Raggruppamento Operativo Speciale

Transcript

1 Le nuove frontiere dell acquisizione degli elementi di prova nel Cyberspace Milano, maggio 2016

2 Agenda Definizioni Mock Case Questioni aperte

3 Cyberspace

4 Cyberspace Cyberspace Vs. Domicilio Informatico Secondo la ISO 27032:2012 è «the complex environment resulting from the interaction of people, software and services on the Internet by means of technology devices and networks connected to it, which does not exist in any physical form» Possiamo affermare che il cyberspace potrebbe in parte essere assimilato al c.d. domicilio informatico? Se così fosse, è da intendersi come un area di pertinenza virtuale a geometria variabile nella disponibilità diretta della parte non necessariamente coincide con il contenuto informativo del dispositivo fisico in esame, ma può essere distribuito anche in aree diverse dal territorio nazionale, come ad esempio il Cloud.

5 Definizione Digital Investigation ISO 27043:2015 pt Digital Investigation «use of scientifically derived and proven methods towards the identification, collection, transportation, storage, analysis, interpretation, presentation, distribution, return, and/or destruction of digital evidence derived from digital source, while obtaining proper authorizations for all activities, properly documenting all activities, interacting with the physical investigation, preserving digital evidence, and maintaining the chain of custody, for the purpose of facilitating or furthering the reconstruction of events found to be incidents requiring a digital investigation, whether of criminal nature or not».

6 Le problematiche Digital Investigation Il principale problema derivante dalle indagini in materia di criminalità informatica in Internet è l aterritorialità. Si pongono dunque problemi che si collocano a diversi livelli: Livello investigativo : ampio terreno da monitorare; Livello procedurale: chi è competente a fare cosa; Livello di diritto penale : a quale legge penale, di quale Stato, bisogna fare riferimento. Oggi tenteremo di approfondire un case study tecnicoinvestigativo, ripercorrendo una delle possibili strade percorribili.

7 La Vicenda Mock Case Il Sig. Mario ROSSI è indagato per alcune rapine avvenute in un certo territorio. nell ordinanza di custodia cautelare, viene disposta anche una perquisizione informatica (ex art. 247 co. 1-bis c.p.p.), al fine di accertare la presenza di coordinate GPS riconducibili ai luoghi in cui sarebbero avvenute le rapine oggetto d indagine, Durante l atto a sorpresa la parte viene trovato nella disponibilità di un tablet, marca Samsung, dotato di sistema operativo Android.

8 Standard per un indagine informatica Esiste uno standard per svolgere un indagine informatica?

9 ISO Standard per le investigazioni digitali 27035:2011 : Linee guida per la gestione degli incidenti informatici in grandi e medie aziende :2012 : Linee guida per la gestione dei dispositivi informativi rinvenuti sulla scena del crimine :2015 : Linee guida per la valutazione dell adeguatezza dei metodi investigativi adottati in un indagine in materia di criminalità informatica :2015 : Linee guida per l esecuzione dell'analisi ed interpretazione dei dati acquisiti dai dispositivi informatici rilevati sulla scena del crimine :2015 : Linee guida che fungono da preambolo a tutte le attività della Digital Investigation.

10 Linee Guida del NIST Tipologie di acquisizione per dispositivi mobile Lev. 2 Logica (o Live) Semplice: Backup; API. Avanzata: Lev. 1 - Manuale Volume. Foto e Video; Attività descrittive. Lev. 3 - Fisica (o Raw) Software: Hex dumping (o Bitstream). Hardware: JTAG; Flasher Box Lev. 4 - Chip- Off Raw data Lev. 5 - Micro Read electronic microscope (solo teorica)

11 Misure tecniche acquisizione di Livello 1 Da un preliminare accertamento emerge che la strumentazione in possesso degli operanti non supporta né l acquisizione c.d. fisica di tipo software based (Livello 3), né quella logica avanzata (Livello 2.2) in quanto, un attività di rooting (acquisizione di diritti amministrativi) realizzata su tale tablet, avrebbe potuto causare una deindicizzazione di tutti i dati, quindi una potenziale perdita di un patrimonio informativo utile alle indagini.

12 Misure tecniche - acquisizione Cosa faccio in questo caso?

13 Misure tecniche La chiave di volta Servizi Cloud Based

14 Illuminati dal fatto di poter identificare i dati richiesti dall A.G. presso una pertinenza virtuale, la P.G. : Estensione dell attività di ricerca anche presso il domicilio informatico Cloud Vuole collaborare con le indagini, comunicandoci le credenziali? 1. invita la parte ad una fattiva collaborazione con le indagini, chiedendo se spontaneamente comunica le credenziali per accedere al suo domicilio informatico sito presso il CSP Google;» Puntualmente la parte viene colto da un momento di amnesia, asserendo quindi di non ricordare la password. Eeee. Veramente non le ricordo!

15 Estensione dell attività di ricerca anche presso il domicilio informatico Cloud Illuminati dal fatto di poter identificare i dati richiesti dall A.G. presso una pertinenza virtuale, la P.G. : 2. procede all abbattimento degli ostacoli (in questo caso una o più misure logiche di sicurezza) tramite l avvio della procedura di reset della password.» Google per autorizzare tale procedura avrebbe inviato un codice di autorizzazione tramite SMS ad un data utenza telefonica (che verrà anch essa sequestrata). 1 2

16 Estensione dell attività di ricerca anche presso il domicilio informatico Cloud Illuminati dal fatto di poter identificare i dati richiesti dall A.G. presso una pertinenza virtuale, la P.G. : 3. una volta ultimata la fase di modifica delle misure logiche poste a sicurezza del domicilio informatico, la P.G. si assicura una quanto minima cinturazione della scena del crimine informatico;

17 Estensione dell attività di ricerca anche presso il domicilio informatico Cloud Illuminati dal fatto di poter identificare i dati richiesti dall A.G. presso una pertinenza virtuale, la P.G. : 4. procedono a realizzare il sopralluogo virtuale sfruttano la possibilità di acquisire, anche in maniera selettiva (ISO 27037:2012 punti /4), tutti i dati presenti nel profilo Google in disamina, concentrando quindi la loro attenzione:» sulla effettiva corrispondenza tra il tablet in sequestro e quello registrato presso i server di Mountain View;» sulla effettiva attivazione dei servizi di localizzazione e successiva analisi nel periodo d interesse.

18 Estensione dell attività di ricerca anche presso il domicilio informatico Cloud

19 Estensione dell attività di ricerca anche presso il domicilio informatico Cloud

20 Acquisizione dei dati da remoto Al fine di garantire sia la ripetibilità che la riproducibilità delle informazioni assunte dall accusa, la P.G. acquisisce i dati : 1. JSON (JavaScript Object Notation); 2. in formato KML (Keyhole Markup Language). 1 2

21 Considerazioni finali I dati così acquisiti potranno essere considerati solo elementi indiziari che dovranno integrare le fonti di prova già assunte presso altri Enti terzi, come ad esempio: tabulati celle telefoniche; apparati di video sorveglianza; file di log ed estremi di contratto (SLA) da parte del CSP; analisi dei reperti da parte degli organi di Polizia Scientifica o Consulente del PM; ecc.

22 Esigenze di un approccio ibrido L impatto che ha avuto il cloud computing sulle moderne indagini informatiche ha di fatto stravolto la netta distinzione che vi era fino a poco tempo fa tra Digital Forensics e Digital Investigation, richiedendo la realizzazione di un approccio ibrido dovuto a problematiche tuttora aperte e che sono di tipo: organizzative; legali; tecnologiche. legali tecnologici Digital Forensics o Investigation? organizzativi

23 Problematiche Chi nomino custode? Come cinturo? Basta la modifica delle credenziali? Se il provider disattiva l account? Originale rispetto a cosa? Al dato remoto o quello acquisito?

24 Problematiche Sono dovute al fatto che l operatore di P.G. non ha più il pieno controllo sugli elementi digitali ritenuti di pertinenza con il contesto investigativo, pertanto gli risulterà difficile soddisfare a pieno tutti i principi introdotti dalla L. 48/2008, come ad esempio l adozione o impartizione di prescrizioni necessarie ad: assicurare la conservazione dei dati: un CSP, che sovente è straniero, difficilmente potrà essere nominato custode (art. 259 c.p.p.) dei dati da voler sequestrare; impedire l alterazione e l accesso ai dati: cinturare una scena del crimine virtuale come quella cloud è una sfida assai ardua, in quanto il paradigma è fondato proprio sull ubiquità degli accessi alla risorsa remota.» Probabilmente uno stratagemma efficace consiste nel modificare tutte le credenziali utilizzate per accedere alla risorsa (es. password, di recupero password, utenza telefonica per l autenticazione a due fasi, ecc.), sperando che nel frattempo il CSP collabori con le FF.PP. e non disattivi l account per non uso. assicurare la conformità della copia all originale: solo pochissimi CSP sono in grado di fornire tale dettaglio sui dati tramite apposite API (es. Google )

25 DOMANDE?