Le prove informatiche nel contesto aziendale

DirICTo

Le prove informatiche nel contesto aziendale

Filippo Novario

Filippo Novario

Informatizzazione aziendale

• Anni ’60: da computazione a trattamento dei dati• Anni ’80: PC, reti, Database, Sistemi Informatici

– Da sicurezza fisica a sicurezza connettiva

• Nasce IT Security: interconnessione e fragilità

Le prove informatiche nel contesto aziendale

Filippo Novario

• Nasce IT Security: interconnessione e fragilità sistemi – Sicurezza: da connettività a digitalità

• software di tutela dei sistemi: firewall e antivirus• crittazioni flussi di dati: tunneling e reti di dati

• L’informatica: violabile, ICT security deterrente• Attenzione del legislatore:

– obbligo di sicurezza– repressione degli illeciti

Le prove informatiche nel contesto aziendale

Filippo Novario

– repressione degli illeciti

• Riflessi giudiziali, informatici ed aziendali1.creazione di S.I.2.creazioni di S.I. sicuri3.creazione di S.I. giuridicamente corretti4.creazione di S.I. giudizialmente accertabili

Stato dell’arte

• Nonostante le necessità i S.I.:– Si mostrano quali strutture complesse e trasversali a

qualunque attività commerciale e pubblica– Orientati alla produzione o al servizio– Quindi difficili:

Le prove informatiche nel contesto aziendale

Filippo Novario

– Quindi difficili:• Da rendere sicuri• Da rendere analizzabili• Da rendere atti alla prova digitale

• Necessario ben comprendere l’essenza della prova digitale

La prova digitale

• Oggetto delle prove informatiche: i dati– contenuti in componenti hardware– Caratteristiche: digitali, variamente rappresentabili,

immateriali

Le prove informatiche nel contesto aziendale

Filippo Novario

• Prove informatiche sono prove:– tecniche e scientifiche– Storiche: rappresentano cose o fatti– Dirette: recano atti compiuti da un utente, registrati e

immagazzinati– Documentali: dato = informazione in numeri

Computer Forensics

• Scienza che studia il valore , inteso come resistenza alle contestazioni in sede giudiziale, che un dato correlato ad un sistema informatico o telematico può

Le prove informatiche nel contesto aziendale

Filippo Novario

sistema informatico o telematico può avere in ambito giuridico

• Estensione alla tecnologia informatica di teorie, principi e prassi proprie delle scienze forensi generalmente intese

• Coinvolge tre settori con competenze differenti :– L’informatica– La procedura giudiziale

Le prove informatiche nel contesto aziendale

Filippo Novario

– Le prassi investigative

• Analisi di Computer Forensics:– computer forensics– network forensics– intrusion forensics

• Non limitata ai soli computer crimes

• Scopo della Computer Forensics:• Conservare• Identificare• Acquisire• Documentare

Le prove informatiche nel contesto aziendale

Filippo Novario

• Documentare• interpretare

– dati rilevanti per il diritto• senza alterarli o modificarli• Differenza con le comuni prove per esperto: garantisce

tecnicamente la non manipolazione degli oggetti su cui viene disposta

• Fine della Computer Forensics:• Acquisizione, Garanzia, Analisi

– Di prove derivate da elementi tecnici

• Obiettivi raggiunti mediante l’utilizzo:

Le prove informatiche nel contesto aziendale

Filippo Novario

• Obiettivi raggiunti mediante l’utilizzo:– Tool Forensics: software/hardware per

acquisizione , custodia e analisi di elementi di prova informatici

– Best Practices: prassi per lo svolgimento delle operazioni tecnico-investigative

• Riguardano fasi antecedenti e successive utilizzo di tool• Elaborate dai singoli organi di investigazione scientifica

Copia forense dei dati• Acquisizione dati: creazione immagine forensi:

– supporti di memorizzazione

– flussi di dati

• Immagine forense: esatto duplicato , bit per bit,

Le prove informatiche nel contesto aziendale

Filippo Novario

• Immagine forense: esatto duplicato , bit per bit, dei dati, comprendente:– porzioni di file– file danneggiati– frammenti di file– aree non occupate dei supporti.

• Misure tecnico-informatiche:• Approccio del tool forensics al calcolatore da clonare.

– Algoritmo a bassa complessità computazionale– Con report dati copiati, bad sector e problemi tecn ici– Associato a tecnologie di Write Blocker .

Le prove informatiche nel contesto aziendale

Filippo Novario

• Calcolo dell’ valore di hash ,– Funzione matematica unidirezionale: digitali finger print– Sull’originale e copie

– Genuinità:• hash coincide = identità immagine forense a originale• hash non coincide ma report mostra errori: copia valida• hash non coincide e report mostra errori: copia non valida

• Opzione: ispezione dei supporti– Analisi : svolta su copie forensi = non modificazioni

originale– Possibile osservare file sul supporto originale:

• opzioni di sola lettura attraverso tool forensics

Le prove informatiche nel contesto aziendale

Filippo Novario

• opzioni di sola lettura attraverso tool forensics• Analisi sommaria immediata• Disporre di copia solo in presenza di file rilevanti

• Tool proprietari o opensource : no distinzione corretta– Essenziale l’utilizzo da parte di autorità investigative

indipendenti ed internazionali

L'analisi dati e attitudine probatoria• Computer Forensics influisce sul merito

dell’analisi delle fonti di prova– Dati reperiti: porzioni o agglomerati con

caratteristiche– Analisi = corretta ricostruzione digitale dei fatti o di

Le prove informatiche nel contesto aziendale

Filippo Novario

– Analisi = corretta ricostruzione digitale dei fatti o di elementi rilevanti

• Attitudine probatoria dei file: due categorie: – evidenze informatiche : la cui presenza può far

riscontrare l'evento o la condotta di un illecito – programmi : file che necessitano di un'analisi per

divenire evidenti

Effetto forensics in azienda

• Le possibilità offerte dalle attività forensics:– Prova di violazioni informatiche subite dall’ente (ex.

tutela da computer crime)– Prova di violazioni informatiche disposte dall’ente (ex

tutela del consumatore)

Le prove informatiche nel contesto aziendale

Filippo Novario

tutela del consumatore)– Prova di processi informatici illeciti o tecnicamente

non corretti (ex violazione privacy)– Prova di processi informatici virtuosi (ex prova per

processi ex l. 231/01)

Soluzioni aziendali

• Assessment/Consulenza informatica giuridica e forense per:– Uniformazione dei sistemi– Riconfigurazione dei sistemi

Le prove informatiche nel contesto aziendale

Filippo Novario

– Sistemi legal e forensics by design– Gestione dell’emergenza e del rischio– Consulente Tecnico dedicato

Questione essenziale

• La scelta del consulente– Informatica giuridica e informatica forense = nuove

materie– “Fetta di mercato” da occupare

Le prove informatiche nel contesto aziendale

Filippo Novario

– Materia per giuristi, informatici aziendalisti– Effettive competenze difficili da individuare

• Elaborazione di una griglia di valutazione

Attribuzione - Non Commerciale - Condividi allo stess o modo 2.5

� Tu sei libero:� di riprodurre, distribuire, comunicare al pubblico, esporre in pubblico, rappresentare, eseguire o

recitare l'opera � di creare opere derivate � Alle seguenti condizioni:

LICENZA

Le prove informatiche nel contesto aziendale

Filippo Novario

� Alle seguenti condizioni:� Attribuzione. Devi riconoscere il contributo dell'autore originario. � Non commerciale. Non puoi usare quest’opera per scopi commerciali. � Condividi allo stesso modo. Se alteri, trasformi o sviluppi quest’opera, puoi

distribuire l’opera risultante solo per mezzo di una licenza identica a questa. � In occasione di ogni atto di riutilizzazione o distribuzione, devi chiarire agli altri i termini della licenza

di quest’opera. � Se ottieni il permesso dal titolare del diritto d'autore, è possibile rinunciare ad ognuna di queste

condizioni. � Le tue utilizzazioni libere e gli altri diritti non sono in nessun modo limitati da quanto sopra