Giuseppe vaciago, Digital forensics e garanzie dell’indagato 2011 04 05

Introduzione alla Digital Forensics e garanzie dell’indagato

Giuseppe Vaciago

Università degli Studi di Milano 15 marzo 2011 – ore 16.30

5 aprile 2011 – ore 8.30

Cosa è la digital forensics ?

Come Sherlock Holmes nel XIX secolo si serviva costantemente dei suoi apparecchi per l’analisi chimica, oggi nel XXI secolo egli non mancherebbe di effe=uare un’accurata analisi di computer, di telefoni cellulari e di ogni ?po di apparecchiatura digitale (Ralph Losey). Scopo della digital forensics è quello di conservare, iden?ficare, acquisire, documentare o interpretare i da? presen? in un computer. A livello generale si tra=a di individuare le modalità migliori per: -‐ acquisire le prove senza alterare il sistema informa?co in cui si trovano; -‐ garan?re che le prove acquisite su altro supporto siano iden?che a quelle originarie; -‐ analizzare i da? senza alterarli (Cesare Maioli)

Cosa è la digital evidence?

Digital evidence è una qualsiasi informazione, con valore probatorio, che sia o meno memorizzata o trasmessa in un formato digitale. Definizione dello Scien?fic Working Group on Digital Evidence (SWGDE) La rappresentazione del fa=o è la medesima sia essa incorporata in uno scri=o o in un file. Quello che cambia è soltanto il metodo di incorporamento su base materiale (Tonini).

Si possono avere tre diverse ?pologie di prova digitale: Creata dall’uomo: ogni dato digitale che figuri come il risultato di un intervento o di un’azione umana e può essere di due ?pi: a) Human to human (mail) b) Human to PC (documento word)

Le classificazioni della digital evidence

Creata autonomamente dal computer: ogni dato che figuri come il risultato di un processo su dei da? effeNuato da un soOware secondo un preciso algoritmo e senza l’intervento umano (tabula? telefonici, file di log di un Internet Service Provider)


Creata sia dall’essere umano che dal computer: foglio di calcolo eleNronico dove i da? vengono inseri? dall’essere umano, mentre il risultato viene effeNuato dal computer.


Le cara<eris=che della digital evidence

1. Anonima e immateriale: non sempre è possibile risalire al soggeNo che ha generato un dato informa?co

2. Rumorosa: è difficile filtrare la mole incredibile di da? digitali da analizzare


3. Alterabile: è molto facile contaminare una prova digitale


Una prima caraNeris?ca è data dalla complessità della digital evidence. Il caso Amero ne è una dimostrazione.

Le complessità della digital evidence (Caso Julie Amero)

Julie Amero è una supplente della Kelly School di Norwich del Connec?cut che venne condannata per aver mostrato a ragazzi minori di 16 anni immagini pornografiche

Lezione di Julie Amero. Immagini “inadaNe”

appaiono come pop-‐up dal PC dell’insegnante

La Polizia visiona il contenuto dell’hard

disk,ma non ne esegue una copia bit-‐stream

La Corte condanna Julie Amero per il reato di offesa alla morale ad

una minorenne

Julie Amero oNenne un nuovo processo in cui venne condannata alla pena di 100 dollari

26/10/04 05/01/07 10/11/08 19/10/04

Il docente ?tolare si reca in aula e nota che la cache file con?ene file pornografici e

avvisa il preside

20/10/04

La difesa chiede un nuovo processo in quanto la prova non era stata

acquisita correNamente e il computer era infeNo (mousetrapping)

01/06/08

Il caso “Amero”: la scansione temporale

Il Mousetrapping e il Pagejacking sono par?colare tecniche di DNS hijacking, in forza della quale alcuni si? web traNengono i propri visitatori lanciando un’infinita serie di pop-‐up.

Il caso Amero: Mousetrapping and Pagejacking

Il processo è stato revisionato, in quanto: 1)  Julie è stata vicma di un mousetrapping, probabilmente generato

dall’u?lizzo improprio del PC da parte del docente ?tolare 2)  Non è stata rispeNata alcuna procedura di digital forensics da parte degli

inves?gatori (nessuna copia bit stream e l’acvità di analisi effeNuata tra il 20 e il 26 oNobre non è stata documentata)

3)  L’avvocato di Julie Amero non riuscì a far acquisire la consulenza tecnica della difesa effeNuata sul computer

Un’ulteriore, ma fondamentale elemento della digital evidence è l’alterabilità e la capacità di contenere un innumerevole numero di informazioni. Il caso di “Garlasco” ne è un chiaro esempio.

Alberto Stasi è stato assolto in primo grado dall’accusa di omicidio volontario della fidanzata Chiara Poggi

L’alibi informa=co (Caso Garlasco)

Chiara Poggi muore il 13 agosto 2007 tra le ore 10.30 e le ore 12.

Stasi consegna volontariamente il suo

PC ai Carabinieri

Carabinieri dopo aver lavorato sul PC lo consegnano ai RIS

Il Giudice Vitelli di Vigevano assolve Stasi dall’accusa di omicidio

14/08/07 29/08/07 17/12/09 13/08/07

-‐ Stasi si sveglia alle 9 -‐ Telefona a Chiara Poggi -‐ Lavora alla tesi -‐ Va a casa sua verso alle 13.30

13/08/07

Dalla perizia richiesta dal Giudice emerge che Stasi ha lavorato alla tesi durante l’arco temporale in cui è stata uccisa Chiara Poggi

17/03/09

Il caso di “Garlasco”: l’”alibi informa=co”

Inves=gazioni telema=che: cri<ografia

Un classico metodo per nascondere un file è quello di u?lizzare la criNografia:

La criNografia traNa delle "scri<ure nascoste" (significato e?mologico della parola) ovvero dei metodi per rendere un messaggio "offuscato" in modo da non essere comprensibile a persone non autorizzate a leggerlo.

La parola criNografia deriva dalla parola greca kryptós che significa nascosto e dalla parola greca gráphein che significa scrivere.

La criNografia è la controparte della criNanalisi ed assieme formano la criNologia.

Inves=gazioni telema=che: cri<ografia

Decifrare un testo cri<ografato è semplice.

Il problema è: in questo tempo?

Ad esempio una chiave di cifratura a 20-‐bit consente fino a un milione di combinazioni possibili, per cui con un normalissimo computer porta?le che processa circa un milione di operazioni al secondo, il tempo di cifratura massimo sarà addiriNura inferiore al secondo.

TuNavia con un sistema di cifratura con una chiave a 56-‐bit lo stesso elaboratore potrebbe impiegare fino a 2285 anni per verificare tuNe le combinazioni possibili.

Per rendersi conto della complessità di tale operazione bas? considerare che la più diffusa versione del soOware di cifratura PGP (PreNy Good Privacy) al momento aNuale si basa su una chiave di 1024-‐bit .

Inves=gazioni telema=che: file di log

I file di log sono file che, registrando tuNe le operazioni compiute dall’elaboratore eleNronico durante il suo funzionamento, contengono rilevan? informazioni rela?vi al sistema, compresi i servizi e le applicazioni in funzione.

In un normale computer di casa coesistono diversi ?pi di file di log:

-‐ log di sistema: memorizza gli even? significa?vi che intercorrono tra il sistema, come fornitore di servizi e le applicazioni, come clien? dei servizi stessi;

-‐ log di applicazione: molte applicazioni prevedono i propri log su cui sono registra? even? caraNeris?ci dell'applicazione;

-‐ log di base da=: in questo caso è il sistema gestore di base da? che registra le operazioni faNe sulla base da? (inserimento, aggiornamento, cancellazione di record).

Inves=gazioni telema=che: file di log

I file di log hanno generalmente la funzione di risolvere un determinato malfunzionamento del sistema, ma possono anche fornire u?li informazioni nel caso di un’inves?gazione telema?ca.

L’analisi dei file di log sul computer “vicma” o sui server che ges?scono il traffico telema?co transitato su una data rete, possono consen?re l’individuazione del soggeNo che ha commesso l’illecito.

Inves=gazioni telema=che: Keylogger

Un keylogger è, nel campo dell'informa?ca, uno strumento in grado di interceNare tuNo ciò che un utente digita sulla tas?era del proprio computer. Esistono vari ?pi di keylogger:

Hardware: vengono collega? al cavo di comunicazione tra la tas?era ed il computer o all'interno della tas?era

SoOware: programmi che controllano e salvano la sequenza di tas? che viene digitata da un utente.

Inves=gazioni telema=che: data recovery

1. Undelete Plus è un soOware molto u?le per i suppor? removibili (memorie USB)

a.  Installare il soOware reperibile all’indirizzo: hNp://undelete-‐plus.com/download.html

b. Selezionare l’unità di cui si vuole scansionare il contenuto cancellato

c. Provare a recuperare il file aNraverso il comando undelete

2. ANraverso Win Hex, invece, è possibile altresì conoscere almeno il ?tolo dei file cancella?

a.  Installare il soOware Win Hex reperibile all’indirizzo: hNp://www.x-‐ways.net/winhex/

b.  Selezionare dal menù Tools Open Disk e scegliere l’unità desiderata

La prova acquisita aNraverso delle generiche inves?gazioni telema?che potrebbe difficilmente essere necessariamente prodoNa in Tribunale perché non viene dimostrata la: 1)  Genuinità (non alterazione) 2)  Ripe?bilità

Inves=gazioni telema=che vs Digital Forensics: producibilità in giudizio

INVESTIGAZIONI TELEMATICHE

DIGITAL FORENSICS

Algoritmo di Hash

L’impronta di Hash garan?sce durante un’analisi forense di suppor? alterabili l’intangibilità dei da? in essi contenu?.

L’Hash è una funzione univoca operante in un solo senso (ossia, che non può essere inver?ta), aNraverso la quale viene trasformato un documento di lunghezza arbitraria in una stringa di lunghezza fissa, rela?vamente limitata.

Tale stringa rappresenta una sorta di “impronta digitale” del testo in chiaro, e viene deNa valore di Hash o Message Digest.

Se il documento venisse alterato anche in minima parte, cambierebbe di conseguenza anche l’impronta. In altre parole, calcolando e registrando l’impronta, e successivamente ricalcolandola, è possibile mostrare al di là di ogni dubbio che i contenu? del file, oppure del supporto, abbiano subito o meno modifiche, anche solo accidentali.

Algoritmo di Hash

La registrazione e la ripe?zione costante del calcolo degli Hash sui reper? sequestra? cos?tuisce l’unico metodo scien=ficamente valido per garan=re l’integrità e la catena di custodia dei reper=.

La polizia giudiziaria, prima di apporre i sigilli al materiale informa?co, ha il compito di collegare il supporto oggeNo del sequestro ad un computer porta?le su cui dovrà essere eseguito il comando che consente il calcolo dell’impronta di Hash.

Nella pra?ca gli algoritmi di Hash più u?lizza?, sono l’MD2, Md4, MD5 e SHA1; in par?colare il calcolo dell’algoritmo MD5 (Message Digest 5) permeNe di generare una stringa di 128 bit, mentre l’algoritmo SHA1 genera una stringa a 160 bit. L’abbinamento di ques? due algoritmi dovrebbe evitare qualsiasi contestazione, anche se ul?mamente sono sta? riscontra? problemi di vulnerabilità che rendono assai più facile del previsto la scoperta di collisioni al suo interno.

La funzione o “impronta” di Hash

Uno dei tan? soOware che generano l’hash code si trova al seguente indirizzo: hNp://www.slavasoO.com/zip/fsum.zip Dopo aver installato il soOware è sufficiente: •  Andare su start/esegui e digitare a:\cmd.exe •  Digitare fsum –sha512 *.txt > hash.txt In questo modo si genererà il file hash.txt che conterrà il calcolo di ogni singolo Hash oNenuto con l’algoritmo SHA-‐512

Digital Forensics Sohware

Garanzie dell’indagato vs Digital Forensics: NY Times -‐ anno 1915

“Scandalo delle interce<azioni telefoniche” avvenuto a New York nell’aprile del 1915, vede coinvolto il Sindaco della ciNà (John Mitchell) che autorizza l’interceNazione a trentanove is?tu? caritatevoli della ciNà. 17 aprile 1916, Arthur Woods capo della polizia rese uno dei primi “accora? discorsi” per gius?ficare l’importanza per le indagini di u?lizzare strumen? tecnologici di controllo anche se potenzialmente lesivi della privacy.

Il 16 dicembre 2005, il quo?diano New York Times pubblicò un ar?colo dal ?tolo “Bush autorizza lo spionaggio telefonico senza un mandato dei tribunali” scriNo dai giornalis? inves?ga?vi James Risen e Eric Lichtblau, che in seguito vinsero congiuntamente un premio Pulitzer per il loro reportage sulle interceNazioni illegali effeNuate dal Governo. L’ar?colo si riferisce all’ordine presidenziale del 2002 che autorizza la Na?onal Security Agency ad effeNuare interceNazioni indiscriminate, telefoniche o telema?che, per trovare tracce del gruppo terroris?co “Al Qaeda”.


L’anno successivo si scopre che presso la AT&T di San Francisco è presente un sistema di “data mining” di traffico da?, equipaggiato un sistema informa?co denominato Narus STA 6400 Divenuta poi nota con il nome di “Room 641”. Tale acvità di interceNazione era gius?ficata dell’”Execu?ve Order 12333” emanato dal Presidente Reagan nel 1981 allo scopo di regolare tuNe le acvità di intelligence a livello statunitense. Nel 2006 Electronic Fron?er Founda?on (EFF) fa causa alla Na?onal Security Agency (NSA) senza successo in primo grado.


Una Commissione temporanea is?tuita dal Parlamento Europeo rivelò al mondo nel luglio del 2001 l’esistenza di “Echelon”, un programma prodoNo e ges?to da un gruppo di Paesi coordina? dagli Sta? Uni?, con l’obiecvo di interceNare ogni forma di comunicazione eleNronica su base planetaria. Nel 2010 il Governo inglese ha promosso l’“Intercep?on Modernisa?on Programme”. Un programma di interceNazione che prevede anche una specifica acvità di interceNazione di contenu? telema?ci liberamente presen? in Rete. La domanda è quella di Giovenale, che compare nel frontespizio del rapporto su “Echelon” della Commissione temporanea del Parlamento europeo: quis custodiet ipsos custodes?

Garanzie dell’indagato vs Digital Forensics: programma “Echelon”

Garanzie dell’indagato vs Digital Forensics: Legge Nord WesmAlia

q  La Germania ha introdoNo il 20 dicembre 2006 un emendamento alla legge sulla protezione della Cos?tuzione nel Nord Reno-‐Wes�alia che consen?va l’accesso segreto a sistemi informa?ci e il monitoraggio segreto della Rete aNraverso sistemi keylogger installa? in forma di trojan horse

q  La Corte Cos?tuzionale tedesca il 27 febbraio 2008 ha dichiarato incos?tuzionale tale emendamento sostenendo che violava il “diri<o alla riservatezza ed alla integrità dei sistemi informa=ci”

Garanzie dell’indagato vs Digital Forensics: Cass. Pen. 14 o<obre 2009

q  La Corte di Cassazione ha ritenuto legicmo il decreto del Pubblico Ministero, che ai sensi dell’art. 234 c.p.p., ha consen?to l’acquisizione in copia aNraverso l’installazione di un captatore informa?co della documentazione informa?ca memorizzata nel personal computer in uso all’imputato e installato presso un ufficio pubblico ritenendo per di più ripe?bile tale aNo.

Garanzie dell’indagato vs Digital Forensics: Caso Boucher

q  Sebas?en Boucher viene trovato alla fron?era tra Canada e Sta? Uni? con un computer acceso con immagini pedopornografiche

q  Il suo hard disk è criNografato e una volta spento la polizia non è più in grado di riavviarlo

q  La Grand Jury ordina all’indagato di rivelare la password di cifratura (DICHIARAZIONE AUTOINDIZIANTE)

q  Il Giudice Federale del Vermont (Niedermeier) annulla tale ordine in quanto in violazione con il quinto emendamento

Data reten=on vs Date check

Grazie per l’aNenzione

Giuseppe Vaciago Mail: [email protected] Blog: h=p://infogiuridica.blogspot.it Web: www.studiovaciago.it Linkedin: h=p://it.linkedin.com/in/vaciago

Giuseppe vaciago, Digital forensics e garanzie dell’indagato 2011 04 05

Documents

Transcript of Giuseppe vaciago, Digital forensics e garanzie dell’indagato 2011 04 05