LA PROVA INFORMATICA NEL PROCESSO PENALE - Aspetti Tecnici e Giuridici
social network e investigazione: alla ricerca del reo
1. Perchè studiare informatica
Social Network e Investigazione:
alla ricerca del reo
Centro Studi Informatica Giuridica - Ivrea – 3 luglio 2009
www.denisfrati.it - denis.frati@cybercrimes.it GSIG Ivrea 3 luglio 2009
2. Perchè studiare informatica
Cosa sono i social network?
Servizi finalizzati all'interazione tra soggetti accomunati da uno stesso
interesse/fine/storico.
Possono essere:
➢ professionali: improntati alla condivisione e divulgazione delle professionalità
(LinkedIn, Nimitz, ecc..);
➢ artistici/promozionali: finalizzati alla condivisione e promozione delle proprie
realizzazioni artistiche (Flicker, MySpce, ecc..);
➢ generici: finalizzati al rintraccio di conoscenti ed al consolidamento di nuove amicizie
(Badoo.com, FaceBook, NetLog, ecc...)
www.denisfrati.it - denis.frati@cybercrimes.it GSIG Ivrea 3 luglio 2009
3. Perchè studiare informatica
Quali servizi offrono? (1)
Creazione di un account e impostazione del profilo
www.denisfrati.it - denis.frati@cybercrimes.it GSIG Ivrea 3 luglio 2009
4. Perchè studiare informatica
Quali servizi offrono? (2)
Condivisione di contenuti multimediali e pensieri
www.denisfrati.it - denis.frati@cybercrimes.it GSIG Ivrea 3 luglio 2009
5. Perchè studiare informatica
Quali servizi offrono? (3)
Cercare ”amici” in base:
➢ nome utente;
➢ indirizzo e-mail;
➢ interessi;
➢ locazione geografica;
Cercare ”amici” in base:
Oppure tra quelli proposti dal
➢ nome utente;
network stesso
➢ indirizzo e-mail;
➢ interessi;
➢ locazione geografica;
Oppure tra quelli proposti dal
network stesso
www.denisfrati.it - denis.frati@cybercrimes.it GSIG Ivrea 3 luglio 2009
6. Perchè studiare informatica
Quali servizi offrono? (4)
Commentare ed etichettare (taggare) i pensieri ed i contenuti altrui trasformando il social
network ed il profilo utente in una piazza, una bacheca virtuale, luogo privilegiato di
scambio e condivisione.
www.denisfrati.it - denis.frati@cybercrimes.it GSIG Ivrea 3 luglio 2009
7. Perchè studiare informatica
Quali servizi offrono? (5)
Possibilità di chattare (scambiare messaggi istantanei) con gli altri utenti
www.denisfrati.it - denis.frati@cybercrimes.it GSIG Ivrea 3 luglio 2009
8. Perchè studiare informatica
Quale sicurezza garantiscono? (1)
“il NSN (Nostro Social Network) ha delle misure di sicurezza in atto, volte a proteggere e
prevenire la perdita, l'uso errato e l'alterazione delle informazioni sotto nostro
controllo. Degli standard adeguati, quali firewall, sono utilizzati per salvaguardare la
sicurezza dei vostri dati personali. Sebbene la "sicurezza perfetta" non esista su
internet, i tecnici esperti in NSN si impegnano duramente per assicurare un uso sicuro
del nostro sito.”
Con ciò l'utente è
BLINDATO? ---------->
www.denisfrati.it - denis.frati@cybercrimes.it GSIG Ivrea 3 luglio 2009
9. Perchè studiare informatica
Quale sicurezza garantiscono? (2)
Esistono diversi problemi di sicurezza, che non minano la sicurezza del'utente a patto di
......conoscerli e comportarsi di conseguenza!
Riassumendoli:
➢ Modalità di autenticazioni e scambio dati in chiaro;
➢ Procedura di recupero password;
➢ Modalità di protezione dei contenuti multimediali;
senza scordare l'onnipresente ingegneria sociale ed il phishing, il cui punto debole è
l'utente ---------->
www.denisfrati.it - denis.frati@cybercrimes.it GSIG Ivrea 3 luglio 2009
10. Perchè studiare informatica
Quale sicurezza garantiscono? (3)
Credenziali e dati trasmessi in chiaro, mettono a rischio:
➢ Privacy utente;
➢ Titolarità dell'account
Rischio presente in:
➢ reti lan con insider;
➢ access point wifi .
www.denisfrati.it - denis.frati@cybercrimes.it GSIG Ivrea 3 luglio 2009
11. Perchè studiare informatica
Quale sicurezza garantiscono? (4)
Recupero password dimenticata
VIOLATA
www.denisfrati.it - denis.frati@cybercrimes.it GSIG Ivrea 3 luglio 2009
12. Perchè studiare informatica
Quale sicurezza garantiscono? (5)
Non corretta protezione dei contenuti multimediali riservati:
➢ Ospitati su server esterni e richiamati dalla struttura della pagine degli album fotografici
utente autenticato main server social network
utente malevolo server multimedia esterno
www.denisfrati.it - denis.frati@cybercrimes.it GSIG Ivrea 3 luglio 2009
13. Perchè studiare informatica
Quale sicurezza garantiscono? (6)
Non corretta protezione dei contenuti multimediali riservati:
➢ Protetti da password attraverso algoritmi determinabili con analisi
www.denisfrati.it - denis.frati@cybercrimes.it GSIG Ivrea 3 luglio 2009
14. Perchè studiare informatica
Quale sicurezza garantiscono? (7) ...o meglio garantisce l'utente
Gli autori del phishing, con le modalità proprie dell'ingegneria sociale,
➢ riproducendo la grafica delle e-mail;
➢ proponendo falsi mittenti;
➢ creando pressioni sull'utente;
➢ presentando una motivazione verosimile;
richiedono alla vittima le credenziali di accesso al social network.
www.denisfrati.it - denis.frati@cybercrimes.it GSIG Ivrea 3 luglio 2009
15. Perchè studiare informatica
Quali reati si configurano? (1)
L'autore delle condotte esaminate, sfruttando le problematiche di sicurezza menzionate,
pone in essere:
➢ Art. 615 ter C.p. Accesso abusivo a sistema informatico o telematico: ipotizzabile per
l'intrusione nell'altrui account protetto da password. L'accesso abusivo al sistema viene
considerato quale reato a mezzo del quale porre in essere ulteriori condotte criminose;
➢ Art. 615 quater C.p. Detenzione e diffusione abusiva di codici di accesso a sistemi
informatici o telematici: ipotizzabile in quanto reato da realizzarsi a monte dell'accesso
abusivo al sistema informatico. La detenzione dei codici, per quanto citata nell'indice
dell'articolo non compare poi nelle condotte tipiche, talune interpretazioni lo
considerano quindi semplice antefatto, non punibile, al realizzarsi dell'accesso
abusivo; può contemplare a monte la violazione per Art.640 ter C.p., Art. 617quater
C.p., Art. 617quinquies C.p..
www.denisfrati.it - denis.frati@cybercrimes.it GSIG Ivrea 3 luglio 2009
16. Perchè studiare informatica
Quali reati si configurano? (2)
➢ Art.640 ter C.p. Frode informatica: ipotizzabile nell'eventualità, discussa in diversi
forum del panorama undergrund, che attrevrso lo sfruttamento di vulnerabilità XSS, si
modifichi il codice della pagina web (alterando in qualsiasi modo il funzionamento di un
sistema informatico o telematico o intervenendo senza diritto con qualsiasi modalità
su dati, informazioni o programmi contenuti in un sistema informatico o telematico) al
fine di redirigere le vittime su pagine web finalizzate al furto di cookies.
www.denisfrati.it - denis.frati@cybercrimes.it GSIG Ivrea 3 luglio 2009
17. Perchè studiare informatica
Quali reati si configurano? (3)
Art.640 ter C.p. Frode informatica: .........al fine di redirigere le vittime su pagine web
finalizzate al furto di cookies.
www.denisfrati.it - denis.frati@cybercrimes.it GSIG Ivrea 3 luglio 2009
18. Perchè studiare informatica
Quali reati si configurano? (4)
➢ Art. 617quater C.p., Intercettazione, impedimento o interruzione illecita di
comunicazioni informatiche o telematiche: ipotizzabile al concretizzarsi di attività di
sniffing del traffico di rete. L'intercettazione non implica necessariamente la
registrazione dei dati e va intesa come presa di coscienza degli stessi. Il traffico deve
comunque giungere a destinazione, ricorre altrimenti l'ipotesi di “interruzione”.
➢ Art. 617quinquies C.p., installazione di apparecchiature atte ad intercettare, impedire
o interrompere comunicazioni informatiche o telematiche. La norma sanziano la
semplice installazione di apparecchiature atte ad intercettare, laddove si verifichi che
gli strumenti sono posti in condizione di poter svolgere il lavoro per cui sono
predisposti. La norma sanziona l'installazione e non la detenzione, il possesso, la
materiale disponibilità.
www.denisfrati.it - denis.frati@cybercrimes.it GSIG Ivrea 3 luglio 2009
19. Perchè studiare informatica
Quali reati si configurano? (5)
Dopo aver messo in atto condotte specificamente ”informatiche” l'autore dell'aggressione
può portare sui social network condotte criminose di tipo classico, ponendo in essere :
➢ Art 594 C.p. Ingiuria. Nell'ipotesi che l'offesa venga portata nel corso di una
conversazione privata tra due persone, es. durante una sessione di chat del SN, si ha
la contestazione del 2° comma.
➢ Art. 595, Diffamazione. Nel caso l'offesa ad una persona sia espressa a terzi in sua
assenza. Tale ipotesi sembrerebbe concretizzarsi nell'inserimento di offese nei
confronti della vittima in forma di commenti, visibili a tutti gli utenti facenti parte del SN,
ai file multimediali (immagini e video) inseriti dall'utente tra le proprie raccolte, od hai
pensieri espressi dalla vittima nella propria ”bacheca”. Tale condotta, espressa sulle
pagine di un social network non configurerebbe la “diffamazione a stampa” in quanto
le caratteristiche del portale delle community non sarebbero rispondenti alla
definizione di “stampa”.
www.denisfrati.it - denis.frati@cybercrimes.it GSIG Ivrea 3 luglio 2009
20. Perchè studiare informatica
Quali reati si configurano? (6)
➢ Art. 612 Minaccia. Nell'ipotesi che l'agente prospetti (attraverso i commenti ai
contenuti multimediali o nelle sessioni di chat) ad altri un male futuro il cui avverarsi
dipende dalla sua volontà.
➢ Art. 494 C.p., sostituzione di persona. È ipotizzabile che colui che agisca al fine di
espropria un account al legittimo titolare, possa poi compiere azioni (ingiuriare,
difammare, ecc...), spacciandosi per questi. Nel qual caso potrebbe configurarsi la
violazione alla norma in questione. La norma mira a proteggere la pubblica fede da
abusi e circonvenzioni, come si può evincere dalla sentenza del 20 agosto 2007 del
tribunale di Lucca:
“Oggetto della tutela penale, in relazione al delitto preveduto nell’art. 494 c.p.,è
l’interesse riguardante la pubblica fede, in quanto questa può essere sorpresa da
inganni relativi alla vera essenza di una persona o alla sua identità o ai suoi
attributi sociali. E siccome si tratta di inganni che possono superare la ristretta
cerchia d’un determinato destinatario, così il legislatore ha ravvisato in essi una
costante insidia alla fede pubblica, e non soltanto alla fede privata e alla tutela
civilistica del diritto al nome.”
www.denisfrati.it - denis.frati@cybercrimes.it GSIG Ivrea 3 luglio 2009
21. Perchè studiare informatica
Quali reati si configurano? (7)
➢ Art. 615 Bis C.p. Interferenze illecite nella vita privata:
“Chiunque, mediante l'uso di strumenti di ripresa visiva o
sonora, si procura indebitamente notizie o immagini attinenti
alla vita privata svolgentesi nei luoghi indicati nell'articolo
614, e' punito con la reclusione da sei mesi a quattro anni.
Alla stessa pena soggiace, salvo che il fatto costituisca piu'
grave reato, chi rivela o diffonde mediante qualsiasi mezzo
d'informazione al pubblico le notizie o le immagini, ottenute
nei modi indicati nella prima parte di questo articolo.
I delitti sono punibili a quere”.
Nell'ipotesi che l'autore diffonda immagini illecitamente carpite da profili di utenti, o
album multimediali ai quali non aveva diritto di accesso.
www.denisfrati.it - denis.frati@cybercrimes.it GSIG Ivrea 3 luglio 2009
22. Perchè studiare informatica
Quali reati si configurano? (8)
➢ Art. 612 Bis C.p. Reato di stalking o atti persecutori:
“salvo che il fatto costituisca più grave reato, chiunque
reiteratamente, con qualunque mezzo, minaccia o molesta taluno
in modo tale da infliggergli un grave disagio psichico ovvero da
determinare un giustificato timore per la sicurezza personale
propria o di una persona vicina o comunque da pregiudicare in
maniera rilevante il suo modo di vivere, è punito, a querela
della persona offesa, con la reclusione da sei mesi a quattro
anni”.
Per il configurarsi di tale reato devono essere presenti tre elementi:
1) la condotta del reo, che richiama le ipotesi di delitti classici quali minacce e
molestie;
2) la reiterazione di tali condotte, che devono succedersi nel tempo, con continuità
per un certo lasso di tempo;
3) il nascere dello stato d'animo d'ansia e disagio nella vittima.
www.denisfrati.it - denis.frati@cybercrimes.it GSIG Ivrea 3 luglio 2009
23. Perchè studiare informatica
Le esigenze dell'investigatore (1)
La principale necessità dell'investigatore sarà quella di identificare l'autore del fatto reato,
individuando il legame tra i dati presenti in rete, sulle pagine web, ad una persona
fisica.
Come districarsi in una realtà dove
il nick name non è univoco?
Denunciante: <<l'utente Mario
Rossi mi ha spernacchiato
su FaceBook! Voglio sia
punito a norma di legge!>>
Investigatore:<<Quale dei 500
Mario Rossi presenti su
FaceBook ??? >>
www.denisfrati.it - denis.frati@cybercrimes.it GSIG Ivrea 3 luglio 2009
24. Perchè studiare informatica
Le esigenze dell'investigatore (2)
E' inoltre idispensabile avere una chiara indicazione, ove possibile, di:
➢ Identificativi immagini illecitamente sottratte o pubblicate;
➢ nick name degli utenti autori di ”aggressione”;
➢ Identificativi numerici degli utenti autori di ”aggressione”;
➢ Le credenziali di accesso agli account eventualmente sottratti o ai quali il malfattore
abbia avuto accesso;
➢ data/ora ultimo accesso riuscito all'account, in caso di sottrazione dello stesso;
www.denisfrati.it - denis.frati@cybercrimes.it GSIG Ivrea 3 luglio 2009
25. Perchè studiare informatica
L'identificativo utente: dove individuarlo (1)
nelle pagine del social network e nel codice
delle mail
www.denisfrati.it - denis.frati@cybercrimes.it GSIG Ivrea 3 luglio 2009
27. Perchè studiare informatica
L'identificativo utente: dove individuarlo (3)
......quando qualcosa non è andato per il verso giusto?
...nessuna email, niente cronologia, account espropriato o disattivato, nessuna
registrazione delle chat......
------------>> niente uid!!
www.denisfrati.it - denis.frati@cybercrimes.it GSIG Ivrea 3 luglio 2009
28. Perchè studiare informatica
L'identificativo utente: dove individuarlo (4)
Quando le e-mail di notifica sono state cancellate, l'accesso alla mail-box o all'account
non è più consentito, l'account è stato rimosso, il consulente tecnico o l'investigatore
ricercheranno tracce di commenti, sessioni di chat, pagine web, mail di notifica in:
➢ File temporanei generati dai browser;
➢ Data-base e file mbox non compattati dei programmi di posta elettronica;
➢ Nello spazio non allocato;
➢ Nei file di swap e di stampa del sistema;
➢ Nei file di sistema (punto di ripristino di MS Windows )
senza dimenticarsi di .......... applicare i dettami della digital forensic!
www.denisfrati.it - denis.frati@cybercrimes.it GSIG Ivrea 3 luglio 2009
29. Perchè studiare informatica
L'identificativo utente: come utilizzarlo (1)
Qual'è l'utilità dell'identificaivo utente?
Qual'è la sua utilità ai fini investigativi?
Il management dei social network collabora con le
forze dell'ordine e la magistratura, ai quali
fornisce informazioni nel rispetto delle norme,
necessitando tuttavia di alcuni specifici
requisiti:
l'identificativo utente è uno di questi!
www.denisfrati.it - denis.frati@cybercrimes.it GSIG Ivrea 3 luglio 2009
30. Perchè studiare informatica
L'identificativo utente: come utilizzarlo (2)
Con l'identificativo utente sarà possibile ottenere dal social network:
➢ Dati raccolti in fase di registrazione dell'account (indirizzo IP, data/ora di
registrazione e dati inseriti).
➢ Log relativi alle connessioni all'account (indirizzo IP, data/ora di accesso).
..e quindi ?
Sarà possibile proseguire l'attività di accertamento con tali dati, mirando
all'identificazione di un utenza di connettività.
www.denisfrati.it - denis.frati@cybercrimes.it GSIG Ivrea 3 luglio 2009
31. Perchè studiare informatica
L'identificativo utente: come utilizzarlo (3)
1). Identif. Utente ---->richiesta dati a Social Network ----> indirizzi IP e data/ora
2). Indirizzo IP ---->determino ISP ---------->
3). ehì, sig. ISP di chi era l'IP il tal giorno alla tal ora?
www.denisfrati.it - denis.frati@cybercrimes.it GSIG Ivrea 3 luglio 2009
32. Perchè studiare informatica
Abbiamo identificato il..... (1)
Titolare di una connessione, di un contratto adsl, di una linea telefonica, ed ora?
La P.G. procederà con:
➢ metodiche classiche dell'indagine (sommarie informazioni, ecc..)
➢ perquisizione e sequestro, su delega del magistrato, ricercando e sequestrando
dispositivi informatici su cui individuare le prove del fatto reato.
L'attività tecnica svolta sui media informatici sequestrati potrà seguire le metodiche
precedentemente messe in atto sul computer della vittima, ricercando email di notifica,
cronologia, file temporanei del browser, ecc...
Potranno inoltre essere ricercate: credenziali d'accesso trafugate, programmi di cracking,
exploit, documentazione sulle tecniche di hacking, ecc....
www.denisfrati.it - denis.frati@cybercrimes.it GSIG Ivrea 3 luglio 2009
33. Perchè studiare informatica
Concludendo.....
identificato il sistema di comunicazione informatico utilizzato quale mezzo per
concretizzare il fatto costituente reato, si dovrà
attraverso metodiche investigative ”tradizionali”
identificare l'autore del fatto stesso
comprovandone la colpevolezza
in giudizio
www.denisfrati.it - denis.frati@cybercrimes.it GSIG Ivrea 3 luglio 2009
34. Perchè studiare informatica
Esempio (1)
1). Clarabella denuncia l'ennesimo atto persecutorio messo in atto da Pippo;
2). Ammonimento del Questore a Pippo, secondo quanto previsto regente legge anti-stalking;
3). Clarabella denuncia di essere stata espropriata del proprio account su SN, al quale aveva acceduto
l'ultima volta il 1 aprile 2010, dove era stata ingiuriata, minacciata, diffamata da utenti con svariati nick
name, dei quali ricorda solo Pluto;
La stessa dichiara di non aver ricevuto alcuna mail di notifica e di aver visualizzato le pagine web in
questione con il browser MS IE;
4). Clarabella consegna il proprio laptop alla PG, che non viene sequestrato (principio non ultroneità);
www.denisfrati.it - denis.frati@cybercrimes.it GSIG Ivrea 3 luglio 2009
35. Perchè studiare informatica
Esempio (2)
5). Accertamenti tecnici volti a recuperare informazioni e dati a supporto di quanto denunciato dalla
Clarabella:
➢ Ricerca dei file html;
www.denisfrati.it - denis.frati@cybercrimes.it GSIG Ivrea 3 luglio 2009
36. Perchè studiare informatica
Esempio (3)
➢ Ricerca in essi per parole chiave (insulti, minacce, Pluto, nick name denunciate);
➢ Individuazione altri nick name utenti aggressori e relativi identificati utente univoci;
➢ Individuazione messaggi di chat, commenti, ecc.. con riferimenti temporali utili a evidenziare ”la
reiterazione di tali condotte, che devono succedersi nel tempo, con
continuità per un certo lasso di tempo”
www.denisfrati.it - denis.frati@cybercrimes.it GSIG Ivrea 3 luglio 2009
37. Perchè studiare informatica
Esempio (4)
6). Richiesta, con decreto Magistrato, al mangement SN, delle informazioni e log relativi:
➢ agli utente aggressori (registrazione account e log in data/ora rilevate da chat);
➢ all'utenza espropriata successivamente al 1 aprile 2010;
7). analisi delle informazioni e log ricevute da SN ed individuazione indirizzi IP degli aggressori;
8). Identificazione del ISP che forniva connettività agli aggressori;
9). Richiesta, con decreto del magistrato, dei log di assegnazione indirizzi IP agli ISP di connettività
(mantenimento per 6 mesi del traffico telematico escludendone i contenuti, decreto legge 27 luglio
2005, succ. conv. legge);
10). Identificazione dell'utenza adsl, contratto a nome di un famigliare di Pippo;
Nella realtà ci si potrebbe trovare davanti all'utilizzo:
➢ fraudolento di reti wireless aperte o poco protette, con la conseguente individuazione di connessioni
intestate a persone estranee ai fatti;
➢ server proxy anonimi;
www.denisfrati.it - denis.frati@cybercrimes.it GSIG Ivrea 3 luglio 2009
38. Perchè studiare informatica
Esempio (5)
11). Emissione custodia cautelare a carico di Pippo e sua esecuzione a seguito dei reiterati atti
persecutori, evidenziati con l'analisi tecnica, nonostante fosse soggetto all'ammonimento del
Questore, contestualmente a perquisizione presso l'abitazione dello stesso e sequestro dei media
informatici, con delega del Magistrato;
12). analisi dei media sequestrati, raccolta fonti di prova da presentare in giudizio, unitamente ai dati
forniti dal Social Network, dall'ISP ed a quanto emerso dai rilievi tecnici effettuati sul laptop della
Clarabella.
www.denisfrati.it - denis.frati@cybercrimes.it GSIG Ivrea 3 luglio 2009