1Soluzioni e sicurezza per applicazioni mobile e payments

Informatica Forensedal punto di vista di

Manager e figureapicali

Pietro Brunati

Venezia, 27 settembre 2013

2

Soluzioni e sicurezza perapplicazioni mobile e payments

Consorzio Triveneto, azienda leader nei sistemi di pagamento a livello italiano da sempre all’avanguardia nello studio e nella speri-mentazione di nuove tecnologie nell’ambito dei pagamenti, è una realtà del Gruppo Bassilichi che opera prevalentemente nei campi della Monetica – con la gestione dei servizi POS e di Commercio Elettronico – e del Corporate Banking a supporto delle imprese.

SPONSOR DELL’EVENTO

Sponsor e sostenitori di ISACA VENICE Chapter

Con il patrocinio di

3

Pietro Brunati

Informatico dalla fine degli anni ’70, Pietro Brunati da 15 anni si dedica a indagini digitali, informatica forense, hacking etico.

Opera come consulente su progetti innovativi di Threat Assessment e sicurezza IT in generale.

Dedica a questi temi molto tempo per ricerca e sperimentazione.

4

Informatica Forensedal punto di vista di

Manager e figure apicali

Spesso si considera l'Informatica Forenseun argomento da film, o limitato a casi eclatanti.

Dimostreremo quanto sia utile anche nella normale gestione e tutela aziendale.

5

Sommario

● Cos'è l'Informatica Forense● Vantaggi dell'Informatica Forense (Digital

Forensics) per le aziende● Da cosa protegge (Threat Modeling)● Contributi a Business Continuity, Policy

Compliance, Risk Mitigation● Digital Forensics in pratica● Come organizzare un team interno flessibile ed

efficace.

6

Cos'è Informatica Forense

Identificazione, acquisizione, investigazione, documentazione utilizzabile anche in processi giuridici, di prove provenienti da sistemi digitali.

Chiavi di ricerca:● Digital Forensics● Computer Forensics: sistemi con CPU e memoria● Network Forensics: comunicazioni volatili● Anti-forensics: utile a privacy e Plausible Deniability

7

Cos'è una Prova Digitale( Digital Evidence )

● Un'informazione probatoria originata in forma digitale, ...

● … di cui autenticità e integrità sono verificabili in qualsiasi momento, ...

● … che quindi è utilizzabile in un processo giuridico.

8

Documenti digitali vs. cartacei (IMHO)

● Fisicità

● Percezione

● Conservazione

● Anonimato

● Inalterabilità

9

Vantaggi

L’Informatica Forense è fondamentale sui fronti organizzativo e giuridico per :✔ Organizzare una risposta sostenibile agli

incidenti informatici e alle frodi interne✔ Condurre indagini preliminari senza

inquinamento delle prove✔ Valutare se e cosa approfondire✔ Produrre prove non opponibili in sede giudiziale✔ Provare l'esistenza anche dei dati volatili

10

Vantaggi

Sul fronte organizzativo il Digital Forensics aiuta a sviluppare policy di audit

per assistere l'organizzazione nell'identificare e rispondere alle violazioni prima che sfocino in

costi legali e di immagine.

11

Da cosa protegge?( Threat Modeling )

I sistemi informatici sono elementi sempre più critici e comportano investimenti che vanno protetti.

Nel passaggio da cartaceo a digitale, le informazioni perdono i limiti della fisicità e possono essere esportate sempre più facilmente.

Minacce dirette come aziende concorrenti, singoli malintenzionati o organizzazioni criminali, (ex-)dipendenti, investigatori e semplici curiosi, tutti possono arrecare danno all'azienda utilizzando i suoi stessi dati.

Minacce indirette come malware, cancellazioni accidentali, problemi hardware, possono danneggiare l'azienda.

12

Business Continuity

● Nell’Incident Handling, la priorità è ripristinare la normalità il più rapidamente possibile ignorando generalmente l’Informatica Forense;

● Ignorando le procedure «forensics», gli addetti possono inquinare o distruggere le prove dell’incidente o perdere informazioni critiche;

● Tale eventualità fa perdere definitivamente all’organizzazione l’opportunità di rivalsa e recupero dei danni sofferti, nonché quella di approfondire l'accaduto a posteriori.

13

Policy compliance

● Impostare e/o perfezionare le Policy aziendali tenendo conto degli aspetti tecno-legali;

● Evitare di compromettere eventuali prove digitali di violazioni colpose, rilevate da verifiche dell’efficacia delle policy;

● Identificare il vero responsabile delle violazioni evidenziando l’accaduto in modo profondo e inconfutabile.

14

Risk mitigation

● Monitorare il rispetto delle policy sull’uso delle risorse aziendali ...

● … identificando e documentando rapidamente le violazioni in modo non opponibile, …

● ... permettendo così di agire in anticipo invece che a valle degli incidenti.

15

Digital Forensics: di cosa?

● Computer Forensics: computer di ogni tipo: client, server, tablet, embedded, apparati di rete, …Tecniche diverse a seconda di computer accesi o spenti.

● Mobile Forensics: smartphone, tablet 3G, feature-phone, ...

● Network Forensics: traffico di rete (volatile).● Apparati: navigatori satellitari, GPS, apparati vari.● IT Security/Operations: Data Base, honeypots,

malware, ...

16

Digital Forensics in pratica: come?

1) Pre-forensics (*): forensics a scopo investigativo, opzionale e propedeutico, utile per decidere e organizzare le fasi successive senza lasciare tracce né alterare prove.

2) Identificazione e documentazione della catena di custodia e della “catena di evidenza” (*).

3) Aquisizione “certificata”, ripetibile o non ripetibile.

4) Analisi: documentazione (1° liv.), ricerca (2° liv.), investigazione (3° liv.).

5) Reporting: preliminare informale, poi eventualmente non opponibile in sede giudiziale.

17

“Catena di evidenza”

2x + 3y = 12

3x – y = 7

. . .

x = 3

y = 2

{

{

18

Tutela aziendale - un esempio reale:Funzionario infedele in Filiale

● Pre-forensics, per valutazione preliminare del caso:– verifica presenza di prove di illecito, valutazioni;

– contestazione ufficiale (*);

– confessione o acquisizione prove;

– transazione o procedimento.

● Digital Forensics, per acquisizione prove digitali:– Identificazione.

– Aquisizione.

– Analisi (dimostrazioni, ricerche, investigazioni).

– Reporting.

19

Come organizzare un team internoflessibile ed efficace.

● Team interno è solo di riferimento, senza risorse dedicate (eventualmente inquadrato nel CSIRT, se presente).

● Il team è tipicamente coordinato da Internal Audit o IT Security, e può coinvolgere referenti o specialisti di altre funzioni aziendali.

● Affiancato da esperti esterni di fiducia per formazione/aggiornamento e, al bisogno, per aspetti operativi.

● Interviene in operazioni “di emergenza”: con tecnici formati sulle procedure di base e sull'uso degli appositi strumenti hardware/software.

● Delega all'esterno: se e quando necessario, per compiti onerosi o specialistici.

● Usufruisce di formazione ed aggiornamento periodico opportunamente pianificati.

20

Conclusioni

● In caso di incidente, Digital Forensics aiuta a identificare ed acquisire le prove digitali senza alterarle o comprometterle.

● Nella normale gestione, Digital Forensics contribuisce a rendere più solido il processo di salvaguardia degli asset aziendali.

21

Pietro.Brunati@br1tech.eu