Prove digitali, privacy e poteri di controllo in azienda

I controlli e le indagini informatiche in azienda nell'era del Job Act: i requisiti, le modalità e cosa può essere oggetto di una indagine informatica forense in azienda.

Chi sono: Alessandro Fiorenzi Dottore in Scienze dell'Informazione Consulente Informatico Forense Iscritto Albi CTU e Periti Tribunale di Firenze Consulenti Arbitratori CCIAA Firenze Albo Periti ed Esperti CCIAA Firenze Membro del Comitato Scientifico CLUSIT Membro di IISFA Membro Direttivo Osservatorio Nazionale Informatica Forense ONIF Certificato ECCE European Certificate on the fight against

Cybercrime and Electronic Evidence (ECCE) 2009 Lead Auditor ISO 27001/2013 Titolare «Studio Fiorenzi Security & Forensics»

Origine dell’articolo 4 legge 300/70 Parte Datoriale: esigenza di controllo dell’operato delle maestranze

a tutela dell’attività di impresa Dipendente: Esigenza di riservatezza del lavoratore L’iniziativa economica privata (art. 41 Cost. ) « non può svolgersi in

contrasto con l’utilità sociale o in modo da recare danno alla sicurezza, alla libertà, alla dignità umana »

Definizione dei poteri di controllo dell’imprenditore – art . 3 e 4 L. 300/700, ovvero accordo o autorizzazione DTL

Art. 4 Statuto Lavoratori, Pre e Post Job Act L’art 23 del D.lgs. 151/2015 (Job Act) , apporta alcune modifiche in

materia di controllo a distanza dei lavoratori (art. 4 della legge n. 300 del 1970 c.d. Statuto dei lavoratori).

Pre Job Act art. 4 « è vietato l’uso di impianti audiovisivi e di altre apparecchiatura per finalità di controllo a distanza dell’attività dei lavoratori »…… « gli impianti e le apparecchiature di controllo che siano richiesti da esigenze organizzative e produttive ovvero dalla sicurezza del lavoro, ma dai quali derivi anche la possibilità di controllo a distanza dell’attività dei lavoratori, possono essere installati soltanto (…)»

Post Job Act art. 4 : «Gli impianti audiovisivi e gli altri strumenti dai quali derivi anche la possibilità di controllo a distanza

dell’attività dei lavoratori possono essere impiegati esclusivamente per esigenze organizzative e produttive, per la sicurezza del lavoro e per la tutela del patrimonio aziendale e possono essere installati previo (..)»

«La disposizione di cui al comma 1 non si applica agli strumenti utilizzati dal lavoratore per rendere la prestazione lavorativa e agli strumenti di registrazione degli accessi e delle presenze.»

«Le informazioni raccolte ai sensi dei commi 1 e 2 sono utilizzabili a tutti i fini connessi al rapporto di lavoro a condizione che sia data al lavoratore adeguata informazione delle modalità d’uso degli strumenti e di effettuazione dei controlli e nel rispetto di quanto disposto dal Dlgs. n. 196/03»

Cosa è cambiato con il job act?1. Si passa da un principio di divieto ad un principio positivo

dell’impiego, concordato, dei mezzi di controllo a distanza

2. Non sono necessari accordi sindacali per quanto riguarda l’assegnazione ai lavoratori degli «strumenti utilizzati per rendere la prestazione lavorativa » e in merito a « gli strumenti di registrazione degli accessi e delle presenze » se pur dagli stessi derivi anche la possibilità di controllo a distanza

3. Tutti i dati raccolti possono essere usati ai fini connessi al rapporto di lavoro a condizione che sia data al lavoratore adeguata informazione delle modalità d’uso degli strumenti e di effettuazione dei controlli nel pieno rispetto della normativa sulla privacy

Strumenti audiovisivi e strumenti di controllo L’impiego di impianti audiovisivi o di altri strumenti da cui derivi

anche la possibilità di controllo a distanza del lavoratore possono essere impiegati esclusivamente per : Esigenze organizzative e produttive Per la sicurezza del lavoro Per la tutela del patrimonio aziendale

PREVIO

Accordo Sindacale , in difetto del quale è necessaria Autorizzazione DTL

Autorizzazione del Ministero del Lavoro per imprese dislocate in territori di competenza di diverse DTL

Strumenti lavorativi, controllo accessi/presenzeIl comma 2 stabilisce che l’accordo sindacale l’autorizzazione della DTL non sono necessari per

• Gli strumenti che sono utilizzati dal lavoratore per rendere la prestazione lavorativa

• Per gli strumenti di registrazione delle presenze e degli accessi in azienda.

Tuttavia occorre che il datore di lavoro fornisca una adeguata informazione ai lavoratori circa l’uso degli strumenti e la effettuazione dei controlli nel rispetto delle previsioni contenute nel D.L.vo n. 196/2003.

Strumenti lavorativi Gli strumenti informatici/tecnologici, pc (software applicativi, mail,

internet, etc..) , tablet, cellulari, (Min. Lav. 18,06,2015) in dotazione al dipendente per RENDERE la prestazione lavorativa, « gli attrezzi da lavoro » non sono soggetti ad alcun accordo

Nel momento in cui tale strumento viene modificato con l’aggiunta di appositi software di localizzazione e filtraggio, per controllare il lavoratore, si fuoriesce dal disposto. Min. Lav. 18/06/2015

Ma i dati che posso ottenere da queste tipologie di strumenti Auto aziendale :Telepass, GPS del navigatore, sistemi infotainment Fringe Benefitscome li devo gestire e come li posso usare?

Utilizzabilità dei dati raccolti Le informazioni raccolte ai sensi de 1 del 2 comma sono utilizzabili

a tuti i fini connessi al rapporto di lavoro a condizione che sia data al lavoratore adeguata informazione delle modalità d’uso degli strumenti e di effettuazione dei controlli nel rispetto di quanto disposto dl decreto legislativo 30 giugno 2003 n. 196

OVVERO INFORMATIVA e Raccolta consenso ai sensi del TU Privacy Policy Aziendali Regolamento utilizzo dispositivi e strumenti

Utilizzabilità dei dati raccolti Il nuovo articolo, non liberalizza i controlli a distanza e chiarisce le

modalità di utilizzo degli strumenti tecnologici, nonché i limiti di utilizzabilità dei dati raccolti tramite questi strumenti

I dati e le informazioni raccolti potranno essere utilizzati, in modo legittimo, a sostegno di un licenziamento o di altre sanzione disciplinari di natura conservativa.

Tale potere disciplinare potrà però essere utilizzato solo ed esclusivamente se vengono rispettate tutte le norme previste in materia di protezione dei dati personali; al lavoratore viene data un’adeguata informazione sulle modalità d’uso degli strumenti

e sulle modalità di effettuazione dei possibili controlli.. L’utilizzo dei dati nel rispetto del nuovo art. 4 richiede quindi

l’aggiornamento del corpo normativo aziendale, dei disciplinari, e intervenire sul modello organizzativo 231/2001 per quanto attiene alle sanzioni disciplinari.

Controlli e indagini informatiche in aziendaAccertata la possibilità di fare controlli sugli strumenti aziendali senza accordo e di farli sui sistemi di controllo a distanza previo

accordo con le RSU/RSA/DTL/ministerocome può metterli in partica l’azienda?

- Ufficio Controlli Interni:- Attraverso un Audit periodico Privacy, Policy aziendali, regolamento 231

- Definendo un piano di controlli: cosa e quando - Un perimetro d’azione

- HR aziendale- Piano di verifica a campione del rispetto della normativa aziendale e delle regole di

uso degli strumenti di lavoro- Ove abbia notizia di illeciti condotti a danno dell’azienda da parte di uno o più

dipendenti

- Ufficio Legale / AML- Ove ravvisi comportamenti illegali o illeciti a danno del patrimonio aziendale mediante

gli istituti dell’ATP o dei Indagini Difensive preventive

Controlli e indagini informatiche in azienda • I controlli, devono essere svolti secondo principi di gradualità e

proporzionalità (1)

• IE’ in generale preferibile che gli accertamenti tecnici siano effettuati da soggetti terzi, consulenti esterni all’azienda, non coinvolti umanamente nelle dinamiche aziendali; quindi indipendenti

• E’ fondamentale che le evidenze dei controlli siano costituite da elementi oggettivi, e verificati e verificabili.

• La produzione delle prove deve seguire i principi e i processi delle indagini informatiche forensi per dare garanzia di rispondenza all’originale e di riferibilità a un ben individuato momento(2) . Ove vengano meno queste garanzie le prove non sono utilizzabili in giudizio.

(1) Garante Privacy Internet: proporzionalità nei controlli effettuati dal datore di lavoro - 2 febbraio 2006(2) Cassazione Sezione Lavoro n. 2912 del 18 febbraio 2004, Pres. Mattone, Rel. Spanò

La prova Digitale Tutto ciò che è idoneo a fornire risultati rilevanti per la decisione del giudice: cose (pistola) e persone (teste)

L’emento di prova una volta valutato dal giudice

RisultatoProbatorio=Valutazione-Giudice(elemento di prova)

L’informazione che si ricava dal mezzo di prova come dato grezzo

Emento di prova = Mezzzo_di_prova(fonte di prova)

Strumento attraverso cui si acquisisce al processo un elemento che serve per la

decisione del giudice, come unta testimonianza o una perizia

Fonte di prova

Mezzo di Prova

Elemento di Prova

Risultato probatorio

Le proveLe prove di un illecito o di un reato possono trovarsi un gran numero di strumenti utilizzati quotidianamente in azienda. Computer (desktop, portatili, server, appliance) Stampanti (tutte hanno un sistema operativo, tipicamente una busybox linux, che le fa funzionare) Memorie di massa (cd, dvd, pendrive, nastri, etc…) Smartphone, blackberry, tablet, Cloud: Dropbox, Onedrive, Gdrive, iCloud, OwnCloud, BitCasa, etc.. Instant Messaging e VOIP: whatsapp, telegram, skype, viber, confide…. History e file temporanei della navigazione In definitiva tutto ciò che implementa un software, quindi anche:

Un navigatore satellitare Un sistema di videosorveglianza Il sistema di allarme Il controllo accessi e il sistema registrazione presenze Il computer di bordo di un’auto

La prova informatica è una prova atipica e quindi deve essere trattata con metodi scientifici di garanzia nelle fasi di acquisizione, custodia, analisi ed estrazione delle evidenze.

Prova Digitale vs Prova analogica• La prova tradizionale

– tipicamente presenta le caratteristiche di tangibilità, misurabilità ed è definita

• La prova informatica /digitale – INTANGIBILE: è costituita da file, trasmissioni, più in generale dati distribuiti

sulla rete aziendale o addirittura in Internet – VOLATILE: le tracce informatiche in ragione del dispositivo in cui sono

memorizzate possono essere più o meno persistenti nel tempo e in ragione dell’uso che ne viene fatto. In ordine di volatilità decrescente: registri di memoria, ram, stato della rete, processi (programmi) attivi, file temporanei, dischi, log, floppy, nastri, cd, dvd, stampe.

– ALTERABILE: la prova informatica/digitale può essere facilmente alterata=compromessa o addirittura distrutta senza che ne rimanga traccia. Ma è ancora più grave come con certi dispositivi, in particolare smartphone tablet, si possa arrivare a resettare il dispositivo o cancellare contenuti semplicemente attraverso un collegamento dati.

Fasi di una indagine informatica

Idenfiticazione• Isolamento della scena criminis

• Identificazione di cosa può costituire prova o contenerla

Acquisizione •Copia forense di dischi, chiavette USB, Smartphone, contenuti Cloud etc..

•Attivazioe catena di custodia

Analisi•Accertamenti tecnici alla ricerca di evidenze

•Al termine dell’analisi verifica consistenza e congruenza dei dati rilevati con TimeLine per la correlazione degli eventi

Presentazione•Formulazione report attività, perizia, riportati in forma comprensibile anche ai non tecnici, documentando ogni passo seguito per il rinvenimento delle evidenze per rendere l’accertamento verificabile e non contestabile

Casi tipici indagine su dispositivi informatici• Mancato rispetto policy aziendali

– Uso degli strumenti aziendali per fini personali (smartphone, notebook etc.. Sono spesso percepiti come benefit e non come strumenti aziendali)

– Conservazione di dati privati, di natura anche sensibile, sui dispositivi aziendali (foto, esami clinici, email private, etc.)

– Uso privato della posta elettronica aziendale– Condivisione documenti tecnici e contabili riservati con terzi esterni/concorrenti all’azienda– Condivisione documenti aziendali su forum, newsgroup o altri canali– Uso di credenziali aziendali per partecipare a social network, forum o altre attività non attinenti alle

mansioni– Uso di credenziali private, account Google/iCloud,Microsoft, Dropbox, email, numero di telefono, per lo

svolgimento dell’attività lavorativa– Utilizzo di tecniche di evasione per aggirare gli strumenti di controllo della navigazione (online proxy,

deepweb etc..)– Utilizzo di chiavette USB, e modalità storage smartphone (spesso veicolo di infezioni virus gravi come i

cryptoloker)– Installazione e utilizzo di software personale o non acquistato dall’azienda– Denigrazione dell’azienda in Internet, social network, forum, gruppi di discussione

Le indagini informatiche in azienda• Concorrenza Sleale Ex Socio/Dipendente Infedele

– Furto di dati aziendali mediante copia massiva dati aziendali su chiavette, dischi usb, cloud o via mail– Furto di dati aziendali mediante Stampa massiva di documenti aziendali– Violazione dell’obbligo di diligenza – Appropriazione know-how aziendale per attività concorrente– Imitazione servile di prodotti e servizi

• Frode– Uso e rendicontazione truffaldina di carte di credito, carte carburante, pedaggi, kilometraggio – Alterazione dati contabilità– Falso in bilancio– False attestazioni di presenza– Falso documentale

• Reati– Trattamento illecito di dati– Accesso abusivo ai sistemi– Detenzione e/o diffusione di codici di accesso – Inside attack

• Interruzione/intercettazione comunicazioni elettroniche• Danneggiamento sistemi informatici

DomandaSpesso l’imprenditore si pone in questi termini

Ma devo veramente seguire un procedimento così articolato e complesso? Non posso fare a modo mio? Del resto sono io che ho le prove dell’illecito/del comportamento

infedele di tizio, perché mai dovrei eseguire un’indagine forense per applicare un provvedimento disciplinare o licenziare un mio dipendente infedele?

E perché mai dovrei far fare un tale procedimento ad un ‘esterno’, mi costa di più e non mi cambia niente

Le questioni però sono un attimo diverse

1. Al dipendente a cui si vuole applicare una sanzione disciplinare o il licenziamento devono essere contestati dei fatti oggettivi, documentati e verificabili.

2. Le prove acquisite senza le garanzie di autenticità accuratezza e completezza non hanno valore probatorio quando in un contenzioso giudico

3. La legge 48/2008 sottolinea l’esigenza di adottare strumenti e processi per l’acquisizione della prova atti a garantire la genuinità della prova digitale.

4. Un soggetto terzo, un consulente informatico forense che professionalmente adotta le metodologie forensi, è garanzia di imparzialità perché non è coinvolto nelle dinamiche aziendali e perché con la firma della relazione tecnica/perizia diviene garante, anche in un processo, di come ha condotto le indagini, di quanto ha scoperto e delle conclusioni a cui giunge

Inziamo le indagini con la copia forense Non possiamo analizzare la fonte di prova originale in quanto:

Rischieremmo di comprometterla o di essere accusati di averla manipolata

Quindi operiamo una copia Forense della fonte di prova e conduciamo le analisi sulle copie di questa.

La copia Forense di una fonte di prova Informatica è l’analogo Digitale della « copia conforme all’originale » del mondo analogico .

Per computer e server consiste in

Calcolo dell’hash sul dispositivo originale, copia bit a bit del contenuto delle memorie di massa senza alterare minimamente

la fonte di prova (uso di dispositivi o di presidi tecnologici adeguati) calcolo dell’hash della copia e verifica della corrispondenza all’originale

Presenta problematiche relative a: Cifratura dei dischi, utilizzo di password, dischi ssd, utilizzo di tecniche di

antiforensics

Iniziamo le indagini con la copia forense Per gli smartphone

consiste in: copia fisica o logica (in ragione degli obiettivi) del contenuto in ragione dello

smartphone Calcolo dell’hash dei dati originali e verifica con l’hash delle copie forensi.

Presenta problematiche relativamente a: Possibilità di alterazione/cancellazione/compromissione da remoto il contenuto Bassa standardizzazione Hardware e Software (molte varianti di sistemi

operativi(Windows, Android, iOS, bada, etc… Cifratura dei dati Protezione da pin

Per in contenuti web e cloud l’acquisizione forense consiste nell’adottare un procedimenti e processi che forniscano garanzia di rispondenza

all’originale e la riferibilità ad un momento ben individuato in quanto le informazioni tratte da una rete sono per loro natura voltatili e suscettibili di continua trasformazione (cassazione lavoro n 2912 18 Febbraio 2004)

Sistemi di protezione: contenuti pubblici e privati, password di accesso, aree crittografate, contenuti cifrati sulla rete.

AnalisiE’ la fase di indagini tecniche volte alla ricerca di specifiche evidenze. Può riguardare :

• Documenti (DOC, XLS, PDF, …)• Video e Immagini• Email , PEC, webmail, • Cronologia dei browser e file temporanei• Sistemi di chat: skype, lync, whatsapp,

telegram• File sharing:P2P, Torrent, Emule• Database di contabilità, sistemi ERP, CRM

SAP• Software (aziendale, personale, craccato)• File di Log• Registri di sistema e ActiveData Stream• File e cartelle cancellati• File e cartelle nascosti

• Slack Space, • Bad Blocks• File cifrati, o uso si steganografia,

Partizioni nascoste• Sms in ingresso ed uscita compresi quelli

cancellati• La Rubrica telefonica, compresi i cancellati• Registro delle chiamate, anche quelle

perse (che le telco cancellano dai tabulati dopo 30 gg)

• Dati GPS, percorsi seguiti, posizioni mantenute, velocità e orari

Al termine dell’analisi deve essere fatta la verifica della consistenza e congruenza dei dati rilevati con la timeline degli eventi del caso

Presentazione: relazione tecnica/perizia

La relazione tecnica o Perizia deve riportare in forma comprensibile anche a non tecnici i risultati raggiunti.

A garanzia della genuinità e correttezza di quanto eseguito, deve anche documentare gli strumenti e le elaborazioni eseguite, per rendere verificabile ripetibile gli accertamenti e opponibile senza tema di smentita quanto fatto

Può sembrare superfluo ma: Non deve essere stampata con stampante a getto di inchiostro, l’umidità o il caffè del

cancelliere del tribunale potrebbe renderla illeggibile… Deve essere stampata a colori dove il colore rende meglio comprensibili gli elementi

che si vogliono sottolineare.

Case Studies: Dipendente Infedele 1

Dipendente infedele che usa nell'orario lavorativo scrive libri e sviluppa un’altra professione

L’azienda da tempo ha sospetti su «pollicino» (così il nome è veramente di fantasia)

Il dipendente ha un ruolo di commerciale dell’azienda per il quale gli è affidato un portatile, una chiavetta Internet e uno Smartphone

Sussistendo un regolamento aziendale, sottoscritto dal dipendente, che prevede il potere ispettivo dell’azienda in base a patti di non concorrenza, si procede ad acquisizione forense del portatile e dello smartphone.

Case Studies: Dipendente Infedele 1 Cosa emerge dalle analisi sui tre dispositivi:

Dal computer: Sono rinvenuti numerosi file docx relativi a testi non pertinenti l’attività lavorativa lavorati durante

l’orario di lavoro. Sono Rinvenuti anche numerosi file PPT elaborati dal dipendente relativi al coaching nello sport. E’ la

professione di cui l’azienda ha sentito parlare Sono rinvenuti molti file pdf, alcuni relativi alla contabilità dei diritti SIAE dei libri del dipendente, altri

relativi a contabili bancarie, altri risultano essere libri sul coaching che molto probabilmente venivano usati per formazione personale dal soggetto

Dall’esame della mailbox aziendale si scopre che il soggetto gestiva e organizzava, mediante la mail aziendale, sessioni di coaching a pagamento, prenotando alberghi per convegni e aule perla formazione. Questo fino a 3 mesi prima dell’accertamento, da allora inizia ad usare la webmail di gmail con il suo indirizzo personale

Sono rinvenute migliaia di foto degli eventi di coaching sportivo organizzati dal soggetto Dallo smartphone:

La cronologia delle chiamate evidenzia un uso intenso dello smartphone anche al difuori dell’orario di lavoro e verso numeri che non risultano essere associati a clienti dell’azienda o a prospect commerciali

L’analisi di whatsapp evidenzia la presenza di 2 gruppi denominati «Coaching Basket: vincenti nello sport e nella vita» e « Vincere le sfide nello sport» che riportano numeri di soggetti non connessi all’attività aziendale

Naturalmente il contenzioso con il dipendente ha portato al licenziamento del soggetto che è ricorso in sede giudiziaria ma senza successo

Case Studies: Ex Dipendente Accesso abusivoDopo l’uscita dall’azienda di un dipendente che ha avviato una usa

attività l’azienda ha la sensazione che l’ex sappia quello che succede in azienda

Una priva verifica evidenzia come sul sistema informatico aziendale non siano state disattivate le utenze dell’ex dipendente a seguito della sua uscita.

Dai log della connessione VPN si evidenzia che l’ex si collega con regolarità tutti i giorni dalle 21 alle 23 da circa 3 mesi, ovvero da quando è uscito dall’azienda. I log delle connessioni abusive, sono cristallizzati

Si blocca l’utenza e si osservano tentativi di accesso via VPN per circa 4 giorni, ma l’ex dipendente questa volta ha l’utenza bloccata. Anche questi log sono cristallizzati

Case Studies: Ex Dipendente Accesso abusivo Passano 20 giorni e riaffiora il sospetto che la persona possa

riuscire ad accedere alle informazioni aziendal scambiate via mail fra le figure apicali.

Si decide di far cambiare password della mail a tutte le figure apicali. La sera stesa si notano numerosi tentativi di accesso falliti alla webmail del Direttore Generale, tutti dallo stesso indirizzo IP.

Credendo di aver risolta la questione l’azienda sporge denuncia per accesso abusivo al sistema informatico corredandolo degli accertamenti tecnici eseguiti.

Passa circa un mese prima che ritorni in azienda «la sensazione di essere spiati». Si valuta la presenza di una talpa all’interno dell’azienda che gira materiale riservato all’ex dipendente.

Case Studies: Ex Dipendente Accesso abusivo

L’esame del Computer non rileva niente di particolarmente significativo e interessante, ma fornisce alcuni indirizzi email privati del soggetto a cui inoltrava materiale.

Vengono messi in blacklist sul server di posta gli indirizzi email privati dell’ex dipendente

La talpa cerca di inviare più volte materiale, appunti, note all’ex dipendente scoprendosi dai log del server di posta.

La pratica si conclude con l’integrazione della precedente denuncia e il licenziamento della talpa

Case Studies:Dipendente InfedeleL’azienda offre servizi di logistica e partecipa spesso a bandi pubblici. negli ultimi anni l’azienda sta perdendo molti bandi su cui faceva affidamento e di cui era abbastanza

certa, ma soprattutto molti dei bandi vedono passare l’assegnazione all’azienda concorrente «XY Logistica»

• L’analisi del contesto aziendale evidenzia la presenza di 2 persone che si occupano della partecipazione ai bandi, con uno dei due, «Giuseppe» negli ultimi 18 mesi i rapporti si sono irrigiditi a causa di mancati riconoscimenti di carriera e di obbiettivi raggiunti.

• Si decide di agire in parallelo su due filoni di indagine: Da una parte si esaminano i log del server di posta alla ricerca di contatti email dell’azienda

concorrente Dall’altra si decide di eseguire un’analisi del computer di «Giuseppe» temendo che collabori

con aziende concorrenti

Case Studies:Dipendente Infedele Dalle indagini emerge:

Log server di posta: non ci sono contatti fra l’azienda e la concorrente, o perlomeno non attraverso indizi email «ufficiali» dell’azienda concorrente.

Dall’analisi del Computer emergono invece dati importanti: Copie Massive di file su chiavette usb e dischi esterni Frequenti scambi email con uno specifico indirizzo email, peraltro si tratta di

email in buona parte cancellate. Il loro recupero e l’analisi mette in luce che si tratta di un indirizzo email non ufficiale della «XY Logistica» con cui venivano scambiati numerose mail ma in particolare i prezzi e la documentazione di partecipazione ai bandi.

La pratica si è conclusa con il licenziamento e la querela del dipendente infedele

Case Studies:Pratiche commerciali scorretteL’azienda MacchinariXY che commercializza ingranaggi di precisone si accorge di una emorragia di clienti. Uno dei clienti gli confessa di essere stato contattato di «Giovanni Tarabusi» che, per gli stessi prodotti gli ha praticato prezzi più convenienti. Ma «Giovanni Tarabusi» fino a 6 mesi fa era un dipendente dell’azienda che si è licenziato per intraprendere una sua attività.

Si avviano le indagini inforamtiche forensi e si ottiene:

Ispezionando il sito dell’attività concorrente si scopre che oltre al layout del sito che è molto simile, quasi identico, a quello di MacchinariXY, le schede prodotto riportano esattamente le stesse informazioni commerciali e caratteristiche del sito di MacchinariXY. Si esegue una copia forense del sito «clone»

L’esame della copia forense del sito clone evidenzia come le immagini del sito clone siano le stesse del sito originale, stesso hash, e anche i parametri che vengono passati per accedere ai prodotti sono gli stessi opportunamente rinominati ma con i soliti valori del sito originale, per cui il cuscinetto abc ha il codice prodotto 123 sul sito originale e sul sito clone, oltre ad avere la stessa foto e le stesse schede descrittive.

Il computer che era assegnato a «Giovanni Tarabusi» 6 mesi prima è stato riassegnato ad un’altra persona con un’utenza diversa. Si decide quindi di tentare la strada dell’indagine sul computer.

Case Studies:Pratiche commerciali scorrette L’indagine sul computer evidenzia:

Uso di dropbox sul quale risultano salvati: cartelle prodotto, elenco clienti e fornitori e il listino prezzi. Accedendo allo stesso Dropbox da casa si copiava sul computer personale i dati aziendali

Scambio di mail con la moglie e il suo nuovo socio relative ai piani della nuova attività e alle strategie commerciali

L’uso di un disco esterno usb da 500GB su cui avrebbe avviato una copia massiva di documenti del pc il fine settimana precedente alla sua uscita dall’azienda.

Ci sono tracce dell’installazione di iTunes ma non è stato possibile recuperare le credenziali di accesso Apple ID, ad iTunes per poter recuperare i backup dell’iPhone 5S ed esaminali dal momento che il telefono non è più in azienda.

L’indagine ha permesso di accertare la condotta di pratiche commerciali scorrette: clonazone sito, con le stesse foto, le stesse descrizioni, ma anche l’uso dell’elenco degli elenchi clienti e fornitori nonché del listino prezzi sottratti all’azienda attraverso dropbox e molto probabilmente anche attraverso un disco esterno da 500GB

Case Studies:web reputation Azienda settore alimentare in crisi, con forti tensioni sindacali

• La rappresentanza sindacale apre una pagina web sulla piattaforma blogspot per riportare le proprie iniziative. La pagina su blogspot è aperta a tutti e non moderata .

• A seguito di uno sciopero iniziano i commenti fra i quali alcuni dai toni molto accesi, ma comunque rispettosi, fino a quando un tale signor «Andrea» inizia a postare commenti pesanti, arrivando a sostenere che l’azienda con la crisi ha ridotto la qualità dei prodotti, e usando anche materie prime non proprio salutari solo a vantaggio del profitto etc…

• La pagina della RSU è ripresa da alcuni giornali locali che usano i commenti per riportate lo stato di tensione presente.

• Ne deriva un grave danno di immagine per l’aziendale che ritiene le affermazioni fatte dal signor Andrea siano fale e prive di ogni fondamento

Case Studies:web reputation Come si sono svolte le indagini:- Si è compreso il conteso in cui venivamo chiamati ad operare- Si sono cristallizzati i contenuti web della pagina denigratoria

dell’azienda.- Si è risaliti all’identità reale di «Andrea» attraverso il suo profilo

Google+ che riportava alcuni suoi vecchi post firmati con nome e cognome. Si sono cristallizzate anche queste evidenze.

- Il fascicolo di prove raccolto è stato allegato alla denuncia per diffamazione.

E infine qualche consiglio Aiutateci ad aiutarvi, ovvero piccolo semplici accorgimenti posso cambiare radicalmente la gestione e i risultati di una indagine forense. Keep Kalm e non compromettere le fonti di prova. Se avete un sospetto su un ex dipendente maneggiate il

meno possibile gli strumenti in dotazione al soggetto, ed evitare di fare reinstallazioni, ripristini di fabbrica o reset . Tempestività.  Se si decide di fare una verifica, un accertamento tecnico su un dispositivo informatico piuttosto

che su una pagina di Facebook, la parola chiave è tempestività. Una pagina in Internet può essere cancellata o modificata in qualsiasi momento, un messaggio whatsapp o un sms, ma anche una mail potrebbero essere cancellate inavvertitamente o scomparire da Gmail dopo 30 giorni. Quindi Tempestività è la prima regola da seguite

Logging. Attivate per quanto possibile il maggior livello possibile di logging di server, pc, firewall. Il log forniscono molte informazioni

GMAIL: Attenzione le mail che spostate nel cestino di Gmail, dopo 30 giorni vengono cancellate da Google, quindi se avete qualcosa di importante e interessante che avete spostato nel cestino di Google: levatelo dal cestino e procedete ad un accertamento tecnico con Tempestività prima che elementi fortuiti possano pregiudicare la sopravvivenza della prova

Servizi Cloud: dropbox, google drive, office 365, Onedrive, Attivate un contratto business con cui assegnare e poter gestire le utenze e i contenuti. L’uso di credenziali personali in contesto lavorativo può creare qualche problema in particolare quando la persona esce dall’azienda

Account Smartphone. Attivate un contratto business per i servizi Google e iOS e Windows, per poter assegnare e gestire le utenze con cui gli smartphone azienadli si registrano. L’uso delle credenziali personali su dispositivi azienali espone l’azienda ad un maggior rischio di sottrazione di dati difficilmente verificabile a posteriori sugli account cloud

E soprattutto prima di prendere qualunque iniziativa consultatevi con un esperto, non con il tecnico o l’amico smanettone; intervenire dopo interventi maldestri è molto più complesso

Q&A

Dott. Alessandro FiorenziConsulente Informatico Forense, Esperto in Sicurezza Informatica

Membro Direttivo ONIF Membro CTS Clusit

Mail af@studiofiorenzi.itSito www.studiofiorenzi.it

Facebook https://www.facebook.com/studiofiorenzi.it/

Linkedin https://www.linkedin.com/in/alessandrofiorenzi

Twitter @fiorenzics

Mobile 348 7920172