Smau Milano 2015 - Alessandro Bonu

of 68/68
“Classificazione e profilazione dei referti investigativi sulle fattispecie criminose” Aspetti metodologici applicati alla disciplina della Digital Forensics in relazione all’evoluzione delle nuove tecnologie Alessandro Bonu [email protected]

Embed Size (px)

Transcript of Smau Milano 2015 - Alessandro Bonu

  • Classificazione e profilazione dei referti investigativi sulle fattispecie criminose

    Aspetti metodologici applicati alla disciplina della Digital Forensics in relazione allevoluzione delle nuove tecnologie

    Alessandro Bonu [email protected]

    mailto:[email protected]

  • Classificazione e profilazione dei referti investigativi sulle fattispecie criminose a cura di Alessandro Bonu

    www.diricto.itict4forensics.diee.unica.it

    Premessa la diffusione di apparati tecnologici sul mercato globale

    ha raggiunto numeri significativi e il trend di crescita continua ad essere decisamente alto

    cresce esponenzialmente il fattore di calcolo ma soprattutto la capacit di memoria, numero e tipologia dei dispositivi che le forze dellordine si trovano a reperire e analizzare per tutte le fasi correlate alle indagini di Digital Forensics

    in questo scenario si sente la necessit di nuove strategie per snellire e velocizzare i lavori di indagine

  • Classificazione e profilazione dei referti investigativi sulle fattispecie criminose a cura di Alessandro Bonu

    www.diricto.itict4forensics.diee.unica.it

    da una stima gi del 2013 la mole di dati generata aveva raggiunto i 4 zettabytes = 1 triliardo di dati

    il mercato Big Data Analytics in Italia, cresce anche nel 2014 (+25%) quanto emerge dalla ricerca 2014 dellOsservatorio Big Data Analytics & Business Intelligence

    questa crescita sostenuta pi che da un utilizzo consapevole di questi strumenti, dalla disponibilit di tecnologie a basso costo, oggi a portata di tutti

    Big Data

  • Classificazione e profilazione dei referti investigativi sulle fattispecie criminose a cura di Alessandro Bonu

    www.diricto.itict4forensics.diee.unica.it

    Crimini informatici

    possono assumere varie forme possono essere perpetrati sempre e ovunque nel consiglio Europeo sulla criminalit informatica, vengono definiti con termine noto di CYBERCRIME

    ma il cybercrime oggi non questo..

  • Classificazione e profilazione dei referti investigativi sulle fattispecie criminose a cura di Alessandro Bonu

    www.diricto.itict4forensics.diee.unica.it

    Cybercrime

    ..oggi sono questi

  • Classificazione e profilazione dei referti investigativi sulle fattispecie criminose a cura di Alessandro Bonu

    www.diricto.itict4forensics.diee.unica.it

    Last news tecnologiche

  • Classificazione e profilazione dei referti investigativi sulle fattispecie criminose a cura di Alessandro Bonu

    www.diricto.itict4forensics.diee.unica.it

    Il Cyber crimine nel mondo aumentato del 30% nei primi 6 mesi del 2015ed ormai la causa di circa il 60% degli attacchi informatici gravi avvenuti a livello globale nello stesso periodo

    sono le "infrastrutture critiche", come le reti per l'energia e le telecomunicazioni a registrare la crescita maggiore, passando da 2 attacchi nella seconda met del 2014 a 20 nella prima met del 2015, con un incremento del 900%

    Rapporto Clusitsulla sicurezza informatica globale presentato a Verona - 2015

  • Classificazione e profilazione dei referti investigativi sulle fattispecie criminose a cura di Alessandro Bonu

    www.diricto.itict4forensics.diee.unica.it

    crescita a tre cifre anche per gli attacchi che riguardano l'automotive, cio le auto connesse a Internet: +400%

    supermercati e la grande distribuzione:+400%

    informazione ed entertainment, cio siti e testate online, piattaforme di giochi e blogging: +179%

    il rapporto Clusit evidenzia - sempre nei primi sei mesi del 2015 - il raddoppio degli attacchi informatici subito dalle realt che operano nella sanit, che segna un +81%

    I servizi online (mail, social network, siti di e-Commerce e piattaforme Cloud) segnano una crescita degli incidenti di oltre il 50%, a dimostrazione di quanto gli attacchi gravi siano mirati a tutte le tipologie di servizi erogati via Internet

    Rapporto Clusitsulla sicurezza informatica globale presentato a Verona - 2015

  • Classificazione e profilazione dei referti investigativi sulle fattispecie criminose a cura di Alessandro Bonu

    www.diricto.itict4forensics.diee.unica.it

    Rapporto CLUSIT 2015 sulla sicurezza ICT in Italia

    5%

    8%

    27%

    60%

    CybercrimeHack,vismEspionage/SabotageCyberwarfare

  • Classificazione e profilazione dei referti investigativi sulle fattispecie criminose a cura di Alessandro Bonu

    www.diricto.itict4forensics.diee.unica.it

    Trend di crescita delle minacce nel 2015

    PiattaformediSocialNetwork

    SistemiPOS

    DispositiviMobile

    Logicheestorsiveransomware

  • Classificazione e profilazione dei referti investigativi sulle fattispecie criminose a cura di Alessandro Bonu

    www.diricto.itict4forensics.diee.unica.it

    ma come impattano queste cifre sulla Digital Forensics?

    + crimini = + indagini

  • Classificazione e profilazione dei referti investigativi sulle fattispecie criminose a cura di Alessandro Bonu

    www.diricto.itict4forensics.diee.unica.it

    ma se oggi i cyber criminali sono questi?

    con quali armi dobbiamo contrastarli?

    sinergie di pi forze

  • Classificazione e profilazione dei referti investigativi sulle fattispecie criminose a cura di Alessandro Bonu

    www.diricto.itict4forensics.diee.unica.it

    Dualismo della Digital Forensics

  • Classificazione e profilazione dei referti investigativi sulle fattispecie criminose a cura di Alessandro Bonu

    www.diricto.itict4forensics.diee.unica.it

    IoT

    Automotive

    Altrefrontiere..?

    Ambiti della Digital Forensics

  • Classificazione e profilazione dei referti investigativi sulle fattispecie criminose a cura di Alessandro Bonu

    www.diricto.itict4forensics.diee.unica.it

    altre frontiere..

  • Classificazione e profilazione dei referti investigativi sulle fattispecie criminose a cura di Alessandro Bonu

    www.diricto.itict4forensics.diee.unica.it

    di fronte a questi scenari come si pone lattivit di indagine da parte degli

    investigatori forensi?

  • Classificazione e profilazione dei referti investigativi sulle fattispecie criminose a cura di Alessandro Bonu

    www.diricto.itict4forensics.diee.unica.it

    Metodologie di indagine le metodologie di base restano

    invariate e supportate dalle best practices

    le strade da seguire sono due: 1. il mezzo tecnologico vittima di

    un crimine

    2. il mezzo tecnologico il tramite per compiere unazione criminosa

  • Classificazione e profilazione dei referti investigativi sulle fattispecie criminose a cura di Alessandro Bonu

    www.diricto.itict4forensics.diee.unica.it

    Work flow classico di investigazione forense

    IDENTIFICAZIONE

    repertamentoACQUISIZIONE

    copia forense

    ANALISI

    estrazione dei dati

    PRESENTAZIONE

    relazione finale

    CATENADI

    CUSTODIAINDAGINE

  • Classificazione e profilazione dei referti investigativi sulle fattispecie criminose a cura di Alessandro Bonu

    www.diricto.itict4forensics.diee.unica.it

    tipologie delle scene del crimine

  • Classificazione e profilazione dei referti investigativi sulle fattispecie criminose a cura di Alessandro Bonu

    www.diricto.itict4forensics.diee.unica.it

    INDAGINE

    Uno o pochi soggetti coinvolti

  • Classificazione e profilazione dei referti investigativi sulle fattispecie criminose a cura di Alessandro Bonu

    www.diricto.itict4forensics.diee.unica.it

    INDAGINE

    Pochi o molti soggetti coinvolti

  • Classificazione e profilazione dei referti investigativi sulle fattispecie criminose a cura di Alessandro Bonu

    www.diricto.itict4forensics.diee.unica.it

    INDAGINE

    Realt aziendali

  • Classificazione e profilazione dei referti investigativi sulle fattispecie criminose a cura di Alessandro Bonu

    www.diricto.itict4forensics.diee.unica.it

    INDAGINE

    Organizzazioni evolute

  • Classificazione e profilazione dei referti investigativi sulle fattispecie criminose a cura di Alessandro Bonu

    www.diricto.itict4forensics.diee.unica.it

    INDAGINE

    Organizzazioni Enterprise e oltre confine

  • Classificazione e profilazione dei referti investigativi sulle fattispecie criminose a cura di Alessandro Bonu

    www.diricto.itict4forensics.diee.unica.it

    Reperti nella scena del crimine

  • Classificazione e profilazione dei referti investigativi sulle fattispecie criminose a cura di Alessandro Bonu

    www.diricto.itict4forensics.diee.unica.it

    Attivit sulla scena del crimine

  • Classificazione e profilazione dei referti investigativi sulle fattispecie criminose a cura di Alessandro Bonu

    www.diricto.itict4forensics.diee.unica.it

    Lanalisi classica questa attivit riguarda lestrapolazione, interpretazione

    e correlazione dei dati al fatto criminoso

    si applica sempre alle copie forensi e mai ai reperti originali

    si tratta di unanalisi approfondita e organizzata rispetto a ci che accade in sede di live forensics dove i tempi impongono delle marce pi alte

    lobiettivo rispondere a quesiti ben precisi ma il modus operandi a discrezione degli operatori, sempre sulla linea delle best practices e normative di riferimento

  • Classificazione e profilazione dei referti investigativi sulle fattispecie criminose a cura di Alessandro Bonu

    www.diricto.itict4forensics.diee.unica.it

    in questo scenario linvestigatore si trova di fronte a una vasta ed eterogenea mole di dati come unarmata ben allestita da fronteggiare su aspetti fondamentali come:

    tempistiche

    aspetti organizzativi

    aspetti economici

    limite dei tools forensi

    adeguamento di skill e formazione

    Quali i problemi..?

  • Classificazione e profilazione dei referti investigativi sulle fattispecie criminose a cura di Alessandro Bonu

    www.diricto.itict4forensics.diee.unica.it

    Attivit della Forensics Analysis

    ForensicsAnalysis

    LIVE DEAD

    oncrimescene onlaboratory

    reports

  • Classificazione e profilazione dei referti investigativi sulle fattispecie criminose a cura di Alessandro Bonu

    www.diricto.itict4forensics.diee.unica.it

    on crime scene

    scenari atipici che richiedono una notevole professionalit

    Foto di Luca Savoldi

    e conoscenza di aspetti tecnici specifici

  • Classificazione e profilazione dei referti investigativi sulle fattispecie criminose a cura di Alessandro Bonu

    www.diricto.itict4forensics.diee.unica.it

    on Laboratory

  • Classificazione e profilazione dei referti investigativi sulle fattispecie criminose a cura di Alessandro Bonu

    www.diricto.itict4forensics.diee.unica.it

    negli anni si potuta osservare una certa inadeguatezza nel tradizionale processo forense nel rispondere a determinate esigenze investigative

    i tempi di risposta a queste esigenze sono aumentati proporzionalmente al numero e alla tipologia dei reperti acquisiti

    questo dovuto in genere ad una metodologia che mira ad effettuare le classiche attivit senza discriminanti o poco relazionata al reato o al caso specifico

    alla luce di tutto questo si introdotta una fase intermedia atta a delimitare larea dinteresse ad un numero di reperti valutati pi rilevanti e pertinenti

    Standardizzazione dei processi

  • Classificazione e profilazione dei referti investigativi sulle fattispecie criminose a cura di Alessandro Bonu

    www.diricto.itict4forensics.diee.unica.it

    la continua evoluzione degli strumenti high-tech ha introdotto nuove criticit nelle attivit di Digital Forensics:

    incremento esponenziale della capacit di memoria dei nuovi dispositivi

    nuove tecnologie hardware e software proliferazione di Sistemi Operativi e nuovi formati di file sistemi di virtualizzazione e relative macchine virtuali sistemi di crittografia che complicano non poco le attivit di analisi dei supporti interessati

    sistemi remoti e cloud

    Nuove criticit

  • Classificazione e profilazione dei referti investigativi sulle fattispecie criminose a cura di Alessandro Bonu

    www.diricto.itict4forensics.diee.unica.it

    Quale approccio..DI FORZA

    basato sullincremento delle risorse in grado di sostenere il carico di lavoro: hardware, software, personale, logistica

    pi immediato, si argina il problema ma i costi lievitano esponenzialmente

    DI METODO

    basato sul flusso di lavoro suddiviso tra diverse parti, valutando le priorit sulle quali operare e concentrando lapprofondimento dellanalisi dopo una prima scrematura

    pi economico e scalabile.. ma come metterlo in pratica?

  • Classificazione e profilazione dei referti investigativi sulle fattispecie criminose a cura di Alessandro Bonu

    www.diricto.itict4forensics.diee.unica.it

    Selezione e Triage Forensics

    lesigenza quella di dare risposte rapide ad ipotesi di reato o quando si delineano

    aspetti non strettamente forensi identificare le informazioni pi rilevanti e dare loro una sorta di priorit (codice)

    lanalisi approfondita si applica pertanto in maniera selettiva a partire dai reperti che hanno ottenuto un grado di priorit maggiore

  • Classificazione e profilazione dei referti investigativi sulle fattispecie criminose a cura di Alessandro Bonu

    www.diricto.itict4forensics.diee.unica.it

    codicerosso

    codicegiallo

    codiceverde

    codicebianco

    URGENZAASSOLUTA

    POSSIBILERISCHIO

    ASSENZADIRISCHI

    NONURGENTE

    Valutare le priorit?volendo traslare un concetto utilizzato in ambito ospedaliero, potremo definire le seguenti priorit

  • Classificazione e profilazione dei referti investigativi sulle fattispecie criminose a cura di Alessandro Bonu

    www.diricto.itict4forensics.diee.unica.it

    Applicazione del Triage questa metodologia pu essere applicata sia nella fase

    di live forensics che post-mortem a seconda del contesto in cui ci si trova ad operare

    live forensics dove la tempestivit nellagire sulla scena del crimine, per alcune fattispecie criminose, pu diventare di vitale importanza, in quanto fornisce indizi rilevanti e discriminanti

    anche nei casi di analisi post-mortem, la classificazioni di dispositivi freddi rappresenta un valido supporto e una semplificazione della successiva fase di analisi

  • Classificazione e profilazione dei referti investigativi sulle fattispecie criminose a cura di Alessandro Bonu

    www.diricto.itict4forensics.diee.unica.it

    Vantaggi del Triage

    abbattimento dei tempi di elaborazione iniziale dei dati

    possibilit di consultazione rapida delle risultanze

    utilizzo flessibile delle risorse hardware a disposizione e generazione di risposte affidabili

    determinazione delle priorit prima di mettere in campo le risorse per unanalisi pi approfondita e accurata

    velocit e affidabilit sono le parole chiave del triage per ridurre al minimo costi, tempi e risorse

  • Classificazione e profilazione dei referti investigativi sulle fattispecie criminose a cura di Alessandro Bonu

    www.diricto.itict4forensics.diee.unica.it

    le informazioni vengono opportunamente classificate al fine di identificare rapidamente le prove che consentono di porre in relazione la prova digitale con la fattispecie criminosa in esame

    ad esempio, sui reperti mobili, ci si concentrati sui dati attinenti la rubrica telefonica, la cronologia delle chiamate, gli sms, eventuale navigazione internet

    si sono inoltre ricavate, da queste ultime, anche informazioni statistiche relative a percentuale e numero di eventi suddivisi in slot temporali

    PROFILO DI UTILIZZO DEL DISPOSITIVO

    classificazionedeirisultati

    normalizzazionedeidati

    raccoltadei

    reperti

    Classificazione delle informazioni

  • Classificazione e profilazione dei referti investigativi sulle fattispecie criminose a cura di Alessandro Bonu

    www.diricto.itict4forensics.diee.unica.it

    Raccolta dei reperti la fase iniziale dellindagine dove si identificano i reperti

    dispositivi in grado di memorizzare delle informazioni e che potrebbero essere oggetto di reato o correlati allo stesso

    ricerca mirata di quei reperti che rappresentano potenziali elementi probatori in relazione ad una profilazione preliminare del caso

    importante cercare di comprenderne la pertinenza

    questa fase di divide in due macro aree: 1. dati volatili (reperti caldi)

    2. dati statici (reperti freddi)

  • Classificazione e profilazione dei referti investigativi sulle fattispecie criminose a cura di Alessandro Bonu

    www.diricto.itict4forensics.diee.unica.it

    rientrano in questa categoria tutte le informazioni che sono presenti su dispositivi accesi e operativi

    si tratta di informazioni fragili, operazioni errate o affrettate in questa fase potrebbero alterare i dati = potenziali elementi probatori

    scenari difficilmente standardizzabili proprio a causa delle variabili che si possono di volta in volta incontrare

    lo spegnimento brutale, anche se meno indolore di uno shutdown, determina quasi sempre una perdita di dati

    tale procedura si configura sempre come attivit irripetibile

    Dati volatili

  • Classificazione e profilazione dei referti investigativi sulle fattispecie criminose a cura di Alessandro Bonu

    www.diricto.itict4forensics.diee.unica.it

    sistemiaccesieoperativichepossonorappresentareunafontedidatiedevidenzedinotevoleimportanzaecheinalcunicasipotrebberoesseredecisiviperlesitodiindagine

    Scena del crimine con live data

  • Classificazione e profilazione dei referti investigativi sulle fattispecie criminose a cura di Alessandro Bonu

    www.diricto.itict4forensics.diee.unica.it

    agevola le forze dellordine in un rapido repertamento di prove pi rilevanti

    attivit svolta nellimmediatezza del fatto anche da tecnici non altamente specializzati in analisi forense

    utile quando viene richiesto di dare rapidamente risposta ad una ipotesi di reato

    agevola gli investigatori a decisioni pi consapevoli per la prosecuzione dellindagine

    Triage nel live forensics

  • Classificazione e profilazione dei referti investigativi sulle fattispecie criminose a cura di Alessandro Bonu

    www.diricto.itict4forensics.diee.unica.it

    talvolta si ha necessit di agire in fretta nella scena del crimine: dati e informazioni potrebbero altrimenti essere compromesse

    lagire in fretta sempre un problema, si tralasciano per esempio evidenze apparentemente irrilevanti

    contesto in cui il tempo tiranno: devo avere una strategia operativa e capire da dove

    iniziare e quali strumenti utilizzare in relazione al contesto di indagine

    Agire in fretta

  • Classificazione e profilazione dei referti investigativi sulle fattispecie criminose a cura di Alessandro Bonu

    www.diricto.itict4forensics.diee.unica.it

    Sentenza di Garlasco Il collegio peritale evidenziava che le condotte di accesso da parte dei

    Carabinieri hanno determinato la sottrazione di contenuto informativo con riferimento al pc di Alberto Stasi pari al 73,8% dei files visibili (oltre 156.000) con riscontrati accessi su oltre 39.000 files

    perizia informatica, altro elemento cruciale nell'indagine per quanto riguarda il possibile alibi e il movente di Stasi, per capire se il contenuto del portatile stato o meno inesorabilmente contaminato dai vari accessi fatti prima che venisse consegnato ai tecnici del Ris di Parma. questo, secondo il parere del GUP, uno dei passaggi di cruciale importanza dell'intero quadro accusatorio

    E a tal riguardo il GUP conclude: non pi possibile esprimere delle valutazioni certe n in un senso n nell'altro: in questo ambito, il danno irreparabile prodotto dagli inquirenti attiene proprio all'accertamento della verit processuale. Questi i sintesi i principali errori investigativi che hanno segnato l'indagine sull'omicidio di Chiara Poggi, che ancora oggi resta un delitto impunito e senza un perch

  • Classificazione e profilazione dei referti investigativi sulle fattispecie criminose a cura di Alessandro Bonu

    www.diricto.itict4forensics.diee.unica.it

    rientrano nella categoria dei dispositivi cosiddetti freddi ovvero spenti e non operativi

    sono caratterizzati dal fatto che i dati allinterno di questi device sono stabili nel tempo a meno che non intervengano cause di esterne

    le attivit su questi dispositivi si effettuano in laboratorio attraverso lacquisizione delle copie forensi sulle quali poi operare lanalisi..

    anche in questo caso, come nel live forensics viene acquisita lintera area di memoria con le note procedure di bit stream image

    Dati statici

  • Classificazione e profilazione dei referti investigativi sulle fattispecie criminose a cura di Alessandro Bonu

    www.diricto.itict4forensics.diee.unica.it

    kit forensi in grado di estrapolare dai dispositivi digitali gli elementi pi importanti ed evidenti per lindagine in corso

    In genere in caso di truffe (caso classico) estrazione dei dati orinati per formato (es.. .docx, .xlsx, pdf, ..ecc)

    analisi testuali su header delle mail per individuarne la paternit o in caso di pedopornografia le immagini e i video

    altrettanto rilevanti possono essere le informazioni di sistema, navigazione internet, parco applicativo, contenuti (anche cancellati) ..ecc

    Gli strumenti del mestiere

  • Classificazione e profilazione dei referti investigativi sulle fattispecie criminose a cura di Alessandro Bonu

    www.diricto.itict4forensics.diee.unica.it

    CASE

    REP

    ORT

    Windows Ultimate Forensic Outflow

  • Classificazione e profilazione dei referti investigativi sulle fattispecie criminose a cura di Alessandro Bonu

    www.diricto.itict4forensics.diee.unica.it

    Catalogazione delle informazioni

  • Classificazione e profilazione dei referti investigativi sulle fattispecie criminose a cura di Alessandro Bonu

    www.diricto.itict4forensics.diee.unica.it

    Browser History View

  • Classificazione e profilazione dei referti investigativi sulle fattispecie criminose a cura di Alessandro Bonu

    www.diricto.itict4forensics.diee.unica.it

    Spektor di DELL

  • Classificazione e profilazione dei referti investigativi sulle fattispecie criminose a cura di Alessandro Bonu

    www.diricto.itict4forensics.diee.unica.it

    Normalizzazione dei dati la normalizzazione ha il fine di eliminare tutti i

    disallineamenti di output derivanti dalla variet degli strumenti utilizzati durante la fase di acquisizione dalle varie fonti

    una volta normalizzati i dati confluiscono in un database sul quale vengono effettuate elaborazioni statistiche che producono attributi (features) che identificano un data set

    la scelta di questi attributi viene accuratamente effettuata sulla base di esperienze che nel tempo hanno portato a risultati significativi

  • Classificazione e profilazione dei referti investigativi sulle fattispecie criminose a cura di Alessandro Bonu

    www.diricto.itict4forensics.diee.unica.it

    FEATURES TYPE DEVICE #1 DEVICE #2 DEVICE #3

    feature #1 true false true

    feature #2 false true false

    feature #3 false false true

    feature #4 true true true

    feature #5 true true false

    feature #6 1200 320 65000

    feature #7

    feature #n

    FeaturesFeatures e data set

  • Classificazione e profilazione dei referti investigativi sulle fattispecie criminose a cura di Alessandro Bonu

    www.diricto.itict4forensics.diee.unica.it

    Data Mining queste metodologie hanno lo scopo di estrarre sapere e

    conoscenza da una grande mole di dati

    processi matematici eseguiti attraverso automatismi che hanno doppia valenza:

    1. estrazione di informazioni implicite e/o nascoste da dati gi strutturati in modo tale che siano direttamente fruibili

    2. esplorazione e analisi da una grossa mole di dati mirate a scoprire schemi significativi

    in entrambi i casi il dato diventa significativo o trascurabile in relazione allambito di indagine

  • Classificazione e profilazione dei referti investigativi sulle fattispecie criminose a cura di Alessandro Bonu

    www.diricto.itict4forensics.diee.unica.it

    start

    datinormalizzati?

    allineamentodelleanomalie

    elaborazionedelleevidenze

    trasformazionedeidati

    memorizzazionedeidati

    DataMining

    estrazionedellefeaturesend

    SI NO

    work-flow di normalizzazione dei dati

  • Classificazione e profilazione dei referti investigativi sulle fattispecie criminose a cura di Alessandro Bonu

    www.diricto.itict4forensics.diee.unica.it

    obiettivo quindi quello di classificare i dati in ingresso per definire specifiche classi

    gli algoritmi di classificazione consentono identificare degli schemi o insiemi di caratteristiche alle quali appartiene un determinato record

    le features individuate servono a capire per es. il grado di utilizzo del reperto da parte del soggetto indagato e relazionandolo al reato commesso

    Classificazione dei risultati

  • Classificazione e profilazione dei referti investigativi sulle fattispecie criminose a cura di Alessandro Bonu

    www.diricto.itict4forensics.diee.unica.it

    Applicazione alla Computer Forensics In questo contesto si valuta il profilo di utilizzo dei

    dispositivi esaminati e classificati in relazione ad una particolare fattispecie di reato: PIRATERIA

    il data set delle features stato pertanto costruito con lobiettivo di valutare e classificare in modo automatico ciascun dispositivo in relazione al reato di pirateria informatica

    INFORMAZIONIESTRAPOLATEDALREPERTOnumerodiapplicazioniinstallate

    numerodiapplicazionisuddivisepertipologiafunzionale(chat,browser,ecc)

    numeroepercentualedelleURLvisitateesuddivisepertipologia

    numeroepercentualedeifileaudioscaricatiesuddivisiperdimensione

  • Classificazione e profilazione dei referti investigativi sulle fattispecie criminose a cura di Alessandro Bonu

    www.diricto.itict4forensics.diee.unica.it

    casodi stalking

    accessoa

    Internet

    numerodichiamate

    arcotemporale

    duratadelle

    chiamate

    tipologiadispositivimobile

    casodi pedofilia

    accessoa

    Internet

    grannumerodiimmaginievideo

    archivieareedi

    download

    softwaredi

    download

    criptaggiosteganografia

    Valutazione dei risultati su casi differenti

  • Classificazione e profilazione dei referti investigativi sulle fattispecie criminose a cura di Alessandro Bonu

    www.diricto.itict4forensics.diee.unica.it

    specifiche tecniche di intelligence e profiling atte ad ottenere informazioni che possono essere utili alla comprensione e risoluzione del problema per il quale si procede

    tale processo si articola con la ricerca di tracce digitali dellutilizzatore degli apparati fisici che come tale personalizza lambiente sul quale opera e interagisce, sia questo reale che virtuale

    in questo ampio e bivalente contesto, anche inconsciamente , si lasciano necessariamente delle tracce che possono essere rilevate, confrontate e classificate

    Digital Profiling

  • Classificazione e profilazione dei referti investigativi sulle fattispecie criminose a cura di Alessandro Bonu

    www.diricto.itict4forensics.diee.unica.it

    IDENTIFICAZIONE

    repertamentoACQUISIZIONE

    copia forense

    ANALISI

    estrazione dei dati

    PRESENTAZIONE

    relazione finale

    CATENADI

    CUSTODIAINDAGINE

    Evoluzione del Work-flow del triage nel processo di investigazione

    IDENTIFICAZIONErepertamento

    Raccoltamiratadeireperti

    PRESENTAZIONEFINALE

    consegnadellavoro

    Normalizzazione deidati

    Dat

    a Pr

    ofilin

    g

    DataMining,Featurese

    DataSetperlaclassificazione

    deidati

    TRIAGE

    ANALISI

    INDAGINE

  • Classificazione e profilazione dei referti investigativi sulle fattispecie criminose a cura di Alessandro Bonu

    www.diricto.itict4forensics.diee.unica.it

    di fondamentale importanza inoltre la fase di preservazione delle evidenze digitali acquisite definita come catena di custodia

    insieme di procedure atte a tracciare tutte le attivit effettuate sul reperto dal momento in cui lo stesso stato preso in consegna

    tali evidenze devono essere inoltre custodite in appositi contenitori idonei al trasporto e in grado di evitare anche danneggiamenti involontari o condizioni ambientali avverse

    Catena di custodia

  • Classificazione e profilazione dei referti investigativi sulle fattispecie criminose a cura di Alessandro Bonu

    www.diricto.itict4forensics.diee.unica.it

    i dispositivi tecnologici sono oggi parte integrante nellindagine, anche se non direttamente coinvolti

    rappresentano un elemento utile per ricostruire la sequenza temporale del crimine e relativo modus operandi

    gli strumenti di analisi forense diventano tanto pi obsoleti quanto pi velocemente si evolvono le nuove tecnologie

    questo fenomeno evolutivo richiede un grado di specializzazione tecnica pi elevato e qualificato rispetto a quello tradizionale

    Un nuovo approccio

  • Classificazione e profilazione dei referti investigativi sulle fattispecie criminose a cura di Alessandro Bonu

    www.diricto.itict4forensics.diee.unica.it

    Progetto ILLBusterL'obiettivo del progetto ILLBuster, finanziato dalla Commissione Europea, all'interno del programma "Prevention of and Fight Against Crime", quello di fornire un sistema integrato per il rilevamento automatico di attivit illegali sulla rete internet. Il sistema pensato per fornire alle forze dell'ordine uno strumento prezioso nelle loro attivit di prevenzione e lotta contro il crimine informatico, e sar costituito da:

    un motore principale responsabile della rilevazione di una lista nera di domini malevoli;

    un insieme di periferiche e servizi che ispezioneranno le pagine web ospitate su domini maligni con lo scopo di individuare materiale illecito o pericoloso (pedopornografia, malware, phishing).

    Il sistema risultante sar in grado di identificare domini (e contenuti) maligni attraverso l'analisi del traffico DNS e segnalare URL sospetti alle forze dell'ordine, in modo che gli illeciti possano essere facilmente individuati.

    Una caratteristica peculiare del sistema proposto che esso sar progettato tenendo presenti tutti gli aspetti legali che garantiscono il rispetto della privacy dei cittadini e non consentono abusi.

  • Classificazione e profilazione dei referti investigativi sulle fattispecie criminose a cura di Alessandro Bonu

    www.diricto.itict4forensics.diee.unica.it

    Progetto ILLBusterObiettivo

    sviluppare una piattaforma che supporti le forze dellordine nellattivit investigativa in rete

  • Classificazione e profilazione dei referti investigativi sulle fattispecie criminose a cura di Alessandro Bonu

    www.diricto.itict4forensics.diee.unica.it

    Progetto ILLBuster

    Buster of ILLegal contents spread by malicious computer networks

    Universit di Cagliari

    www.illbuster-project.eu

    Co-funded by the Prevention of and Fight against Crime Programme of the European Union

    http://www.illbuster-project.eu

  • Classificazione e profilazione dei referti investigativi sulle fattispecie criminose a cura di Alessandro Bonu

    www.diricto.itict4forensics.diee.unica.it

    i metodi descritti consentono un approccio pi mirato nella fase di ricerca delle prove

    gli investigatori operano con cognizione di causa e possono dare ordine e priorit ai reperti rilevati

    lanalisi informatica quindi pi snella, rapida ed efficace, ne beneficiano tempi e costi

    con levoluzione della tecnologia e con lincremento esponenziale della mole di dati che ci si trova ad dover analizzare, oggi un passaggio obbligato

    Conclusioni

  • Classificazione e profilazione dei referti investigativi sulle fattispecie criminose a cura di Alessandro Bonu

    www.diricto.itict4forensics.diee.unica.it

    Grazie per lattenzione [email protected]

    it.linkedin.com/in/abonu

    www.andig.it

    www.diricto.it

    ict4forensics.diee.unica.it

    www.massimofarina.it

    Fine presentazione..

    mailto:[email protected]?subject=http://it.linkedin.com/in/abonuhttp://www.andig.it/http://www.diricto.it/http://ict4forensics.diee.unica.it/http://www.massimofarina.it/

  • Classificazione e profilazione dei referti investigativi sulle fattispecie criminose a cura di Alessandro Bonu

    www.diricto.itict4forensics.diee.unica.it

    Attribuzione - Non Commerciale - Condividi allo stesso modo 2.5

    Tuseilibero: diriprodurre,distribuire,comunicarealpubblico,esporreinpubblico,rappresentare,eseguireorecitare

    l'opera dicreareoperederivatealleseguenticondizioni:

    Attribuzione.Deviriconoscereilcontributodell'autoreoriginario. Noncommerciale.Nonpuoiusarequestoperaperscopicommerciali. Condividiallostessomodo.Sealteri,trasformiosviluppiquestopera,puoidistribuireloperarisultantesolopermezzodiuna

    licenzaidenticaaquesta. Inoccasionediogniattodiriutilizzazioneodistribuzione,devichiarireaglialtriiterminidellalicenzadiquestopera. Seottieniilpermessodaltitolaredeldirittod'autore,possibilerinunciareadognunadiquestecondizioni. Letueutilizzazionilibereeglialtridirittinonsonoinnessunmodolimitatidaquantosopra