SlideShare una empresa de Scribd logo
1 de 25
Descargar para leer sin conexión
LA PROVA INFORMATICA 
                   NEL PROCESSO PENALE

                       Aspetti Tecnici e Giuridici
                                 Ivrea 4 maggio 2007


                          Seminari di Diritto Penale dell'Informatica
                  Osservatorio CSIG Ivrea & Camera Penale Vittorio Chiusano




                                           
    Denis Frati
LA PROVA INFORMATICA NEL PROCESSO PENALE 
                                                           Aspetti Tecnici e Giuridici ­ Ivrea 4 maggio 2007




       In principio:

         La casistica correlata all'acquisizione e all'analisi di prove digitali era 
         limitata (1nni 70­80) a reati prettamente informatici, ovvero dove il 
         computer rappresentava il tramite attraverso cui commettere il reato o 
         il target stesso dell'azione criminosa.




                                               
    Denis Frati
LA PROVA INFORMATICA NEL PROCESSO PENALE 
                                                          Aspetti Tecnici e Giuridici ­ Ivrea 4 maggio 2007




       Attualmente:

         I dispositivi elettronici/digitali hanno avuto diffusione di massa, 
         divenendo compendio della vita quotidiana.
         Il loro utilizzo, non più legato al solo ambito informatico, implica la 
         presenza di informazioni digitali, rilevanti ai fini dell'indagine, sulla 
         scena di crimini comuni, in quanto dispositivi usati dall'autore del reato 
         nella organizzazione/realizzazione dell'atto criminoso e/o dalla vittima.




                                              
    Denis Frati
LA PROVA INFORMATICA NEL PROCESSO PENALE 
                                     Aspetti Tecnici e Giuridici ­ Ivrea 4 maggio 2007




                  sulla scena 
                  del crimine 

                                    sarà 
                                  possibile 
                                 individuare



                             
    Denis Frati
LA PROVA INFORMATICA NEL PROCESSO PENALE 
                                                          Aspetti Tecnici e Giuridici ­ Ivrea 4 maggio 2007




       Definizione “Prova digitale”:

         “Qualsiasi informazione, con valore probatorio, che sia o 
         memorizzata o trasmessa in un formato digitale”
             (Scientific Working Group on Digital Evidence, 1998)


         L'informazione digitale è l'unica interpretabile da dispositivi 
         elettronico/digitali, in quanto rappresentazione nel linguaggio binario, 
         composto da 1 (uno) e 0 (zero), delle condizioni si/no, vero/falso, on/off
         L'unità minima è definita bit (binary unit)

                                   Il mantenimento delle informazioni nella 
                                   memoria dei dispositivi elettronici avviene 
                                   attraverso la polarizzazione di unità fisiche 
                                   costituenti i supporti di memoria magnetici e 
                                   magneto­ottici. 


                                             
    Denis Frati
LA PROVA INFORMATICA NEL PROCESSO PENALE 
                                                           Aspetti Tecnici e Giuridici ­ Ivrea 4 maggio 2007




                                        Acquisizione della 
                                              prova
                     Sequestro         (quale insieme dati 
                  (fonte di prova)   contenuti sul supporto)
                                                               Estrazione dati/file 
         Perquisizione                                              rilevanti
                                                               (elementi di prova)


       Notizia di reato



    Il Valore Probatorio della prova è garantito da:
                                                               Dibattimento
    ● autenticità

    ● integrità

    ● veracità

    ● completezza

    ● legalità


                                               
    Denis Frati
LA PROVA INFORMATICA NEL PROCESSO PENALE 
                                                 Aspetti Tecnici e Giuridici ­ Ivrea 4 maggio 2007




         Digital forensics                                  computer forensics




       attraverso
       ● identificazione

       ● preservazione                                         mobile forensics
       ● acquisizione

       ● analisi

       ● presentazione




        perviene alla prova digitale, 
               mantenendone
                                                                 network forensics
            il valore probatorio

                                          
    Denis Frati
LA PROVA INFORMATICA NEL PROCESSO PENALE 
                                                           Aspetti Tecnici e Giuridici ­ Ivrea 4 maggio 2007




       Identificazione:

         attività volta, attraverso: 
         ➔  l'analisi esterna 

            ✔ dei dispositivi elettronico/digitali

            ✔ dei supporti di memoria 

         ➔  l'analisi a basso livello della logica dei supporti di memoria

         ➔ l'hashing dei dati di interesse




         al riconoscimento inequivocabile ed univoco dei dispositivi, dei supporti 
         e dei dati.




                                               
    Denis Frati
LA PROVA INFORMATICA NEL PROCESSO PENALE 
                                                             Aspetti Tecnici e Giuridici ­ Ivrea 4 maggio 2007




       Preservazione:

         è quell'insieme di procedure tecnico/burocratiche volte a garantire la 
         non alterazione della prova, quale insieme di dati digitali.
         si esplica: 

             tecnicamente attraverso:
         ➔

                ✔ l'uso di hardware/software write­blocker

                ✔ la sua duplicazione bit a bit

                ✔ lo svolgimento dell'analisi sulle sole copie




             burocraticamente e formalmente attraverso:
         ➔

               ✔ la tracciabilità degli spostamenti (consegna/presa in carico) 


                 subiti dalla prova:
                    ➢ ambito giudiziario: verbale di sequestro, di consegna o 


                      affidamento, di deposito c/o uff. prove di reato
                    ➢ ambito civile: chain of custody (catena di custodia)

               ✔ la registrazione delle attività svolte sulla prova




                                                
    Denis Frati
LA PROVA INFORMATICA NEL PROCESSO PENALE 
                                                           Aspetti Tecnici e Giuridici ­ Ivrea 4 maggio 2007




       Acquisizione (1):

         attività volta alla copia dei dati presenti su supporti di memoria, o in 
         transito nella rete. 

         deve :
         ➔ garantire l'identicità dei dati tra 


            copia e originale
         ➔ non causare alterazioni nei dati/prova 


            originali
         ➔ essere scrupolosamente documentata


           

         può essere effettuata:
         ➔ in locale su host vittima o su 


            forensic workstation
         ➔ attraverso la rete (netcat)

         ➔ in modalità live o post­mortem




                                               
    Denis Frati
LA PROVA INFORMATICA NEL PROCESSO PENALE 
                                                            Aspetti Tecnici e Giuridici ­ Ivrea 4 maggio 2007




       Acquisizione (2):

         è una fase estremamente delicata, nella quale si potrebbero produrre 
         alterazione dei dati/prova, se:

             il sequestro del dispositivo viene effettuato da operatori non esperti
         ➔


             non viene utilizzato hardware/software write­blocker
         ➔


             vengono utilizzati software non validati a fini forensi
         ➔




                                                
    Denis Frati
LA PROVA INFORMATICA NEL PROCESSO PENALE 
                                                         Aspetti Tecnici e Giuridici ­ Ivrea 4 maggio 2007




       Acquisizione (3):

         i write blocker hardware sono dispositivi che vengono interposti tra il 
         sistema che deve effettuare l'acquisizione e il supporto di memoria sul 
         risiedono i dati di interesse




           i software write­blocker consentono su sitemi operativi Unix­like di 
           “montare” dispositivi e immagini in modalità di sola lettura

           root# mount ­t vfat ­o ro,noexec /dev/sorg /mnt/punto_di_mount


                                             
    Denis Frati
LA PROVA INFORMATICA NEL PROCESSO PENALE 
                                                   Aspetti Tecnici e Giuridici ­ Ivrea 4 maggio 2007




       Acquisizione (4):


                                    acquisizione
                      minime                                               perdita dati 
     prova
                                   con parametri
                    quantità di                                             rilevanti
    digitale
                                    non corretti
                    dati (bytes)




                                       
    Denis Frati
LA PROVA INFORMATICA NEL PROCESSO PENALE 
                                                               Aspetti Tecnici e Giuridici ­ Ivrea 4 maggio 2007




         Acquisizione (5):

           L'identicità speculare bit a bit, dei dati originali e di quelli prodotti come 
           copia viene certificata attraverso il confronto degli HASH.
           L'algoritmo di hash trasforma una quantità di bit arbitraria in un output 
           di lunghezza fissa.

    Ivrea è bella
                                                      885b9c97cf70c551d855b68a5354bc81


                         ALGORITMO
                             di                      d9cd79e44d75c0b3a70b754d18b795fa
                            HASH
                            MD5
                                                     70dc1f163cc96dd2b58387e259d6c072




                                                  
      Denis Frati
LA PROVA INFORMATICA NEL PROCESSO PENALE 
                                                            Aspetti Tecnici e Giuridici ­ Ivrea 4 maggio 2007




       Analisi (1):

         attività volta alla ricerca e identificazione dell'informazione, rilevante ai 
         fini probatori (elemento di prova), svolta sui dati (quali insieme di bit) 
         acquisiti.

         l'analisi deve:
         ➔ essere scrupolosamente documentata

            ✔ procedimenti svolti

            ✔ sistema forense (hardware, sistema operativo e tools) utilizzato

         ➔ essere ripetibile

         ➔ non apportare modifiche alla prova




                                                
    Denis Frati
LA PROVA INFORMATICA NEL PROCESSO PENALE 
                                                           Aspetti Tecnici e Giuridici ­ Ivrea 4 maggio 2007




       Analisi (2):

         l'analisi deve essere svolta in aderenza all'informazione da ricercare, 
         potendo/dovendo prendere in considerazione:
         ➔ files di sistema

         ➔ files di log

         ➔ files utente, documenti ufficio, e­mail, testo, immagini, audio, video, 


            ecc..
         ➔ files protetti da password

         ➔ cronologia internet

         ➔ spazio non allocato

         ➔ spazio di slack

         ➔ partizioni/files di swap

         ➔ files cancellati

         ➔ files criptati

         ➔ files steganografati




                                              
    Denis Frati
LA PROVA INFORMATICA NEL PROCESSO PENALE 
                                                           Aspetti Tecnici e Giuridici ­ Ivrea 4 maggio 2007




       Analisi (3)­ i tools:

         Gli strumenti software utilizzati per l'analisi:
                  non sono ancora certificati da alcun ente/organo/istituto
         devono: 
         ➔ garantire che nessuna modifica venga apportata ai dati

         ➔ essere licenziati, se non distribuiti gratuitamente

         ➔ non essere provento di cracking/pirateria

              ➔ essendone illecito l'utilizzo

              ➔ non potendo garantire che il cracking non comporti modifiche al 


                funzionamento
         possono essere:
         ➔ open source: è possibile analizzare i processi logici a cui sono 


           sottoposti i dati
         ➔ closed source: tipico dei software commerciali, non consente l'analisi 


           della logica di funzionamento, la verifica dei processi a cui i dati sono 
           sottoposti 
                                          VS
                                              
    Denis Frati
LA PROVA INFORMATICA NEL PROCESSO PENALE 
                                                                Aspetti Tecnici e Giuridici ­ Ivrea 4 maggio 2007




       Analisi (4)­ i tools:

         I software closed source (EnCase, FTK, X­Way Forensic, ecc..) offrono:
         ➔ interfaccia user friendly

         ➔ tools integrati (editor esadecimale, player, password cracker, hashing, log 


            attività, ecc...)
         ➔ compilazione reportistica


         non dispongono di larga compatibilità verso i file system non nativi

         I software/sistemi open source (ambiente Unix­like) offrono:
         ➔ ampio riconoscimento file system


         non offrono:
         ➔ tools integrati in un'unica interfaccia grafica

         ➔ compatibilità applicativi sviluppati per differenti SO

         ➔ compilazione reportistica




         Esistono, in ambiente Linux, interfacce grafiche che integrano  i differenti tools 
         in un'unica interfaccia (non gratuiti):
         ➔ SMART di ASR Data

         ➔ THE FARMER'S BOOT CD




                                                  
    Denis Frati
LA PROVA INFORMATICA NEL PROCESSO PENALE 
                                                       Aspetti Tecnici e Giuridici ­ Ivrea 4 maggio 2007




       Analisi (5)­ i tools/sistemi open source:

         particolare attenzione meritano i Forensic Boot CD basati su GNU/Linux




                                              
    Denis Frati
LA PROVA INFORMATICA NEL PROCESSO PENALE 
                                                        Aspetti Tecnici e Giuridici ­ Ivrea 4 maggio 2007




       Analisi (6) ­ rischi:

         Mostriamo in pratica quanto una prova digitale sia fragile: ipotizzando di 
         star svolgendo un'analisi live, consideriamo il file immagine fccu_2.JPG. 
         L'intefaccia Windows del boot live cd HELIX  indica che l'immagine è stata 
                                                          creata e modificata in data:
                                                          12 marzo 2007
                                                          e l'ultimo accesso al file è 
                                                          avvenuto in data:
                                                          3 aprile 2007




                                            
    Denis Frati
LA PROVA INFORMATICA NEL PROCESSO PENALE 
                                                         Aspetti Tecnici e Giuridici ­ Ivrea 4 maggio 2007




       Analisi (7) ­ rischi:

         Se l'analista forense prende visione del contenuto del disco rigido, per 
         esempio visionando le immagini (come sotto mostrato), i filmati, o i 
         documenti di testo, causerà la modifica del time stamp dei file.
                                                          se controlliamo nuovamente 
                                                          il time stamp notiamo che la 
                                                          data dell'ultimo accesso è 
                                                          cambiata:
                                                          3 maggio 2007 !!




                                                          la prova è alterata !!


                                             
    Denis Frati
LA PROVA INFORMATICA NEL PROCESSO PENALE 
                                                           Aspetti Tecnici e Giuridici ­ Ivrea 4 maggio 2007




       Presentazione:

         Il procedimento di investigazione della prova digitale si conclude con la 
         presentazione di:

             informazioni estratte dai dati recuperati
         ➔


             correlazione esistente tra informazione digitale e fatto reato
         ➔


             procedimenti di identificazione, preservazione, acquisizione e analisi
         ➔


             dispositivi e software utilizzati
         ➔


             dati estratti/recuperati su supporto digitale
         ➔




                                               
    Denis Frati
LA PROVA INFORMATICA NEL PROCESSO PENALE 
                                                            Aspetti Tecnici e Giuridici ­ Ivrea 4 maggio 2007




       Riferimenti (1) ­ siti:

           Legal Electronic Forensics Team (L.E.F.T.), progetto di ricerca (e 
       ➔


           gruppo di studio) della Cattedra di Informatica Giuridica Avanzata 
           dell'Università degli Studi di Milano ­ http://www.avanzata.it/left/ 
           Cybercrimes.it, computer forensics e crimine informatico ­ 
       ➔


           http://www.cybercrimes.it/
           Marco Mattiucci, il sito del maggiore dei Carabinieri  ­ 
       ➔


           http://www.marcomattiucci.it/ 
           Corso Informatica Forense, università degli Studi di Bologna ­ 
       ➔


           http://www.informaticaforense.it/ 
           International Information Systems Forensic Association ­ 
       ➔


           http://www.iisfa.it/ 




                                                
    Denis Frati
LA PROVA INFORMATICA NEL PROCESSO PENALE 
                                                             Aspetti Tecnici e Giuridici ­ Ivrea 4 maggio 2007




       Riferimenti (2) – blog e forum:

           Forensics Web Log, il blog dell'Avv. Federica Bertoni ­ 
       ➔


           http://4ensix.blogspot.com/
           Computer Forensics, il blog del Prof. Giovanni Ziccardi ­ 
       ➔


           http://forensics.typepad.com/ 
           Computer Forensics, il blog di Andrea Ghirardini ­ 
       ➔


           http://forensicsbypila.blogspot.com/
           Cybercrimes.it forum ­ http://www.cybercrimes.it/forum/ 
       ➔


           DigitalSherlock, il forum di Nani Bassetti Consulente tecnico ­ 
       ➔


           http://www.nannibassetti.com/cf 
           IRItaly blog – il blog del progetto ­ http://iritaly.blogspot.com/
       ➔




                                                
    Denis Frati
LA PROVA INFORMATICA NEL PROCESSO PENALE 
                                                                Aspetti Tecnici e Giuridici ­ Ivrea 4 maggio 2007




       Riferimenti (3) – boot live cd:

           IRItaly, il progetto e il boot live cd ­ http://www.iritaly­livecd.org/ 
       ➔


           Deft Computer Forensics, il progetto e il boot live cd ­ 
       ➔


           http://www.stevelab.net/deft/ 
           Helix, progetto e boot live cd ­ http://www.e­fense.com/helix/ 
       ➔


           FCCU, il boot live cd della Polizia Belga ­ 
       ➔


           http://www.lnx4n6.be/index.php 
           Penguin Sleuth, macchina virtuale e boot live cd ­ 
       ➔


           http://www.linux­forensics.com/ 
           SMART ­ http://www.asrdata.com/SMART/
       ➔


           The Farmer's Boot Cd ­ http://www.forensicbootcd.com 
       ➔




                                                   
    Denis Frati

Más contenido relacionado

Similar a LA PROVA INFORMATICA NEL PROCESSO PENALE - Aspetti Tecnici e Giuridici

Il Diritto Processuale Penale dell’Informatica e le Investigazioni Informatiche
Il Diritto Processuale Penale dell’Informatica e le Investigazioni InformaticheIl Diritto Processuale Penale dell’Informatica e le Investigazioni Informatiche
Il Diritto Processuale Penale dell’Informatica e le Investigazioni InformaticheVincenzo Calabrò
 
22 Ottobre 2008: Dal Sequestro al Report
22 Ottobre 2008: Dal Sequestro al Report22 Ottobre 2008: Dal Sequestro al Report
22 Ottobre 2008: Dal Sequestro al Reportatomikramp
 
Dal Sequestro al Report
Dal Sequestro al ReportDal Sequestro al Report
Dal Sequestro al Reportguest649bb5
 
Computer forensics: utilizzabilità ed analisi della prova digitale
Computer forensics: utilizzabilità ed analisi della prova digitaleComputer forensics: utilizzabilità ed analisi della prova digitale
Computer forensics: utilizzabilità ed analisi della prova digitaleEmanuele Florindi
 
Linee guida in materia di computer forensics
Linee guida in materia di computer forensicsLinee guida in materia di computer forensics
Linee guida in materia di computer forensicsEmanuele Florindi
 
L’acquisizione delle evidenze digitali presenti sul web
L’acquisizione delle evidenze digitali presenti sul webL’acquisizione delle evidenze digitali presenti sul web
L’acquisizione delle evidenze digitali presenti sul webVincenzo Calabrò
 
Corso di INFORMATICA FORENSE (A.A. 2013/2014) - Il Laboratorio di analisi ne...
Corso di  INFORMATICA FORENSE (A.A. 2013/2014) - Il Laboratorio di analisi ne...Corso di  INFORMATICA FORENSE (A.A. 2013/2014) - Il Laboratorio di analisi ne...
Corso di INFORMATICA FORENSE (A.A. 2013/2014) - Il Laboratorio di analisi ne...Alessandro Bonu
 
Digital Forensics - Fabio Massa.pptx
Digital Forensics -  Fabio Massa.pptxDigital Forensics -  Fabio Massa.pptx
Digital Forensics - Fabio Massa.pptxFabioMassa2
 
Aspetti della Digital Forensics applicati alla tutela della privacy
Aspetti della Digital Forensics applicati alla tutela della privacyAspetti della Digital Forensics applicati alla tutela della privacy
Aspetti della Digital Forensics applicati alla tutela della privacyAlessandro Bonu
 
7 laboratorio-di-analisi-forense bonu-04.02 (1)
7 laboratorio-di-analisi-forense bonu-04.02 (1)7 laboratorio-di-analisi-forense bonu-04.02 (1)
7 laboratorio-di-analisi-forense bonu-04.02 (1)Massimo Farina
 
Il Laboratorio di analisi forense
Il Laboratorio di analisi forenseIl Laboratorio di analisi forense
Il Laboratorio di analisi forenseMassimo Farina
 
Giuseppe Vaciago Profili giuridici dell'indagine digitale 08 09 18 Ordine Ber...
Giuseppe Vaciago Profili giuridici dell'indagine digitale 08 09 18 Ordine Ber...Giuseppe Vaciago Profili giuridici dell'indagine digitale 08 09 18 Ordine Ber...
Giuseppe Vaciago Profili giuridici dell'indagine digitale 08 09 18 Ordine Ber...Andrea Rossetti
 
Digital forensics presentazione 2010
Digital forensics presentazione 2010Digital forensics presentazione 2010
Digital forensics presentazione 2010Pasquale Lopriore
 
Il “captatore informatico”uno strumento d'indagine tra esigenze investigative...
Il “captatore informatico”uno strumento d'indagine tra esigenze investigative...Il “captatore informatico”uno strumento d'indagine tra esigenze investigative...
Il “captatore informatico”uno strumento d'indagine tra esigenze investigative...Giovanni Fiorino
 
Giuseppe Vaciago, Digital Forensics: aspetti tecnici e profili processuali
Giuseppe Vaciago, Digital Forensics: aspetti tecnici e profili processualiGiuseppe Vaciago, Digital Forensics: aspetti tecnici e profili processuali
Giuseppe Vaciago, Digital Forensics: aspetti tecnici e profili processualiAndrea Rossetti
 
Acquisizione forense in ambito Web - Gianmarco Beato.pdf
Acquisizione forense in ambito Web - Gianmarco Beato.pdfAcquisizione forense in ambito Web - Gianmarco Beato.pdf
Acquisizione forense in ambito Web - Gianmarco Beato.pdfGianmarco Beato
 
Vincenzo Calabrò - Strumenti e Tecniche per la creazione di un Falso Alibi In...
Vincenzo Calabrò - Strumenti e Tecniche per la creazione di un Falso Alibi In...Vincenzo Calabrò - Strumenti e Tecniche per la creazione di un Falso Alibi In...
Vincenzo Calabrò - Strumenti e Tecniche per la creazione di un Falso Alibi In...Vincenzo Calabrò
 
Metodologie per l'innovazione degli studi legali
Metodologie per l'innovazione degli studi legaliMetodologie per l'innovazione degli studi legali
Metodologie per l'innovazione degli studi legaliEdoardo Ferraro
 

Similar a LA PROVA INFORMATICA NEL PROCESSO PENALE - Aspetti Tecnici e Giuridici (20)

Il Diritto Processuale Penale dell’Informatica e le Investigazioni Informatiche
Il Diritto Processuale Penale dell’Informatica e le Investigazioni InformaticheIl Diritto Processuale Penale dell’Informatica e le Investigazioni Informatiche
Il Diritto Processuale Penale dell’Informatica e le Investigazioni Informatiche
 
22 Ottobre 2008: Dal Sequestro al Report
22 Ottobre 2008: Dal Sequestro al Report22 Ottobre 2008: Dal Sequestro al Report
22 Ottobre 2008: Dal Sequestro al Report
 
Dal Sequestro al Report
Dal Sequestro al ReportDal Sequestro al Report
Dal Sequestro al Report
 
Computer forensics: utilizzabilità ed analisi della prova digitale
Computer forensics: utilizzabilità ed analisi della prova digitaleComputer forensics: utilizzabilità ed analisi della prova digitale
Computer forensics: utilizzabilità ed analisi della prova digitale
 
Fonti di prova digitali
Fonti di prova digitaliFonti di prova digitali
Fonti di prova digitali
 
Linee guida in materia di computer forensics
Linee guida in materia di computer forensicsLinee guida in materia di computer forensics
Linee guida in materia di computer forensics
 
L’acquisizione delle evidenze digitali presenti sul web
L’acquisizione delle evidenze digitali presenti sul webL’acquisizione delle evidenze digitali presenti sul web
L’acquisizione delle evidenze digitali presenti sul web
 
Corso di INFORMATICA FORENSE (A.A. 2013/2014) - Il Laboratorio di analisi ne...
Corso di  INFORMATICA FORENSE (A.A. 2013/2014) - Il Laboratorio di analisi ne...Corso di  INFORMATICA FORENSE (A.A. 2013/2014) - Il Laboratorio di analisi ne...
Corso di INFORMATICA FORENSE (A.A. 2013/2014) - Il Laboratorio di analisi ne...
 
Lezione 30 marzo 2012
Lezione 30 marzo 2012Lezione 30 marzo 2012
Lezione 30 marzo 2012
 
Digital Forensics - Fabio Massa.pptx
Digital Forensics -  Fabio Massa.pptxDigital Forensics -  Fabio Massa.pptx
Digital Forensics - Fabio Massa.pptx
 
Aspetti della Digital Forensics applicati alla tutela della privacy
Aspetti della Digital Forensics applicati alla tutela della privacyAspetti della Digital Forensics applicati alla tutela della privacy
Aspetti della Digital Forensics applicati alla tutela della privacy
 
7 laboratorio-di-analisi-forense bonu-04.02 (1)
7 laboratorio-di-analisi-forense bonu-04.02 (1)7 laboratorio-di-analisi-forense bonu-04.02 (1)
7 laboratorio-di-analisi-forense bonu-04.02 (1)
 
Il Laboratorio di analisi forense
Il Laboratorio di analisi forenseIl Laboratorio di analisi forense
Il Laboratorio di analisi forense
 
Giuseppe Vaciago Profili giuridici dell'indagine digitale 08 09 18 Ordine Ber...
Giuseppe Vaciago Profili giuridici dell'indagine digitale 08 09 18 Ordine Ber...Giuseppe Vaciago Profili giuridici dell'indagine digitale 08 09 18 Ordine Ber...
Giuseppe Vaciago Profili giuridici dell'indagine digitale 08 09 18 Ordine Ber...
 
Digital forensics presentazione 2010
Digital forensics presentazione 2010Digital forensics presentazione 2010
Digital forensics presentazione 2010
 
Il “captatore informatico”uno strumento d'indagine tra esigenze investigative...
Il “captatore informatico”uno strumento d'indagine tra esigenze investigative...Il “captatore informatico”uno strumento d'indagine tra esigenze investigative...
Il “captatore informatico”uno strumento d'indagine tra esigenze investigative...
 
Giuseppe Vaciago, Digital Forensics: aspetti tecnici e profili processuali
Giuseppe Vaciago, Digital Forensics: aspetti tecnici e profili processualiGiuseppe Vaciago, Digital Forensics: aspetti tecnici e profili processuali
Giuseppe Vaciago, Digital Forensics: aspetti tecnici e profili processuali
 
Acquisizione forense in ambito Web - Gianmarco Beato.pdf
Acquisizione forense in ambito Web - Gianmarco Beato.pdfAcquisizione forense in ambito Web - Gianmarco Beato.pdf
Acquisizione forense in ambito Web - Gianmarco Beato.pdf
 
Vincenzo Calabrò - Strumenti e Tecniche per la creazione di un Falso Alibi In...
Vincenzo Calabrò - Strumenti e Tecniche per la creazione di un Falso Alibi In...Vincenzo Calabrò - Strumenti e Tecniche per la creazione di un Falso Alibi In...
Vincenzo Calabrò - Strumenti e Tecniche per la creazione di un Falso Alibi In...
 
Metodologie per l'innovazione degli studi legali
Metodologie per l'innovazione degli studi legaliMetodologie per l'innovazione degli studi legali
Metodologie per l'innovazione degli studi legali
 

Más de denis frati

Slide chivari 20130517
Slide chivari 20130517Slide chivari 20130517
Slide chivari 20130517denis frati
 
Phishing: monitoraggio e contrasto - i possibili approcci e le reali possibilità
Phishing: monitoraggio e contrasto - i possibili approcci e le reali possibilitàPhishing: monitoraggio e contrasto - i possibili approcci e le reali possibilità
Phishing: monitoraggio e contrasto - i possibili approcci e le reali possibilitàdenis frati
 
Phishing fast & furious
Phishing fast & furiousPhishing fast & furious
Phishing fast & furiousdenis frati
 
Identità digitali violate: Phishing
Identità digitali violate: PhishingIdentità digitali violate: Phishing
Identità digitali violate: Phishingdenis frati
 
Se il bit diventa strategia: tra Cybercrime, Cyberwar e Battlefiled Forensic
Se il bit diventa strategia: tra Cybercrime, Cyberwar e Battlefiled ForensicSe il bit diventa strategia: tra Cybercrime, Cyberwar e Battlefiled Forensic
Se il bit diventa strategia: tra Cybercrime, Cyberwar e Battlefiled Forensicdenis frati
 
Phishing: anatomia del fenomeno
Phishing: anatomia del fenomenoPhishing: anatomia del fenomeno
Phishing: anatomia del fenomenodenis frati
 
Phishing: come si realizza, come riconoscerlo ed evitarlo
Phishing: come si realizza, come riconoscerlo ed evitarloPhishing: come si realizza, come riconoscerlo ed evitarlo
Phishing: come si realizza, come riconoscerlo ed evitarlodenis frati
 
social network e investigazione: alla ricerca del reo
social network e investigazione: alla ricerca del reosocial network e investigazione: alla ricerca del reo
social network e investigazione: alla ricerca del reodenis frati
 
Computer Forensics e L.48/2008 - Avv. Giovanni battista Gallus
Computer Forensics e L.48/2008 - Avv. Giovanni battista GallusComputer Forensics e L.48/2008 - Avv. Giovanni battista Gallus
Computer Forensics e L.48/2008 - Avv. Giovanni battista Gallusdenis frati
 
CAINE una distribuzione GNU/Linux per la computer forensics
CAINE una distribuzione GNU/Linux per la computer forensicsCAINE una distribuzione GNU/Linux per la computer forensics
CAINE una distribuzione GNU/Linux per la computer forensicsdenis frati
 
Sfdumper e cugini
Sfdumper e cuginiSfdumper e cugini
Sfdumper e cuginidenis frati
 
Linux per la Computer Forensics: i motivi di una scelta
Linux per la Computer Forensics: i motivi di una sceltaLinux per la Computer Forensics: i motivi di una scelta
Linux per la Computer Forensics: i motivi di una sceltadenis frati
 

Más de denis frati (12)

Slide chivari 20130517
Slide chivari 20130517Slide chivari 20130517
Slide chivari 20130517
 
Phishing: monitoraggio e contrasto - i possibili approcci e le reali possibilità
Phishing: monitoraggio e contrasto - i possibili approcci e le reali possibilitàPhishing: monitoraggio e contrasto - i possibili approcci e le reali possibilità
Phishing: monitoraggio e contrasto - i possibili approcci e le reali possibilità
 
Phishing fast & furious
Phishing fast & furiousPhishing fast & furious
Phishing fast & furious
 
Identità digitali violate: Phishing
Identità digitali violate: PhishingIdentità digitali violate: Phishing
Identità digitali violate: Phishing
 
Se il bit diventa strategia: tra Cybercrime, Cyberwar e Battlefiled Forensic
Se il bit diventa strategia: tra Cybercrime, Cyberwar e Battlefiled ForensicSe il bit diventa strategia: tra Cybercrime, Cyberwar e Battlefiled Forensic
Se il bit diventa strategia: tra Cybercrime, Cyberwar e Battlefiled Forensic
 
Phishing: anatomia del fenomeno
Phishing: anatomia del fenomenoPhishing: anatomia del fenomeno
Phishing: anatomia del fenomeno
 
Phishing: come si realizza, come riconoscerlo ed evitarlo
Phishing: come si realizza, come riconoscerlo ed evitarloPhishing: come si realizza, come riconoscerlo ed evitarlo
Phishing: come si realizza, come riconoscerlo ed evitarlo
 
social network e investigazione: alla ricerca del reo
social network e investigazione: alla ricerca del reosocial network e investigazione: alla ricerca del reo
social network e investigazione: alla ricerca del reo
 
Computer Forensics e L.48/2008 - Avv. Giovanni battista Gallus
Computer Forensics e L.48/2008 - Avv. Giovanni battista GallusComputer Forensics e L.48/2008 - Avv. Giovanni battista Gallus
Computer Forensics e L.48/2008 - Avv. Giovanni battista Gallus
 
CAINE una distribuzione GNU/Linux per la computer forensics
CAINE una distribuzione GNU/Linux per la computer forensicsCAINE una distribuzione GNU/Linux per la computer forensics
CAINE una distribuzione GNU/Linux per la computer forensics
 
Sfdumper e cugini
Sfdumper e cuginiSfdumper e cugini
Sfdumper e cugini
 
Linux per la Computer Forensics: i motivi di una scelta
Linux per la Computer Forensics: i motivi di una sceltaLinux per la Computer Forensics: i motivi di una scelta
Linux per la Computer Forensics: i motivi di una scelta
 

LA PROVA INFORMATICA NEL PROCESSO PENALE - Aspetti Tecnici e Giuridici

  • 1. LA PROVA INFORMATICA  NEL PROCESSO PENALE Aspetti Tecnici e Giuridici Ivrea 4 maggio 2007 Seminari di Diritto Penale dell'Informatica Osservatorio CSIG Ivrea & Camera Penale Vittorio Chiusano     Denis Frati
  • 2. LA PROVA INFORMATICA NEL PROCESSO PENALE  Aspetti Tecnici e Giuridici ­ Ivrea 4 maggio 2007 In principio: La casistica correlata all'acquisizione e all'analisi di prove digitali era  limitata (1nni 70­80) a reati prettamente informatici, ovvero dove il  computer rappresentava il tramite attraverso cui commettere il reato o  il target stesso dell'azione criminosa.     Denis Frati
  • 3. LA PROVA INFORMATICA NEL PROCESSO PENALE  Aspetti Tecnici e Giuridici ­ Ivrea 4 maggio 2007 Attualmente: I dispositivi elettronici/digitali hanno avuto diffusione di massa,  divenendo compendio della vita quotidiana. Il loro utilizzo, non più legato al solo ambito informatico, implica la  presenza di informazioni digitali, rilevanti ai fini dell'indagine, sulla  scena di crimini comuni, in quanto dispositivi usati dall'autore del reato  nella organizzazione/realizzazione dell'atto criminoso e/o dalla vittima.     Denis Frati
  • 4. LA PROVA INFORMATICA NEL PROCESSO PENALE  Aspetti Tecnici e Giuridici ­ Ivrea 4 maggio 2007 sulla scena  del crimine  sarà  possibile  individuare     Denis Frati
  • 5. LA PROVA INFORMATICA NEL PROCESSO PENALE  Aspetti Tecnici e Giuridici ­ Ivrea 4 maggio 2007 Definizione “Prova digitale”: “Qualsiasi informazione, con valore probatorio, che sia o  memorizzata o trasmessa in un formato digitale” (Scientific Working Group on Digital Evidence, 1998) L'informazione digitale è l'unica interpretabile da dispositivi  elettronico/digitali, in quanto rappresentazione nel linguaggio binario,  composto da 1 (uno) e 0 (zero), delle condizioni si/no, vero/falso, on/off L'unità minima è definita bit (binary unit) Il mantenimento delle informazioni nella  memoria dei dispositivi elettronici avviene  attraverso la polarizzazione di unità fisiche  costituenti i supporti di memoria magnetici e  magneto­ottici.      Denis Frati
  • 6. LA PROVA INFORMATICA NEL PROCESSO PENALE  Aspetti Tecnici e Giuridici ­ Ivrea 4 maggio 2007 Acquisizione della  prova Sequestro (quale insieme dati  (fonte di prova) contenuti sul supporto) Estrazione dati/file  Perquisizione rilevanti (elementi di prova) Notizia di reato Il Valore Probatorio della prova è garantito da: Dibattimento ● autenticità ● integrità ● veracità ● completezza ● legalità     Denis Frati
  • 7. LA PROVA INFORMATICA NEL PROCESSO PENALE  Aspetti Tecnici e Giuridici ­ Ivrea 4 maggio 2007 Digital forensics computer forensics attraverso ● identificazione ● preservazione mobile forensics ● acquisizione ● analisi ● presentazione perviene alla prova digitale,  mantenendone network forensics il valore probatorio     Denis Frati
  • 8. LA PROVA INFORMATICA NEL PROCESSO PENALE  Aspetti Tecnici e Giuridici ­ Ivrea 4 maggio 2007 Identificazione: attività volta, attraverso:  ➔  l'analisi esterna  ✔ dei dispositivi elettronico/digitali ✔ dei supporti di memoria  ➔  l'analisi a basso livello della logica dei supporti di memoria ➔ l'hashing dei dati di interesse al riconoscimento inequivocabile ed univoco dei dispositivi, dei supporti  e dei dati.     Denis Frati
  • 9. LA PROVA INFORMATICA NEL PROCESSO PENALE  Aspetti Tecnici e Giuridici ­ Ivrea 4 maggio 2007 Preservazione: è quell'insieme di procedure tecnico/burocratiche volte a garantire la  non alterazione della prova, quale insieme di dati digitali. si esplica:  tecnicamente attraverso: ➔ ✔ l'uso di hardware/software write­blocker ✔ la sua duplicazione bit a bit ✔ lo svolgimento dell'analisi sulle sole copie burocraticamente e formalmente attraverso: ➔ ✔ la tracciabilità degli spostamenti (consegna/presa in carico)  subiti dalla prova: ➢ ambito giudiziario: verbale di sequestro, di consegna o  affidamento, di deposito c/o uff. prove di reato ➢ ambito civile: chain of custody (catena di custodia) ✔ la registrazione delle attività svolte sulla prova     Denis Frati
  • 10. LA PROVA INFORMATICA NEL PROCESSO PENALE  Aspetti Tecnici e Giuridici ­ Ivrea 4 maggio 2007 Acquisizione (1): attività volta alla copia dei dati presenti su supporti di memoria, o in  transito nella rete.  deve : ➔ garantire l'identicità dei dati tra     copia e originale ➔ non causare alterazioni nei dati/prova     originali ➔ essere scrupolosamente documentata    può essere effettuata: ➔ in locale su host vittima o su     forensic workstation ➔ attraverso la rete (netcat) ➔ in modalità live o post­mortem     Denis Frati
  • 11. LA PROVA INFORMATICA NEL PROCESSO PENALE  Aspetti Tecnici e Giuridici ­ Ivrea 4 maggio 2007 Acquisizione (2): è una fase estremamente delicata, nella quale si potrebbero produrre  alterazione dei dati/prova, se: il sequestro del dispositivo viene effettuato da operatori non esperti ➔ non viene utilizzato hardware/software write­blocker ➔ vengono utilizzati software non validati a fini forensi ➔     Denis Frati
  • 12. LA PROVA INFORMATICA NEL PROCESSO PENALE  Aspetti Tecnici e Giuridici ­ Ivrea 4 maggio 2007 Acquisizione (3): i write blocker hardware sono dispositivi che vengono interposti tra il  sistema che deve effettuare l'acquisizione e il supporto di memoria sul  risiedono i dati di interesse i software write­blocker consentono su sitemi operativi Unix­like di  “montare” dispositivi e immagini in modalità di sola lettura root# mount ­t vfat ­o ro,noexec /dev/sorg /mnt/punto_di_mount     Denis Frati
  • 13. LA PROVA INFORMATICA NEL PROCESSO PENALE  Aspetti Tecnici e Giuridici ­ Ivrea 4 maggio 2007 Acquisizione (4): acquisizione minime  perdita dati  prova con parametri quantità di  rilevanti digitale non corretti dati (bytes)     Denis Frati
  • 14. LA PROVA INFORMATICA NEL PROCESSO PENALE  Aspetti Tecnici e Giuridici ­ Ivrea 4 maggio 2007 Acquisizione (5): L'identicità speculare bit a bit, dei dati originali e di quelli prodotti come  copia viene certificata attraverso il confronto degli HASH. L'algoritmo di hash trasforma una quantità di bit arbitraria in un output  di lunghezza fissa. Ivrea è bella 885b9c97cf70c551d855b68a5354bc81 ALGORITMO di d9cd79e44d75c0b3a70b754d18b795fa HASH MD5 70dc1f163cc96dd2b58387e259d6c072     Denis Frati
  • 15. LA PROVA INFORMATICA NEL PROCESSO PENALE  Aspetti Tecnici e Giuridici ­ Ivrea 4 maggio 2007 Analisi (1): attività volta alla ricerca e identificazione dell'informazione, rilevante ai  fini probatori (elemento di prova), svolta sui dati (quali insieme di bit)  acquisiti. l'analisi deve: ➔ essere scrupolosamente documentata ✔ procedimenti svolti ✔ sistema forense (hardware, sistema operativo e tools) utilizzato ➔ essere ripetibile ➔ non apportare modifiche alla prova     Denis Frati
  • 16. LA PROVA INFORMATICA NEL PROCESSO PENALE  Aspetti Tecnici e Giuridici ­ Ivrea 4 maggio 2007 Analisi (2): l'analisi deve essere svolta in aderenza all'informazione da ricercare,  potendo/dovendo prendere in considerazione: ➔ files di sistema ➔ files di log ➔ files utente, documenti ufficio, e­mail, testo, immagini, audio, video,  ecc.. ➔ files protetti da password ➔ cronologia internet ➔ spazio non allocato ➔ spazio di slack ➔ partizioni/files di swap ➔ files cancellati ➔ files criptati ➔ files steganografati     Denis Frati
  • 17. LA PROVA INFORMATICA NEL PROCESSO PENALE  Aspetti Tecnici e Giuridici ­ Ivrea 4 maggio 2007 Analisi (3)­ i tools: Gli strumenti software utilizzati per l'analisi: non sono ancora certificati da alcun ente/organo/istituto devono:  ➔ garantire che nessuna modifica venga apportata ai dati ➔ essere licenziati, se non distribuiti gratuitamente ➔ non essere provento di cracking/pirateria ➔ essendone illecito l'utilizzo ➔ non potendo garantire che il cracking non comporti modifiche al  funzionamento possono essere: ➔ open source: è possibile analizzare i processi logici a cui sono  sottoposti i dati ➔ closed source: tipico dei software commerciali, non consente l'analisi  della logica di funzionamento, la verifica dei processi a cui i dati sono  sottoposti  VS     Denis Frati
  • 18. LA PROVA INFORMATICA NEL PROCESSO PENALE  Aspetti Tecnici e Giuridici ­ Ivrea 4 maggio 2007 Analisi (4)­ i tools: I software closed source (EnCase, FTK, X­Way Forensic, ecc..) offrono: ➔ interfaccia user friendly ➔ tools integrati (editor esadecimale, player, password cracker, hashing, log  attività, ecc...) ➔ compilazione reportistica non dispongono di larga compatibilità verso i file system non nativi I software/sistemi open source (ambiente Unix­like) offrono: ➔ ampio riconoscimento file system non offrono: ➔ tools integrati in un'unica interfaccia grafica ➔ compatibilità applicativi sviluppati per differenti SO ➔ compilazione reportistica Esistono, in ambiente Linux, interfacce grafiche che integrano  i differenti tools  in un'unica interfaccia (non gratuiti): ➔ SMART di ASR Data ➔ THE FARMER'S BOOT CD     Denis Frati
  • 19. LA PROVA INFORMATICA NEL PROCESSO PENALE  Aspetti Tecnici e Giuridici ­ Ivrea 4 maggio 2007 Analisi (5)­ i tools/sistemi open source: particolare attenzione meritano i Forensic Boot CD basati su GNU/Linux     Denis Frati
  • 20. LA PROVA INFORMATICA NEL PROCESSO PENALE  Aspetti Tecnici e Giuridici ­ Ivrea 4 maggio 2007 Analisi (6) ­ rischi: Mostriamo in pratica quanto una prova digitale sia fragile: ipotizzando di  star svolgendo un'analisi live, consideriamo il file immagine fccu_2.JPG.  L'intefaccia Windows del boot live cd HELIX  indica che l'immagine è stata  creata e modificata in data: 12 marzo 2007 e l'ultimo accesso al file è  avvenuto in data: 3 aprile 2007     Denis Frati
  • 21. LA PROVA INFORMATICA NEL PROCESSO PENALE  Aspetti Tecnici e Giuridici ­ Ivrea 4 maggio 2007 Analisi (7) ­ rischi: Se l'analista forense prende visione del contenuto del disco rigido, per  esempio visionando le immagini (come sotto mostrato), i filmati, o i  documenti di testo, causerà la modifica del time stamp dei file. se controlliamo nuovamente  il time stamp notiamo che la  data dell'ultimo accesso è  cambiata: 3 maggio 2007 !! la prova è alterata !!     Denis Frati
  • 22. LA PROVA INFORMATICA NEL PROCESSO PENALE  Aspetti Tecnici e Giuridici ­ Ivrea 4 maggio 2007 Presentazione: Il procedimento di investigazione della prova digitale si conclude con la  presentazione di: informazioni estratte dai dati recuperati ➔ correlazione esistente tra informazione digitale e fatto reato ➔ procedimenti di identificazione, preservazione, acquisizione e analisi ➔ dispositivi e software utilizzati ➔ dati estratti/recuperati su supporto digitale ➔     Denis Frati
  • 23. LA PROVA INFORMATICA NEL PROCESSO PENALE  Aspetti Tecnici e Giuridici ­ Ivrea 4 maggio 2007 Riferimenti (1) ­ siti: Legal Electronic Forensics Team (L.E.F.T.), progetto di ricerca (e  ➔ gruppo di studio) della Cattedra di Informatica Giuridica Avanzata  dell'Università degli Studi di Milano ­ http://www.avanzata.it/left/  Cybercrimes.it, computer forensics e crimine informatico ­  ➔ http://www.cybercrimes.it/ Marco Mattiucci, il sito del maggiore dei Carabinieri  ­  ➔ http://www.marcomattiucci.it/  Corso Informatica Forense, università degli Studi di Bologna ­  ➔ http://www.informaticaforense.it/  International Information Systems Forensic Association ­  ➔ http://www.iisfa.it/      Denis Frati
  • 24. LA PROVA INFORMATICA NEL PROCESSO PENALE  Aspetti Tecnici e Giuridici ­ Ivrea 4 maggio 2007 Riferimenti (2) – blog e forum: Forensics Web Log, il blog dell'Avv. Federica Bertoni ­  ➔ http://4ensix.blogspot.com/ Computer Forensics, il blog del Prof. Giovanni Ziccardi ­  ➔ http://forensics.typepad.com/  Computer Forensics, il blog di Andrea Ghirardini ­  ➔ http://forensicsbypila.blogspot.com/ Cybercrimes.it forum ­ http://www.cybercrimes.it/forum/  ➔ DigitalSherlock, il forum di Nani Bassetti Consulente tecnico ­  ➔ http://www.nannibassetti.com/cf  IRItaly blog – il blog del progetto ­ http://iritaly.blogspot.com/ ➔     Denis Frati
  • 25. LA PROVA INFORMATICA NEL PROCESSO PENALE  Aspetti Tecnici e Giuridici ­ Ivrea 4 maggio 2007 Riferimenti (3) – boot live cd: IRItaly, il progetto e il boot live cd ­ http://www.iritaly­livecd.org/  ➔ Deft Computer Forensics, il progetto e il boot live cd ­  ➔ http://www.stevelab.net/deft/  Helix, progetto e boot live cd ­ http://www.e­fense.com/helix/  ➔ FCCU, il boot live cd della Polizia Belga ­  ➔ http://www.lnx4n6.be/index.php  Penguin Sleuth, macchina virtuale e boot live cd ­  ➔ http://www.linux­forensics.com/  SMART ­ http://www.asrdata.com/SMART/ ➔ The Farmer's Boot Cd ­ http://www.forensicbootcd.com  ➔     Denis Frati