Elementi probatori negli illeciti StarHotel Splendido Milano 4/10/05 Centro di formazione Percorsi SpA Roma 25/10/05
Andrea Ghirardini 10 anni di esperienza nel campo della sicurezza informatica 5 anni di esperienza nel dominio specifico del computer forensics Fondatore di Pila's Security Services, uno dei primi lab italiani per il trattamento delle evidenze informatiche Consulente per 20 procure italiane Consulente per Guardia di Finanza, Carabinieri, Polizia, Svad CISSP, membro Clusit Elementi probatori negli illeciti - Andrea Ghirardini CISSP 2
Computer forensics E' da considerarsi come una disciplina della polizia scientifica, esattamente come la grafologia, la medicina legale, la balistica Elementi probatori negli illeciti - Andrea Ghirardini CISSP 3
La situazione attuale La computer forensics viene ancora considerata, a torto, la cenerentola delle discipline di indagine Troppe volte chiunque si sente in grado di mettere le mani su un evidenza digitale con conseguenze devastanti per l'indagine La cultura generale si sta innalzando velocemente ma spesso si commettono ancora errori banali Servono strumenti hardware e software e un know how che non possono essere improvvisati sul campo Elementi probatori negli illeciti - Andrea Ghirardini CISSP 4
Computer forensics: definizione E' la disciplina che si occupa della raccolta, della preservazione, dello studio e della documentazione dei dati digitali al fine di evidenziare l'esistenza di prove nello svolgimento dell'attività investigativa Elementi probatori negli illeciti - Andrea Ghirardini CISSP 5
Computer forensics: Problemi I La legislazione non aiuta: non esistono delle guide line specifiche, non c'è un passato coerente da cui attingere per ricevere aiuto o a cui ispirarsi. Magistrati diversi richiedono metodi di indagine/acquisizione diverse a seconda delle interpretazioni date. Non è impossibile trovarsi dinanzi a situazioni totalmente contraddittorie Elementi probatori negli illeciti - Andrea Ghirardini CISSP 6
Computer forensics: Problemi II Diverse forze di polizia utilizzano: Metodi di indagine differenti Strumenti di analisi diversi Know How profondamente differenti Non si vuole mortificare la creatività personale ma: Nessuno si preoccupa di usare metodi aperti Nessuno si preoccupa di usare formati interoperabili Nessuno si preoccupa della ripetibilità delle proprie azioni Ancora oggi molti non si preoccupano della preservazione della prova Elementi probatori negli illeciti - Andrea Ghirardini CISSP 7
Computer forensics: una soluzione? Ciò che realmente manca è una serie di guidelines EUROPEE (nel senso di emanate a livello europeo e basate sulla legislazione europea) che possano fissare un minimo comun denominatore su cui basare le indagini o, quantomeno, la base di esse Elementi probatori negli illeciti - Andrea Ghirardini CISSP 8
Computer Forensics: Guidelines I Il sequestro: Cosa sequestrare (supporti, copie, dump delle partizioni/dischi interi) Comportamento con media non convenzionali quali smartphone/pda (batteria?), chiavi usb, lettori mp3, lettori A/V, SAN, Sistemi distribuiti Comportamento con architetture legacy Comportamento con sistemi che richiedano di essere sempre online (supporto vitale/medicale, sistemi di supporto/controllo di apparecchiature) Con che tool effettuare le copie (continua...) Elementi probatori negli illeciti - Andrea Ghirardini CISSP 9
Computer forensics: Interoperabilità E' sensato effettuare un sequestro utilizzando un tool commerciale dal costo di qualche migliaio di euro che NON salva in formato RAW e che costringe la controparte ad utilizzare lo stesso tool per l'analisi, con tutte le limitazioni che questo ha? Elementi probatori negli illeciti - Andrea Ghirardini CISSP 10
Computer forensics: Interoperabilità II E' sensato usare un tool con pesanti limitazioni solo perchè qualcuno (chi?) lo ha definito standard de facto? Elementi probatori negli illeciti - Andrea Ghirardini CISSP 11
Computer forensics: Interoperabilità III Utilizzo di un programma closed source. Come comportarsi in caso di: Bug? Malfunzionamenti? Errori di implementazione? Elementi probatori negli illeciti - Andrea Ghirardini CISSP 12
Computer forensics: Guidelines II Il sequestro: Come comportarsi con gli oggetti fisici? Come comportarsi con i dati digitali? (Firma) Catena della custodia Imballaggio Documentazione Gestione della prova Elementi probatori negli illeciti - Andrea Ghirardini CISSP 13
Computer forensics: Guidelines III Documentazione del caso Descrizione delle operazioni Descrizione dei tool utilizzati Concetto di ripetibilità Piattaforme particolari Hardware non standard Hardware malfunzionante Conservazione dei dati In laboratorio Per il deposito delle prove Elementi probatori negli illeciti - Andrea Ghirardini CISSP 14
Computer Forensics: Guidelines IV Presentazione della prova: Supporti da utilizzarsi Firme digitali Algoritmi di hash Documentazione accessoria Elementi probatori negli illeciti - Andrea Ghirardini CISSP 15
Computer Forensics: Tool OS I Distribuzioni Live di Linux Knoppix Helix Knoppix F.I.R.E Tool di copia dd dd_rescue netcat Elementi probatori negli illeciti - Andrea Ghirardini CISSP 16
Computer Forensics: Tool OS II Tool di ricerca/analisi Sleuth Kit Autopsy Browser Phyflag Foremost Pasco strings Tool di hash/firma Linux x.509 gpg/pgp md5sum/md5deep sha1/sha1deep Elementi probatori negli illeciti - Andrea Ghirardini CISSP 17
Computer Forensics: Problemi legislativi/tecnici - Esempi La cache del browser non è un elemento probante Indipendentemente dal contenuto e dalle statistiche? Off-line browsing? Posizioni non standard? File cancellati dei quali non è possibile recuperare i corrispondenti metadati File System senza supporto di ACL File di log Data tamper Elementi probatori negli illeciti - Andrea Ghirardini CISSP 18
Computer forensics Esempi di fatti accaduti Elementi probatori negli illeciti - Andrea Ghirardini CISSP 19