Download - Smau Milano 2015 - Alessandro Bonu

Transcript
Page 1: Smau Milano 2015 - Alessandro Bonu

“Classificazione e profilazione dei referti investigativi sulle fattispecie criminose”

Aspetti metodologici applicati alla disciplina della Digital Forensics in relazione all’evoluzione delle nuove tecnologie

Alessandro Bonu [email protected]

Page 2: Smau Milano 2015 - Alessandro Bonu

“Classificazione e profilazione dei referti investigativi sulle fattispecie criminose” a cura di Alessandro Bonu

www.diricto.itict4forensics.diee.unica.it

Premessa• la diffusione di apparati tecnologici sul mercato globale

ha raggiunto numeri significativi e il trend di crescita continua ad essere decisamente alto

• cresce esponenzialmente il fattore di calcolo ma soprattutto la capacità di memoria, numero e tipologia dei dispositivi che le forze dell’ordine si trovano a reperire e analizzare per tutte le fasi correlate alle indagini di Digital Forensics

• in questo scenario si sente la necessità di nuove strategie per snellire e velocizzare i lavori di indagine

Page 3: Smau Milano 2015 - Alessandro Bonu

“Classificazione e profilazione dei referti investigativi sulle fattispecie criminose” a cura di Alessandro Bonu

www.diricto.itict4forensics.diee.unica.it

• da una stima già del 2013 la mole di dati generata aveva raggiunto i 4 zettabytes = 1 triliardo di dati

• il mercato Big Data Analytics in Italia, cresce anche nel 2014 (+25%) è quanto emerge dalla ricerca 2014 dell’Osservatorio Big Data Analytics & Business Intelligence

• questa crescita è sostenuta più che da un utilizzo consapevole di questi strumenti, dalla disponibilità di tecnologie a basso costo, oggi a portata di “tutti”

Big Data

Page 4: Smau Milano 2015 - Alessandro Bonu

“Classificazione e profilazione dei referti investigativi sulle fattispecie criminose” a cura di Alessandro Bonu

www.diricto.itict4forensics.diee.unica.it

Crimini informatici

• possono assumere varie forme

• possono essere perpetrati sempre e ovunque

• nel consiglio Europeo sulla criminalità informatica, vengono definiti con termine noto di CYBERCRIME

ma il cybercrime oggi non è questo..

Page 5: Smau Milano 2015 - Alessandro Bonu

“Classificazione e profilazione dei referti investigativi sulle fattispecie criminose” a cura di Alessandro Bonu

www.diricto.itict4forensics.diee.unica.it

Cybercrime

..oggi sono questi

Page 6: Smau Milano 2015 - Alessandro Bonu

“Classificazione e profilazione dei referti investigativi sulle fattispecie criminose” a cura di Alessandro Bonu

www.diricto.itict4forensics.diee.unica.it

Last news tecnologiche

Page 7: Smau Milano 2015 - Alessandro Bonu

“Classificazione e profilazione dei referti investigativi sulle fattispecie criminose” a cura di Alessandro Bonu

www.diricto.itict4forensics.diee.unica.it

• Il Cyber crimine nel mondo è aumentato del 30% nei primi 6 mesi del 2015 ed è ormai la causa di circa il 60% degli attacchi informatici gravi avvenuti a livello globale nello stesso periodo

• sono le "infrastrutture critiche", come le reti per l'energia e le telecomunicazioni a registrare la crescita maggiore, passando da 2 attacchi nella seconda metà del 2014 a 20 nella prima metà del 2015, con un incremento del 900%

Rapporto Clusit sulla sicurezza informatica globale presentato a Verona - 2015

Page 8: Smau Milano 2015 - Alessandro Bonu

“Classificazione e profilazione dei referti investigativi sulle fattispecie criminose” a cura di Alessandro Bonu

www.diricto.itict4forensics.diee.unica.it

• crescita a tre cifre anche per gli attacchi che riguardano l'automotive, cioè le auto connesse a Internet: +400%

• supermercati e la grande distribuzione: +400%

• informazione ed entertainment, cioè siti e testate online, piattaforme di giochi e blogging: +179%

• il rapporto Clusit evidenzia - sempre nei primi sei mesi del 2015 - il raddoppio degli attacchi informatici subito dalle realtà che operano nella sanità, che segna un +81%

• I servizi online (mail, social network, siti di e-Commerce e piattaforme Cloud) segnano una crescita degli incidenti di oltre il 50%, a dimostrazione di quanto gli attacchi gravi siano mirati a tutte le tipologie di servizi erogati via Internet

Rapporto Clusit sulla sicurezza informatica globale presentato a Verona - 2015

Page 9: Smau Milano 2015 - Alessandro Bonu

“Classificazione e profilazione dei referti investigativi sulle fattispecie criminose” a cura di Alessandro Bonu

www.diricto.itict4forensics.diee.unica.it

Rapporto CLUSIT 2015 sulla sicurezza ICT in Italia

5%

8%

27%

60%

CybercrimeHack,vismEspionage/SabotageCyberwarfare

Page 10: Smau Milano 2015 - Alessandro Bonu

“Classificazione e profilazione dei referti investigativi sulle fattispecie criminose” a cura di Alessandro Bonu

www.diricto.itict4forensics.diee.unica.it

Trend di crescita delle minacce nel 2015

PiattaformediSocialNetwork

SistemiPOS

DispositiviMobile

Logicheestorsiveransomware

Page 11: Smau Milano 2015 - Alessandro Bonu

“Classificazione e profilazione dei referti investigativi sulle fattispecie criminose” a cura di Alessandro Bonu

www.diricto.itict4forensics.diee.unica.it

ma come impattano queste cifre sulla Digital Forensics?

+ crimini = + indagini

Page 12: Smau Milano 2015 - Alessandro Bonu

“Classificazione e profilazione dei referti investigativi sulle fattispecie criminose” a cura di Alessandro Bonu

www.diricto.itict4forensics.diee.unica.it

ma se oggi i cyber criminali sono questi?

con quali armi dobbiamo contrastarli?

sinergie di più forze

Page 13: Smau Milano 2015 - Alessandro Bonu

“Classificazione e profilazione dei referti investigativi sulle fattispecie criminose” a cura di Alessandro Bonu

www.diricto.itict4forensics.diee.unica.it

Dualismo della Digital Forensics

Page 14: Smau Milano 2015 - Alessandro Bonu

“Classificazione e profilazione dei referti investigativi sulle fattispecie criminose” a cura di Alessandro Bonu

www.diricto.itict4forensics.diee.unica.it

IoT

Automotive

Altrefrontiere..?

Ambiti della Digital Forensics

Page 15: Smau Milano 2015 - Alessandro Bonu

“Classificazione e profilazione dei referti investigativi sulle fattispecie criminose” a cura di Alessandro Bonu

www.diricto.itict4forensics.diee.unica.it

altre frontiere..

Page 16: Smau Milano 2015 - Alessandro Bonu

“Classificazione e profilazione dei referti investigativi sulle fattispecie criminose” a cura di Alessandro Bonu

www.diricto.itict4forensics.diee.unica.it

di fronte a questi scenari come si pone l’attività di indagine da parte degli

investigatori forensi?

Page 17: Smau Milano 2015 - Alessandro Bonu

“Classificazione e profilazione dei referti investigativi sulle fattispecie criminose” a cura di Alessandro Bonu

www.diricto.itict4forensics.diee.unica.it

Metodologie di indagine• le metodologie di base restano

invariate e supportate dalle best practices

• le strade da seguire sono due:

1. il mezzo tecnologico è vittima di un crimine

2. il mezzo tecnologico è il tramite per compiere un’azione criminosa

Page 18: Smau Milano 2015 - Alessandro Bonu

“Classificazione e profilazione dei referti investigativi sulle fattispecie criminose” a cura di Alessandro Bonu

www.diricto.itict4forensics.diee.unica.it

Work flow classico di investigazione forense

IDENTIFICAZIONE

repertamentoACQUISIZIONE

copia forense

ANALISI

estrazione dei dati

PRESENTAZIONE

relazione finale

CATENADI

CUSTODIAINDAGINE

Page 19: Smau Milano 2015 - Alessandro Bonu

“Classificazione e profilazione dei referti investigativi sulle fattispecie criminose” a cura di Alessandro Bonu

www.diricto.itict4forensics.diee.unica.it

tipologie delle scene del crimine

Page 20: Smau Milano 2015 - Alessandro Bonu

“Classificazione e profilazione dei referti investigativi sulle fattispecie criminose” a cura di Alessandro Bonu

www.diricto.itict4forensics.diee.unica.it

INDAGINE

Uno o pochi soggetti coinvolti

Page 21: Smau Milano 2015 - Alessandro Bonu

“Classificazione e profilazione dei referti investigativi sulle fattispecie criminose” a cura di Alessandro Bonu

www.diricto.itict4forensics.diee.unica.it

INDAGINE

Pochi o molti soggetti coinvolti

Page 22: Smau Milano 2015 - Alessandro Bonu

“Classificazione e profilazione dei referti investigativi sulle fattispecie criminose” a cura di Alessandro Bonu

www.diricto.itict4forensics.diee.unica.it

INDAGINE

Realtà aziendali

Page 23: Smau Milano 2015 - Alessandro Bonu

“Classificazione e profilazione dei referti investigativi sulle fattispecie criminose” a cura di Alessandro Bonu

www.diricto.itict4forensics.diee.unica.it

INDAGINE

Organizzazioni evolute

Page 24: Smau Milano 2015 - Alessandro Bonu

“Classificazione e profilazione dei referti investigativi sulle fattispecie criminose” a cura di Alessandro Bonu

www.diricto.itict4forensics.diee.unica.it

INDAGINE

Organizzazioni Enterprise e oltre confine

Page 25: Smau Milano 2015 - Alessandro Bonu

“Classificazione e profilazione dei referti investigativi sulle fattispecie criminose” a cura di Alessandro Bonu

www.diricto.itict4forensics.diee.unica.it

Reperti nella scena del crimine

Page 26: Smau Milano 2015 - Alessandro Bonu

“Classificazione e profilazione dei referti investigativi sulle fattispecie criminose” a cura di Alessandro Bonu

www.diricto.itict4forensics.diee.unica.it

Attività sulla scena del crimine

Page 27: Smau Milano 2015 - Alessandro Bonu

“Classificazione e profilazione dei referti investigativi sulle fattispecie criminose” a cura di Alessandro Bonu

www.diricto.itict4forensics.diee.unica.it

L’analisi classica• questa attività riguarda l’estrapolazione, interpretazione

e correlazione dei dati al fatto criminoso

• si applica sempre alle copie forensi e mai ai reperti originali

• si tratta di un’analisi approfondita e organizzata rispetto a ciò che accade in sede di “live forensics” dove i tempi impongono delle marce più alte

• l’obiettivo è rispondere a quesiti ben precisi ma il modus operandi è a discrezione degli operatori, sempre sulla linea delle “best practices” e normative di riferimento

Page 28: Smau Milano 2015 - Alessandro Bonu

“Classificazione e profilazione dei referti investigativi sulle fattispecie criminose” a cura di Alessandro Bonu

www.diricto.itict4forensics.diee.unica.it

in questo scenario l’investigatore si trova di fronte a una vasta ed eterogenea mole di dati come un’armata ben allestita da fronteggiare su aspetti fondamentali come:

➢tempistiche

➢aspetti organizzativi

➢aspetti economici

➢ limite dei tools forensi

➢adeguamento di skill e formazione

Quali i problemi..?

Page 29: Smau Milano 2015 - Alessandro Bonu

“Classificazione e profilazione dei referti investigativi sulle fattispecie criminose” a cura di Alessandro Bonu

www.diricto.itict4forensics.diee.unica.it

Attività della Forensics Analysis

ForensicsAnalysis

LIVE DEAD

oncrimescene onlaboratory

reports

Page 30: Smau Milano 2015 - Alessandro Bonu

“Classificazione e profilazione dei referti investigativi sulle fattispecie criminose” a cura di Alessandro Bonu

www.diricto.itict4forensics.diee.unica.it

on crime scene

scenari atipici che richiedono una notevole professionalità…

Foto di Luca Savoldi

…e conoscenza di aspetti tecnici specifici

Page 31: Smau Milano 2015 - Alessandro Bonu

“Classificazione e profilazione dei referti investigativi sulle fattispecie criminose” a cura di Alessandro Bonu

www.diricto.itict4forensics.diee.unica.it

on Laboratory

Page 32: Smau Milano 2015 - Alessandro Bonu

“Classificazione e profilazione dei referti investigativi sulle fattispecie criminose” a cura di Alessandro Bonu

www.diricto.itict4forensics.diee.unica.it

• negli anni si è potuta osservare una certa inadeguatezza nel tradizionale processo forense nel rispondere a determinate esigenze investigative

• i tempi di risposta a queste esigenze sono aumentati proporzionalmente al numero e alla tipologia dei reperti acquisiti

• questo dovuto in genere ad una metodologia che mira ad effettuare le classiche attività senza discriminanti o poco relazionata al reato o al caso specifico

• alla luce di tutto questo si è introdotta una fase intermedia atta a delimitare l’area d’interesse ad un numero di reperti valutati più rilevanti e pertinenti

Standardizzazione dei processi

Page 33: Smau Milano 2015 - Alessandro Bonu

“Classificazione e profilazione dei referti investigativi sulle fattispecie criminose” a cura di Alessandro Bonu

www.diricto.itict4forensics.diee.unica.it

la continua evoluzione degli strumenti high-tech ha introdotto nuove criticità nelle attività di Digital Forensics:

• incremento esponenziale della capacità di memoria dei nuovi dispositivi

• nuove tecnologie hardware e software • proliferazione di Sistemi Operativi e nuovi formati di file

• sistemi di virtualizzazione e relative macchine virtuali

• sistemi di crittografia che complicano non poco le attività di analisi dei supporti interessati

• sistemi remoti e cloud

Nuove criticità

Page 34: Smau Milano 2015 - Alessandro Bonu

“Classificazione e profilazione dei referti investigativi sulle fattispecie criminose” a cura di Alessandro Bonu

www.diricto.itict4forensics.diee.unica.it

Quale approccio..DI FORZA

• basato sull’incremento delle risorse in grado di sostenere il carico di lavoro: hardware, software, personale, logistica

più immediato, si argina il problema ma i costi lievitano esponenzialmente

DI METODO

• basato sul flusso di lavoro suddiviso tra diverse parti, valutando le priorità sulle quali operare e concentrando l’approfondimento dell’analisi dopo una prima scrematura

più economico e scalabile.. ma come metterlo in pratica?

Page 35: Smau Milano 2015 - Alessandro Bonu

“Classificazione e profilazione dei referti investigativi sulle fattispecie criminose” a cura di Alessandro Bonu

www.diricto.itict4forensics.diee.unica.it

Selezione e Triage Forensics

l’esigenza è quella di dare risposte rapide ad ipotesi di reato o quando si delineano

aspetti non strettamente forensi • identificare le informazioni più rilevanti e dare loro una sorta di priorità (codice)

• l’analisi approfondita si applica pertanto in maniera selettiva a partire dai reperti che hanno ottenuto un grado di priorità maggiore

Page 36: Smau Milano 2015 - Alessandro Bonu

“Classificazione e profilazione dei referti investigativi sulle fattispecie criminose” a cura di Alessandro Bonu

www.diricto.itict4forensics.diee.unica.it

codicerosso

codicegiallo

codiceverde

codicebianco

URGENZAASSOLUTA

POSSIBILERISCHIO

ASSENZADIRISCHI

NONURGENTE

Valutare le priorità?volendo traslare un concetto utilizzato in ambito ospedaliero, potremo definire le seguenti priorità

Page 37: Smau Milano 2015 - Alessandro Bonu

“Classificazione e profilazione dei referti investigativi sulle fattispecie criminose” a cura di Alessandro Bonu

www.diricto.itict4forensics.diee.unica.it

Applicazione del Triage• questa metodologia può essere applicata sia nella fase

di live forensics che post-mortem a seconda del contesto in cui ci si trova ad operare

• live forensics dove la tempestività nell’agire sulla scena del crimine, per alcune fattispecie criminose, può diventare di vitale importanza, in quanto fornisce indizi rilevanti e discriminanti

• anche nei casi di analisi post-mortem, la classificazioni di dispositivi “freddi” rappresenta un valido supporto e una semplificazione della successiva fase di analisi

Page 38: Smau Milano 2015 - Alessandro Bonu

“Classificazione e profilazione dei referti investigativi sulle fattispecie criminose” a cura di Alessandro Bonu

www.diricto.itict4forensics.diee.unica.it

Vantaggi del Triage

• abbattimento dei tempi di elaborazione iniziale dei dati

• possibilità di consultazione rapida delle risultanze

• utilizzo flessibile delle risorse hardware a disposizione e generazione di risposte affidabili

• determinazione delle priorità prima di mettere in campo le risorse per un’analisi più approfondita e accurata

velocità e affidabilità sono le parole chiave del triage per ridurre al minimo costi, tempi e risorse

Page 39: Smau Milano 2015 - Alessandro Bonu

“Classificazione e profilazione dei referti investigativi sulle fattispecie criminose” a cura di Alessandro Bonu

www.diricto.itict4forensics.diee.unica.it

• le informazioni vengono opportunamente classificate al fine di identificare rapidamente le prove che consentono di porre in relazione la prova digitale con la fattispecie criminosa in esame

• ad esempio, sui reperti mobili, ci si è concentrati sui dati attinenti la rubrica telefonica, la cronologia delle chiamate, gli sms, eventuale navigazione internet

• si sono inoltre ricavate, da queste ultime, anche informazioni statistiche relative a percentuale e numero di eventi suddivisi in slot temporali

PROFILO DI UTILIZZO DEL DISPOSITIVO

classificazionedeirisultati

normalizzazionedeidati

raccoltadei

reperti

Classificazione delle informazioni

Page 40: Smau Milano 2015 - Alessandro Bonu

“Classificazione e profilazione dei referti investigativi sulle fattispecie criminose” a cura di Alessandro Bonu

www.diricto.itict4forensics.diee.unica.it

Raccolta dei reperti• è la fase iniziale dell’indagine dove si identificano i reperti

• dispositivi in grado di memorizzare delle informazioni e che potrebbero essere oggetto di reato o correlati allo stesso

• ricerca mirata di quei reperti che rappresentano potenziali elementi probatori in relazione ad una profilazione preliminare del caso

• importante è cercare di comprenderne la pertinenza

• questa fase di divide in due macro aree:

1. dati volatili (reperti caldi)

2. dati statici (reperti freddi)

Page 41: Smau Milano 2015 - Alessandro Bonu

“Classificazione e profilazione dei referti investigativi sulle fattispecie criminose” a cura di Alessandro Bonu

www.diricto.itict4forensics.diee.unica.it

• rientrano in questa categoria tutte le informazioni che sono presenti su dispositivi accesi e operativi

• si tratta di informazioni “fragili”, operazioni errate o affrettate in questa fase potrebbero alterare i dati = potenziali elementi probatori

• scenari difficilmente standardizzabili proprio a causa delle variabili che si possono di volta in volta incontrare

• lo spegnimento brutale, anche se meno indolore di uno shutdown, determina quasi sempre una perdita di dati

• tale procedura si configura sempre come attività irripetibile

Dati volatili

Page 42: Smau Milano 2015 - Alessandro Bonu

“Classificazione e profilazione dei referti investigativi sulle fattispecie criminose” a cura di Alessandro Bonu

www.diricto.itict4forensics.diee.unica.it

sistemiaccesieoperativichepossonorappresentareunafontedidatiedevidenzedinotevoleimportanzaecheinalcunicasipotrebberoesseredecisiviperl’esitodiindagine

Scena del crimine con live data

Page 43: Smau Milano 2015 - Alessandro Bonu

“Classificazione e profilazione dei referti investigativi sulle fattispecie criminose” a cura di Alessandro Bonu

www.diricto.itict4forensics.diee.unica.it

• agevola le forze dell’ordine in un rapido repertamento di prove più rilevanti

• attività svolta nell’immediatezza del fatto anche da tecnici non altamente specializzati in analisi forense

• utile quando viene richiesto di dare rapidamente risposta ad una ipotesi di reato

• agevola gli investigatori a decisioni più consapevoli per la prosecuzione dell’indagine

Triage nel live forensics

Page 44: Smau Milano 2015 - Alessandro Bonu

“Classificazione e profilazione dei referti investigativi sulle fattispecie criminose” a cura di Alessandro Bonu

www.diricto.itict4forensics.diee.unica.it

• talvolta si ha necessità di agire in fretta nella scena del crimine: dati e informazioni potrebbero altrimenti essere compromesse

• l’agire in fretta è sempre un problema, si tralasciano per esempio evidenze apparentemente irrilevanti

• contesto in cui il tempo è tiranno:

• devo avere una strategia operativa e capire da dove iniziare e quali strumenti utilizzare in relazione al contesto di indagine

Agire in fretta

Page 45: Smau Milano 2015 - Alessandro Bonu

“Classificazione e profilazione dei referti investigativi sulle fattispecie criminose” a cura di Alessandro Bonu

www.diricto.itict4forensics.diee.unica.it

Sentenza di Garlasco• Il collegio peritale evidenziava che le condotte di accesso da parte dei

Carabinieri hanno determinato la sottrazione di contenuto informativo con riferimento al pc di Alberto Stasi pari al 73,8% dei files visibili (oltre 156.000) con riscontrati accessi su oltre 39.000 files”…

• perizia informatica, altro elemento cruciale nell'indagine per quanto riguarda il possibile alibi e il movente di Stasi, per capire se il contenuto del portatile è stato o meno inesorabilmente contaminato dai vari accessi fatti prima che venisse consegnato ai tecnici del Ris di Parma. » questo, secondo il parere del GUP, uno dei passaggi di cruciale importanza dell'intero quadro accusatorio…

• E a tal riguardo il GUP conclude: “non è più possibile esprimere delle valutazioni certe né in un senso né nell'altro: in questo ambito, il danno irreparabile prodotto dagli inquirenti attiene proprio all'accertamento della verità processuale. Questi i sintesi i principali errori investigativi che hanno segnato l'indagine sull'omicidio di Chiara Poggi, che ancora oggi resta un delitto impunito e senza un perché…

Page 46: Smau Milano 2015 - Alessandro Bonu

“Classificazione e profilazione dei referti investigativi sulle fattispecie criminose” a cura di Alessandro Bonu

www.diricto.itict4forensics.diee.unica.it

• rientrano nella categoria dei dispositivi cosiddetti “freddi” ovvero spenti e non operativi

• sono caratterizzati dal fatto che i dati all’interno di questi device sono stabili nel tempo a meno che non intervengano cause di esterne

• le attività su questi dispositivi si effettuano in laboratorio attraverso l’acquisizione delle “copie forensi” sulle quali poi operare l’analisi..

• anche in questo caso, come nel “live forensics” viene acquisita l’intera area di memoria con le note procedure di “bit stream image”

Dati statici

Page 47: Smau Milano 2015 - Alessandro Bonu

“Classificazione e profilazione dei referti investigativi sulle fattispecie criminose” a cura di Alessandro Bonu

www.diricto.itict4forensics.diee.unica.it

• kit forensi in grado di estrapolare dai dispositivi digitali gli elementi più importanti ed evidenti per l’indagine in corso

• In genere in caso di truffe (caso classico) estrazione dei dati orinati per formato (es.. .docx, .xlsx, pdf, ..ecc)

• analisi testuali su header delle mail per individuarne la paternità o in caso di pedopornografia le immagini e i video

• altrettanto rilevanti possono essere le informazioni di sistema, navigazione internet, parco applicativo, contenuti (anche cancellati) ..ecc

Gli strumenti del mestiere

Page 48: Smau Milano 2015 - Alessandro Bonu

“Classificazione e profilazione dei referti investigativi sulle fattispecie criminose” a cura di Alessandro Bonu

www.diricto.itict4forensics.diee.unica.it

CASEREPORT

Windows Ultimate Forensic Outflow

Page 49: Smau Milano 2015 - Alessandro Bonu

“Classificazione e profilazione dei referti investigativi sulle fattispecie criminose” a cura di Alessandro Bonu

www.diricto.itict4forensics.diee.unica.it

Catalogazione delle informazioni

Page 50: Smau Milano 2015 - Alessandro Bonu

“Classificazione e profilazione dei referti investigativi sulle fattispecie criminose” a cura di Alessandro Bonu

www.diricto.itict4forensics.diee.unica.it

Browser History View

Page 51: Smau Milano 2015 - Alessandro Bonu

“Classificazione e profilazione dei referti investigativi sulle fattispecie criminose” a cura di Alessandro Bonu

www.diricto.itict4forensics.diee.unica.it

Spektor di DELL

Page 52: Smau Milano 2015 - Alessandro Bonu

“Classificazione e profilazione dei referti investigativi sulle fattispecie criminose” a cura di Alessandro Bonu

www.diricto.itict4forensics.diee.unica.it

Normalizzazione dei dati• la “normalizzazione” ha il fine di eliminare tutti i

disallineamenti di output derivanti dalla varietà degli strumenti utilizzati durante la fase di acquisizione dalle varie fonti

• una volta normalizzati i dati confluiscono in un database sul quale vengono effettuate elaborazioni statistiche che producono attributi (features) che identificano un data set

• la scelta di questi attributi viene accuratamente effettuata sulla base di esperienze che nel tempo hanno portato a risultati significativi

Page 53: Smau Milano 2015 - Alessandro Bonu

“Classificazione e profilazione dei referti investigativi sulle fattispecie criminose” a cura di Alessandro Bonu

www.diricto.itict4forensics.diee.unica.it

FEATURES TYPE DEVICE #1 DEVICE #2 DEVICE #3

feature #1 true false true

feature #2 false true false

feature #3 false false true

feature #4 true true true

feature #5 true true false

feature #6 1200 320 65000

feature #7 … … …

feature #n … … …

… … … …

FeaturesFeatures e data set

Page 54: Smau Milano 2015 - Alessandro Bonu

“Classificazione e profilazione dei referti investigativi sulle fattispecie criminose” a cura di Alessandro Bonu

www.diricto.itict4forensics.diee.unica.it

Data Mining• queste metodologie hanno lo scopo di estrarre sapere e

conoscenza da una grande mole di dati

• processi matematici eseguiti attraverso automatismi che hanno doppia valenza:

1. estrazione di informazioni implicite e/o nascoste da dati già strutturati in modo tale che siano direttamente fruibili

2. esplorazione e analisi da una grossa mole di dati mirate a scoprire schemi significativi

in entrambi i casi il dato diventa significativo o trascurabile in relazione all’ambito di indagine

Page 55: Smau Milano 2015 - Alessandro Bonu

“Classificazione e profilazione dei referti investigativi sulle fattispecie criminose” a cura di Alessandro Bonu

www.diricto.itict4forensics.diee.unica.it

start

datinormalizzati?

allineamentodelleanomalie

elaborazionedelleevidenze

trasformazionedeidati

memorizzazionedeidati

DataMining

estrazionedellefeaturesend

SI NO

work-flow di normalizzazione dei dati

Page 56: Smau Milano 2015 - Alessandro Bonu

“Classificazione e profilazione dei referti investigativi sulle fattispecie criminose” a cura di Alessandro Bonu

www.diricto.itict4forensics.diee.unica.it

• obiettivo è quindi quello di classificare i dati in ingresso per definire specifiche classi

• gli algoritmi di classificazione consentono identificare degli schemi o insiemi di caratteristiche alle quali appartiene un determinato record

• le features individuate servono a capire per es. il grado di utilizzo del reperto da parte del soggetto indagato e relazionandolo al reato commesso

Classificazione dei risultati

Page 57: Smau Milano 2015 - Alessandro Bonu

“Classificazione e profilazione dei referti investigativi sulle fattispecie criminose” a cura di Alessandro Bonu

www.diricto.itict4forensics.diee.unica.it

Applicazione alla Computer Forensics• In questo contesto si valuta il profilo di utilizzo dei

dispositivi esaminati e classificati in relazione ad una particolare fattispecie di reato: PIRATERIA

• il data set delle features è stato pertanto costruito con l’obiettivo di valutare e classificare in modo automatico ciascun dispositivo in relazione al reato di pirateria informatica

INFORMAZIONIESTRAPOLATEDALREPERTOnumerodiapplicazioniinstallate

numerodiapplicazionisuddivisepertipologiafunzionale(chat,browser,ecc)

numeroepercentualedelleURLvisitateesuddivisepertipologia

numeroepercentualedeifileaudioscaricatiesuddivisiperdimensione

Page 58: Smau Milano 2015 - Alessandro Bonu

“Classificazione e profilazione dei referti investigativi sulle fattispecie criminose” a cura di Alessandro Bonu

www.diricto.itict4forensics.diee.unica.it

casodi stalking

accessoa

Internet

numerodichiamate

arcotemporale

duratadelle

chiamate

tipologiadispositivimobile

casodi pedofilia

accessoa

Internet

grannumerodiimmaginievideo

archivieareedi

download

softwaredi

download

criptaggiosteganografia

Valutazione dei risultati su casi differenti

Page 59: Smau Milano 2015 - Alessandro Bonu

“Classificazione e profilazione dei referti investigativi sulle fattispecie criminose” a cura di Alessandro Bonu

www.diricto.itict4forensics.diee.unica.it

• specifiche tecniche di intelligence e profiling atte ad ottenere informazioni che possono essere utili alla comprensione e risoluzione del problema per il quale si procede

• tale processo si articola con la ricerca di “tracce digitali” dell’utilizzatore degli apparati fisici che come tale personalizza l’ambiente sul quale opera e interagisce, sia questo reale che virtuale

• in questo ampio e bivalente contesto, anche inconsciamente , si lasciano necessariamente delle tracce che possono essere rilevate, confrontate e classificate

Digital Profiling

Page 60: Smau Milano 2015 - Alessandro Bonu

“Classificazione e profilazione dei referti investigativi sulle fattispecie criminose” a cura di Alessandro Bonu

www.diricto.itict4forensics.diee.unica.it

IDENTIFICAZIONE

repertamentoACQUISIZIONE

copia forense

ANALISI

estrazione dei dati

PRESENTAZIONE

relazione finale

CATENADI

CUSTODIAINDAGINE

Evoluzione del Work-flow del triage nel processo di investigazione

IDENTIFICAZIONErepertamento

Raccoltamiratadeireperti

PRESENTAZIONEFINALEconsegnadellavoro

Normalizzazione deidati

Dat

a Pr

ofilin

g

DataMining,Featurese

DataSetperlaclassificazione

deidati

TRIAGE

ANALISI

INDAGINE

Page 61: Smau Milano 2015 - Alessandro Bonu

“Classificazione e profilazione dei referti investigativi sulle fattispecie criminose” a cura di Alessandro Bonu

www.diricto.itict4forensics.diee.unica.it

• di fondamentale importanza è inoltre la fase di preservazione delle evidenze digitali acquisite è definita come “catena di custodia”

• insieme di procedure atte a tracciare tutte le attività effettuate sul reperto dal momento in cui lo stesso è stato preso in consegna

• tali evidenze devono essere inoltre custodite in appositi contenitori idonei al trasporto e in grado di evitare anche danneggiamenti involontari o condizioni ambientali avverse

Catena di custodia

Page 62: Smau Milano 2015 - Alessandro Bonu

“Classificazione e profilazione dei referti investigativi sulle fattispecie criminose” a cura di Alessandro Bonu

www.diricto.itict4forensics.diee.unica.it

• i dispositivi tecnologici sono oggi parte integrante nell’indagine, anche se non direttamente coinvolti

• rappresentano un elemento utile per ricostruire la sequenza

temporale del crimine e relativo modus operandi

• gli strumenti di analisi forense diventano tanto più obsoleti quanto più velocemente si evolvono le nuove tecnologie

• questo fenomeno evolutivo richiede un grado di specializzazione tecnica più elevato e qualificato rispetto a quello tradizionale

Un nuovo approccio

Page 63: Smau Milano 2015 - Alessandro Bonu

“Classificazione e profilazione dei referti investigativi sulle fattispecie criminose” a cura di Alessandro Bonu

www.diricto.itict4forensics.diee.unica.it

Progetto ILLBusterL'obiettivo del progetto ILLBuster, finanziato dalla Commissione Europea, all'interno del programma "Prevention of and Fight Against Crime", è quello di fornire un sistema integrato per il rilevamento automatico di attività illegali sulla rete internet. Il sistema è pensato per fornire alle forze dell'ordine uno strumento prezioso nelle loro attività di prevenzione e lotta contro il crimine informatico, e sarà costituito da:

• un motore principale responsabile della rilevazione di una lista “nera” di domini malevoli;

• un insieme di periferiche e servizi che ispezioneranno le pagine web ospitate su domini maligni con lo scopo di individuare materiale illecito o pericoloso (pedopornografia, malware, phishing).

• Il sistema risultante sarà in grado di identificare domini (e contenuti) maligni attraverso l'analisi del traffico DNS e segnalare URL sospetti alle forze dell'ordine, in modo che gli illeciti possano essere facilmente individuati.

• Una caratteristica peculiare del sistema proposto è che esso sarà progettato tenendo presenti tutti gli aspetti legali che garantiscono il rispetto della privacy dei cittadini e non consentono abusi.

Page 64: Smau Milano 2015 - Alessandro Bonu

“Classificazione e profilazione dei referti investigativi sulle fattispecie criminose” a cura di Alessandro Bonu

www.diricto.itict4forensics.diee.unica.it

Progetto ILLBusterObiettivo

sviluppare una piattaforma che supporti le forze dell’ordine nell’attività investigativa in rete

Page 65: Smau Milano 2015 - Alessandro Bonu

“Classificazione e profilazione dei referti investigativi sulle fattispecie criminose” a cura di Alessandro Bonu

www.diricto.itict4forensics.diee.unica.it

Progetto ILLBuster

Buster of ILLegal contents spread by malicious computer networks

Università di Cagliari

www.illbuster-project.eu

Co-funded by the Prevention of and Fight against Crime Programme of the European Union

Page 66: Smau Milano 2015 - Alessandro Bonu

“Classificazione e profilazione dei referti investigativi sulle fattispecie criminose” a cura di Alessandro Bonu

www.diricto.itict4forensics.diee.unica.it

• i metodi descritti consentono un approccio più mirato nella fase di ricerca delle prove

• gli investigatori operano con cognizione di causa e possono dare ordine e priorità ai reperti rilevati

• l’analisi informatica è quindi più snella, rapida ed efficace, ne beneficiano tempi e costi

• con l’evoluzione della tecnologia e con l’incremento esponenziale della mole di dati che ci si trova ad dover analizzare, oggi è un passaggio obbligato

Conclusioni

Page 67: Smau Milano 2015 - Alessandro Bonu

“Classificazione e profilazione dei referti investigativi sulle fattispecie criminose” a cura di Alessandro Bonu

www.diricto.itict4forensics.diee.unica.it

Grazie per l’attenzione

[email protected]

it.linkedin.com/in/abonu

www.andig.it

www.diricto.it

ict4forensics.diee.unica.it

www.massimofarina.it

Fine presentazione..

Page 68: Smau Milano 2015 - Alessandro Bonu

“Classificazione e profilazione dei referti investigativi sulle fattispecie criminose” a cura di Alessandro Bonu

www.diricto.itict4forensics.diee.unica.it

Attribuzione - Non Commerciale - Condividi allo stesso modo 2.5

Tuseilibero: • diriprodurre,distribuire,comunicarealpubblico,esporreinpubblico,rappresentare,eseguireorecitare

l'opera • dicreareoperederivatealleseguenticondizioni:

• Attribuzione.Deviriconoscereilcontributodell'autoreoriginario. • Noncommerciale.Nonpuoiusarequest’operaperscopicommerciali. • Condividiallostessomodo.Sealteri,trasformiosviluppiquest’opera,puoidistribuirel’operarisultantesolopermezzodiuna

licenzaidenticaaquesta. Inoccasionediogniattodiriutilizzazioneodistribuzione,devichiarireaglialtriiterminidellalicenzadiquest’opera. Seottieniilpermessodaltitolaredeldirittod'autore,èpossibilerinunciareadognunadiquestecondizioni. Letueutilizzazionilibereeglialtridirittinonsonoinnessunmodolimitatidaquantosopra