SlideShare una empresa de Scribd logo

Informatica come Scienza Forense - ONIF

O
osservatorionazionaleinformaticaforense

Slide utilizzate durante la conferenza “Il consulente tecnico informatico nel processo”, organizzata dall'Osservatorio Nazionale d'Informatica Forense, tenutasi a Roma il 28 aprile 2016.

Tecnología
1 de 28
Descargar para leer sin conexión
INFORMATICA COME SCIENZA FORENSE IL CONSULENTE TECNICO INFORMATICO NEL PROCESSO ONIF, 2016 Roma
La Digital Forensics è la disciplina scientifica che serve per identificare, acquisire ed analizzare una fonte di prova digitale, preservandola da eventuali alterazioni. Scientifica: ripetibile (Galileo Galilei) è la modalità tipica con cui la scienza procede per raggiungere una conoscenza della realtà oggettiva, affidabile, verificabile e condivisibile. Esso consiste, da una parte, nella raccolta di evidenza empirica e misurabile attraverso l'osservazione e l'esperimento; dall'altra, nella formulazione di ipotesi e teorie da sottoporre nuovamente al vaglio dell'esperimento. POPPER: ciò che conta di una teoria scientifica non è la sua genesi soggettiva, ma il fatto che essa sia espressa in forma criticabile e falsificabile sul piano oggettivo. Fonte di prova: deve garantire il suo uso in tribunale DEFINIZIONE 2ONIF - Roma 2016
• Autenticità: il dato proviene dalla fonte informativa presunta? • Integrità: il dato è stato conservato inalterato? • Veridicità: il dato è interpretato in maniera corretta? • Completezza: sono stati raccolti tutti i dati relativi all’informazione rilevante? • Legalità: il dato è stato raccolto secondo le disposizioni della legge? DEFINIZIONI 4ONIF - Roma 2016
• Tali proprietà sono quindi requisiti atti a fornire al dato la predetta capacità di resistenza Digital Evidence • “Qualsiasi informazione con valore probatorio generata, memorizzata o trasmessa in un formato digitale” • Il dato diventa un’informazione che rappresenta - o più di avvicina a rappresentare - il vero Scientific Working Group on Digital Evidence (1998) DEFINIZIONI 5ONIF - Roma 2016
• Un insieme di conoscenze processo collettivo e continuativo atto a rappresentare il “mondo” in modo affidabile consistente e non arbitrario • Il metodo scientifico è necessario, per descrivere oggettivamente le metodologie utilizzate per raggiungere certi risultati, anche di fronte a scenari mai affrontati prima o con scarsa documentazione. • L’obiettivo finale è quindi la verità, la realtà oggettiva. Wolf S. (2002) “Introduction to scientific method”, http://teacher.pas.rochester.edu/phy_labs/AppendixE/AppendixE.html SCIENZA 6ONIF - Roma 2016
• Nelle scienze ci sono delle leggi ormai dimostrate e consolidate. • Nell'informatica pure, ma questa ha dei tempi di cambiamento ed evoluzione molto più rapidi e relativi ad una moltitudine di tecnologie, applicazioni, sistemi, ecc. • Consegue che spesso ci si ritrova di fronte all'ignoto ed al “bizzarro” SCIENZA e MONDO DIGITALE 7ONIF - Roma 2016 hard disk pendrive cd-rom ecc. cloud crittografia SSD telefoni ecc.
Nel forense si deve garantire che una fonte di prova sia valida e inoppugnabile, per raggiungere questo target si utilizza il metodo scientifico. » “metodo scientifico impronte” » “Metodo scientifico DNA” “balistica” metodo scientifico balistica foto wikipedia LA SCIENZA FORENSE 9ONIF - Roma 2016
LA SCIENZA FORENSE PERCEZIONE DEL “metodo scientifico computer” 10ONIF - Roma 2016 LO SMANETTONE!
La legge 48/2008 in Italia, impone alcune cautele nell'analisi dei reperti digitali, proprio come avviene di solito con i reperti “classici”, come le armi, le impronte digitali, ecc. ecc . La difficoltà principale è data dal fatto che il reperto digitale è immateriale, non è unico, può essere “clonato” infinite volte, è presente in dei contenitori software o hardware, a volte è volatile, ossia non persistente, può esser di diverse tipologie, quindi non analizzabile dagli strumenti attuali, può esser coperto da segreto industriale, può necessitare di azioni d'ingegneria inversa e tanto altro ancora. Pertanto, la digital forensics o informatica forense, è una disciplina che è in costante evoluzione e con delle regole di massima da seguire, ma non potrà mai coprire tutte le casistiche che si potranno presentare, quindi si dovrà adottare una strategia scientifica al fine di razionalizzare ogni azione compiuta nel trattamento delle evidenze digitali. LA SCIENZA FORENSE 11ONIF - Roma 2016
Non bisogna esser rigidi e cullarsi sulle procedure e i mezzi conosciuti, bisogna evitare di diventare dei “push the button forensic expert”, infatti spesso può capitare di trovarsi di fronte a reperti che dovrebbero poter esser acquisiti o analizzati in modo standard, ma per una serie di motivi non si riesce, come ad esempio: software forense che non mantiene ciò che promette; reperto non funzionante; situazione particolare che non permette certe procedure; reperti “esotici”; mancanza di documentazione; In questi casi, si naviga in acque sconosciute e allora bisogna adattarsi, inventare, documentarsi e riuscire ad acquisire ed analizzare, mantenendo la rigorosità scientifica. Ricordiamoci che “copia ad uso forense”, non significa necessariamente e rigidamente una copia bit a bit di qualsiasi cosa, ma è una copia di dati che deve garantire l'uso in tribunale, quindi deve avere delle motivazioni razionali per cui è stata creata in un certo modo. LA SCIENZA FORENSE 12ONIF - Roma 2016
A questo scopo serve ragionare, formulare delle ipotesi, verificarle con dei sistemi simili per poter sperimentare in sicurezza, confrontarsi con altri esperti, cercare bibliografia e documentazione ufficiale e scientifica, realizzare dei nuovi strumenti, fornire il codice sorgente, insomma scrivere un documento in cui si spieghi il perché si è dovuto agire in un certo modo, chi ha agito, quindi se aveva competenze acclarate per farlo, quali sono i limiti, quanto la procedura adottata ha inciso sul reperto, che conseguenze ha avuto, se è noto il tasso d'errore e se c'è della documentazione che giustifichi in tutto o in parte la procedura. Quanto descritto è una fusione tra le regole enunciate dall'ACPO (Association of Chief Police Officers ) del 1999 ed il test di Daubert (2003). LA SCIENZA FORENSE 13ONIF - Roma 2016
Principi dell'ACPO: Principio 1: Nessuna azione intrapresa dalle forze dell'ordine o dai loro agenti dovrebbe cambiare i dati memorizzati su uno dei supporti informatici o di archiviazione che successivamente possono essere fatti valere in tribunale. Principio 2: In circostanze eccezionali, quando una persona si trova nella necessità di accedere ai dati originali conservati su un computer o su supporti di memorizzazione e che tale persona sia competente a farlo ed essere in grado di testimoniare e spiegare la rilevanza e le implicazioni delle loro azioni. Principio 3: Il metodo adottato o altri documenti di tutti i processi applicati alla raccolta delle evidenze elettroniche deve essere creato e conservato. Una terza parte indipendente deve essere in grado di esaminare i processi e ottenere lo stesso risultato. Principio 4: Il responsabile delle indagini ha la responsabilità generale di assicurare che il diritto e tali principi siano rispettati. LA SCIENZA FORENSE 14ONIF - Roma 2016
Test di Daubert: La procedura/strumento: * Verifica empirica: se la teoria o la tecnica è falsificabile, confutabile e / o verificabile è stata testata in maniera indipendente? * Se è stato sottoposto a peer review e a pubblicazione. * Se è noto il tasso d'errore * L'esistenza e il mantenimento di norme e controlli per il suo funzionamento. * Il grado in cui la teoria e la tecnica è generalmente accettato da una comunità scientifica pertinente. Quindi in una perizia tecnica informatica si dovrebbe dettagliare tutte le procedure adottate e fornire tutti i mezzi necessari a riprodurla e avere le due descrizioni, quella tecnica e quella divulgativa al fine di rendere comprensibile il tutto ai non tecnici che affollano l'aula di un tribunale. Infine, si dovrebbe corredare sempre con rilievi fotografici, laddove possibile, bibliografia attendibile, software attendibile e non lasciare tutto all'immaginazione o al caso. LA SCIENZA FORENSE 15ONIF - Roma 2016
Un esempio pratico di come il metodo scientifico sia stato utile in una causa legale è il caso: Nucor Corp v. Bell, 2008 WL 4442571 (D.S.C. Jan. 11, 2008) nel quale un digital forensics expert affermò che l'indagato aveva utilizzato un programma che effettuava il wiping (cancellazione sicura) dei dati dall'hard disk del suo computer, al fine di eliminare ogni prova digitale. La Corte negò la mozione di rigettare l'ipotesi del perito informatico, perché quest'ultimo riuscì, rifacendosi alla procedura di Daubert, a dimostrare la perfetta coincidenza dei dati risultanti dal proprio esperimento ripetibile, con quelli che apparivano sull'hard disk dell'indagato, quindi tutta la procedura era testabile e ripetibile e questo colmava il divario tra la semplice “opinione” e la verifica scientifica. LA SCIENZA FORENSE 16ONIF - Roma 2016
L'IMPORTANZA DELLA BIBLIOGRAFIA UFFICIALE LA KNOWLEDGE SHARING L'AFFIDABILITà DEGLI STRUMENTI SW/HW LA FORMAZIONE DEL CONSULENTE INFORMATICO FORENSE LA SCIENZA FORENSE 17ONIF - Roma 2016
• La condizione necessaria ma NON sufficiente è che l'esperto abbia la cultura di base giusta, sappia scrivere e parlare, sappia divulgare e sappia applicare il metodo scientifico, conosca l'inglese, abbia una cultura informatica vasta ed orizzontale Le competenze non fanno l'esperto, ma servono da basi solide, ma non determinano la correttezza della perizia. • In sostanza non è detto che un ingegnere costruisca bene una casa, ma voi affidereste la costruzione di casa vostra ad uno che non è ingegnere edile? foto wikipedia L’ESPERTO 21ONIF - Roma 2016
Possibili criteri • capacità di comunicazione e gestione del digital divide • l’esperto non giudica • non accusa • non difende • codice etico Un esperto in digital forensics è orientato a ricostruire al meglio la verità, sulla base della quale avvocati/magistrati/etc possano decidere al meglio. Scientific Working Group on Digital Evidence (1998) CRITERI 22ONIF - Roma 2016
NESSUNO Chi ha delle pubblicazioni online/offline Chi ha un C.V. qualificante Chi sviluppa sw. Digital forensics Chi conosce i sw e hw della digital forensics Chi conosce leggi e metodologie della digital forensics CHI È IL DIGITAL FORENSICS EXPERT 23ONIF - Roma 2016
 cracking di password complesse con la semplice pressione compulsiva di tasti  recuperare file cancellati con velocità inimmaginabile  riconoscimenti facciali  accessi a tutte le reti e database del mondo  analisi di qualsiasi telefonino, contenuti decriptati al volo  Zoom esagerati! LE BUFALE INFORMATICHE 24ONIF - Roma 2016
NEI FILM È COSÌ 25ONIF - Roma 2016
NELLA REALTÀ È COSÌ 26ONIF - Roma 2016
Che bello sarebbe lanciare un programmino che in pochi minuti trova la password di un file criptato o l'accesso ad un sito web, a un firewall, a un PC o altro. "... ah... codice criptato a 128 bit... difficile... ma non per me!" ed in meno di 30 secondi lo ha gia' scardinato... Ehmmm..... PASSWORD CRACKING 27ONIF - Roma 2016
In molti film fanno vedere come alcuni hacker o forze dell'ordine riescano ad accedere ovunque, si collegano alle reti di ogni Ente, azienda, ecc., in tempo reale. Ma è possibile? In alcuni casi proprio no, perché non tutti i sistemi sono raggiungibili da Internet: alcune reti infatti sono delle LAN senza affaccio sulla Rete né tantomeno raggiungibili via Web. Alcune di queste reti a volte possono essere collegate a computer che a loro volta hanno un accesso a Internet, ma anche in questi casi l'accesso è quasi impossibile, e di certo non si ottiene in quattro e quattr'otto come si vede al cinema. Non esistono database in rete di tutto, dalle moquette dei tappetini delle auto, alle marche di bulloni...in Italia solo ora, pare, stiano costruendo la banca dati del DNA!!!! RETI 28ONIF - Roma 2016
E ancora, i telefonini spenti non comunicano con le celle, e non si possono usare per intercettazioni ambientali a meno che non siano opportunamente modificati via software o hardware. I cellulari accesi invece si possono usare come microspie, se sotto intercettazione o infettati, altrimenti non c'è modo, specialmente da parte di privati, di agganciarsi al telefonino di Tizio e sentire i fatti suoi senza averlo mai infettato con qualcosa. Gli SMS non vengono conservati dai gestori telefonici, infatti quest'ultimi forniscono solo i tabulati di mittente, destinatario, data ed ora, ma non il testo del messaggio, anche se ci sarà sempre un "qualcuno” che ha un "amico" nella Telecom che dirà il contrario. TELEFONI 29ONIF - Roma 2016
Fonte: http://imgur.com/dnfe6JO SUPER ZOOM 30ONIF - Roma 2016
Fonte: http://imgur.com/dnfe6JO TODO 31ONIF - Roma 2016
Insomma la digital forensics è spesso lenta e noiosa, e si scontra sovente contro le limitazioni tecnologiche degli strumenti e delle conoscenze: i sistemi proprietari sono in aumento, i sistemi crittografici sempre più diffusi, i dati viaggiano sulle "nuvole" e sono in mano a Big Company dislocate su tutto il globo, ma l'effetto CSI e l'ignoranza informatica permettono di accettare qualunque cosa, creando richieste assurde da parte di chi si rivolge al digital forensics expert. Si pensa che tutto è possibile, tutto è veloce e non ci sono differenze tra sistemi operativi, hardware, reti e quant'altro, è tutto "informatica". CONCLUSIONI 32ONIF - Roma 2016
Chiudo ricordando la super-chicca di "Indipendence Day" (R. Emmerich 1996) film nel quale si sviluppa un virus su un Mac, lo si carica sull'astronave madre degli alieni invasori e funziona. Strano che nel mondo reale un virus per Windows non funzioni su Mac o Linux e viceversa, ma poi si riesca a scrivere un virus per un computer alieno. CONCLUSIONI 33ONIF - Roma 2016

Recomendados

Il consulente tecnico di informatica forense
Il consulente tecnico di informatica forenseIl consulente tecnico di informatica forense
Il consulente tecnico di informatica forenseosservatorionazionaleinformaticaforense
 
Onif survey 2015 - ONIF
Onif survey 2015 - ONIFOnif survey 2015 - ONIF
Onif survey 2015 - ONIFosservatorionazionaleinformaticaforense
 
La copia forense: modalità operative (pt. 1)
La copia forense: modalità operative (pt. 1)La copia forense: modalità operative (pt. 1)
La copia forense: modalità operative (pt. 1)Alessandro Bonu
 
7 laboratorio-di-analisi-forense bonu-04.02 (1)
7 laboratorio-di-analisi-forense bonu-04.02 (1)7 laboratorio-di-analisi-forense bonu-04.02 (1)
7 laboratorio-di-analisi-forense bonu-04.02 (1)Massimo Farina
 
Corso di INFORMATICA FORENSE (A.A. 2013/2014) - Il Laboratorio di analisi ne...
Corso di INFORMATICA FORENSE (A.A. 2013/2014) - Il Laboratorio di analisi ne...Corso di INFORMATICA FORENSE (A.A. 2013/2014) - Il Laboratorio di analisi ne...
Corso di INFORMATICA FORENSE (A.A. 2013/2014) - Il Laboratorio di analisi ne...Alessandro Bonu
 
La copia forense: modalità operative (pt. 2)
La copia forense: modalità operative (pt. 2)La copia forense: modalità operative (pt. 2)
La copia forense: modalità operative (pt. 2)Alessandro Bonu
 
Il Laboratorio di analisi forense
Il Laboratorio di analisi forenseIl Laboratorio di analisi forense
Il Laboratorio di analisi forenseMassimo Farina
 
Linee guida in materia di computer forensics
Linee guida in materia di computer forensicsLinee guida in materia di computer forensics
Linee guida in materia di computer forensicsEmanuele Florindi
 

Recomendados

Il consulente tecnico di informatica forense
Il consulente tecnico di informatica forenseIl consulente tecnico di informatica forense
Il consulente tecnico di informatica forenseosservatorionazionaleinformaticaforense
 
Onif survey 2015 - ONIF
Onif survey 2015 - ONIFOnif survey 2015 - ONIF
Onif survey 2015 - ONIFosservatorionazionaleinformaticaforense
 
La copia forense: modalità operative (pt. 1)
La copia forense: modalità operative (pt. 1)La copia forense: modalità operative (pt. 1)
La copia forense: modalità operative (pt. 1)Alessandro Bonu
 
7 laboratorio-di-analisi-forense bonu-04.02 (1)
7 laboratorio-di-analisi-forense bonu-04.02 (1)7 laboratorio-di-analisi-forense bonu-04.02 (1)
7 laboratorio-di-analisi-forense bonu-04.02 (1)Massimo Farina
 
Corso di INFORMATICA FORENSE (A.A. 2013/2014) - Il Laboratorio di analisi ne...
Corso di INFORMATICA FORENSE (A.A. 2013/2014) - Il Laboratorio di analisi ne...Corso di INFORMATICA FORENSE (A.A. 2013/2014) - Il Laboratorio di analisi ne...
Corso di INFORMATICA FORENSE (A.A. 2013/2014) - Il Laboratorio di analisi ne...Alessandro Bonu
 
La copia forense: modalità operative (pt. 2)
La copia forense: modalità operative (pt. 2)La copia forense: modalità operative (pt. 2)
La copia forense: modalità operative (pt. 2)Alessandro Bonu
 
Il Laboratorio di analisi forense
Il Laboratorio di analisi forenseIl Laboratorio di analisi forense
Il Laboratorio di analisi forenseMassimo Farina
 
Linee guida in materia di computer forensics
Linee guida in materia di computer forensicsLinee guida in materia di computer forensics
Linee guida in materia di computer forensicsEmanuele Florindi
 
Il Diritto Processuale Penale dell’Informatica e le Investigazioni Informatiche
Il Diritto Processuale Penale dell’Informatica e le Investigazioni InformaticheIl Diritto Processuale Penale dell’Informatica e le Investigazioni Informatiche
Il Diritto Processuale Penale dell’Informatica e le Investigazioni InformaticheVincenzo Calabrò
 
Introduzione generale ai problemi della prova digitale
Introduzione generale ai problemi della prova digitaleIntroduzione generale ai problemi della prova digitale
Introduzione generale ai problemi della prova digitaleFederico Costantini
 
Giuseppe Vaciago, Cybercrime, Digital Investigation e Digital Forensics
Giuseppe Vaciago, Cybercrime, Digital Investigation e Digital ForensicsGiuseppe Vaciago, Cybercrime, Digital Investigation e Digital Forensics
Giuseppe Vaciago, Cybercrime, Digital Investigation e Digital ForensicsAndrea Rossetti
 
Profili e Metodologie investigative
Profili e Metodologie investigativeProfili e Metodologie investigative
Profili e Metodologie investigativeMassimo Farina
 
Vincenzo Calabrò - Strumenti e Tecniche per la creazione di un Falso Alibi In...
Vincenzo Calabrò - Strumenti e Tecniche per la creazione di un Falso Alibi In...Vincenzo Calabrò - Strumenti e Tecniche per la creazione di un Falso Alibi In...
Vincenzo Calabrò - Strumenti e Tecniche per la creazione di un Falso Alibi In...Vincenzo Calabrò
 
Computer forensics: utilizzabilità ed analisi della prova digitale
Computer forensics: utilizzabilità ed analisi della prova digitaleComputer forensics: utilizzabilità ed analisi della prova digitale
Computer forensics: utilizzabilità ed analisi della prova digitaleEmanuele Florindi
 
Paola Galimberti: Via il velo - la trasparenza dei dati nella produzione scie...
Paola Galimberti: Via il velo - la trasparenza dei dati nella produzione scie...Paola Galimberti: Via il velo - la trasparenza dei dati nella produzione scie...
Paola Galimberti: Via il velo - la trasparenza dei dati nella produzione scie...Giuseppe De Nicolao
 
Stelline2017 37rev
Stelline2017 37revStelline2017 37rev
Stelline2017 37revUniversità di Padova
 
Uni ts-11844 cerniglia-2022-02
Uni ts-11844 cerniglia-2022-02Uni ts-11844 cerniglia-2022-02
Uni ts-11844 cerniglia-2022-02UNI - Ente Italiano di Normazione
 
Computer Forensics
Computer ForensicsComputer Forensics
Computer Forensicsitis e.divini san severino marche
 
La BBS funziona?
La BBS funziona?La BBS funziona?
La BBS funziona?Nicola Bottura
 
Metodologie per l'innovazione degli studi legali
Metodologie per l'innovazione degli studi legaliMetodologie per l'innovazione degli studi legali
Metodologie per l'innovazione degli studi legaliEdoardo Ferraro
 
Una presentazione della metrologia forense a Trento
Una presentazione della metrologia forense a TrentoUna presentazione della metrologia forense a Trento
Una presentazione della metrologia forense a TrentoAlessandro Ferrero
 
La timeline: aspetti tecnici e rilevanza processuale
La timeline: aspetti tecnici e rilevanza processualeLa timeline: aspetti tecnici e rilevanza processuale
La timeline: aspetti tecnici e rilevanza processualeVincenzo Calabrò
 
Ricercatori da laboratorio: le complessità della ricerca di base
Ricercatori da laboratorio: le complessità della ricerca di baseRicercatori da laboratorio: le complessità della ricerca di base
Ricercatori da laboratorio: le complessità della ricerca di baseredazione Partecipasalute
 
LOD. Open data, sistema informativo professioni, tassonomie, certificazione c...
LOD. Open data, sistema informativo professioni, tassonomie, certificazione c...LOD. Open data, sistema informativo professioni, tassonomie, certificazione c...
LOD. Open data, sistema informativo professioni, tassonomie, certificazione c...ALESSANDRO CAPEZZUOLI
 
22 Ottobre 2008: Dal Sequestro al Report
22 Ottobre 2008: Dal Sequestro al Report22 Ottobre 2008: Dal Sequestro al Report
22 Ottobre 2008: Dal Sequestro al Reportatomikramp
 
Dal Sequestro al Report
Dal Sequestro al ReportDal Sequestro al Report
Dal Sequestro al Reportguest649bb5
 
deftcon 2014 - Pasquale Stirparo e Marco Carlo Spada - Electronic Evidence Gu...
deftcon 2014 - Pasquale Stirparo e Marco Carlo Spada - Electronic Evidence Gu...deftcon 2014 - Pasquale Stirparo e Marco Carlo Spada - Electronic Evidence Gu...
deftcon 2014 - Pasquale Stirparo e Marco Carlo Spada - Electronic Evidence Gu...Deft Association
 
Smart Working - aspetti psicologici, legali e tecnologici
Smart Working - aspetti psicologici, legali e tecnologiciSmart Working - aspetti psicologici, legali e tecnologici
Smart Working - aspetti psicologici, legali e tecnologiciPietro Calorio
 

Más contenido relacionado

Similar a Informatica come Scienza Forense - ONIF

Il Diritto Processuale Penale dell’Informatica e le Investigazioni Informatiche
Il Diritto Processuale Penale dell’Informatica e le Investigazioni InformaticheIl Diritto Processuale Penale dell’Informatica e le Investigazioni Informatiche
Il Diritto Processuale Penale dell’Informatica e le Investigazioni InformaticheVincenzo Calabrò
 
Introduzione generale ai problemi della prova digitale
Introduzione generale ai problemi della prova digitaleIntroduzione generale ai problemi della prova digitale
Introduzione generale ai problemi della prova digitaleFederico Costantini
 
Giuseppe Vaciago, Cybercrime, Digital Investigation e Digital Forensics
Giuseppe Vaciago, Cybercrime, Digital Investigation e Digital ForensicsGiuseppe Vaciago, Cybercrime, Digital Investigation e Digital Forensics
Giuseppe Vaciago, Cybercrime, Digital Investigation e Digital ForensicsAndrea Rossetti
 
Profili e Metodologie investigative
Profili e Metodologie investigativeProfili e Metodologie investigative
Profili e Metodologie investigativeMassimo Farina
 
Vincenzo Calabrò - Strumenti e Tecniche per la creazione di un Falso Alibi In...
Vincenzo Calabrò - Strumenti e Tecniche per la creazione di un Falso Alibi In...Vincenzo Calabrò - Strumenti e Tecniche per la creazione di un Falso Alibi In...
Vincenzo Calabrò - Strumenti e Tecniche per la creazione di un Falso Alibi In...Vincenzo Calabrò
 
Computer forensics: utilizzabilità ed analisi della prova digitale
Computer forensics: utilizzabilità ed analisi della prova digitaleComputer forensics: utilizzabilità ed analisi della prova digitale
Computer forensics: utilizzabilità ed analisi della prova digitaleEmanuele Florindi
 
Paola Galimberti: Via il velo - la trasparenza dei dati nella produzione scie...
Paola Galimberti: Via il velo - la trasparenza dei dati nella produzione scie...Paola Galimberti: Via il velo - la trasparenza dei dati nella produzione scie...
Paola Galimberti: Via il velo - la trasparenza dei dati nella produzione scie...Giuseppe De Nicolao
 
Metodologie per l'innovazione degli studi legali
Metodologie per l'innovazione degli studi legaliMetodologie per l'innovazione degli studi legali
Metodologie per l'innovazione degli studi legaliEdoardo Ferraro
 
Una presentazione della metrologia forense a Trento
Una presentazione della metrologia forense a TrentoUna presentazione della metrologia forense a Trento
Una presentazione della metrologia forense a TrentoAlessandro Ferrero
 
La timeline: aspetti tecnici e rilevanza processuale
La timeline: aspetti tecnici e rilevanza processualeLa timeline: aspetti tecnici e rilevanza processuale
La timeline: aspetti tecnici e rilevanza processualeVincenzo Calabrò
 
Ricercatori da laboratorio: le complessità della ricerca di base
Ricercatori da laboratorio: le complessità della ricerca di baseRicercatori da laboratorio: le complessità della ricerca di base
Ricercatori da laboratorio: le complessità della ricerca di baseredazione Partecipasalute
 
LOD. Open data, sistema informativo professioni, tassonomie, certificazione c...
LOD. Open data, sistema informativo professioni, tassonomie, certificazione c...LOD. Open data, sistema informativo professioni, tassonomie, certificazione c...
LOD. Open data, sistema informativo professioni, tassonomie, certificazione c...ALESSANDRO CAPEZZUOLI
 
22 Ottobre 2008: Dal Sequestro al Report
22 Ottobre 2008: Dal Sequestro al Report22 Ottobre 2008: Dal Sequestro al Report
22 Ottobre 2008: Dal Sequestro al Reportatomikramp
 
Dal Sequestro al Report
Dal Sequestro al ReportDal Sequestro al Report
Dal Sequestro al Reportguest649bb5
 
deftcon 2014 - Pasquale Stirparo e Marco Carlo Spada - Electronic Evidence Gu...
deftcon 2014 - Pasquale Stirparo e Marco Carlo Spada - Electronic Evidence Gu...deftcon 2014 - Pasquale Stirparo e Marco Carlo Spada - Electronic Evidence Gu...
deftcon 2014 - Pasquale Stirparo e Marco Carlo Spada - Electronic Evidence Gu...Deft Association
 
Smart Working - aspetti psicologici, legali e tecnologici
Smart Working - aspetti psicologici, legali e tecnologiciSmart Working - aspetti psicologici, legali e tecnologici
Smart Working - aspetti psicologici, legali e tecnologiciPietro Calorio
 

Similar a Informatica come Scienza Forense - ONIF (20)

Il Diritto Processuale Penale dell’Informatica e le Investigazioni Informatiche
Il Diritto Processuale Penale dell’Informatica e le Investigazioni InformaticheIl Diritto Processuale Penale dell’Informatica e le Investigazioni Informatiche
Il Diritto Processuale Penale dell’Informatica e le Investigazioni Informatiche
 
Introduzione generale ai problemi della prova digitale
Introduzione generale ai problemi della prova digitaleIntroduzione generale ai problemi della prova digitale
Introduzione generale ai problemi della prova digitale
 
Giuseppe Vaciago, Cybercrime, Digital Investigation e Digital Forensics
Giuseppe Vaciago, Cybercrime, Digital Investigation e Digital ForensicsGiuseppe Vaciago, Cybercrime, Digital Investigation e Digital Forensics
Giuseppe Vaciago, Cybercrime, Digital Investigation e Digital Forensics
 
Profili e Metodologie investigative
Profili e Metodologie investigativeProfili e Metodologie investigative
Profili e Metodologie investigative
 
Vincenzo Calabrò - Strumenti e Tecniche per la creazione di un Falso Alibi In...
Vincenzo Calabrò - Strumenti e Tecniche per la creazione di un Falso Alibi In...Vincenzo Calabrò - Strumenti e Tecniche per la creazione di un Falso Alibi In...
Vincenzo Calabrò - Strumenti e Tecniche per la creazione di un Falso Alibi In...
 
Computer forensics: utilizzabilità ed analisi della prova digitale
Computer forensics: utilizzabilità ed analisi della prova digitaleComputer forensics: utilizzabilità ed analisi della prova digitale
Computer forensics: utilizzabilità ed analisi della prova digitale
 
Paola Galimberti: Via il velo - la trasparenza dei dati nella produzione scie...
Paola Galimberti: Via il velo - la trasparenza dei dati nella produzione scie...Paola Galimberti: Via il velo - la trasparenza dei dati nella produzione scie...
Paola Galimberti: Via il velo - la trasparenza dei dati nella produzione scie...
 
Stelline2017 37rev
Stelline2017 37revStelline2017 37rev
Stelline2017 37rev
 
Uni ts-11844 cerniglia-2022-02
Uni ts-11844 cerniglia-2022-02Uni ts-11844 cerniglia-2022-02
Uni ts-11844 cerniglia-2022-02
 
Computer Forensics
Computer ForensicsComputer Forensics
Computer Forensics
 
La BBS funziona?
La BBS funziona?La BBS funziona?
La BBS funziona?
 
Metodologie per l'innovazione degli studi legali
Metodologie per l'innovazione degli studi legaliMetodologie per l'innovazione degli studi legali
Metodologie per l'innovazione degli studi legali
 
Una presentazione della metrologia forense a Trento
Una presentazione della metrologia forense a TrentoUna presentazione della metrologia forense a Trento
Una presentazione della metrologia forense a Trento
 
La timeline: aspetti tecnici e rilevanza processuale
La timeline: aspetti tecnici e rilevanza processualeLa timeline: aspetti tecnici e rilevanza processuale
La timeline: aspetti tecnici e rilevanza processuale
 
Ricercatori da laboratorio: le complessità della ricerca di base
Ricercatori da laboratorio: le complessità della ricerca di baseRicercatori da laboratorio: le complessità della ricerca di base
Ricercatori da laboratorio: le complessità della ricerca di base
 
LOD. Open data, sistema informativo professioni, tassonomie, certificazione c...
LOD. Open data, sistema informativo professioni, tassonomie, certificazione c...LOD. Open data, sistema informativo professioni, tassonomie, certificazione c...
LOD. Open data, sistema informativo professioni, tassonomie, certificazione c...
 
22 Ottobre 2008: Dal Sequestro al Report
22 Ottobre 2008: Dal Sequestro al Report22 Ottobre 2008: Dal Sequestro al Report
22 Ottobre 2008: Dal Sequestro al Report
 
Dal Sequestro al Report
Dal Sequestro al ReportDal Sequestro al Report
Dal Sequestro al Report
 
deftcon 2014 - Pasquale Stirparo e Marco Carlo Spada - Electronic Evidence Gu...
deftcon 2014 - Pasquale Stirparo e Marco Carlo Spada - Electronic Evidence Gu...deftcon 2014 - Pasquale Stirparo e Marco Carlo Spada - Electronic Evidence Gu...
deftcon 2014 - Pasquale Stirparo e Marco Carlo Spada - Electronic Evidence Gu...
 
Smart Working - aspetti psicologici, legali e tecnologici
Smart Working - aspetti psicologici, legali e tecnologiciSmart Working - aspetti psicologici, legali e tecnologici
Smart Working - aspetti psicologici, legali e tecnologici
 

Informatica come Scienza Forense - ONIF

  • 1. INFORMATICA COME SCIENZA FORENSE IL CONSULENTE TECNICO INFORMATICO NEL PROCESSO ONIF, 2016 Roma
  • 2. La Digital Forensics è la disciplina scientifica che serve per identificare, acquisire ed analizzare una fonte di prova digitale, preservandola da eventuali alterazioni. Scientifica: ripetibile (Galileo Galilei) è la modalità tipica con cui la scienza procede per raggiungere una conoscenza della realtà oggettiva, affidabile, verificabile e condivisibile. Esso consiste, da una parte, nella raccolta di evidenza empirica e misurabile attraverso l'osservazione e l'esperimento; dall'altra, nella formulazione di ipotesi e teorie da sottoporre nuovamente al vaglio dell'esperimento. POPPER: ciò che conta di una teoria scientifica non è la sua genesi soggettiva, ma il fatto che essa sia espressa in forma criticabile e falsificabile sul piano oggettivo. Fonte di prova: deve garantire il suo uso in tribunale DEFINIZIONE 2ONIF - Roma 2016
  • 3. • Autenticità: il dato proviene dalla fonte informativa presunta? • Integrità: il dato è stato conservato inalterato? • Veridicità: il dato è interpretato in maniera corretta? • Completezza: sono stati raccolti tutti i dati relativi all’informazione rilevante? • Legalità: il dato è stato raccolto secondo le disposizioni della legge? DEFINIZIONI 4ONIF - Roma 2016
  • 4. • Tali proprietà sono quindi requisiti atti a fornire al dato la predetta capacità di resistenza Digital Evidence • “Qualsiasi informazione con valore probatorio generata, memorizzata o trasmessa in un formato digitale” • Il dato diventa un’informazione che rappresenta - o più di avvicina a rappresentare - il vero Scientific Working Group on Digital Evidence (1998) DEFINIZIONI 5ONIF - Roma 2016
  • 5. • Un insieme di conoscenze processo collettivo e continuativo atto a rappresentare il “mondo” in modo affidabile consistente e non arbitrario • Il metodo scientifico è necessario, per descrivere oggettivamente le metodologie utilizzate per raggiungere certi risultati, anche di fronte a scenari mai affrontati prima o con scarsa documentazione. • L’obiettivo finale è quindi la verità, la realtà oggettiva. Wolf S. (2002) “Introduction to scientific method”, http://teacher.pas.rochester.edu/phy_labs/AppendixE/AppendixE.html SCIENZA 6ONIF - Roma 2016
  • 6. • Nelle scienze ci sono delle leggi ormai dimostrate e consolidate. • Nell'informatica pure, ma questa ha dei tempi di cambiamento ed evoluzione molto più rapidi e relativi ad una moltitudine di tecnologie, applicazioni, sistemi, ecc. • Consegue che spesso ci si ritrova di fronte all'ignoto ed al “bizzarro” SCIENZA e MONDO DIGITALE 7ONIF - Roma 2016 hard disk pendrive cd-rom ecc. cloud crittografia SSD telefoni ecc.
  • 7. Nel forense si deve garantire che una fonte di prova sia valida e inoppugnabile, per raggiungere questo target si utilizza il metodo scientifico. » “metodo scientifico impronte” » “Metodo scientifico DNA” “balistica” metodo scientifico balistica foto wikipedia LA SCIENZA FORENSE 9ONIF - Roma 2016
  • 8. LA SCIENZA FORENSE PERCEZIONE DEL “metodo scientifico computer” 10ONIF - Roma 2016 LO SMANETTONE!
  • 9. La legge 48/2008 in Italia, impone alcune cautele nell'analisi dei reperti digitali, proprio come avviene di solito con i reperti “classici”, come le armi, le impronte digitali, ecc. ecc . La difficoltà principale è data dal fatto che il reperto digitale è immateriale, non è unico, può essere “clonato” infinite volte, è presente in dei contenitori software o hardware, a volte è volatile, ossia non persistente, può esser di diverse tipologie, quindi non analizzabile dagli strumenti attuali, può esser coperto da segreto industriale, può necessitare di azioni d'ingegneria inversa e tanto altro ancora. Pertanto, la digital forensics o informatica forense, è una disciplina che è in costante evoluzione e con delle regole di massima da seguire, ma non potrà mai coprire tutte le casistiche che si potranno presentare, quindi si dovrà adottare una strategia scientifica al fine di razionalizzare ogni azione compiuta nel trattamento delle evidenze digitali. LA SCIENZA FORENSE 11ONIF - Roma 2016
  • 10. Non bisogna esser rigidi e cullarsi sulle procedure e i mezzi conosciuti, bisogna evitare di diventare dei “push the button forensic expert”, infatti spesso può capitare di trovarsi di fronte a reperti che dovrebbero poter esser acquisiti o analizzati in modo standard, ma per una serie di motivi non si riesce, come ad esempio: software forense che non mantiene ciò che promette; reperto non funzionante; situazione particolare che non permette certe procedure; reperti “esotici”; mancanza di documentazione; In questi casi, si naviga in acque sconosciute e allora bisogna adattarsi, inventare, documentarsi e riuscire ad acquisire ed analizzare, mantenendo la rigorosità scientifica. Ricordiamoci che “copia ad uso forense”, non significa necessariamente e rigidamente una copia bit a bit di qualsiasi cosa, ma è una copia di dati che deve garantire l'uso in tribunale, quindi deve avere delle motivazioni razionali per cui è stata creata in un certo modo. LA SCIENZA FORENSE 12ONIF - Roma 2016
  • 11. A questo scopo serve ragionare, formulare delle ipotesi, verificarle con dei sistemi simili per poter sperimentare in sicurezza, confrontarsi con altri esperti, cercare bibliografia e documentazione ufficiale e scientifica, realizzare dei nuovi strumenti, fornire il codice sorgente, insomma scrivere un documento in cui si spieghi il perché si è dovuto agire in un certo modo, chi ha agito, quindi se aveva competenze acclarate per farlo, quali sono i limiti, quanto la procedura adottata ha inciso sul reperto, che conseguenze ha avuto, se è noto il tasso d'errore e se c'è della documentazione che giustifichi in tutto o in parte la procedura. Quanto descritto è una fusione tra le regole enunciate dall'ACPO (Association of Chief Police Officers ) del 1999 ed il test di Daubert (2003). LA SCIENZA FORENSE 13ONIF - Roma 2016
  • 12. Principi dell'ACPO: Principio 1: Nessuna azione intrapresa dalle forze dell'ordine o dai loro agenti dovrebbe cambiare i dati memorizzati su uno dei supporti informatici o di archiviazione che successivamente possono essere fatti valere in tribunale. Principio 2: In circostanze eccezionali, quando una persona si trova nella necessità di accedere ai dati originali conservati su un computer o su supporti di memorizzazione e che tale persona sia competente a farlo ed essere in grado di testimoniare e spiegare la rilevanza e le implicazioni delle loro azioni. Principio 3: Il metodo adottato o altri documenti di tutti i processi applicati alla raccolta delle evidenze elettroniche deve essere creato e conservato. Una terza parte indipendente deve essere in grado di esaminare i processi e ottenere lo stesso risultato. Principio 4: Il responsabile delle indagini ha la responsabilità generale di assicurare che il diritto e tali principi siano rispettati. LA SCIENZA FORENSE 14ONIF - Roma 2016
  • 13. Test di Daubert: La procedura/strumento: * Verifica empirica: se la teoria o la tecnica è falsificabile, confutabile e / o verificabile è stata testata in maniera indipendente? * Se è stato sottoposto a peer review e a pubblicazione. * Se è noto il tasso d'errore * L'esistenza e il mantenimento di norme e controlli per il suo funzionamento. * Il grado in cui la teoria e la tecnica è generalmente accettato da una comunità scientifica pertinente. Quindi in una perizia tecnica informatica si dovrebbe dettagliare tutte le procedure adottate e fornire tutti i mezzi necessari a riprodurla e avere le due descrizioni, quella tecnica e quella divulgativa al fine di rendere comprensibile il tutto ai non tecnici che affollano l'aula di un tribunale. Infine, si dovrebbe corredare sempre con rilievi fotografici, laddove possibile, bibliografia attendibile, software attendibile e non lasciare tutto all'immaginazione o al caso. LA SCIENZA FORENSE 15ONIF - Roma 2016
  • 14. Un esempio pratico di come il metodo scientifico sia stato utile in una causa legale è il caso: Nucor Corp v. Bell, 2008 WL 4442571 (D.S.C. Jan. 11, 2008) nel quale un digital forensics expert affermò che l'indagato aveva utilizzato un programma che effettuava il wiping (cancellazione sicura) dei dati dall'hard disk del suo computer, al fine di eliminare ogni prova digitale. La Corte negò la mozione di rigettare l'ipotesi del perito informatico, perché quest'ultimo riuscì, rifacendosi alla procedura di Daubert, a dimostrare la perfetta coincidenza dei dati risultanti dal proprio esperimento ripetibile, con quelli che apparivano sull'hard disk dell'indagato, quindi tutta la procedura era testabile e ripetibile e questo colmava il divario tra la semplice “opinione” e la verifica scientifica. LA SCIENZA FORENSE 16ONIF - Roma 2016
  • 15. L'IMPORTANZA DELLA BIBLIOGRAFIA UFFICIALE LA KNOWLEDGE SHARING L'AFFIDABILITà DEGLI STRUMENTI SW/HW LA FORMAZIONE DEL CONSULENTE INFORMATICO FORENSE LA SCIENZA FORENSE 17ONIF - Roma 2016
  • 16. • La condizione necessaria ma NON sufficiente è che l'esperto abbia la cultura di base giusta, sappia scrivere e parlare, sappia divulgare e sappia applicare il metodo scientifico, conosca l'inglese, abbia una cultura informatica vasta ed orizzontale Le competenze non fanno l'esperto, ma servono da basi solide, ma non determinano la correttezza della perizia. • In sostanza non è detto che un ingegnere costruisca bene una casa, ma voi affidereste la costruzione di casa vostra ad uno che non è ingegnere edile? foto wikipedia L’ESPERTO 21ONIF - Roma 2016
  • 17. Possibili criteri • capacità di comunicazione e gestione del digital divide • l’esperto non giudica • non accusa • non difende • codice etico Un esperto in digital forensics è orientato a ricostruire al meglio la verità, sulla base della quale avvocati/magistrati/etc possano decidere al meglio. Scientific Working Group on Digital Evidence (1998) CRITERI 22ONIF - Roma 2016
  • 18. NESSUNO Chi ha delle pubblicazioni online/offline Chi ha un C.V. qualificante Chi sviluppa sw. Digital forensics Chi conosce i sw e hw della digital forensics Chi conosce leggi e metodologie della digital forensics CHI È IL DIGITAL FORENSICS EXPERT 23ONIF - Roma 2016
  • 19.  cracking di password complesse con la semplice pressione compulsiva di tasti  recuperare file cancellati con velocità inimmaginabile  riconoscimenti facciali  accessi a tutte le reti e database del mondo  analisi di qualsiasi telefonino, contenuti decriptati al volo  Zoom esagerati! LE BUFALE INFORMATICHE 24ONIF - Roma 2016
  • 20. NEI FILM È COSÌ 25ONIF - Roma 2016
  • 21. NELLA REALTÀ È COSÌ 26ONIF - Roma 2016
  • 22. Che bello sarebbe lanciare un programmino che in pochi minuti trova la password di un file criptato o l'accesso ad un sito web, a un firewall, a un PC o altro. "... ah... codice criptato a 128 bit... difficile... ma non per me!" ed in meno di 30 secondi lo ha gia' scardinato... Ehmmm..... PASSWORD CRACKING 27ONIF - Roma 2016
  • 23. In molti film fanno vedere come alcuni hacker o forze dell'ordine riescano ad accedere ovunque, si collegano alle reti di ogni Ente, azienda, ecc., in tempo reale. Ma è possibile? In alcuni casi proprio no, perché non tutti i sistemi sono raggiungibili da Internet: alcune reti infatti sono delle LAN senza affaccio sulla Rete né tantomeno raggiungibili via Web. Alcune di queste reti a volte possono essere collegate a computer che a loro volta hanno un accesso a Internet, ma anche in questi casi l'accesso è quasi impossibile, e di certo non si ottiene in quattro e quattr'otto come si vede al cinema. Non esistono database in rete di tutto, dalle moquette dei tappetini delle auto, alle marche di bulloni...in Italia solo ora, pare, stiano costruendo la banca dati del DNA!!!! RETI 28ONIF - Roma 2016
  • 24. E ancora, i telefonini spenti non comunicano con le celle, e non si possono usare per intercettazioni ambientali a meno che non siano opportunamente modificati via software o hardware. I cellulari accesi invece si possono usare come microspie, se sotto intercettazione o infettati, altrimenti non c'è modo, specialmente da parte di privati, di agganciarsi al telefonino di Tizio e sentire i fatti suoi senza averlo mai infettato con qualcosa. Gli SMS non vengono conservati dai gestori telefonici, infatti quest'ultimi forniscono solo i tabulati di mittente, destinatario, data ed ora, ma non il testo del messaggio, anche se ci sarà sempre un "qualcuno” che ha un "amico" nella Telecom che dirà il contrario. TELEFONI 29ONIF - Roma 2016
  • 27. Insomma la digital forensics è spesso lenta e noiosa, e si scontra sovente contro le limitazioni tecnologiche degli strumenti e delle conoscenze: i sistemi proprietari sono in aumento, i sistemi crittografici sempre più diffusi, i dati viaggiano sulle "nuvole" e sono in mano a Big Company dislocate su tutto il globo, ma l'effetto CSI e l'ignoranza informatica permettono di accettare qualunque cosa, creando richieste assurde da parte di chi si rivolge al digital forensics expert. Si pensa che tutto è possibile, tutto è veloce e non ci sono differenze tra sistemi operativi, hardware, reti e quant'altro, è tutto "informatica". CONCLUSIONI 32ONIF - Roma 2016
  • 28. Chiudo ricordando la super-chicca di "Indipendence Day" (R. Emmerich 1996) film nel quale si sviluppa un virus su un Mac, lo si carica sull'astronave madre degli alieni invasori e funziona. Strano che nel mondo reale un virus per Windows non funzioni su Mac o Linux e viceversa, ma poi si riesca a scrivere un virus per un computer alieno. CONCLUSIONI 33ONIF - Roma 2016