Classificazione e profilazione dei referti investigativi sulle fattispecie criminose
-
Upload
alessandro-bonu -
Category
Education
-
view
351 -
download
1
Transcript of Classificazione e profilazione dei referti investigativi sulle fattispecie criminose
“Classificazione e profilazione dei
referti investigativi sulle fattispecie
criminose”
Aspetti metodologici applicati alla disciplina della Digital Forensics in relazione all’evoluzione delle nuove tecnologie
Alessandro [email protected]
“Classificazione e profilazione dei referti investigativi
sulle fattispecie criminose” a cura di Alessandro
Bonu www.diricto.itict4forensics.diee.unica.it
Premessa
• la diffusione di apparati tecnologici sul mercato
globale ha raggiunto numeri significativi e il trend di
crescita
continua ad essere decisamente alto
• cresce esponenzialmente il fattore di calcolo ma
soprattutto la capacità di memoria, numero e
tipologia dei dispositivi che le forze dell’ordine si
trovano a reperire e analizzare per tutte le fasi
correlate alle indagini di Digital Forensics
• in questo scenario si sente la necessità di nuove
strategie per snellire e velocizzare i lavori di indagine
“Classificazione e profilazione dei referti investigativi
sulle fattispecie criminose” a cura di Alessandro
Bonu www.diricto.itict4forensics.diee.unica.it
• da una stima già del 2013 la mole di dati generata
aveva raggiunto i 4 zettabytes = 1 triliardo di dati
• il mercato Big Data Analytics in Italia, cresce
anche nel 2014 (+25%) è quanto emerge dalla
ricerca 2014 dell’Osservatorio Big Data Analytics &
Business Intelligence
• questa crescita è sostenuta più che da un utilizzo
consapevole di questi strumenti, dalla disponibilità
di tecnologie a basso costo, oggi a portata di “tutti”
Big Data
“Classificazione e profilazione dei referti investigativi
sulle fattispecie criminose” a cura di Alessandro
Bonu www.diricto.itict4forensics.diee.unica.it
Crimini informatici
• possono assumere varie forme
• possono essere perpetrati sempre e
ovunque
• nel consiglio Europeo sulla criminalità
informatica, vengono definiti con termine
noto di CYBERCRIMEma il cybercrime oggi non è questo..
“Classificazione e profilazione dei referti investigativi
sulle fattispecie criminose” a cura di Alessandro
Bonu www.diricto.itict4forensics.diee.unica.it
Cybercrime
..oggi sono questi
“Classificazione e profilazione dei referti investigativi
sulle fattispecie criminose” a cura di Alessandro
Bonu www.diricto.itict4forensics.diee.unica.it
Last news tecnologiche
“Classificazione e profilazione dei referti investigativi
sulle fattispecie criminose” a cura di Alessandro
Bonu www.diricto.itict4forensics.diee.unica.it
• Il Cyber crimine nel mondo è aumentato del 30%
nei primi 6 mesi del 2015 ed è ormai la causa di circa
il 60% degli attacchi informatici gravi avvenuti a
livello globale nello stesso periodo
• sono le "infrastrutture critiche", come le reti per
l'energia e le telecomunicazioni a registrare la
crescita maggiore, passando da 2 attacchi nella
seconda metà del 2014 a 20 nella prima metà del
2015, con un incremento del 900%
Rapporto Clusit sulla sicurezza informatica globale presentato a Verona - 2015
“Classificazione e profilazione dei referti investigativi
sulle fattispecie criminose” a cura di Alessandro
Bonu www.diricto.itict4forensics.diee.unica.it
• crescita a tre cifre anche per gli attacchi che riguardano l'automotive,
cioè le auto connesse a Internet: +400%
• supermercati e la grande distribuzione: +400%
• informazione ed entertainment, cioè siti e testate online, piattaforme di
giochi e blogging: +179%
• il rapporto Clusit evidenzia - sempre nei primi sei mesi del 2015 - il
raddoppio degli attacchi informatici subito dalle realtà che operano
nella sanità, che segna un +81%
• I servizi online (mail, social network, siti di e-Commerce e piattaforme
Cloud) segnano una crescita degli incidenti di oltre il 50%, a
dimostrazione di quanto gli attacchi gravi siano mirati a tutte le tipologie di
servizi erogati via Internet
Rapporto Clusit sulla sicurezza informatica globale presentato a Verona - 2015
“Classificazione e profilazione dei referti investigativi
sulle fattispecie criminose” a cura di Alessandro
Bonu www.diricto.itict4forensics.diee.unica.it
Rapporto CLUSIT 2015 sulla sicurezza ICT in Italia
60%
27%
8%
5%Cybercrime
Hacktivism
Espionage/Sabotage
Cyber warfare
“Classificazione e profilazione dei referti investigativi
sulle fattispecie criminose” a cura di Alessandro
Bonu www.diricto.itict4forensics.diee.unica.it
Trend di crescita delle minacce nel 2015
Piattaforme di Social Network
Sistemi POS
Dispositivi Mobile
Logiche estorsiveransomware
“Classificazione e profilazione dei referti investigativi
sulle fattispecie criminose” a cura di Alessandro
Bonu www.diricto.itict4forensics.diee.unica.it
ma come impattano queste cifre sulla Digital Forensics?
+ crimini = + indagini
“Classificazione e profilazione dei referti investigativi
sulle fattispecie criminose” a cura di Alessandro
Bonu www.diricto.itict4forensics.diee.unica.it
ma se oggi i cyber criminali sono questi?
con quali armi dobbiamo contrastarli?
sinergie di più forze
“Classificazione e profilazione dei referti investigativi
sulle fattispecie criminose” a cura di Alessandro
Bonu www.diricto.itict4forensics.diee.unica.it
Dualismo della Digital Forensics
“Classificazione e profilazione dei referti investigativi
sulle fattispecie criminose” a cura di Alessandro
Bonu www.diricto.itict4forensics.diee.unica.it
IoT
Automotive
Ambiti della Digital Forensics
“Classificazione e profilazione dei referti investigativi
sulle fattispecie criminose” a cura di Alessandro
Bonu www.diricto.itict4forensics.diee.unica.it
altre frontiere..
“Classificazione e profilazione dei referti investigativi
sulle fattispecie criminose” a cura di Alessandro
Bonu www.diricto.itict4forensics.diee.unica.it
di fronte a questi scenari come si pone l’attività di indagine da parte degli investigatori forensi?
“Classificazione e profilazione dei referti investigativi
sulle fattispecie criminose” a cura di Alessandro
Bonu www.diricto.itict4forensics.diee.unica.it
Metodologie di indagine
• le metodologie di base restano
invariate e supportate dalle best
practices
• le strade da seguire sono due:
1. il mezzo tecnologico è vittima di
un crimine
2. il mezzo tecnologico è il tramite
per compiere un’azione
criminosa
“Classificazione e profilazione dei referti investigativi
sulle fattispecie criminose” a cura di Alessandro
Bonu www.diricto.itict4forensics.diee.unica.it
Work flow classico di investigazione forense
IDENTIFICAZIONE
repertamentoACQUISIZIONE
copia forense
ANALISI
estrazione dei dati
PRESENTAZIONE
relazione finale
CATENA
DI
CUSTODIAINDAGINE
“Classificazione e profilazione dei referti investigativi
sulle fattispecie criminose” a cura di Alessandro
Bonu www.diricto.itict4forensics.diee.unica.it
tipologie delle scene del crimine
“Classificazione e profilazione dei referti investigativi
sulle fattispecie criminose” a cura di Alessandro
Bonu www.diricto.itict4forensics.diee.unica.it
INDAGINE
Uno o pochi soggetti coinvolti
“Classificazione e profilazione dei referti investigativi
sulle fattispecie criminose” a cura di Alessandro
Bonu www.diricto.itict4forensics.diee.unica.it
INDAGINE
Pochi o molti soggetti coinvolti
“Classificazione e profilazione dei referti investigativi
sulle fattispecie criminose” a cura di Alessandro
Bonu www.diricto.itict4forensics.diee.unica.it
INDAGINE
Realtà aziendali
“Classificazione e profilazione dei referti investigativi
sulle fattispecie criminose” a cura di Alessandro
Bonu www.diricto.itict4forensics.diee.unica.it
INDAGINE
Organizzazioni evolute
“Classificazione e profilazione dei referti investigativi
sulle fattispecie criminose” a cura di Alessandro
Bonu www.diricto.itict4forensics.diee.unica.it
INDAGINE
Organizzazioni Enterprise e oltre confine
“Classificazione e profilazione dei referti investigativi
sulle fattispecie criminose” a cura di Alessandro
Bonu www.diricto.itict4forensics.diee.unica.it
Reperti nella scena del crimine
“Classificazione e profilazione dei referti investigativi
sulle fattispecie criminose” a cura di Alessandro
Bonu www.diricto.itict4forensics.diee.unica.it
Attività sulla scena del crimine
“Classificazione e profilazione dei referti investigativi
sulle fattispecie criminose” a cura di Alessandro
Bonu www.diricto.itict4forensics.diee.unica.it
L’analisi classica
• questa attività riguarda l’estrapolazione,
interpretazione e correlazione dei dati al fatto
criminoso
• si applica sempre alle copie forensi e mai ai reperti
originali
• si tratta di un’analisi approfondita e organizzata
rispetto a ciò che accade in sede di “live forensics”
dove i tempi impongono delle marce più alte
• l’obiettivo è rispondere a quesiti ben precisi ma il
modus operandi è a discrezione degli operatori,
sempre sulla linea delle “best practices” e normative di
riferimento
“Classificazione e profilazione dei referti investigativi
sulle fattispecie criminose” a cura di Alessandro
Bonu www.diricto.itict4forensics.diee.unica.it
in questo scenario l’investigatore si trova di fronte a
una vasta ed eterogenea mole di dati come
un’armata ben allestita da fronteggiare su aspetti
fondamentali come:
tempistiche
aspetti organizzativi
aspetti economici
limite dei tools forensi
adeguamento di skill e formazione
Quali i problemi..?
“Classificazione e profilazione dei referti investigativi
sulle fattispecie criminose” a cura di Alessandro
Bonu www.diricto.itict4forensics.diee.unica.it
Attività della Forensics Analysis
Forensics Analysis
L I V E D E A D
on crime scene on laboratory
reports
“Classificazione e profilazione dei referti investigativi
sulle fattispecie criminose” a cura di Alessandro
Bonu www.diricto.itict4forensics.diee.unica.it
on crime scene
scenari atipici
che
richiedono
una notevole
professionalit
à…
…e
conoscenza di
aspetti tecnici
specifici
“Classificazione e profilazione dei referti investigativi
sulle fattispecie criminose” a cura di Alessandro
Bonu www.diricto.itict4forensics.diee.unica.it
on Laboratory
“Classificazione e profilazione dei referti investigativi
sulle fattispecie criminose” a cura di Alessandro
Bonu www.diricto.itict4forensics.diee.unica.it
• negli anni si è potuta osservare una certa inadeguatezza nel
tradizionale processo forense nel rispondere a determinate
esigenze investigative
• i tempi di risposta a queste esigenze sono aumentati
proporzionalmente al numero e alla tipologia dei reperti
acquisiti
• questo dovuto in genere ad una metodologia che mira ad
effettuare le classiche attività senza discriminanti o poco
relazionata al reato o al caso specifico
• alla luce di tutto questo si è introdotta una fase intermedia atta
a delimitare l’area d’interesse ad un numero di reperti
valutati più rilevanti e pertinenti
Standardizzazione dei processi
“Classificazione e profilazione dei referti investigativi
sulle fattispecie criminose” a cura di Alessandro
Bonu www.diricto.itict4forensics.diee.unica.it
la continua evoluzione degli strumenti high-tech ha
introdotto nuove criticità nelle attività di Digital
Forensics:
• incremento esponenziale della capacità di memoria
dei nuovi dispositivi
• nuove tecnologie hardware e software
• proliferazione di Sistemi Operativi e nuovi formati di
file
• sistemi di virtualizzazione e relative macchine virtuali
• sistemi di crittografia che complicano non poco le
attività di analisi dei supporti interessati
• sistemi remoti e cloud
Nuove criticità
“Classificazione e profilazione dei referti investigativi
sulle fattispecie criminose” a cura di Alessandro
Bonu www.diricto.itict4forensics.diee.unica.it
Quale approccio..
DI FORZA
• basato sull’incremento delle risorse in grado di sostenere
il carico di lavoro: hardware, software, personale, logistica
più immediato, si argina il problema ma i costi lievitano
esponenzialmente
DI METODO
• basato sul flusso di lavoro suddiviso tra diverse parti,
valutando le priorità sulle quali operare e concentrando
l’approfondimento dell’analisi dopo una prima scrematura
più economico e scalabile.. ma come metterlo in pratica?
“Classificazione e profilazione dei referti investigativi
sulle fattispecie criminose” a cura di Alessandro
Bonu www.diricto.itict4forensics.diee.unica.it
Selezione e Triage Forensics
l’esigenza è quella di dare risposte
rapide ad ipotesi di reato o quando si
delineano aspetti non strettamente
forensi
• identificare le informazioni più rilevanti e
dare loro una sorta di priorità (codice)
• l’analisi approfondita si applica pertanto in
maniera selettiva a partire dai reperti che
hanno ottenuto un grado di priorità
maggiore
“Classificazione e profilazione dei referti investigativi
sulle fattispecie criminose” a cura di Alessandro
Bonu www.diricto.itict4forensics.diee.unica.it
codice rosso
codice giallo
codice verde
codice bianco
URGENZA ASSOLUTA
POSSIBILE RISCHIO
ASSENZA DI RISCHI
NON URGENTE
Valutare le priorità?
volendo traslare un concetto utilizzato in ambito
ospedaliero, potremo definire le seguenti priorità
“Classificazione e profilazione dei referti investigativi
sulle fattispecie criminose” a cura di Alessandro
Bonu www.diricto.itict4forensics.diee.unica.it
Applicazione del Triage
• questa metodologia può essere applicata sia nella
fase di live forensics che post-mortem a seconda
del contesto in cui ci si trova ad operare
• live forensics dove la tempestività nell’agire sulla
scena del crimine, per alcune fattispecie criminose,
può diventare di vitale importanza, in quanto fornisce
indizi rilevanti e discriminanti
• anche nei casi di analisi post-mortem, la
classificazioni di dispositivi “freddi” rappresenta un
valido supporto e una semplificazione della
successiva fase di analisi
“Classificazione e profilazione dei referti investigativi
sulle fattispecie criminose” a cura di Alessandro
Bonu www.diricto.itict4forensics.diee.unica.it
Vantaggi del Triage
• abbattimento dei tempi di elaborazione iniziale dei
dati
• possibilità di consultazione rapida delle risultanze
• utilizzo flessibile delle risorse hardware a disposizione
e generazione di risposte affidabili
• determinazione delle priorità prima di mettere in
campo le risorse per un’analisi più approfondita e
accurata
velocità e affidabilità sono le parole chiave del
triage per ridurre al minimo costi, tempi e
risorse
“Classificazione e profilazione dei referti investigativi
sulle fattispecie criminose” a cura di Alessandro
Bonu www.diricto.itict4forensics.diee.unica.it
• le informazioni
vengono
opportunamente
classificate al fine di
identificare rapidamente
le prove che
consentono di porre in
relazione la prova
digitale con la
fattispecie criminosa
in esame
• ad esempio, sui reperti
mobili, ci si è
concentrati sui dati
attinenti la rubrica
telefonica, la
cronologia delle
chiamate, gli sms,
eventuale navigazione
internet
• si sono inoltre
ricavate, da queste
ultime, anche
informazioni
statistiche relative a
percentuale e numero
di eventi suddivisi in
slot temporali
PROFILO DI UTILIZZO DEL DISPOSITIVO
classificazione dei risultati
normalizzazione dei dati
raccolta dei
reperti
Classificazione delle informazioni
“Classificazione e profilazione dei referti investigativi
sulle fattispecie criminose” a cura di Alessandro
Bonu www.diricto.itict4forensics.diee.unica.it
Raccolta dei reperti
• è la fase iniziale dell’indagine dove si identificano i
reperti
• dispositivi in grado di memorizzare delle informazioni e
che potrebbero essere oggetto di reato o correlati allo
stesso
• ricerca mirata di quei reperti che rappresentano potenziali
elementi probatori in relazione ad una profilazione
preliminare del caso
• importante è cercare di comprenderne la pertinenza
• questa fase di divide in due macro aree:
1. dati volatili (reperti caldi)
2. dati statici (reperti freddi)
“Classificazione e profilazione dei referti investigativi
sulle fattispecie criminose” a cura di Alessandro
Bonu www.diricto.itict4forensics.diee.unica.it
• rientrano in questa categoria tutte le informazioni che sono
presenti su dispositivi accesi e operativi
• si tratta di informazioni “fragili”, operazioni errate o
affrettate in questa fase potrebbero alterare i dati =
potenziali elementi probatori
• scenari difficilmente standardizzabili proprio a causa
delle variabili che si possono di volta in volta incontrare
• lo spegnimento brutale, anche se meno indolore di uno
shutdown, determina quasi sempre una perdita di dati
• tale procedura si configura sempre come attività
irripetibile
Dati volatili
“Classificazione e profilazione dei referti investigativi
sulle fattispecie criminose” a cura di Alessandro
Bonu www.diricto.itict4forensics.diee.unica.it
sistemi accesi e operativi che possono rappresentare una fonte di dati ed evidenze di notevole importanza e che in alcuni casi potrebbero essere decisivi per l’esito di indagine
Scena del crimine con live data
“Classificazione e profilazione dei referti investigativi
sulle fattispecie criminose” a cura di Alessandro
Bonu www.diricto.itict4forensics.diee.unica.it
• agevola le forze dell’ordine in un rapido
repertamento di prove più rilevanti
• attività svolta nell’immediatezza del fatto anche da
tecnici non altamente specializzati in analisi
forense
• utile quando viene richiesto di dare rapidamente
risposta ad una ipotesi di reato
• agevola gli investigatori a decisioni più
consapevoli per la prosecuzione dell’indagine
Triage nel live forensics
“Classificazione e profilazione dei referti investigativi
sulle fattispecie criminose” a cura di Alessandro
Bonu www.diricto.itict4forensics.diee.unica.it
• talvolta si ha necessità di agire in fretta nella scena
del crimine: dati e informazioni potrebbero altrimenti
essere compromesse
• l’agire in fretta è sempre un problema, si tralasciano
per esempio evidenze apparentemente irrilevanti
• contesto in cui il tempo è tiranno:
• devo avere una strategia operativa e capire da dove
iniziare e quali strumenti utilizzare in relazione al
contesto di indagine
Agire in fretta
“Classificazione e profilazione dei referti investigativi
sulle fattispecie criminose” a cura di Alessandro
Bonu www.diricto.itict4forensics.diee.unica.it
Sentenza di Garlasco
• Il collegio peritale evidenziava che le condotte di accesso da parte dei
Carabinieri hanno determinato la sottrazione di contenuto informativo con
riferimento al pc di Alberto Stasi pari al 73,8% dei files visibili (oltre 156.000)
con riscontrati accessi su oltre 39.000 files”…
• perizia informatica, altro elemento cruciale nell'indagine per quanto
riguarda il possibile alibi e il movente di Stasi, per capire se il contenuto del
portatile è stato o meno inesorabilmente contaminato dai vari accessi fatti
prima che venisse consegnato ai tecnici del Ris di Parma. » questo, secondo il
parere del GUP, uno dei passaggi di cruciale importanza dell'intero quadro
accusatorio…
• E a tal riguardo il GUP conclude: “non è più possibile esprimere delle
valutazioni certe né in un senso né nell'altro: in questo ambito, il danno
irreparabile prodotto dagli inquirenti attiene proprio all'accertamento della
verità processuale. Questi i sintesi i principali errori investigativi che hanno
segnato l'indagine sull'omicidio di Chiara Poggi, che ancora oggi resta un
delitto impunito e senza un perché…
“Classificazione e profilazione dei referti investigativi
sulle fattispecie criminose” a cura di Alessandro
Bonu www.diricto.itict4forensics.diee.unica.it
• rientrano nella categoria dei dispositivi cosiddetti
“freddi” ovvero spenti e non operativi
• sono caratterizzati dal fatto che i dati all’interno di questi
device sono stabili nel tempo a meno che non
intervengano cause di esterne
• le attività su questi dispositivi si effettuano in laboratorio
attraverso l’acquisizione delle “copie forensi” sulle quali
poi operare l’analisi..
• anche in questo caso, come nel “live forensics” viene
acquisita l’intera area di memoria con le note procedure di
“bit stream image”
Dati statici
“Classificazione e profilazione dei referti investigativi
sulle fattispecie criminose” a cura di Alessandro
Bonu www.diricto.itict4forensics.diee.unica.it
• kit forensi in grado di estrapolare dai dispositivi digitali gli
elementi più importanti ed evidenti per l’indagine in corso
• In genere in caso di truffe (caso classico) estrazione dei
dati orinati per formato (es.. .docx, .xlsx, pdf, ..ecc)
• analisi testuali su header delle mail per individuarne la
paternità o in caso di pedopornografia le immagini e i
video
• altrettanto rilevanti possono essere le informazioni di
sistema, navigazione internet, parco applicativo,
contenuti (anche cancellati) ..ecc
Gli strumenti del mestiere
“Classificazione e profilazione dei referti investigativi
sulle fattispecie criminose” a cura di Alessandro
Bonu www.diricto.itict4forensics.diee.unica.it
CA
SE R
EPO
RT
Windows Ultimate Forensic Outflow
“Classificazione e profilazione dei referti investigativi
sulle fattispecie criminose” a cura di Alessandro
Bonu www.diricto.itict4forensics.diee.unica.it
Catalogazione delle informazioni
“Classificazione e profilazione dei referti investigativi
sulle fattispecie criminose” a cura di Alessandro
Bonu www.diricto.itict4forensics.diee.unica.it
Browser History View
“Classificazione e profilazione dei referti investigativi
sulle fattispecie criminose” a cura di Alessandro
Bonu www.diricto.itict4forensics.diee.unica.it
Spektor di DELL
“Classificazione e profilazione dei referti investigativi
sulle fattispecie criminose” a cura di Alessandro
Bonu www.diricto.itict4forensics.diee.unica.it
Normalizzazione dei dati
• la “normalizzazione” ha il fine di eliminare tutti i
disallineamenti di output derivanti dalla varietà degli
strumenti utilizzati durante la fase di acquisizione
dalle varie fonti
• una volta normalizzati i dati confluiscono in un
database sul quale vengono effettuate elaborazioni
statistiche che producono attributi (features) che
identificano un data set
• la scelta di questi attributi viene accuratamente
effettuata sulla base di esperienze che nel tempo
hanno portato a risultati significativi
“Classificazione e profilazione dei referti investigativi
sulle fattispecie criminose” a cura di Alessandro
Bonu www.diricto.itict4forensics.diee.unica.it
FEATURES TYPE DEVICE #1 DEVICE #2 DEVICE #3
feature #1 true false true
feature #2 false true false
feature #3 false false true
feature #4 true true true
feature #5 true true false
feature #6 1200 320 65000
feature #7 … … …
feature #n … … …
… … … …
FeaturesFeatures e data set
“Classificazione e profilazione dei referti investigativi
sulle fattispecie criminose” a cura di Alessandro
Bonu www.diricto.itict4forensics.diee.unica.it
Data Mining
• queste metodologie hanno lo scopo di estrarre sapere e
conoscenza da una grande mole di dati
• processi matematici eseguiti attraverso automatismi che
hanno doppia valenza:
1. estrazione di informazioni implicite e/o nascoste da
dati già strutturati in modo tale che siano direttamente
fruibili
2. esplorazione e analisi da una grossa mole di dati mirate
a scoprire schemi significativi
in entrambi i casi il dato diventa significativo o
trascurabile
in relazione all’ambito di indagine
“Classificazione e profilazione dei referti investigativi
sulle fattispecie criminose” a cura di Alessandro
Bonu www.diricto.itict4forensics.diee.unica.it
start
dati normaliz
zati?
allineamento delle anomalie
elaborazione delle evidenze
trasformazione dei dati
memorizzazione dei dati
Data Mining
estrazione delle features
end
SI NO
work-flow di normalizzazione dei dati
“Classificazione e profilazione dei referti investigativi
sulle fattispecie criminose” a cura di Alessandro
Bonu www.diricto.itict4forensics.diee.unica.it
• obiettivo è quindi quello di classificare i dati in
ingresso per definire specifiche classi
• gli algoritmi di classificazione consentono
identificare degli schemi o insiemi di
caratteristiche alle quali appartiene un
determinato record
• le features individuate servono a capire per es.
il grado di utilizzo del reperto da parte del
soggetto indagato e relazionandolo al reato
commesso
Classificazione dei risultati
“Classificazione e profilazione dei referti investigativi
sulle fattispecie criminose” a cura di Alessandro
Bonu www.diricto.itict4forensics.diee.unica.it
Applicazione alla Computer Forensics
• In questo contesto si valuta il profilo di utilizzo dei
dispositivi esaminati e classificati in relazione ad
una particolare fattispecie di reato: PIRATERIA
• il data set delle features è stato pertanto costruito
con l’obiettivo di valutare e classificare in modo
automatico ciascun dispositivo in relazione al
reato di pirateria informaticaINFORMAZIONI ESTRAPOLATE DAL REPERTO
numero di applicazioni installate
numero di applicazioni suddivise per tipologia funzionale (chat, browser, ecc)
numero e percentuale delle URL visitate e suddivise per tipologia
numero e percentuale dei file audio scaricati e suddivisi per dimensione
“Classificazione e profilazione dei referti investigativi
sulle fattispecie criminose” a cura di Alessandro
Bonu www.diricto.itict4forensics.diee.unica.it
caso distalking
accesso a
Internet
numero di chiamate
arco temporale
durata delle
chiamate
tipologia dispositivi
mobile
caso dipedofilia
accesso a
Internet
gran numero di immagini e video
archivi e aree di
download
software di
download
criptaggio steganografia
Valutazione dei risultati su casi differenti
“Classificazione e profilazione dei referti investigativi
sulle fattispecie criminose” a cura di Alessandro
Bonu www.diricto.itict4forensics.diee.unica.it
• specifiche tecniche di intelligence e profiling atte ad
ottenere informazioni che possono essere utili alla
comprensione e risoluzione del problema per il quale si
procede
• tale processo si articola con la ricerca di “tracce digitali”
dell’utilizzatore degli apparati fisici che come tale
personalizza l’ambiente sul quale opera e interagisce,
sia questo reale che virtuale
• in questo ampio e bivalente contesto, anche
inconsciamente , si lasciano necessariamente delle
tracce che possono essere rilevate, confrontate e
classificate
Digital Profiling
“Classificazione e profilazione dei referti investigativi
sulle fattispecie criminose” a cura di Alessandro
Bonu www.diricto.itict4forensics.diee.unica.it
IDENTIFICAZIONE
repertamentoACQUISIZIONE
copia forense
ANALISI
estrazione dei dati
PRESENTAZIONE
relazione finale
CATENA
DI
CUSTODIAINDAGINE
Evoluzione del Work-flow del triage nel processo di investigazione
IDENTIFICAZIONE
repertamento
Raccolta mirata dei reperti
PRESENTAZIONE FINALE
consegna del lavoro
Normalizzazione dei dati
Data Mining, Features e
Data Set per la classificazione
dei dati
TRIAG
E
ANALISI
INDAGINE
“Classificazione e profilazione dei referti investigativi
sulle fattispecie criminose” a cura di Alessandro
Bonu www.diricto.itict4forensics.diee.unica.it
• di fondamentale importanza è inoltre la fase di
preservazione delle evidenze digitali acquisite è
definita come “catena di custodia”
• insieme di procedure atte a tracciare tutte le
attività effettuate sul reperto dal momento in cui
lo stesso è stato preso in consegna
• tali evidenze devono essere inoltre custodite in
appositi contenitori idonei al trasporto e in grado di
evitare anche danneggiamenti involontari o
condizioni ambientali avverse
Catena di custodia
“Classificazione e profilazione dei referti investigativi
sulle fattispecie criminose” a cura di Alessandro
Bonu www.diricto.itict4forensics.diee.unica.it
• i dispositivi tecnologici sono oggi parte integrante
nell’indagine, anche se non direttamente coinvolti
• rappresentano un elemento utile per ricostruire la
sequenza temporale del crimine e relativo modus
operandi
• gli strumenti di analisi forense diventano tanto più
obsoleti quanto più velocemente si evolvono le nuove
tecnologie
• questo fenomeno evolutivo richiede un grado di
specializzazione tecnica più elevato e qualificato rispetto
a quello tradizionale
Un nuovo approccio
“Classificazione e profilazione dei referti investigativi
sulle fattispecie criminose” a cura di Alessandro
Bonu www.diricto.itict4forensics.diee.unica.it
Progetto ILLBusterL'obiettivo del progetto ILLBuster, finanziato dalla Commissione Europea, all'interno del
programma "Prevention of and Fight Against Crime", è quello di fornire un sistema
integrato per il rilevamento automatico di attività illegali sulla rete internet. Il sistema
è pensato per fornire alle forze dell'ordine uno strumento prezioso nelle loro attività di
prevenzione e lotta contro il crimine informatico, e sarà costituito da:
• un motore principale responsabile della rilevazione di una lista “nera” di domini
malevoli;
• un insieme di periferiche e servizi che ispezioneranno le pagine web ospitate su
domini maligni con lo scopo di individuare materiale illecito o pericoloso
(pedopornografia, malware, phishing).
• Il sistema risultante sarà in grado di identificare domini (e contenuti) maligni attraverso
l'analisi del traffico DNS e segnalare URL sospetti alle forze dell'ordine, in modo
che gli illeciti possano essere facilmente individuati.
• Una caratteristica peculiare del sistema proposto è che esso sarà progettato tenendo
presenti tutti gli aspetti legali che garantiscono il rispetto della privacy dei cittadini
e non consentono abusi.
“Classificazione e profilazione dei referti investigativi
sulle fattispecie criminose” a cura di Alessandro
Bonu www.diricto.itict4forensics.diee.unica.it
Progetto ILLBuster
Obiettivo
sviluppare una piattaforma che supporti le forze dell’ordine
nell’attività investigativa in rete
“Classificazione e profilazione dei referti investigativi
sulle fattispecie criminose” a cura di Alessandro
Bonu www.diricto.itict4forensics.diee.unica.it
Progetto ILLBuster
Buster of ILLegal contents spread by
malicious computer networksUniversità di Cagliari
www.illbuster-project.eu
Co-funded by the Prevention of and Fight against Crime Programme of the European
Union
“Classificazione e profilazione dei referti investigativi
sulle fattispecie criminose” a cura di Alessandro
Bonu www.diricto.itict4forensics.diee.unica.it
• i metodi descritti consentono un approccio più
mirato nella fase di ricerca delle prove
• gli investigatori operano con cognizione di causa
e possono dare ordine e priorità ai reperti rilevati
• l’analisi informatica è quindi più snella, rapida ed
efficace, ne beneficiano tempi e costi
• con l’evoluzione della tecnologia e con
l’incremento esponenziale della mole di dati che
ci si trova ad dover analizzare, oggi è un passaggio
obbligato
Conclusioni
“Classificazione e profilazione dei referti investigativi
sulle fattispecie criminose” a cura di Alessandro
Bonu www.diricto.itict4forensics.diee.unica.it
Grazie per l’attenzione
it.linkedin.com/in/abonu
www.andig.it
www.diricto.it
ict4forensics.diee.unica.it
www.massimofarina.it
Fine presentazione..
“Classificazione e profilazione dei referti investigativi
sulle fattispecie criminose” a cura di Alessandro
Bonu www.diricto.itict4forensics.diee.unica.it
Attribuzione - Non Commerciale - Condividi allo stesso modo 2.5
Tu sei libero:
• di riprodurre, distribuire, comunicare al pubblico, esporre in pubblico, rappresentare, eseguire o recitare l'opera
• di creare opere derivate alle seguenti condizioni:
• Attribuzione. Devi riconoscere il contributo dell'autore originario.
• Non commerciale. Non puoi usare quest’opera per scopi commerciali.
• Condividi allo stesso modo. Se alteri, trasformi o sviluppi quest’opera, puoi distribuire l’opera risultante solo per mezzo d i una licenza identica a questa.
In occasione di ogni atto di riutilizzazione o distribuzione, devi chiarire agli altri i termini della licenza di quest’opera.
Se ottieni il permesso dal titolare del diritto d'autore, è possibile rinunciare ad ognuna di queste condizioni.
Le tue utilizzazioni libere e gli altri diritti non sono in nessun modo limitati da quanto sopra