Computer Forensic – Problematiche e metodologie di audit...Computer Forensic – Problematiche e...

Computer Forensic – Problematiche e metodologie diaudit

Associazione Italiana

Information Systems Auditors

Milano 5 giugno 2003 - Sessione di studio

Raoul Savastano

[email protected] Risk Management

2

Agenda

Dato elettronico: alcune considerazioni

Vincoli normativi per la gestione di attività di Computer Forensic

Principali ambiti di Computer Forensic

Fasi di un’attività di Computer Forensic

Acquisizione evidenze

Trattamento e Reporting

Problematiche connesse alle attività di Computer Forensic

Il software di supporto

Alcuni suggerimenti

3

DATO ELETTRONICO: ALCUNE CONSIDERAZIONI

4

Cos’è l’informazione

“InformationInformation is an assetasset which, like other important business assets,

has valuevalue to an organization and consequently needs to be suitably

protectedprotected.”

(ISO 17799:2000)

5

Sicurezza delle informazioni

“Whatever Whatever formform the the information takesinformation takes, or , or meansmeans by which it is sharedby which it is shared or or

storedstored, , it should it should alwaysalways be appropriately be appropriately protectedprotected.”

(ISO 17799:2000)

6

I parametri che garantiscono la sicurezza delle informazioni

RiservatezzaRiservatezza

IntegritIntegritààDisponibilitàDisponibilità

Mantenere le informazioni sensibili

protette

Mantenere le informazioni

intatte e valide

Mantenere le informazioni disponibili e accessibili

Accertarsi della sorgente,della destinazione e delcontenuto dei messaggi.

Autenticità

7

Dato elettronico, “the Story so far”

“ 93% of all information is stored in digital formdigital form” ……

…..“ Corporate electronic communications are growing by 30% annually”

“6.6 trillion electronic messages sent in US annualy”

(P. Lyman & H. Varian, “How much Information”, Univ. Of California, 2002)

8

Ciclo di vita e formato delle informazioni

L’informazione durante il proprio ciclo di vita può assumere formati differenti:

NascitaNascitaNascita UtilizzoUtilizzoUtilizzo ArchiviazioneArchiviazione DistruzioneDistruzioneDistruzione

Riuso / Smaltimento supporti

Riuso / Riuso / SmaltimenSmaltimento supportito supportiNascitaNascitaNascita UtilizzoUtilizzoUtilizzo ArchiviazioneArchiviazione DistruzioneDistruzioneDistruzione


Riuso / Riuso / SmaltimenSmaltimento supportito supportiNascitaNascitaNascita UtilizzoUtilizzoUtilizzo ArchiviazioneArchiviazione DistruzioneDistruzioneDistruzione


Riuso / Riuso / SmaltimenSmaltimento supportito supporti

NascitaNascitaNascita UtilizzoUtilizzoUtilizzo ArchiviazioneArchiviazione DistruzioneDistruzioneDistruzione


Riuso / Riuso / SmaltimenSmaltimento supportito supporti

STAMPATA SCRITTASU CARTA

MEMORIZZATA SUSUPPORTI

ELETTRONICI

TRASMESSA ELETTRONICAMENTE

TRASMESSAORALMENTE

COPIE

COPIE

COPIE

COPIE

9

La proliferazione del documento digitale

1 1 documento di word o un foglio di calcolo stampato

Conservato in 11 Hard Drive= 11 copia

Backup di 12 12 mesi= 1313 copie

33 destinatari interni = 4040 copie

55 bozze riviste dai destinatari = 200200 copie

Email utilizzate per fare circolare le bozze e la

versione finale = da 400400 a 10001000 copie

10

Dato elettronico: le problematiche da affrontare

Grande uso di Digital Devices (PC desktop, laptops, PDA, server di rete/nastri di backup, sistemi di posta elettronica e dischi di storage)

Differenti tipologie di dati

Cambiamenti tecnologici

basso livello di standardizzazione

espansione del software

rapida obsolescenza

EE--MailMail

Documenti generaliDocumenti generali

Database DipartimentaliDatabase Dipartimentali

Dati di sistemaDati di sistema

MS Outlook

Lotus Notes

CC Mail

Contabilità Generale

Sistemi HR

Dati di reporting

Documenti Word

Fogli di lavoro

Presentazioni

Pagine Web

Network Access

Computer Access

Web Logs

11

Dato elettronico e dato cartaceo: principali differenze

Facile distribuzione

Difficoltà nell’eliminare il dato elettronico

Spoliation

Possibilità di effettuare ricerche testuali

Presenza di metadati

12

Dato stampato e dato digitale : il metadato

13

Elementi di analisi del dato elettronico

Un’analisi accurata del dato elettronico recupererà informazioni su:

Files e Directories esistenti

Files cancellati

Archivi compressi

Cache di Internet

Files criptati e/o protetti da password

Metadati

Date dei files

Revisioni precedenti

Swap Files

Free Space

File Slack

14

Implicazioni

Siete in grado di determinare la provenienza dei dati che transitano sui vostri sistemi?

Se cercate prove su supporto elettronico (e-mail, transazioni di pagamenti effettuati, etc..) quanto siete sicuri di essere in grado di trovarle e che siano corrispondenti al reale?

Volendo fare indagini su un Pc, avete a disposizione software specifico per indicizzare la ricerca dei contenuti e recuperare eventuali dati cancellati?

Sono stati implementati KPI che rivelino possibili fenomeni fraudolenti?

Sono state predisposte procedure interne all’azienda che determinino quando avviare attività investigative?

15

VINCOLI NORMATIVI PER LA GESTIONE DI

ATTIVITA’ DI COMPUTER FORENSIC

16

La normativa sulla Privacy

Principali riferimenti normativi

Direttiva del Parlamento Europeo 24 ottobre 1995, n. 95/46/CE

Tutela delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati

Legge 31 dicembre 1996, n. 675

Tutela delle persone fisiche e di altri soggetti rispetto al trattamento dei dati personali

Decreto Presidente Repubblica 28 luglio 1999, n. 318

Regolamento recante norme per l’individuazione delle misure minime di sicurezza per il trattamento dei dati personali, a norma dell’articolo 15, comma 2, della legge 31 dicembre 1996 n. 675

Decreto Legislativo 28 dicembre 2001, n. 467

Disposizioni in materia di protezione dei dati personali in attuazione della legge 24 marzo 2001, n.127

17

La normativa sulla Criminalità informatica

Il progetto di Convenzione del Consiglio d’Europa

Per la lotta alla criminalità informatica è stato approvato l’8/11/2001 il progetto di Convenzione del Consiglio d’Europa:

– è stato aperto alla firma il 23 novembre 2001;

– entrava in vigore dopo 4 mesi, previa firma di 5 Stati, 3 dei quali appartenenti al Consiglio d’Europa;

– hanno aderito Stati non facenti del Consiglio d’Europa: USA, Canada, Giappone, Rep. Sudafricana;

– è entrato in vigore il 22 marzo 2001 con il parere positivo del Gruppo dei Garanti europei

– non recepisce, tuttavia, tutte le obiezioni ed i suggerimenti avanzati circa la protezione dei dati personali.

18


La normativa italiana

La legge n. 547/93, nota come Legge sui crimini informatici:

– modifica alcuni articoli del codice penale introducendo nel nostro sistema una serie di “crimini informatici” che comportano al reol’irrogazione di sanzioni penali;

Art. 420 c.p. “attentato a impianti informatici di pubblica utilità”:

– chiunque danneggi o distrugga un impianto di pubblica utilità (anche sistemi informatici o telematici ovvero informazioni o programmi in esso contenuti) è punito con la reclusione da 1 a 4 anni.

19



Art. 491 bis c.p. “falsificazione di documenti informatici”:

per i documenti informatici pubblici o privati che presentano alcune falsità si applicano le stesse disposizioni concernenti rispettivamente gli atti pubblici e le scritture private;

A tal fine per documento informatico si intende qualunque supporto informatico contenente dati o informazioni aventi efficacia probatoria o programmi specificamente destinati ad elaborarli.

Art. 615 ter c.p. “accesso abusivo ad un sistema informatico o telematico”:

chiunque abusivamente si introduce in un sistema informatico/telematico protetto viene punito con reclusione fino a 3 anni; la pena è la reclusione da 1 a 5 anni nel caso di aggravanti (es. violenza a persone/cose o danneggiamento del sistema/interruzione del servizio).

20



Art. 615 quater c.p. “detenzione abusiva di codici di accesso a sistemi informatici o telematici”:

– chiunque al fine di procurare a sé o ad altri un profitto o di arrecare ad altri un danno si procura riproduce, diffonde abusivamente codici di accesso o parole chiave per sistemi informatici o telematici è sottoposto a pena con reclusione sino ad 1 anno e con multa sino a 10 milioni (5164 €);

Art. 615 quinquies c.p. “diffusione di programmi diretti a danneggiare o interrompere un sistema informatico”:

– chiunque diffonde, comunica o consegna un programma informatico da lui stesso o da altri redatto, avente per scopo o per effetto il danneggiamento di un sistema informatico o telematico, dei dati o dei programmi in esso contenuti o a esso pertinenti, ovvero l'interruzione, totale o parziale, o l'alterazione del suo funzionamento, è punito con la reclusione sino a due anni e con la multa sino a lire 20 milioni (10329 €);

21



Art. 617 quater c.p. “intercettazione impedimento o interruzione illecita di comunicazioni informatiche o telematiche”:

– chiunque fraudolentemente intercetta comunicazioni relative ad un sistema informatico/telematico è soggetto alla pena della reclusione da 6 mesi a 4 anni.

Art. 617 quinquies c.p. “installazione di apparecchiature atte a intercettare, impedire o interrompere comunicazioni informatiche o telematiche”;

– chiunque installa apparecchiature atte a intercettare, impedire o interrompere comunicazioni relative a un sistema informatico o telematico ovvero intercorrenti tra più sistemi, è punito con la reclusione da uno a quattro anni.

22



Art. 617 sexies c.p. “falsificazione, alterazione o soppressione del contenuto di comunicazioni informatiche o telematiche”.

– Chiunque, al fine di procurare a sé o ad altri un vantaggio o diarrecare ad altri un danno, forma falsamente ovvero altera o sopprime, in tutto o in parte, il contenuto, anche occasionalmente intercettato, di taluna delle comunicazioni relative a un sistema informatico o telematico o intercorrenti tra più sistemi, è punito, qualora ne faccia uso o lasci che altri ne facciano uso, con la reclusione da uno a quattro anni.

23



Art. 640 ter c.p. “frode informatica”“frode informatica” :

– Chiunque alterando il qualsiasi modo il funzionamento di un sistema informatico/telematico o intervenendo senza diritto sui dati di un sistema procura ingiusto profitto a sé o a terzi è punito con lareclusione da 6 mesi a 3 anni e multa da centomila lire (51 €) sino a 2 milioni (1032 €);

– La pena è della reclusione da 1 a 5 anni e della multa da seicentomila lire (309 €) sino a 3 milioni (1549 €) se ricorre commissione di frode con abuso delle qualità di operatore del sistema.

24

Altri riferimenti normativi:

La normativa sulla firma digitale

Legge 15 marzo 1997, n. 59

Decreto del Presidente della Repubblica del 10 novembre 1997, n. 513

Decreto del Presidente del Consiglio dei Ministri 8 febbraio 1999

Decreto del Presidente della Repubblica del 28 dicembre 2000, n. 445

Decreto Legislativo 23 gennaio 2002, n.10

La normativa sul copyright

Decreto legislativo del 29 dicembre 1992, n°518

Legge del 18 agosto 2000, n° 248

Lo Statuto dei Lavoratori

Legge 20 maggio 1990, n° 300, in particolare art. 4 “Controllo a distanza del lavoratore”

25

PRINCIPALI AMBITI DI COMPUTER FORENSIC

26

Aree di analisi di Computer e Network Forensic

FORENSIC DATA ANALYSIS

Attività di data data investigationinvestigation richiedono competenze diverse: organizzativo, giuridico, tecnologico.

• Vengono utilizzate tutte le tecniche più recenti di analisi : data extraction, data storage, data mining and visualisation, password cracking e tecniche di dencryption.

• sono necessari skill organizzativi

• attenzione a procedere secondo le direttive legislative

27

Necessità e benefici di un’attività di Computer Forensic

Raccolta, confronto e integrazione di data set di Raccolta, confronto e integrazione di data set di diversa naturadiversa natura

certezza che i dati personali (nomi, indirizzi, etc) siano identificati ed utilizzabili

Comprensione del metadato: chi crea, modifica, elimina, conserva le prove

certezza che il recupero e l’esame delle prove (email, dati, file cancellati) siano accettabili in procedimenti legali

l’analisi delle prove può essere seguita successivamente da altri esperti forensic o personale interno

DigitalDigital evidenceevidence recoveryrecovery

Esperienza di analisi dei dati, Esperienza di analisi dei dati, tooltool e tecnichee tecnicheutilizzo secondo procedure consolidate e validate degli strumenti e delle tecniche più recenti

utilizzo ottimale delle risorse con competenze tecnologiche e giuridiche

Immagine elettronica di tutte le carte di lavoro disponibili a tutti i componenti il team di lavoro

Unico “front end” di accesso per il gruppo di lavoro a tutte le prove (carta, digitali, email, etc..)

Gestione robusta e flessibile della documentazione Gestione robusta e flessibile della documentazione

28

FASI DI UN’ATTIVITA’ DI COMPUTER FORENSIC

29

Metodologia

Capire la problematica, definire la struttura del gruppo di lavoro, circostanziare le prove e l’output finale

Recupero delle prove su supporto elettronico secondo i metodi prescritti dalla legislazione vigente

Possibilità di utilizzare le prove in un procedimento legale

Utilizzo degli esperti per fornire testimonianze su come tali prove siano state trovate, estratte ed esaminate

Possibilità di allegare alla testimonianza l’esatta immagine binaria delle evidenze digitali

Identificare, localizzare estrarre e fare una copia di sicurezza dei dati

Capire come il dato è stato creato, pulire confrontare e fare ipotesi per raggiungere l’obiettivo predefinito

Scegliere una soluzione tecnologica appropriata

Scoprire le evidenze o fatti non considerati

Interpretare i risultati

30

Acquisizione delle evidenze

FASE 1 : ISOLAMENTO

Il computer viene scollegato dalla rete e isolato fisicamente per evitare manomissioni.

La macchina non va spenta prima che il contenuto della RAM e delle unità a disco sia stato salvato

FASE 2 : COPIA DI SICUREZZA DEI DATI

Al sistema viene collegata un’unità a nastro o un secondo disco rigido, possibilmente esterni e possibilmente senza disattivare la macchina, e su di essi viene copiata un’immagine byte-per-byte della RAM. In questa fase sono utilizzati software specifici che consentono lacreazione di copie senza alterare l’originale

Un’ulteriore copia dell’originale viene allegata alla documentazione prodotta, affinchè terzi abbiano la possibilità di ripercorrere le analisi eseguite

31

Trattamento e Reporting

FASE 3 : ANALISI

Fase di analisi compiuta utilizzando software specifici di ricerca dati e di elaborazione di ingenti quantità di informazioni. Le analisi devono essere effettuate su tutto il flusso di informazioni disponibili ( cartacee, logiche, orali, etc..)Le analisi devono essere sempre effettuate su copie e non sugli originali

FASE 4 : CONCLUSIONI

Formalizzazione dei risultati raggiunti in report che possano essere utilizzati per varie finalità (legali, di management, etc..).E’ inoltre possibile predisporre linee guida o action plans volti a ridurre la probabilità che nuovi atti illeciti si ripetano.

32

PROBLEMATICHE CONNESSE ALLE ATTIVITA’ DI

COMPUTER FORENSIC

33

Problematiche da affrontare

Principali driver di un’attività di Computer Forensic

• Predisposizione dell’ambiente

• Formazione risorse• Predisposizione di sistemi e infrastrutture• Utilizzo di software specifico

• Pianificazione delle attività

• Definizione circostanziata degli obiettivi dell’analisi• Determinazione del flusso di lavoro• Fasi delle attività

• Controlli dell’attività

• Cambiamenti negli obiettivi dell’analisi• Analisi aggiuntive• Costi di analisi

34

Problematiche da affrontare - segue


• Rischi connessi all’attività

• Deterioramento prove• Omissione di alcune evidenze• Interpretazione non corretta delle evidenze: il falso positivo• Crittografia: difficoltà di acquisizione delle informazioni protette• Non rispetto della normativa• Non rispetto dei diritto del singolo• Non rispetto della Privacy

• Risultati dell’attività

• Presentazione dei risultati• Responsabilità personale di chi svolge l’analisi• Conservazione delle prove • Comprensione della tematica da parte di chi subentra anche in un

momento successivo

35

Problematiche da affrontare - segue


• Cambiamenti nell’attività

• Dovuti a vincoli legali• Cambiamenti nelle necessità di analisi• Fuoriuscita di personale• Cambiamenti tecnologici

36

IL SOFTWARE DI SUPPORTO

37

Alcuni Audit Software

• accesso ai dati senza modificarli• impossibilità di modificare la macchina oggetto di verifica • sistema di password cracking integrato• capacità teorica illimitata ogni cassetta LTO Ultrium può contenere dai 100 ai 200 gb di dati

Forensic software

• duplicazione bit-a-bit dell’immagine originale della device oggetto dell’analisi • tool di ricerca per parole chiave, analisi hash, analisi della firma digitale, OLE filesetc.• reporting strutturato e protetto tramite PKY

38

Alcuni Audit Software

GetSlack - Forensic Data Capture Utility

E MOLTI ALTRI….

39

Alcuni suggerimenti

Per conservare al meglio l’ambiente su cui transitano le informazioni e facilitare eventuali attività di analisi di Computer Forensic si suggerisce di

• definire e implementare politiche di sicurezza e standard ( BS7799, ITSEC , Common Criteria, etc.)• monitorarne il rispetto (tramite attività di audit, penetration test, IDS, etc..)• accrescere il livello di awareness delle persone

• sincronizzare gli orologi dei sistemi centrali, distribuiti e delle apparecchiature automatizzate (tornelli di accesso, badge etc)

• aumentare (ove possibile) il tempo di sovrascrittura automatica dei log sui sistemi ritenuti a rischio

• conservare copie di backup con cadenza temporale significativa che non rientrino nel ciclo normale di riutilizzo dei nastri

40

Alcuni suggerimenti

In generale si dovrà provvedere a rendere più “sicuro”l’ambiente di produzione e gestione dei dati, ricordando sempre che….

….PREVENIRE E’ MEGLIO CHE CURARE…

E che nel caso sia necessario curare, verificare sempre che…

….LA MEDICINA NON CAUSI PIU’ DANNI DEL MALE!

Per chiarimenti o domande:

Raoul Savastano

[email protected]

Information Risk Management

Computer Forensic – Problematiche e metodologie di audit...Computer Forensic – Problematiche e...

Documents

Transcript of Computer Forensic – Problematiche e metodologie di audit...Computer Forensic – Problematiche e...