1. Dott. Gennaro Esposito
Digital Forensics expert & data analyst
9 marzo 2017
CONVEGNO ANGIF
Aula Magna della Scuola di Formazione del Ministero di
Giustizia
Via del Seminario 4 Genova
“Introduzione alla Cybersecurity, computer crimes e digital forensics
presentazione del Master di II livello”
Tecniche di acquisizione delle fonti di prova digitali (definizioni e percorsi)
2. Cybersecurity e Digital Forensics
La cybersecurity si può definire come la protezione di
dispositivi elettronici o reti di essi contro attacchi o intrusioni
non autorizzate.
Essa può essere definite a livello di singolo terminale (ad
esempio il nostro smartphone) fino a livello planetario (basti
pensare ai satelliti spia e sistemi di intercettazione più o meno
conosciuti balzati alle cronache negli ultimi anni.
La digital forensics è strettamente connessa alla
Cybersecurity e prende parte ad alcune fasi del processo
di messa in sicurezza dei sistemi.
3. Cybersecurity e Digital Forensics
Due discipline parallele che si incontrano nella pratica.
- Per prevenire, individuare, analizzare le minacce, attacchi o
intrusioni in cyberspazio non autorizzato si usano tecniche di
digital forensics.
- I risultati delle acquisizioni ed analisi ottenute con le tecniche di
digital forensics sono posti a base per migliorare ed
implementare la cybersecurity .
Cybersecurity
Digital Forensics
4. Cosa protegge la Cybersecurity? …..Il Cyberspazio……
Cos’è il Cyberspazio?
E’ l’habitat digitale della persona fisica reale.
Nei paesi civilizzati, ne facciamo parte praticamente tutti.
Nel cyberspazio ci troviamo:
- I nostri dati personali (foto, indirizzi, recapiti telefonici ecc.)
- I nostri dati medici (comodo ricevere i referti via mail)
- Ie nostre relazioni professionali (linkedin & co.)
- I nostri dati patrimoniali (banca posta ecc….)
- I nostri pensieri , le nostre amicizie ecc….. (Facebook
WhatsApp, tanto per citarne due esempi)
Cybersecurity e Digital Forensics
5. Computer Crimes e Digital Forensics
Cosa sono i Computer crimes? – I crimini informatici?
Sono tutta una serie di reati, tra i più importanti:
- Frode informatica (art. 640 ter C.p.)
- Accesso abusivo a Sistema informatico o telematico
(art. 615 ter C.p.)
- la detenzione e diffusione abusiva di codici di accesso a
sistemi informatici e telematici (art.615 quater C.p.)
- diffusione di apparecchiature, dispositivi o programmi
informatici diretti a danneggiare o interrompere un
sistema informatico o telematico (art . 615 quinquies
C.p.)
6. Computer Crimes e Digital Forensics
Nel mondo anglosassone:
Computer crimes = fondamentalmente quelli relativi
alle attività degli hacker (attacchi a siti, sistemi,
banche dati, server ecc…)
Computer related crimes = nei quali il dispositivo
digitale è solo il mezzo per compierlo (es.
Condivisione di immagini pedopornografiche) o
l’obiettivo del crimine (es. carte di credito clonate.)
7. Digital Forensics – Fonti di prova digitali
La «Digital Forensics» è una disciplina mediante la quale
si ricercano le fonti di prova digitali che possono essere
validamente utilizzate in sedi giurisdizionali e centri di
valutazione di ogni ordine e grado.
E’ fondamentalmente un percorso-iter:
• LOGICO: improntato all’analisi costi benefici (miglior
risultato col minor spreco di tempo-energie)
• SCIENTIFICO: nel metodo (nelle fasi di identificazione,
acquisizione, conservazione e presentazione dei
risultati)
• GIURIDICO: rispetto delle norme nel contesto in cui si
opera.
8. Digital Forensics – Fonti di prova digitali
• RICERCA (E RICOSTRUZIONE) DELLE FONTI DI PROVA
DIGITALI.
LA FONTE DI PROVA: elemento che viene portato
dibattimento - contenzioso
per la formazione della prova
che porta al convincimento
dell’organo Giudicante.
PROVA: è un ragionamento che da un fatto/atto noto
ricava l’esistenza di un fatto avvenuto nel
passato (in base alle fonti di prova raccolte).
9. FONTE DI PROVA DIGITALE - CARATTERISTICHE
AUTENTICITA’ INTEGRITA’ VERIDICITÀ COMPLETEZZA LEGALITA’
FONTE DI
PROVA
DIGITALE
10. AUTENTICITA’
La fonte di prova digitale deve essere autentica, non artefatta
es. dati e contenuti modificati/manipolati ad hoc.
1
11. INTEGRITA’
• duplicazione bit a bit del dispositivo sorgente in
doppia copia (two gust is meglio che one) con
calcolo algoritmi di hash che ne garantiscono
l’integrità e presentazione dei risultati
• Presentazione dei risultati su DVD o se non
possibile su disco rigido (con calcolo di hash sulle
single risultanze)
• Vantaggi:
• dati ridondanti (si rompe un disco ho l’altro)
• Economico
• Svantaggi:
• Non sempre applicabile (es. Dischi SSD e smartphone)
• I dischi rigidi di memorizzazione hanno vita limitata e si
possono rompere (anche tutti e due)
12. INTEGRITA’
(ALGORITMO DI HASH)
L’ Algoritmo di hash è una funzione che permette
di prendere come base una quantità di dati di
grandezza arbitraria e restituisce una stringa
alfanumerica crittografata a grandezza
predefinita……
ciao
Nome file: Pippo.txt
Nome file: pluto.txt
ciao
6e6bc4e49dd477ebc98ef4046c067b5f
6e6bc4e49dd477ebc98ef4046c067b5f
Valore di hash MD5
ciao
Nome file: Pippo.txt
Nome file: Pippo.txt
Supercalifragilistic
hespiralidosissimo
6e6bc4e49dd477ebc98ef4046c067b5f
578cfbc0aefa772aaeac71ca4dfc69fc
Valore di hash MD5
13. Veridicità
La veridicità della fonte di prova digitale talvolta non è così
semplice da accertare, spesso quando si è in presenza di malware,
virus ed intrusioni informatiche, botnet ecc…. Dove ci si trova
spesso in presenza di tecniche che permettono di celare,
mascherare, le fonti di prova digitali e le persone fisiche coinvolte.
Bisogna prestare molta attenzione alla fase di acquisizione e di
analisi onde evitare errori di valutazione.
14. Completezza
Completezza significa non solo nei contenuti, ma in tutte le fasi
che hanno riguardato la sua:
• Identificazione
• Acquisione
• conservazione
• analisi
16. La fonte di prova
digitale in ambito
amministrativo
PAROLA D’ORDINE: “VERBA VOLANT SCRIPTA MANENT”
Quindi quello che interessa principalmente le tecniche di
Digital Forensics in ambito amministrativo è la ricerca dei
documenti informatici.
18. Documento informatico
”CODICE DELL’AMMINISTRAZIONE DIGITALE” -
Decreto Legislativo 7 marzo 2005, n. 8
Articolo 1 – Definizioni
…
p) documento informatico: la rappresentazione informatica di atti, fatti
o dati giuridicamente rilevanti;
…
i – bis) copia informatica di documento analogico: il documento
informatico avente contenuto identico a quello del documento
analogico da cui è tratto;
i – ter) copia per immagine su supporto informatico di documento
analogico: il documento informatico avente contenuto e forma
identici a quelli del documento analogico da cui è tratto;
i- quater) copia informatica di documento informatico: il documento
informatico avente contenuto identico a quello del
documento da cui è tratto su supporto informatico con
diversa sequenza di valori binari;
i-quinquies) duplicato informatico: il documento informatico ottenuto
mediante la memorizzazione sullo stesso dispositivo o su
dispositivi diversi, della stessa medesima sequenza di valori
binari del documento originario;
…
19. La fonte di prova digitale
in ambito penale
PAROLA CHIAVE: “DATI”
Il dato è un’informazione grezza o elementare, che elaborata
insieme ad altri dati/elementi porta all’elaborazione
dell’informazione utile.
I dati sono utilizzati per elaborare le «fonti di prova digitali»
20. La fonte di prova digitale
in ambito penale
Fonti di prova digitali:
Dati digitali che possono stabilire se è stato commesso un
reato, possono individuare un collegamento tra un reato e la
sua vittima o il suo autore.
21. La fonte di prova digitale
in ambito penale
I dati digitali utili, necessari a costruire le fonti di prova digitali,
possono essere assicurati attraverso tre modalità:
1 Sequestro
2 Duplicazione
3 Intercettazione/captazione.
22. La fonte di prova digitale
in ambito penale
SEQUESTRO
E’ la forma classica di assicurazione dei dati digitali.
Si sequestra di solito l’intero dispositivo dove sono contenuti i dati
(es. computer, smartphone pen drive usb ecc…..)
Talvolta, si sequestrano solo i dati di interesse
(es. una mail o una cartella ben precisata da un server)
(La differenza con la duplicazione è che vengono tolti dalla
Disponibilità dell’avente diritto/possessore)
23. La fonte di prova digitale
in ambito penale
DUPLICAZIONE
Da non confondere con la successiva doppia copia bit a bit per l’analisi
Talvolta per ragioni di opportunità si procede alla duplicazione dei
dati da acquisire e non al sequestro, lasciandoli nella libera
disponibilità dell’avente diritto (es. acquisizione di dati presso
terzi, estranei ai fatti oggetto di indagini).
Anche in tal caso l’hash e la doppia copia sono d’obbligo
Caso classico di «opportunità»
24. La fonte di prova digitale
in ambito penale
INTERCETTAZIONE/CAPTAZIONE
Attiene spesso alla parte della digital forensics denominata
NETWORK FORENSICS.
Nella pratica si tratta di intercettazione telematica
Può essere attiva (in tempo reale)
Passiva (i dati li acquisisco dopo un certo lasso di tempo)
25. La fonte di prova digitale
SCENARI
OPERATIVI
• Live forensics:
Il sistema da analizzare/estrarre i dati è acceso
• Dead forensics:
Il sistema è spento, disconnesso.
GIURIDICI (ambito penale)
- Atti ripetibili (art. 359 C.p.p.)
- Atti irripetibili (art. 360 C.p.p.)
26. La fonte di prova digitale
SCENARI
LIVE FORENSICS
parola d’ordine: «Volatility order»
I dati vanno acquisiti secondo un ordine che parte
da quelli che hanno vita più breve a quelli che
hanno vita più lunga
27. La fonte di prova digitale
SCENARI
DEAD FORENSICS
parola d’ordine: «integrità»
I dati vanno acquisiti integralmente, verificati
e validati nel loro complesso.
28. La fonte di prova digitale
SCENARI
ATTI RIPETIBILI
parola d’ordine: «conservazione»
I dispositivi vanno conservati senza metterli
Ma in funzione dopo l’acquisizione.
se eseguiremo nuovamente le medesime
operazioni di duplicazione i risultati saranno
sempre gli stessi
29. La fonte di prova digitale
SCENARI
ATTI IRRIPETIBILI
parola d’ordine: «garanzie alle controparti»
I dati vanno acquisiti con l’informazione alle parti
(si sa già che non vi sarà mai più la possibilità di
ottenere gli stessi risultati rieseguendo le
stesse operazioni di acquisizione).
30. La fonte di prova digitale
in ambito penale
Ora che abbiamo i dati cosa facciamo?
Semplice, analizziamo!
……
Ma questa …… è un’altra storia.