Seminari di Diritto Penale dell'Informatica organizzato da Osservatorio CSIG Ivrea & Camera Penale Vittorio Chiusano - incontro tenutosi ad Ivrea (TO) il 4 maggio 2007
Linux per la Computer Forensics: i motivi di una scelta
LA PROVA INFORMATICA NEL PROCESSO PENALE - Aspetti Tecnici e Giuridici
1. LA PROVA INFORMATICA
NEL PROCESSO PENALE
Aspetti Tecnici e Giuridici
Ivrea 4 maggio 2007
Seminari di Diritto Penale dell'Informatica
Osservatorio CSIG Ivrea & Camera Penale Vittorio Chiusano
Denis Frati
2. LA PROVA INFORMATICA NEL PROCESSO PENALE
Aspetti Tecnici e Giuridici Ivrea 4 maggio 2007
In principio:
La casistica correlata all'acquisizione e all'analisi di prove digitali era
limitata (1nni 7080) a reati prettamente informatici, ovvero dove il
computer rappresentava il tramite attraverso cui commettere il reato o
il target stesso dell'azione criminosa.
Denis Frati
3. LA PROVA INFORMATICA NEL PROCESSO PENALE
Aspetti Tecnici e Giuridici Ivrea 4 maggio 2007
Attualmente:
I dispositivi elettronici/digitali hanno avuto diffusione di massa,
divenendo compendio della vita quotidiana.
Il loro utilizzo, non più legato al solo ambito informatico, implica la
presenza di informazioni digitali, rilevanti ai fini dell'indagine, sulla
scena di crimini comuni, in quanto dispositivi usati dall'autore del reato
nella organizzazione/realizzazione dell'atto criminoso e/o dalla vittima.
Denis Frati
5. LA PROVA INFORMATICA NEL PROCESSO PENALE
Aspetti Tecnici e Giuridici Ivrea 4 maggio 2007
Definizione “Prova digitale”:
“Qualsiasi informazione, con valore probatorio, che sia o
memorizzata o trasmessa in un formato digitale”
(Scientific Working Group on Digital Evidence, 1998)
L'informazione digitale è l'unica interpretabile da dispositivi
elettronico/digitali, in quanto rappresentazione nel linguaggio binario,
composto da 1 (uno) e 0 (zero), delle condizioni si/no, vero/falso, on/off
L'unità minima è definita bit (binary unit)
Il mantenimento delle informazioni nella
memoria dei dispositivi elettronici avviene
attraverso la polarizzazione di unità fisiche
costituenti i supporti di memoria magnetici e
magnetoottici.
Denis Frati
6. LA PROVA INFORMATICA NEL PROCESSO PENALE
Aspetti Tecnici e Giuridici Ivrea 4 maggio 2007
Acquisizione della
prova
Sequestro (quale insieme dati
(fonte di prova) contenuti sul supporto)
Estrazione dati/file
Perquisizione rilevanti
(elementi di prova)
Notizia di reato
Il Valore Probatorio della prova è garantito da:
Dibattimento
● autenticità
● integrità
● veracità
● completezza
● legalità
Denis Frati
7. LA PROVA INFORMATICA NEL PROCESSO PENALE
Aspetti Tecnici e Giuridici Ivrea 4 maggio 2007
Digital forensics computer forensics
attraverso
● identificazione
● preservazione mobile forensics
● acquisizione
● analisi
● presentazione
perviene alla prova digitale,
mantenendone
network forensics
il valore probatorio
Denis Frati
8. LA PROVA INFORMATICA NEL PROCESSO PENALE
Aspetti Tecnici e Giuridici Ivrea 4 maggio 2007
Identificazione:
attività volta, attraverso:
➔ l'analisi esterna
✔ dei dispositivi elettronico/digitali
✔ dei supporti di memoria
➔ l'analisi a basso livello della logica dei supporti di memoria
➔ l'hashing dei dati di interesse
al riconoscimento inequivocabile ed univoco dei dispositivi, dei supporti
e dei dati.
Denis Frati
9. LA PROVA INFORMATICA NEL PROCESSO PENALE
Aspetti Tecnici e Giuridici Ivrea 4 maggio 2007
Preservazione:
è quell'insieme di procedure tecnico/burocratiche volte a garantire la
non alterazione della prova, quale insieme di dati digitali.
si esplica:
tecnicamente attraverso:
➔
✔ l'uso di hardware/software writeblocker
✔ la sua duplicazione bit a bit
✔ lo svolgimento dell'analisi sulle sole copie
burocraticamente e formalmente attraverso:
➔
✔ la tracciabilità degli spostamenti (consegna/presa in carico)
subiti dalla prova:
➢ ambito giudiziario: verbale di sequestro, di consegna o
affidamento, di deposito c/o uff. prove di reato
➢ ambito civile: chain of custody (catena di custodia)
✔ la registrazione delle attività svolte sulla prova
Denis Frati
10. LA PROVA INFORMATICA NEL PROCESSO PENALE
Aspetti Tecnici e Giuridici Ivrea 4 maggio 2007
Acquisizione (1):
attività volta alla copia dei dati presenti su supporti di memoria, o in
transito nella rete.
deve :
➔ garantire l'identicità dei dati tra
copia e originale
➔ non causare alterazioni nei dati/prova
originali
➔ essere scrupolosamente documentata
può essere effettuata:
➔ in locale su host vittima o su
forensic workstation
➔ attraverso la rete (netcat)
➔ in modalità live o postmortem
Denis Frati
11. LA PROVA INFORMATICA NEL PROCESSO PENALE
Aspetti Tecnici e Giuridici Ivrea 4 maggio 2007
Acquisizione (2):
è una fase estremamente delicata, nella quale si potrebbero produrre
alterazione dei dati/prova, se:
il sequestro del dispositivo viene effettuato da operatori non esperti
➔
non viene utilizzato hardware/software writeblocker
➔
vengono utilizzati software non validati a fini forensi
➔
Denis Frati
12. LA PROVA INFORMATICA NEL PROCESSO PENALE
Aspetti Tecnici e Giuridici Ivrea 4 maggio 2007
Acquisizione (3):
i write blocker hardware sono dispositivi che vengono interposti tra il
sistema che deve effettuare l'acquisizione e il supporto di memoria sul
risiedono i dati di interesse
i software writeblocker consentono su sitemi operativi Unixlike di
“montare” dispositivi e immagini in modalità di sola lettura
root# mount t vfat o ro,noexec /dev/sorg /mnt/punto_di_mount
Denis Frati
13. LA PROVA INFORMATICA NEL PROCESSO PENALE
Aspetti Tecnici e Giuridici Ivrea 4 maggio 2007
Acquisizione (4):
acquisizione
minime perdita dati
prova
con parametri
quantità di rilevanti
digitale
non corretti
dati (bytes)
Denis Frati
14. LA PROVA INFORMATICA NEL PROCESSO PENALE
Aspetti Tecnici e Giuridici Ivrea 4 maggio 2007
Acquisizione (5):
L'identicità speculare bit a bit, dei dati originali e di quelli prodotti come
copia viene certificata attraverso il confronto degli HASH.
L'algoritmo di hash trasforma una quantità di bit arbitraria in un output
di lunghezza fissa.
Ivrea è bella
885b9c97cf70c551d855b68a5354bc81
ALGORITMO
di d9cd79e44d75c0b3a70b754d18b795fa
HASH
MD5
70dc1f163cc96dd2b58387e259d6c072
Denis Frati
15. LA PROVA INFORMATICA NEL PROCESSO PENALE
Aspetti Tecnici e Giuridici Ivrea 4 maggio 2007
Analisi (1):
attività volta alla ricerca e identificazione dell'informazione, rilevante ai
fini probatori (elemento di prova), svolta sui dati (quali insieme di bit)
acquisiti.
l'analisi deve:
➔ essere scrupolosamente documentata
✔ procedimenti svolti
✔ sistema forense (hardware, sistema operativo e tools) utilizzato
➔ essere ripetibile
➔ non apportare modifiche alla prova
Denis Frati
16. LA PROVA INFORMATICA NEL PROCESSO PENALE
Aspetti Tecnici e Giuridici Ivrea 4 maggio 2007
Analisi (2):
l'analisi deve essere svolta in aderenza all'informazione da ricercare,
potendo/dovendo prendere in considerazione:
➔ files di sistema
➔ files di log
➔ files utente, documenti ufficio, email, testo, immagini, audio, video,
ecc..
➔ files protetti da password
➔ cronologia internet
➔ spazio non allocato
➔ spazio di slack
➔ partizioni/files di swap
➔ files cancellati
➔ files criptati
➔ files steganografati
Denis Frati
17. LA PROVA INFORMATICA NEL PROCESSO PENALE
Aspetti Tecnici e Giuridici Ivrea 4 maggio 2007
Analisi (3) i tools:
Gli strumenti software utilizzati per l'analisi:
non sono ancora certificati da alcun ente/organo/istituto
devono:
➔ garantire che nessuna modifica venga apportata ai dati
➔ essere licenziati, se non distribuiti gratuitamente
➔ non essere provento di cracking/pirateria
➔ essendone illecito l'utilizzo
➔ non potendo garantire che il cracking non comporti modifiche al
funzionamento
possono essere:
➔ open source: è possibile analizzare i processi logici a cui sono
sottoposti i dati
➔ closed source: tipico dei software commerciali, non consente l'analisi
della logica di funzionamento, la verifica dei processi a cui i dati sono
sottoposti
VS
Denis Frati
18. LA PROVA INFORMATICA NEL PROCESSO PENALE
Aspetti Tecnici e Giuridici Ivrea 4 maggio 2007
Analisi (4) i tools:
I software closed source (EnCase, FTK, XWay Forensic, ecc..) offrono:
➔ interfaccia user friendly
➔ tools integrati (editor esadecimale, player, password cracker, hashing, log
attività, ecc...)
➔ compilazione reportistica
non dispongono di larga compatibilità verso i file system non nativi
I software/sistemi open source (ambiente Unixlike) offrono:
➔ ampio riconoscimento file system
non offrono:
➔ tools integrati in un'unica interfaccia grafica
➔ compatibilità applicativi sviluppati per differenti SO
➔ compilazione reportistica
Esistono, in ambiente Linux, interfacce grafiche che integrano i differenti tools
in un'unica interfaccia (non gratuiti):
➔ SMART di ASR Data
➔ THE FARMER'S BOOT CD
Denis Frati
19. LA PROVA INFORMATICA NEL PROCESSO PENALE
Aspetti Tecnici e Giuridici Ivrea 4 maggio 2007
Analisi (5) i tools/sistemi open source:
particolare attenzione meritano i Forensic Boot CD basati su GNU/Linux
Denis Frati
20. LA PROVA INFORMATICA NEL PROCESSO PENALE
Aspetti Tecnici e Giuridici Ivrea 4 maggio 2007
Analisi (6) rischi:
Mostriamo in pratica quanto una prova digitale sia fragile: ipotizzando di
star svolgendo un'analisi live, consideriamo il file immagine fccu_2.JPG.
L'intefaccia Windows del boot live cd HELIX indica che l'immagine è stata
creata e modificata in data:
12 marzo 2007
e l'ultimo accesso al file è
avvenuto in data:
3 aprile 2007
Denis Frati
21. LA PROVA INFORMATICA NEL PROCESSO PENALE
Aspetti Tecnici e Giuridici Ivrea 4 maggio 2007
Analisi (7) rischi:
Se l'analista forense prende visione del contenuto del disco rigido, per
esempio visionando le immagini (come sotto mostrato), i filmati, o i
documenti di testo, causerà la modifica del time stamp dei file.
se controlliamo nuovamente
il time stamp notiamo che la
data dell'ultimo accesso è
cambiata:
3 maggio 2007 !!
la prova è alterata !!
Denis Frati
22. LA PROVA INFORMATICA NEL PROCESSO PENALE
Aspetti Tecnici e Giuridici Ivrea 4 maggio 2007
Presentazione:
Il procedimento di investigazione della prova digitale si conclude con la
presentazione di:
informazioni estratte dai dati recuperati
➔
correlazione esistente tra informazione digitale e fatto reato
➔
procedimenti di identificazione, preservazione, acquisizione e analisi
➔
dispositivi e software utilizzati
➔
dati estratti/recuperati su supporto digitale
➔
Denis Frati
23. LA PROVA INFORMATICA NEL PROCESSO PENALE
Aspetti Tecnici e Giuridici Ivrea 4 maggio 2007
Riferimenti (1) siti:
Legal Electronic Forensics Team (L.E.F.T.), progetto di ricerca (e
➔
gruppo di studio) della Cattedra di Informatica Giuridica Avanzata
dell'Università degli Studi di Milano http://www.avanzata.it/left/
Cybercrimes.it, computer forensics e crimine informatico
➔
http://www.cybercrimes.it/
Marco Mattiucci, il sito del maggiore dei Carabinieri
➔
http://www.marcomattiucci.it/
Corso Informatica Forense, università degli Studi di Bologna
➔
http://www.informaticaforense.it/
International Information Systems Forensic Association
➔
http://www.iisfa.it/
Denis Frati
24. LA PROVA INFORMATICA NEL PROCESSO PENALE
Aspetti Tecnici e Giuridici Ivrea 4 maggio 2007
Riferimenti (2) – blog e forum:
Forensics Web Log, il blog dell'Avv. Federica Bertoni
➔
http://4ensix.blogspot.com/
Computer Forensics, il blog del Prof. Giovanni Ziccardi
➔
http://forensics.typepad.com/
Computer Forensics, il blog di Andrea Ghirardini
➔
http://forensicsbypila.blogspot.com/
Cybercrimes.it forum http://www.cybercrimes.it/forum/
➔
DigitalSherlock, il forum di Nani Bassetti Consulente tecnico
➔
http://www.nannibassetti.com/cf
IRItaly blog – il blog del progetto http://iritaly.blogspot.com/
➔
Denis Frati
25. LA PROVA INFORMATICA NEL PROCESSO PENALE
Aspetti Tecnici e Giuridici Ivrea 4 maggio 2007
Riferimenti (3) – boot live cd:
IRItaly, il progetto e il boot live cd http://www.iritalylivecd.org/
➔
Deft Computer Forensics, il progetto e il boot live cd
➔
http://www.stevelab.net/deft/
Helix, progetto e boot live cd http://www.efense.com/helix/
➔
FCCU, il boot live cd della Polizia Belga
➔
http://www.lnx4n6.be/index.php
Penguin Sleuth, macchina virtuale e boot live cd
➔
http://www.linuxforensics.com/
SMART http://www.asrdata.com/SMART/
➔
The Farmer's Boot Cd http://www.forensicbootcd.com
➔
Denis Frati