CORSO DI INFORMATICA FORENSE – Il ruolo del computer

di Luca Savoldi

Luca Savoldi

Corso di INFORMATICA FORENSE (A.A. 2013/2014)

Il ruolo del computer e dei dispositivi informatici nell’azione criminale

DirICTo

Attività seminariale nell’ambito del Corso di Laurea Magistrale in Ingegneria delle Telecomunicazioni – insegnamento di Diritto dell’Informatica e delle Nuove Tecnologie (coordinamento delle attività a cura di Massimo Farina)

CORSO DI INFORMATICA FORENSE – Il ruolo dei dispositivi informatici nell’azione criminale

di Luca Savoldi

CORSO DI INFORMATICA FORENSE – Il ruolo dei dispositivi informatici nell’azione criminale

di Luca Savoldi

CORSO DI INFORMATICA FORENSE – Il ruolo dei dispositivi informatici nell’azione criminale

di Luca Savoldi

CORSO DI INFORMATICA FORENSE – Il ruolo dei dispositivi informatici nell’azione criminale

di Luca Savoldi

CORSO DI INFORMATICA FORENSE – Il ruolo dei dispositivi informatici nell’azione criminale

di Luca Savoldi

CORSO DI INFORMATICA FORENSE – Il ruolo dei dispositivi informatici nell’azione criminale

di Luca Savoldi

•Il 60% della popolazione mondiale (tutti inclusi) possiede almeno un telefonino.

•Il 51% compra un nuovo spazzolino almeno una volta all’anno

CORSO DI INFORMATICA FORENSE – Il ruolo dei dispositivi informatici nell’azione criminale

di Luca Savoldi

CORSO DI INFORMATICA FORENSE – Il ruolo dei dispositivi informatici nell’azione criminale

di Luca Savoldi

CORSO DI INFORMATICA FORENSE – Il ruolo del computer

di Luca Savoldi

STERMINIO DELLA FAMIGLIA KINDER Analisi caso reale

CORSO DI INFORMATICA FORENSE – Il ruolo dei dispositivi informatici nell’azione criminale

di Luca Savoldi

Serial Killer famiglia Kinder

1

CORSO DI INFORMATICA FORENSE – Il ruolo dei dispositivi informatici nell’azione criminale

di Luca Savoldi

Serial Killer famiglia Kinder

2

CORSO DI INFORMATICA FORENSE – Il ruolo dei dispositivi informatici nell’azione criminale

di Luca Savoldi

Serial Killer famiglia Kinder

3

CORSO DI INFORMATICA FORENSE – Il ruolo dei dispositivi informatici nell’azione criminale

di Luca Savoldi

• In una giornata tra app e servizi il nostro smatphone viene tracciato da almeno 20 sorgenti

• Vengono tracciate più di 100 posizioni

• Queste, in primo livello, sono registrate su almeno 100 server. Impossibile stabilire i livelli successivi

Siamo continuamente tracciati

CORSO DI INFORMATICA FORENSE – Il ruolo dei dispositivi informatici nell’azione criminale

di Luca Savoldi

• Per mancanza di una legislazione unica è difficile recuperare queste informazioni dai server

• Su un dispositivo, sebbene non dovrebbe essere così, si possono recuperare buona parte di queste informazioni (molte più su Android)

..ma nessuno ci può dare l’informazione

CORSO DI INFORMATICA FORENSE – Il ruolo dei dispositivi informatici nell’azione criminale

di Luca Savoldi

Regola n.1 della computer forensics: l’acquisizione deve essere RIPETIBILE

•Bisogna “congelare” il dato informatico ed esaminare successivamente una copia dell’originale…

•Se viene commesso un errore non si può cliccare sul tasto “annulla”…

Ctrl Z Ctrl Z Ctrl Z (o cmd Z..)

CORSO DI INFORMATICA FORENSE – Il ruolo del computer

di Luca Savoldi

Computer Forensics

Computer Forensics

Disciplina che si occupa:

• dell'identificazione

• dell’acquisizione

• della preservazione

• dello studio e analisi

• della documentazione

delle memorie rilevate nei computer o sistemi informativi in

generale, al fine di evidenziare prove per scopi di indagine.

CORSO DI INFORMATICA FORENSE – Il ruolo dei dispositivi informatici nell’azione criminale

di Luca Savoldi

• Con la Legge 48/2008 sono state introdotte una serie di modifiche nel Codice di Procedura Penale che di fatto riconoscono la digital evidence e ne normano il trattamento.

Cosa dice la Legge

CORSO DI INFORMATICA FORENSE – Il ruolo dei dispositivi informatici nell’azione criminale

di Luca Savoldi

•Articolo 244, comma 2 del codice di procedura penale: «..,anche in relazione a sistemi informatici o telematici, adottando misure tecniche dirette ad assicurare la conservazione dei dati originali e ad impedirne l'alterazione» •Articolo 247 del codice di procedura penale: «Comma 1-bis. Quando vi e fondato motivo di ritenere che dati, informazioni, programmi informatici o tracce comunque pertinenti al reato si trovino in un sistema informatico o telematico, ancorche protetto da misure di sicurezza, ne e disposta la perquisizione, adottando misure tecniche dirette ad assicurare la conservazione dei dati originali e ad impedirne l'alterazione.»

Cosa dice la Legge

CORSO DI INFORMATICA FORENSE – Il ruolo dei dispositivi informatici nell’azione criminale

di Luca Savoldi

• Articolo 260 del codice di procedura penale: • Comma 1: «..con altro mezzo» .. «, anche di carattere elettronico o

informatico,»

• Comma 2: «Quando si tratta di dati, di informazioni o di programmi informatici, la copia deve essere realizzata su adeguati supporti, mediante procedura che assicuri la conformita della copia all'originale e la sua immodificabilita; in tali casi, la custodia degli originali puo essere disposta anche in luoghi diversi dalla cancelleria o dalla segreteria»

Cosa dice la Legge

CORSO DI INFORMATICA FORENSE – Il ruolo dei dispositivi informatici nell’azione criminale

di Luca Savoldi

Rilevare sempre lo scarto orario durante le acquisizioni.

•Ma non dimentichiamoci anche dei LOG. Uno degli errori classici che avviene nell’interpretazione dei LOG, è quella di non dare importanza ai simboli e numeri rappresentati vicino l’ora… Abbiamo orari GMT, UTC (Zulu)…..

L’importanza del TEMPO

CORSO DI INFORMATICA FORENSE – Il ruolo dei dispositivi informatici nell’azione criminale

di Luca Savoldi

Una fase del repertamento: • Rilevazione dello scarto

orario dal bios del computer analizzato:

• Avere sempre un orologio

preciso e sincronizzato

• Accedete al bios solo dopo aver scollegato le memorie di massa

Fare foto o, meglio, riprendere con una videocamera!

L’importanza del TEMPO

CORSO DI INFORMATICA FORENSE – Il ruolo del computer

di Luca Savoldi

EVITARE ASSOLUTAMENTE:

• FRETTA: vi farà perdere la concentrazione e “agevolerà” l’errore umano

• STRUMENTI IMPROVVISATI e non collaudati

• STRESS da troppo lavoro

• Collaboratori agitati che non vedono l’ora di accendere quel maledetto PC

• Di improvvisare, ovvero fare cose di cui non si ha padronanza assoluta

CORSO DI INFORMATICA FORENSE – Il ruolo del computer

di Luca Savoldi

Computer Forensics

Alcune best practices:

• Maneggiare sempre i reperti con guanti elettrostatici

• Fotografare e documentare tutte le fasi di acquisizione

• Eseguire sempre il wipe sicuro dei dischi di destinazione conservandone un log

• Utilizzare sempre il write blocker hardware per proteggere i dischi sorgente

• Calcolare sempre l’impronta hash del disco sorgente e dei file interessanti

• Custodire sempre i dischi in buste elettrostatiche e in contenitori anticaduta

• Eseguire l’analisi in ambiente sterile (?)

• Garantire la riservatezza, integrità e disponibilità dei dati trattati

Alcuni consigli:

• Effettuare la copia in formato DD in porzioni da 2 Gb (portabilità e compatibilità)

• Di fronte ad un sistema non conosciuto non improvvisare ma prendere le

opportune precauzioni con i giusti tempi (vedi RAID con controller proprietario o

sistemi Legacy)

CORSO DI INFORMATICA FORENSE – Il ruolo del computer

di Luca Savoldi

Dati, metadati e l'utilità dell'HASH

Normative e best practices parlano di:

Sigillo digitale = HASH

Catena di Custodia = Chain of Custody

Sono elementi “fondamentali” per la

formazione della “prova informatica”

NON SONO OPTIONAL !!!

CORSO DI INFORMATICA FORENSE – Il ruolo del computer

di Luca Savoldi

Allegare al reperto sempre il documento di

Catena di Custodia (Chain of Custody)

Questo documento riporta tutti dati

utili a tracciare le attività svolte sulla

digital evidence custodita.

Dati fondamentali sono ad esempio

i codici di hash, i dati fisici del disco,

chi, come, quando, dove e perché ha

avuto accesso alla digital evidence.

CORSO DI INFORMATICA FORENSE – Il ruolo dei dispositivi informatici nell’azione criminale

di Luca Savoldi

•La catena di custodia è un’operazione relativamente semplice ma deve essere eseguita correttamente e con molta attenzione

•Anche il supporto/dispositivo oggetto dell’analisi deve essere protetto in modo premuroso

La catena di custodia

CORSO DI INFORMATICA FORENSE – Il ruolo del computer

di Luca Savoldi

Catena di Custodia

•Terminata l’acquisizione procedere immediatamente alla custodia del disco originale. •Operazione fondamentale: creare in questa fase la Catena di Custodia

La catena di custodia

CORSO DI INFORMATICA FORENSE – Il ruolo del computer

di Luca Savoldi

Catena di Custodia

• Proteggere il

supporto • (esempio) inserire il

supporto in una busta elettrostatica e poi avvolgerlo con un involucro antiurto

La catena di custodia

CORSO DI INFORMATICA FORENSE – Il ruolo del computer

di Luca Savoldi

Catena di Custodia

• Inserire tutto dentro una busta

La catena di custodia

CORSO DI INFORMATICA FORENSE – Il ruolo del computer

di Luca Savoldi

Catena di Custodia

• Porre le firme da coprire con nastro antieffrazione o ceralacca

La catena di custodia

CORSO DI INFORMATICA FORENSE – Il ruolo del computer

di Luca Savoldi

Catena di Custodia

• Ripiegate poi la busta e ripetete la stessa operazione. Si può usare anche spago con ceralacca o altro.....

La catena di custodia

CORSO DI INFORMATICA FORENSE – Il ruolo del computer

di Luca Savoldi

Gli strumenti: HW: Write Blocker semplici ed avanzati

SW Open: CAINE e DEFT

SW Closed Freeware: USB Write Blocker,

AccessData FTK Imager, MFT Ripper, ecc.

SW Closed: FTK, Encase, X-Ways Forensics, Paraben Replicator, Chat Examiner,

ecc.

CORSO DI INFORMATICA FORENSE – Il ruolo del computer

di Luca Savoldi

Strumenti Computer Forensic

CORSO DI INFORMATICA FORENSE – Il ruolo del computer

di Luca Savoldi

• Logicube Celldek

Strumenti Mobile Forensic

CORSO DI INFORMATICA FORENSE – Il ruolo del computer

di Luca Savoldi

CAINE is an Italian GNU/Linux live

distribution created as a project of Digital

Forensics .

Windows Side Ready

CORSO DI INFORMATICA FORENSE – Il ruolo del computer

di Luca Savoldi

Xubuntu Kernel 2.6.31 (Linux side)

DEFT Extra 2.0 (Computer Forensic GUI) with

the best freeware Windows Computer

Forensic s tools

CORSO DI INFORMATICA FORENSE – Il ruolo dei dispositivi informatici nell’azione criminale

di Luca Savoldi

CORSO DI INFORMATICA FORENSE – Il ruolo dei dispositivi informatici nell’azione criminale

di Luca Savoldi

40

Attribuzione - Non Commerciale - Condividi allo stesso modo 3.0

o Tu sei libero:

• di riprodurre, distribuire, comunicare al pubblico, esporre in pubblico, rappresentare, eseguire o recitare l'opera;

• di modificare quest’opera;

• Alle seguenti condizioni: Attribuzione. Devi attribuire la paternità dell’opera nei modi indicati

dall’autore o da chi ti ha dato l’opera in licenza e in modo tale da non suggerire che essi avallino te o il modo in cui tu usi l’opera.

Non commerciale. Non puoi usare quest’opera per fini commerciali. Condividi allo stesso modo. Se alteri, trasformi quest’opera, o se la usi per

crearne un’altra, puoi distribuire l’opera risultante solo con una licenza identica o equivalente a questa.

o In occasione di ogni atto di riutilizzazione o distribuzione, devi chiarire agli altri i termini della licenza di quest’opera.

o Se ottieni il permesso dal titolare del diritto d'autore, è possibile rinunciare ad ognuna di queste condizioni.

o Le tue utilizzazioni libere e gli altri diritti non sono in nessun modo limitati da quanto sopra