Upload
guest649bb5
View
2.082
Download
2
Embed Size (px)
DESCRIPTION
Dal Sequestro al Report: Il dietro le quinte di un\'investigazione digitale
Citation preview
DAL SEQUESTRO AL REPORTIl “dietro le quinte” di un’indagine informatica
in ambito “corporate”.
Francesco AcchiappatiChief Technology Officer
Brixia Forensics Institute s.r.l.
bfi
LE PAROLE CHIAVE
SEQUESTRO
Mezzo di ricerca della prova(art. 253 c.p.p.)
Diritto Processuale Penale
REPORT
Presentazione scritta di natura tecnico-giuridica
delle operazioni forensi svolte sui dispositivi elettronici
oggetto d’indagine
Diritto Processuale Penale dell’Informatica?
DALDAL ALAL
Indagine InformaticaIndagine Informatica
Diritto e InformaticaDiritto e Informatica
Informatica ForenseInformatica Forense
Informatica GiudiziariaInformatica Giudiziaria
bfi
DAL-AL
b) Traduzione del linguaggio dei bit in “giuridichese”;
c) Traduzione, dal latino (traducěre), del giurista (avvocato o magistrato che sia),
dalle macchine al foro, fino alla formazione della prova in aula, nel
contraddittorio fra le parti.
Trasformazione di un elemento di prova elettronica in qualcosa di tangibile.
REPORT = TRADUZIONE in linguaggio giuridico di evidenze espresse in 0011000
DirittoCOMPUTER FORENSICSInformatica
InformaticaCOMPUTER FORENSICSDiritto
bfi
DefinizioniSVARIATE
Eccone alcune “datate”, d’oltreoceano:
“…il processo di identificazione, conservazione, analisi e presentazione di digital evidence in processo garantendone l’ammissibilità”.
“…la raccolta e l’analisi di dati secondo una prassi che ne garantisca la libertà da distorsioni e pregiudizi cercando di ricostruire dati ed azioni avvenuti nel passato
all’interno del sistema informatico”.
bfi
…ne segue che
la Computer Forensics interviene dopo che un sistema informatico è stato violato
REATI INFORMATICI “PURI”
Oppure
un crimine è stato perpetratoattraverso l’impiego di sistemi informatici.
REATI INFORMATICI “SPURI”
bfi
SCOPI
Integrità probatoriaprocedure
(best practice o linee guida e ora, x noi, anche la L.48/2008)
e strumentazioni specifiche Computer Forensics HD E SW
Continuità probatoria CHAIN OF CUSTODY
bfi
Elemento di provaElettronico
Computer ForensicsElemento di prova
Fonte di provaElettronica
Computer ForensicsFonte di prova
Ispezione, perquisizione, sequestro informatici (mezzi di ricerca della
prova elettronica)
Computer ForensicsIspezione, perquisizione, sequestro (mezzi di ricerca della prova)
Indagini preliminariinformatiche
Computer ForensicsIndagini preliminari
Diritto Processuale Penale dell’Informatica?
Computer ForensicsDiritto Processuale Penale
IL PASSAGGIO DA-A
bfi
IL TRADUTTORE
l’ “Informatico forense. Chi era costui?”
bfi
In Italia
Come ausiliario di P.G. e CT PM
Supporto all’ispezione, perquisizione e al sequestro, svolge operazioni informatica forense, in particolare di analisi in loco (preview), acquisizione in loco delle fonti di prova.
Come supporto alla difesa, CT
Esercizio diritto di difesa: verifica delle procedure.Supporto alle attività d’indagine difensiva, Libro VI, Titolo VI bis, c.p.p.,
per l’auspicata parità d’armi tra accusa e difesa
bfi
PARTE II
Un case studyDAL SEQUESTRO AL REPORT
in un’indagine di spionaggio industriale
bfi
Questioni di fatto La ditta “Keep-Out s.r.l.” Riscontra un calo di richieste di forniture da parte dei
propri clienti. amministratori, che da qualche tempo avevano registrato vistose riduzioni dei ricavi, hanno avuto il sospetto che ci fosse in atto una fuga di dati.
A seguito di un’indagine interna emergono “prove” contro la ditta “Steal-Experts s.r.l.”, aperta da un ex dipendente della Keep-Out, che nel frattempo aveva instaurato rapporti commerciali con gli ora ex clienti della Keep-Out.
“Keep-Out s.r.l.” sporge denuncia presso la Sezione Polizia delle Comunicazioni accusando “Steal-Experts s.r.l.” di aver sottratto loro l’archivio clienti.
Con il decreto di ispezione, di perquisizione e sequestro, sulla base di quanto disposto dalla nuova legge in materia di reati informatici, siamo intervenuti come ausiliari di PG per acquisire le fonti di prova elettronica del reato ipotizzato.
bfi
Questioni di diritto
Caso di appropriazione e sottrazione di contenuti archiviati nella struttura informatica aziendale attraverso accesso abusivo a sistema informatico,
art. 615-ter del codice penale, l'accesso abusivo ad un sistema informatico o telematicoè il reato di chi abusivamente si introduce in un sistema informatico o telematico protetto da misure di sicurezza ovvero vi si mantiene contro la volontà espressa o tacita di chi ha il diritto di escluderlo. La norma è stata introdotta con la legge 23 dicembre 1993, n.547.
bfi
…nel caso di specie
Ruolo dei Computer Forensics Examiners: Ausiliari di PG per le operazioni di ispezione, perquisizione e sequestro nell’azienda e poi CT del PM
Totale assenza Forensics Examiner dell’avvocato, l’avvocato non poteva tutelare cliente non sapendo cosa stavamo facendo
Operazioni interessata: preview (L.48/2008), eventuale acquisizione in loco, analisi, reportistica.
bfi
OPERAZIONI PRELIMINARI
niente Analisi dlel’infrastruttura IT aziendale oggetto d’indagine
Identificazione dei punti chive della rete:Server aziendale
-mail server-File server
Computer Forensics lato difesaComputer Forensics lato PG
bfi
Acquisizione Selettiva (Legge 48/2008)
Preview in loco alla ricerca di digital evidenceSi evita il sequestro “indiscriminato” (L. 48/2008)Coinvolge procedure di Live Analysis
bfi
Acquisizione Selettiva “PRO” E “CONTRO”
Riduce i tempi necessari al sequestro
Tutela la business continuitydell’azienda.
Ricostruzioni più accurate nelle indagini su macchine live.
Meno materiale da analizzare inutilmente in laboratorio.
Non ripetibilità per la Live Analysis
Luoghi o ambienti ostili. Imprevisti sempre in agguato.
bfi
Nel nostro caso
L’ambiente non era dei miglioriStanze stretteScrivanie in metallo (non adatte ad appoggiare materiale
elettronico/informatico)
Il server aveva una configurazione di dischi raidApparentemente un’acquisizione di routine maPresentava dei guasti hardware: non è stato possibile
effettuare la preview.
bfi
Allora:
nienteAcquisizione fisica dei dischi:
Tentativo di ricostruzione mediante strumenti d’analisi
in un secondo momento
Ricostruzione andata a buon fine, ma non garantita dagli strumenti sino ad ora
esistenti sul mercato
Computer Forensics lato difesaComputer Forensics lato PG
bfi
Come si è proceduto, ovveroGLI STRUMENTI DEL
COMPUTER FORENSICS EXAMINER
Write Blocker, cavi, adattatori per ogni tipo di media. Live-CD
Helix (acquisizione e preview) Backtrack (Network forensics) PlainSight (Preview) (Novità promettente)
Strumenti di analisi Live Strumenti non invasivi di analisi RAM Dumper
Storage, tanto storage…
bfi
CHAIN OF CUSTODY“…lista dettagliata di cosa si è fatto dei dati originali una volta raccolti…”
FFINI IMMEDIATI lla tracciabilità degli elementi di prova raccolti
– Lla ricostruibilità degli eventi– Lla ripetibilità.
IIL FINE ULTIMO– Ll’autenticità
– Ll’inalterabilità– Lla conseguente validità di un elemento di prova (elettronica)
bfi
… to be continued…
bfi
IL REPORT per il PM(LA TRADUZIONE)
Fornisce informazioni rilevanti circa le analisi forensi svolte forma chiara, concisa, strutturata e non ambigua in maniera tale che si debba discutere su
di essa il meno possibile.
N.B. “Questo approccio non è condiviso da tutti, soprattutto dai laboratori il cui scopo non è mostrare risultati ma evidenziare le possibili ambiguità dei risultati di altri. Il primo approccio quindi è tipico dei laboratori che operano per gli inquirenti mentre il secondo, spesso è tipico dei laboratori che operano
per la difesa (in Italia discutere a lungo su qualcosa significa sminuirne la verità...)”.
Fonte: Marco Mattiucci, http://www.marcomattiucci.com
bfi
Struttura del REPORT
Identificazione del caso (es. Proc.penale); Intestazione del laboratorio e nome del responsabile per l'indagine con annessi gli eventuali specialisti ed
assistenti coinvolti; Qualifica del responsabile per le indagini il quale deve firmare il documento in ogni suo foglio con data
annessa; La data di ricezione dei reperti, l'eventuale riconsegna e tutta la catena di custodia; Riferimento del richiedente l'analisi; La lista dei reperti impiegati per l'analisi; La constatazione dello stato dei reperti al momento della ricezione; La lista della documentazione inerente il fascicolo di indagine ricevuta all'inizio dell'indagine; Richiesta relativa all'analisi forense; Dettagli tecnici dell'analisi svolta; Risultati tecnici e risultati legali; Segnalazione degli eventuali reperti che non è stato possibile esaminare e le ragioni specifiche. Descrizione dei tool e dei metodi impiegati o riferimento al manuale di qualità e/o a manuali specifici.
FONTE: Marco Mattiucci, http://www.marcomattiucci.com
bfi
Fonti
Mc Kemmish, R. (1999), “What is Forensic Computing”, Trends and Issues in Crime and Criminal Justice (118), Australian Institute of Criminology.
Farmer D., Venema W. (2000), “Forensic Computer Analysis: an Introduction. Reconstructing past Events.”, Dr Dobb’s Journal, 29, 70-75.
Jesse Kornblum, “Preservation of Fragile-Digital Evidence by First Responders” 2002, Air Force Office of Special Investigation.
Luca Lupària, Giovanni Ziccardi, “Investigazione penale e tecnologia informtica”, Milano, 2007, Giuffrè Editore
Francesco Cajani, “Indagini infomatiche e attività del PM: peculiarità e aspetti problematici”, Ciclo di 10 seminari su “Computer Forensics, investigazione penale e criminalità tecnologica”, a.a. 2006/2007, Università degli Studi di Milano, L.E.F.T.
Marco Mattiucci, http://www.marcomattiucci.com
bfi
Grazie dell’attenzione.
Francesco AcchiappatiBRIXIA FORENSICS INSTITUTE s.r.l.
bfi