Raggruppamento Operativo Speciale...Raggruppamento Operativo Speciale Reparto Indagini Telematiche •ISO 27043:2015 pt. 3.6 - Digital Investigation – «use of scientifically derived
Post on 19-Aug-2020
17 Views
Preview:
Transcript
Raggruppamento Operativo SpecialeReparto Indagini Telematiche
Le nuove frontiere dell’acquisizione degli elementi di prova nel Cyberspace
Milano, 11-12 maggio 2016
Raggruppamento Operativo SpecialeReparto Indagini Telematiche
Agenda
Mock Case
Definizioni
Questioni aperte
Cyberspace
Raggruppamento Operativo SpecialeReparto Indagini Telematiche
Cyberspace
Cyberspace Vs. Domicilio Informatico
• Secondo la ISO 27032:2012 è «the complexenvironment resulting from the interaction of people, software and services on the Internet by means of technology devices and networks connected to it, whichdoes not exist in any physical form»
Raggruppamento Operativo SpecialeReparto Indagini Telematiche
• Possiamo affermare che il cyberspace potrebbe – in parte – essere assimilato al c.d. “domicilio informatico”?
• Se così fosse, è da intendersi come un’area di pertinenza virtuale a geometria variabile nella disponibilità diretta della parte non necessariamente coincide con il contenuto informativo del dispositivo fisico in esame, ma può essere distribuito anche in aree diverse dal territorio nazionale, come ad esempio il Cloud.
Digital Investigation
Raggruppamento Operativo SpecialeReparto Indagini Telematiche
• ISO 27043:2015 pt. 3.6 - Digital Investigation
– «use of scientifically derived and proven methods towards the identification, collection, transportation, storage, analysis, interpretation, presentation, distribution, return, and/or destruction of digital evidence derived from digital source, while obtaining proper authorizations for all activities, properly documenting all activities, interacting with the physical investigation, preserving digital evidence, and maintaining the chain of custody, for the purpose of facilitating or furthering the reconstruction of events found to be incidents requiring a digital investigation, whether of criminal nature or not».
Definizione
Le problematiche
• Il principale problema derivante dalle indagini in materia di criminalità informatica in Internet è l’“aterritorialità”.
• Si pongono dunque problemi che si collocano a diversi livelli:
– Livello investigativo : ampio terreno da monitorare;
– Livello procedurale: chi è competente a fare cosa;
– Livello di diritto penale : a quale legge penale, di quale Stato, bisogna fare riferimento.
Digital Investigation
Raggruppamento Operativo SpecialeReparto Indagini Telematiche
Oggi tenteremo di
approfondire un case
study tecnico-
investigativo,
ripercorrendo una delle
possibili strade
percorribili.
Mock Case
La Vicenda
• Il Sig. Mario ROSSI è indagato peralcune rapine avvenute in un certoterritorio.
• nell’ordinanza di custodia cautelare, viene disposta anche una perquisizione informatica (ex art. 247 co. 1-bis c.p.p.), al fine di accertare la presenza di coordinate GPS riconducibili ai luoghi in cui sarebbero avvenute le rapine oggetto d’indagine,
• Durante l’atto a sorpresa la parte vienetrovato nella disponibilità di un tablet,marca Samsung, dotato di sistemaoperativo Android.
Raggruppamento Operativo SpecialeReparto Indagini Telematiche
Standard per un’indagine informatica
Esiste uno standard
per svolgere
un’indagine
informatica?
Raggruppamento Operativo SpecialeReparto Indagini Telematiche
ISO Standard per le investigazioni digitali
Raggruppamento Operativo SpecialeReparto Indagini Telematiche
• 27035:2011 : Linee guida per la gestionedegli incidenti informatici in grandi e medieaziende.
• 27037:2012 : Linee guida per la gestione dei dispositivi informativi rinvenuti sulla scena del crimine.
• 27041:2015 : Linee guida per la valutazione dell’adeguatezza dei metodi investigativi adottati in un’indagine in materia di criminalità informatica.
• 27042:2015 : Linee guida per l’esecuzione
dell'analisi ed interpretazione dei dati acquisiti
dai dispositivi informatici rilevati sulla scena
del crimine.
• 27043:2015 : Linee guida che fungono da
preambolo a tutte le attività della Digital
Investigation.
Lev. 1 - Manuale
• Foto e Video;
• Attività descrittive.
Lev. 2 – Logica (o Live)
• Semplice:
• Backup;
• API.
• Avanzata:
• Volume.
Lev. 3 - Fisica (o Raw)
• Software:
• Hex dumping (o Bitstream).
• Hardware:
• JTAG;
• Flasher Box
Lev. 4 - Chip-Off
• Raw data
Lev. 5 - Micro Read
• electronicmicroscope(solo teorica)
Tipologie di acquisizione per dispositivi mobile
Linee Guida del NIST
Raggruppamento Operativo SpecialeReparto Indagini Telematiche
Misure tecniche – acquisizione di Livello 1
• Da un preliminare accertamento emerge che la strumentazione in possesso degli operanti non supporta né l’acquisizione c.d. “fisica” di tipo software based (Livello 3), né quella logica avanzata (Livello 2.2) in quanto, un’attività di rooting (acquisizione di diritti amministrativi) realizzata su tale tablet, avrebbe potuto causare una deindicizzazione di tutti i dati, quindi una potenziale perdita di un patrimonio informativo utile alle indagini.
Gli accertamenti urgenti
Raggruppamento Operativo SpecialeReparto Indagini Telematiche
Misure tecniche - acquisizione
Cosa faccio in
questo caso?
Gli accertamenti urgenti
Raggruppamento Operativo SpecialeReparto Indagini Telematiche
Misure tecniche – La chiave di volta
Servizi Cloud
Based …
Gli accertamenti urgenti
Raggruppamento Operativo SpecialeReparto Indagini Telematiche
Estensione dell’attività di ricerca anche presso il domicilio
informatico Cloud
• Illuminati dal fatto di poter identificare i dati richiesti dall’A.G. presso una “pertinenza virtuale”, la P.G. :
1. invita la parte ad una fattiva collaborazione con le indagini, chiedendo se spontaneamente comunica le credenziali per accedere al suo domicilio informatico sito presso il CSP Google;
» Puntualmente la parte viene colto da un momento di amnesia, asserendo quindi di non ricordare la password.
Gli accertamenti urgenti
Raggruppamento Operativo SpecialeReparto Indagini Telematiche
Vuole collaborare con le
indagini, comunicandoci
le credenziali?
Eeee…. Veramente non le
ricordo!
Estensione dell’attività di ricerca anche presso il domicilio
informatico Cloud
• Illuminati dal fatto di poter identificare i dati richiesti dall’A.G. presso una “pertinenza virtuale”, la P.G. :
2. procede all’abbattimento degli ostacoli (in questo caso una o più misure logiche di sicurezza) tramite l’avvio della procedura di reset della password.
» Google per autorizzare tale procedura avrebbe inviato un codice di autorizzazione tramite SMS ad un data utenza telefonica (che verrà anch’essa sequestrata).
Gli accertamenti urgenti
Raggruppamento Operativo SpecialeReparto Indagini Telematiche
1 2
Estensione dell’attività di ricerca anche presso il domicilio
informatico Cloud
• Illuminati dal fatto di poter identificare i dati richiesti dall’A.G. presso una “pertinenza virtuale”, la P.G. :
3. una volta ultimata la fase di modifica delle misure logiche poste a sicurezza del domicilio informatico, la P.G. si assicura una quanto minima cinturazione della scena del crimine informatico;
Gli accertamenti urgenti
Raggruppamento Operativo SpecialeReparto Indagini Telematiche
Estensione dell’attività di ricerca anche presso il domicilio
informatico Cloud
• Illuminati dal fatto di poter identificare i dati richiesti dall’A.G. presso una “pertinenza virtuale”, la P.G. :
4. procedono a realizzare il “sopralluogo virtuale” sfruttano la possibilità di acquisire, anche in maniera selettiva (ISO 27037:2012 punti 7.1.3.3/4), tutti i dati presenti nel profilo Google in disamina, concentrando quindi la loro attenzione:
» sulla effettiva corrispondenza tra il tablet in sequestro e quello registrato presso i server di Mountain View;
» sulla effettiva attivazione dei servizi di localizzazione e successiva analisi nel periodo d’interesse.
Gli accertamenti urgenti
Raggruppamento Operativo SpecialeReparto Indagini Telematiche
Estensione dell’attività di ricerca anche presso il domicilio
informatico Cloud
Gli accertamenti urgenti
Raggruppamento Operativo SpecialeReparto Indagini Telematiche
Estensione dell’attività di ricerca anche presso il domicilio
informatico Cloud
Gli accertamenti urgenti
Raggruppamento Operativo SpecialeReparto Indagini Telematiche
Acquisizione dei dati da remoto
• Al fine di garantire sia la ripetibilità che la riproducibilità delle informazioni assunte dall’accusa, la P.G. acquisisce i dati :
1. JSON (JavaScript Object Notation);
2. in formato KML (Keyhole Markup Language).
1
2
Gli accertamenti urgenti
Raggruppamento Operativo SpecialeReparto Indagini Telematiche
Considerazioni finali
• I dati così acquisiti potranno essere considerati solo elementi indiziari che dovranno integrare le fonti di prova già assunte presso altri Enti terzi, come ad esempio:
– tabulati celle telefoniche;
– apparati di video sorveglianza;
– file di log ed estremi di contratto (SLA) da parte del CSP;
– analisi dei reperti da parte degli organi di Polizia Scientifica o Consulente del PM;
– ecc.
Gli accertamenti urgenti
Raggruppamento Operativo SpecialeReparto Indagini Telematiche
Esigenze di un “approccio ibrido”
• L’impatto che ha avuto il cloudcomputing sulle moderne indagini informatiche ha di fatto stravolto la netta distinzione che vi era fino a poco tempo fa tra Digital Forensics e Digital Investigation, richiedendo la realizzazione di un “approccio ibrido” dovuto a problematiche tuttora aperte e che sono di tipo:
– organizzative;
– legali;
– tecnologiche.
Digital Forensics o
Investigation?
organizzativi
legali
tecnologici
Gli accertamenti urgenti
Raggruppamento Operativo SpecialeReparto Indagini Telematiche
Problematiche
Chi nomino
custode?Come cinturo?
Basta la modifica delle
credenziali?
Se il provider disattiva
l’account?
Originale rispetto a cosa?
Al dato remoto o quello
acquisito?
Gli accertamenti urgenti
Raggruppamento Operativo SpecialeReparto Indagini Telematiche
Problematiche
• Sono dovute al fatto che l’operatore di P.G. non ha più il pienocontrollo sugli elementi digitali ritenuti di pertinenza con il contestoinvestigativo, pertanto gli risulterà difficile soddisfare a pieno tutti iprincipi introdotti dalla L. 48/2008, come ad esempio l’adozione oimpartizione di prescrizioni necessarie ad:
– assicurare la conservazione dei dati: un CSP, che sovente è straniero, difficilmentepotrà essere nominato custode (art. 259 c.p.p.) dei dati da voler sequestrare;
– impedire l’alterazione e l’accesso ai dati: cinturare una scena del crimine virtualecome quella cloud è una sfida assai ardua, in quanto il paradigma è fondato propriosull’ubiquità degli accessi alla risorsa remota.
» Probabilmente uno stratagemma efficace consiste nel modificare tutte lecredenziali utilizzate per accedere alla risorsa (es. password, email di recuperopassword, utenza telefonica per l’autenticazione a due fasi, ecc.), sperando chenel frattempo il CSP collabori con le FF.PP. e non disattivi l’account per nonuso.
– assicurare la conformità della copia all’originale: solo pochissimi CSP sono in gradodi fornire tale dettaglio sui dati tramite apposite API (es. Google )
Gli accertamenti urgenti
Raggruppamento Operativo SpecialeReparto Indagini Telematiche
DOMANDE ?
Raggruppamento Operativo SpecialeReparto Indagini Telematiche
top related