negative=
(i.e., illegal content incorrectly deemed as non-illegal
False positives=
(i.e., non-illegal content incorrectly deemed as illegal

16. Internet Surveillance Plans
2. Individuazione di contenuti illeciti- Soluzioni

17. La Germania ha introdotto il 20 dicembre
2006 un emendamento alla legge sulla
protezione della Costituzione nel Nord Reno-
Westfalia che consentiva l’accesso segreto a
sistemi informatici e il monitoraggio segreto
della Rete attraverso sistemi keylogger
installati in forma di trojan horse.
I sistemi informatici possono essere
monitorati da remoto grazie a keylogger e
sniffer installati sul sistema informatico del
sospettato. Ad esempio convincendo il
sospettato ad installare uno spyware in grado
di rivelare le sue password.
2. Individuazione di contenuti illeciti- Soluzioni

18. La Corte Costituzionale tedesca il 27 febbraio 2008 ha
dichiarato incostituzionale tale emendamento
sostenendo che violava il “diritto alla riservatezza ed alla
integrità dei sistemi informatici”.
2. Individuazione di contenuti illeciti- Soluzioni

19. Tre anni dopo le affermazioni di principio pronunciate dalla
Corte Costituzionale tedesca, Il Ministro della Giustizia tedesco
chiese un’investigazione contro pubbliche autorità che in
almeno 4 stati della Germania si era scoperto spiassero i
privati cittadini utilizzando spyware informatici (Bavaria, Baden-
Wurttemberg, Brandenburg and Lower Saxony)
2. Individuazione di contenuti illeciti- Soluzioni

20. 3. La validazione della prova digitale
Affinché una prova digitale possa entrare legittimamente in un
processo, gli agenti di P.G. devono rispettare due regole
fondamentali della digital forensics menzionate sopra
Ma cosa succede se il dato digitale è nel sistema Cloud?
Bitstream Copy
Hash function

21. La nuova sfida del Cloud computing è la perdita di
localizzazione dei dati dovuta a:
-­‐ “Data at rest” non sono presenti nel dispositivo usato.
-­‐ “Data in transit” non possono essere facilmente analizzati a
causa della codificazione.
-­‐ “Data in execution” saranno presenti solo nel cloud
Il soggetto che volesse effettuare l’immagine bit-stream di
alcuni dati presenti all’interno del cloud di un dato sospetto
sarebbe nella stessa posizione di chi deve completare un
puzzle i cui pezzi sono sparsi a caso in giro per il mondo
3. La validazione della prova digitale

22. 3. La validazione della prova digitale
Come è possibile validare la prova digitale online e
immediatamente dare come certa la presenza di un particolare
dato in uno specifico website?

23. 4. Chain of Custody della prova digitale
• Quando la prova digitale può essere usata in un processo, deve
essere trattata con cautela per evitare accuse di manipolazione o
falso che possono compromettere il processo.
• Il Digital storage media dura meno di quello dell’analogue media e
gli strumenti per leggere il primo, durano ancora meno.
• Domesday Book (1086): è stato leggibile per oltre 900 anni.
• Domesday Book 2 (1983): LaserDisc: illeggibile trascorsi 15 anni..

24. 5. Analisi della prova digitale
• Text searches: consiste nel condurre ricerche di tipo
testuale all’interno dei file o delle directory e si estende a
tutte le strutture del file system
• Image searches: consiste nella ricerca delle immagini
digitali su file di vario formato
• Data recovery and identificationprocedimento per
recuperare dati presenti, cancellati o danneggiati da
memorie di massa
• Data discovery: procedimento per scoprire dati nascosti da
una memoria o da un file cifrati o protetti in altro modo
• Data carving: tentativo di ricostruire un file danneggiato
attraverso il recupero di porzioni di file.
• Metadata recovery and identification: Il recupero e
l’identificazione di tali dati (es. date e orari, attributi di file)
sono di particolare importanza per determinare la timeline di
accesso e di modifiche di un file

25. 6. Presentazione dei risultati
Questo processo è di fondamentale importanza per PM, giudici
e avvocati, dato che l’esito del processo non dipenderà
solamente dai risultati ottenuti, ma anche dal grado di chiarezza
e comprensione di tali risultati.

26. GRAZIE PER LA PAZIENZA !!!
Giuseppe Vaciago
vaciago@htlaw.it