1 / 47

______ _______ ___ _______ ___________

______ _______ ___ _______ ___________. __ ___ ________. Chi siamo. L’ Ufficio Tecnico del Compartimento Polizia Postale e delle Comunicazioni di Milano si occupa di: Ricerca e Sviluppo Osservatorio sulle nuove tecnologie

dorjan
Download Presentation

______ _______ ___ _______ ___________

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. ______ _______ ___ _______ ___________ __ ___ ________

  2. Chi siamo L’Ufficio Tecnico del Compartimento Polizia Postalee delle Comunicazioni di Milano si occupa di: • Ricerca e Sviluppo • Osservatorio sulle nuove tecnologie • Studio e implementazione di strumenti e metodologie • Formazione del personale • Supporto tecnico alle attività investigative • Computer Forensics • …e ovviamente Pubbliche Relazioni  • Seminari, Convegni, Workshop… • Interventi formativi per scuole, P.A. e realtà aziendali

  3. Di cosa parliamo • Cybercrime, nel mondo e in Italia • Reazione ad un attacco subìto • Computer Forensics • Normativa e giurisprudenza

  4. Cybercrime • Nel 2008, il cybercrime ha prodotto profitti per 276 milioni di dollari (Symantec) • Sempre nel 2008 ha anche prodotto danni per un trilione di dollari (McAfee) • Il numero dei malware catalogati supera gli 11 milioni(Sophos) • Si scopre una nuova infezione web ogni 4,5 secondi(Sophos) • I paesi che hostano più malware sono USA (37%), Cina (27,7%) e Russia (9,1%) (Sophos) • Si tratta soprattutto di siti legittimi che sono stati compromessi per distribuire malware

  5. Vettori di attacco: la Top10 di Websense • Browser vulnerabilities • Rogue antivirus/social engineering • SQL injection • Malicious Web 2.0 components (e.g. Facebook applications, third-party widgets and gadgets, banner ads) • Adobe Flash vulnerabilities • DNS Cache Poisoning and DNS Zone fle hijacking • ActiveX vulnerabilities • RealPlayer vulnerabilities • Apple QuickTime vulnerabilities • Adobe Acrobat Reader PDF vulnerabilities Websense Security Labs Report Q3Q4 2008

  6. Vulnerabilità web apps: Top 10 di OWASP • Cross Site Scripting (XSS) • Injection Flaws • Malicious File Execution • Insecure Direct Object Reference • Cross Site Request Forgery (CSRF) • Information Leakage and Improper Error Handling • Broken Authentication and Session Management • Insecure Cryptographic Storage • Insecure Communications • Failure to Restrict URL Access http://www.owasp.org/index.php/Top_10_2007

  7. Quotazioni dei tool d’attacco Symantec Corporation: Report on the Underground Economy 11/2008

  8. Le botnet nell’ultimo anno Shadowserver Foundation

  9. E in Italia? • Statistiche aggiornate sul fenomeno: O siamo un’isola felice, oppure vige l’omertà…

  10. Sotto la punta dell’iceberg Il grosso delle violazioni non viene denunciato. Possibili cause: • La compromissione non viene rilevata • Il problema viene "rattoppato" senza indagare ulteriormente • L'indagine rimane interna all'azienda • Timore di danno d'immagine • Scarsa fiducia o interesse in un'azione legale

  11. E chi chiamerai? Cosa fare, dal punto di vista legale, in caso di accertato accesso abusivo? E' possibile presentare una querela: • Chi: la parte lesa. Nel caso di un'azienza, chi ne ha la rappresentanza legale. • La procedibilità d'ufficio è possibile solo in presenza di aggravanti • È comunque opportuno che il legale/amministivo sia accompagnato dal tecnico • Quando si tratta di reati con alto profilo tecnico, serve una querela con un profilo tecnico altrettanto alto • Quando: entro 3 mesi dal giorno in cui si è appreso il fatto • Dove: qualunque ufficio di Polizia Giudiziaria. Tuttavia la Polizia Postale è solitamente più avvezza alla materia • Cosa serve: tutto! Ogni informazione, dato, rilievo utile a circostanziare i fatti. Meglio ancora se già filtrato, ma attenti alla conservazione degli originali! Per operare al meglio, sono utili nozioni di computer forensics

  12. Computer Forensics e IncidentResponse • Le procedure di CF ben si inseriscono nel processo di gestione degli incidenti • Un processo di IR non è completo senza una fase di indagine • Nonostante i possibili obiettivi comuni, CF e IR hanno spesso priorità e finalità diverse • Ciò che va bene per l'IR, non è detto che vada altrettanto bene per la CF • sempre se si desidera arrivare in sede di giudizio

  13. Computer Forensics La computer forensicsè la disciplina che si occupa della preservazione, dell'identificazione, dello studio, della documentazione dei computer, o dei sistemi informativi in generale, al fine di evidenziare l’esistenza di prove nello svolgimento dell’attività investigativa. (A.Ghirardini: “Computer forensics” – Apogeo) L’obiettivo è dunque quello di evidenziare dei fatti pertinenti l’indagine da sottoporre a giudizio

  14. Necessità di una metodologia scientifica • Pervasività delle tecnologie digitali • Loro implicazione in attività delittuose • Lo strumento informatico come mezzo • Lo strumento informatico come fine • Nonostante la pervasività, il reale funzionamento della tecnologia resta ai più misterioso… • Le tracce digitali possono avere una natura estremamente delicata, che richiede competenze specifiche per la trattazione

  15. Scopi di un’analisi forense • Confermare o escludere un evento • Individuare tracce e informazioni utili a circostanziarlo • Acquisire e conservare le tracce in maniera idonea, che garantisca integrità e non ripudiabilità • Interpretare e correlare le evidenze acquisite • Riferire con precisione ed efficienza

  16. Principi fondamentali di CF • Limitare al minimo l'impatto: • Primo: non nuocere • Non alterare lo stato delle cose • Isolamento della scena del crimine • Utilizzo di procedure non invasive • Documentare nel dettaglio ogni intervento • Previene possibili contestazioni • Consente in certa misura di ricostruire la situazione

  17. Le fasi canoniche • Identificazione • Acquisizione / Preservazione • Analisi / Valutazione • Presentazione

  18. 1. Identificazione • Individuare le informazioni o le fonti di informazione disponibili • Comprenderne natura e pertinenza • Individuare il metodo di acquisizione più ideoneo • Stabilire un piano di acquisizione

  19. 2. Acquisizione • Il sequestro è un metodo facile, veloce e sicuro, ma non tutti i dati possono essere acquisiti "fisicamente" • Le copie eseguite devono essere identiche all'originale (integrità e non ripudiabilità) • Le procedure devono essere documentate e attuate secondo metodi e tecnologie conosciute, così da essere verificabili dalla controparte

  20. 3- Analisi e valutazione • Dare un senso a quanto acquisito • Estrarre i dati e processarli per ricostruire informazioni • Interpretare le informazioni per individuare elementi utili • Comprendere e correlare, per affinare le ricerche e trarre conclusioni • E' sicuramente la fase più onerosa di tutto il processo e richiede conoscenze davvero disparate

  21. 4. Presentazione • I risultati devono essere presentati in forma facilmente comprensibile • I destinatari non hanno di solito competenze informatiche approfondite • Tuttavia è probabile che la relazione venga esaminata da un tecnico della controparte • Semplicità e chiarezza, non superficialità e approssimazione

  22. Problemi procedurali • Manca una validazione "locale" degli strumenti impiegati • Negli Stati Uniti il NIST testa e certifica gli strumenti hardware e software • In Italia manca un istituto analogo • Manca una metodologia legalmente riconosciuta o una giurisprudenza affermata in materia • La questione anzi pare spesso considerata di scarsa rilevanza giuridica

  23. Best practices internazionali • In Italia, nessuna istituzione pubblica si è presa la briga di compilare delle linee guida per le indagini digitali • All'estero ci sono diverse fonti interessanti: • IACP: International Association of Chiefs of Police • Best Practices for Seizing Electronic Evidence • CERT: Computer Emergency Response Team (Carnegie Mellon University) • First Responders Guide to Computer Forensics • IACIS: International Association of Computer Investigative Specialists • IACIS Forensics Procedures • NIST: National Institute of Standards and Technology • Guide to Integrating Forensics Techniques into Incident Response • Guidelines on Cell Phone Forensics • Guidelines on PDA Forensics • US Department of Justice: • Search and Seizure Manual • UK ACPO: Association of Chief Police Officers • Computer based evidence

  24. La RFC3227Guidelines for Evidence Collection and Archiving Pubblicata nel febbraio 2002, è ancora un non smentito punto di riferimento internazionale. Tra le altre cose consiglia: • Documentare dettagliatamente ogni operazione svolta • Chiari riferimenti temporali • Indicazione di eventuali discrepanze • Evitare tecniche invasive o limitare l'impatto all'irrinunciabile, preferendo strumenti ben documentabili • Isolare il sistema da fattori esterni che possono modificarlo (attenzione: l'attività potrebbe essere rilevata) • Nella scelta tra acquisizione e analisi, prima si acquisisce e poi si analizza • Essere metodici e implementare automatismi (attenzione: arma a doppio taglio…) • Procedere dalle fonti più volatili alle meno volatili • Eseguire copie bit-level (bit stream image) e lavorare su esse

  25. Chainofcustody Procedura necessaria per poter tracciare lo stato di un reperto e la relativa responsabilità in qualsiasi momento della sua esistenza. Deve documentare chiaramente: • Dove, quando e da chi l’evidence è stata scoperta e acquisita • Dove, quando e da chi è stata custodita o analizzata • Chi l’ha avuta in custodia e in quale periodo • Come è stata conservata • Ad ogni passaggio di consegna, dove, come e tra chi è stata trasferita Gli accessi all’evidence devono essere estremamente ristretti e chiaramente documentati. Devono potersi rilevare accessi non autorizzati.

  26. Piano di acquisizione • L'acquisizione va fatta rispettando l'ordine di volatilità • Per i sistemi in esecuzione: • Registri, cache • Memorie RAM • Stato della rete (connessioni stabilite, socket in ascolto, applicazioni coinvolte, cache ARP, routing table, DNS cache ecc…) • Processi attivi • File system temporanei • Dischi

  27. Ordine di volatilità (segue) • Dopo l'eventuale spegnimento, si prosegue con: • Dischi (post-mortem) • Log remoti • Configurazione fisica e topologia di rete • Floppy, nastri e altri dispositivi di backup • Supporti ottici, stampe ecc.

  28. Analisi Live vs Post-mortem • Quando si interviene su un sistema acceso, si è davanti ad una scelta: • Spegnerlo subito per procedere ad acquisizione e analisi post-mortem • Esaminarlo mentre è in esecuzione • Entrambe le scelte hanno pro e contro, dipendenti anche da: • Competenza del personale impiegato • Strumentazione a disposizione • Perdita di dati (o di servizi) e loro rilevanza • Nel caso, valutare la modalità di spegnimento

  29. Live Forensics

  30. Quando è necessario un intervento live • Se il sistema è in esecuzione, qualsiasi azione lo modificherà • tanto vale intraprendere azioni utili… • Se il sistema non è fisicamente rimovibile • Se il sistema non può essere spento • Se il sistema non può essere acquisito nella sua interezza • Se le informazioni volatili possono essere rilevanti ai fini dell'indagine • In particolar modo, se occorre acquisire il traffico di rete riguardante la macchina

  31. Invasività • Il sistema viene sicuramente alterato • le modifiche sono note? • sono documentabili? • intaccano significativamente il risultato dell'analisi? • ogni modifica distrugge qualcosa • Gli accertamenti svolti su sistemi accesi non saranno ripetibili

  32. Live forensics best practices • L'intervento dell'utente deve essere ridotto al minimo • Ogni azione deve essere indispensabile e meno invasiva possibile • Le modifiche ai dati memorizzati staticamente devono essere ridotte all'inevitabile • Le aquisizioni hanno priorità secondo l'ordine di volatilità • Ogni azione intrapresa deve essere scrupolosamente verbalizzata, con gli opportuni riferimenti temporali • Gli strumenti utilizzati devono essere fidati, il più possibile indipendenti dal sistema e impiegare il minimo delle risorse; non devono produrre alterazioni né ai dati né ai metadati • I dati estratti vanno sottoposti ad hash e duplicati prima di procedere all'analisi • I dati che non sono volatili devono preferibilmente essere acquisiti secondo metodologia tradizionale

  33. Live forensics best practices Più in generale: • E’ necessariocomprendere le azionichesistanno per compiere e le loroconseguenze • In casocontrario, è indispensabilericorrere a personalespecializzato • E’ consigliabileattenersiagliobiettividell’indagine, evitandodivagazioni • La live forensics non dovrebbesostituirsiall'analisipost-mortem, ma essernecomplementare

  34. Nemici delle live forensics • Rootkit • user space (ring 3) • kernel space (ring 0) • VM based • Non sempre è facile rilevarli • Possono rilevare l'azione dei tool forensi • Possono quindi alterarne i risultati, p.e. impedendo l'acquisizione di un'evidence • Rendono necessaria l'analisi post-mortem

  35. Metodi di spegnimento Se si decide di spegnere il sistema, scegliere la modalità più opportuna: 1) Procedura canonica (in genere deprecata) • le normali procedure alterano numerose informazioni sul disco! • ogni scrittura sovrascrive dati preesistenti (rilevanti?) • è possibile siano state predisposte procedure di "pulizia" 2) Interrompendo l'alimentazione • L'impatto sui dati è solitamente minore che con lo shutdown del sistema • Per contro, potrebbero perdersi dati non ancora registrati su disco • Operazioni di scrittura ancora in cache • Transazioni DB • Problemi di coerenza al successivo riavvio • Danni ai componenti elettronici

  36. Normativa di riferimento Diritto Penale

  37. Raccolta delle prove Oltre che dalla Polizia Giudiziaria, le prove possono essere raccolte anche da altri soggetti: • il Pubblico Ministero durante le indagini preliminari; • la parte sottoposta a indagine, a fini difensivi; • la parte offesa, per valutare l'opportunità di una denuncia o querela.

  38. Prove atipiche Art.189 c.p.p. comma 1: Prove non disciplinate dalla legge Quando è richiesta una prova non disciplinata dalla legge, il giudice può assumerla se essa risulta idonea ad assicurare l’accertamento dei fatti e non pregiudica la libertà morale della persona. Il giudice provvede all’ammissione, sentite le parti sulle modalità di assunzione della prova.

  39. Indagini difensive • Principio di parità tra accusa e difesa • L. 397/2000: Disposizioni in materia di indagini difensive • Art. da 391bis a 391decies cpp • Il difensore, gli investigatori privati, i consulenti tecnici possono: • Ricevere dichiarazioni dalle persone in grado di riferire su circostanze utili • Richiedere documentazione alla Pubblica Amministrazione • Prendere visione dello stato di luoghi e cose ed effettuare rilievi • Accedere a luoghi privati o non aperti al pubblico, eventualmente su autorizzazione del giudice, al solo fine di ispezione.

  40. Art.391-nonies: Attività investigativa preventiva • L’attività investigativa del difensore (Art.327-bis) può essere svolta anche preventivamente, su apposito mandato e per l’eventualità che si instauri un procedimento penale. • Il difensore può incaricare dell'attività il sostituto, l'investigatore privato autorizzato o il consulente tecnico • L'attività investigativa preventiva non può comprendere atti che richiedono l'autorizzazione dell'Autorità Giudiziaria Si possono dunque svolgere autonomamente indagini private in attesa di valutare l'eventualità di procedere a un'azione penale e/o civile.

  41. Legge 48/2008 • Per la prima volta, vengono introdotte procedure di acquisizione dell'evidenza informatica, mediante l'imposizione dell'adozione di misure tecniche dirette ad assicurare la conservazione dei dati originali e ad impedirne l'alterazione; • Adozione di procedure che assicurino la conformità dei dati acquisiti a quelli originali e la loro immodificabilità. • Le novità riguardano, tra l'altro, gli articoli relativi a perquisizione, ispezione, sequestro, accertamenti urgenti, oltre al concetto stesso di corpo del reato.

  42. Idoneità processuale

  43. Idoneità della Computer Forensics • Per essere ammessa nel processo civile o penale, la prova deve essere idonea a dimostrare i fatti a cui si riferisce. • Nel processo civile, è onere della parte raccogliere e conservare le prove in maniera tale che non rischino di essere considerate inidonee. • Se il metodo di raccolta è opinabile e la conservazione incerta, la prova può perdere facilmente di attendibilità. • Più i procedimenti sono rigorosi e documentati, più è probabile che il giudice ne riconosca l'idoneità (per questa valutazione il giudice può avvalersi di consulenti tecnici).

  44. Idoneità della Computer Forensics • Nel procedimento penale è il giudice che deve verificare la validità scientifica dei metodi d'indagine per stabilirne l'affidabilità: "Nel valutare i risultati di una perizia, il giudice deve verificare la stessa validità scientifica dei criteri e dei metodi di indagine utilizzati dal perito, allorché essi si presentino come nuovi e sperimentali e perciò non sottoposti al vaglio di una pluralità di casi ed al confronto critico tra gli esperti del settore, sì da non potersi considerare ancora acquisiti al patrimonio della comunità scientifica. Quando, invece, la perizia si fonda su cognizioni di comune dominio degli esperti e su tecniche di indagine ormai consolidate, il giudice deve verificare unicamente la corretta applicazione delle suddette cognizioni e tecniche. "    Cass. Pen. Sez. V, 9 luglio 1993, Arch. nuova proc.pen. 1994, 226; Giust. pen. 1994, III, 42.

  45. Sentenza 1823/05 del Tribunale di Bologna La difesa mise in discussione la correttezza del metodo utilizzato dalla p.g. per estrarre i programmi dal computer. Nella sentenza di legge: • "Il tema […] appare nella fattispecie in esame di secondo rilievo." • "non è compito di questo Tribunale determinare un protocollo relativo alle procedure informatiche forensi, ma semmai verificare se il metodo utilizzato dalla p.g. nel caso in esame abbia concretamente alterato alcuni dei dati ricercati." • "non è permesso al Tribunale escludere a priori i risultati di una tecnica informatica utilizzata a fini forensi solo perché alcune fonti ritengono ve ne siano di più scientificamente corrette, in assenza della allegazione di fatti che suggeriscano che si possa essere astrattamente verificata nel caso concreto una qualsiasi forma di alterazione dei dati" • "quando anche il metodo utilizzato dalla p.g. non dovesse ritenersi conforme alla migliore pratica scientifica, in difetto di prova di una alterazione concreta, conduce a risultati che sono, per il principio di cui all’art. 192 c.p.p., liberamente valutabili dal giudice alla luce del contesto probatorio complessivo (fermo restando che maggiore è la scientificità del metodo scelto, minori saranno i riscontri che il giudice è chiamato a considerare per ritenere attendibili gli esiti delle operazioni tecniche).

  46. Sentenza 175/2006 del Tribunale di Chieti [...]le indagini non proseguirono con sufficiente approfondimento poiché ci si limitò ad interpellare la ditta senza alcuna formale acquisizione di dati e senza alcuna verifica circa le modalità della conservazione degli stessi allo scopo di assicurarne la genuinità e l'attendibilità nel tempo. […][l'U.P.G.] ha poi aggiunto di non essere andato sul posto e di non essere in grado di riferire circa le "operazioni tecniche che sono state compiute da Technorail per estrarre questi dati". Se a ciò aggiungiamo che questi dati provenivano dalla stessa persona offesa e che trattasi di dati tecnici di particolare delicatezza e manipolabilità ci pare che il dato acquisito sia minimo e del tutto insufficiente a fondare qualsivoglia affermazione di responsabilità al di là del ragionevole dubbio con la conseguenza che il prevenuto deve essere mandato assolto con la già annunciata formula.

  47. Contatti Compartimento Polizia Postale e delle Comunicazioni per la Lombardia Via MoisèLoria, 74 - 20144 – MILANOTel. 02/43.33.3011 – Fax 02/43.33.3067 E-mail:poltel.mi@poliziadistato.it Ufficio Tecnico

More Related