social network e investigazione: alla ricerca del reo

Perchè studiare informatica

www.denisfrati.it - [email protected]

GSIG Ivrea 3 luglio 2009

Social Network e Investigazione: alla ricerca del reo

Centro Studi Informatica Giuridica - Ivrea – 3 luglio 2009

http://www.denisfrati.it/

mailto:[email protected]




Cosa sono i social network?Servizi finalizzati all'interazione tra soggetti accomunati da uno stesso

interesse/fine/storico.

Possono essere:

➢ professionali: improntati alla condivisione e divulgazione delle professionalità (LinkedIn, Nimitz, ecc..);

➢ artistici/promozionali: finalizzati alla condivisione e promozione delle proprie realizzazioni artistiche (Flicker, MySpce, ecc..);

➢ generici: finalizzati al rintraccio di conoscenti ed al consolidamento di nuove amicizie (Badoo.com, FaceBook, NetLog, ecc...)






Quali servizi offrono? (1)Creazione di un account e impostazione del profilo






Quali servizi offrono? (2)Condivisione di contenuti multimediali e pensieri



Quali servizi offrono? (3)Cercare amici in base:” ”

➢ nome utente;➢ indirizzo e-mail;➢ interessi;➢ locazione geografica;Oppure tra quelli proposti dal

network stesso

Cercare amici in base:” ”

➢ nome utente;➢ indirizzo e-mail;➢ interessi;➢ locazione geografica;Oppure tra quelli proposti dal

network stesso









Quali servizi offrono? (4)Commentare ed etichettare (taggare) i pensieri ed i contenuti altrui trasformando il social

network ed il profilo utente in una piazza, una bacheca virtuale, luogo privilegiato di scambio e condivisione.






Quali servizi offrono? (5)Possibilità di chattare (scambiare messaggi istantanei) con gli altri utenti






Quale sicurezza garantiscono? (1)“il NSN (Nostro Social Network) ha delle misure di sicurezza in atto, volte a proteggere e

prevenire la perdita, l'uso errato e l'alterazione delle informazioni sotto nostro controllo. Degli standard adeguati, quali firewall, sono utilizzati per salvaguardare la sicurezza dei vostri dati personali. Sebbene la "sicurezza perfetta" non esista su internet, i tecnici esperti in NSN si impegnano duramente per assicurare un uso sicuro del nostro sito.”

Con ciò l'utente è BLINDATO? ---------->






Quale sicurezza garantiscono? (2)Esistono diversi problemi di sicurezza, che non minano la sicurezza del'utente a patto di......conoscerli e comportarsi di conseguenza!

Riassumendoli:➢ Modalità di autenticazioni e scambio dati in chiaro;➢ Procedura di recupero password;➢ Modalità di protezione dei contenuti multimediali;senza scordare l'onnipresente ingegneria sociale ed il phishing, il cui punto debole è

l'utente ---------->






Quale sicurezza garantiscono? (3)Credenziali e dati trasmessi in chiaro, mettono a rischio:➢ Privacy utente;➢ Titolarità dell'account

Rischio presente in:

➢ reti lan con insider;

➢ access point wifi .






Quale sicurezza garantiscono? (4)Recupero password dimenticata

VIOLATA






Quale sicurezza garantiscono? (5)Non corretta protezione dei contenuti multimediali riservati:➢ Ospitati su server esterni e richiamati dalla struttura della pagine degli album fotografici

utente autenticato main server social network

utente malevolo server multimedia esterno






Quale sicurezza garantiscono? (6)Non corretta protezione dei contenuti multimediali riservati:➢ Protetti da password attraverso algoritmi determinabili con analisi






Quale sicurezza garantiscono? (7) ...o meglio garantisce l'utenteGli autori del phishing, con le modalità proprie dell'ingegneria sociale, ➢ riproducendo la grafica delle e-mail;➢ proponendo falsi mittenti; ➢ creando pressioni sull'utente;➢ presentando una motivazione verosimile;richiedono alla vittima le credenziali di accesso al social network.






Quali reati si configurano? (1)L'autore delle condotte esaminate, sfruttando le problematiche di sicurezza menzionate,

pone in essere:➢ Art. 615 ter C.p. Accesso abusivo a sistema informatico o telematico: ipotizzabile per

l'intrusione nell'altrui account protetto da password. L'accesso abusivo al sistema viene considerato quale reato a mezzo del quale porre in essere ulteriori condotte criminose;

➢ Art. 615 quater C.p. Detenzione e diffusione abusiva di codici di accesso a sistemi informatici o telematici: ipotizzabile in quanto reato da realizzarsi a monte dell'accesso abusivo al sistema informatico. La detenzione dei codici, per quanto citata nell'indice dell'articolo non compare poi nelle condotte tipiche, talune interpretazioni lo considerano quindi semplice antefatto, non punibile, al realizzarsi dell'accesso abusivo; può contemplare a monte la violazione per Art.640 ter C.p., Art. 617quater C.p., Art. 617quinquies C.p..






Quali reati si configurano? (2)➢ Art.640 ter C.p. Frode informatica: ipotizzabile nell'eventualità, discussa in diversi

forum del panorama undergrund, che attrevrso lo sfruttamento di vulnerabilità XSS, si modifichi il codice della pagina web (alterando in qualsiasi modo il funzionamento di un sistema informatico o telematico o intervenendo senza diritto con qualsiasi modalità su dati, informazioni o programmi contenuti in un sistema informatico o telematico) al fine di redirigere le vittime su pagine web finalizzate al furto di cookies.






Quali reati si configurano? (3)Art.640 ter C.p. Frode informatica: .........al fine di redirigere le vittime su pagine web

finalizzate al furto di cookies.






Quali reati si configurano? (4)➢ Art. 617quater C.p., Intercettazione, impedimento o interruzione illecita di

comunicazioni informatiche o telematiche: ipotizzabile al concretizzarsi di attività di sniffing del traffico di rete. L'intercettazione non implica necessariamente la registrazione dei dati e va intesa come presa di coscienza degli stessi. Il traffico deve comunque giungere a destinazione, ricorre altrimenti l'ipotesi di interruzione .“ ”

➢ Art. 617quinquies C.p., installazione di apparecchiature atte ad intercettare, impedire o interrompere comunicazioni informatiche o telematiche. La norma sanziano la semplice installazione di apparecchiature atte ad intercettare, laddove si verifichi che gli strumenti sono posti in condizione di poter svolgere il lavoro per cui sono predisposti. La norma sanziona l'installazione e non la detenzione, il possesso, la materiale disponibilità.






Quali reati si configurano? (5)Dopo aver messo in atto condotte specificamente informatiche l'autore dell'aggressione ” ”

può portare sui social network condotte criminose di tipo classico, ponendo in essere :➢ Art 594 C.p. Ingiuria. Nell'ipotesi che l'offesa venga portata nel corso di una

conversazione privata tra due persone, es. durante una sessione di chat del SN, si ha la contestazione del 2° comma.

➢ Art. 595, Diffamazione. Nel caso l'offesa ad una persona sia espressa a terzi in sua assenza. Tale ipotesi sembrerebbe concretizzarsi nell'inserimento di offese nei confronti della vittima in forma di commenti, visibili a tutti gli utenti facenti parte del SN, ai file multimediali (immagini e video) inseriti dall'utente tra le proprie raccolte, od hai pensieri espressi dalla vittima nella propria bacheca . Tale condotta, espressa sulle ” ”

pagine di un social network non configurerebbe la diffamazione a stampa in quanto “ ”

le caratteristiche del portale delle community non sarebbero rispondenti alla definizione di stampa .“ ”






Quali reati si configurano? (6)➢ Art. 612 Minaccia. Nell'ipotesi che l'agente prospetti (attraverso i commenti ai

contenuti multimediali o nelle sessioni di chat) ad altri un male futuro il cui avverarsi dipende dalla sua volontà.

➢ Art. 494 C.p., sostituzione di persona. È ipotizzabile che colui che agisca al fine di espropria un account al legittimo titolare, possa poi compiere azioni (ingiuriare, difammare, ecc...), spacciandosi per questi. Nel qual caso potrebbe configurarsi la violazione alla norma in questione. La norma mira a proteggere la pubblica fede da abusi e circonvenzioni, come si può evincere dalla sentenza del 20 agosto 2007 del tribunale di Lucca:“Oggetto della tutela penale, in relazione al delitto preveduto nell’art. 494 c.p.,è l’interesse riguardante la pubblica fede, in quanto questa può essere sorpresa da inganni relativi alla vera essenza di una persona o alla sua identità o ai suoi attributi sociali. E siccome si tratta di inganni che possono superare la ristretta cerchia d’un determinato destinatario, così il legislatore ha ravvisato in essi una costante insidia alla fede pubblica, e non soltanto alla fede privata e alla tutela civilistica del diritto al nome.”






Quali reati si configurano? (7)➢ Art. 615 Bis C.p. Interferenze illecite nella vita privata:

“Chiunque, mediante l'uso di strumenti di ripresa visiva o sonora, si procura indebitamente notizie o immagini attinenti alla vita privata svolgentesi nei luoghi indicati nell'articolo 614, e' punito con la reclusione da sei mesi a quattro anni.Alla stessa pena soggiace, salvo che il fatto costituisca piu' grave reato, chi rivela o diffonde mediante qualsiasi mezzo d'informazione al pubblico le notizie o le immagini, ottenute nei modi indicati nella prima parte di questo articolo.I delitti sono punibili a quere”.Nell'ipotesi che l'autore diffonda immagini illecitamente carpite da profili di utenti, o album multimediali ai quali non aveva diritto di accesso.






Quali reati si configurano? (8)➢ Art. 612 Bis C.p. Reato di stalking o atti persecutori:

“salvo che il fatto costituisca più grave reato, chiunque reiteratamente, con qualunque mezzo, minaccia o molesta taluno in modo tale da infliggergli un grave disagio psichico ovvero da determinare un giustificato timore per la sicurezza personale propria o di una persona vicina o comunque da pregiudicare in maniera rilevante il suo modo di vivere, è punito, a querela della persona offesa, con la reclusione da sei mesi a quattro anni”.Per il configurarsi di tale reato devono essere presenti tre elementi:

1) la condotta del reo, che richiama le ipotesi di delitti classici quali minacce e molestie;

2) la reiterazione di tali condotte, che devono succedersi nel tempo, con continuità per un certo lasso di tempo;

3) il nascere dello stato d'animo d'ansia e disagio nella vittima.






Le esigenze dell'investigatore (1)La principale necessità dell'investigatore sarà quella di identificare l'autore del fatto reato,

individuando il legame tra i dati presenti in rete, sulle pagine web, ad una persona fisica.

Come districarsi in una realtà doveil nick name non è univoco?

Denunciante: <<l'utente Mario Rossi mi ha spernacchiato su FaceBook! Voglio sia punito a norma di legge!>>

Investigatore:<<Quale dei 500 Mario Rossi presenti su FaceBook ??? >>






Le esigenze dell'investigatore (2)E' inoltre idispensabile avere una chiara indicazione, ove possibile, di:➢ Identificativi immagini illecitamente sottratte o pubblicate;➢ nick name degli utenti autori di aggressione ;” ”

➢ Identificativi numerici degli utenti autori di aggressione ;” ”

➢ Le credenziali di accesso agli account eventualmente sottratti o ai quali il malfattore abbia avuto accesso;

➢ data/ora ultimo accesso riuscito all'account, in caso di sottrazione dello stesso;






L'identificativo utente: dove individuarlo (1)nelle pagine del social network e nel codice

delle mail






L'identificativo utente: dove individuarlo (2) nella cronologia

del browser






L'identificativo utente: dove individuarlo (3)......quando qualcosa non è andato per il verso giusto?

...nessuna email, niente cronologia, account espropriato o disattivato, nessuna registrazione delle chat......

------------>> niente uid!!






L'identificativo utente: dove individuarlo (4)Quando le e-mail di notifica sono state cancellate, l'accesso alla mail-box o all'account

non è più consentito, l'account è stato rimosso, il consulente tecnico o l'investigatore ricercheranno tracce di commenti, sessioni di chat, pagine web, mail di notifica in:

➢ File temporanei generati dai browser;➢ Data-base e file mbox non compattati dei programmi di posta elettronica;➢ Nello spazio non allocato;➢ Nei file di swap e di stampa del sistema;➢ Nei file di sistema (punto di ripristino di MS Windows )senza dimenticarsi di .......... applicare i dettami della digital forensic!






L'identificativo utente: come utilizzarlo (1)Qual'è l'utilità dell'identificaivo utente?

Qual'è la sua utilità ai fini investigativi?

Il management dei social network collabora con le forze dell'ordine e la magistratura, ai quali fornisce informazioni nel rispetto delle norme, necessitando tuttavia di alcuni specifici requisiti:

l'identificativo utente è uno di questi!






L'identificativo utente: come utilizzarlo (2)Con l'identificativo utente sarà possibile ottenere dal social network:➢ Dati raccolti in fase di registrazione dell'account (indirizzo IP, data/ora di

registrazione e dati inseriti).➢ Log relativi alle connessioni all'account (indirizzo IP, data/ora di accesso).

..e quindi ?Sarà possibile proseguire l'attività di accertamento con tali dati, mirando

all'identificazione di un utenza di connettività.






L'identificativo utente: come utilizzarlo (3)1). Identif. Utente ---->richiesta dati a Social Network ----> indirizzi IP e data/ora

2). Indirizzo IP ---->determino ISP ---------->

3). ehì, sig. ISP di chi era l'IP il tal giorno alla tal ora?






Abbiamo identificato il..... (1)Titolare di una connessione, di un contratto adsl, di una linea telefonica, ed ora?La P.G. procederà con: ➢ metodiche classiche dell'indagine (sommarie informazioni, ecc..)➢ perquisizione e sequestro, su delega del magistrato, ricercando e sequestrando

dispositivi informatici su cui individuare le prove del fatto reato.

L'attività tecnica svolta sui media informatici sequestrati potrà seguire le metodiche precedentemente messe in atto sul computer della vittima, ricercando email di notifica, cronologia, file temporanei del browser, ecc...

Potranno inoltre essere ricercate: credenziali d'accesso trafugate, programmi di cracking, exploit, documentazione sulle tecniche di hacking, ecc....



Concludendo..... identificato il sistema di comunicazione informatico utilizzato quale mezzo per

concretizzare il fatto costituente reato, si dovrà

attraverso metodiche investigative tradizionali ” ”

identificare l'autore del fatto stesso

comprovandone la colpevolezzain giudizio









Esempio (1)1). Clarabella denuncia l'ennesimo atto persecutorio messo in atto da Pippo;2). Ammonimento del Questore a Pippo, secondo quanto previsto regente legge anti-stalking;3). Clarabella denuncia di essere stata espropriata del proprio account su SN, al quale aveva acceduto

l'ultima volta il 1 aprile 2010, dove era stata ingiuriata, minacciata, diffamata da utenti con svariati nick name, dei quali ricorda solo Pluto; La stessa dichiara di non aver ricevuto alcuna mail di notifica e di aver visualizzato le pagine web in questione con il browser MS IE;

4). Clarabella consegna il proprio laptop alla PG, che non viene sequestrato (principio non ultroneità);






Esempio (2)5). Accertamenti tecnici volti a recuperare informazioni e dati a supporto di quanto denunciato dalla

Clarabella:➢ Ricerca dei file html;






Esempio (3)➢ Ricerca in essi per parole chiave (insulti, minacce, Pluto, nick name denunciate);

➢ Individuazione altri nick name utenti aggressori e relativi identificati utente univoci;➢ Individuazione messaggi di chat, commenti, ecc.. con riferimenti temporali utili a evidenziare ”la

reiterazione di tali condotte, che devono succedersi nel tempo, con continuità per un certo lasso di tempo”






Esempio (4)6). Richiesta, con decreto Magistrato, al mangement SN, delle informazioni e log relativi:➢ agli utente aggressori (registrazione account e log in data/ora rilevate da chat);➢ all'utenza espropriata successivamente al 1 aprile 2010; 7). analisi delle informazioni e log ricevute da SN ed individuazione indirizzi IP degli aggressori;8). Identificazione del ISP che forniva connettività agli aggressori;9). Richiesta, con decreto del magistrato, dei log di assegnazione indirizzi IP agli ISP di connettività

(mantenimento per 6 mesi del traffico telematico escludendone i contenuti, decreto legge 27 luglio 2005, succ. conv. legge);

10). Identificazione dell'utenza adsl, contratto a nome di un famigliare di Pippo;

Nella realtà ci si potrebbe trovare davanti all'utilizzo:➢ fraudolento di reti wireless aperte o poco protette, con la conseguente individuazione di connessioni

intestate a persone estranee ai fatti;➢ server proxy anonimi;






Esempio (5)11). Emissione custodia cautelare a carico di Pippo e sua esecuzione a seguito dei reiterati atti

persecutori, evidenziati con l'analisi tecnica, nonostante fosse soggetto all'ammonimento del Questore, contestualmente a perquisizione presso l'abitazione dello stesso e sequestro dei media informatici, con delega del Magistrato;

12). analisi dei media sequestrati, raccolta fonti di prova da presentare in giudizio, unitamente ai dati forniti dal Social Network, dall'ISP ed a quanto emerso dai rilievi tecnici effettuati sul laptop della Clarabella.



social network e investigazione: alla ricerca del reo

Technology

Transcript of social network e investigazione: alla ricerca del reo