Prove digitali, Privacy e poteri di controllo in azienda
-
Upload
studio-fiorenzi-security-forensics -
Category
Law
-
view
287 -
download
0
Transcript of Prove digitali, Privacy e poteri di controllo in azienda
Prove digitali, privacy e poteri
di controllo in azienda
I controlli e le indagini informatiche in
azienda nell'era del Job Act: i requisiti, le
modalità per condurre legittimamente un
controllo o una indagine sull’uso degli
strumenti informatici aziendali
Alessandro Fiorenzi
Dottore in Scienze dell'Informazione
Consulente Informatico Forense, Cyber Security, Audit & Compliance
Iscritto Albi CTU e Periti Tribunale di Firenze
Consulenti Arbitratori CCIAA Firenze
Albo Periti ed Esperti CCIAA Firenze
Membro del Comitato Scientifico CLUSIT
Membro di IISFA
Membro Direttivo Osservatorio Nazionale Informatica Forense ONIF
Certificato ECCE European Certificate on the fight against Cybercrime and
Electronic Evidence (ECCE) 2009
Lead Auditor ISO 27001/2013
Organizzatore e relatore di convegni e workshot su CyberSecurity &
Forensics
2
Programma
3
Modifiche introdotte dal Job Act all’art. 4: vincoli e opportunità
Le indagini informatiche sugli strumenti aziendali Informatici
N.5 casi reali di indagini informatiche eseguite su contesti aziendali
Le origini dell’Art.4 legge 300/70 Parte Datoriale: esigenza di controllo dell’operato delle maestranze
a tutela dell’attività di impresa
Dipendente: Esigenza di riservatezza del lavoratore
La Costituzine: art. 41 l’iniziativa economica privata « non può
svolgersi in contrasto con l’utilità sociale o in modo da recare danno
alla sicurezza, alla libertà, alla dignità umana »
Con lo statuto dei lavoratori stabilisce quali sono i poteri di controllo
dell’imprenditore – art . 3 e 4 L. 300/700,
ovvero: accordo con le rsu aziendali o autorizzazione DTL
4
Jobs Act Modifica l’art. 4 legge 300/70L’art 23 del D.lgs. 151/2015 (Jobs Act) , apporta modifiche
significative in materia di controllo a distanza dei lavoratori
ex art. 4 della legge n. 300 del 1970 c.d. Statuto dei lavoratori
Art. 4 l.300/70 « è vietato l’uso di impianti audiovisivi e di altre apparecchiatura per finalità di controllo a
distanza dell’attività dei lavoratori »…… « gli impianti e le apparecchiature di controllo che siano richiesti da
esigenze organizzative e produttive ovvero dalla sicurezza del lavoro, ma dai quali derivi anche la possibilità di
controllo a distanza dell’attività dei lavoratori, possono essere installati soltanto (…)»
Nuova formulazione introdotta dall’art. 23 D.lgs 151/2015 – Jobs Act «Gli impianti audiovisivi e gli altri strumenti dai quali derivi anche la possibilità di controllo a distanza
dell’attività dei lavoratori possono essere impiegati esclusivamente per esigenze organizzative e produttive,
per la sicurezza del lavoro e per la tutela del patrimonio aziendale e possono essere installati previo (..)»
«La disposizione di cui al comma 1 non si applica agli strumenti utilizzati dal lavoratore per rendere la
prestazione lavorativa e agli strumenti di registrazione degli accessi e delle presenze.»
«Le informazioni raccolte ai sensi dei commi 1 e 2 sono utilizzabili a tutti i fini connessi al rapporto di lavoro
a condizione che sia data al lavoratore adeguata informazione delle modalità d’uso degli strumenti e di
effettuazione dei controlli e nel rispetto di quanto disposto dal Dlgs. n. 196/03»
5
Quali novità introduce il Job Act? Si passa da un principio di divieto, un principio di negazione, ad un
principio positivo, ovvero dell’impiego, concordato, dei mezzi di
controllo a distanza
Non sono necessari accordi sindacali per quanto riguarda
l’assegnazione ai lavoratori degli «strumenti utilizzati per rendere la
prestazione lavorativa » e « gli strumenti di registrazione degli
accessi e delle presenze » se pur dagli stessi derivi anche la
possibilità di controllo a distanza
Tutti i dati raccolti possono essere usati ai fini connessi al rapporto
di lavoro a condizione che sia data al lavoratore adeguata
informazione delle modalità d’uso degli strumenti e di effettuazione
dei controlli nel pieno rispetto della normativa sulla privacy
6
Videosorveglianza L’impiego di impianti audiovisivi o di altri strumenti da cui derivi anche
la possibilità di controllo a distanza del lavoratore possono essere
impiegati esclusivamente per le seguenti finalità :
Esigenze organizzative e produttive
Per la sicurezza del lavoro
Per la tutela del patrimonio aziendale
PREVIO
Accordo Sindacale , in difetto del quale è necessaria Autorizzazione DTL
Autorizzazione del Ministero del Lavoro per imprese dislocate in territori di
competenza di diverse DTL
7
Strumenti «lavorativi» e badge presenzeIl comma 2 del nuovo art. 4 stabilisce che l’accordo sindacale
l’autorizzazione della DTL non sono necessari per
1. Gli strumenti che sono utilizzati dal lavoratore per rendere la
prestazione lavorativa : è necessario un mansionario dettagliato
2. Gli strumenti di registrazione delle presenze e degli accessi in
azienda.
Tuttavia occorre che il datore di lavoro fornisca una adeguata
informazione ai lavoratori circa l’uso degli strumenti e la effettuazione
dei controlli nel rispetto delle previsioni contenute nel D.L.vo n.
196/2003.
8
Strumenti informatici – Min. Lav. 18/06/2015 Gli strumenti informatici/tecnologici, pc (software applicativi, mail,
internet, etc..) , tablet, cellulari, (Min. Lav. 18/06/2015) in dotazione
al dipendente per RENDERE la prestazione lavorativa, « gli attrezzi
da lavoro » non sono soggetti ad alcun accordo
Nel momento in cui tale strumento viene modificato con l’aggiunta di
appositi software di localizzazione e filtraggio, per controllare il
lavoratore, si fuoriesce dal disposto. Min. Lav. 18/06/2015
Strumenti borderline:
Auto aziendale/camion :Telepass, GPS del navigatore, sistemi
infotainment
Auto in fringe Benefits
In quale ambito ricadono? Devo fare l’accordo con le RSU?
9
Utilizzabilità dei dati raccolti Le informazioni raccolte ai sensi de 1 del 2 comma sono utilizzabili a
tuti i fini connessi al rapporto di lavoro a condizione che sia data al
lavoratore adeguata informazione delle modalità d’uso degli
strumenti e di effettuazione dei controlli nel rispetto di quanto
disposto dl decreto legislativo 30 giugno 2003 n. 196
OVVERO
INFORMATIVA e Raccolta consenso ai sensi del TU Privacy
Policy Aziendali
Regolamento utilizzo dispositivi e strumenti
10
Quindi….
La nuova formulazione dell’Art. 4, non liberalizza i controlli a distanza, ma chiarisce
le modalità di utilizzo degli strumenti tecnologici, nonché i limiti di utilizzabilità dei
dati raccolti tramite questi strumenti
infatti
I dati e le informazioni raccolti potranno essere utilizzati, in modo legittimo, a
sostegno di un licenziamento o di altre sanzione disciplinari di natura conservativa
solo ed esclusivamente se:
vengono rispettate tutte le norme previste in materia di protezione dei dati
personali;
al lavoratore viene data un’adeguata informazione sulle modalità d’uso degli
strumenti e sulle modalità di effettuazione dei possibili controlli..
La possibilità di utilizzare i dati nel rispetto del nuovo art. 4 richiede quindi
l’aggiornamento del corpo normativo aziendale, dei disciplinari, nonché del modello
organizzativo 231/2001 per quanto attiene alle sanzioni disciplinari.
11
Controlli: chi può farli e come- Ufficio Controlli Interni:
- Attraverso un Audit periodico Privacy, Policy aziendali, regolamento 231
- Definendo un piano di controlli: cosa e quando
- Identificando puntualmente un perimetro d’azione
- HR aziendale- Piano di verifica a campione del rispetto della normativa aziendale e delle regole
di uso degli strumenti di lavoro
- Di concerto con l’ufficio legale Ove abbia notizia di illeciti condotti a danno
dell’azienda da parte di uno o più dipendenti mediante istituo dell’ATP o di
indagini difensive preventive
- Ufficio Legale / AML- Ove ravvisi comportamenti illegali o illeciti a danno del patrimonio aziendale
mediante gli istituti dell’ATP o dei Indagini Difensive preventive
12
Controlli e Indagini informatiche in aziendaRegole per la conduzione di controlli e indagini informatiche su
strumenti aziendali
• I controlli, devono essere svolti secondo principi di gradualità e proporzionalità (1)
• In linea generale è preferibile che i controlli, ovvero le indagini informatiche, siano
effettuati da soggetti terzi esterni all’azienda, non coinvolti emotivamente ed esterni
alle dinamiche aziendali; quindi indipendenti
• E’ fondamentale che le evidenze dei controlli siano costituite da elementi oggettivi,
verificati e verificabili per poterle opporre validamente alla controparte
• Le prove informatiche, in ragione del fatto che potrebbero esser oggetto di un
contenzioso, e del fatto che presentano un alto grado di volatilità e alterabilità,
devono essere raccolte secondo i principi e i processi delle indagini informatiche
forensi per poterle opporre validamente avendo garanzia di rispondenza all’originale
e di riferibilità a un ben individuato momento(2) . Ove vengano meno queste garanzie
le prove non sono utilizzabili in giudizio.
(1) Garante Privacy Internet: proporzionalità nei controlli effettuati dal datore di lavoro - 2 febbraio 2006
(2) Cassazione Sezione Lavoro n. 2912 del 18 febbraio 2004, Pres. Mattone, Rel. Spanò
13
Raccolta delle prove «Digitali»
I metodi tradizionali della raccolta delle evidenze, in ambito Audit non sono sufficienti a garantire l’accettabilità della prova in giudizio.
E’ necessario un nuovo approccio che per le evidenze raccolte garantisca
• Accettabilità
• Autenticità
• Completezza
• Attendibilità
La Digital Forensics è la risposta metodologica e scientifica per gestire le prove IT
14
Prova tradizionale vs prova digitale
• tipicamente presenta le caratteristiche di tangibilità, misurabilità ed è definita
La prova tradizionale
• INTANGIBILE: è costituita da file, trasmissioni, più in generale dati distribuiti sulla rete aziendale o addirittura in Internet
• VOLATILE le tracce informatiche in ragione del dispositivo in cui sono memorizzate possono essere più o meno persistenti nel tempo. In ordine di volatilità decrescente: registri di memoria, ram, stato della rete, processi (programmi) attivi, file temporanei, dischi, log, floppy, nastri, cd, dvd, stampe.
• ALTERABILE la prova informatica/digitale può essere facilmente alterata=compromessa o addirittura distrutta senza che ne rimanga traccia, o senza trovarsi in prossimità del dispositivo come nel caso di cancellazione contenuti su Internet , reset remoto iPad etc..
La prova informatica /digitale
15
Dove può trovarsi la prova «digitale»Le prove di un illecito o di un reato possono trovarsi un gran numero di
strumenti utilizzati quotidianamente in azienda. Computer (desktop, portatili, server, appliance)
Stampanti (tutte hanno un sistema operativo, tipicamente una busybox linux, che le fa funzionare)
Memorie di massa (cd, dvd, pendrive, nastri, etc…)
Smartphone, blackberry, tablet,
Cloud: Dropbox, Onedrive, Gdrive, iCloud, OwnCloud, BitCasa, etc..
Instant Messaging e VOIP: whatsapp, telegram, skype, viber, confide,signal, Allo,…
History e file temporanei della navigazione
In definitiva tutto ciò che implementa un software, quindi anche:
Un navigatore satellitare
Un sistema di videosorveglianza
Il sistema di allarme
Il controllo accessi e il sistema registrazione presenze
Il computer di bordo di un’auto
La prova informatica è una prova atipica e quindi deve essere trattata
con metodi scientifici che siano di garanzia nelle fasi di acquisizione,
custodia, analisi ed estrazione delle evidenze
16
Fasi di un’indagine informatica «forense» Una indagine informatiche che voglia essere opponibile a terzi deve
seguire rigorose metodologie forensi
Idenfiticazione•Isolamento della scena
criminis
•Identificazione di cosa può costituire prova o contenerla
Acquisizione •Copia forense di dischi,
chiavette USB, Smartphone, contenuti Cloud etc..
•Attivazioe catena di custodia
Analisi•Accertamenti tecnici alla
ricerca di evidenze
•Al termine dell’analisi verifica consistenza e congruenza dei dati rilevati con TimeLine per la correlazione degli eventi
Presentazione•Formulazione report
attività, perizia, riportati in forma comprensibile anche ai non tecnici, documentando ogni passo seguito per il rinvenimento delle evidenze per rendere l’accertamento verificabile e non contestabile
17
Perché tanto rigore
1) La prova che andiamo a cercare deve formarsi con tutti i crismi della prova utilizzabile
in giudizio; se, come spesso accade, viene contestata e si va in giudizio la prova e gli
elementi che portiamo come prove devono essere incontestabili
2) Al dipendente a cui si vuole applicare una sanzione disciplinare o il licenziamento
devono essere contestati dei fatti oggettivi, documentati e verificabili.
3) Le prove acquisite senza le garanzie di autenticità accuratezza e completezza non
hanno valore probatorio quando si arriva ad un contenzioso giudirico che vede
contrapposti azienda e dipendente
4) La legge 48/2008 sottolinea l’esigenza di adottare strumenti e processi per
l’acquisizione della prova atti a garantire la genuinità della prova digitale.
5) Un soggetto terzo, un consulente informatico forense che usa le metodologie forensi,
è garanzia di imparzialità perché non è coinvolto nelle dinamiche aziendali e perché
con la firma della relazione tecnica/perizia diviene garante, anche in un processo, di
come ha condotto le indagini, di quanto ha scoperto e delle conclusioni a cui giunge
18
Fattispecie di indagine su dispositivi
informatici• Mancato rispetto policy aziendali– Uso degli strumenti aziendali per fini personali (smartphone, notebook etc.. Sono spesso
percepiti come benefit e non come strumenti aziendali)
– Conservazione di dati privati, di natura anche sensibile, sui dispositivi aziendali (foto, esami
clinici, email private, etc.)
– Uso privato della posta elettronica aziendale
– Condivisione documenti tecnici e contabili riservati con terzi esterni/concorrenti all’azienda
– Condivisione documenti aziendali su forum, newsgroup o altri canali
– Uso di credenziali aziendali per partecipare a social network, forum o altre attività non
attinenti alle mansioni
– Uso di credenziali private, account Google/iCloud,Microsoft, Dropbox, email, numero di
telefono, per lo svolgimento dell’attività lavorativa
– Utilizzo di tecniche di evasione per aggirare gli strumenti di controllo della navigazione
(online proxy, deepweb etc..)
– Utilizzo di chiavette USB, e modalità storage smartphone (spesso veicolo di infezioni virus
gravi come i cryptoloker)
– Installazione e utilizzo di software personale o non acquistato dall’azienda
– Download mediante canali p2p di materiale coperto da copyright (film, libri, software)
– Denigrazione dell’azienda in Internet, social network, forum, gruppi di discussione
19
Fattispecie di indagine su dispositivi
informatici• Concorrenza Sleale Ex Socio/Dipendente Infedele– Furto di dati aziendali mediante copia massiva dati aziendali su chiavette, dischi usb, cloud o via mail
– Furto di dati aziendali mediante Stampa massiva di documenti aziendali
– Violazione dell’obbligo di diligenza
– Appropriazione know-how aziendale per attività concorrente
– Imitazione servile di prodotti e servizi
• Frode– Uso e rendicontazione truffaldina di carte di credito, carte carburante, pedaggi, kilometraggio
– Alterazione dati contabilità
– Falso in bilancio
– False attestazioni di presenza
– Falso documentale
• Reati– Trattamento illecito di dati
– Accesso abusivo ai sistemi
– Detenzione e/o diffusione di codici di accesso
– Inside attack
• Interruzione/intercettazione comunicazioni elettroniche
• Danneggiamento sistemi informatici
• Interrruzione pubblico servizio (enti statali, parastatli o assimilati, servizio CUP prenotazione visite mediche)
20
L’acquisizione forenseNon possiamo analizzare la fonte di prova originale in quanto:
Rischieremmo di comprometterla o di essere accusati di averla manipolata
Quindi operiamo una copia Forense della fonte di prova e conduciamo le
analisi sulle copie di questa.
La copia Forense di una fonte di prova Informatica è l’analogo Digitale
della « copia conforme all’originale » del mondo analogico .
Per computer e server consiste in
Calcolo dell’hash sul dispositivo originale,
copia bit a bit del contenuto delle memorie di massa senza alterare minimamente
la fonte di prova (uso di dispositivi o di presidi tecnologici adeguati)
calcolo dell’hash della copia e verifica della corrispondenza all’originale
Presenta problematiche relative a:
Cifratura dei dischi, utilizzo di password, dischi ssd trimming, utilizzo di tecniche
di antiforensics
21
L’acquisizione Forense Per gli smartphone
consiste in:
copia fisica o logica dello smartphone in ragione degli obiettivi e del tipo di dispositivo
Calcolo dell’hash dei dati originali e verifica con l’hash delle copie forensi.
Presenta problematiche relativamente a:
Possibilità di alterazione/cancellazione/compromissione da remoto il contenuto
– Bassa standardizzazione Hardware e Software (molte varianti di sistemi operativi(Windows, Android, iOS, bada, etc…
Cifratura dei dati
Protezione da pin
Per in contenuti web e cloud l’acquisizione forense consiste nell’adottare un procedimenti e processi che forniscano garanzia di rispondenza
all’originale e la riferibilità ad un momento ben individuato in quanto le informazioni tratte da
una rete sono per loro natura voltatili e suscettibili di continua trasformazione (cassazione
lavoro n 2912 18 Febbraio 2004)
Sistemi di protezione: contenuti pubblici e privati, password di accesso, aree crittografate,
contenuti cifrati sulla rete.
22
L’Analisi E’ la fase di indagini tecniche volte alla ricerca di specifiche evidenze.
Può riguardare :
• Documenti (DOC, XLS, PDF, …)• Video e Immagini• Email , PEC, webmail, • Cronologia dei browser e file temporanei• Sistemi di chat: skype, lync, whatsapp,
telegram, signal• File sharing:P2P, Torrent, Emule• Database di contabilità, sistemi ERP, CRM
SAP• Software (aziendale, personale, craccato)• File di Log• Registri di sistema e ActiveData Stream• File e cartelle cancellati
• File e cartelle nascosti• Slack Space, • Bad Blocks• File cifrati, o uso si steganografia,
Partizioni nascoste• Sms in ingresso ed uscita compresi quelli
cancellati• La Rubrica telefonica, compresi i cancellati• Registro delle chiamate, anche quelle
perse (che le telco cancellano dai tabulati dopo 30 gg)
• Dati GPS, percorsi seguiti, posizioni mantenute, velocità e orari
Al termine dell’analisi deve essere fatta la verifica della consistenza e congruenza dei dati rilevati con la timeline degli eventi del caso
23
Relazione tecnica La relazione tecnica o Perizia deve spiegare, in un linguaggio non
prettamente tecnico, i passi seguiti, le analisi condotte e i risultati
raggiunti.
A garanzia della genuinità e correttezza di quanto eseguito, deve
anche documentare gli strumenti usati e le elaborazioni eseguite.
Tutto ciò per rendere verificabile ripetibile gli accertamenti eseguiti e
poterli opporre alla controparte senza tema di smentita
Può sembrare superfluo ma: Non deve essere stampata con stampante a getto di inchiostro, un bicchiere d’acqua
o l’umidità potrebbe renderla non più leggibile
Deve essere stampata a colori quando il colore permetta di evidenziare meglio alcuni
particolari.
24
Scendiamo nel pratico
Casi reali
di indagini informatiche aziendali
che abbiamo trattato
25
Case n.1 : Dipendente InfedeleScenario:
L’azienda X da tempo sospetta che il dipendente «mario rosi» abbia
qualche attività collaterale a causa del suo scarso rendimento: infatti
è costantemente a lavorare sul computer aziendale ma con scarsi
risultati per l’azienda. Il suo dirigente ha provato anche a porsi
accanto al dipendente e sorvegliare la sua attività, intravedendo
documenti dal nome non riferibile a documenti trattati dall’ azienda,
inoltre è stato notata una certa ricorrenza nell’uso di un disco USB.
Il dipendente ha un ruolo di commerciale dell’azienda per il quale gli
è affidato un portatile, una chiavetta Internet e uno Smartphone
Nel 2012 quando «mario rossi» è entrato in azienda ha sottoscritto
un regolamento aziendale concordato con le rsu molto ben fatto e
che prevede il potere ispettivo dell’azienda, potere sancito anche nel
contratto di non concorrenza sottoscritto dal «rossi».
26
Case n. 1• Si procede all’acquisizione forense dello smartphone e del computer
portatile
• L’analisi dello smartphone rivela: La cronologia delle chiamate evidenzia un uso intenso dello smartphone anche al difuori dell’orario di lavoro
e verso numeri che non risultano essere associati a clienti dell’azienda o a prospect commerciali
L’analisi di whatsapp evidenzia la presenza di 2 gruppi denominati «Coaching Basket: vincenti nello sport e
nella vita» e « Vincere le sfide nello sport» che riportano numeri di soggetti non connessi all’attività
aziendale
• L’Analisi del computer portatile rivela: Numerosi file docx relativi a testi non pertinenti l’attività lavorativa elaborati durante l’orario di lavoro.
Numerosi file PPT elaborati dal dipendente relativi al coaching nello sport.
Molti file pdf, alcuni relativi alla contabilità dei diritti SIAE dei libri scritti dal dipendente, altri relativi a contabili
bancarie, altri risultano essere libri sul coaching che molto probabilmente venivano usati per formazione
personale dal soggetto, tutto materiale coperto da copyright
Dall’esame della mailbox aziendale si scopre che il soggetto gestiva e organizzava, mediante la mail
aziendale, sessioni di coaching a pagamento, prenotando alberghi per convegni e aule per la formazione.
Questo fino a 3 mesi prima dell’accertamento, da allora inizia ad usare la webmail di gmail con il suo
indirizzo personale
Sono rinvenute migliaia di foto degli eventi di coaching sportivo organizzati dal soggetto
27
Case n. 1
Conclusioni:
• Si addiviene a comprendere che si tratta della professione di cui
l’azienda ha i sospetti e che distrae mario rossi dalle sue mansioni
• L’azienda avvia le procedure per il licenziamento contestando
diversi elementi fra cui– l’uso degli strumenti aziendali, computer, tempo, connessione aziendale ad Internet,
mail per fini personali
– la conservazione di dati privati in aree pubbliche del computer e non in aree personali
(Garante Privacy e regolamento aziendale)
– La detenzione di materiale coperto da copyright sul computer aziendale in un area
«non personale»
28
Case n. 2 : ex dipendente Scenario:
Giuseppe Verdi, ormai ex dipendente della «Colli Torti srl» dopo
l’uscita dall’azienda ha avviato una usa attività
La «Colli Torti srl» da dopo l’uscita di Verdi ha perso alcuni importanti
clienti
Dai contatti e le amicizie che Verdi ha in azienda sembra che Verdi
conosca molto bene quello che succede in azienda, come se avesse
una talpa che gli riferisce tutto o potesse accedere alle informazioni
aziendali o alle email
29
Case n. 2Avviata l’indagine si è proceduto ad effettuare alcune verifiche e
riscontri
Il controllo dell’utenza di Verdi conferma che sul sistema informatico
aziendale non sono state disattivate le utenze assegnate all’ex
dipendente.
L’esame dei log di accesso alla connessione VPN evidenzia che
l’ex si collega con una certa regolarità, si collega all’azienda via vpn
dalle 21 alle 23 da circa 3 mesi, ovvero da quando è uscito
dall’azienda. I log sono cristallizzati con le tecniche di Digital
Forensics in quanto rappresentano una importante fonte di prova
Si procede quindi al blocco dell’utenza da cui si osserva come l’ex
dipendente provi a tentare l’accesso per ben 4 giorni nonostante la
sua utenza non sia più abilitata all’accesso via VPN. Si procede alla
cristallizzazione forense anche di questi log.
30
Case n. 2 Passano 20 giorni e emergono elementi che fanno ritenere che il
Verdi possa riuscire, in qualche maniera, ad accedere alle
informazioni aziendali scambiate via mail fra le figure apicali.
Si decide di far cambiare password della mail a tutte le figure
apicali. La sera stesa si notano numerosi tentativi di accesso falliti
alla webmail con l’utenza del Direttore Generale, tutti dallo stesso
indirizzo IP. Idem si procede alla cristallizzazione dei log
Credendo di aver risolta la questione l’azienda sporge denuncia per
accesso abusivo al sistema informatico corredandolo la denuncia
delle evidenze raccolte e della nostra perizia.
Passa circa un mese prima che ritorni in azienda «la sensazione di
essere spiati». Si valuta la presenza di una talpa all’interno
dell’azienda che gira materiale riservato all’ex dipendente
31
Case n. 2 Si procede quindi all’esame del Computer assegnato all’ex
dipendente, nonostante siano passati diversi mesi, ma questo non
rileva niente di particolarmente significativo e interessante, fatta
eccezione per alcuni indirizzi email privati a cui si scopre il Verdi
inoltrava materiale.
Vengono messi in blacklist sul server di posta gli indirizzi email
privati dell’ex dipendente
Emerge quindi una talpa nell’azienda che cerca di inviare più volte
materiale, appunti, note all’ex dipendente. I log del server di posta
sono testimoni della sua azione criminosa.
La pratica si conclude con l’integrazione della precedente denuncia
e il licenziamento del soggetto che faceva da talpa
32
Case n. 3 Dipendente InfedeleScenario:
L’azienda X offre servizi di logistica integrata, parte del suo business deriva da appalti
pubblici a cui partecipa. negli ultimi tempi l’azienda sta perdendo molti bandi su cui
faceva affidamento e di cui era abbastanza certa, ma soprattutto molti dei bandi vedono
passare l’assegnazione all’azienda concorrente «Y Logistica»
Inizia il processo di analisi e indagine della «scena del crimine» alla ricerca di elementi di
supporto
• L’analisi del contesto aziendale ci svela che la divisione bandi è costituita da n. 2
persone che si occupano esclusivamente di questa attività. Negli ultimi 18 mesi i
rapporti con uno dei due, «Giuseppe», si sono irrigiditi a causa di mancati
riconoscimenti di carriera e di obbiettivi raggiunti.
• Si decide di agire in parallelo su due filoni di indagine:
– Da una parte si esaminano i log del server di posta alla ricerca di contatti email dell’azienda
concorrente
– Dall’altra si decide di eseguire un’analisi del computer di «Giuseppe» temendo che collabori
con aziende concorrenti
33
Case n. 3Le indagini portano alla luce i seguenti elementi :
Log server di posta: non ci sono contatti fra l’azienda e la
concorrente, o perlomeno non attraverso indirizzi email «ufficiali»
dell’azienda concorrente.
Dall’analisi del Computer emergono elementi importanti: Copie Massive di file su chiavette usb e dischi esterni di materiale riguardante i bandi, in
prossimità delle scedenze degli stessi.
Frequenti scambi email con uno specifico indirizzo email, si tratta di email in buona parte
cancellate che sono state recuperate. Il loro recupero e l’analisi mette in luce che si tratta di
un indirizzo email non ufficiale della «XY Logistica» con cui venivano scambiati numerose
mail ma in particolare i prezzi e la documentazione di partecipazione ai bandi.
La pratica si è conclusa con il licenziamento e la querela del
dipendente infedele
34
Case n. 4 Pratiche commerciali scorretteScenario:
L’azienda MacchinariXY che commercializza ingranaggi di precisone si accorge di una emorragia di
clienti. Uno dei clienti gli confessa di essere stato contattato da tale «Giovanni Tarabusi» della società
«Macchinari Professionali» che, per gli stessi prodotti, gli ha praticato prezzi più convenienti. Per
l’azienda la situazione è certamente più chiara: «Giovanni Tarabusi» fino a 6 mesi fa era un
dipendente dell’azienda che si è licenziato per intraprendere una sua attività.
Inizia il processo di analisi e indagine della «scena del crimine» alla ricerca di elementi di supporto
Ispezionando il sito dell’attività concorrente «Macchinari Professionali» si scopre che oltre al
layout del sito che è molto simile, quasi identico, a quello di MacchinariXY, le schede prodotto
riportano esattamente le stesse informazioni commerciali e caratteristiche del sito di
MacchinariXY. Si esegue una copia forense del sito della società «Macchinari Professionali»
L’esame della copia forense del sito clone evidenzia come le immagini del sito siano esattamnete
le stesse del sito originale, stesso hash, e anche i parametri che vengono passati per accedere ai
prodotti sono gli stessi opportunamente rinominati ma con i soliti valori del sito originale, ad
esempio lo stesso codice prodotto,il cuscinetto X ha il codice prodotto 589 sul sito originale e
anche sul sito clone, oltre ad avere la stessa foto e le stesse schede descrittive.
Il computer che era assegnato a «Giovanni Tarabusi» 6 mesi prima è stato riassegnato ad un’altra
persona con un’utenza diversa. Si decide di concerto con la Direzione Aziendale di tentare la
strada dell’indagine sul computer
35
Case n. 4L’indagine sul computer porta alla luce i seguenti elementi: Il signor Giovanni usava l’applicazinoe dropbox . Con questa applicazione condivideva cartelle
prodotto, elenco clienti e fornitori e il listino prezzi. Accedendo a Dropbox con la stessa utenza,
magari da casa, riusciva a copiarsi sul computer personale i dati aziendali
Il signor Giovanni ha intrattenuto con l’indirizzo email della moglie del nuovo socio, un intenso
scambio di mail relative ai piani della nuova attività e alle strategie commerciali
Risulta inoltre che il signor Giovanni ha più volte connesso al computer aziendale un disco
esterno usb da 500GB su cui avrebbe avviato una copia massiva di documenti del pc il fine
settimana precedente alla sua uscita dall’azienda.
Il computer presenta tracce dell’installazione di iTunes ma non è stato possibile recuperare le
credenziali di accesso Apple ID, ad iTunes per poter recuperare i backup del telefono aziendale
un iPhone 5S ed esaminali, questo perché il telefono è stato restituito a TIM e quindi non è
possibile procedere all’anali dei dati dello stesso.
L’indagine ha permesso di accertare la condotta di pratiche commerciali scorrette:
clonazone sito, con le stesse foto, le stesse descrizioni, ma anche l’uso dell’elenco degli
elenchi clienti e fornitori nonché del listino prezzi sottratti all’azienda attraverso dropbox e
molto probabilmente anche attraverso un disco esterno da 500GB
36
Case n. 5 Web ReputationScenario:
• Azienda settore alimentare in crisi, con tensioni sindacali che vanno avanti
da diversi mesi
• La rappresentanza sindacale apre una pagina su blogspot per riportare le
proprie iniziative. La pagina su blogspot è aperta a tutti e non moderata .
• A seguito di uno sciopero iniziano i commenti fra i quali alcuni dai toni
molto accesi, ma comunque rispettosi, fino a quando un tale signor
«Andrea» inizia a postare commenti pesanti, arrivando a sostenere che
l’azienda con la crisi ha ridotto la qualità dei prodotti, e usando anche
materie prime non proprio salutari solo a vantaggio del profitto etc…
• La pagina della RSU è ripresa da alcuni giornali locali che usano i
commenti per riportate lo stato di tensione presente.
• Ne deriva un grave danno di immagine per l’aziendale che ritiene le
affermazioni fatte dal signor Andrea siano fale e prive di ogni fondamento
37
Case n. 5Avvio delle indagini con analisi della scena criminis
- Sono state cristallizzati i contenuti web della pagina denigratoria
dell’azienda.
- Attraverso tecniche di OSINT si è risaliti all’identità reale di
«Andrea» attraverso il suo profilo Google+ che riportava alcuni suoi
vecchi post firmati con nome e cognome. Si sono cristallizzate
anche queste evidenze.
- Il fascicolo di prove raccolto è stato allegato alla denuncia per
diffamazione.
38
Tips & Triscs Logging. Attivate per quanto possibile il maggior livello possibile di logging di server, pc, firewall. Il log forniscono
molte informazioni
Keep Kalm e non compromettere le fonti di prova. Se avete un sospetto su un ex dipendente maneggiate il
meno possibile gli strumenti in dotazione al soggetto, ed evitare di fare reinstallazioni, ripristini di fabbrica o reset.
Tempestività. Se si decide di fare una verifica, un accertamento tecnico su un dispositivo informatico piuttosto
che su una pagina di Facebook, la parola chiave è tempestività. Una pagina in Internet può essere cancellata o
modificata in qualsiasi momento, un messaggio whatsapp o un sms, ma anche una mail potrebbero essere
cancellate inavvertitamente o scomparire da Gmail dopo 30 giorni. Quindi Tempestività è la prima regola da
seguite
GMAIL: Attenzione le mail che spostate nel cestino di Gmail, dopo 30 giorni vengono cancellate da Google, quindi
se avete qualcosa di importante e interessante che avete spostato nel cestino di Google: levatelo dal cestino e
procedete ad un accertamento tecnico con Tempestività prima che elementi fortuiti possano pregiudicare la
sopravvivenza della prova
Servizi Cloud: dropbox, google drive, office 365, Onedrive, Attivate un contratto business con cui assegnare e
poter gestire le utenze e i contenuti. L’uso di credenziali personali in contesto lavorativo può creare qualche
problema in particolare quando la persona esce dall’azienda
Account Smartphone. Attivate un contratto business per i servizi Google e iOS e Windows, per poter assegnare
e gestire le utenze con cui gli smartphone azienadli si registrano. L’uso delle credenziali personali su dispositivi
azienali espone l’azienda ad un maggior rischio di sottrazione di dati difficilmente verificabile a posteriori sugli
account cloud
E soprattutto prima di prendere qualunque iniziativa consultatevi con un esperto, non con il tecnico o l’amico
smanettone; intervenire dopo interventi maldestri è molto più complesso
39
Q & A
Dott. Alessandro Fiorenzi
Consulente Informatico Forense, Cyber Security, Audit & Compliance
Direttivo ONIF
Comitato Tecnico Scientifico Clusit
Mail [email protected]
Sito www.studiofiorenzi.it
Mobile +39 3487920172 Whatsapp,Telegram, Signal,Allo
Facebook https://www.facebook.com/studiofiorenzi.it/
Linkedin https://www.linkedin.com/in/alessandrofiorenzi
Twitter @fiorenzics
40