Rilevazione di defacement invisibili su siti Web: Tecniche per la raccolta d...
OWASP Day 3 - Analisi forense dei sistemi compromessi
1. OWASP Day III
Università degli Studi
di Bari
23.02.2009
Presentazioni
Cybercrime
Reazione
Analisi forense
Fasi canoniche
Best Practices
Live forensics
Normativa
In aula
Contatti
Ass. Davide Gabrini
Ufficio Tecnico
2. Chi siamo
L’Ufficio Tecnico del Compartimento Polizia Postale
e delle Comunicazioni di Milano si occupa di:
OWASP Day III
Università degli Studi
di Bari
Ricerca e Sviluppo
23.02.2009
Osservatorio sulle nuove tecnologie
Presentazioni
Studio e implementazione di
Cybercrime
strumenti e metodologie
Reazione
Analisi forense
Formazione del personale
Fasi canoniche
Supporto tecnico alle attività investigative
Best Practices
Live forensics
Computer Forensics
Normativa
…e ovviamente Pubbliche Relazioni ☺
In aula
Contatti
Seminari, Convegni, Workshop…
Ass. Davide Gabrini
Interventi formativi per scuole, P.A. e realtà aziendali
Ufficio Tecnico
3. Di cosa parliamo
OWASP Day III
Università degli Studi
di Bari
23.02.2009
Cybercrime, nel mondo e in Italia
Presentazioni
Cybercrime
Reazione ad un attacco subìto
Reazione
Analisi forense
Computer Forensics
Fasi canoniche
Best Practices
Live forensics
Normativa e giurisprudenza
Normativa
In aula
Contatti
Ass. Davide Gabrini
Ufficio Tecnico
4. Cybercrime
OWASP Day III
Nel 2008, il cybercrime ha prodotto profitti per
Università degli Studi
di Bari
276 milioni di dollari (Symantec)
23.02.2009
Sempre nel 2008 ha anche prodotto danni per un
Presentazioni
trilione di dollari (McAfee)
Cybercrime
Il numero dei malware catalogati supera gli 11
Reazione
milioni (Sophos)
Analisi forense
Fasi canoniche
Si scopre una nuova infezione web ogni 4,5
Best Practices
secondi (Sophos)
Live forensics
I paesi che hostano più malware sono USA (37%),
Normativa
Cina (27,7%) e Russia (9,1%) (Sophos)
In aula
Contatti
Si tratta soprattutto di siti legittimi che sono
stati compromessi per distribuire malware
Ass. Davide Gabrini
Ufficio Tecnico
5. Vettori di attacco: la Top10 di Websense
OWASP Day III
Università degli Studi
1. Browser vulnerabilities
di Bari
23.02.2009
2. Rogue antivirus/social engineering
3. SQL injection
Presentazioni
4. Malicious Web 2.0 components (e.g. Facebook
Cybercrime
applications, third-party widgets and gadgets, banner ads)
Reazione
5. Adobe Flash vulnerabilities
Analisi forense
6. DNS Cache Poisoning and DNS Zone fle hijacking
Fasi canoniche
Best Practices
7. ActiveX vulnerabilities
Live forensics
8. RealPlayer vulnerabilities
Normativa
9. Apple QuickTime vulnerabilities
In aula
10. Adobe Acrobat Reader PDF vulnerabilities
Contatti
Ass. Davide Gabrini
Ufficio Tecnico Websense Security Labs Report Q3Q4 2008
6. Vulnerabilità web apps: Top 10 di OWASP
apps:
OWASP Day III
Università degli Studi
1. Cross Site Scripting (XSS)
di Bari
23.02.2009
2. Injection Flaws
3. Malicious File Execution
Presentazioni
4. Insecure Direct Object Reference
Cybercrime
Reazione
5. Cross Site Request Forgery (CSRF)
Analisi forense
6. Information Leakage and Improper Error Handling
Fasi canoniche
7. Broken Authentication and Session Management
Best Practices
8. Insecure Cryptographic Storage
Live forensics
9. Insecure Communications
Normativa
10. Failure to Restrict URL Access
In aula
Contatti
Ass. Davide Gabrini
Ufficio Tecnico http://www.owasp.org/index.php/Top_10_2007
7. Quotazioni dei tool d’attacco
OWASP Day III
Università degli Studi
di Bari
23.02.2009
Presentazioni
Cybercrime
Reazione
Analisi forense
Fasi canoniche
Best Practices
Live forensics
Normativa
In aula
Contatti
Ass. Davide Gabrini
Ufficio Tecnico Symantec Corporation: Report on the Underground Economy 11/2008
8. Le botnet nell’ultimo anno
OWASP Day III
Università degli Studi
di Bari
23.02.2009
Presentazioni
Cybercrime
Reazione
Analisi forense
Fasi canoniche
Best Practices
Live forensics
Normativa
In aula
Contatti
Ass. Davide Gabrini
Ufficio Tecnico
Shadowserver Foundation
9. E in Italia?
Statistiche aggiornate sul fenomeno:
OWASP Day III
Università degli Studi
di Bari
23.02.2009
Presentazioni
Cybercrime
Reazione
Analisi forense
Fasi canoniche
Best Practices
Live forensics
Normativa
In aula
Contatti
Ass. Davide Gabrini
O siamo un’isola felice, oppure vige l’omertà…
Ufficio Tecnico
10. Sotto la punta dell’iceberg
Il grosso delle violazioni non viene
OWASP Day III
Università degli Studi
di Bari
denunciato. Possibili cause:
23.02.2009
La compromissione non viene rilevata
Presentazioni
Cybercrime
Il problema viene quot;rattoppatoquot; senza
Reazione
indagare ulteriormente
Analisi forense
Fasi canoniche
L'indagine rimane interna all'azienda
Best Practices
Live forensics
Timore di danno d'immagine
Normativa
Scarsa fiducia o interesse in un'azione
In aula
Contatti
legale
Ass. Davide Gabrini
Ufficio Tecnico
11. E chi chiamerai?
Cosa fare, dal punto di vista legale, in caso di accertato
OWASP Day III
Università degli Studi
accesso abusivo? E' possibile presentare una querela:
di Bari
23.02.2009
Chi: la parte lesa. Nel caso di un'azienza, chi ne ha la
rappresentanza legale.
Presentazioni
La procedibilità d'ufficio è possibile solo in presenza di aggravanti
Cybercrime
È comunque opportuno che il legale/amministivo sia
Reazione
accompagnato dal tecnico
Analisi forense
Quando si tratta di reati con alto profilo tecnico, serve una querela
con un profilo tecnico altrettanto alto
Fasi canoniche
Best Practices
Quando: entro 3 mesi dal giorno in cui si è appreso il fatto
Live forensics
Dove: qualunque ufficio di Polizia Giudiziaria. Tuttavia la
Normativa
Polizia Postale è solitamente più avvezza alla materia
In aula
Cosa serve: tutto! Ogni informazione, dato, rilievo utile a
Contatti
circostanziare i fatti. Meglio ancora se già filtrato, ma attenti
alla conservazione degli originali! Per operare al meglio, sono
Ass. Davide Gabrini
utili nozioni di computer forensics
Ufficio Tecnico
12. Computer Forensics e Incident Response
Le procedure di CF ben si inseriscono nel
OWASP Day III
Università degli Studi
di Bari
processo di gestione degli incidenti
23.02.2009
Un processo di IR non è completo senza
Presentazioni
una fase di indagine
Cybercrime
Reazione
Nonostante i possibili obiettivi comuni, CF
Analisi forense
e IR hanno spesso priorità e finalità diverse
Fasi canoniche
Best Practices
Ciò che va bene per l'IR, non è detto che
Live forensics
vada altrettanto bene per la CF
Normativa
sempre se si desidera arrivare in sede di giudizio
In aula
Contatti
Ass. Davide Gabrini
Ufficio Tecnico
13. Computer Forensics
La computer forensics è la
OWASP Day III
Università degli Studi
disciplina che si occupa della
di Bari
23.02.2009
preservazione, dell'identificazione,
dello studio, della documentazione
Presentazioni
dei computer, o dei sistemi
Cybercrime
informativi in generale, al fine di
Reazione
evidenziare l’esistenza di prove
Analisi forense
nello svolgimento dell’attività
Fasi canoniche
investigativa.
Best Practices
(A.Ghirardini: “Computer forensics” – Apogeo)
Live forensics
Normativa
L’obiettivo è dunque quello di evidenziare dei
In aula
Contatti
fatti pertinenti l’indagine da sottoporre a giudizio
Ass. Davide Gabrini
Ufficio Tecnico
14. Necessità di una metodologia scientifica
Pervasività delle tecnologie digitali
OWASP Day III
Università degli Studi
di Bari
Loro implicazione in attività delittuose
23.02.2009
Lo strumento informatico come mezzo
Presentazioni
Lo strumento informatico come fine
Cybercrime
Reazione
Nonostante la pervasività, il reale
Analisi forense
funzionamento della tecnologia resta ai più
Fasi canoniche
misterioso…
Best Practices
Live forensics
Le tracce digitali possono avere una
Normativa
natura estremamente delicata, che richiede
In aula
competenze specifiche per la trattazione
Contatti
Ass. Davide Gabrini
Ufficio Tecnico
15. Scopi di un’analisi forense
Confermare o escludere un evento
OWASP Day III
Università degli Studi
di Bari
23.02.2009
Individuare tracce e informazioni utili
a circostanziarlo
Presentazioni
Cybercrime
Acquisire e conservare le tracce in
Reazione
maniera idonea, che garantisca integrità
Analisi forense
Fasi canoniche
e non ripudiabilità
Best Practices
Live forensics
Interpretare e correlare le evidenze
Normativa
acquisite
In aula
Contatti
Riferire con precisione ed efficienza
Ass. Davide Gabrini
Ufficio Tecnico
16. Principi fondamentali di CF
Limitare al minimo l'impatto:
OWASP Day III
Università degli Studi
di Bari
Primo: non nuocere
23.02.2009
Non alterare lo stato delle cose
Presentazioni
Cybercrime
Isolamento della scena del crimine
Reazione
Utilizzo di procedure non invasive
Analisi forense
Fasi canoniche
Documentare nel dettaglio ogni
Best Practices
intervento
Live forensics
Normativa
Previene possibili contestazioni
In aula
Consente in certa misura di ricostruire
Contatti
la situazione
Ass. Davide Gabrini
Ufficio Tecnico
17. Le fasi canoniche
OWASP Day III
Università degli Studi
di Bari
23.02.2009
Identificazione
Presentazioni
Cybercrime
Acquisizione / Preservazione
Reazione
Analisi forense
Fasi canoniche
Best Practices
Analisi / Valutazione
Live forensics
Normativa
In aula
Presentazione
Contatti
Ass. Davide Gabrini
Ufficio Tecnico
18. 1. Identificazione
Individuare le informazioni o le fonti
OWASP Day III
Università degli Studi
di Bari
di informazione disponibili
23.02.2009
Presentazioni
Comprenderne natura e pertinenza
Cybercrime
Reazione
Individuare il metodo di acquisizione
Analisi forense
Fasi canoniche
più ideoneo
Best Practices
Live forensics
Stabilire un piano di acquisizione
Normativa
In aula
Contatti
Ass. Davide Gabrini
Ufficio Tecnico
19. 2. Acquisizione
Il sequestro è un metodo facile, veloce
OWASP Day III
Università degli Studi
di Bari
e sicuro, ma non tutti i dati possono
23.02.2009
essere acquisiti quot;fisicamentequot;
Presentazioni
Cybercrime
Le copie eseguite devono essere
Reazione
identiche all'originale (integrità e non
Analisi forense
Fasi canoniche
ripudiabilità)
Best Practices
Le procedure devono essere
Live forensics
Normativa
documentate e attuate secondo metodi e
In aula
tecnologie conosciute, così da essere
Contatti
verificabili dalla controparte
Ass. Davide Gabrini
Ufficio Tecnico
20. 3- Analisi e valutazione
Dare un senso a quanto acquisito
OWASP Day III
Università degli Studi
di Bari
Estrarre i dati e processarli per
23.02.2009
ricostruire informazioni
Presentazioni
Cybercrime
Interpretare le informazioni per
Reazione
individuare elementi utili
Analisi forense
Fasi canoniche
Comprendere e correlare, per affinare le
Best Practices
ricerche e trarre conclusioni
Live forensics
E' sicuramente la fase più onerosa di
Normativa
In aula
tutto il processo e richiede conoscenze
Contatti
davvero disparate
Ass. Davide Gabrini
Ufficio Tecnico
21. 4. Presentazione
I risultati devono essere presentati in
OWASP Day III
Università degli Studi
di Bari
forma facilmente comprensibile
23.02.2009
I destinatari non hanno di solito
Presentazioni
Cybercrime
competenze informatiche approfondite
Reazione
Tuttavia è probabile che la relazione
Analisi forense
venga esaminata da un tecnico della
Fasi canoniche
Best Practices
controparte
Live forensics
Semplicità e chiarezza, non
Normativa
In aula
superficialità e approssimazione
Contatti
Ass. Davide Gabrini
Ufficio Tecnico
22. Problemi procedurali
Manca una validazione quot;localequot; degli
OWASP Day III
Università degli Studi
di Bari
strumenti impiegati
23.02.2009
Negli Stati Uniti il NIST testa e certifica
Presentazioni
Cybercrime
gli strumenti hardware e software
Reazione
In Italia manca un istituto analogo
Analisi forense
Fasi canoniche
Manca una metodologia legalmente
Best Practices
riconosciuta o una giurisprudenza
Live forensics
Normativa
affermata in materia
In aula
La questione anzi pare spesso
Contatti
considerata di scarsa rilevanza giuridica
Ass. Davide Gabrini
Ufficio Tecnico
23. Best practices internazionali
In Italia, nessuna istituzione pubblica si è presa la briga di
OWASP Day III
Università degli Studi
compilare delle linee guida per le indagini digitali
di Bari
23.02.2009
All'estero ci sono diverse fonti interessanti:
IACP: International Association of Chiefs of Police
Presentazioni
Best Practices for Seizing Electronic Evidence
Cybercrime CERT: Computer Emergency Response Team (Carnegie Mellon University)
First Responders Guide to Computer Forensics
Reazione
IACIS: International Association of Computer Investigative Specialists
Analisi forense
IACIS Forensics Procedures
Fasi canoniche
NIST: National Institute of Standards and Technology
Best Practices
Guide to Integrating Forensics Techniques into Incident Response
Live forensics
Guidelines on Cell Phone Forensics
Normativa
Guidelines on PDA Forensics
In aula
US Department of Justice:
Contatti Search and Seizure Manual
UK ACPO: Association of Chief Police Officers
Ass. Davide Gabrini
Computer based evidence
Ufficio Tecnico
24. La RFC3227
Guidelines for Evidence Collection and Archiving
Pubblicata nel febbraio 2002, è ancora un non smentito punto
OWASP Day III
di riferimento internazionale. Tra le altre cose consiglia:
Università degli Studi
di Bari
23.02.2009
Documentare dettagliatamente ogni operazione svolta
Chiari riferimenti temporali
Presentazioni
Indicazione di eventuali discrepanze
Cybercrime
Evitare tecniche invasive o limitare l'impatto
Reazione
all'irrinunciabile, preferendo strumenti ben documentabili
Analisi forense
Isolare il sistema da fattori esterni che possono modificarlo
Fasi canoniche
(attenzione: l'attività potrebbe essere rilevata)
Best Practices
Nella scelta tra acquisizione e analisi, prima si acquisisce e
Live forensics
poi si analizza
Normativa
Essere metodici e implementare automatismi (attenzione:
In aula
arma a doppio taglio…)
Contatti
Procedere dalle fonti più volatili alle meno volatili
Ass. Davide Gabrini
Eseguire copie bit-level (bit stream image) e lavorare su esse
Ufficio Tecnico
25. Chain of custody
Procedura necessaria per poter tracciare lo stato di
OWASP Day III
Università degli Studi
un reperto e la relativa responsabilità in qualsiasi
di Bari
23.02.2009
momento della sua esistenza.
Presentazioni
Deve documentare chiaramente:
Cybercrime
Dove, quando e da chi l’evidence è stata scoperta e acquisita
Reazione
Dove, quando e da chi è stata custodita o analizzata
Analisi forense
Chi l’ha avuta in custodia e in quale periodo
Fasi canoniche
Come è stata conservata
Best Practices
Ad ogni passaggio di consegna, dove, come e tra chi è stata
Live forensics
trasferita
Normativa
Gli accessi all’evidence devono essere estremamente
In aula
Contatti
ristretti e chiaramente documentati.
Devono potersi rilevare accessi non autorizzati.
Ass. Davide Gabrini
Ufficio Tecnico
26. Piano di acquisizione
L'acquisizione va fatta rispettando
OWASP Day III
Università degli Studi
di Bari
l'ordine di volatilità
23.02.2009
Per i sistemi in esecuzione:
Presentazioni
Cybercrime
Registri, cache
Reazione
Memorie RAM
Analisi forense
Fasi canoniche
Stato della rete (connessioni stabilite, socket in ascolto,
Best Practices
applicazioni coinvolte, cache ARP, routing table, DNS cache ecc…)
Live forensics
Processi attivi
Normativa
File system temporanei
In aula
Contatti
Dischi
Ass. Davide Gabrini
Ufficio Tecnico
27. Ordine di volatilità (segue)
Dopo l'eventuale spegnimento, si
OWASP Day III
Università degli Studi
di Bari
prosegue con:
23.02.2009
Dischi (post-mortem)
Presentazioni
Cybercrime
Log remoti
Reazione
Configurazione fisica e
Analisi forense
Fasi canoniche
topologia di rete
Best Practices
Floppy, nastri e altri dispositivi
Live forensics
Normativa
di backup
In aula
Supporti ottici, stampe ecc.
Contatti
Ass. Davide Gabrini
Ufficio Tecnico
28. Analisi Live vs Post-mortem
Post-
Quando si interviene su un sistema
OWASP Day III
Università degli Studi
di Bari
acceso, si è davanti ad una scelta:
23.02.2009
Spegnerlo subito per procedere ad
Presentazioni
acquisizione e analisi post-mortem
Cybercrime
Esaminarlo mentre è in esecuzione
Reazione
Analisi forense
Entrambe le scelte hanno pro e contro,
Fasi canoniche
dipendenti anche da:
Best Practices
Live forensics
Competenza del personale impiegato
Normativa
Strumentazione a disposizione
In aula
Perdita di dati (o di servizi) e loro rilevanza
Contatti
Nel caso, valutare la modalità di spegnimento
Ass. Davide Gabrini
Ufficio Tecnico
29. OWASP Day III
Università degli Studi
di Bari
23.02.2009
Presentazioni
Cybercrime
Reazione
Analisi forense
Fasi canoniche
Best Practices
Live forensics
Normativa
In aula
Contatti
Ass. Davide Gabrini
Ufficio Tecnico
30. Quando è necessario un intervento live
Se il sistema è in esecuzione, qualsiasi
OWASP Day III
Università degli Studi
di Bari
azione lo modificherà
23.02.2009
tanto vale intraprendere azioni utili…
Presentazioni
Se il sistema non è fisicamente rimovibile
Cybercrime
Se il sistema non può essere spento
Reazione
Se il sistema non può essere acquisito
Analisi forense
Fasi canoniche
nella sua interezza
Best Practices
Se le informazioni volatili possono essere
Live forensics
rilevanti ai fini dell'indagine
Normativa
In aula
In particolar modo, se occorre acquisire il
Contatti
traffico di rete riguardante la macchina
Ass. Davide Gabrini
Ufficio Tecnico
31. Invasività
Il sistema viene sicuramente alterato
OWASP Day III
Università degli Studi
di Bari
le modifiche sono note?
23.02.2009
sono documentabili?
Presentazioni
Cybercrime
intaccano significativamente il risultato
Reazione
dell'analisi?
Analisi forense
Fasi canoniche
ogni modifica distrugge qualcosa
Best Practices
Gli accertamenti svolti su sistemi
Live forensics
Normativa
accesi non saranno ripetibili
In aula
Contatti
Ass. Davide Gabrini
Ufficio Tecnico
32. Live forensics best practices
L'intervento dell'utente deve essere ridotto al minimo
OWASP Day III
Università degli Studi
Ogni azione deve essere indispensabile e meno invasiva
di Bari
23.02.2009
possibile
Le modifiche ai dati memorizzati staticamente devono essere
Presentazioni
ridotte all'inevitabile
Cybercrime
Le aquisizioni hanno priorità secondo l'ordine di volatilità
Reazione
Ogni azione intrapresa deve essere scrupolosamente
Analisi forense
verbalizzata, con gli opportuni riferimenti temporali
Fasi canoniche
Gli strumenti utilizzati devono essere fidati, il più possibile
Best Practices
indipendenti dal sistema e impiegare il minimo delle risorse;
Live forensics
non devono produrre alterazioni né ai dati né ai metadati
Normativa
I dati estratti vanno sottoposti ad hash e duplicati prima di
In aula
procedere all'analisi
Contatti
I dati che non sono volatili devono preferibilmente essere
Ass. Davide Gabrini
acquisiti secondo metodologia tradizionale
Ufficio Tecnico
33. Live forensics best practices
Più in generale:
OWASP Day III
Università degli Studi
di Bari
E’ necessario comprendere le azioni che si
23.02.2009
stanno per compiere e le loro conseguenze
Presentazioni
In caso contrario, è indispensabile ricorrere a
Cybercrime
Reazione
personale specializzato
Analisi forense
E’ consigliabile attenersi agli obiettivi
Fasi canoniche
dell’indagine, evitando divagazioni
Best Practices
Live forensics
La live forensics non dovrebbe sostituirsi
Normativa
all'analisi post-mortem, ma esserne
In aula
complementare
Contatti
Ass. Davide Gabrini
Ufficio Tecnico
34. Nemici delle live forensics
Rootkit
OWASP Day III
Università degli Studi
di Bari
user space (ring 3)
23.02.2009
kernel space (ring 0)
Presentazioni
Cybercrime
VM based
Reazione
Non sempre è facile rilevarli
Analisi forense
Fasi canoniche
Possono rilevare l'azione dei tool forensi
Best Practices
Live forensics
Possono quindi alterarne i risultati, p.e.
Normativa
impedendo l'acquisizione di un'evidence
In aula
Contatti
Rendono necessaria l'analisi post-mortem
Ass. Davide Gabrini
Ufficio Tecnico
35. Metodi di spegnimento
Se si decide di spegnere il sistema, scegliere la
OWASP Day III
Università degli Studi
modalità più opportuna:
di Bari
23.02.2009
1) Procedura canonica (in genere deprecata)
le normali procedure alterano numerose informazioni
Presentazioni
sul disco!
Cybercrime
ogni scrittura sovrascrive dati preesistenti (rilevanti?)
Reazione
è possibile siano state predisposte procedure di quot;puliziaquot;
Analisi forense
2) Interrompendo l'alimentazione
Fasi canoniche
L'impatto sui dati è solitamente minore che con lo
Best Practices
shutdown del sistema
Live forensics
Per contro, potrebbero perdersi dati non ancora
Normativa
registrati su disco
In aula
Operazioni di scrittura ancora in cache
Contatti
Transazioni DB
Problemi di coerenza al successivo riavvio
Ass. Davide Gabrini
Danni ai componenti elettronici
Ufficio Tecnico
36. OWASP Day III
Università degli Studi
di Bari
23.02.2009
Presentazioni
Cybercrime
Reazione
Analisi forense
Fasi canoniche
Best Practices
Live forensics
Normativa
In aula
Contatti
Ass. Davide Gabrini
Ufficio Tecnico
37. Raccolta delle prove
Oltre che dalla Polizia Giudiziaria, le
OWASP Day III
Università degli Studi
di Bari
prove possono essere raccolte anche da
23.02.2009
altri soggetti:
Presentazioni
Cybercrime
il Pubblico Ministero durante le
Reazione
indagini preliminari;
Analisi forense
Fasi canoniche
la parte sottoposta a indagine, a fini
Best Practices
difensivi;
Live forensics
Normativa
la parte offesa, per valutare
In aula
l'opportunità di una denuncia o querela.
Contatti
Ass. Davide Gabrini
Ufficio Tecnico
38. Prove atipiche
Art.189 c.p.p. comma 1: Prove non
OWASP Day III
Università degli Studi
di Bari
disciplinate dalla legge
23.02.2009
Quando è richiesta una prova non
Presentazioni
Cybercrime
disciplinata dalla legge, il giudice può
Reazione
assumerla se essa risulta idonea ad
Analisi forense
Fasi canoniche
assicurare l’accertamento dei fatti e non
Best Practices
pregiudica la libertà morale della
Live forensics
persona. Il giudice provvede
Normativa
In aula
all’ammissione, sentite le parti sulle
Contatti
modalità di assunzione della prova.
Ass. Davide Gabrini
Ufficio Tecnico
39. Indagini difensive
Principio di parità tra accusa e difesa
OWASP Day III
Università degli Studi
di Bari
L. 397/2000: Disposizioni in materia di indagini difensive
23.02.2009
Art. da 391bis a 391decies cpp
Presentazioni
Il difensore, gli investigatori privati, i consulenti
Cybercrime
tecnici possono:
Reazione
Ricevere dichiarazioni dalle persone in grado di
Analisi forense
riferire su circostanze utili
Fasi canoniche
Richiedere documentazione alla Pubblica
Best Practices
Amministrazione
Live forensics
Normativa
Prendere visione dello stato di luoghi e cose ed
In aula
effettuare rilievi
Contatti
Accedere a luoghi privati o non aperti al pubblico,
eventualmente su autorizzazione del giudice, al solo
Ass. Davide Gabrini
Ufficio Tecnico
fine di ispezione.
40. Art.391-
Art.391-nonies: Attività investigativa preventiva
L’attività investigativa del difensore (Art.327-bis)
OWASP Day III
Università degli Studi
può essere svolta anche preventivamente, su
di Bari
23.02.2009
apposito mandato e per l’eventualità che si instauri
un procedimento penale.
Presentazioni
Cybercrime
Il difensore può incaricare dell'attività il sostituto,
Reazione
l'investigatore privato autorizzato o il consulente
Analisi forense
tecnico
Fasi canoniche
L'attività investigativa preventiva non può
Best Practices
comprendere atti che richiedono l'autorizzazione
Live forensics
Normativa
dell'Autorità Giudiziaria
In aula
Si possono dunque svolgere autonomamente
Contatti
indagini private in attesa di valutare l'eventualità di
Ass. Davide Gabrini
procedere a un'azione penale e/o civile.
Ufficio Tecnico
41. Legge 48/2008
Per la prima volta, vengono introdotte procedure
OWASP Day III
Università degli Studi
di acquisizione dell'evidenza informatica,
di Bari
23.02.2009
mediante l'imposizione dell'adozione di misure
tecniche dirette ad assicurare la conservazione dei
Presentazioni
dati originali e ad impedirne l'alterazione;
Cybercrime
Reazione
Adozione di procedure che assicurino la
Analisi forense
conformità dei dati acquisiti a quelli originali e la
Fasi canoniche
loro immodificabilità.
Best Practices
Live forensics
Le novità riguardano, tra l'altro, gli articoli relativi
Normativa
a perquisizione, ispezione, sequestro, accertamenti
In aula
urgenti, oltre al concetto stesso di corpo del reato.
Contatti
Ass. Davide Gabrini
Ufficio Tecnico
42. OWASP Day III
Università degli Studi
di Bari
23.02.2009
Presentazioni
Cybercrime
Reazione
Analisi forense
Fasi canoniche
Best Practices
Live forensics
Normativa
In aula
Contatti
Ass. Davide Gabrini
Ufficio Tecnico
43. Idoneità della Computer Forensics
Per essere ammessa nel processo civile o penale,
OWASP Day III
Università degli Studi
la prova deve essere idonea a dimostrare i fatti a
di Bari
23.02.2009
cui si riferisce.
Presentazioni
Nel processo civile, è onere della parte raccogliere
Cybercrime
e conservare le prove in maniera tale che non
Reazione
rischino di essere considerate inidonee.
Analisi forense
Se il metodo di raccolta è opinabile e la
Fasi canoniche
conservazione incerta, la prova può perdere
Best Practices
facilmente di attendibilità.
Live forensics
Normativa
Più i procedimenti sono rigorosi e documentati,
In aula
più è probabile che il giudice ne riconosca l'idoneità
Contatti
(per questa valutazione il giudice può avvalersi di
Ass. Davide Gabrini
consulenti tecnici).
Ufficio Tecnico
44. Idoneità della Computer Forensics
Nel procedimento penale è il giudice che deve
OWASP Day III
Università degli Studi
verificare la validità scientifica dei metodi d'indagine
di Bari
23.02.2009
per stabilirne l'affidabilità:
Presentazioni
quot;Nel valutare i risultati di una perizia, il giudice deve verificare
la stessa validità scientifica dei criteri e dei metodi di indagine
Cybercrime
utilizzati dal perito, allorché essi si presentino come nuovi e
Reazione
sperimentali e perciò non sottoposti al vaglio di una pluralità di
Analisi forense
casi ed al confronto critico tra gli esperti del settore, sì da non
Fasi canoniche
potersi considerare ancora acquisiti al patrimonio della
Best Practices
comunità scientifica. Quando, invece, la perizia si fonda su
Live forensics
cognizioni di comune dominio degli esperti e su tecniche di
Normativa
indagine ormai consolidate, il giudice deve verificare
In aula
unicamente la corretta applicazione delle suddette cognizioni e
Contatti
tecniche. quot;
Cass. Pen. Sez. V, 9 luglio 1993, Arch. nuova proc.pen.
Ass. Davide Gabrini
Ufficio Tecnico
1994, 226; Giust. pen. 1994, III, 42.
45. Sentenza 1823/05 del Tribunale di Bologna
La difesa mise in discussione la correttezza del metodo utilizzato dalla p.g. per
OWASP Day III
estrarre i programmi dal computer.
Università degli Studi
di Bari
Nella sentenza di legge:
23.02.2009
quot;Il tema […] appare nella fattispecie in esame di secondo rilievo.quot;
quot;non è compito di questo Tribunale determinare un protocollo relativo alle
Presentazioni
procedure informatiche forensi, ma semmai verificare se il metodo utilizzato
Cybercrime
dalla p.g. nel caso in esame abbia concretamente alterato alcuni dei dati
Reazione
ricercati.quot;
Analisi forense quot;non è permesso al Tribunale escludere a priori i risultati di una tecnica
informatica utilizzata a fini forensi solo perché alcune fonti ritengono ve ne
Fasi canoniche
siano di più scientificamente corrette, in assenza della allegazione di fatti che
Best Practices
suggeriscano che si possa essere astrattamente verificata nel caso concreto
una qualsiasi forma di alterazione dei datiquot;
Live forensics
quot;quando anche il metodo utilizzato dalla p.g. non dovesse ritenersi conforme
Normativa
alla migliore pratica scientifica, in difetto di prova di una alterazione concreta,
In aula
conduce a risultati che sono, per il principio di cui all’art. 192 c.p.p.,
Contatti liberamente valutabili dal giudice alla luce del contesto probatorio complessivo
(fermo restando che maggiore è la scientificità del metodo scelto, minori
Ass. Davide Gabrini
saranno i riscontri che il giudice è chiamato a considerare per ritenere
Ufficio Tecnico
attendibili gli esiti delle operazioni tecniche).
46. Sentenza 175/2006 del Tribunale di Chieti
[...]le indagini non proseguirono con sufficiente approfondimento
OWASP Day III
Università degli Studi
poiché ci si limitò ad interpellare la ditta senza alcuna formale
di Bari
23.02.2009
acquisizione di dati e senza alcuna verifica circa le
modalità della conservazione degli stessi allo scopo di
Presentazioni
assicurarne la genuinità e l'attendibilità nel tempo.
Cybercrime
[…][l'U.P.G.] ha poi aggiunto di non essere andato sul posto e di
Reazione
non essere in grado di riferire circa le quot;operazioni tecniche che
Analisi forense
sono state compiute da Technorail per estrarre questi datiquot;.
Fasi canoniche
Se a ciò aggiungiamo che questi dati provenivano dalla stessa
Best Practices
persona offesa e che trattasi di dati tecnici di particolare
Live forensics
delicatezza e manipolabilità ci pare che il dato acquisito sia
Normativa
minimo e del tutto insufficiente a fondare qualsivoglia
In aula
affermazione di responsabilità al di là del ragionevole dubbio
con la conseguenza che il prevenuto deve essere mandato
Contatti
assolto con la già annunciata formula.
Ass. Davide Gabrini
Ufficio Tecnico
47. Contatti
Compartimento Polizia Postale e delle
OWASP Day III
Università degli Studi
di Bari
Comunicazioni per la Lombardia
23.02.2009
Via Moisè Loria, 74 - 20144 – MILANO
Loria,
Presentazioni
Tel. 02/43.33.3011 – Fax 02/43.33.3067
Cybercrime
E-mail: poltel.mi@poliziadistato.it
Reazione
Analisi forense
Fasi canoniche
Best Practices
UFFICIO T ECNICO
Live forensics
Normativa
In aula
Assistente Davide GABRINI
Contatti
davide.gabrini@poliziadistato.it
Ass. Davide Gabrini
Ufficio Tecnico