Computer Forensic – Problematiche e metodologie di audit...Computer Forensic – Problematiche e...
Transcript of Computer Forensic – Problematiche e metodologie di audit...Computer Forensic – Problematiche e...
Computer Forensic – Problematiche e metodologie diaudit
Associazione Italiana
Information Systems Auditors
Milano 5 giugno 2003 - Sessione di studio
Raoul Savastano
[email protected] Risk Management
2
Agenda
Dato elettronico: alcune considerazioni
Vincoli normativi per la gestione di attività di Computer Forensic
Principali ambiti di Computer Forensic
Fasi di un’attività di Computer Forensic
Acquisizione evidenze
Trattamento e Reporting
Problematiche connesse alle attività di Computer Forensic
Il software di supporto
Alcuni suggerimenti
4
Cos’è l’informazione
“InformationInformation is an assetasset which, like other important business assets,
has valuevalue to an organization and consequently needs to be suitably
protectedprotected.”
(ISO 17799:2000)
5
Sicurezza delle informazioni
“Whatever Whatever formform the the information takesinformation takes, or , or meansmeans by which it is sharedby which it is shared or or
storedstored, , it should it should alwaysalways be appropriately be appropriately protectedprotected.”
(ISO 17799:2000)
6
I parametri che garantiscono la sicurezza delle informazioni
RiservatezzaRiservatezza
IntegritIntegritààDisponibilitàDisponibilità
Mantenere le informazioni sensibili
protette
Mantenere le informazioni
intatte e valide
Mantenere le informazioni disponibili e accessibili
Accertarsi della sorgente,della destinazione e delcontenuto dei messaggi.
Autenticità
7
Dato elettronico, “the Story so far”
“ 93% of all information is stored in digital formdigital form” ……
…..“ Corporate electronic communications are growing by 30% annually”
“6.6 trillion electronic messages sent in US annualy”
(P. Lyman & H. Varian, “How much Information”, Univ. Of California, 2002)
8
Ciclo di vita e formato delle informazioni
L’informazione durante il proprio ciclo di vita può assumere formati differenti:
NascitaNascitaNascita UtilizzoUtilizzoUtilizzo ArchiviazioneArchiviazione DistruzioneDistruzioneDistruzione
Riuso / Smaltimento supporti
Riuso / Riuso / SmaltimenSmaltimento supportito supportiNascitaNascitaNascita UtilizzoUtilizzoUtilizzo ArchiviazioneArchiviazione DistruzioneDistruzioneDistruzione
Riuso / Smaltimento supporti
Riuso / Riuso / SmaltimenSmaltimento supportito supportiNascitaNascitaNascita UtilizzoUtilizzoUtilizzo ArchiviazioneArchiviazione DistruzioneDistruzioneDistruzione
Riuso / Smaltimento supporti
Riuso / Riuso / SmaltimenSmaltimento supportito supporti
NascitaNascitaNascita UtilizzoUtilizzoUtilizzo ArchiviazioneArchiviazione DistruzioneDistruzioneDistruzione
Riuso / Smaltimento supporti
Riuso / Riuso / SmaltimenSmaltimento supportito supporti
STAMPATA SCRITTASU CARTA
MEMORIZZATA SUSUPPORTI
ELETTRONICI
TRASMESSA ELETTRONICAMENTE
TRASMESSAORALMENTE
COPIE
COPIE
COPIE
COPIE
9
La proliferazione del documento digitale
1 1 documento di word o un foglio di calcolo stampato
Conservato in 11 Hard Drive= 11 copia
Backup di 12 12 mesi= 1313 copie
33 destinatari interni = 4040 copie
55 bozze riviste dai destinatari = 200200 copie
Email utilizzate per fare circolare le bozze e la
versione finale = da 400400 a 10001000 copie
10
Dato elettronico: le problematiche da affrontare
Grande uso di Digital Devices (PC desktop, laptops, PDA, server di rete/nastri di backup, sistemi di posta elettronica e dischi di storage)
Differenti tipologie di dati
Cambiamenti tecnologici
basso livello di standardizzazione
espansione del software
rapida obsolescenza
EE--MailMail
Documenti generaliDocumenti generali
Database DipartimentaliDatabase Dipartimentali
Dati di sistemaDati di sistema
MS Outlook
Lotus Notes
CC Mail
Contabilità Generale
Sistemi HR
Dati di reporting
Documenti Word
Fogli di lavoro
Presentazioni
Pagine Web
Network Access
Computer Access
Web Logs
11
Dato elettronico e dato cartaceo: principali differenze
Facile distribuzione
Difficoltà nell’eliminare il dato elettronico
Spoliation
Possibilità di effettuare ricerche testuali
Presenza di metadati
13
Elementi di analisi del dato elettronico
Un’analisi accurata del dato elettronico recupererà informazioni su:
Files e Directories esistenti
Files cancellati
Archivi compressi
Cache di Internet
Files criptati e/o protetti da password
Metadati
Date dei files
Revisioni precedenti
Swap Files
Free Space
File Slack
14
Implicazioni
Siete in grado di determinare la provenienza dei dati che transitano sui vostri sistemi?
Se cercate prove su supporto elettronico (e-mail, transazioni di pagamenti effettuati, etc..) quanto siete sicuri di essere in grado di trovarle e che siano corrispondenti al reale?
Volendo fare indagini su un Pc, avete a disposizione software specifico per indicizzare la ricerca dei contenuti e recuperare eventuali dati cancellati?
Sono stati implementati KPI che rivelino possibili fenomeni fraudolenti?
Sono state predisposte procedure interne all’azienda che determinino quando avviare attività investigative?
16
La normativa sulla Privacy
Principali riferimenti normativi
Direttiva del Parlamento Europeo 24 ottobre 1995, n. 95/46/CE
Tutela delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati
Legge 31 dicembre 1996, n. 675
Tutela delle persone fisiche e di altri soggetti rispetto al trattamento dei dati personali
Decreto Presidente Repubblica 28 luglio 1999, n. 318
Regolamento recante norme per l’individuazione delle misure minime di sicurezza per il trattamento dei dati personali, a norma dell’articolo 15, comma 2, della legge 31 dicembre 1996 n. 675
Decreto Legislativo 28 dicembre 2001, n. 467
Disposizioni in materia di protezione dei dati personali in attuazione della legge 24 marzo 2001, n.127
17
La normativa sulla Criminalità informatica
Il progetto di Convenzione del Consiglio d’Europa
Per la lotta alla criminalità informatica è stato approvato l’8/11/2001 il progetto di Convenzione del Consiglio d’Europa:
– è stato aperto alla firma il 23 novembre 2001;
– entrava in vigore dopo 4 mesi, previa firma di 5 Stati, 3 dei quali appartenenti al Consiglio d’Europa;
– hanno aderito Stati non facenti del Consiglio d’Europa: USA, Canada, Giappone, Rep. Sudafricana;
– è entrato in vigore il 22 marzo 2001 con il parere positivo del Gruppo dei Garanti europei
– non recepisce, tuttavia, tutte le obiezioni ed i suggerimenti avanzati circa la protezione dei dati personali.
18
La normativa sulla Criminalità informatica
La normativa italiana
La legge n. 547/93, nota come Legge sui crimini informatici:
– modifica alcuni articoli del codice penale introducendo nel nostro sistema una serie di “crimini informatici” che comportano al reol’irrogazione di sanzioni penali;
Art. 420 c.p. “attentato a impianti informatici di pubblica utilità”:
– chiunque danneggi o distrugga un impianto di pubblica utilità (anche sistemi informatici o telematici ovvero informazioni o programmi in esso contenuti) è punito con la reclusione da 1 a 4 anni.
19
La normativa sulla Criminalità informatica
La normativa italiana
Art. 491 bis c.p. “falsificazione di documenti informatici”:
per i documenti informatici pubblici o privati che presentano alcune falsità si applicano le stesse disposizioni concernenti rispettivamente gli atti pubblici e le scritture private;
A tal fine per documento informatico si intende qualunque supporto informatico contenente dati o informazioni aventi efficacia probatoria o programmi specificamente destinati ad elaborarli.
Art. 615 ter c.p. “accesso abusivo ad un sistema informatico o telematico”:
chiunque abusivamente si introduce in un sistema informatico/telematico protetto viene punito con reclusione fino a 3 anni; la pena è la reclusione da 1 a 5 anni nel caso di aggravanti (es. violenza a persone/cose o danneggiamento del sistema/interruzione del servizio).
20
La normativa sulla Criminalità informatica
La normativa italiana
Art. 615 quater c.p. “detenzione abusiva di codici di accesso a sistemi informatici o telematici”:
– chiunque al fine di procurare a sé o ad altri un profitto o di arrecare ad altri un danno si procura riproduce, diffonde abusivamente codici di accesso o parole chiave per sistemi informatici o telematici è sottoposto a pena con reclusione sino ad 1 anno e con multa sino a 10 milioni (5164 €);
Art. 615 quinquies c.p. “diffusione di programmi diretti a danneggiare o interrompere un sistema informatico”:
– chiunque diffonde, comunica o consegna un programma informatico da lui stesso o da altri redatto, avente per scopo o per effetto il danneggiamento di un sistema informatico o telematico, dei dati o dei programmi in esso contenuti o a esso pertinenti, ovvero l'interruzione, totale o parziale, o l'alterazione del suo funzionamento, è punito con la reclusione sino a due anni e con la multa sino a lire 20 milioni (10329 €);
21
La normativa sulla Criminalità informatica
La normativa italiana
Art. 617 quater c.p. “intercettazione impedimento o interruzione illecita di comunicazioni informatiche o telematiche”:
– chiunque fraudolentemente intercetta comunicazioni relative ad un sistema informatico/telematico è soggetto alla pena della reclusione da 6 mesi a 4 anni.
Art. 617 quinquies c.p. “installazione di apparecchiature atte a intercettare, impedire o interrompere comunicazioni informatiche o telematiche”;
– chiunque installa apparecchiature atte a intercettare, impedire o interrompere comunicazioni relative a un sistema informatico o telematico ovvero intercorrenti tra più sistemi, è punito con la reclusione da uno a quattro anni.
22
La normativa sulla Criminalità informatica
La normativa italiana
Art. 617 sexies c.p. “falsificazione, alterazione o soppressione del contenuto di comunicazioni informatiche o telematiche”.
– Chiunque, al fine di procurare a sé o ad altri un vantaggio o diarrecare ad altri un danno, forma falsamente ovvero altera o sopprime, in tutto o in parte, il contenuto, anche occasionalmente intercettato, di taluna delle comunicazioni relative a un sistema informatico o telematico o intercorrenti tra più sistemi, è punito, qualora ne faccia uso o lasci che altri ne facciano uso, con la reclusione da uno a quattro anni.
23
La normativa sulla Criminalità informatica
La normativa italiana
Art. 640 ter c.p. “frode informatica”“frode informatica” :
– Chiunque alterando il qualsiasi modo il funzionamento di un sistema informatico/telematico o intervenendo senza diritto sui dati di un sistema procura ingiusto profitto a sé o a terzi è punito con lareclusione da 6 mesi a 3 anni e multa da centomila lire (51 €) sino a 2 milioni (1032 €);
– La pena è della reclusione da 1 a 5 anni e della multa da seicentomila lire (309 €) sino a 3 milioni (1549 €) se ricorre commissione di frode con abuso delle qualità di operatore del sistema.
24
Altri riferimenti normativi:
La normativa sulla firma digitale
Legge 15 marzo 1997, n. 59
Decreto del Presidente della Repubblica del 10 novembre 1997, n. 513
Decreto del Presidente del Consiglio dei Ministri 8 febbraio 1999
Decreto del Presidente della Repubblica del 28 dicembre 2000, n. 445
Decreto Legislativo 23 gennaio 2002, n.10
La normativa sul copyright
Decreto legislativo del 29 dicembre 1992, n°518
Legge del 18 agosto 2000, n° 248
Lo Statuto dei Lavoratori
Legge 20 maggio 1990, n° 300, in particolare art. 4 “Controllo a distanza del lavoratore”
26
Aree di analisi di Computer e Network Forensic
FORENSIC DATA ANALYSIS
Attività di data data investigationinvestigation richiedono competenze diverse: organizzativo, giuridico, tecnologico.
• Vengono utilizzate tutte le tecniche più recenti di analisi : data extraction, data storage, data mining and visualisation, password cracking e tecniche di dencryption.
• sono necessari skill organizzativi
• attenzione a procedere secondo le direttive legislative
27
Necessità e benefici di un’attività di Computer Forensic
Raccolta, confronto e integrazione di data set di Raccolta, confronto e integrazione di data set di diversa naturadiversa natura
certezza che i dati personali (nomi, indirizzi, etc) siano identificati ed utilizzabili
Comprensione del metadato: chi crea, modifica, elimina, conserva le prove
certezza che il recupero e l’esame delle prove (email, dati, file cancellati) siano accettabili in procedimenti legali
l’analisi delle prove può essere seguita successivamente da altri esperti forensic o personale interno
DigitalDigital evidenceevidence recoveryrecovery
Esperienza di analisi dei dati, Esperienza di analisi dei dati, tooltool e tecnichee tecnicheutilizzo secondo procedure consolidate e validate degli strumenti e delle tecniche più recenti
utilizzo ottimale delle risorse con competenze tecnologiche e giuridiche
Immagine elettronica di tutte le carte di lavoro disponibili a tutti i componenti il team di lavoro
Unico “front end” di accesso per il gruppo di lavoro a tutte le prove (carta, digitali, email, etc..)
Gestione robusta e flessibile della documentazione Gestione robusta e flessibile della documentazione
29
Metodologia
Capire la problematica, definire la struttura del gruppo di lavoro, circostanziare le prove e l’output finale
Recupero delle prove su supporto elettronico secondo i metodi prescritti dalla legislazione vigente
Possibilità di utilizzare le prove in un procedimento legale
Utilizzo degli esperti per fornire testimonianze su come tali prove siano state trovate, estratte ed esaminate
Possibilità di allegare alla testimonianza l’esatta immagine binaria delle evidenze digitali
Identificare, localizzare estrarre e fare una copia di sicurezza dei dati
Capire come il dato è stato creato, pulire confrontare e fare ipotesi per raggiungere l’obiettivo predefinito
Scegliere una soluzione tecnologica appropriata
Scoprire le evidenze o fatti non considerati
Interpretare i risultati
30
Acquisizione delle evidenze
FASE 1 : ISOLAMENTO
Il computer viene scollegato dalla rete e isolato fisicamente per evitare manomissioni.
La macchina non va spenta prima che il contenuto della RAM e delle unità a disco sia stato salvato
FASE 2 : COPIA DI SICUREZZA DEI DATI
Al sistema viene collegata un’unità a nastro o un secondo disco rigido, possibilmente esterni e possibilmente senza disattivare la macchina, e su di essi viene copiata un’immagine byte-per-byte della RAM. In questa fase sono utilizzati software specifici che consentono lacreazione di copie senza alterare l’originale
Un’ulteriore copia dell’originale viene allegata alla documentazione prodotta, affinchè terzi abbiano la possibilità di ripercorrere le analisi eseguite
31
Trattamento e Reporting
FASE 3 : ANALISI
Fase di analisi compiuta utilizzando software specifici di ricerca dati e di elaborazione di ingenti quantità di informazioni. Le analisi devono essere effettuate su tutto il flusso di informazioni disponibili ( cartacee, logiche, orali, etc..)Le analisi devono essere sempre effettuate su copie e non sugli originali
FASE 4 : CONCLUSIONI
Formalizzazione dei risultati raggiunti in report che possano essere utilizzati per varie finalità (legali, di management, etc..).E’ inoltre possibile predisporre linee guida o action plans volti a ridurre la probabilità che nuovi atti illeciti si ripetano.
33
Problematiche da affrontare
Principali driver di un’attività di Computer Forensic
• Predisposizione dell’ambiente
• Formazione risorse• Predisposizione di sistemi e infrastrutture• Utilizzo di software specifico
• Pianificazione delle attività
• Definizione circostanziata degli obiettivi dell’analisi• Determinazione del flusso di lavoro• Fasi delle attività
• Controlli dell’attività
• Cambiamenti negli obiettivi dell’analisi• Analisi aggiuntive• Costi di analisi
34
Problematiche da affrontare - segue
Principali driver di un’attività di Computer Forensic
• Rischi connessi all’attività
• Deterioramento prove• Omissione di alcune evidenze• Interpretazione non corretta delle evidenze: il falso positivo• Crittografia: difficoltà di acquisizione delle informazioni protette• Non rispetto della normativa• Non rispetto dei diritto del singolo• Non rispetto della Privacy
• Risultati dell’attività
• Presentazione dei risultati• Responsabilità personale di chi svolge l’analisi• Conservazione delle prove • Comprensione della tematica da parte di chi subentra anche in un
momento successivo
35
Problematiche da affrontare - segue
Principali driver di un’attività di Computer Forensic
• Cambiamenti nell’attività
• Dovuti a vincoli legali• Cambiamenti nelle necessità di analisi• Fuoriuscita di personale• Cambiamenti tecnologici
37
Alcuni Audit Software
• accesso ai dati senza modificarli• impossibilità di modificare la macchina oggetto di verifica • sistema di password cracking integrato• capacità teorica illimitata ogni cassetta LTO Ultrium può contenere dai 100 ai 200 gb di dati
Forensic software
• duplicazione bit-a-bit dell’immagine originale della device oggetto dell’analisi • tool di ricerca per parole chiave, analisi hash, analisi della firma digitale, OLE filesetc.• reporting strutturato e protetto tramite PKY
39
Alcuni suggerimenti
Per conservare al meglio l’ambiente su cui transitano le informazioni e facilitare eventuali attività di analisi di Computer Forensic si suggerisce di
• definire e implementare politiche di sicurezza e standard ( BS7799, ITSEC , Common Criteria, etc.)• monitorarne il rispetto (tramite attività di audit, penetration test, IDS, etc..)• accrescere il livello di awareness delle persone
• sincronizzare gli orologi dei sistemi centrali, distribuiti e delle apparecchiature automatizzate (tornelli di accesso, badge etc)
• aumentare (ove possibile) il tempo di sovrascrittura automatica dei log sui sistemi ritenuti a rischio
• conservare copie di backup con cadenza temporale significativa che non rientrino nel ciclo normale di riutilizzo dei nastri
40
Alcuni suggerimenti
In generale si dovrà provvedere a rendere più “sicuro”l’ambiente di produzione e gestione dei dati, ricordando sempre che….
….PREVENIRE E’ MEGLIO CHE CURARE…
E che nel caso sia necessario curare, verificare sempre che…
….LA MEDICINA NON CAUSI PIU’ DANNI DEL MALE!