Classificazione e profilazione dei referti investigativi sulle fattispecie criminose

“Classificazione e profilazione dei

referti investigativi sulle fattispecie

criminose”

Aspetti metodologici applicati alla disciplina della Digital Forensics in relazione all’evoluzione delle nuove tecnologie

Alessandro [email protected]

mailto:[email protected]

“Classificazione e profilazione dei referti investigativi

sulle fattispecie criminose” a cura di Alessandro

Bonu www.diricto.itict4forensics.diee.unica.it

Premessa

• la diffusione di apparati tecnologici sul mercato

globale ha raggiunto numeri significativi e il trend di

crescita

continua ad essere decisamente alto

• cresce esponenzialmente il fattore di calcolo ma

soprattutto la capacità di memoria, numero e

tipologia dei dispositivi che le forze dell’ordine si

trovano a reperire e analizzare per tutte le fasi

correlate alle indagini di Digital Forensics

• in questo scenario si sente la necessità di nuove

strategie per snellire e velocizzare i lavori di indagine




• da una stima già del 2013 la mole di dati generata

aveva raggiunto i 4 zettabytes = 1 triliardo di dati

• il mercato Big Data Analytics in Italia, cresce

anche nel 2014 (+25%) è quanto emerge dalla

ricerca 2014 dell’Osservatorio Big Data Analytics &

Business Intelligence

• questa crescita è sostenuta più che da un utilizzo

consapevole di questi strumenti, dalla disponibilità

di tecnologie a basso costo, oggi a portata di “tutti”

Big Data




Crimini informatici

• possono assumere varie forme

• possono essere perpetrati sempre e

ovunque

• nel consiglio Europeo sulla criminalità

informatica, vengono definiti con termine

noto di CYBERCRIMEma il cybercrime oggi non è questo..




Cybercrime

..oggi sono questi




Last news tecnologiche




• Il Cyber crimine nel mondo è aumentato del 30%

nei primi 6 mesi del 2015 ed è ormai la causa di circa

il 60% degli attacchi informatici gravi avvenuti a

livello globale nello stesso periodo

• sono le "infrastrutture critiche", come le reti per

l'energia e le telecomunicazioni a registrare la

crescita maggiore, passando da 2 attacchi nella

seconda metà del 2014 a 20 nella prima metà del

2015, con un incremento del 900%

Rapporto Clusit sulla sicurezza informatica globale presentato a Verona - 2015




• crescita a tre cifre anche per gli attacchi che riguardano l'automotive,

cioè le auto connesse a Internet: +400%

• supermercati e la grande distribuzione: +400%

• informazione ed entertainment, cioè siti e testate online, piattaforme di

giochi e blogging: +179%

• il rapporto Clusit evidenzia - sempre nei primi sei mesi del 2015 - il

raddoppio degli attacchi informatici subito dalle realtà che operano

nella sanità, che segna un +81%

• I servizi online (mail, social network, siti di e-Commerce e piattaforme

Cloud) segnano una crescita degli incidenti di oltre il 50%, a

dimostrazione di quanto gli attacchi gravi siano mirati a tutte le tipologie di

servizi erogati via Internet

Rapporto Clusit sulla sicurezza informatica globale presentato a Verona - 2015




Rapporto CLUSIT 2015 sulla sicurezza ICT in Italia

60%

27%

8%

5%Cybercrime

Hacktivism

Espionage/Sabotage

Cyber warfare




Trend di crescita delle minacce nel 2015

Piattaforme di Social Network

Sistemi POS

Dispositivi Mobile

Logiche estorsiveransomware




ma come impattano queste cifre sulla Digital Forensics?

+ crimini = + indagini




ma se oggi i cyber criminali sono questi?

con quali armi dobbiamo contrastarli?

sinergie di più forze




Dualismo della Digital Forensics




IoT

Automotive

Ambiti della Digital Forensics




altre frontiere..




di fronte a questi scenari come si pone l’attività di indagine da parte degli investigatori forensi?




Metodologie di indagine

• le metodologie di base restano

invariate e supportate dalle best

practices

• le strade da seguire sono due:

1. il mezzo tecnologico è vittima di

un crimine

2. il mezzo tecnologico è il tramite

per compiere un’azione

criminosa




Work flow classico di investigazione forense

IDENTIFICAZIONE

repertamentoACQUISIZIONE

copia forense

ANALISI

estrazione dei dati

PRESENTAZIONE

relazione finale

CATENA

DI

CUSTODIAINDAGINE




tipologie delle scene del crimine




INDAGINE

Uno o pochi soggetti coinvolti




INDAGINE

Pochi o molti soggetti coinvolti




INDAGINE

Realtà aziendali




INDAGINE

Organizzazioni evolute




INDAGINE

Organizzazioni Enterprise e oltre confine




Reperti nella scena del crimine




Attività sulla scena del crimine




L’analisi classica

• questa attività riguarda l’estrapolazione,

interpretazione e correlazione dei dati al fatto

criminoso

• si applica sempre alle copie forensi e mai ai reperti

originali

• si tratta di un’analisi approfondita e organizzata

rispetto a ciò che accade in sede di “live forensics”

dove i tempi impongono delle marce più alte

• l’obiettivo è rispondere a quesiti ben precisi ma il

modus operandi è a discrezione degli operatori,

sempre sulla linea delle “best practices” e normative di

riferimento




in questo scenario l’investigatore si trova di fronte a

una vasta ed eterogenea mole di dati come

un’armata ben allestita da fronteggiare su aspetti

fondamentali come:

tempistiche

aspetti organizzativi

aspetti economici

limite dei tools forensi

adeguamento di skill e formazione

Quali i problemi..?




Attività della Forensics Analysis

Forensics Analysis

L I V E D E A D

on crime scene on laboratory

reports




on crime scene

scenari atipici

che

richiedono

una notevole

professionalit

à…

…e

conoscenza di

aspetti tecnici

specifici




on Laboratory




• negli anni si è potuta osservare una certa inadeguatezza nel

tradizionale processo forense nel rispondere a determinate

esigenze investigative

• i tempi di risposta a queste esigenze sono aumentati

proporzionalmente al numero e alla tipologia dei reperti

acquisiti

• questo dovuto in genere ad una metodologia che mira ad

effettuare le classiche attività senza discriminanti o poco

relazionata al reato o al caso specifico

• alla luce di tutto questo si è introdotta una fase intermedia atta

a delimitare l’area d’interesse ad un numero di reperti

valutati più rilevanti e pertinenti

Standardizzazione dei processi




la continua evoluzione degli strumenti high-tech ha

introdotto nuove criticità nelle attività di Digital

Forensics:

• incremento esponenziale della capacità di memoria

dei nuovi dispositivi

• nuove tecnologie hardware e software

• proliferazione di Sistemi Operativi e nuovi formati di

file

• sistemi di virtualizzazione e relative macchine virtuali

• sistemi di crittografia che complicano non poco le

attività di analisi dei supporti interessati

• sistemi remoti e cloud

Nuove criticità




Quale approccio..

DI FORZA

• basato sull’incremento delle risorse in grado di sostenere

il carico di lavoro: hardware, software, personale, logistica

più immediato, si argina il problema ma i costi lievitano

esponenzialmente

DI METODO

• basato sul flusso di lavoro suddiviso tra diverse parti,

valutando le priorità sulle quali operare e concentrando

l’approfondimento dell’analisi dopo una prima scrematura

più economico e scalabile.. ma come metterlo in pratica?




Selezione e Triage Forensics

l’esigenza è quella di dare risposte

rapide ad ipotesi di reato o quando si

delineano aspetti non strettamente

forensi

• identificare le informazioni più rilevanti e

dare loro una sorta di priorità (codice)

• l’analisi approfondita si applica pertanto in

maniera selettiva a partire dai reperti che

hanno ottenuto un grado di priorità

maggiore




codice rosso

codice giallo

codice verde

codice bianco

URGENZA ASSOLUTA

POSSIBILE RISCHIO

ASSENZA DI RISCHI

NON URGENTE

Valutare le priorità?

volendo traslare un concetto utilizzato in ambito

ospedaliero, potremo definire le seguenti priorità




Applicazione del Triage

• questa metodologia può essere applicata sia nella

fase di live forensics che post-mortem a seconda

del contesto in cui ci si trova ad operare

• live forensics dove la tempestività nell’agire sulla

scena del crimine, per alcune fattispecie criminose,

può diventare di vitale importanza, in quanto fornisce

indizi rilevanti e discriminanti

• anche nei casi di analisi post-mortem, la

classificazioni di dispositivi “freddi” rappresenta un

valido supporto e una semplificazione della

successiva fase di analisi




Vantaggi del Triage

• abbattimento dei tempi di elaborazione iniziale dei

dati

• possibilità di consultazione rapida delle risultanze

• utilizzo flessibile delle risorse hardware a disposizione

e generazione di risposte affidabili

• determinazione delle priorità prima di mettere in

campo le risorse per un’analisi più approfondita e

accurata

velocità e affidabilità sono le parole chiave del

triage per ridurre al minimo costi, tempi e

risorse




• le informazioni

vengono

opportunamente

classificate al fine di

identificare rapidamente

le prove che

consentono di porre in

relazione la prova

digitale con la

fattispecie criminosa

in esame

• ad esempio, sui reperti

mobili, ci si è

concentrati sui dati

attinenti la rubrica

telefonica, la

cronologia delle

chiamate, gli sms,

eventuale navigazione

internet

• si sono inoltre

ricavate, da queste

ultime, anche

informazioni

statistiche relative a

percentuale e numero

di eventi suddivisi in

slot temporali

PROFILO DI UTILIZZO DEL DISPOSITIVO

classificazione dei risultati

normalizzazione dei dati

raccolta dei

reperti

Classificazione delle informazioni




Raccolta dei reperti

• è la fase iniziale dell’indagine dove si identificano i

reperti

• dispositivi in grado di memorizzare delle informazioni e

che potrebbero essere oggetto di reato o correlati allo

stesso

• ricerca mirata di quei reperti che rappresentano potenziali

elementi probatori in relazione ad una profilazione

preliminare del caso

• importante è cercare di comprenderne la pertinenza

• questa fase di divide in due macro aree:

1. dati volatili (reperti caldi)

2. dati statici (reperti freddi)




• rientrano in questa categoria tutte le informazioni che sono

presenti su dispositivi accesi e operativi

• si tratta di informazioni “fragili”, operazioni errate o

affrettate in questa fase potrebbero alterare i dati =

potenziali elementi probatori

• scenari difficilmente standardizzabili proprio a causa

delle variabili che si possono di volta in volta incontrare

• lo spegnimento brutale, anche se meno indolore di uno

shutdown, determina quasi sempre una perdita di dati

• tale procedura si configura sempre come attività

irripetibile

Dati volatili




sistemi accesi e operativi che possono rappresentare una fonte di dati ed evidenze di notevole importanza e che in alcuni casi potrebbero essere decisivi per l’esito di indagine

Scena del crimine con live data




• agevola le forze dell’ordine in un rapido

repertamento di prove più rilevanti

• attività svolta nell’immediatezza del fatto anche da

tecnici non altamente specializzati in analisi

forense

• utile quando viene richiesto di dare rapidamente

risposta ad una ipotesi di reato

• agevola gli investigatori a decisioni più

consapevoli per la prosecuzione dell’indagine

Triage nel live forensics




• talvolta si ha necessità di agire in fretta nella scena

del crimine: dati e informazioni potrebbero altrimenti

essere compromesse

• l’agire in fretta è sempre un problema, si tralasciano

per esempio evidenze apparentemente irrilevanti

• contesto in cui il tempo è tiranno:

• devo avere una strategia operativa e capire da dove

iniziare e quali strumenti utilizzare in relazione al

contesto di indagine

Agire in fretta




Sentenza di Garlasco

• Il collegio peritale evidenziava che le condotte di accesso da parte dei

Carabinieri hanno determinato la sottrazione di contenuto informativo con

riferimento al pc di Alberto Stasi pari al 73,8% dei files visibili (oltre 156.000)

con riscontrati accessi su oltre 39.000 files”…

• perizia informatica, altro elemento cruciale nell'indagine per quanto

riguarda il possibile alibi e il movente di Stasi, per capire se il contenuto del

portatile è stato o meno inesorabilmente contaminato dai vari accessi fatti

prima che venisse consegnato ai tecnici del Ris di Parma. » questo, secondo il

parere del GUP, uno dei passaggi di cruciale importanza dell'intero quadro

accusatorio…

• E a tal riguardo il GUP conclude: “non è più possibile esprimere delle

valutazioni certe né in un senso né nell'altro: in questo ambito, il danno

irreparabile prodotto dagli inquirenti attiene proprio all'accertamento della

verità processuale. Questi i sintesi i principali errori investigativi che hanno

segnato l'indagine sull'omicidio di Chiara Poggi, che ancora oggi resta un

delitto impunito e senza un perché…




• rientrano nella categoria dei dispositivi cosiddetti

“freddi” ovvero spenti e non operativi

• sono caratterizzati dal fatto che i dati all’interno di questi

device sono stabili nel tempo a meno che non

intervengano cause di esterne

• le attività su questi dispositivi si effettuano in laboratorio

attraverso l’acquisizione delle “copie forensi” sulle quali

poi operare l’analisi..

• anche in questo caso, come nel “live forensics” viene

acquisita l’intera area di memoria con le note procedure di

“bit stream image”

Dati statici




• kit forensi in grado di estrapolare dai dispositivi digitali gli

elementi più importanti ed evidenti per l’indagine in corso

• In genere in caso di truffe (caso classico) estrazione dei

dati orinati per formato (es.. .docx, .xlsx, pdf, ..ecc)

• analisi testuali su header delle mail per individuarne la

paternità o in caso di pedopornografia le immagini e i

video

• altrettanto rilevanti possono essere le informazioni di

sistema, navigazione internet, parco applicativo,

contenuti (anche cancellati) ..ecc

Gli strumenti del mestiere




CA

SE R

EPO

RT

Windows Ultimate Forensic Outflow




Catalogazione delle informazioni




Browser History View




Spektor di DELL




Normalizzazione dei dati

• la “normalizzazione” ha il fine di eliminare tutti i

disallineamenti di output derivanti dalla varietà degli

strumenti utilizzati durante la fase di acquisizione

dalle varie fonti

• una volta normalizzati i dati confluiscono in un

database sul quale vengono effettuate elaborazioni

statistiche che producono attributi (features) che

identificano un data set

• la scelta di questi attributi viene accuratamente

effettuata sulla base di esperienze che nel tempo

hanno portato a risultati significativi




FEATURES TYPE DEVICE #1 DEVICE #2 DEVICE #3

feature #1 true false true

feature #2 false true false

feature #3 false false true

feature #4 true true true

feature #5 true true false

feature #6 1200 320 65000

feature #7 … … …

feature #n … … …

… … … …

FeaturesFeatures e data set




Data Mining

• queste metodologie hanno lo scopo di estrarre sapere e

conoscenza da una grande mole di dati

• processi matematici eseguiti attraverso automatismi che

hanno doppia valenza:

1. estrazione di informazioni implicite e/o nascoste da

dati già strutturati in modo tale che siano direttamente

fruibili

2. esplorazione e analisi da una grossa mole di dati mirate

a scoprire schemi significativi

in entrambi i casi il dato diventa significativo o

trascurabile

in relazione all’ambito di indagine




start

dati normaliz

zati?

allineamento delle anomalie

elaborazione delle evidenze

trasformazione dei dati

memorizzazione dei dati

Data Mining

estrazione delle features

end

SI NO

work-flow di normalizzazione dei dati




• obiettivo è quindi quello di classificare i dati in

ingresso per definire specifiche classi

• gli algoritmi di classificazione consentono

identificare degli schemi o insiemi di

caratteristiche alle quali appartiene un

determinato record

• le features individuate servono a capire per es.

il grado di utilizzo del reperto da parte del

soggetto indagato e relazionandolo al reato

commesso

Classificazione dei risultati




Applicazione alla Computer Forensics

• In questo contesto si valuta il profilo di utilizzo dei

dispositivi esaminati e classificati in relazione ad

una particolare fattispecie di reato: PIRATERIA

• il data set delle features è stato pertanto costruito

con l’obiettivo di valutare e classificare in modo

automatico ciascun dispositivo in relazione al

reato di pirateria informaticaINFORMAZIONI ESTRAPOLATE DAL REPERTO

numero di applicazioni installate

numero di applicazioni suddivise per tipologia funzionale (chat, browser, ecc)

numero e percentuale delle URL visitate e suddivise per tipologia

numero e percentuale dei file audio scaricati e suddivisi per dimensione




caso distalking

accesso a

Internet

numero di chiamate

arco temporale

durata delle

chiamate

tipologia dispositivi

mobile

caso dipedofilia

accesso a

Internet

gran numero di immagini e video

archivi e aree di

download

software di

download

criptaggio steganografia

Valutazione dei risultati su casi differenti




• specifiche tecniche di intelligence e profiling atte ad

ottenere informazioni che possono essere utili alla

comprensione e risoluzione del problema per il quale si

procede

• tale processo si articola con la ricerca di “tracce digitali”

dell’utilizzatore degli apparati fisici che come tale

personalizza l’ambiente sul quale opera e interagisce,

sia questo reale che virtuale

• in questo ampio e bivalente contesto, anche

inconsciamente , si lasciano necessariamente delle

tracce che possono essere rilevate, confrontate e

classificate

Digital Profiling




IDENTIFICAZIONE

repertamentoACQUISIZIONE

copia forense

ANALISI

estrazione dei dati

PRESENTAZIONE

relazione finale

CATENA

DI

CUSTODIAINDAGINE

Evoluzione del Work-flow del triage nel processo di investigazione

IDENTIFICAZIONE

repertamento

Raccolta mirata dei reperti

PRESENTAZIONE FINALE

consegna del lavoro

Normalizzazione dei dati

Data Mining, Features e

Data Set per la classificazione

dei dati

TRIAG

E

ANALISI

INDAGINE




• di fondamentale importanza è inoltre la fase di

preservazione delle evidenze digitali acquisite è

definita come “catena di custodia”

• insieme di procedure atte a tracciare tutte le

attività effettuate sul reperto dal momento in cui

lo stesso è stato preso in consegna

• tali evidenze devono essere inoltre custodite in

appositi contenitori idonei al trasporto e in grado di

evitare anche danneggiamenti involontari o

condizioni ambientali avverse

Catena di custodia




• i dispositivi tecnologici sono oggi parte integrante

nell’indagine, anche se non direttamente coinvolti

• rappresentano un elemento utile per ricostruire la

sequenza temporale del crimine e relativo modus

operandi

• gli strumenti di analisi forense diventano tanto più

obsoleti quanto più velocemente si evolvono le nuove

tecnologie

• questo fenomeno evolutivo richiede un grado di

specializzazione tecnica più elevato e qualificato rispetto

a quello tradizionale

Un nuovo approccio




Progetto ILLBusterL'obiettivo del progetto ILLBuster, finanziato dalla Commissione Europea, all'interno del

programma "Prevention of and Fight Against Crime", è quello di fornire un sistema

integrato per il rilevamento automatico di attività illegali sulla rete internet. Il sistema

è pensato per fornire alle forze dell'ordine uno strumento prezioso nelle loro attività di

prevenzione e lotta contro il crimine informatico, e sarà costituito da:

• un motore principale responsabile della rilevazione di una lista “nera” di domini

malevoli;

• un insieme di periferiche e servizi che ispezioneranno le pagine web ospitate su

domini maligni con lo scopo di individuare materiale illecito o pericoloso

(pedopornografia, malware, phishing).

• Il sistema risultante sarà in grado di identificare domini (e contenuti) maligni attraverso

l'analisi del traffico DNS e segnalare URL sospetti alle forze dell'ordine, in modo

che gli illeciti possano essere facilmente individuati.

• Una caratteristica peculiare del sistema proposto è che esso sarà progettato tenendo

presenti tutti gli aspetti legali che garantiscono il rispetto della privacy dei cittadini

e non consentono abusi.




Progetto ILLBuster

Obiettivo

sviluppare una piattaforma che supporti le forze dell’ordine

nell’attività investigativa in rete




Progetto ILLBuster

Buster of ILLegal contents spread by

malicious computer networksUniversità di Cagliari

www.illbuster-project.eu

Co-funded by the Prevention of and Fight against Crime Programme of the European

Union

http://www.illbuster-project.eu




• i metodi descritti consentono un approccio più

mirato nella fase di ricerca delle prove

• gli investigatori operano con cognizione di causa

e possono dare ordine e priorità ai reperti rilevati

• l’analisi informatica è quindi più snella, rapida ed

efficace, ne beneficiano tempi e costi

• con l’evoluzione della tecnologia e con

l’incremento esponenziale della mole di dati che

ci si trova ad dover analizzare, oggi è un passaggio

obbligato

Conclusioni




Grazie per l’attenzione

[email protected]

it.linkedin.com/in/abonu

www.andig.it

www.diricto.it

ict4forensics.diee.unica.it

www.massimofarina.it

Fine presentazione..

mailto:[email protected]?subject=

http://it.linkedin.com/in/abonu

http://www.andig.it/

http://www.diricto.it/

http://ict4forensics.diee.unica.it/

http://www.massimofarina.it/




Attribuzione - Non Commerciale - Condividi allo stesso modo 2.5

Tu sei libero:

• di riprodurre, distribuire, comunicare al pubblico, esporre in pubblico, rappresentare, eseguire o recitare l'opera

• di creare opere derivate alle seguenti condizioni:

• Attribuzione. Devi riconoscere il contributo dell'autore originario.

• Non commerciale. Non puoi usare quest’opera per scopi commerciali.

• Condividi allo stesso modo. Se alteri, trasformi o sviluppi quest’opera, puoi distribuire l’opera risultante solo per mezzo d i una licenza identica a questa.

In occasione di ogni atto di riutilizzazione o distribuzione, devi chiarire agli altri i termini della licenza di quest’opera.

Se ottieni il permesso dal titolare del diritto d'autore, è possibile rinunciare ad ognuna di queste condizioni.

Le tue utilizzazioni libere e gli altri diritti non sono in nessun modo limitati da quanto sopra

Classificazione e profilazione dei referti investigativi sulle fattispecie criminose

Education

Transcript of Classificazione e profilazione dei referti investigativi sulle fattispecie criminose