SlideShare una empresa de Scribd logo

OWASP Day 3 - Analisi forense dei sistemi compromessi

Davide Gabrini
Davide Gabrini

http://www.owasp.org/index.php/Italy_OWASP_Day_3 http://www.tipiloschi.net/drupal/?q=OWASP-Day-3

Tecnología
1 de 47
Descargar para leer sin conexión
OWASP Day III Università degli Studi di Bari 23.02.2009 Presentazioni Cybercrime Reazione Analisi forense Fasi canoniche Best Practices Live forensics Normativa In aula Contatti Ass. Davide Gabrini Ufficio Tecnico
Chi siamo L’Ufficio Tecnico del Compartimento Polizia Postale e delle Comunicazioni di Milano si occupa di: OWASP Day III Università degli Studi di Bari Ricerca e Sviluppo 23.02.2009 Osservatorio sulle nuove tecnologie Presentazioni Studio e implementazione di Cybercrime strumenti e metodologie Reazione Analisi forense Formazione del personale Fasi canoniche Supporto tecnico alle attività investigative Best Practices Live forensics Computer Forensics Normativa …e ovviamente Pubbliche Relazioni ☺ In aula Contatti Seminari, Convegni, Workshop… Ass. Davide Gabrini Interventi formativi per scuole, P.A. e realtà aziendali Ufficio Tecnico
Di cosa parliamo OWASP Day III Università degli Studi di Bari 23.02.2009 Cybercrime, nel mondo e in Italia Presentazioni Cybercrime Reazione ad un attacco subìto Reazione Analisi forense Computer Forensics Fasi canoniche Best Practices Live forensics Normativa e giurisprudenza Normativa In aula Contatti Ass. Davide Gabrini Ufficio Tecnico
Cybercrime OWASP Day III Nel 2008, il cybercrime ha prodotto profitti per Università degli Studi di Bari 276 milioni di dollari (Symantec) 23.02.2009 Sempre nel 2008 ha anche prodotto danni per un Presentazioni trilione di dollari (McAfee) Cybercrime Il numero dei malware catalogati supera gli 11 Reazione milioni (Sophos) Analisi forense Fasi canoniche Si scopre una nuova infezione web ogni 4,5 Best Practices secondi (Sophos) Live forensics I paesi che hostano più malware sono USA (37%), Normativa Cina (27,7%) e Russia (9,1%) (Sophos) In aula Contatti Si tratta soprattutto di siti legittimi che sono stati compromessi per distribuire malware Ass. Davide Gabrini Ufficio Tecnico
Vettori di attacco: la Top10 di Websense OWASP Day III Università degli Studi 1. Browser vulnerabilities di Bari 23.02.2009 2. Rogue antivirus/social engineering 3. SQL injection Presentazioni 4. Malicious Web 2.0 components (e.g. Facebook Cybercrime applications, third-party widgets and gadgets, banner ads) Reazione 5. Adobe Flash vulnerabilities Analisi forense 6. DNS Cache Poisoning and DNS Zone fle hijacking Fasi canoniche Best Practices 7. ActiveX vulnerabilities Live forensics 8. RealPlayer vulnerabilities Normativa 9. Apple QuickTime vulnerabilities In aula 10. Adobe Acrobat Reader PDF vulnerabilities Contatti Ass. Davide Gabrini Ufficio Tecnico Websense Security Labs Report Q3Q4 2008
Vulnerabilità web apps: Top 10 di OWASP apps: OWASP Day III Università degli Studi 1. Cross Site Scripting (XSS) di Bari 23.02.2009 2. Injection Flaws 3. Malicious File Execution Presentazioni 4. Insecure Direct Object Reference Cybercrime Reazione 5. Cross Site Request Forgery (CSRF) Analisi forense 6. Information Leakage and Improper Error Handling Fasi canoniche 7. Broken Authentication and Session Management Best Practices 8. Insecure Cryptographic Storage Live forensics 9. Insecure Communications Normativa 10. Failure to Restrict URL Access In aula Contatti Ass. Davide Gabrini Ufficio Tecnico http://www.owasp.org/index.php/Top_10_2007
Quotazioni dei tool d’attacco OWASP Day III Università degli Studi di Bari 23.02.2009 Presentazioni Cybercrime Reazione Analisi forense Fasi canoniche Best Practices Live forensics Normativa In aula Contatti Ass. Davide Gabrini Ufficio Tecnico Symantec Corporation: Report on the Underground Economy 11/2008
Le botnet nell’ultimo anno OWASP Day III Università degli Studi di Bari 23.02.2009 Presentazioni Cybercrime Reazione Analisi forense Fasi canoniche Best Practices Live forensics Normativa In aula Contatti Ass. Davide Gabrini Ufficio Tecnico Shadowserver Foundation
E in Italia? Statistiche aggiornate sul fenomeno: OWASP Day III Università degli Studi di Bari 23.02.2009 Presentazioni Cybercrime Reazione Analisi forense Fasi canoniche Best Practices Live forensics Normativa In aula Contatti Ass. Davide Gabrini O siamo un’isola felice, oppure vige l’omertà… Ufficio Tecnico
Sotto la punta dell’iceberg Il grosso delle violazioni non viene OWASP Day III Università degli Studi di Bari denunciato. Possibili cause: 23.02.2009 La compromissione non viene rilevata Presentazioni Cybercrime Il problema viene quot;rattoppatoquot; senza Reazione indagare ulteriormente Analisi forense Fasi canoniche L'indagine rimane interna all'azienda Best Practices Live forensics Timore di danno d'immagine Normativa Scarsa fiducia o interesse in un'azione In aula Contatti legale Ass. Davide Gabrini Ufficio Tecnico
E chi chiamerai? Cosa fare, dal punto di vista legale, in caso di accertato OWASP Day III Università degli Studi accesso abusivo? E' possibile presentare una querela: di Bari 23.02.2009 Chi: la parte lesa. Nel caso di un'azienza, chi ne ha la rappresentanza legale. Presentazioni La procedibilità d'ufficio è possibile solo in presenza di aggravanti Cybercrime È comunque opportuno che il legale/amministivo sia Reazione accompagnato dal tecnico Analisi forense Quando si tratta di reati con alto profilo tecnico, serve una querela con un profilo tecnico altrettanto alto Fasi canoniche Best Practices Quando: entro 3 mesi dal giorno in cui si è appreso il fatto Live forensics Dove: qualunque ufficio di Polizia Giudiziaria. Tuttavia la Normativa Polizia Postale è solitamente più avvezza alla materia In aula Cosa serve: tutto! Ogni informazione, dato, rilievo utile a Contatti circostanziare i fatti. Meglio ancora se già filtrato, ma attenti alla conservazione degli originali! Per operare al meglio, sono Ass. Davide Gabrini utili nozioni di computer forensics Ufficio Tecnico
Computer Forensics e Incident Response Le procedure di CF ben si inseriscono nel OWASP Day III Università degli Studi di Bari processo di gestione degli incidenti 23.02.2009 Un processo di IR non è completo senza Presentazioni una fase di indagine Cybercrime Reazione Nonostante i possibili obiettivi comuni, CF Analisi forense e IR hanno spesso priorità e finalità diverse Fasi canoniche Best Practices Ciò che va bene per l'IR, non è detto che Live forensics vada altrettanto bene per la CF Normativa sempre se si desidera arrivare in sede di giudizio In aula Contatti Ass. Davide Gabrini Ufficio Tecnico
Computer Forensics La computer forensics è la OWASP Day III Università degli Studi disciplina che si occupa della di Bari 23.02.2009 preservazione, dell'identificazione, dello studio, della documentazione Presentazioni dei computer, o dei sistemi Cybercrime informativi in generale, al fine di Reazione evidenziare l’esistenza di prove Analisi forense nello svolgimento dell’attività Fasi canoniche investigativa. Best Practices (A.Ghirardini: “Computer forensics” – Apogeo) Live forensics Normativa L’obiettivo è dunque quello di evidenziare dei In aula Contatti fatti pertinenti l’indagine da sottoporre a giudizio Ass. Davide Gabrini Ufficio Tecnico
Necessità di una metodologia scientifica Pervasività delle tecnologie digitali OWASP Day III Università degli Studi di Bari Loro implicazione in attività delittuose 23.02.2009 Lo strumento informatico come mezzo Presentazioni Lo strumento informatico come fine Cybercrime Reazione Nonostante la pervasività, il reale Analisi forense funzionamento della tecnologia resta ai più Fasi canoniche misterioso… Best Practices Live forensics Le tracce digitali possono avere una Normativa natura estremamente delicata, che richiede In aula competenze specifiche per la trattazione Contatti Ass. Davide Gabrini Ufficio Tecnico
Scopi di un’analisi forense Confermare o escludere un evento OWASP Day III Università degli Studi di Bari 23.02.2009 Individuare tracce e informazioni utili a circostanziarlo Presentazioni Cybercrime Acquisire e conservare le tracce in Reazione maniera idonea, che garantisca integrità Analisi forense Fasi canoniche e non ripudiabilità Best Practices Live forensics Interpretare e correlare le evidenze Normativa acquisite In aula Contatti Riferire con precisione ed efficienza Ass. Davide Gabrini Ufficio Tecnico
Principi fondamentali di CF Limitare al minimo l'impatto: OWASP Day III Università degli Studi di Bari Primo: non nuocere 23.02.2009 Non alterare lo stato delle cose Presentazioni Cybercrime Isolamento della scena del crimine Reazione Utilizzo di procedure non invasive Analisi forense Fasi canoniche Documentare nel dettaglio ogni Best Practices intervento Live forensics Normativa Previene possibili contestazioni In aula Consente in certa misura di ricostruire Contatti la situazione Ass. Davide Gabrini Ufficio Tecnico
Le fasi canoniche OWASP Day III Università degli Studi di Bari 23.02.2009 Identificazione Presentazioni Cybercrime Acquisizione / Preservazione Reazione Analisi forense Fasi canoniche Best Practices Analisi / Valutazione Live forensics Normativa In aula Presentazione Contatti Ass. Davide Gabrini Ufficio Tecnico
1. Identificazione Individuare le informazioni o le fonti OWASP Day III Università degli Studi di Bari di informazione disponibili 23.02.2009 Presentazioni Comprenderne natura e pertinenza Cybercrime Reazione Individuare il metodo di acquisizione Analisi forense Fasi canoniche più ideoneo Best Practices Live forensics Stabilire un piano di acquisizione Normativa In aula Contatti Ass. Davide Gabrini Ufficio Tecnico
2. Acquisizione Il sequestro è un metodo facile, veloce OWASP Day III Università degli Studi di Bari e sicuro, ma non tutti i dati possono 23.02.2009 essere acquisiti quot;fisicamentequot; Presentazioni Cybercrime Le copie eseguite devono essere Reazione identiche all'originale (integrità e non Analisi forense Fasi canoniche ripudiabilità) Best Practices Le procedure devono essere Live forensics Normativa documentate e attuate secondo metodi e In aula tecnologie conosciute, così da essere Contatti verificabili dalla controparte Ass. Davide Gabrini Ufficio Tecnico
3- Analisi e valutazione Dare un senso a quanto acquisito OWASP Day III Università degli Studi di Bari Estrarre i dati e processarli per 23.02.2009 ricostruire informazioni Presentazioni Cybercrime Interpretare le informazioni per Reazione individuare elementi utili Analisi forense Fasi canoniche Comprendere e correlare, per affinare le Best Practices ricerche e trarre conclusioni Live forensics E' sicuramente la fase più onerosa di Normativa In aula tutto il processo e richiede conoscenze Contatti davvero disparate Ass. Davide Gabrini Ufficio Tecnico
4. Presentazione I risultati devono essere presentati in OWASP Day III Università degli Studi di Bari forma facilmente comprensibile 23.02.2009 I destinatari non hanno di solito Presentazioni Cybercrime competenze informatiche approfondite Reazione Tuttavia è probabile che la relazione Analisi forense venga esaminata da un tecnico della Fasi canoniche Best Practices controparte Live forensics Semplicità e chiarezza, non Normativa In aula superficialità e approssimazione Contatti Ass. Davide Gabrini Ufficio Tecnico
Problemi procedurali Manca una validazione quot;localequot; degli OWASP Day III Università degli Studi di Bari strumenti impiegati 23.02.2009 Negli Stati Uniti il NIST testa e certifica Presentazioni Cybercrime gli strumenti hardware e software Reazione In Italia manca un istituto analogo Analisi forense Fasi canoniche Manca una metodologia legalmente Best Practices riconosciuta o una giurisprudenza Live forensics Normativa affermata in materia In aula La questione anzi pare spesso Contatti considerata di scarsa rilevanza giuridica Ass. Davide Gabrini Ufficio Tecnico
Best practices internazionali In Italia, nessuna istituzione pubblica si è presa la briga di OWASP Day III Università degli Studi compilare delle linee guida per le indagini digitali di Bari 23.02.2009 All'estero ci sono diverse fonti interessanti: IACP: International Association of Chiefs of Police Presentazioni Best Practices for Seizing Electronic Evidence Cybercrime CERT: Computer Emergency Response Team (Carnegie Mellon University) First Responders Guide to Computer Forensics Reazione IACIS: International Association of Computer Investigative Specialists Analisi forense IACIS Forensics Procedures Fasi canoniche NIST: National Institute of Standards and Technology Best Practices Guide to Integrating Forensics Techniques into Incident Response Live forensics Guidelines on Cell Phone Forensics Normativa Guidelines on PDA Forensics In aula US Department of Justice: Contatti Search and Seizure Manual UK ACPO: Association of Chief Police Officers Ass. Davide Gabrini Computer based evidence Ufficio Tecnico
La RFC3227 Guidelines for Evidence Collection and Archiving Pubblicata nel febbraio 2002, è ancora un non smentito punto OWASP Day III di riferimento internazionale. Tra le altre cose consiglia: Università degli Studi di Bari 23.02.2009 Documentare dettagliatamente ogni operazione svolta Chiari riferimenti temporali Presentazioni Indicazione di eventuali discrepanze Cybercrime Evitare tecniche invasive o limitare l'impatto Reazione all'irrinunciabile, preferendo strumenti ben documentabili Analisi forense Isolare il sistema da fattori esterni che possono modificarlo Fasi canoniche (attenzione: l'attività potrebbe essere rilevata) Best Practices Nella scelta tra acquisizione e analisi, prima si acquisisce e Live forensics poi si analizza Normativa Essere metodici e implementare automatismi (attenzione: In aula arma a doppio taglio…) Contatti Procedere dalle fonti più volatili alle meno volatili Ass. Davide Gabrini Eseguire copie bit-level (bit stream image) e lavorare su esse Ufficio Tecnico
Chain of custody Procedura necessaria per poter tracciare lo stato di OWASP Day III Università degli Studi un reperto e la relativa responsabilità in qualsiasi di Bari 23.02.2009 momento della sua esistenza. Presentazioni Deve documentare chiaramente: Cybercrime Dove, quando e da chi l’evidence è stata scoperta e acquisita Reazione Dove, quando e da chi è stata custodita o analizzata Analisi forense Chi l’ha avuta in custodia e in quale periodo Fasi canoniche Come è stata conservata Best Practices Ad ogni passaggio di consegna, dove, come e tra chi è stata Live forensics trasferita Normativa Gli accessi all’evidence devono essere estremamente In aula Contatti ristretti e chiaramente documentati. Devono potersi rilevare accessi non autorizzati. Ass. Davide Gabrini Ufficio Tecnico
Piano di acquisizione L'acquisizione va fatta rispettando OWASP Day III Università degli Studi di Bari l'ordine di volatilità 23.02.2009 Per i sistemi in esecuzione: Presentazioni Cybercrime Registri, cache Reazione Memorie RAM Analisi forense Fasi canoniche Stato della rete (connessioni stabilite, socket in ascolto, Best Practices applicazioni coinvolte, cache ARP, routing table, DNS cache ecc…) Live forensics Processi attivi Normativa File system temporanei In aula Contatti Dischi Ass. Davide Gabrini Ufficio Tecnico
Ordine di volatilità (segue) Dopo l'eventuale spegnimento, si OWASP Day III Università degli Studi di Bari prosegue con: 23.02.2009 Dischi (post-mortem) Presentazioni Cybercrime Log remoti Reazione Configurazione fisica e Analisi forense Fasi canoniche topologia di rete Best Practices Floppy, nastri e altri dispositivi Live forensics Normativa di backup In aula Supporti ottici, stampe ecc. Contatti Ass. Davide Gabrini Ufficio Tecnico
Analisi Live vs Post-mortem Post- Quando si interviene su un sistema OWASP Day III Università degli Studi di Bari acceso, si è davanti ad una scelta: 23.02.2009 Spegnerlo subito per procedere ad Presentazioni acquisizione e analisi post-mortem Cybercrime Esaminarlo mentre è in esecuzione Reazione Analisi forense Entrambe le scelte hanno pro e contro, Fasi canoniche dipendenti anche da: Best Practices Live forensics Competenza del personale impiegato Normativa Strumentazione a disposizione In aula Perdita di dati (o di servizi) e loro rilevanza Contatti Nel caso, valutare la modalità di spegnimento Ass. Davide Gabrini Ufficio Tecnico
OWASP Day III Università degli Studi di Bari 23.02.2009 Presentazioni Cybercrime Reazione Analisi forense Fasi canoniche Best Practices Live forensics Normativa In aula Contatti Ass. Davide Gabrini Ufficio Tecnico
Quando è necessario un intervento live Se il sistema è in esecuzione, qualsiasi OWASP Day III Università degli Studi di Bari azione lo modificherà 23.02.2009 tanto vale intraprendere azioni utili… Presentazioni Se il sistema non è fisicamente rimovibile Cybercrime Se il sistema non può essere spento Reazione Se il sistema non può essere acquisito Analisi forense Fasi canoniche nella sua interezza Best Practices Se le informazioni volatili possono essere Live forensics rilevanti ai fini dell'indagine Normativa In aula In particolar modo, se occorre acquisire il Contatti traffico di rete riguardante la macchina Ass. Davide Gabrini Ufficio Tecnico
Invasività Il sistema viene sicuramente alterato OWASP Day III Università degli Studi di Bari le modifiche sono note? 23.02.2009 sono documentabili? Presentazioni Cybercrime intaccano significativamente il risultato Reazione dell'analisi? Analisi forense Fasi canoniche ogni modifica distrugge qualcosa Best Practices Gli accertamenti svolti su sistemi Live forensics Normativa accesi non saranno ripetibili In aula Contatti Ass. Davide Gabrini Ufficio Tecnico
Live forensics best practices L'intervento dell'utente deve essere ridotto al minimo OWASP Day III Università degli Studi Ogni azione deve essere indispensabile e meno invasiva di Bari 23.02.2009 possibile Le modifiche ai dati memorizzati staticamente devono essere Presentazioni ridotte all'inevitabile Cybercrime Le aquisizioni hanno priorità secondo l'ordine di volatilità Reazione Ogni azione intrapresa deve essere scrupolosamente Analisi forense verbalizzata, con gli opportuni riferimenti temporali Fasi canoniche Gli strumenti utilizzati devono essere fidati, il più possibile Best Practices indipendenti dal sistema e impiegare il minimo delle risorse; Live forensics non devono produrre alterazioni né ai dati né ai metadati Normativa I dati estratti vanno sottoposti ad hash e duplicati prima di In aula procedere all'analisi Contatti I dati che non sono volatili devono preferibilmente essere Ass. Davide Gabrini acquisiti secondo metodologia tradizionale Ufficio Tecnico
Live forensics best practices Più in generale: OWASP Day III Università degli Studi di Bari E’ necessario comprendere le azioni che si 23.02.2009 stanno per compiere e le loro conseguenze Presentazioni In caso contrario, è indispensabile ricorrere a Cybercrime Reazione personale specializzato Analisi forense E’ consigliabile attenersi agli obiettivi Fasi canoniche dell’indagine, evitando divagazioni Best Practices Live forensics La live forensics non dovrebbe sostituirsi Normativa all'analisi post-mortem, ma esserne In aula complementare Contatti Ass. Davide Gabrini Ufficio Tecnico
Nemici delle live forensics Rootkit OWASP Day III Università degli Studi di Bari user space (ring 3) 23.02.2009 kernel space (ring 0) Presentazioni Cybercrime VM based Reazione Non sempre è facile rilevarli Analisi forense Fasi canoniche Possono rilevare l'azione dei tool forensi Best Practices Live forensics Possono quindi alterarne i risultati, p.e. Normativa impedendo l'acquisizione di un'evidence In aula Contatti Rendono necessaria l'analisi post-mortem Ass. Davide Gabrini Ufficio Tecnico
Metodi di spegnimento Se si decide di spegnere il sistema, scegliere la OWASP Day III Università degli Studi modalità più opportuna: di Bari 23.02.2009 1) Procedura canonica (in genere deprecata) le normali procedure alterano numerose informazioni Presentazioni sul disco! Cybercrime ogni scrittura sovrascrive dati preesistenti (rilevanti?) Reazione è possibile siano state predisposte procedure di quot;puliziaquot; Analisi forense 2) Interrompendo l'alimentazione Fasi canoniche L'impatto sui dati è solitamente minore che con lo Best Practices shutdown del sistema Live forensics Per contro, potrebbero perdersi dati non ancora Normativa registrati su disco In aula Operazioni di scrittura ancora in cache Contatti Transazioni DB Problemi di coerenza al successivo riavvio Ass. Davide Gabrini Danni ai componenti elettronici Ufficio Tecnico
OWASP Day III Università degli Studi di Bari 23.02.2009 Presentazioni Cybercrime Reazione Analisi forense Fasi canoniche Best Practices Live forensics Normativa In aula Contatti Ass. Davide Gabrini Ufficio Tecnico
Raccolta delle prove Oltre che dalla Polizia Giudiziaria, le OWASP Day III Università degli Studi di Bari prove possono essere raccolte anche da 23.02.2009 altri soggetti: Presentazioni Cybercrime il Pubblico Ministero durante le Reazione indagini preliminari; Analisi forense Fasi canoniche la parte sottoposta a indagine, a fini Best Practices difensivi; Live forensics Normativa la parte offesa, per valutare In aula l'opportunità di una denuncia o querela. Contatti Ass. Davide Gabrini Ufficio Tecnico
Prove atipiche Art.189 c.p.p. comma 1: Prove non OWASP Day III Università degli Studi di Bari disciplinate dalla legge 23.02.2009 Quando è richiesta una prova non Presentazioni Cybercrime disciplinata dalla legge, il giudice può Reazione assumerla se essa risulta idonea ad Analisi forense Fasi canoniche assicurare l’accertamento dei fatti e non Best Practices pregiudica la libertà morale della Live forensics persona. Il giudice provvede Normativa In aula all’ammissione, sentite le parti sulle Contatti modalità di assunzione della prova. Ass. Davide Gabrini Ufficio Tecnico
Indagini difensive Principio di parità tra accusa e difesa OWASP Day III Università degli Studi di Bari L. 397/2000: Disposizioni in materia di indagini difensive 23.02.2009 Art. da 391bis a 391decies cpp Presentazioni Il difensore, gli investigatori privati, i consulenti Cybercrime tecnici possono: Reazione Ricevere dichiarazioni dalle persone in grado di Analisi forense riferire su circostanze utili Fasi canoniche Richiedere documentazione alla Pubblica Best Practices Amministrazione Live forensics Normativa Prendere visione dello stato di luoghi e cose ed In aula effettuare rilievi Contatti Accedere a luoghi privati o non aperti al pubblico, eventualmente su autorizzazione del giudice, al solo Ass. Davide Gabrini Ufficio Tecnico fine di ispezione.
Art.391- Art.391-nonies: Attività investigativa preventiva L’attività investigativa del difensore (Art.327-bis) OWASP Day III Università degli Studi può essere svolta anche preventivamente, su di Bari 23.02.2009 apposito mandato e per l’eventualità che si instauri un procedimento penale. Presentazioni Cybercrime Il difensore può incaricare dell'attività il sostituto, Reazione l'investigatore privato autorizzato o il consulente Analisi forense tecnico Fasi canoniche L'attività investigativa preventiva non può Best Practices comprendere atti che richiedono l'autorizzazione Live forensics Normativa dell'Autorità Giudiziaria In aula Si possono dunque svolgere autonomamente Contatti indagini private in attesa di valutare l'eventualità di Ass. Davide Gabrini procedere a un'azione penale e/o civile. Ufficio Tecnico
Legge 48/2008 Per la prima volta, vengono introdotte procedure OWASP Day III Università degli Studi di acquisizione dell'evidenza informatica, di Bari 23.02.2009 mediante l'imposizione dell'adozione di misure tecniche dirette ad assicurare la conservazione dei Presentazioni dati originali e ad impedirne l'alterazione; Cybercrime Reazione Adozione di procedure che assicurino la Analisi forense conformità dei dati acquisiti a quelli originali e la Fasi canoniche loro immodificabilità. Best Practices Live forensics Le novità riguardano, tra l'altro, gli articoli relativi Normativa a perquisizione, ispezione, sequestro, accertamenti In aula urgenti, oltre al concetto stesso di corpo del reato. Contatti Ass. Davide Gabrini Ufficio Tecnico
OWASP Day III Università degli Studi di Bari 23.02.2009 Presentazioni Cybercrime Reazione Analisi forense Fasi canoniche Best Practices Live forensics Normativa In aula Contatti Ass. Davide Gabrini Ufficio Tecnico
Idoneità della Computer Forensics Per essere ammessa nel processo civile o penale, OWASP Day III Università degli Studi la prova deve essere idonea a dimostrare i fatti a di Bari 23.02.2009 cui si riferisce. Presentazioni Nel processo civile, è onere della parte raccogliere Cybercrime e conservare le prove in maniera tale che non Reazione rischino di essere considerate inidonee. Analisi forense Se il metodo di raccolta è opinabile e la Fasi canoniche conservazione incerta, la prova può perdere Best Practices facilmente di attendibilità. Live forensics Normativa Più i procedimenti sono rigorosi e documentati, In aula più è probabile che il giudice ne riconosca l'idoneità Contatti (per questa valutazione il giudice può avvalersi di Ass. Davide Gabrini consulenti tecnici). Ufficio Tecnico
Idoneità della Computer Forensics Nel procedimento penale è il giudice che deve OWASP Day III Università degli Studi verificare la validità scientifica dei metodi d'indagine di Bari 23.02.2009 per stabilirne l'affidabilità: Presentazioni quot;Nel valutare i risultati di una perizia, il giudice deve verificare la stessa validità scientifica dei criteri e dei metodi di indagine Cybercrime utilizzati dal perito, allorché essi si presentino come nuovi e Reazione sperimentali e perciò non sottoposti al vaglio di una pluralità di Analisi forense casi ed al confronto critico tra gli esperti del settore, sì da non Fasi canoniche potersi considerare ancora acquisiti al patrimonio della Best Practices comunità scientifica. Quando, invece, la perizia si fonda su Live forensics cognizioni di comune dominio degli esperti e su tecniche di Normativa indagine ormai consolidate, il giudice deve verificare In aula unicamente la corretta applicazione delle suddette cognizioni e Contatti tecniche. quot; Cass. Pen. Sez. V, 9 luglio 1993, Arch. nuova proc.pen. Ass. Davide Gabrini Ufficio Tecnico 1994, 226; Giust. pen. 1994, III, 42.
Sentenza 1823/05 del Tribunale di Bologna La difesa mise in discussione la correttezza del metodo utilizzato dalla p.g. per OWASP Day III estrarre i programmi dal computer. Università degli Studi di Bari Nella sentenza di legge: 23.02.2009 quot;Il tema […] appare nella fattispecie in esame di secondo rilievo.quot; quot;non è compito di questo Tribunale determinare un protocollo relativo alle Presentazioni procedure informatiche forensi, ma semmai verificare se il metodo utilizzato Cybercrime dalla p.g. nel caso in esame abbia concretamente alterato alcuni dei dati Reazione ricercati.quot; Analisi forense quot;non è permesso al Tribunale escludere a priori i risultati di una tecnica informatica utilizzata a fini forensi solo perché alcune fonti ritengono ve ne Fasi canoniche siano di più scientificamente corrette, in assenza della allegazione di fatti che Best Practices suggeriscano che si possa essere astrattamente verificata nel caso concreto una qualsiasi forma di alterazione dei datiquot; Live forensics quot;quando anche il metodo utilizzato dalla p.g. non dovesse ritenersi conforme Normativa alla migliore pratica scientifica, in difetto di prova di una alterazione concreta, In aula conduce a risultati che sono, per il principio di cui all’art. 192 c.p.p., Contatti liberamente valutabili dal giudice alla luce del contesto probatorio complessivo (fermo restando che maggiore è la scientificità del metodo scelto, minori Ass. Davide Gabrini saranno i riscontri che il giudice è chiamato a considerare per ritenere Ufficio Tecnico attendibili gli esiti delle operazioni tecniche).
Sentenza 175/2006 del Tribunale di Chieti [...]le indagini non proseguirono con sufficiente approfondimento OWASP Day III Università degli Studi poiché ci si limitò ad interpellare la ditta senza alcuna formale di Bari 23.02.2009 acquisizione di dati e senza alcuna verifica circa le modalità della conservazione degli stessi allo scopo di Presentazioni assicurarne la genuinità e l'attendibilità nel tempo. Cybercrime […][l'U.P.G.] ha poi aggiunto di non essere andato sul posto e di Reazione non essere in grado di riferire circa le quot;operazioni tecniche che Analisi forense sono state compiute da Technorail per estrarre questi datiquot;. Fasi canoniche Se a ciò aggiungiamo che questi dati provenivano dalla stessa Best Practices persona offesa e che trattasi di dati tecnici di particolare Live forensics delicatezza e manipolabilità ci pare che il dato acquisito sia Normativa minimo e del tutto insufficiente a fondare qualsivoglia In aula affermazione di responsabilità al di là del ragionevole dubbio con la conseguenza che il prevenuto deve essere mandato Contatti assolto con la già annunciata formula. Ass. Davide Gabrini Ufficio Tecnico
Contatti Compartimento Polizia Postale e delle OWASP Day III Università degli Studi di Bari Comunicazioni per la Lombardia 23.02.2009 Via Moisè Loria, 74 - 20144 – MILANO Loria, Presentazioni Tel. 02/43.33.3011 – Fax 02/43.33.3067 Cybercrime E-mail: poltel.mi@poliziadistato.it Reazione Analisi forense Fasi canoniche Best Practices UFFICIO T ECNICO Live forensics Normativa In aula Assistente Davide GABRINI Contatti davide.gabrini@poliziadistato.it Ass. Davide Gabrini Ufficio Tecnico

Recomendados

2010 02-04 uni-mi_antiforensicmitigation
2010 02-04 uni-mi_antiforensicmitigation2010 02-04 uni-mi_antiforensicmitigation
2010 02-04 uni-mi_antiforensicmitigationDavide Gabrini
 
Forensic Profiling with Digital Data
Forensic Profiling with Digital DataForensic Profiling with Digital Data
Forensic Profiling with Digital Datapiccimario
 
2009 10-24 foss-e-computer-forensics
2009 10-24 foss-e-computer-forensics2009 10-24 foss-e-computer-forensics
2009 10-24 foss-e-computer-forensicsDavide Gabrini
 
15 07-01 session 16.1 c connell
15 07-01 session 16.1 c connell15 07-01 session 16.1 c connell
15 07-01 session 16.1 c connellCatyC
 
Smau Milano 2011 Gentili-Fratepietro backtrack
Smau Milano 2011 Gentili-Fratepietro backtrackSmau Milano 2011 Gentili-Fratepietro backtrack
Smau Milano 2011 Gentili-Fratepietro backtrackSMAU
 
Deftcon 2013 - Giuseppe Vaciago - Osint e prevenzione dei Crimini
Deftcon 2013 - Giuseppe Vaciago - Osint e prevenzione dei CriminiDeftcon 2013 - Giuseppe Vaciago - Osint e prevenzione dei Crimini
Deftcon 2013 - Giuseppe Vaciago - Osint e prevenzione dei CriminiDeft Association
 
2009 04-08 uni-mi_jpeg forensics
2009 04-08 uni-mi_jpeg forensics2009 04-08 uni-mi_jpeg forensics
2009 04-08 uni-mi_jpeg forensicsDavide Gabrini
 
Giuseppe Vaciago - Introduzione alla Computer Forensic e garanzie dell'indaga...
Giuseppe Vaciago - Introduzione alla Computer Forensic e garanzie dell'indaga...Giuseppe Vaciago - Introduzione alla Computer Forensic e garanzie dell'indaga...
Giuseppe Vaciago - Introduzione alla Computer Forensic e garanzie dell'indaga...HTLaw
 

Más contenido relacionado

Destacado

Vm sistemi suite data discovery
Vm sistemi suite data discoveryVm sistemi suite data discovery
Vm sistemi suite data discoverySilvia Montanari
 
Il ruolo dei dispositivi informatici
Il ruolo dei dispositivi informaticiIl ruolo dei dispositivi informatici
Il ruolo dei dispositivi informaticiMassimo Farina
 
deftcon 2015 - Nino Vincenzo Verde - European Antitrust Forensic IT Tools
deftcon 2015 - Nino Vincenzo Verde - European Antitrust Forensic IT Toolsdeftcon 2015 - Nino Vincenzo Verde - European Antitrust Forensic IT Tools
deftcon 2015 - Nino Vincenzo Verde - European Antitrust Forensic IT ToolsDeft Association
 
CAUSAL MODEL FOR THE FORENSIC INVESTIGATION OF STRUCTURAL FAILURES_SEMC2013
CAUSAL MODEL FOR THE FORENSIC INVESTIGATION OF STRUCTURAL FAILURES_SEMC2013CAUSAL MODEL FOR THE FORENSIC INVESTIGATION OF STRUCTURAL FAILURES_SEMC2013
CAUSAL MODEL FOR THE FORENSIC INVESTIGATION OF STRUCTURAL FAILURES_SEMC2013StroNGER2012
 
Tecniche di riconoscimento del parlante
Tecniche di riconoscimento del parlanteTecniche di riconoscimento del parlante
Tecniche di riconoscimento del parlanteMassimo Farina
 
Corso di formazione SIVE Confindustria 7 gennaio 2012 parte prima
Corso di formazione SIVE Confindustria 7 gennaio 2012 parte primaCorso di formazione SIVE Confindustria 7 gennaio 2012 parte prima
Corso di formazione SIVE Confindustria 7 gennaio 2012 parte primaVianello Michele
 
Università di milano barbara coccagna, 20 marzo 2014, investigazioni sul pat...
Università di milano barbara coccagna, 20 marzo 2014, investigazioni sul pat... Università di milano barbara coccagna, 20 marzo 2014, investigazioni sul pat...
Università di milano barbara coccagna, 20 marzo 2014, investigazioni sul pat...barbaracoccagna
 
Deftcon 2013 - Alessandro Rossetti & Massimiliano Dal Cero - OSint a supporto...
Deftcon 2013 - Alessandro Rossetti & Massimiliano Dal Cero - OSint a supporto...Deftcon 2013 - Alessandro Rossetti & Massimiliano Dal Cero - OSint a supporto...
Deftcon 2013 - Alessandro Rossetti & Massimiliano Dal Cero - OSint a supporto...Sandro Rossetti
 
Deftcon 2012 - Gianluca Costa - Xplico, un Network Forensic Analysis Tool sca...
Deftcon 2012 - Gianluca Costa - Xplico, un Network Forensic Analysis Tool sca...Deftcon 2012 - Gianluca Costa - Xplico, un Network Forensic Analysis Tool sca...
Deftcon 2012 - Gianluca Costa - Xplico, un Network Forensic Analysis Tool sca...Sandro Rossetti
 
OSINT: analisi dei metadati ed acquisizione da fonti aperte con FOCA e Shodan
OSINT: analisi dei metadati ed acquisizione da fonti aperte con FOCA e ShodanOSINT: analisi dei metadati ed acquisizione da fonti aperte con FOCA e Shodan
OSINT: analisi dei metadati ed acquisizione da fonti aperte con FOCA e ShodanDanilo De Rogatis
 
La copia forense: modalità operative (pt. 2)
La copia forense: modalità operative (pt. 2)La copia forense: modalità operative (pt. 2)
La copia forense: modalità operative (pt. 2)Alessandro Bonu
 
Intercettazioni e analisi vocale metodi e tecniche per il riconoscimento del ...
Intercettazioni e analisi vocale metodi e tecniche per il riconoscimento del ...Intercettazioni e analisi vocale metodi e tecniche per il riconoscimento del ...
Intercettazioni e analisi vocale metodi e tecniche per il riconoscimento del ...Massimo Farina
 
Medical careers powepoint (forensic anthropology)
Medical careers powepoint (forensic anthropology)Medical careers powepoint (forensic anthropology)
Medical careers powepoint (forensic anthropology)Anastasia K
 
Presentazione SMAU - Laboratorio di Miglioramento della Progettazione - Terzi...
Presentazione SMAU - Laboratorio di Miglioramento della Progettazione - Terzi...Presentazione SMAU - Laboratorio di Miglioramento della Progettazione - Terzi...
Presentazione SMAU - Laboratorio di Miglioramento della Progettazione - Terzi...Sergio Terzi
 
Methodologies and techniques for forensic analysis of mobile phone devices
Methodologies and techniques for forensic analysis of mobile phone devicesMethodologies and techniques for forensic analysis of mobile phone devices
Methodologies and techniques for forensic analysis of mobile phone devicesMariagrazia Cinti
 
OSINT su siti web
OSINT su siti webOSINT su siti web
OSINT su siti webdalchecco
 
Elaborazione del suono con strumenti Open Source
Elaborazione del suono con strumenti Open SourceElaborazione del suono con strumenti Open Source
Elaborazione del suono con strumenti Open Sourcedalchecco
 
Marco Signorelli 19 09 2008 Ordine Degli Avvocati Di Bergamo
Marco Signorelli 19 09 2008 Ordine Degli Avvocati Di BergamoMarco Signorelli 19 09 2008 Ordine Degli Avvocati Di Bergamo
Marco Signorelli 19 09 2008 Ordine Degli Avvocati Di BergamoAndrea Rossetti
 

Destacado (19)

Vm sistemi suite data discovery
Vm sistemi suite data discoveryVm sistemi suite data discovery
Vm sistemi suite data discovery
 
Il ruolo dei dispositivi informatici
Il ruolo dei dispositivi informaticiIl ruolo dei dispositivi informatici
Il ruolo dei dispositivi informatici
 
deftcon 2015 - Nino Vincenzo Verde - European Antitrust Forensic IT Tools
deftcon 2015 - Nino Vincenzo Verde - European Antitrust Forensic IT Toolsdeftcon 2015 - Nino Vincenzo Verde - European Antitrust Forensic IT Tools
deftcon 2015 - Nino Vincenzo Verde - European Antitrust Forensic IT Tools
 
CAUSAL MODEL FOR THE FORENSIC INVESTIGATION OF STRUCTURAL FAILURES_SEMC2013
CAUSAL MODEL FOR THE FORENSIC INVESTIGATION OF STRUCTURAL FAILURES_SEMC2013CAUSAL MODEL FOR THE FORENSIC INVESTIGATION OF STRUCTURAL FAILURES_SEMC2013
CAUSAL MODEL FOR THE FORENSIC INVESTIGATION OF STRUCTURAL FAILURES_SEMC2013
 
Tecniche di riconoscimento del parlante
Tecniche di riconoscimento del parlanteTecniche di riconoscimento del parlante
Tecniche di riconoscimento del parlante
 
Corso di formazione SIVE Confindustria 7 gennaio 2012 parte prima
Corso di formazione SIVE Confindustria 7 gennaio 2012 parte primaCorso di formazione SIVE Confindustria 7 gennaio 2012 parte prima
Corso di formazione SIVE Confindustria 7 gennaio 2012 parte prima
 
Università di milano barbara coccagna, 20 marzo 2014, investigazioni sul pat...
Università di milano barbara coccagna, 20 marzo 2014, investigazioni sul pat... Università di milano barbara coccagna, 20 marzo 2014, investigazioni sul pat...
Università di milano barbara coccagna, 20 marzo 2014, investigazioni sul pat...
 
Deftcon 2013 - Alessandro Rossetti & Massimiliano Dal Cero - OSint a supporto...
Deftcon 2013 - Alessandro Rossetti & Massimiliano Dal Cero - OSint a supporto...Deftcon 2013 - Alessandro Rossetti & Massimiliano Dal Cero - OSint a supporto...
Deftcon 2013 - Alessandro Rossetti & Massimiliano Dal Cero - OSint a supporto...
 
I.I.E.S.
I.I.E.S.I.I.E.S.
I.I.E.S.
 
Deftcon 2012 - Gianluca Costa - Xplico, un Network Forensic Analysis Tool sca...
Deftcon 2012 - Gianluca Costa - Xplico, un Network Forensic Analysis Tool sca...Deftcon 2012 - Gianluca Costa - Xplico, un Network Forensic Analysis Tool sca...
Deftcon 2012 - Gianluca Costa - Xplico, un Network Forensic Analysis Tool sca...
 
OSINT: analisi dei metadati ed acquisizione da fonti aperte con FOCA e Shodan
OSINT: analisi dei metadati ed acquisizione da fonti aperte con FOCA e ShodanOSINT: analisi dei metadati ed acquisizione da fonti aperte con FOCA e Shodan
OSINT: analisi dei metadati ed acquisizione da fonti aperte con FOCA e Shodan
 
La copia forense: modalità operative (pt. 2)
La copia forense: modalità operative (pt. 2)La copia forense: modalità operative (pt. 2)
La copia forense: modalità operative (pt. 2)
 
Intercettazioni e analisi vocale metodi e tecniche per il riconoscimento del ...
Intercettazioni e analisi vocale metodi e tecniche per il riconoscimento del ...Intercettazioni e analisi vocale metodi e tecniche per il riconoscimento del ...
Intercettazioni e analisi vocale metodi e tecniche per il riconoscimento del ...
 
Medical careers powepoint (forensic anthropology)
Medical careers powepoint (forensic anthropology)Medical careers powepoint (forensic anthropology)
Medical careers powepoint (forensic anthropology)
 
Presentazione SMAU - Laboratorio di Miglioramento della Progettazione - Terzi...
Presentazione SMAU - Laboratorio di Miglioramento della Progettazione - Terzi...Presentazione SMAU - Laboratorio di Miglioramento della Progettazione - Terzi...
Presentazione SMAU - Laboratorio di Miglioramento della Progettazione - Terzi...
 
Methodologies and techniques for forensic analysis of mobile phone devices
Methodologies and techniques for forensic analysis of mobile phone devicesMethodologies and techniques for forensic analysis of mobile phone devices
Methodologies and techniques for forensic analysis of mobile phone devices
 
OSINT su siti web
OSINT su siti webOSINT su siti web
OSINT su siti web
 
Elaborazione del suono con strumenti Open Source
Elaborazione del suono con strumenti Open SourceElaborazione del suono con strumenti Open Source
Elaborazione del suono con strumenti Open Source
 
Marco Signorelli 19 09 2008 Ordine Degli Avvocati Di Bergamo
Marco Signorelli 19 09 2008 Ordine Degli Avvocati Di BergamoMarco Signorelli 19 09 2008 Ordine Degli Avvocati Di Bergamo
Marco Signorelli 19 09 2008 Ordine Degli Avvocati Di Bergamo
 

Similar a OWASP Day 3 - Analisi forense dei sistemi compromessi

2009 10-21 effetto-csi
2009 10-21 effetto-csi2009 10-21 effetto-csi
2009 10-21 effetto-csiDavide Gabrini
 
Ppt extendedsummaryof phish_timecontinuouslongitudinalmeasurementoftheeffecti...
Ppt extendedsummaryof phish_timecontinuouslongitudinalmeasurementoftheeffecti...Ppt extendedsummaryof phish_timecontinuouslongitudinalmeasurementoftheeffecti...
Ppt extendedsummaryof phish_timecontinuouslongitudinalmeasurementoftheeffecti...EnricoDavanzo1
 
Live forensics e Cloud Computing
Live forensics e Cloud ComputingLive forensics e Cloud Computing
Live forensics e Cloud ComputingDavide Gabrini
 
Linee guida in materia di computer forensics
Linee guida in materia di computer forensicsLinee guida in materia di computer forensics
Linee guida in materia di computer forensicsEmanuele Florindi
 
Computer forensics: utilizzabilità ed analisi della prova digitale
Computer forensics: utilizzabilità ed analisi della prova digitaleComputer forensics: utilizzabilità ed analisi della prova digitale
Computer forensics: utilizzabilità ed analisi della prova digitaleEmanuele Florindi
 
Le minacce, le tecniche di attacco e i canali di vendita delle informazioni
Le minacce, le tecniche di attacco e i canali di vendita delle informazioniLe minacce, le tecniche di attacco e i canali di vendita delle informazioni
Le minacce, le tecniche di attacco e i canali di vendita delle informazioniSymantec Italia
 
Pizzonia - Rischi del cloud computing
Pizzonia - Rischi del cloud computingPizzonia - Rischi del cloud computing
Pizzonia - Rischi del cloud computingInnovAction Lab
 
Best Practices per acquisizione sito web
Best Practices per acquisizione sito webBest Practices per acquisizione sito web
Best Practices per acquisizione sito webDavide Paltrinieri
 
Il sequestro dei dati - Cybercrime e ransomware nel 2019
Il sequestro dei dati - Cybercrime e ransomware nel 2019Il sequestro dei dati - Cybercrime e ransomware nel 2019
Il sequestro dei dati - Cybercrime e ransomware nel 2019Massimo Chirivì
 
Rilevazione di defacement invisibili su siti Web: Tecniche per la raccolta d...
Rilevazione di defacement invisibili su siti Web: Tecniche per la raccolta d...Rilevazione di defacement invisibili su siti Web: Tecniche per la raccolta d...
Rilevazione di defacement invisibili su siti Web: Tecniche per la raccolta d...guest0c6317
 

Similar a OWASP Day 3 - Analisi forense dei sistemi compromessi (12)

Uni pv 2010-06-16
Uni pv 2010-06-16Uni pv 2010-06-16
Uni pv 2010-06-16
 
2009 10-21 effetto-csi
2009 10-21 effetto-csi2009 10-21 effetto-csi
2009 10-21 effetto-csi
 
Ppt extendedsummaryof phish_timecontinuouslongitudinalmeasurementoftheeffecti...
Ppt extendedsummaryof phish_timecontinuouslongitudinalmeasurementoftheeffecti...Ppt extendedsummaryof phish_timecontinuouslongitudinalmeasurementoftheeffecti...
Ppt extendedsummaryof phish_timecontinuouslongitudinalmeasurementoftheeffecti...
 
Live forensics e Cloud Computing
Live forensics e Cloud ComputingLive forensics e Cloud Computing
Live forensics e Cloud Computing
 
Linee guida in materia di computer forensics
Linee guida in materia di computer forensicsLinee guida in materia di computer forensics
Linee guida in materia di computer forensics
 
Computer forensics: utilizzabilità ed analisi della prova digitale
Computer forensics: utilizzabilità ed analisi della prova digitaleComputer forensics: utilizzabilità ed analisi della prova digitale
Computer forensics: utilizzabilità ed analisi della prova digitale
 
Le minacce, le tecniche di attacco e i canali di vendita delle informazioni
Le minacce, le tecniche di attacco e i canali di vendita delle informazioniLe minacce, le tecniche di attacco e i canali di vendita delle informazioni
Le minacce, le tecniche di attacco e i canali di vendita delle informazioni
 
Iena
IenaIena
Iena
 
Pizzonia - Rischi del cloud computing
Pizzonia - Rischi del cloud computingPizzonia - Rischi del cloud computing
Pizzonia - Rischi del cloud computing
 
Best Practices per acquisizione sito web
Best Practices per acquisizione sito webBest Practices per acquisizione sito web
Best Practices per acquisizione sito web
 
Il sequestro dei dati - Cybercrime e ransomware nel 2019
Il sequestro dei dati - Cybercrime e ransomware nel 2019Il sequestro dei dati - Cybercrime e ransomware nel 2019
Il sequestro dei dati - Cybercrime e ransomware nel 2019
 
Rilevazione di defacement invisibili su siti Web: Tecniche per la raccolta d...
Rilevazione di defacement invisibili su siti Web: Tecniche per la raccolta d...Rilevazione di defacement invisibili su siti Web: Tecniche per la raccolta d...
Rilevazione di defacement invisibili su siti Web: Tecniche per la raccolta d...
 

OWASP Day 3 - Analisi forense dei sistemi compromessi

  • 1. OWASP Day III Università degli Studi di Bari 23.02.2009 Presentazioni Cybercrime Reazione Analisi forense Fasi canoniche Best Practices Live forensics Normativa In aula Contatti Ass. Davide Gabrini Ufficio Tecnico
  • 2. Chi siamo L’Ufficio Tecnico del Compartimento Polizia Postale e delle Comunicazioni di Milano si occupa di: OWASP Day III Università degli Studi di Bari Ricerca e Sviluppo 23.02.2009 Osservatorio sulle nuove tecnologie Presentazioni Studio e implementazione di Cybercrime strumenti e metodologie Reazione Analisi forense Formazione del personale Fasi canoniche Supporto tecnico alle attività investigative Best Practices Live forensics Computer Forensics Normativa …e ovviamente Pubbliche Relazioni ☺ In aula Contatti Seminari, Convegni, Workshop… Ass. Davide Gabrini Interventi formativi per scuole, P.A. e realtà aziendali Ufficio Tecnico
  • 3. Di cosa parliamo OWASP Day III Università degli Studi di Bari 23.02.2009 Cybercrime, nel mondo e in Italia Presentazioni Cybercrime Reazione ad un attacco subìto Reazione Analisi forense Computer Forensics Fasi canoniche Best Practices Live forensics Normativa e giurisprudenza Normativa In aula Contatti Ass. Davide Gabrini Ufficio Tecnico
  • 4. Cybercrime OWASP Day III Nel 2008, il cybercrime ha prodotto profitti per Università degli Studi di Bari 276 milioni di dollari (Symantec) 23.02.2009 Sempre nel 2008 ha anche prodotto danni per un Presentazioni trilione di dollari (McAfee) Cybercrime Il numero dei malware catalogati supera gli 11 Reazione milioni (Sophos) Analisi forense Fasi canoniche Si scopre una nuova infezione web ogni 4,5 Best Practices secondi (Sophos) Live forensics I paesi che hostano più malware sono USA (37%), Normativa Cina (27,7%) e Russia (9,1%) (Sophos) In aula Contatti Si tratta soprattutto di siti legittimi che sono stati compromessi per distribuire malware Ass. Davide Gabrini Ufficio Tecnico
  • 5. Vettori di attacco: la Top10 di Websense OWASP Day III Università degli Studi 1. Browser vulnerabilities di Bari 23.02.2009 2. Rogue antivirus/social engineering 3. SQL injection Presentazioni 4. Malicious Web 2.0 components (e.g. Facebook Cybercrime applications, third-party widgets and gadgets, banner ads) Reazione 5. Adobe Flash vulnerabilities Analisi forense 6. DNS Cache Poisoning and DNS Zone fle hijacking Fasi canoniche Best Practices 7. ActiveX vulnerabilities Live forensics 8. RealPlayer vulnerabilities Normativa 9. Apple QuickTime vulnerabilities In aula 10. Adobe Acrobat Reader PDF vulnerabilities Contatti Ass. Davide Gabrini Ufficio Tecnico Websense Security Labs Report Q3Q4 2008
  • 6. Vulnerabilità web apps: Top 10 di OWASP apps: OWASP Day III Università degli Studi 1. Cross Site Scripting (XSS) di Bari 23.02.2009 2. Injection Flaws 3. Malicious File Execution Presentazioni 4. Insecure Direct Object Reference Cybercrime Reazione 5. Cross Site Request Forgery (CSRF) Analisi forense 6. Information Leakage and Improper Error Handling Fasi canoniche 7. Broken Authentication and Session Management Best Practices 8. Insecure Cryptographic Storage Live forensics 9. Insecure Communications Normativa 10. Failure to Restrict URL Access In aula Contatti Ass. Davide Gabrini Ufficio Tecnico http://www.owasp.org/index.php/Top_10_2007
  • 7. Quotazioni dei tool d’attacco OWASP Day III Università degli Studi di Bari 23.02.2009 Presentazioni Cybercrime Reazione Analisi forense Fasi canoniche Best Practices Live forensics Normativa In aula Contatti Ass. Davide Gabrini Ufficio Tecnico Symantec Corporation: Report on the Underground Economy 11/2008
  • 8. Le botnet nell’ultimo anno OWASP Day III Università degli Studi di Bari 23.02.2009 Presentazioni Cybercrime Reazione Analisi forense Fasi canoniche Best Practices Live forensics Normativa In aula Contatti Ass. Davide Gabrini Ufficio Tecnico Shadowserver Foundation
  • 9. E in Italia? Statistiche aggiornate sul fenomeno: OWASP Day III Università degli Studi di Bari 23.02.2009 Presentazioni Cybercrime Reazione Analisi forense Fasi canoniche Best Practices Live forensics Normativa In aula Contatti Ass. Davide Gabrini O siamo un’isola felice, oppure vige l’omertà… Ufficio Tecnico
  • 10. Sotto la punta dell’iceberg Il grosso delle violazioni non viene OWASP Day III Università degli Studi di Bari denunciato. Possibili cause: 23.02.2009 La compromissione non viene rilevata Presentazioni Cybercrime Il problema viene quot;rattoppatoquot; senza Reazione indagare ulteriormente Analisi forense Fasi canoniche L'indagine rimane interna all'azienda Best Practices Live forensics Timore di danno d'immagine Normativa Scarsa fiducia o interesse in un'azione In aula Contatti legale Ass. Davide Gabrini Ufficio Tecnico
  • 11. E chi chiamerai? Cosa fare, dal punto di vista legale, in caso di accertato OWASP Day III Università degli Studi accesso abusivo? E' possibile presentare una querela: di Bari 23.02.2009 Chi: la parte lesa. Nel caso di un'azienza, chi ne ha la rappresentanza legale. Presentazioni La procedibilità d'ufficio è possibile solo in presenza di aggravanti Cybercrime È comunque opportuno che il legale/amministivo sia Reazione accompagnato dal tecnico Analisi forense Quando si tratta di reati con alto profilo tecnico, serve una querela con un profilo tecnico altrettanto alto Fasi canoniche Best Practices Quando: entro 3 mesi dal giorno in cui si è appreso il fatto Live forensics Dove: qualunque ufficio di Polizia Giudiziaria. Tuttavia la Normativa Polizia Postale è solitamente più avvezza alla materia In aula Cosa serve: tutto! Ogni informazione, dato, rilievo utile a Contatti circostanziare i fatti. Meglio ancora se già filtrato, ma attenti alla conservazione degli originali! Per operare al meglio, sono Ass. Davide Gabrini utili nozioni di computer forensics Ufficio Tecnico
  • 12. Computer Forensics e Incident Response Le procedure di CF ben si inseriscono nel OWASP Day III Università degli Studi di Bari processo di gestione degli incidenti 23.02.2009 Un processo di IR non è completo senza Presentazioni una fase di indagine Cybercrime Reazione Nonostante i possibili obiettivi comuni, CF Analisi forense e IR hanno spesso priorità e finalità diverse Fasi canoniche Best Practices Ciò che va bene per l'IR, non è detto che Live forensics vada altrettanto bene per la CF Normativa sempre se si desidera arrivare in sede di giudizio In aula Contatti Ass. Davide Gabrini Ufficio Tecnico
  • 13. Computer Forensics La computer forensics è la OWASP Day III Università degli Studi disciplina che si occupa della di Bari 23.02.2009 preservazione, dell'identificazione, dello studio, della documentazione Presentazioni dei computer, o dei sistemi Cybercrime informativi in generale, al fine di Reazione evidenziare l’esistenza di prove Analisi forense nello svolgimento dell’attività Fasi canoniche investigativa. Best Practices (A.Ghirardini: “Computer forensics” – Apogeo) Live forensics Normativa L’obiettivo è dunque quello di evidenziare dei In aula Contatti fatti pertinenti l’indagine da sottoporre a giudizio Ass. Davide Gabrini Ufficio Tecnico
  • 14. Necessità di una metodologia scientifica Pervasività delle tecnologie digitali OWASP Day III Università degli Studi di Bari Loro implicazione in attività delittuose 23.02.2009 Lo strumento informatico come mezzo Presentazioni Lo strumento informatico come fine Cybercrime Reazione Nonostante la pervasività, il reale Analisi forense funzionamento della tecnologia resta ai più Fasi canoniche misterioso… Best Practices Live forensics Le tracce digitali possono avere una Normativa natura estremamente delicata, che richiede In aula competenze specifiche per la trattazione Contatti Ass. Davide Gabrini Ufficio Tecnico
  • 15. Scopi di un’analisi forense Confermare o escludere un evento OWASP Day III Università degli Studi di Bari 23.02.2009 Individuare tracce e informazioni utili a circostanziarlo Presentazioni Cybercrime Acquisire e conservare le tracce in Reazione maniera idonea, che garantisca integrità Analisi forense Fasi canoniche e non ripudiabilità Best Practices Live forensics Interpretare e correlare le evidenze Normativa acquisite In aula Contatti Riferire con precisione ed efficienza Ass. Davide Gabrini Ufficio Tecnico
  • 16. Principi fondamentali di CF Limitare al minimo l'impatto: OWASP Day III Università degli Studi di Bari Primo: non nuocere 23.02.2009 Non alterare lo stato delle cose Presentazioni Cybercrime Isolamento della scena del crimine Reazione Utilizzo di procedure non invasive Analisi forense Fasi canoniche Documentare nel dettaglio ogni Best Practices intervento Live forensics Normativa Previene possibili contestazioni In aula Consente in certa misura di ricostruire Contatti la situazione Ass. Davide Gabrini Ufficio Tecnico
  • 17. Le fasi canoniche OWASP Day III Università degli Studi di Bari 23.02.2009 Identificazione Presentazioni Cybercrime Acquisizione / Preservazione Reazione Analisi forense Fasi canoniche Best Practices Analisi / Valutazione Live forensics Normativa In aula Presentazione Contatti Ass. Davide Gabrini Ufficio Tecnico
  • 18. 1. Identificazione Individuare le informazioni o le fonti OWASP Day III Università degli Studi di Bari di informazione disponibili 23.02.2009 Presentazioni Comprenderne natura e pertinenza Cybercrime Reazione Individuare il metodo di acquisizione Analisi forense Fasi canoniche più ideoneo Best Practices Live forensics Stabilire un piano di acquisizione Normativa In aula Contatti Ass. Davide Gabrini Ufficio Tecnico
  • 19. 2. Acquisizione Il sequestro è un metodo facile, veloce OWASP Day III Università degli Studi di Bari e sicuro, ma non tutti i dati possono 23.02.2009 essere acquisiti quot;fisicamentequot; Presentazioni Cybercrime Le copie eseguite devono essere Reazione identiche all'originale (integrità e non Analisi forense Fasi canoniche ripudiabilità) Best Practices Le procedure devono essere Live forensics Normativa documentate e attuate secondo metodi e In aula tecnologie conosciute, così da essere Contatti verificabili dalla controparte Ass. Davide Gabrini Ufficio Tecnico
  • 20. 3- Analisi e valutazione Dare un senso a quanto acquisito OWASP Day III Università degli Studi di Bari Estrarre i dati e processarli per 23.02.2009 ricostruire informazioni Presentazioni Cybercrime Interpretare le informazioni per Reazione individuare elementi utili Analisi forense Fasi canoniche Comprendere e correlare, per affinare le Best Practices ricerche e trarre conclusioni Live forensics E' sicuramente la fase più onerosa di Normativa In aula tutto il processo e richiede conoscenze Contatti davvero disparate Ass. Davide Gabrini Ufficio Tecnico
  • 21. 4. Presentazione I risultati devono essere presentati in OWASP Day III Università degli Studi di Bari forma facilmente comprensibile 23.02.2009 I destinatari non hanno di solito Presentazioni Cybercrime competenze informatiche approfondite Reazione Tuttavia è probabile che la relazione Analisi forense venga esaminata da un tecnico della Fasi canoniche Best Practices controparte Live forensics Semplicità e chiarezza, non Normativa In aula superficialità e approssimazione Contatti Ass. Davide Gabrini Ufficio Tecnico
  • 22. Problemi procedurali Manca una validazione quot;localequot; degli OWASP Day III Università degli Studi di Bari strumenti impiegati 23.02.2009 Negli Stati Uniti il NIST testa e certifica Presentazioni Cybercrime gli strumenti hardware e software Reazione In Italia manca un istituto analogo Analisi forense Fasi canoniche Manca una metodologia legalmente Best Practices riconosciuta o una giurisprudenza Live forensics Normativa affermata in materia In aula La questione anzi pare spesso Contatti considerata di scarsa rilevanza giuridica Ass. Davide Gabrini Ufficio Tecnico
  • 23. Best practices internazionali In Italia, nessuna istituzione pubblica si è presa la briga di OWASP Day III Università degli Studi compilare delle linee guida per le indagini digitali di Bari 23.02.2009 All'estero ci sono diverse fonti interessanti: IACP: International Association of Chiefs of Police Presentazioni Best Practices for Seizing Electronic Evidence Cybercrime CERT: Computer Emergency Response Team (Carnegie Mellon University) First Responders Guide to Computer Forensics Reazione IACIS: International Association of Computer Investigative Specialists Analisi forense IACIS Forensics Procedures Fasi canoniche NIST: National Institute of Standards and Technology Best Practices Guide to Integrating Forensics Techniques into Incident Response Live forensics Guidelines on Cell Phone Forensics Normativa Guidelines on PDA Forensics In aula US Department of Justice: Contatti Search and Seizure Manual UK ACPO: Association of Chief Police Officers Ass. Davide Gabrini Computer based evidence Ufficio Tecnico
  • 24. La RFC3227 Guidelines for Evidence Collection and Archiving Pubblicata nel febbraio 2002, è ancora un non smentito punto OWASP Day III di riferimento internazionale. Tra le altre cose consiglia: Università degli Studi di Bari 23.02.2009 Documentare dettagliatamente ogni operazione svolta Chiari riferimenti temporali Presentazioni Indicazione di eventuali discrepanze Cybercrime Evitare tecniche invasive o limitare l'impatto Reazione all'irrinunciabile, preferendo strumenti ben documentabili Analisi forense Isolare il sistema da fattori esterni che possono modificarlo Fasi canoniche (attenzione: l'attività potrebbe essere rilevata) Best Practices Nella scelta tra acquisizione e analisi, prima si acquisisce e Live forensics poi si analizza Normativa Essere metodici e implementare automatismi (attenzione: In aula arma a doppio taglio…) Contatti Procedere dalle fonti più volatili alle meno volatili Ass. Davide Gabrini Eseguire copie bit-level (bit stream image) e lavorare su esse Ufficio Tecnico
  • 25. Chain of custody Procedura necessaria per poter tracciare lo stato di OWASP Day III Università degli Studi un reperto e la relativa responsabilità in qualsiasi di Bari 23.02.2009 momento della sua esistenza. Presentazioni Deve documentare chiaramente: Cybercrime Dove, quando e da chi l’evidence è stata scoperta e acquisita Reazione Dove, quando e da chi è stata custodita o analizzata Analisi forense Chi l’ha avuta in custodia e in quale periodo Fasi canoniche Come è stata conservata Best Practices Ad ogni passaggio di consegna, dove, come e tra chi è stata Live forensics trasferita Normativa Gli accessi all’evidence devono essere estremamente In aula Contatti ristretti e chiaramente documentati. Devono potersi rilevare accessi non autorizzati. Ass. Davide Gabrini Ufficio Tecnico
  • 26. Piano di acquisizione L'acquisizione va fatta rispettando OWASP Day III Università degli Studi di Bari l'ordine di volatilità 23.02.2009 Per i sistemi in esecuzione: Presentazioni Cybercrime Registri, cache Reazione Memorie RAM Analisi forense Fasi canoniche Stato della rete (connessioni stabilite, socket in ascolto, Best Practices applicazioni coinvolte, cache ARP, routing table, DNS cache ecc…) Live forensics Processi attivi Normativa File system temporanei In aula Contatti Dischi Ass. Davide Gabrini Ufficio Tecnico
  • 27. Ordine di volatilità (segue) Dopo l'eventuale spegnimento, si OWASP Day III Università degli Studi di Bari prosegue con: 23.02.2009 Dischi (post-mortem) Presentazioni Cybercrime Log remoti Reazione Configurazione fisica e Analisi forense Fasi canoniche topologia di rete Best Practices Floppy, nastri e altri dispositivi Live forensics Normativa di backup In aula Supporti ottici, stampe ecc. Contatti Ass. Davide Gabrini Ufficio Tecnico
  • 28. Analisi Live vs Post-mortem Post- Quando si interviene su un sistema OWASP Day III Università degli Studi di Bari acceso, si è davanti ad una scelta: 23.02.2009 Spegnerlo subito per procedere ad Presentazioni acquisizione e analisi post-mortem Cybercrime Esaminarlo mentre è in esecuzione Reazione Analisi forense Entrambe le scelte hanno pro e contro, Fasi canoniche dipendenti anche da: Best Practices Live forensics Competenza del personale impiegato Normativa Strumentazione a disposizione In aula Perdita di dati (o di servizi) e loro rilevanza Contatti Nel caso, valutare la modalità di spegnimento Ass. Davide Gabrini Ufficio Tecnico
  • 29. OWASP Day III Università degli Studi di Bari 23.02.2009 Presentazioni Cybercrime Reazione Analisi forense Fasi canoniche Best Practices Live forensics Normativa In aula Contatti Ass. Davide Gabrini Ufficio Tecnico
  • 30. Quando è necessario un intervento live Se il sistema è in esecuzione, qualsiasi OWASP Day III Università degli Studi di Bari azione lo modificherà 23.02.2009 tanto vale intraprendere azioni utili… Presentazioni Se il sistema non è fisicamente rimovibile Cybercrime Se il sistema non può essere spento Reazione Se il sistema non può essere acquisito Analisi forense Fasi canoniche nella sua interezza Best Practices Se le informazioni volatili possono essere Live forensics rilevanti ai fini dell'indagine Normativa In aula In particolar modo, se occorre acquisire il Contatti traffico di rete riguardante la macchina Ass. Davide Gabrini Ufficio Tecnico
  • 31. Invasività Il sistema viene sicuramente alterato OWASP Day III Università degli Studi di Bari le modifiche sono note? 23.02.2009 sono documentabili? Presentazioni Cybercrime intaccano significativamente il risultato Reazione dell'analisi? Analisi forense Fasi canoniche ogni modifica distrugge qualcosa Best Practices Gli accertamenti svolti su sistemi Live forensics Normativa accesi non saranno ripetibili In aula Contatti Ass. Davide Gabrini Ufficio Tecnico
  • 32. Live forensics best practices L'intervento dell'utente deve essere ridotto al minimo OWASP Day III Università degli Studi Ogni azione deve essere indispensabile e meno invasiva di Bari 23.02.2009 possibile Le modifiche ai dati memorizzati staticamente devono essere Presentazioni ridotte all'inevitabile Cybercrime Le aquisizioni hanno priorità secondo l'ordine di volatilità Reazione Ogni azione intrapresa deve essere scrupolosamente Analisi forense verbalizzata, con gli opportuni riferimenti temporali Fasi canoniche Gli strumenti utilizzati devono essere fidati, il più possibile Best Practices indipendenti dal sistema e impiegare il minimo delle risorse; Live forensics non devono produrre alterazioni né ai dati né ai metadati Normativa I dati estratti vanno sottoposti ad hash e duplicati prima di In aula procedere all'analisi Contatti I dati che non sono volatili devono preferibilmente essere Ass. Davide Gabrini acquisiti secondo metodologia tradizionale Ufficio Tecnico
  • 33. Live forensics best practices Più in generale: OWASP Day III Università degli Studi di Bari E’ necessario comprendere le azioni che si 23.02.2009 stanno per compiere e le loro conseguenze Presentazioni In caso contrario, è indispensabile ricorrere a Cybercrime Reazione personale specializzato Analisi forense E’ consigliabile attenersi agli obiettivi Fasi canoniche dell’indagine, evitando divagazioni Best Practices Live forensics La live forensics non dovrebbe sostituirsi Normativa all'analisi post-mortem, ma esserne In aula complementare Contatti Ass. Davide Gabrini Ufficio Tecnico
  • 34. Nemici delle live forensics Rootkit OWASP Day III Università degli Studi di Bari user space (ring 3) 23.02.2009 kernel space (ring 0) Presentazioni Cybercrime VM based Reazione Non sempre è facile rilevarli Analisi forense Fasi canoniche Possono rilevare l'azione dei tool forensi Best Practices Live forensics Possono quindi alterarne i risultati, p.e. Normativa impedendo l'acquisizione di un'evidence In aula Contatti Rendono necessaria l'analisi post-mortem Ass. Davide Gabrini Ufficio Tecnico
  • 35. Metodi di spegnimento Se si decide di spegnere il sistema, scegliere la OWASP Day III Università degli Studi modalità più opportuna: di Bari 23.02.2009 1) Procedura canonica (in genere deprecata) le normali procedure alterano numerose informazioni Presentazioni sul disco! Cybercrime ogni scrittura sovrascrive dati preesistenti (rilevanti?) Reazione è possibile siano state predisposte procedure di quot;puliziaquot; Analisi forense 2) Interrompendo l'alimentazione Fasi canoniche L'impatto sui dati è solitamente minore che con lo Best Practices shutdown del sistema Live forensics Per contro, potrebbero perdersi dati non ancora Normativa registrati su disco In aula Operazioni di scrittura ancora in cache Contatti Transazioni DB Problemi di coerenza al successivo riavvio Ass. Davide Gabrini Danni ai componenti elettronici Ufficio Tecnico
  • 36. OWASP Day III Università degli Studi di Bari 23.02.2009 Presentazioni Cybercrime Reazione Analisi forense Fasi canoniche Best Practices Live forensics Normativa In aula Contatti Ass. Davide Gabrini Ufficio Tecnico
  • 37. Raccolta delle prove Oltre che dalla Polizia Giudiziaria, le OWASP Day III Università degli Studi di Bari prove possono essere raccolte anche da 23.02.2009 altri soggetti: Presentazioni Cybercrime il Pubblico Ministero durante le Reazione indagini preliminari; Analisi forense Fasi canoniche la parte sottoposta a indagine, a fini Best Practices difensivi; Live forensics Normativa la parte offesa, per valutare In aula l'opportunità di una denuncia o querela. Contatti Ass. Davide Gabrini Ufficio Tecnico
  • 38. Prove atipiche Art.189 c.p.p. comma 1: Prove non OWASP Day III Università degli Studi di Bari disciplinate dalla legge 23.02.2009 Quando è richiesta una prova non Presentazioni Cybercrime disciplinata dalla legge, il giudice può Reazione assumerla se essa risulta idonea ad Analisi forense Fasi canoniche assicurare l’accertamento dei fatti e non Best Practices pregiudica la libertà morale della Live forensics persona. Il giudice provvede Normativa In aula all’ammissione, sentite le parti sulle Contatti modalità di assunzione della prova. Ass. Davide Gabrini Ufficio Tecnico
  • 39. Indagini difensive Principio di parità tra accusa e difesa OWASP Day III Università degli Studi di Bari L. 397/2000: Disposizioni in materia di indagini difensive 23.02.2009 Art. da 391bis a 391decies cpp Presentazioni Il difensore, gli investigatori privati, i consulenti Cybercrime tecnici possono: Reazione Ricevere dichiarazioni dalle persone in grado di Analisi forense riferire su circostanze utili Fasi canoniche Richiedere documentazione alla Pubblica Best Practices Amministrazione Live forensics Normativa Prendere visione dello stato di luoghi e cose ed In aula effettuare rilievi Contatti Accedere a luoghi privati o non aperti al pubblico, eventualmente su autorizzazione del giudice, al solo Ass. Davide Gabrini Ufficio Tecnico fine di ispezione.
  • 40. Art.391- Art.391-nonies: Attività investigativa preventiva L’attività investigativa del difensore (Art.327-bis) OWASP Day III Università degli Studi può essere svolta anche preventivamente, su di Bari 23.02.2009 apposito mandato e per l’eventualità che si instauri un procedimento penale. Presentazioni Cybercrime Il difensore può incaricare dell'attività il sostituto, Reazione l'investigatore privato autorizzato o il consulente Analisi forense tecnico Fasi canoniche L'attività investigativa preventiva non può Best Practices comprendere atti che richiedono l'autorizzazione Live forensics Normativa dell'Autorità Giudiziaria In aula Si possono dunque svolgere autonomamente Contatti indagini private in attesa di valutare l'eventualità di Ass. Davide Gabrini procedere a un'azione penale e/o civile. Ufficio Tecnico
  • 41. Legge 48/2008 Per la prima volta, vengono introdotte procedure OWASP Day III Università degli Studi di acquisizione dell'evidenza informatica, di Bari 23.02.2009 mediante l'imposizione dell'adozione di misure tecniche dirette ad assicurare la conservazione dei Presentazioni dati originali e ad impedirne l'alterazione; Cybercrime Reazione Adozione di procedure che assicurino la Analisi forense conformità dei dati acquisiti a quelli originali e la Fasi canoniche loro immodificabilità. Best Practices Live forensics Le novità riguardano, tra l'altro, gli articoli relativi Normativa a perquisizione, ispezione, sequestro, accertamenti In aula urgenti, oltre al concetto stesso di corpo del reato. Contatti Ass. Davide Gabrini Ufficio Tecnico
  • 42. OWASP Day III Università degli Studi di Bari 23.02.2009 Presentazioni Cybercrime Reazione Analisi forense Fasi canoniche Best Practices Live forensics Normativa In aula Contatti Ass. Davide Gabrini Ufficio Tecnico
  • 43. Idoneità della Computer Forensics Per essere ammessa nel processo civile o penale, OWASP Day III Università degli Studi la prova deve essere idonea a dimostrare i fatti a di Bari 23.02.2009 cui si riferisce. Presentazioni Nel processo civile, è onere della parte raccogliere Cybercrime e conservare le prove in maniera tale che non Reazione rischino di essere considerate inidonee. Analisi forense Se il metodo di raccolta è opinabile e la Fasi canoniche conservazione incerta, la prova può perdere Best Practices facilmente di attendibilità. Live forensics Normativa Più i procedimenti sono rigorosi e documentati, In aula più è probabile che il giudice ne riconosca l'idoneità Contatti (per questa valutazione il giudice può avvalersi di Ass. Davide Gabrini consulenti tecnici). Ufficio Tecnico
  • 44. Idoneità della Computer Forensics Nel procedimento penale è il giudice che deve OWASP Day III Università degli Studi verificare la validità scientifica dei metodi d'indagine di Bari 23.02.2009 per stabilirne l'affidabilità: Presentazioni quot;Nel valutare i risultati di una perizia, il giudice deve verificare la stessa validità scientifica dei criteri e dei metodi di indagine Cybercrime utilizzati dal perito, allorché essi si presentino come nuovi e Reazione sperimentali e perciò non sottoposti al vaglio di una pluralità di Analisi forense casi ed al confronto critico tra gli esperti del settore, sì da non Fasi canoniche potersi considerare ancora acquisiti al patrimonio della Best Practices comunità scientifica. Quando, invece, la perizia si fonda su Live forensics cognizioni di comune dominio degli esperti e su tecniche di Normativa indagine ormai consolidate, il giudice deve verificare In aula unicamente la corretta applicazione delle suddette cognizioni e Contatti tecniche. quot; Cass. Pen. Sez. V, 9 luglio 1993, Arch. nuova proc.pen. Ass. Davide Gabrini Ufficio Tecnico 1994, 226; Giust. pen. 1994, III, 42.
  • 45. Sentenza 1823/05 del Tribunale di Bologna La difesa mise in discussione la correttezza del metodo utilizzato dalla p.g. per OWASP Day III estrarre i programmi dal computer. Università degli Studi di Bari Nella sentenza di legge: 23.02.2009 quot;Il tema […] appare nella fattispecie in esame di secondo rilievo.quot; quot;non è compito di questo Tribunale determinare un protocollo relativo alle Presentazioni procedure informatiche forensi, ma semmai verificare se il metodo utilizzato Cybercrime dalla p.g. nel caso in esame abbia concretamente alterato alcuni dei dati Reazione ricercati.quot; Analisi forense quot;non è permesso al Tribunale escludere a priori i risultati di una tecnica informatica utilizzata a fini forensi solo perché alcune fonti ritengono ve ne Fasi canoniche siano di più scientificamente corrette, in assenza della allegazione di fatti che Best Practices suggeriscano che si possa essere astrattamente verificata nel caso concreto una qualsiasi forma di alterazione dei datiquot; Live forensics quot;quando anche il metodo utilizzato dalla p.g. non dovesse ritenersi conforme Normativa alla migliore pratica scientifica, in difetto di prova di una alterazione concreta, In aula conduce a risultati che sono, per il principio di cui all’art. 192 c.p.p., Contatti liberamente valutabili dal giudice alla luce del contesto probatorio complessivo (fermo restando che maggiore è la scientificità del metodo scelto, minori Ass. Davide Gabrini saranno i riscontri che il giudice è chiamato a considerare per ritenere Ufficio Tecnico attendibili gli esiti delle operazioni tecniche).
  • 46. Sentenza 175/2006 del Tribunale di Chieti [...]le indagini non proseguirono con sufficiente approfondimento OWASP Day III Università degli Studi poiché ci si limitò ad interpellare la ditta senza alcuna formale di Bari 23.02.2009 acquisizione di dati e senza alcuna verifica circa le modalità della conservazione degli stessi allo scopo di Presentazioni assicurarne la genuinità e l'attendibilità nel tempo. Cybercrime […][l'U.P.G.] ha poi aggiunto di non essere andato sul posto e di Reazione non essere in grado di riferire circa le quot;operazioni tecniche che Analisi forense sono state compiute da Technorail per estrarre questi datiquot;. Fasi canoniche Se a ciò aggiungiamo che questi dati provenivano dalla stessa Best Practices persona offesa e che trattasi di dati tecnici di particolare Live forensics delicatezza e manipolabilità ci pare che il dato acquisito sia Normativa minimo e del tutto insufficiente a fondare qualsivoglia In aula affermazione di responsabilità al di là del ragionevole dubbio con la conseguenza che il prevenuto deve essere mandato Contatti assolto con la già annunciata formula. Ass. Davide Gabrini Ufficio Tecnico
  • 47. Contatti Compartimento Polizia Postale e delle OWASP Day III Università degli Studi di Bari Comunicazioni per la Lombardia 23.02.2009 Via Moisè Loria, 74 - 20144 – MILANO Loria, Presentazioni Tel. 02/43.33.3011 – Fax 02/43.33.3067 Cybercrime E-mail: poltel.mi@poliziadistato.it Reazione Analisi forense Fasi canoniche Best Practices UFFICIO T ECNICO Live forensics Normativa In aula Assistente Davide GABRINI Contatti davide.gabrini@poliziadistato.it Ass. Davide Gabrini Ufficio Tecnico