Raggruppamento Operativo Speciale...Raggruppamento Operativo Speciale Reparto Indagini Telematiche...

Raggruppamento Operativo SpecialeReparto Indagini Telematiche

Le nuove frontiere dell’acquisizione degli elementi di prova nel Cyberspace

Milano, 11-12 maggio 2016


Agenda

Mock Case

Definizioni

Questioni aperte

Cyberspace


Cyberspace

Cyberspace Vs. Domicilio Informatico

• Secondo la ISO 27032:2012 è «the complexenvironment resulting from the interaction of people, software and services on the Internet by means of technology devices and networks connected to it, whichdoes not exist in any physical form»


• Possiamo affermare che il cyberspace potrebbe – in parte – essere assimilato al c.d. “domicilio informatico”?

• Se così fosse, è da intendersi come un’area di pertinenza virtuale a geometria variabile nella disponibilità diretta della parte non necessariamente coincide con il contenuto informativo del dispositivo fisico in esame, ma può essere distribuito anche in aree diverse dal territorio nazionale, come ad esempio il Cloud.

Digital Investigation


• ISO 27043:2015 pt. 3.6 - Digital Investigation

– «use of scientifically derived and proven methods towards the identification, collection, transportation, storage, analysis, interpretation, presentation, distribution, return, and/or destruction of digital evidence derived from digital source, while obtaining proper authorizations for all activities, properly documenting all activities, interacting with the physical investigation, preserving digital evidence, and maintaining the chain of custody, for the purpose of facilitating or furthering the reconstruction of events found to be incidents requiring a digital investigation, whether of criminal nature or not».

Definizione

Le problematiche

• Il principale problema derivante dalle indagini in materia di criminalità informatica in Internet è l’“aterritorialità”.

• Si pongono dunque problemi che si collocano a diversi livelli:

– Livello investigativo : ampio terreno da monitorare;

– Livello procedurale: chi è competente a fare cosa;

– Livello di diritto penale : a quale legge penale, di quale Stato, bisogna fare riferimento.

Digital Investigation


Oggi tenteremo di

approfondire un case

study tecnico-

investigativo,

ripercorrendo una delle

possibili strade

percorribili.

Mock Case

La Vicenda

• Il Sig. Mario ROSSI è indagato peralcune rapine avvenute in un certoterritorio.

• nell’ordinanza di custodia cautelare, viene disposta anche una perquisizione informatica (ex art. 247 co. 1-bis c.p.p.), al fine di accertare la presenza di coordinate GPS riconducibili ai luoghi in cui sarebbero avvenute le rapine oggetto d’indagine,

• Durante l’atto a sorpresa la parte vienetrovato nella disponibilità di un tablet,marca Samsung, dotato di sistemaoperativo Android.


Standard per un’indagine informatica

Esiste uno standard

per svolgere

un’indagine

informatica?


ISO Standard per le investigazioni digitali


• 27035:2011 : Linee guida per la gestionedegli incidenti informatici in grandi e medieaziende.

• 27037:2012 : Linee guida per la gestione dei dispositivi informativi rinvenuti sulla scena del crimine.

• 27041:2015 : Linee guida per la valutazione dell’adeguatezza dei metodi investigativi adottati in un’indagine in materia di criminalità informatica.

• 27042:2015 : Linee guida per l’esecuzione

dell'analisi ed interpretazione dei dati acquisiti

dai dispositivi informatici rilevati sulla scena

del crimine.

• 27043:2015 : Linee guida che fungono da

preambolo a tutte le attività della Digital

Investigation.

Lev. 1 - Manuale

• Foto e Video;

• Attività descrittive.

Lev. 2 – Logica (o Live)

• Semplice:

• Backup;

• API.

• Avanzata:

• Volume.

Lev. 3 - Fisica (o Raw)

• Software:

• Hex dumping (o Bitstream).

• Hardware:

• JTAG;

• Flasher Box

Lev. 4 - Chip-Off

• Raw data

Lev. 5 - Micro Read

• electronicmicroscope(solo teorica)

Tipologie di acquisizione per dispositivi mobile

Linee Guida del NIST


Misure tecniche – acquisizione di Livello 1

• Da un preliminare accertamento emerge che la strumentazione in possesso degli operanti non supporta né l’acquisizione c.d. “fisica” di tipo software based (Livello 3), né quella logica avanzata (Livello 2.2) in quanto, un’attività di rooting (acquisizione di diritti amministrativi) realizzata su tale tablet, avrebbe potuto causare una deindicizzazione di tutti i dati, quindi una potenziale perdita di un patrimonio informativo utile alle indagini.

Gli accertamenti urgenti


Misure tecniche - acquisizione

Cosa faccio in

questo caso?



Misure tecniche – La chiave di volta

Servizi Cloud

Based …



Estensione dell’attività di ricerca anche presso il domicilio

informatico Cloud

• Illuminati dal fatto di poter identificare i dati richiesti dall’A.G. presso una “pertinenza virtuale”, la P.G. :

1. invita la parte ad una fattiva collaborazione con le indagini, chiedendo se spontaneamente comunica le credenziali per accedere al suo domicilio informatico sito presso il CSP Google;

» Puntualmente la parte viene colto da un momento di amnesia, asserendo quindi di non ricordare la password.



Vuole collaborare con le

indagini, comunicandoci

le credenziali?

Eeee…. Veramente non le

ricordo!


informatico Cloud


2. procede all’abbattimento degli ostacoli (in questo caso una o più misure logiche di sicurezza) tramite l’avvio della procedura di reset della password.

» Google per autorizzare tale procedura avrebbe inviato un codice di autorizzazione tramite SMS ad un data utenza telefonica (che verrà anch’essa sequestrata).



1 2


informatico Cloud


3. una volta ultimata la fase di modifica delle misure logiche poste a sicurezza del domicilio informatico, la P.G. si assicura una quanto minima cinturazione della scena del crimine informatico;




informatico Cloud


4. procedono a realizzare il “sopralluogo virtuale” sfruttano la possibilità di acquisire, anche in maniera selettiva (ISO 27037:2012 punti 7.1.3.3/4), tutti i dati presenti nel profilo Google in disamina, concentrando quindi la loro attenzione:

» sulla effettiva corrispondenza tra il tablet in sequestro e quello registrato presso i server di Mountain View;

» sulla effettiva attivazione dei servizi di localizzazione e successiva analisi nel periodo d’interesse.




informatico Cloud



Acquisizione dei dati da remoto

• Al fine di garantire sia la ripetibilità che la riproducibilità delle informazioni assunte dall’accusa, la P.G. acquisisce i dati :

1. JSON (JavaScript Object Notation);

2. in formato KML (Keyhole Markup Language).

1

2



Considerazioni finali

• I dati così acquisiti potranno essere considerati solo elementi indiziari che dovranno integrare le fonti di prova già assunte presso altri Enti terzi, come ad esempio:

– tabulati celle telefoniche;

– apparati di video sorveglianza;

– file di log ed estremi di contratto (SLA) da parte del CSP;

– analisi dei reperti da parte degli organi di Polizia Scientifica o Consulente del PM;

– ecc.



Esigenze di un “approccio ibrido”

• L’impatto che ha avuto il cloudcomputing sulle moderne indagini informatiche ha di fatto stravolto la netta distinzione che vi era fino a poco tempo fa tra Digital Forensics e Digital Investigation, richiedendo la realizzazione di un “approccio ibrido” dovuto a problematiche tuttora aperte e che sono di tipo:

– organizzative;

– legali;

– tecnologiche.

Digital Forensics o

Investigation?

organizzativi

legali

tecnologici



Problematiche

Chi nomino

custode?Come cinturo?

Basta la modifica delle

credenziali?

Se il provider disattiva

l’account?

Originale rispetto a cosa?

Al dato remoto o quello

acquisito?



Problematiche

• Sono dovute al fatto che l’operatore di P.G. non ha più il pienocontrollo sugli elementi digitali ritenuti di pertinenza con il contestoinvestigativo, pertanto gli risulterà difficile soddisfare a pieno tutti iprincipi introdotti dalla L. 48/2008, come ad esempio l’adozione oimpartizione di prescrizioni necessarie ad:

– assicurare la conservazione dei dati: un CSP, che sovente è straniero, difficilmentepotrà essere nominato custode (art. 259 c.p.p.) dei dati da voler sequestrare;

– impedire l’alterazione e l’accesso ai dati: cinturare una scena del crimine virtualecome quella cloud è una sfida assai ardua, in quanto il paradigma è fondato propriosull’ubiquità degli accessi alla risorsa remota.

» Probabilmente uno stratagemma efficace consiste nel modificare tutte lecredenziali utilizzate per accedere alla risorsa (es. password, email di recuperopassword, utenza telefonica per l’autenticazione a due fasi, ecc.), sperando chenel frattempo il CSP collabori con le FF.PP. e non disattivi l’account per nonuso.

– assicurare la conformità della copia all’originale: solo pochissimi CSP sono in gradodi fornire tale dettaglio sui dati tramite apposite API (es. Google )



DOMANDE ?


Raggruppamento Operativo Speciale...Raggruppamento Operativo Speciale Reparto Indagini Telematiche...

Documents

Transcript of Raggruppamento Operativo Speciale...Raggruppamento Operativo Speciale Reparto Indagini Telematiche...