Prove digitali, privacy e poteri

di controllo in azienda

I controlli e le indagini informatiche in

azienda nell'era del Job Act: i requisiti, le

modalità per condurre legittimamente un

controllo o una indagine sull’uso degli

strumenti informatici aziendali

Alessandro Fiorenzi

Dottore in Scienze dell'Informazione

Consulente Informatico Forense, Cyber Security, Audit & Compliance

Iscritto Albi CTU e Periti Tribunale di Firenze

Consulenti Arbitratori CCIAA Firenze

Albo Periti ed Esperti CCIAA Firenze

Membro del Comitato Scientifico CLUSIT

Membro di IISFA

Membro Direttivo Osservatorio Nazionale Informatica Forense ONIF

Certificato ECCE European Certificate on the fight against Cybercrime and

Electronic Evidence (ECCE) 2009

Lead Auditor ISO 27001/2013

Organizzatore e relatore di convegni e workshot su CyberSecurity &

Forensics

2

Programma

3

Modifiche introdotte dal Job Act all’art. 4: vincoli e opportunità

Le indagini informatiche sugli strumenti aziendali Informatici

N.5 casi reali di indagini informatiche eseguite su contesti aziendali

Le origini dell’Art.4 legge 300/70 Parte Datoriale: esigenza di controllo dell’operato delle maestranze

a tutela dell’attività di impresa

Dipendente: Esigenza di riservatezza del lavoratore

La Costituzine: art. 41 l’iniziativa economica privata « non può

svolgersi in contrasto con l’utilità sociale o in modo da recare danno

alla sicurezza, alla libertà, alla dignità umana »

Con lo statuto dei lavoratori stabilisce quali sono i poteri di controllo

dell’imprenditore – art . 3 e 4 L. 300/700,

ovvero: accordo con le rsu aziendali o autorizzazione DTL

4

Jobs Act Modifica l’art. 4 legge 300/70L’art 23 del D.lgs. 151/2015 (Jobs Act) , apporta modifiche

significative in materia di controllo a distanza dei lavoratori

ex art. 4 della legge n. 300 del 1970 c.d. Statuto dei lavoratori

Art. 4 l.300/70 « è vietato l’uso di impianti audiovisivi e di altre apparecchiatura per finalità di controllo a

distanza dell’attività dei lavoratori »…… « gli impianti e le apparecchiature di controllo che siano richiesti da

esigenze organizzative e produttive ovvero dalla sicurezza del lavoro, ma dai quali derivi anche la possibilità di

controllo a distanza dell’attività dei lavoratori, possono essere installati soltanto (…)»

Nuova formulazione introdotta dall’art. 23 D.lgs 151/2015 – Jobs Act «Gli impianti audiovisivi e gli altri strumenti dai quali derivi anche la possibilità di controllo a distanza

dell’attività dei lavoratori possono essere impiegati esclusivamente per esigenze organizzative e produttive,

per la sicurezza del lavoro e per la tutela del patrimonio aziendale e possono essere installati previo (..)»

«La disposizione di cui al comma 1 non si applica agli strumenti utilizzati dal lavoratore per rendere la

prestazione lavorativa e agli strumenti di registrazione degli accessi e delle presenze.»

«Le informazioni raccolte ai sensi dei commi 1 e 2 sono utilizzabili a tutti i fini connessi al rapporto di lavoro

a condizione che sia data al lavoratore adeguata informazione delle modalità d’uso degli strumenti e di

effettuazione dei controlli e nel rispetto di quanto disposto dal Dlgs. n. 196/03»

5

Quali novità introduce il Job Act? Si passa da un principio di divieto, un principio di negazione, ad un

principio positivo, ovvero dell’impiego, concordato, dei mezzi di

controllo a distanza

Non sono necessari accordi sindacali per quanto riguarda

l’assegnazione ai lavoratori degli «strumenti utilizzati per rendere la

prestazione lavorativa » e « gli strumenti di registrazione degli

accessi e delle presenze » se pur dagli stessi derivi anche la

possibilità di controllo a distanza

Tutti i dati raccolti possono essere usati ai fini connessi al rapporto

di lavoro a condizione che sia data al lavoratore adeguata

informazione delle modalità d’uso degli strumenti e di effettuazione

dei controlli nel pieno rispetto della normativa sulla privacy

6

Videosorveglianza L’impiego di impianti audiovisivi o di altri strumenti da cui derivi anche

la possibilità di controllo a distanza del lavoratore possono essere

impiegati esclusivamente per le seguenti finalità :

Esigenze organizzative e produttive

Per la sicurezza del lavoro

Per la tutela del patrimonio aziendale

PREVIO

Accordo Sindacale , in difetto del quale è necessaria Autorizzazione DTL

Autorizzazione del Ministero del Lavoro per imprese dislocate in territori di

competenza di diverse DTL

7

Strumenti «lavorativi» e badge presenzeIl comma 2 del nuovo art. 4 stabilisce che l’accordo sindacale

l’autorizzazione della DTL non sono necessari per

1. Gli strumenti che sono utilizzati dal lavoratore per rendere la

prestazione lavorativa : è necessario un mansionario dettagliato

2. Gli strumenti di registrazione delle presenze e degli accessi in

azienda.

Tuttavia occorre che il datore di lavoro fornisca una adeguata

informazione ai lavoratori circa l’uso degli strumenti e la effettuazione

dei controlli nel rispetto delle previsioni contenute nel D.L.vo n.

196/2003.

8

Strumenti informatici – Min. Lav. 18/06/2015 Gli strumenti informatici/tecnologici, pc (software applicativi, mail,

internet, etc..) , tablet, cellulari, (Min. Lav. 18/06/2015) in dotazione

al dipendente per RENDERE la prestazione lavorativa, « gli attrezzi

da lavoro » non sono soggetti ad alcun accordo

Nel momento in cui tale strumento viene modificato con l’aggiunta di

appositi software di localizzazione e filtraggio, per controllare il

lavoratore, si fuoriesce dal disposto. Min. Lav. 18/06/2015

Strumenti borderline:

Auto aziendale/camion :Telepass, GPS del navigatore, sistemi

infotainment

Auto in fringe Benefits

In quale ambito ricadono? Devo fare l’accordo con le RSU?

9

Utilizzabilità dei dati raccolti Le informazioni raccolte ai sensi de 1 del 2 comma sono utilizzabili a

tuti i fini connessi al rapporto di lavoro a condizione che sia data al

lavoratore adeguata informazione delle modalità d’uso degli

strumenti e di effettuazione dei controlli nel rispetto di quanto

disposto dl decreto legislativo 30 giugno 2003 n. 196

OVVERO

INFORMATIVA e Raccolta consenso ai sensi del TU Privacy

Policy Aziendali

Regolamento utilizzo dispositivi e strumenti

10

Quindi….

La nuova formulazione dell’Art. 4, non liberalizza i controlli a distanza, ma chiarisce

le modalità di utilizzo degli strumenti tecnologici, nonché i limiti di utilizzabilità dei

dati raccolti tramite questi strumenti

infatti

I dati e le informazioni raccolti potranno essere utilizzati, in modo legittimo, a

sostegno di un licenziamento o di altre sanzione disciplinari di natura conservativa

solo ed esclusivamente se:

vengono rispettate tutte le norme previste in materia di protezione dei dati

personali;

al lavoratore viene data un’adeguata informazione sulle modalità d’uso degli

strumenti e sulle modalità di effettuazione dei possibili controlli..

La possibilità di utilizzare i dati nel rispetto del nuovo art. 4 richiede quindi

l’aggiornamento del corpo normativo aziendale, dei disciplinari, nonché del modello

organizzativo 231/2001 per quanto attiene alle sanzioni disciplinari.

11

Controlli: chi può farli e come- Ufficio Controlli Interni:

- Attraverso un Audit periodico Privacy, Policy aziendali, regolamento 231

- Definendo un piano di controlli: cosa e quando

- Identificando puntualmente un perimetro d’azione

- HR aziendale- Piano di verifica a campione del rispetto della normativa aziendale e delle regole

di uso degli strumenti di lavoro

- Di concerto con l’ufficio legale Ove abbia notizia di illeciti condotti a danno

dell’azienda da parte di uno o più dipendenti mediante istituo dell’ATP o di

indagini difensive preventive

- Ufficio Legale / AML- Ove ravvisi comportamenti illegali o illeciti a danno del patrimonio aziendale

mediante gli istituti dell’ATP o dei Indagini Difensive preventive

12

Controlli e Indagini informatiche in aziendaRegole per la conduzione di controlli e indagini informatiche su

strumenti aziendali

• I controlli, devono essere svolti secondo principi di gradualità e proporzionalità (1)

• In linea generale è preferibile che i controlli, ovvero le indagini informatiche, siano

effettuati da soggetti terzi esterni all’azienda, non coinvolti emotivamente ed esterni

alle dinamiche aziendali; quindi indipendenti

• E’ fondamentale che le evidenze dei controlli siano costituite da elementi oggettivi,

verificati e verificabili per poterle opporre validamente alla controparte

• Le prove informatiche, in ragione del fatto che potrebbero esser oggetto di un

contenzioso, e del fatto che presentano un alto grado di volatilità e alterabilità,

devono essere raccolte secondo i principi e i processi delle indagini informatiche

forensi per poterle opporre validamente avendo garanzia di rispondenza all’originale

e di riferibilità a un ben individuato momento(2) . Ove vengano meno queste garanzie

le prove non sono utilizzabili in giudizio.

(1) Garante Privacy Internet: proporzionalità nei controlli effettuati dal datore di lavoro - 2 febbraio 2006

(2) Cassazione Sezione Lavoro n. 2912 del 18 febbraio 2004, Pres. Mattone, Rel. Spanò

13

Raccolta delle prove «Digitali»

I metodi tradizionali della raccolta delle evidenze, in ambito Audit non sono sufficienti a garantire l’accettabilità della prova in giudizio.

E’ necessario un nuovo approccio che per le evidenze raccolte garantisca

• Accettabilità

• Autenticità

• Completezza

• Attendibilità

La Digital Forensics è la risposta metodologica e scientifica per gestire le prove IT

14

Prova tradizionale vs prova digitale

• tipicamente presenta le caratteristiche di tangibilità, misurabilità ed è definita

La prova tradizionale

• INTANGIBILE: è costituita da file, trasmissioni, più in generale dati distribuiti sulla rete aziendale o addirittura in Internet

• VOLATILE le tracce informatiche in ragione del dispositivo in cui sono memorizzate possono essere più o meno persistenti nel tempo. In ordine di volatilità decrescente: registri di memoria, ram, stato della rete, processi (programmi) attivi, file temporanei, dischi, log, floppy, nastri, cd, dvd, stampe.

• ALTERABILE la prova informatica/digitale può essere facilmente alterata=compromessa o addirittura distrutta senza che ne rimanga traccia, o senza trovarsi in prossimità del dispositivo come nel caso di cancellazione contenuti su Internet , reset remoto iPad etc..

La prova informatica /digitale

15

Dove può trovarsi la prova «digitale»Le prove di un illecito o di un reato possono trovarsi un gran numero di

strumenti utilizzati quotidianamente in azienda. Computer (desktop, portatili, server, appliance)

Stampanti (tutte hanno un sistema operativo, tipicamente una busybox linux, che le fa funzionare)

Memorie di massa (cd, dvd, pendrive, nastri, etc…)

Smartphone, blackberry, tablet,

Cloud: Dropbox, Onedrive, Gdrive, iCloud, OwnCloud, BitCasa, etc..

Instant Messaging e VOIP: whatsapp, telegram, skype, viber, confide,signal, Allo,…

History e file temporanei della navigazione

In definitiva tutto ciò che implementa un software, quindi anche:

Un navigatore satellitare

Un sistema di videosorveglianza

Il sistema di allarme

Il controllo accessi e il sistema registrazione presenze

Il computer di bordo di un’auto

La prova informatica è una prova atipica e quindi deve essere trattata

con metodi scientifici che siano di garanzia nelle fasi di acquisizione,

custodia, analisi ed estrazione delle evidenze

16

Fasi di un’indagine informatica «forense» Una indagine informatiche che voglia essere opponibile a terzi deve

seguire rigorose metodologie forensi

Idenfiticazione•Isolamento della scena

criminis

•Identificazione di cosa può costituire prova o contenerla

Acquisizione •Copia forense di dischi,

chiavette USB, Smartphone, contenuti Cloud etc..

•Attivazioe catena di custodia

Analisi•Accertamenti tecnici alla

ricerca di evidenze

•Al termine dell’analisi verifica consistenza e congruenza dei dati rilevati con TimeLine per la correlazione degli eventi

Presentazione•Formulazione report

attività, perizia, riportati in forma comprensibile anche ai non tecnici, documentando ogni passo seguito per il rinvenimento delle evidenze per rendere l’accertamento verificabile e non contestabile

17

Perché tanto rigore

1) La prova che andiamo a cercare deve formarsi con tutti i crismi della prova utilizzabile

in giudizio; se, come spesso accade, viene contestata e si va in giudizio la prova e gli

elementi che portiamo come prove devono essere incontestabili

2) Al dipendente a cui si vuole applicare una sanzione disciplinare o il licenziamento

devono essere contestati dei fatti oggettivi, documentati e verificabili.

3) Le prove acquisite senza le garanzie di autenticità accuratezza e completezza non

hanno valore probatorio quando si arriva ad un contenzioso giudirico che vede

contrapposti azienda e dipendente

4) La legge 48/2008 sottolinea l’esigenza di adottare strumenti e processi per

l’acquisizione della prova atti a garantire la genuinità della prova digitale.

5) Un soggetto terzo, un consulente informatico forense che usa le metodologie forensi,

è garanzia di imparzialità perché non è coinvolto nelle dinamiche aziendali e perché

con la firma della relazione tecnica/perizia diviene garante, anche in un processo, di

come ha condotto le indagini, di quanto ha scoperto e delle conclusioni a cui giunge

18

Fattispecie di indagine su dispositivi

informatici• Mancato rispetto policy aziendali– Uso degli strumenti aziendali per fini personali (smartphone, notebook etc.. Sono spesso

percepiti come benefit e non come strumenti aziendali)

– Conservazione di dati privati, di natura anche sensibile, sui dispositivi aziendali (foto, esami

clinici, email private, etc.)

– Uso privato della posta elettronica aziendale

– Condivisione documenti tecnici e contabili riservati con terzi esterni/concorrenti all’azienda

– Condivisione documenti aziendali su forum, newsgroup o altri canali

– Uso di credenziali aziendali per partecipare a social network, forum o altre attività non

attinenti alle mansioni

– Uso di credenziali private, account Google/iCloud,Microsoft, Dropbox, email, numero di

telefono, per lo svolgimento dell’attività lavorativa

– Utilizzo di tecniche di evasione per aggirare gli strumenti di controllo della navigazione

(online proxy, deepweb etc..)

– Utilizzo di chiavette USB, e modalità storage smartphone (spesso veicolo di infezioni virus

gravi come i cryptoloker)

– Installazione e utilizzo di software personale o non acquistato dall’azienda

– Download mediante canali p2p di materiale coperto da copyright (film, libri, software)

– Denigrazione dell’azienda in Internet, social network, forum, gruppi di discussione

19

Fattispecie di indagine su dispositivi

informatici• Concorrenza Sleale Ex Socio/Dipendente Infedele– Furto di dati aziendali mediante copia massiva dati aziendali su chiavette, dischi usb, cloud o via mail

– Furto di dati aziendali mediante Stampa massiva di documenti aziendali

– Violazione dell’obbligo di diligenza

– Appropriazione know-how aziendale per attività concorrente

– Imitazione servile di prodotti e servizi

• Frode– Uso e rendicontazione truffaldina di carte di credito, carte carburante, pedaggi, kilometraggio

– Alterazione dati contabilità

– Falso in bilancio

– False attestazioni di presenza

– Falso documentale

• Reati– Trattamento illecito di dati

– Accesso abusivo ai sistemi

– Detenzione e/o diffusione di codici di accesso

– Inside attack

• Interruzione/intercettazione comunicazioni elettroniche

• Danneggiamento sistemi informatici

• Interrruzione pubblico servizio (enti statali, parastatli o assimilati, servizio CUP prenotazione visite mediche)

20

L’acquisizione forenseNon possiamo analizzare la fonte di prova originale in quanto:

Rischieremmo di comprometterla o di essere accusati di averla manipolata

Quindi operiamo una copia Forense della fonte di prova e conduciamo le

analisi sulle copie di questa.

La copia Forense di una fonte di prova Informatica è l’analogo Digitale

della « copia conforme all’originale » del mondo analogico .

Per computer e server consiste in

Calcolo dell’hash sul dispositivo originale,

copia bit a bit del contenuto delle memorie di massa senza alterare minimamente

la fonte di prova (uso di dispositivi o di presidi tecnologici adeguati)

calcolo dell’hash della copia e verifica della corrispondenza all’originale

Presenta problematiche relative a:

Cifratura dei dischi, utilizzo di password, dischi ssd trimming, utilizzo di tecniche

di antiforensics

21

L’acquisizione Forense Per gli smartphone

consiste in:

copia fisica o logica dello smartphone in ragione degli obiettivi e del tipo di dispositivo

Calcolo dell’hash dei dati originali e verifica con l’hash delle copie forensi.

Presenta problematiche relativamente a:

Possibilità di alterazione/cancellazione/compromissione da remoto il contenuto

– Bassa standardizzazione Hardware e Software (molte varianti di sistemi operativi(Windows, Android, iOS, bada, etc…

Cifratura dei dati

Protezione da pin

Per in contenuti web e cloud l’acquisizione forense consiste nell’adottare un procedimenti e processi che forniscano garanzia di rispondenza

all’originale e la riferibilità ad un momento ben individuato in quanto le informazioni tratte da

una rete sono per loro natura voltatili e suscettibili di continua trasformazione (cassazione

lavoro n 2912 18 Febbraio 2004)

Sistemi di protezione: contenuti pubblici e privati, password di accesso, aree crittografate,

contenuti cifrati sulla rete.

22

L’Analisi E’ la fase di indagini tecniche volte alla ricerca di specifiche evidenze.

Può riguardare :

• Documenti (DOC, XLS, PDF, …)• Video e Immagini• Email , PEC, webmail, • Cronologia dei browser e file temporanei• Sistemi di chat: skype, lync, whatsapp,

telegram, signal• File sharing:P2P, Torrent, Emule• Database di contabilità, sistemi ERP, CRM

SAP• Software (aziendale, personale, craccato)• File di Log• Registri di sistema e ActiveData Stream• File e cartelle cancellati

• File e cartelle nascosti• Slack Space, • Bad Blocks• File cifrati, o uso si steganografia,

Partizioni nascoste• Sms in ingresso ed uscita compresi quelli

cancellati• La Rubrica telefonica, compresi i cancellati• Registro delle chiamate, anche quelle

perse (che le telco cancellano dai tabulati dopo 30 gg)

• Dati GPS, percorsi seguiti, posizioni mantenute, velocità e orari

Al termine dell’analisi deve essere fatta la verifica della consistenza e congruenza dei dati rilevati con la timeline degli eventi del caso

23

Relazione tecnica La relazione tecnica o Perizia deve spiegare, in un linguaggio non

prettamente tecnico, i passi seguiti, le analisi condotte e i risultati

raggiunti.

A garanzia della genuinità e correttezza di quanto eseguito, deve

anche documentare gli strumenti usati e le elaborazioni eseguite.

Tutto ciò per rendere verificabile ripetibile gli accertamenti eseguiti e

poterli opporre alla controparte senza tema di smentita

Può sembrare superfluo ma: Non deve essere stampata con stampante a getto di inchiostro, un bicchiere d’acqua

o l’umidità potrebbe renderla non più leggibile

Deve essere stampata a colori quando il colore permetta di evidenziare meglio alcuni

particolari.

24

Scendiamo nel pratico

Casi reali

di indagini informatiche aziendali

che abbiamo trattato

25

Case n.1 : Dipendente InfedeleScenario:

L’azienda X da tempo sospetta che il dipendente «mario rosi» abbia

qualche attività collaterale a causa del suo scarso rendimento: infatti

è costantemente a lavorare sul computer aziendale ma con scarsi

risultati per l’azienda. Il suo dirigente ha provato anche a porsi

accanto al dipendente e sorvegliare la sua attività, intravedendo

documenti dal nome non riferibile a documenti trattati dall’ azienda,

inoltre è stato notata una certa ricorrenza nell’uso di un disco USB.

Il dipendente ha un ruolo di commerciale dell’azienda per il quale gli

è affidato un portatile, una chiavetta Internet e uno Smartphone

Nel 2012 quando «mario rossi» è entrato in azienda ha sottoscritto

un regolamento aziendale concordato con le rsu molto ben fatto e

che prevede il potere ispettivo dell’azienda, potere sancito anche nel

contratto di non concorrenza sottoscritto dal «rossi».

26

Case n. 1• Si procede all’acquisizione forense dello smartphone e del computer

portatile

• L’analisi dello smartphone rivela: La cronologia delle chiamate evidenzia un uso intenso dello smartphone anche al difuori dell’orario di lavoro

e verso numeri che non risultano essere associati a clienti dell’azienda o a prospect commerciali

L’analisi di whatsapp evidenzia la presenza di 2 gruppi denominati «Coaching Basket: vincenti nello sport e

nella vita» e « Vincere le sfide nello sport» che riportano numeri di soggetti non connessi all’attività

aziendale

• L’Analisi del computer portatile rivela: Numerosi file docx relativi a testi non pertinenti l’attività lavorativa elaborati durante l’orario di lavoro.

Numerosi file PPT elaborati dal dipendente relativi al coaching nello sport.

Molti file pdf, alcuni relativi alla contabilità dei diritti SIAE dei libri scritti dal dipendente, altri relativi a contabili

bancarie, altri risultano essere libri sul coaching che molto probabilmente venivano usati per formazione

personale dal soggetto, tutto materiale coperto da copyright

Dall’esame della mailbox aziendale si scopre che il soggetto gestiva e organizzava, mediante la mail

aziendale, sessioni di coaching a pagamento, prenotando alberghi per convegni e aule per la formazione.

Questo fino a 3 mesi prima dell’accertamento, da allora inizia ad usare la webmail di gmail con il suo

indirizzo personale

Sono rinvenute migliaia di foto degli eventi di coaching sportivo organizzati dal soggetto

27

Case n. 1

Conclusioni:

• Si addiviene a comprendere che si tratta della professione di cui

l’azienda ha i sospetti e che distrae mario rossi dalle sue mansioni

• L’azienda avvia le procedure per il licenziamento contestando

diversi elementi fra cui– l’uso degli strumenti aziendali, computer, tempo, connessione aziendale ad Internet,

mail per fini personali

– la conservazione di dati privati in aree pubbliche del computer e non in aree personali

(Garante Privacy e regolamento aziendale)

– La detenzione di materiale coperto da copyright sul computer aziendale in un area

«non personale»

28

Case n. 2 : ex dipendente Scenario:

Giuseppe Verdi, ormai ex dipendente della «Colli Torti srl» dopo

l’uscita dall’azienda ha avviato una usa attività

La «Colli Torti srl» da dopo l’uscita di Verdi ha perso alcuni importanti

clienti

Dai contatti e le amicizie che Verdi ha in azienda sembra che Verdi

conosca molto bene quello che succede in azienda, come se avesse

una talpa che gli riferisce tutto o potesse accedere alle informazioni

aziendali o alle email

29

Case n. 2Avviata l’indagine si è proceduto ad effettuare alcune verifiche e

riscontri

Il controllo dell’utenza di Verdi conferma che sul sistema informatico

aziendale non sono state disattivate le utenze assegnate all’ex

dipendente.

L’esame dei log di accesso alla connessione VPN evidenzia che

l’ex si collega con una certa regolarità, si collega all’azienda via vpn

dalle 21 alle 23 da circa 3 mesi, ovvero da quando è uscito

dall’azienda. I log sono cristallizzati con le tecniche di Digital

Forensics in quanto rappresentano una importante fonte di prova

Si procede quindi al blocco dell’utenza da cui si osserva come l’ex

dipendente provi a tentare l’accesso per ben 4 giorni nonostante la

sua utenza non sia più abilitata all’accesso via VPN. Si procede alla

cristallizzazione forense anche di questi log.

30

Case n. 2 Passano 20 giorni e emergono elementi che fanno ritenere che il

Verdi possa riuscire, in qualche maniera, ad accedere alle

informazioni aziendali scambiate via mail fra le figure apicali.

Si decide di far cambiare password della mail a tutte le figure

apicali. La sera stesa si notano numerosi tentativi di accesso falliti

alla webmail con l’utenza del Direttore Generale, tutti dallo stesso

indirizzo IP. Idem si procede alla cristallizzazione dei log

Credendo di aver risolta la questione l’azienda sporge denuncia per

accesso abusivo al sistema informatico corredandolo la denuncia

delle evidenze raccolte e della nostra perizia.

Passa circa un mese prima che ritorni in azienda «la sensazione di

essere spiati». Si valuta la presenza di una talpa all’interno

dell’azienda che gira materiale riservato all’ex dipendente

31

Case n. 2 Si procede quindi all’esame del Computer assegnato all’ex

dipendente, nonostante siano passati diversi mesi, ma questo non

rileva niente di particolarmente significativo e interessante, fatta

eccezione per alcuni indirizzi email privati a cui si scopre il Verdi

inoltrava materiale.

Vengono messi in blacklist sul server di posta gli indirizzi email

privati dell’ex dipendente

Emerge quindi una talpa nell’azienda che cerca di inviare più volte

materiale, appunti, note all’ex dipendente. I log del server di posta

sono testimoni della sua azione criminosa.

La pratica si conclude con l’integrazione della precedente denuncia

e il licenziamento del soggetto che faceva da talpa

32

Case n. 3 Dipendente InfedeleScenario:

L’azienda X offre servizi di logistica integrata, parte del suo business deriva da appalti

pubblici a cui partecipa. negli ultimi tempi l’azienda sta perdendo molti bandi su cui

faceva affidamento e di cui era abbastanza certa, ma soprattutto molti dei bandi vedono

passare l’assegnazione all’azienda concorrente «Y Logistica»

Inizia il processo di analisi e indagine della «scena del crimine» alla ricerca di elementi di

supporto

• L’analisi del contesto aziendale ci svela che la divisione bandi è costituita da n. 2

persone che si occupano esclusivamente di questa attività. Negli ultimi 18 mesi i

rapporti con uno dei due, «Giuseppe», si sono irrigiditi a causa di mancati

riconoscimenti di carriera e di obbiettivi raggiunti.

• Si decide di agire in parallelo su due filoni di indagine:

– Da una parte si esaminano i log del server di posta alla ricerca di contatti email dell’azienda

concorrente

– Dall’altra si decide di eseguire un’analisi del computer di «Giuseppe» temendo che collabori

con aziende concorrenti

33

Case n. 3Le indagini portano alla luce i seguenti elementi :

Log server di posta: non ci sono contatti fra l’azienda e la

concorrente, o perlomeno non attraverso indirizzi email «ufficiali»

dell’azienda concorrente.

Dall’analisi del Computer emergono elementi importanti: Copie Massive di file su chiavette usb e dischi esterni di materiale riguardante i bandi, in

prossimità delle scedenze degli stessi.

Frequenti scambi email con uno specifico indirizzo email, si tratta di email in buona parte

cancellate che sono state recuperate. Il loro recupero e l’analisi mette in luce che si tratta di

un indirizzo email non ufficiale della «XY Logistica» con cui venivano scambiati numerose

mail ma in particolare i prezzi e la documentazione di partecipazione ai bandi.

La pratica si è conclusa con il licenziamento e la querela del

dipendente infedele

34

Case n. 4 Pratiche commerciali scorretteScenario:

L’azienda MacchinariXY che commercializza ingranaggi di precisone si accorge di una emorragia di

clienti. Uno dei clienti gli confessa di essere stato contattato da tale «Giovanni Tarabusi» della società

«Macchinari Professionali» che, per gli stessi prodotti, gli ha praticato prezzi più convenienti. Per

l’azienda la situazione è certamente più chiara: «Giovanni Tarabusi» fino a 6 mesi fa era un

dipendente dell’azienda che si è licenziato per intraprendere una sua attività.

Inizia il processo di analisi e indagine della «scena del crimine» alla ricerca di elementi di supporto

Ispezionando il sito dell’attività concorrente «Macchinari Professionali» si scopre che oltre al

layout del sito che è molto simile, quasi identico, a quello di MacchinariXY, le schede prodotto

riportano esattamente le stesse informazioni commerciali e caratteristiche del sito di

MacchinariXY. Si esegue una copia forense del sito della società «Macchinari Professionali»

L’esame della copia forense del sito clone evidenzia come le immagini del sito siano esattamnete

le stesse del sito originale, stesso hash, e anche i parametri che vengono passati per accedere ai

prodotti sono gli stessi opportunamente rinominati ma con i soliti valori del sito originale, ad

esempio lo stesso codice prodotto,il cuscinetto X ha il codice prodotto 589 sul sito originale e

anche sul sito clone, oltre ad avere la stessa foto e le stesse schede descrittive.

Il computer che era assegnato a «Giovanni Tarabusi» 6 mesi prima è stato riassegnato ad un’altra

persona con un’utenza diversa. Si decide di concerto con la Direzione Aziendale di tentare la

strada dell’indagine sul computer

35

Case n. 4L’indagine sul computer porta alla luce i seguenti elementi: Il signor Giovanni usava l’applicazinoe dropbox . Con questa applicazione condivideva cartelle

prodotto, elenco clienti e fornitori e il listino prezzi. Accedendo a Dropbox con la stessa utenza,

magari da casa, riusciva a copiarsi sul computer personale i dati aziendali

Il signor Giovanni ha intrattenuto con l’indirizzo email della moglie del nuovo socio, un intenso

scambio di mail relative ai piani della nuova attività e alle strategie commerciali

Risulta inoltre che il signor Giovanni ha più volte connesso al computer aziendale un disco

esterno usb da 500GB su cui avrebbe avviato una copia massiva di documenti del pc il fine

settimana precedente alla sua uscita dall’azienda.

Il computer presenta tracce dell’installazione di iTunes ma non è stato possibile recuperare le

credenziali di accesso Apple ID, ad iTunes per poter recuperare i backup del telefono aziendale

un iPhone 5S ed esaminali, questo perché il telefono è stato restituito a TIM e quindi non è

possibile procedere all’anali dei dati dello stesso.

L’indagine ha permesso di accertare la condotta di pratiche commerciali scorrette:

clonazone sito, con le stesse foto, le stesse descrizioni, ma anche l’uso dell’elenco degli

elenchi clienti e fornitori nonché del listino prezzi sottratti all’azienda attraverso dropbox e

molto probabilmente anche attraverso un disco esterno da 500GB

36

Case n. 5 Web ReputationScenario:

• Azienda settore alimentare in crisi, con tensioni sindacali che vanno avanti

da diversi mesi

• La rappresentanza sindacale apre una pagina su blogspot per riportare le

proprie iniziative. La pagina su blogspot è aperta a tutti e non moderata .

• A seguito di uno sciopero iniziano i commenti fra i quali alcuni dai toni

molto accesi, ma comunque rispettosi, fino a quando un tale signor

«Andrea» inizia a postare commenti pesanti, arrivando a sostenere che

l’azienda con la crisi ha ridotto la qualità dei prodotti, e usando anche

materie prime non proprio salutari solo a vantaggio del profitto etc…

• La pagina della RSU è ripresa da alcuni giornali locali che usano i

commenti per riportate lo stato di tensione presente.

• Ne deriva un grave danno di immagine per l’aziendale che ritiene le

affermazioni fatte dal signor Andrea siano fale e prive di ogni fondamento

37

Case n. 5Avvio delle indagini con analisi della scena criminis

- Sono state cristallizzati i contenuti web della pagina denigratoria

dell’azienda.

- Attraverso tecniche di OSINT si è risaliti all’identità reale di

«Andrea» attraverso il suo profilo Google+ che riportava alcuni suoi

vecchi post firmati con nome e cognome. Si sono cristallizzate

anche queste evidenze.

- Il fascicolo di prove raccolto è stato allegato alla denuncia per

diffamazione.

38

Tips & Triscs Logging. Attivate per quanto possibile il maggior livello possibile di logging di server, pc, firewall. Il log forniscono

molte informazioni

Keep Kalm e non compromettere le fonti di prova. Se avete un sospetto su un ex dipendente maneggiate il

meno possibile gli strumenti in dotazione al soggetto, ed evitare di fare reinstallazioni, ripristini di fabbrica o reset.

Tempestività. Se si decide di fare una verifica, un accertamento tecnico su un dispositivo informatico piuttosto

che su una pagina di Facebook, la parola chiave è tempestività. Una pagina in Internet può essere cancellata o

modificata in qualsiasi momento, un messaggio whatsapp o un sms, ma anche una mail potrebbero essere

cancellate inavvertitamente o scomparire da Gmail dopo 30 giorni. Quindi Tempestività è la prima regola da

seguite

GMAIL: Attenzione le mail che spostate nel cestino di Gmail, dopo 30 giorni vengono cancellate da Google, quindi

se avete qualcosa di importante e interessante che avete spostato nel cestino di Google: levatelo dal cestino e

procedete ad un accertamento tecnico con Tempestività prima che elementi fortuiti possano pregiudicare la

sopravvivenza della prova

Servizi Cloud: dropbox, google drive, office 365, Onedrive, Attivate un contratto business con cui assegnare e

poter gestire le utenze e i contenuti. L’uso di credenziali personali in contesto lavorativo può creare qualche

problema in particolare quando la persona esce dall’azienda

Account Smartphone. Attivate un contratto business per i servizi Google e iOS e Windows, per poter assegnare

e gestire le utenze con cui gli smartphone azienadli si registrano. L’uso delle credenziali personali su dispositivi

azienali espone l’azienda ad un maggior rischio di sottrazione di dati difficilmente verificabile a posteriori sugli

account cloud

E soprattutto prima di prendere qualunque iniziativa consultatevi con un esperto, non con il tecnico o l’amico

smanettone; intervenire dopo interventi maldestri è molto più complesso

39

Q & A

Dott. Alessandro Fiorenzi

Consulente Informatico Forense, Cyber Security, Audit & Compliance

Direttivo ONIF

Comitato Tecnico Scientifico Clusit

Mail af@studiofiorenzi.it

Sito www.studiofiorenzi.it

Mobile +39 3487920172 Whatsapp,Telegram, Signal,Allo

Facebook https://www.facebook.com/studiofiorenzi.it/

Linkedin https://www.linkedin.com/in/alessandrofiorenzi

Twitter @fiorenzics

40