Dal Sequestro al Report

DAL SEQUESTRO AL REPORTIl “dietro le quinte” di un’indagine informatica

in ambito “corporate”.

Francesco AcchiappatiChief Technology Officer

Brixia Forensics Institute s.r.l.

bfi

LE PAROLE CHIAVE

SEQUESTRO

Mezzo di ricerca della prova(art. 253 c.p.p.)

Diritto Processuale Penale

REPORT

Presentazione scritta di natura tecnico-giuridica

delle operazioni forensi svolte sui dispositivi elettronici

oggetto d’indagine

Diritto Processuale Penale dell’Informatica?

DALDAL ALAL

Indagine InformaticaIndagine Informatica

Diritto e InformaticaDiritto e Informatica

Informatica ForenseInformatica Forense

Informatica GiudiziariaInformatica Giudiziaria

bfi

DAL-AL

b) Traduzione del linguaggio dei bit in “giuridichese”;

c) Traduzione, dal latino (traducěre), del giurista (avvocato o magistrato che sia),

dalle macchine al foro, fino alla formazione della prova in aula, nel

contraddittorio fra le parti.

Trasformazione di un elemento di prova elettronica in qualcosa di tangibile.

REPORT = TRADUZIONE in linguaggio giuridico di evidenze espresse in 0011000

DirittoCOMPUTER FORENSICSInformatica

InformaticaCOMPUTER FORENSICSDiritto

bfi

DefinizioniSVARIATE

Eccone alcune “datate”, d’oltreoceano:

“…il processo di identificazione, conservazione, analisi e presentazione di digital evidence in processo garantendone l’ammissibilità”.

“…la raccolta e l’analisi di dati secondo una prassi che ne garantisca la libertà da distorsioni e pregiudizi cercando di ricostruire dati ed azioni avvenuti nel passato

all’interno del sistema informatico”.

bfi

…ne segue che

la Computer Forensics interviene dopo che un sistema informatico è stato violato

REATI INFORMATICI “PURI”

Oppure

un crimine è stato perpetratoattraverso l’impiego di sistemi informatici.

REATI INFORMATICI “SPURI”

bfi

SCOPI

Integrità probatoriaprocedure

(best practice o linee guida e ora, x noi, anche la L.48/2008)

e strumentazioni specifiche Computer Forensics HD E SW

Continuità probatoria CHAIN OF CUSTODY

bfi

Elemento di provaElettronico

Computer ForensicsElemento di prova

Fonte di provaElettronica

Computer ForensicsFonte di prova

Ispezione, perquisizione, sequestro informatici (mezzi di ricerca della

prova elettronica)

Computer ForensicsIspezione, perquisizione, sequestro (mezzi di ricerca della prova)

Indagini preliminariinformatiche

Computer ForensicsIndagini preliminari

Diritto Processuale Penale dell’Informatica?

Computer ForensicsDiritto Processuale Penale

IL PASSAGGIO DA-A

bfi

IL TRADUTTORE

l’ “Informatico forense. Chi era costui?”

bfi

In Italia

Come ausiliario di P.G. e CT PM

Supporto all’ispezione, perquisizione e al sequestro, svolge operazioni informatica forense, in particolare di analisi in loco (preview), acquisizione in loco delle fonti di prova.

Come supporto alla difesa, CT

Esercizio diritto di difesa: verifica delle procedure.Supporto alle attività d’indagine difensiva, Libro VI, Titolo VI bis, c.p.p.,

per l’auspicata parità d’armi tra accusa e difesa

bfi

PARTE II

Un case studyDAL SEQUESTRO AL REPORT

in un’indagine di spionaggio industriale

bfi

Questioni di fatto La ditta “Keep-Out s.r.l.” Riscontra un calo di richieste di forniture da parte dei

propri clienti. amministratori, che da qualche tempo avevano registrato vistose riduzioni dei ricavi, hanno avuto il sospetto che ci fosse in atto una fuga di dati.

A seguito di un’indagine interna emergono “prove” contro la ditta “Steal-Experts s.r.l.”, aperta da un ex dipendente della Keep-Out, che nel frattempo aveva instaurato rapporti commerciali con gli ora ex clienti della Keep-Out.

“Keep-Out s.r.l.” sporge denuncia presso la Sezione Polizia delle Comunicazioni accusando “Steal-Experts s.r.l.” di aver sottratto loro l’archivio clienti.

Con il decreto di ispezione, di perquisizione e sequestro, sulla base di quanto disposto dalla nuova legge in materia di reati informatici, siamo intervenuti come ausiliari di PG per acquisire le fonti di prova elettronica del reato ipotizzato.

bfi

Questioni di diritto

Caso di appropriazione e sottrazione di contenuti archiviati nella struttura informatica aziendale attraverso accesso abusivo a sistema informatico,

art. 615-ter del codice penale, l'accesso abusivo ad un sistema informatico o telematicoè il reato di chi abusivamente si introduce in un sistema informatico o telematico protetto da misure di sicurezza ovvero vi si mantiene contro la volontà espressa o tacita di chi ha il diritto di escluderlo. La norma è stata introdotta con la legge 23 dicembre 1993, n.547.

bfi

…nel caso di specie

Ruolo dei Computer Forensics Examiners: Ausiliari di PG per le operazioni di ispezione, perquisizione e sequestro nell’azienda e poi CT del PM

Totale assenza Forensics Examiner dell’avvocato, l’avvocato non poteva tutelare cliente non sapendo cosa stavamo facendo

Operazioni interessata: preview (L.48/2008), eventuale acquisizione in loco, analisi, reportistica.

bfi

OPERAZIONI PRELIMINARI

niente Analisi dlel’infrastruttura IT aziendale oggetto d’indagine

Identificazione dei punti chive della rete:Server aziendale

-mail server-File server

Computer Forensics lato difesaComputer Forensics lato PG

bfi

Acquisizione Selettiva (Legge 48/2008)

Preview in loco alla ricerca di digital evidenceSi evita il sequestro “indiscriminato” (L. 48/2008)Coinvolge procedure di Live Analysis

bfi

Acquisizione Selettiva “PRO” E “CONTRO”

Riduce i tempi necessari al sequestro

Tutela la business continuitydell’azienda.

Ricostruzioni più accurate nelle indagini su macchine live.

Meno materiale da analizzare inutilmente in laboratorio.

Non ripetibilità per la Live Analysis

Luoghi o ambienti ostili. Imprevisti sempre in agguato.

bfi

Nel nostro caso

L’ambiente non era dei miglioriStanze stretteScrivanie in metallo (non adatte ad appoggiare materiale

elettronico/informatico)

Il server aveva una configurazione di dischi raidApparentemente un’acquisizione di routine maPresentava dei guasti hardware: non è stato possibile

effettuare la preview.

bfi

Allora:

nienteAcquisizione fisica dei dischi:

Tentativo di ricostruzione mediante strumenti d’analisi

in un secondo momento

Ricostruzione andata a buon fine, ma non garantita dagli strumenti sino ad ora

esistenti sul mercato

Computer Forensics lato difesaComputer Forensics lato PG

bfi

Come si è proceduto, ovveroGLI STRUMENTI DEL

COMPUTER FORENSICS EXAMINER

Write Blocker, cavi, adattatori per ogni tipo di media. Live-CD

Helix (acquisizione e preview) Backtrack (Network forensics) PlainSight (Preview) (Novità promettente)

Strumenti di analisi Live Strumenti non invasivi di analisi RAM Dumper

Storage, tanto storage…

bfi

CHAIN OF CUSTODY“…lista dettagliata di cosa si è fatto dei dati originali una volta raccolti…”

FFINI IMMEDIATI lla tracciabilità degli elementi di prova raccolti

– Lla ricostruibilità degli eventi– Lla ripetibilità.

IIL FINE ULTIMO– Ll’autenticità

– Ll’inalterabilità– Lla conseguente validità di un elemento di prova (elettronica)

bfi

… to be continued…

bfi

IL REPORT per il PM(LA TRADUZIONE)

Fornisce informazioni rilevanti circa le analisi forensi svolte forma chiara, concisa, strutturata e non ambigua in maniera tale che si debba discutere su

di essa il meno possibile.

N.B. “Questo approccio non è condiviso da tutti, soprattutto dai laboratori il cui scopo non è mostrare risultati ma evidenziare le possibili ambiguità dei risultati di altri. Il primo approccio quindi è tipico dei laboratori che operano per gli inquirenti mentre il secondo, spesso è tipico dei laboratori che operano

per la difesa (in Italia discutere a lungo su qualcosa significa sminuirne la verità...)”.

Fonte: Marco Mattiucci, http://www.marcomattiucci.com

bfi

Struttura del REPORT

Identificazione del caso (es. Proc.penale); Intestazione del laboratorio e nome del responsabile per l'indagine con annessi gli eventuali specialisti ed

assistenti coinvolti; Qualifica del responsabile per le indagini il quale deve firmare il documento in ogni suo foglio con data

annessa; La data di ricezione dei reperti, l'eventuale riconsegna e tutta la catena di custodia; Riferimento del richiedente l'analisi; La lista dei reperti impiegati per l'analisi; La constatazione dello stato dei reperti al momento della ricezione; La lista della documentazione inerente il fascicolo di indagine ricevuta all'inizio dell'indagine; Richiesta relativa all'analisi forense; Dettagli tecnici dell'analisi svolta; Risultati tecnici e risultati legali; Segnalazione degli eventuali reperti che non è stato possibile esaminare e le ragioni specifiche. Descrizione dei tool e dei metodi impiegati o riferimento al manuale di qualità e/o a manuali specifici.

FONTE: Marco Mattiucci, http://www.marcomattiucci.com

bfi

Fonti

Mc Kemmish, R. (1999), “What is Forensic Computing”, Trends and Issues in Crime and Criminal Justice (118), Australian Institute of Criminology.

Farmer D., Venema W. (2000), “Forensic Computer Analysis: an Introduction. Reconstructing past Events.”, Dr Dobb’s Journal, 29, 70-75.

Jesse Kornblum, “Preservation of Fragile-Digital Evidence by First Responders” 2002, Air Force Office of Special Investigation.

Luca Lupària, Giovanni Ziccardi, “Investigazione penale e tecnologia informtica”, Milano, 2007, Giuffrè Editore

Francesco Cajani, “Indagini infomatiche e attività del PM: peculiarità e aspetti problematici”, Ciclo di 10 seminari su “Computer Forensics, investigazione penale e criminalità tecnologica”, a.a. 2006/2007, Università degli Studi di Milano, L.E.F.T.

Marco Mattiucci, http://www.marcomattiucci.com

bfi

Grazie dell’attenzione.

Francesco AcchiappatiBRIXIA FORENSICS INSTITUTE s.r.l.

bfi