Ordine degli Ingegneri delle Provincia di Salerno · • La Digital Forensics è la scienza forense...

Ing. Luca Del Pizzo – Computer and Image Forensics - [email protected]

Ordine degli Ingegneri delle Provincia di Salerno


• Digital Forensics

• ISO IEC 27037/2012

• Consulente Tecnico

• Internet, Disk and Portable Device Forensics

• Image/Video Forensics

• Privacy

• Rapporto sugli attacchi informatici

• Alibi Informatico

• La Digital Forensics è la scienza forense che si occupadell’identificazione, della preservazione e dello studiodelle informazioni contenute in sistemi di memoriedigitali o informatici in generale, al fine di evidenziarel’esistenza di prove utili allo svolgimento dell’attivitàinvestigativa..

• Non basta saper analizzare e conservare una prova,bisogna anche saperla spiegare ai giudici


• Questa disciplina entra quindi in gioco quando c’èbisogno di raccogliere prove di un’azione criminosaall’interno dei computer o dispositivi elettronici deisospettati. Sempre più spesso, infatti, in giudiziovengono analizzati i device degli indagati o delle vittimealla ricerca di indizi ed elementi di prova.


• I principali campi di intervento sono:• Acquisizione di dati da dispositivi digitali mediante l’uso di

tecniche e metodologie forensi, hashing e catena di custodia

• Estrazione di informazioni cancellate o nascoste in qualsiasicomputer o dispositivo digitale

• Analisi forense di sistemi mobile come cellulari, smartphone,navigatori satellitari e gps

• Indagini post incidente su server per ricostruire l'origine e latipologia di attacco

• Analisi di sistemi server e client

• Consulenza durante le fasi di sequestro, ispezione e incidente probatorio


• L’utilizzo di evidenze informatiche è consentito sia nei processicivili che nei processi penali. Le prove informatiche, al pari dellealtre tipologie di prove, servono per permettere al giudice diricostruire o dimostrare i fatti dichiarati dalle parti in causa. Vaprecisato che le prove informatiche sono sempre liberamentevalutabili da parte del giudice.

• Al fine di poter essere utilizzata in giudizio, la prova informaticadeve avere determinati requisiti, tra cui quello dell’integrità e nonripudiabilità. Per questo motivo le metodologie di acquisizione,conservazione ed analisi delle prove devono essere molto rigorose eimprontate su criteri di scientificità.

• Diventa quindi fondamentale rivolgersi a dei “computer forensicexpert” professionisti, in grado di operare con metodologiecollaudate e riconosciute a livello internazionale.


• Il tema è molto vasto


• Una prova digitale viene ricercata in :

• Immagini, Video, file Audio, File di sistema, Navigazione Internet, Posta elettronica, Programmi di P2P, File di log, Registro di sistema, etc.

• SPAZIO NON ALLOCATO DEL DISCO


• Casi emblematici relativi all’acquisizione di prove digitali

• Caso Garlasco

La prova informatica era importante poichè poteva stabilire se Stasi stava o meno lavorando alla sua tesi di laurea durante l'ora presunta del delitto.

Il delitto avviene il 13 agosto 2007 • Il 14 agosto i Carabinieri sequestrano il computer a Stati • Il 29 agosto lo consegano al Ris […] I periti scrivono una condanna senza appello alle «incaute esplorazioni» fatte tra il 14 e il 29 agosto 2007 quando finalmente il pc fu ai colleghi del Ris […]


• […] Cestino svuotato, aperture continue di file, inserimento di chiavette usb, di mouse, visualizzazione di immagini e filmati: ecco perché le tracce lasciate da Alberto non erano più visibili […]

• […] Il computer potrebbe essere stato “alterato”.

• il giorno dopo il delitto. Da quel giorno e fino al 29 agosto sono 42 gli accessi fatti dai carabinieri prima della consegna ai colleghi del Ris di Parma. In quel periodo è stato acceso e spento più volte e questo potrebbe aver “alterato”, sia a favore della difesa che a favore dell’accusa, quanto contenuto [...]


• […], l’attività investigativa dei carabinieri di Vigevano sul computer di Alberto Stasi ha prodotto “effetti devastanti in rapporto all'integrità complessiva dei supporti informatici”. “Il collegio peritale – osserva il giudice –evidenziava che le condotte corrette di accesso da parte dei carabinieri hanno determinato la sottrazione di contenuto informativo con riferimento al pc di Alberto Stasi pari al 73,8% dei files visibili (oltre 156mila) con riscontrati accessi su oltre 39mila files”. […] Rispetto dunque ad altre questioni probatoriamente rilevanti, non è più possibile esprimere delle valutazioni certe nè in un senso nè nell'altro […] Ing. Luca Del Pizzo – Computer and Image Forensics - [email protected]


COMPUTER

FORENSICS

MODULO

GIURIDICO

MODULO

TECNICO

• Disk Forensics

• Network Forensics

• Email Forensics

• Video and Image Forensics

• Internet Forensics (Web, Social Network,…)

• Cloud Forensics

• Portable Device Forensics (es. smartphone)


• Tipi di analisi

• Live analysis (es. flagranza di reato con dati presenti solonella RAM)

• Post mortem analysis (analisi effettuata a macchinaspenta, dopo che i presunti fatti sono successi)


• La digital forensics è costituita da:

• Forensics tools: strumenti software e hardware (adesempio un programma per clonare un disco fisso e unwrite blocker per garantire che i dati nel disco di originerimangano inalterati)

• Best practices: prassi per lo svolgimento delle operazionitecnico-investigative, ovvero procedure che vengonoeseguite dai tecnici e che vengono documentate passo-passo a garanzia di poterle osservare successivamente


Prova digitale (digital evidence)

• Scientific Working Group on Digital Evidence: «qualsiasiinformazione, con valore probatorio, che sia o menomemorizzata o trasmessa in un formato digitale»

• International Organization on Computer Evidence:«informazione generata, memorizzata e trasmessaattraverso un supporto informatico che può avere valorein tribunale»


• Le azioni di sequestro non devono alterare le proveesistenti nel supporto/elaboratore informatico

• Tutte le attività svolte devono essere documentate, anchei passaggi della prova da un soggetto a un altro (chain ofcustody = catena di custodia)


• Rischio di malfunzionamenti tecnici, danneggiamenti ocontraffazioni (alterazione dei reperti)

• Facile creazione ad arte di elementi probatori

• Difficile riconducibilità dei reperti ai veri autori




• ISO IEC 27037/2012




• Privacy



• Uno standard internazionale contenente linee guidaper identificazione, raccolta, acquisizione econservazione di reperti digitali.


• Trattamento del reperto informatico

• Definizione linee guida nelle fasi di:

• Identificazione

• Raccolta

• Acquisizione

• Conservazione

• Integrità della prova informatica e metodologia al fine direndere ammissibile la prova in giudizio.


• Identificazione*

• Raccolta*

• Acquisizione*

• Conservazione*

• Analisi

• Valutazione

• Presentazione

*ISO/IEC 27037:2012


• Identificazione

• Processo di ricerca, ricognizione e documentazione di potenziali prove digitali

• Ricerca dei device che possono contenere dati rilevanti

• Priorità ai dati volatili

• Considerare dispositivi di difficile identificazione

• geografica (es. cloud computing)

• dimensioni (es. microSD)


• Raccolta

• Processo di raccolta di dispositivi fisici che contengonopotenziali prove in formato digitale

• Device vengono rimossi dalla posizione originaria etrasportati in laboratorio per acquisizione e analisi

• talvolta rimuovere un supporto può essere pericoloso

• I dispositivi può trovarsi in due stati: acceso o spento(approcci diversi, tool diversi)


• Acquisizione del reperto informatico• Creazione di una copia forense e documentazione di metodo,

strumenti, attività per garantire ripetibilità, riproducibilità e integritàdei dati

• Acquisire dati e applicare hash

• Documentare accuratamente (ad es. riprendere la fase di acquisizione)per evitare il ripudio dell’integrità e dell’autenticità

• Non staccare la spina! (informazioni in RAM)

• Apportare meno alterazioni possibili

• operare al fine di non modificare alcun bit

• documentare eventuali alterazioni e giustificare


• Conservazione

• processo di mantenimento e salvaguardia dell’integrità edelle condizioni originarie della potenziale provainformatica

• proteggere anche la riservatezza dei dati

• Deposito per la conservazione delle prove

• ambiente sicuro in cui prove raccolte o acquisite sonoconservate

• i supporti non devono essere esposti a campi magnetici,polvere, vibrazioni o altri elementi ambientali


• Catena di custodia• Storia del supporto a partire dalla fase di raccolta

• Identifica i soggetti che hanno in custodia i reperti digitali

• Prova l’integrità della gestione dei reperti raccolti

• Deve contenere:

• data e ora del sequestro

• luogo e persone da cui si è prelevato

• modello e num. di serie

• nome delle persone che hanno raccolto il reperto

• nome e firma delle persone che ricevono il reperto

• valore di hash


• Analisi del reperto informatico

• eseguita su una copia federe all’originale

• operazione riproducibile

• recupero di file nascosti o cancellati

• accesso a file cifrati: attacchi a forza bruta per metodi dicifratura «deboli»

• generare una «timeline» in cui inserire in ordine cronologicole operazioni effettuate dal l’utente


• Valutazione del reperto informatico

• verificare se le operazioni di acquisizione del reperto sono state legittime (reperto alterato, inquinato, contraffatto)

• attendibilità, integrità e autenticità del reperto




• ISO IEC 27037/2012




• Privacy



• Soggetto, persona fisica, con elevata esperienza eprofessionalità che assume l’incarico di espletare un’attivitàtecnica al fine di redigere una perizia.

• Se il giudice affida l’incarico ad un perito, questi prende il nomedi Consulente Tecnico d’Ufficio (CTU)

• Se la parte o il difensore affidano l’incarico ad un perito, questiprende il nome di Consulente Tecnico di Parte (CTP)

• La consulenza può essere richiesta per il compimento di singoliatti o per l’intero processo


• La richiesta di iscrizione all’albo professionale deve esserepresentata al Tribunale presso la cui circoscrizione l’istanterisiede (non è consentito iscriversi presso altri Tribunali)

• Il CTP può essere nominato solo se è stato nominato il CTU

• I consulenti tecnici di ufficio e di parte hanno l’obbligo di rispettarei principi di correttezza e buona fede e di comportarsi in giudiziocon lealtà.


CTU CTP

Di norma, scelto fra i professionisti iscritti negli albi conservati presso i Tribunali

Scelto fra i professionisti diun determinato settore della scienza e della

tecnica

Presta giuramento e assume la qualifica di pubblico ufficiale

Rapporto privatistico



• ISO IEC 27037/2012




• Privacy



• Nel caso di reati informati come la diffamazione a mezzointernet, lo stalking (Cyber-Stalking), l’adescamentotelematico (grooming), il consulente informatico forenseviene chiamato a certificare e “cristallizzare” quantoaccaduto

• es. acquisizione chat di facebook


• […] Va esclusa la qualità di documento in una copia susupporto cartaceo che non risulti essere stata raccoltacon garanzie di rispondenza all’originale e di riferibilità aun ben individuato momento […]


• Acquisire una risorsa web, alcune tecniche possibili:

• Pubblico ufficiale (es. notaio)

• Utilizzare tools generici (curl, wget, WinHTTrack) e“registrare” l’acquisizione

• Operare online (HashBot)

• Utilizzare un browser apposito (FAW)


• Copia bit-a-bit con applicazione di hash

• Dispositivi di write blocking per prevenire scritture del supporto originale

• Strumenti hardware e software


• Mobile Forensics: smartphone, tablet, memory card, SIM card


• Smartphone

• evitare di spegnere il dispositivo se acceso

• se acceso, isolarlo da chiamate con delle buste/gabbie di Faraday commerciali

• copia forense con calcolo hash

• copia SIM card, memoria telefono e microSD


• Analisi spazio non allocato sul disco: Slack Area

• rappresenta la parte del disco non utilizzata completamente dai file allocati

• Inoltre: analisi dei metadati di varia natura (documenti di testo, file html, …), analisi dei browser, cache, cookies, risorse esterne, …




• ISO IEC 27037/2012




• Privacy



• Formazione delle immagini digitali• procedimento che porta alla memorizzazione di una scena reale in un file

immagine

• nella fase di acquisizione la luce proveniente dalla scena attraversa ilsistema di lenti che la indirizza verso il sensore della fotocamera.

• per acquisire immagini a colori è necessario scomporre la luce visibilenelle tre componenti fondamentali (RGB): sopra il sensore viene applicatauna sottile pellicola fotosensibile, detta CFA (Color Filter Array).

• l'impiego dei CFA permette di utilizzare un solo sensore per l'acquisizionea colori, ma richiede la ricostruzione delle due componenti mancantimediante un algoritmo di interpolazione.


• Formazione delle immagini digitali• Il sensore è composto da un alto numero di elementi fotosensibili che

catturano l’energia della luce convertendola in corrente elettrica e cheriescono in tal modo a determinare il valore di luminosità di ciascun pixel


• Istogramma dell’immagine


• Compressione Video

• Codec Video(Co-Dec = Coder/Decoder)

• Tecniche Lossless / Lossy

• La compressione avviene sfruttando:

• ridondanza spaziale e temporale

• sfruttando le caratteristiche del sistema visivo umano


• Diversi disturbi vengono introdotti durante l’acquisizione di filmati (ad es. da un sistema di videosorveglianza)

• sfocatura, rumore da compressione, motion blur

• l’elaborazione del flusso video deve essere rivolta al miglioramento della qualità senza eliminare alcuna informazione

• Per ogni problema possono essere applicate diverse tecniche con differenti parametri (costo computazionale, memoria, precisione)


• Richiesta dalle Forze dell’Ordine, dagli Entistatali, Investigatori Privati e Studi Legali, per reperireelementi fondamentali alle indagini ed ottenere provecerte e valide.

• Ulteriore strumento di indagine a disposizione degliinvestigatori per poter estrarre ed inferire, utiliinformazioni dalle immagini (e dai video) digitalianche nel caso di dispositivi mobili.


• Valgono gli stessi principi visti in precedenza per latrattazione dei reperti digitali

• Preservare l'originale

• Acquisizione integra e non ripudiabile

• Utilizzo di copie di lavoro

• Documentazione e ripetibilità

• In generale, ogni elaborazione dell’immagine hal’obiettivo di evidenziare particolari presenti (non cambiai contenuti)


• Non è possibile ottenere informazioni non presenti in un’immagine

• Si possono estrarre informazioni che sono nascoste ma comunque presenti


• Agire sul Contrasto


• Interpolazione


• Correggere l’angolazione e la prospettiva degli oggetti nelle scene


Fonte Amped Software

• Migliorare immagini di impronte digitale



• Migliorare la qualità di luce e contrasto nelle scene buie o sovraesposte



• Filtrare le scene sfocate e sgranate per delimitare contorni ed evidenziare dettagli in esse presenti



• Misura l'altezza di un soggetto



• Migliora filmati in condizioni atmosferiche avverse



• Misura gli oggetti presenti nelle foto della scena del crimine



• Ricostruzione 3D della scena del crimine

• Microsoft Photosynth (link1, link2)


Fonte Photosynth Software


Fonte Università di Berna

• Classificazione di informazioni

• Pastiglie

• Impronte di scarpe

• Proiettili

• Volti


• Estrazione automatica di informazioni

• conteggio macchie di sangue


• Ricerca di aree clonate


• Le tecniche di Image/Video Forensics sono un ulteriorestrumento di indagine per gli investigatori.

• I software esistenti in commercio non possono da solirisolvere in maniera automatica questo lavoro. Unaadeguata competenza sull'elaborazione delle immaginie dei video digitali è richiesta per ottenere una provaattendibile.




• ISO IEC 27037/2012




• Privacy



• Privacy: diritto di controllare l’uso e la circolazione deipropri dati personali che costituiscono un bene primariodella società dell’informazione

• D. Lgs. n. 196 del 30/06/2003, denominato Codice inmateria di protezione dei dati personali


• Le aziende che gestiscono i social network generalmente sifinanziano vendendo pubblicità mirate. Il valore di questeimprese è strettamente legato anche alla loro capacità dianalizzare in dettaglio il profilo, le abitudini e gli interessi deipropri utenti, per poi rivendere le informazioni ad altreimprese.

• Come difendersi: limita al massimo la disponibilità diinformazioni (es. livello di privacy del profilo facebook)


• Nel momento in cui si pubblicano informazioni e fotosulla pagina dedicata al proprio profilo personale, siaccetta il rischio che le stesse possano essere portate aconoscenza anche di terze persone non rientrantinell’ambito delle c.d. “amicizie” accettate dall’utente, ilche le rende, per il solo fatto della loro pubblicazione,conoscibili da terzi ed utilizzabile anche in sedegiudiziaria.




• ISO IEC 27037/2012




• Privacy



RAPPORTO CLUSIT 2016

� …


• https://www.fireeye.com/cyber-map/threat-map.html




• ISO IEC 27037/2012




• Privacy



• Quando l’attività informatica svolta dall’indiziato siastata utile all’accertamento della verità

• L'alibi, è volta a dimostrare che il soggetto indagato/imputato, al momento della commissione del reato sitrovava in luogo diverso rispetto a quello del reato o chelo stesso non avrebbe potuto commettere quanto a luicontestato


• Tecniche che puntano ad eliminare definitivamente (es. sovrascrittura), occultare(crittografia, steganografia) ed alterare il dato digitale (log di sistema, metadati,impostazioni sistema) al fine di creare un falso alibi informatico

• Alcune tecniche:

• Pendrive con sistemi operativi e tool ad hoc per preservare riservatezza e anonimato

(es. Tails -https://tails.boum.org/).

• Connessioni wifi non protette o protette in malo modo da utenti ignari. Viene protetta la reale identità di un soggetto, sfruttando le credenziali di accesso al web di un altro utente.

• Servizi di cloud computing. Vengono utilizzate risorse remote spesso site in Paesi dove vige una legislazione diversa rispetto al Paese in cui risiedono gli autori del reato, sia per memorizzare informazioni, sia per compiere azioni illegali


Ordine degli Ingegneri delle Provincia di Salerno · • La Digital Forensics è la scienza forense...

Documents

Transcript of Ordine degli Ingegneri delle Provincia di Salerno · • La Digital Forensics è la scienza forense...