Maccaglia - Cybercrime un approccio tecnologico e sociologico
Giuseppe Vaciago, Cybercrime, Digital Investigation e Digital Forensics
26
CYBERCRIME, DIGITAL INVESTIGATIONS AND DIGITAL FORENSICS Giuseppe Vaciago Università degli Studi di Milano 16 maggio 2013
-
Upload
andrea-rossetti -
Category
Documents
-
view
1.271 -
download
2
description
Transcript of Giuseppe Vaciago, Cybercrime, Digital Investigation e Digital Forensics
CYBERCRIME, DIGITAL INVESTIGATIONS AND DIGITAL FORENSICS
Giuseppe Vaciago
Università degli Studi di Milano
16 maggio 2013
Scopo della digital forensics è quello di conservare, identificare, acquisire, documentare o interpretare i dati presenti in un computer. A livello generale si tratta di individuare le modalità migliori per:
• acquisire le prove senza alterare il sistema informatico in cui si trovano;
• garantire che le prove acquisite su altro supporto siano identiche a quelle originarie;
• analizzare i dati senza alterarli (Cesare Maioli)
Digital Forensics - Definizione
Una prima caratteristica è data dalla complessità della digital evidence. Il caso Amero ne è una dimostrazione.
Le complessità della digital evidence (Julie Amero)
Julie Amero è una supplente della Kelly School di Norwich del Connecticut che venne condannata per aver mostrato a ragazzi minori di 16 anni immagini pornografiche.
Il caso “Amero”: la scansione temporale
Lezione di Julie Amero. Immagini “inadatte”
appaiono come pop-up dal PC dell’insegnante
La Polizia visiona il contenuto dell’hard
disk,ma non ne esegue una copia bit-stream
La Corte condanna Julie Amero per il reato di offesa alla morale a
minorenni
Julie Amero ottenne un nuovo processo in cui venne condannata alla
pena di 100 dollari
26/10/04 05/01/07 10/11/08 19/10/04
Il docente titolare si reca in aula e nota che la cache file contiene file pornografici e
avvisa il preside
20/10/04
La difesa chiede un nuovo processo in quanto la prova non era stata acquisita correttamente e il computer era infetto
(mousetrapping)
01/06/08
Digital Investigation – 5 Steps
Il fine ultimo di ogni investigazione digitale consiste nel recupero di tutti i dati che possano costituire una prova utilizzabile durante il processo. Per raggiungere tale fine è necessario:
1. individuare l’autore dell’illecito e il supporto informatico e che contiene il dato digitale utile all’indagine, al fine di identificare il potenziale criminale
2. acquisire tale dato attraverso l’intercettazione nel caso di flussi di comunicazioni in Rete, ovvero attraverso il sequestro e la duplicazione del supporto di memorizzazione su cui è archiviato il dato;
3. conservare in un luogo idoneo tutti i dati digitali acquisiti e duplicati;
4. effettuare, esclusivamente sulla copia del supporto informatico, le opportune analisi che consentano di recuperare le informazioni utili al Pubblico Ministero e all’avvocato durante la fase delle indagini preliminari, e al Giudice durante la fase dibattimentale;
5. presentare i risultati dell’indagine durante la fase dibattimentale o nella relazione tecnica.
Con un decreto del Pubblico Ministero viene effettuata la perquisizione e il sequestro dei dati informatici
Con l’indirizzo IP, la Polizia Giudiziaria ottiene dall’Access Provider l’ubicazione del soggetto sospettato
L’Autorità giudiziaria ordina all’ISP di fornire l’indirizzo IP del soggetto che si è collegato
1. Identificare il sospetto
Quando viene investigato un crimine on line l’approccio è il seguente:
Non c’è nessuna traccia dell’illecito nel computer sequestrato
Diff icoltà nell ’ identif icazione del computer da sequestrare
Difficoltà nell’identificazione dell’utente (open Wifi, proxy, botnet, TOR)
Le “sfide” sono le seguenti:
1. Identificare il sospetto – “Sfide”
Conosce re l a t ecn i ca d i soc ia l engineering
Rapidità nell’azione (data retention)
Public-Private Partnership tra Forze dell’ordine/ISPs
Non puoi (sempre) identificare un cybercriminale su Google ;)
1. Identificare il sospetto – Soluzioni
1. Identificare il sospetto – Soluzioni ?
Il risultato è eccellente, ma quali sono le implicazioni a livello di privacy?
Caso “Palazzolo”: il tesoriere della Mafia, dopo 30 anni di latitanza è stato arrestato grazie ad un monitoraggio del suo account facebook
1. Identificare il sospetto – Soluzioni ?
Face RecogniKon Project Alessandro Acquis/
CCTV Fair Fax Media
1. Identify the Suspect – Solutions?
2. Individuazione di contenuti illeciti
Strumenti d’indagine spesso usati per condurre investigazioni on line sono le tecniche “hashing”. Per esempio, iniziando con un file contenente un immagine, è possibile convertirlo in un message digest e intraprendere una ricerca all’interno di un supporto (hard drive, flash disk) o all’interno un network (P2P networks).
Ferrari.jpg Ferrari_copy.jpg
HASH SHA-1
051ed4dbdb9bcd7957aa7cbb5dfd0e94605cd
887
Cosa succede se cambio il file in maniera infinitesimale?
Ferrari.jpg Ferrari_copy2.jpg
HASH: 051ed4dbdb9bcd7957aa7cbb5df
d0e94605cd887
HASH: a9fa2933484f828b95c1dde824dea
28f35b509d6
L’hash non corrisponde e la ricerca non genererà alcun risultato
2. Individuazione di contenuti illeciti- Sfida
Per tale ragione, ci sono tecniche (i.e. fuzzy hashing) o vari tipi di algoritmi che permettono di identificare un certo numero di similarità. Un buon software è l’SSDEEP creato da Andrew Tridgell e utilizzato per individuare spamming.
Online è disponibile: pHash (The open source perceptual hash library)
2. Individuazione di contenuti illeciti– Soluzioni?
2. Individuazione di contenuti illeciti- Soluzioni Le tecniche più complesse hanno un range di errore del 20%
Cosa significa?
Nessun problema se ci sono falsi positivi. Il controllo umano è sufficiente.
Ma nel caso di falsi negativi?
False Negative= (i.e., illegal content incorrectly deemed as non-illegal
False positives= (i.e., non-illegal content incorrectly deemed as illegal
Internet Surveillance Plans
2. Individuazione di contenuti illeciti- Soluzioni
La Germania ha introdotto il 20 dicembre 2006 un emendamento alla legge sulla protezione della Costituzione nel Nord Reno-Westfalia che consentiva l’accesso segreto a sistemi informatici e il monitoraggio segreto della Rete attraverso sistemi keylogger installati in forma di trojan horse. I sistemi informatici possono essere monitorati da remoto grazie a keylogger e sniffer installati sul sistema informatico del sospettato. Ad esempio convincendo il sospettato ad installare uno spyware in grado di rivelare le sue password.
2. Individuazione di contenuti illeciti- Soluzioni
La Corte Costituzionale tedesca il 27 febbraio 2008 ha dichiarato incost i tuzionale tale emendamento sostenendo che violava il “diritto alla riservatezza ed alla integrità dei sistemi informatici”.
2. Individuazione di contenuti illeciti- Soluzioni
Tre anni dopo le affermazioni di principio pronunciate dalla Corte Costituzionale tedesca, Il Ministro della Giustizia tedesco chiese un’investigazione contro pubbliche autorità che in almeno 4 stati della Germania si era scoperto spiassero i privati cittadini utilizzando spyware informatici (Bavaria, Baden-Wurttemberg, Brandenburg and Lower Saxony)
2. Individuazione di contenuti illeciti- Soluzioni
3. La validazione della prova digitale
Affinché una prova digitale possa entrare legittimamente in un processo, gli agenti di P.G. devono rispettare due regole fondamentali della digital forensics menzionate sopra Ma cosa succede se il dato digitale è nel sistema Cloud?
Bitstream Copy
Hash function
La nuova sfida del Cloud computing è la perdita di localizzazione dei dati dovuta a: -‐ “Data at rest” non sono presenti nel dispositivo usato. -‐ “Data in transit” non possono essere facilmente analizzati a causa della codificazione. -‐ “Data in execution” saranno presenti solo nel cloud
Il soggetto che volesse effettuare l’immagine bit-stream di alcuni dati presenti all’interno del cloud di un dato sospetto sarebbe nella stessa posizione di chi deve completare un puzzle i cui pezzi sono sparsi a caso in giro per il mondo
3. La validazione della prova digitale
3. La validazione della prova digitale
Come è possibile validare la prova digitale online e immediatamente dare come certa la presenza di un particolare dato in uno specifico website?
4. Chain of Custody della prova digitale
• Quando la prova digitale può essere usata in un processo, deve essere trattata con cautela per evitare accuse di manipolazione o falso che possono compromettere il processo.
• Il Digital storage media dura meno di quello dell’analogue media e gli strumenti per leggere il primo, durano ancora meno.
• Domesday Book (1086): è stato leggibile per oltre 900 anni.
• Domesday Book 2 (1983): LaserDisc: illeggibile trascorsi 15 anni..
5. Analisi della prova digitale
• Text searches: consiste nel condurre ricerche di tipo testuale all’interno dei file o delle directory e si estende a tutte le strutture del file system
• Image searches: consiste nella ricerca delle immagini digitali su file di vario formato
• Data recovery and identificationprocedimento per recuperare dati presenti, cancellati o danneggiati da memorie di massa
• Data discovery: procedimento per scoprire dati nascosti da una memoria o da un file cifrati o protetti in altro modo
• Data carving: tentativo di ricostruire un file danneggiato attraverso il recupero di porzioni di file.
• Metadata recovery and identification: Il recupero e l’identificazione di tali dati (es. date e orari, attributi di file) sono di particolare importanza per determinare la timeline di accesso e di modifiche di un file
6. Presentazione dei risultati
Questo processo è di fondamentale importanza per PM, giudici e avvocati, dato che l’esito del processo non dipenderà solamente dai risultati ottenuti, ma anche dal grado di chiarezza e comprensione di tali risultati.
