Ass. Davide Gabrini
Ufficio Tecnico
Presentazioni
Cybercrime
Reazione
Analisi forense
Fasi canoniche
Best Practices
Live forensics
Normativa
In aula
Contatti
OWASP Day IIIUniversità degli Studi
di Bari23.02.2009
Ass. Davide Gabrini
Ufficio Tecnico
Presentazioni
Cybercrime
Reazione
Analisi forense
Fasi canoniche
Best Practices
Live forensics
Normativa
In aula
Contatti
OWASP Day IIIUniversità degli Studi
di Bari23.02.2009
L’Ufficio Tecnico del Compartimento Polizia Postalee delle Comunicazioni di Milano si occupa di:
Ricerca e Sviluppo
Osservatorio sulle nuove tecnologie
Studio e implementazione distrumenti e metodologie
Formazione del personale
Supporto tecnico alle attività investigative
Computer Forensics
…e ovviamente Pubbliche Relazioni ☺
Seminari, Convegni, Workshop…
Interventi formativi per scuole, P.A. e realtà aziendali
Chi siamoChi siamo
Ass. Davide Gabrini
Ufficio Tecnico
Presentazioni
Cybercrime
Reazione
Analisi forense
Fasi canoniche
Best Practices
Live forensics
Normativa
In aula
Contatti
OWASP Day IIIUniversità degli Studi
di Bari23.02.2009
Cybercrime, nel mondo e in Italia
Reazione ad un attacco subìto
Computer Forensics
Normativa e giurisprudenza
Di cosa parliamoDi cosa parliamo
Ass. Davide Gabrini
Ufficio Tecnico
Presentazioni
Cybercrime
Reazione
Analisi forense
Fasi canoniche
Best Practices
Live forensics
Normativa
In aula
Contatti
OWASP Day IIIUniversità degli Studi
di Bari23.02.2009
Nel 2008, il cybercrime ha prodotto profitti per 276 milioni di dollari (Symantec)
Sempre nel 2008 ha anche prodotto danni per un trilione di dollari (McAfee)
Il numero dei malware catalogati supera gli 11 milioni (Sophos)
Si scopre una nuova infezione web ogni 4,5 secondi (Sophos)
I paesi che hostano più malware sono USA (37%), Cina (27,7%) e Russia (9,1%) (Sophos)
Si tratta soprattutto di siti legittimi che sono stati compromessi per distribuire malware
CybercrimeCybercrime
Ass. Davide Gabrini
Ufficio Tecnico
Presentazioni
Cybercrime
Reazione
Analisi forense
Fasi canoniche
Best Practices
Live forensics
Normativa
In aula
Contatti
OWASP Day IIIUniversità degli Studi
di Bari23.02.2009
1. Browser vulnerabilities
2. Rogue antivirus/social engineering
3. SQL injection
4. Malicious Web 2.0 components (e.g. Facebook applications, third-party widgets and gadgets, banner ads)
5. Adobe Flash vulnerabilities
6. DNS Cache Poisoning and DNS Zone fle hijacking
7. ActiveX vulnerabilities
8. RealPlayer vulnerabilities
9. Apple QuickTime vulnerabilities
10. Adobe Acrobat Reader PDF vulnerabilities
Vettori di attacco: la Top10 di Vettori di attacco: la Top10 di WebsenseWebsense
WebsenseSecurity LabsReport Q3Q4 2008
Ass. Davide Gabrini
Ufficio Tecnico
Presentazioni
Cybercrime
Reazione
Analisi forense
Fasi canoniche
Best Practices
Live forensics
Normativa
In aula
Contatti
OWASP Day IIIUniversità degli Studi
di Bari23.02.2009
1. Cross Site Scripting (XSS)
2. Injection Flaws
3. Malicious File Execution
4. Insecure Direct Object Reference
5. Cross Site Request Forgery (CSRF)
6. Information Leakage and Improper Error Handling
7. Broken Authentication and Session Management
8. Insecure Cryptographic Storage
9. Insecure Communications
10. Failure to Restrict URL Access
Vulnerabilità web Vulnerabilità web appsapps: Top 10 di OWASP: Top 10 di OWASP
http://www.owasp.org/index.php/Top_10_2007
Ass. Davide Gabrini
Ufficio Tecnico
Presentazioni
Cybercrime
Reazione
Analisi forense
Fasi canoniche
Best Practices
Live forensics
Normativa
In aula
Contatti
OWASP Day IIIUniversità degli Studi
di Bari23.02.2009
Quotazioni dei Quotazioni dei tooltool d’attaccod’attacco
Symantec Corporation: Report on the Underground Economy 11/2008
Ass. Davide Gabrini
Ufficio Tecnico
Presentazioni
Cybercrime
Reazione
Analisi forense
Fasi canoniche
Best Practices
Live forensics
Normativa
In aula
Contatti
OWASP Day IIIUniversità degli Studi
di Bari23.02.2009
Le Le botnetbotnet nell’ultimo annonell’ultimo anno
Shadowserver Foundation
Ass. Davide Gabrini
Ufficio Tecnico
Presentazioni
Cybercrime
Reazione
Analisi forense
Fasi canoniche
Best Practices
Live forensics
Normativa
In aula
Contatti
OWASP Day IIIUniversità degli Studi
di Bari23.02.2009
Statistiche aggiornate sul fenomeno:
E in Italia?E in Italia?
O siamo un’isola felice, oppure vige l’omertà…
Ass. Davide Gabrini
Ufficio Tecnico
Presentazioni
Cybercrime
Reazione
Analisi forense
Fasi canoniche
Best Practices
Live forensics
Normativa
In aula
Contatti
OWASP Day IIIUniversità degli Studi
di Bari23.02.2009
Il grosso delle violazioni non viene denunciato. Possibili cause:
La compromissione non viene rilevata
Il problema viene "rattoppato" senza indagare ulteriormente
L'indagine rimane interna all'aziendaTimore di danno d'immagine
Scarsa fiducia o interesse in un'azione legale
Sotto la punta dell’icebergSotto la punta dell’iceberg
Ass. Davide Gabrini
Ufficio Tecnico
Presentazioni
Cybercrime
Reazione
Analisi forense
Fasi canoniche
Best Practices
Live forensics
Normativa
In aula
Contatti
OWASP Day IIIUniversità degli Studi
di Bari23.02.2009
Cosa fare, dal punto di vista legale, in caso di accertato accesso abusivo? E' possibile presentare una querela:
Chi: la parte lesa. Nel caso di un'azienza, chi ne ha la rappresentanza legale.
La procedibilità d'ufficio è possibile solo in presenza di aggravanti
È comunque opportuno che il legale/amministivo sia accompagnato dal tecnico
Quando si tratta di reati con alto profilo tecnico, serve una querela con un profilo tecnico altrettanto alto
Quando: entro 3 mesi dal giorno in cui si è appreso il fatto
Dove: qualunque ufficio di Polizia Giudiziaria. Tuttavia la Polizia Postale è solitamente più avvezza alla materia
Cosa serve: tutto! Ogni informazione, dato, rilievo utile a circostanziare i fatti. Meglio ancora se già filtrato, ma attenti alla conservazione degli originali! Per operare al meglio, sono utili nozioni di computer forensics
E chi chiamerai?E chi chiamerai?
Ass. Davide Gabrini
Ufficio Tecnico
Presentazioni
Cybercrime
Reazione
Analisi forense
Fasi canoniche
Best Practices
Live forensics
Normativa
In aula
Contatti
OWASP Day IIIUniversità degli Studi
di Bari23.02.2009
Le procedure di CF ben si inseriscono nel processo di gestione degli incidenti
Un processo di IR non è completo senza una fase di indagine
Nonostante i possibili obiettivi comuni, CF e IR hanno spesso priorità e finalità diverse
Ciò che va bene per l'IR, non è detto che vada altrettanto bene per la CF
sempre se si desidera arrivare in sede di giudizio
Computer Computer ForensicsForensics e e IncidentIncident ResponseResponse
Ass. Davide Gabrini
Ufficio Tecnico
Presentazioni
Cybercrime
Reazione
Analisi forense
Fasi canoniche
Best Practices
Live forensics
Normativa
In aula
Contatti
OWASP Day IIIUniversità degli Studi
di Bari23.02.2009
La computer forensics è la
disciplina che si occupa della
preservazione, dell'identificazione,
dello studio, della documentazione
dei computer, o dei sistemi
informativi in generale, al fine di
evidenziare l’esistenza di prove
nello svolgimento dell’attività
investigativa.(A.Ghirardini: “Computer forensics” – Apogeo)
L’obiettivo è dunque quello di evidenziare dei fatti pertinenti l’indagine da sottoporre a giudizio
Computer Computer ForensicsForensics
Ass. Davide Gabrini
Ufficio Tecnico
Presentazioni
Cybercrime
Reazione
Analisi forense
Fasi canoniche
Best Practices
Live forensics
Normativa
In aula
Contatti
OWASP Day IIIUniversità degli Studi
di Bari23.02.2009
Pervasività delle tecnologie digitali
Loro implicazione in attività delittuoseLo strumento informatico come mezzo
Lo strumento informatico come fine
Nonostante la pervasività, il reale funzionamento della tecnologia resta ai più misterioso…
Le tracce digitali possono avere una natura estremamente delicata, che richiede competenze specifiche per la trattazione
Necessità di una metodologia scientificaNecessità di una metodologia scientifica
Ass. Davide Gabrini
Ufficio Tecnico
Presentazioni
Cybercrime
Reazione
Analisi forense
Fasi canoniche
Best Practices
Live forensics
Normativa
In aula
Contatti
OWASP Day IIIUniversità degli Studi
di Bari23.02.2009
Confermare o escludere un evento
Individuare tracce e informazioni utili a circostanziarlo
Acquisire e conservare le tracce in maniera idonea, che garantisca integrità e non ripudiabilità
Interpretare e correlare le evidenze acquisite
Riferire con precisione ed efficienza
Scopi di un’analisi forenseScopi di un’analisi forense
Ass. Davide Gabrini
Ufficio Tecnico
Presentazioni
Cybercrime
Reazione
Analisi forense
Fasi canoniche
Best Practices
Live forensics
Normativa
In aula
Contatti
OWASP Day IIIUniversità degli Studi
di Bari23.02.2009
Limitare al minimo l'impatto:Primo: non nuocere
Non alterare lo stato delle coseIsolamento della scena del crimine
Utilizzo di procedure non invasive
Documentare nel dettaglio ogni intervento
Previene possibili contestazioni
Consente in certa misura di ricostruire la situazione
Principi fondamentali di CFPrincipi fondamentali di CF
Ass. Davide Gabrini
Ufficio Tecnico
Presentazioni
Cybercrime
Reazione
Analisi forense
Fasi canoniche
Best Practices
Live forensics
Normativa
In aula
Contatti
OWASP Day IIIUniversità degli Studi
di Bari23.02.2009 Identificazione
Acquisizione / Preservazione
Analisi / Valutazione
Presentazione
Le fasi canonicheLe fasi canoniche
Ass. Davide Gabrini
Ufficio Tecnico
Presentazioni
Cybercrime
Reazione
Analisi forense
Fasi canoniche
Best Practices
Live forensics
Normativa
In aula
Contatti
OWASP Day IIIUniversità degli Studi
di Bari23.02.2009
Individuare le informazioni o le fonti di informazione disponibili
Comprenderne natura e pertinenza
Individuare il metodo di acquisizione più ideoneo
Stabilire un piano di acquisizione
1. Identificazione1. Identificazione
Ass. Davide Gabrini
Ufficio Tecnico
Presentazioni
Cybercrime
Reazione
Analisi forense
Fasi canoniche
Best Practices
Live forensics
Normativa
In aula
Contatti
OWASP Day IIIUniversità degli Studi
di Bari23.02.2009
Il sequestro è un metodo facile, veloce e sicuro, ma non tutti i dati possono essere acquisiti "fisicamente"
Le copie eseguite devono essere identiche all'originale (integrità e non ripudiabilità)
Le procedure devono essere documentate e attuate secondo metodi e tecnologie conosciute, così da essere verificabili dalla controparte
2. Acquisizione2. Acquisizione
Ass. Davide Gabrini
Ufficio Tecnico
Presentazioni
Cybercrime
Reazione
Analisi forense
Fasi canoniche
Best Practices
Live forensics
Normativa
In aula
Contatti
OWASP Day IIIUniversità degli Studi
di Bari23.02.2009
Dare un senso a quanto acquisitoEstrarre i dati e processarli per ricostruire informazioni
Interpretare le informazioni per individuare elementi utili
Comprendere e correlare, per affinare le ricerche e trarre conclusioni
E' sicuramente la fase più onerosa di tutto il processo e richiede conoscenze davvero disparate
33-- Analisi e valutazioneAnalisi e valutazione
Ass. Davide Gabrini
Ufficio Tecnico
Presentazioni
Cybercrime
Reazione
Analisi forense
Fasi canoniche
Best Practices
Live forensics
Normativa
In aula
Contatti
OWASP Day IIIUniversità degli Studi
di Bari23.02.2009
I risultati devono essere presentati in forma facilmente comprensibile
I destinatari non hanno di solito competenze informatiche approfondite
Tuttavia è probabile che la relazione venga esaminata da un tecnico della controparte
Semplicità e chiarezza, non superficialità e approssimazione
4. Presentazione4. Presentazione
Ass. Davide Gabrini
Ufficio Tecnico
Presentazioni
Cybercrime
Reazione
Analisi forense
Fasi canoniche
Best Practices
Live forensics
Normativa
In aula
Contatti
OWASP Day IIIUniversità degli Studi
di Bari23.02.2009
Manca una validazione "locale" degli strumenti impiegati
Negli Stati Uniti il NIST testa e certifica gli strumenti hardware e software
In Italia manca un istituto analogo
Manca una metodologia legalmente riconosciuta o una giurisprudenza affermata in materia
La questione anzi pare spesso considerata di scarsa rilevanza giuridica
Problemi proceduraliProblemi procedurali
Ass. Davide Gabrini
Ufficio Tecnico
Presentazioni
Cybercrime
Reazione
Analisi forense
Fasi canoniche
Best Practices
Live forensics
Normativa
In aula
Contatti
OWASP Day IIIUniversità degli Studi
di Bari23.02.2009
In Italia, nessuna istituzione pubblica si è presa la briga di compilare delle linee guida per le indagini digitali
All'estero ci sono diverse fonti interessanti:IACP: International Association of Chiefs of Police
Best Practices for Seizing Electronic Evidence
CERT: Computer Emergency Response Team (Carnegie Mellon University)
First Responders Guide to Computer Forensics
IACIS: International Association of Computer Investigative Specialists
IACIS Forensics Procedures
NIST: National Institute of Standards and Technology
Guide to Integrating Forensics Techniques into Incident Response
Guidelines on Cell Phone Forensics
Guidelines on PDA Forensics
US Department of Justice:
Search and Seizure Manual
UK ACPO: Association of Chief Police Officers
Computer based evidence
Best Best practicespractices internazionaliinternazionali
Ass. Davide Gabrini
Ufficio Tecnico
Presentazioni
Cybercrime
Reazione
Analisi forense
Fasi canoniche
Best Practices
Live forensics
Normativa
In aula
Contatti
OWASP Day IIIUniversità degli Studi
di Bari23.02.2009
Pubblicata nel febbraio 2002, è ancora un non smentito punto di riferimento internazionale. Tra le altre cose consiglia:
Documentare dettagliatamente ogni operazione svolta
Chiari riferimenti temporali
Indicazione di eventuali discrepanze
Evitare tecniche invasive o limitare l'impatto all'irrinunciabile, preferendo strumenti ben documentabili
Isolare il sistema da fattori esterni che possono modificarlo (attenzione: l'attività potrebbe essere rilevata)
Nella scelta tra acquisizione e analisi, prima si acquisisce e poi si analizza
Essere metodici e implementare automatismi (attenzione: arma a doppio taglio…)
Procedere dalle fonti più volatili alle meno volatili
Eseguire copie bit-level (bit stream image) e lavorare su esse
La RFC3227La RFC3227Guidelines for Evidence Collection and ArchivingGuidelines for Evidence Collection and Archiving
Ass. Davide Gabrini
Ufficio Tecnico
Presentazioni
Cybercrime
Reazione
Analisi forense
Fasi canoniche
Best Practices
Live forensics
Normativa
In aula
Contatti
OWASP Day IIIUniversità degli Studi
di Bari23.02.2009
Procedura necessaria per poter tracciare lo stato di un reperto e la relativa responsabilità in qualsiasi momento della sua esistenza.
Deve documentare chiaramente:Dove, quando e da chi l’evidence è stata scoperta e acquisita
Dove, quando e da chi è stata custodita o analizzata
Chi l’ha avuta in custodia e in quale periodo
Come è stata conservata
Ad ogni passaggio di consegna, dove, come e tra chi è statatrasferita
Gli accessi all’evidence devono essere estremamenteristretti e chiaramente documentati.
Devono potersi rilevare accessi non autorizzati.
ChainChain ofof custodycustody
Ass. Davide Gabrini
Ufficio Tecnico
Presentazioni
Cybercrime
Reazione
Analisi forense
Fasi canoniche
Best Practices
Live forensics
Normativa
In aula
Contatti
OWASP Day IIIUniversità degli Studi
di Bari23.02.2009
L'acquisizione va fatta rispettando l'ordine di volatilità
Per i sistemi in esecuzione:Registri, cache
Memorie RAM
Stato della rete (connessioni stabilite, socket in ascolto, applicazioni coinvolte, cache ARP, routing table, DNS cache ecc…)
Processi attivi
File system temporanei
Dischi
Piano di acquisizionePiano di acquisizione
Ass. Davide Gabrini
Ufficio Tecnico
Presentazioni
Cybercrime
Reazione
Analisi forense
Fasi canoniche
Best Practices
Live forensics
Normativa
In aula
Contatti
OWASP Day IIIUniversità degli Studi
di Bari23.02.2009
Dopo l'eventuale spegnimento, si prosegue con:
Dischi (post-mortem)
Log remoti
Configurazione fisica e topologia di rete
Floppy, nastri e altri dispositivi di backup
Supporti ottici, stampe ecc.
Ordine di volatilità Ordine di volatilità (segue)(segue)
Ass. Davide Gabrini
Ufficio Tecnico
Presentazioni
Cybercrime
Reazione
Analisi forense
Fasi canoniche
Best Practices
Live forensics
Normativa
In aula
Contatti
OWASP Day IIIUniversità degli Studi
di Bari23.02.2009
Analisi Analisi LiveLive vs vs PostPost--mortemmortem
Quando si interviene su un sistema acceso, si è davanti ad una scelta:
Spegnerlo subito per procedere ad acquisizione e analisi post-mortem
Esaminarlo mentre è in esecuzione
Entrambe le scelte hanno pro e contro, dipendenti anche da:
Competenza del personale impiegato
Strumentazione a disposizione
Perdita di dati (o di servizi) e loro rilevanza
Nel caso, valutare la modalità di spegnimento
Ass. Davide Gabrini
Ufficio Tecnico
Presentazioni
Cybercrime
Reazione
Analisi forense
Fasi canoniche
Best Practices
Live forensics
Normativa
In aula
Contatti
OWASP Day IIIUniversità degli Studi
di Bari23.02.2009
Ass. Davide Gabrini
Ufficio Tecnico
Presentazioni
Cybercrime
Reazione
Analisi forense
Fasi canoniche
Best Practices
Live forensics
Normativa
In aula
Contatti
OWASP Day IIIUniversità degli Studi
di Bari23.02.2009
Se il sistema è in esecuzione, qualsiasiazione lo modificherà
tanto vale intraprendere azioni utili…
Se il sistema non è fisicamente rimovibileSe il sistema non può essere spentoSe il sistema non può essere acquisito
nella sua interezzaSe le informazioni volatili possono essere
rilevanti ai fini dell'indagineIn particolar modo, se occorre acquisire il
traffico di rete riguardante la macchina
Quando è necessario un intervento Quando è necessario un intervento livelive
Ass. Davide Gabrini
Ufficio Tecnico
Presentazioni
Cybercrime
Reazione
Analisi forense
Fasi canoniche
Best Practices
Live forensics
Normativa
In aula
Contatti
OWASP Day IIIUniversità degli Studi
di Bari23.02.2009
Il sistema viene sicuramente alterato
le modifiche sono note?
sono documentabili?
intaccano significativamente il risultato dell'analisi?
ogni modifica distrugge qualcosa
Gli accertamenti svolti su sistemi accesi non saranno ripetibili
InvasivitàInvasività
Ass. Davide Gabrini
Ufficio Tecnico
Presentazioni
Cybercrime
Reazione
Analisi forense
Fasi canoniche
Best Practices
Live forensics
Normativa
In aula
Contatti
OWASP Day IIIUniversità degli Studi
di Bari23.02.2009
L'intervento dell'utente deve essere ridotto al minimo
Ogni azione deve essere indispensabile e meno invasiva possibile
Le modifiche ai dati memorizzati staticamente devono essere ridotte all'inevitabile
Le aquisizioni hanno priorità secondo l'ordine di volatilità
Ogni azione intrapresa deve essere scrupolosamente verbalizzata, con gli opportuni riferimenti temporali
Gli strumenti utilizzati devono essere fidati, il più possibile indipendenti dal sistema e impiegare il minimo delle risorse; non devono produrre alterazioni né ai dati né ai metadati
I dati estratti vanno sottoposti ad hash e duplicati prima di procedere all'analisi
I dati che non sono volatili devono preferibilmente essere acquisiti secondo metodologia tradizionale
Live Live forensicsforensics best best practicespractices
Ass. Davide Gabrini
Ufficio Tecnico
Presentazioni
Cybercrime
Reazione
Analisi forense
Fasi canoniche
Best Practices
Live forensics
Normativa
In aula
Contatti
OWASP Day IIIUniversità degli Studi
di Bari23.02.2009
Più in generale:
E’ necessario comprendere le azioni che sistanno per compiere e le loro conseguenze
In caso contrario, è indispensabile ricorrere a personale specializzato
E’ consigliabile attenersi agli obiettividell’indagine, evitando divagazioni
La live forensics non dovrebbe sostituirsiall'analisi post-mortem, ma essernecomplementare
Live Live forensicsforensics best best practicespractices
Ass. Davide Gabrini
Ufficio Tecnico
Presentazioni
Cybercrime
Reazione
Analisi forense
Fasi canoniche
Best Practices
Live forensics
Normativa
In aula
Contatti
OWASP Day IIIUniversità degli Studi
di Bari23.02.2009
Rootkituser space (ring 3)
kernel space (ring 0)
VM based
Non sempre è facile rilevarli
Possono rilevare l'azione dei tool forensi
Possono quindi alterarne i risultati, p.e. impedendo l'acquisizione di un'evidence
Rendono necessaria l'analisi post-mortem
Nemici delle live Nemici delle live forensicsforensics
Ass. Davide Gabrini
Ufficio Tecnico
Presentazioni
Cybercrime
Reazione
Analisi forense
Fasi canoniche
Best Practices
Live forensics
Normativa
In aula
Contatti
OWASP Day IIIUniversità degli Studi
di Bari23.02.2009
Se si decide di spegnere il sistema, scegliere la modalità più opportuna:1) Procedura canonica (in genere deprecata)
le normali procedure alterano numerose informazioni sul disco!ogni scrittura sovrascrive dati preesistenti (rilevanti?)è possibile siano state predisposte procedure di "pulizia"
2) Interrompendo l'alimentazioneL'impatto sui dati è solitamente minore che con lo shutdown del sistemaPer contro, potrebbero perdersi dati non ancora registrati su disco
Operazioni di scrittura ancora in cacheTransazioni DBProblemi di coerenza al successivo riavvioDanni ai componenti elettronici
Metodi di spegnimentoMetodi di spegnimento
Ass. Davide Gabrini
Ufficio Tecnico
Presentazioni
Cybercrime
Reazione
Analisi forense
Fasi canoniche
Best Practices
Live forensics
Normativa
In aula
Contatti
OWASP Day IIIUniversità degli Studi
di Bari23.02.2009
Ass. Davide Gabrini
Ufficio Tecnico
Presentazioni
Cybercrime
Reazione
Analisi forense
Fasi canoniche
Best Practices
Live forensics
Normativa
In aula
Contatti
OWASP Day IIIUniversità degli Studi
di Bari23.02.2009
Raccolta delle proveRaccolta delle prove
Oltre che dalla Polizia Giudiziaria, le prove possono essere raccolte anche da altri soggetti:
il Pubblico Ministero durante le indagini preliminari;
la parte sottoposta a indagine, a fini difensivi;
la parte offesa, per valutare l'opportunità di una denuncia o querela.
Ass. Davide Gabrini
Ufficio Tecnico
Presentazioni
Cybercrime
Reazione
Analisi forense
Fasi canoniche
Best Practices
Live forensics
Normativa
In aula
Contatti
OWASP Day IIIUniversità degli Studi
di Bari23.02.2009
Prove atipicheProve atipiche
Art.189 c.p.p. comma 1: Prove non disciplinate dalla legge
Quando è richiesta una prova non disciplinata dalla legge, il giudice può assumerla se essa risulta idonea ad assicurare l’accertamento dei fatti e non pregiudica la libertà morale della persona. Il giudice provvede all’ammissione, sentite le parti sulle modalità di assunzione della prova.
Ass. Davide Gabrini
Ufficio Tecnico
Presentazioni
Cybercrime
Reazione
Analisi forense
Fasi canoniche
Best Practices
Live forensics
Normativa
In aula
Contatti
OWASP Day IIIUniversità degli Studi
di Bari23.02.2009
Indagini difensiveIndagini difensive
Principio di parità tra accusa e difesa
L. 397/2000: Disposizioni in materia di indagini difensiveArt. da 391bis a 391decies cpp
Il difensore, gli investigatori privati, i consulenti tecnici possono:
Ricevere dichiarazioni dalle persone in grado di riferire su circostanze utili
Richiedere documentazione alla Pubblica Amministrazione
Prendere visione dello stato di luoghi e cose ed effettuare rilievi
Accedere a luoghi privati o non aperti al pubblico, eventualmente su autorizzazione del giudice, al solo fine di ispezione.
Ass. Davide Gabrini
Ufficio Tecnico
Presentazioni
Cybercrime
Reazione
Analisi forense
Fasi canoniche
Best Practices
Live forensics
Normativa
In aula
Contatti
OWASP Day IIIUniversità degli Studi
di Bari23.02.2009
Art.391Art.391--nonies: nonies: Attività investigativa preventivaAttività investigativa preventiva
L’attività investigativa del difensore (Art.327-bis) può essere svolta anche preventivamente, su apposito mandato e per l’eventualità che si instauri un procedimento penale.
Il difensore può incaricare dell'attività il sostituto, l'investigatore privato autorizzato o il consulente tecnico
L'attività investigativa preventiva non può comprendere atti che richiedono l'autorizzazione dell'Autorità Giudiziaria
Si possono dunque svolgere autonomamente indagini private in attesa di valutare l'eventualità di procedere a un'azione penale e/o civile.
Ass. Davide Gabrini
Ufficio Tecnico
Presentazioni
Cybercrime
Reazione
Analisi forense
Fasi canoniche
Best Practices
Live forensics
Normativa
In aula
Contatti
OWASP Day IIIUniversità degli Studi
di Bari23.02.2009
Per la prima volta, vengono introdotte procedure di acquisizione dell'evidenza informatica, mediante l'imposizione dell'adozione di misure tecniche dirette ad assicurare la conservazione dei dati originali e ad impedirne l'alterazione;
Adozione di procedure che assicurino la conformità dei dati acquisiti a quelli originali e la loro immodificabilità.
Le novità riguardano, tra l'altro, gli articoli relativi a perquisizione, ispezione, sequestro, accertamenti urgenti, oltre al concetto stesso di corpo del reato.
Legge 48/2008Legge 48/2008
Ass. Davide Gabrini
Ufficio Tecnico
Presentazioni
Cybercrime
Reazione
Analisi forense
Fasi canoniche
Best Practices
Live forensics
Normativa
In aula
Contatti
OWASP Day IIIUniversità degli Studi
di Bari23.02.2009
Ass. Davide Gabrini
Ufficio Tecnico
Presentazioni
Cybercrime
Reazione
Analisi forense
Fasi canoniche
Best Practices
Live forensics
Normativa
In aula
Contatti
OWASP Day IIIUniversità degli Studi
di Bari23.02.2009
Per essere ammessa nel processo civile o penale, la prova deve essere idonea a dimostrare i fatti a cui si riferisce.
Nel processo civile, è onere della parte raccogliere e conservare le prove in maniera tale che non rischino di essere considerate inidonee.
Se il metodo di raccolta è opinabile e la conservazione incerta, la prova può perdere facilmente di attendibilità.
Più i procedimenti sono rigorosi e documentati, più è probabile che il giudice ne riconosca l'idoneità (per questa valutazione il giudice può avvalersi di consulenti tecnici).
Idoneità della Computer Idoneità della Computer ForensicsForensics
Ass. Davide Gabrini
Ufficio Tecnico
Presentazioni
Cybercrime
Reazione
Analisi forense
Fasi canoniche
Best Practices
Live forensics
Normativa
In aula
Contatti
OWASP Day IIIUniversità degli Studi
di Bari23.02.2009
Nel procedimento penale è il giudice che deve verificare la validità scientifica dei metodi d'indagine per stabilirne l'affidabilità:"Nel valutare i risultati di una perizia, il giudice deve verificare la stessa validità scientifica dei criteri e dei metodi di indagine
utilizzati dal perito, allorché essi si presentino come nuovi e sperimentali e perciò non sottoposti al vaglio di una pluralità di casi ed al confronto critico tra gli esperti del settore, sì da non
potersi considerare ancora acquisiti al patrimonio della comunità scientifica. Quando, invece, la perizia si fonda su cognizioni di comune dominio degli esperti e su tecniche di
indagine ormai consolidate, il giudice deve verificare unicamente la corretta applicazione delle suddette cognizioni e tecniche. "Cass. Pen. Sez. V, 9 luglio 1993, Arch. nuova proc.pen.
1994, 226; Giust. pen. 1994, III, 42.
Idoneità della Computer Idoneità della Computer ForensicsForensics
Ass. Davide Gabrini
Ufficio Tecnico
Presentazioni
Cybercrime
Reazione
Analisi forense
Fasi canoniche
Best Practices
Live forensics
Normativa
In aula
Contatti
OWASP Day IIIUniversità degli Studi
di Bari23.02.2009
La difesa mise in discussione la correttezza del metodo utilizzato dalla p.g. per estrarre i programmi dal computer.
Nella sentenza di legge:
"Il tema […] appare nella fattispecie in esame di secondo rilievo."
"non è compito di questo Tribunale determinare un protocollo relativo alle procedure informatiche forensi, ma semmai verificare se il metodo utilizzato dalla p.g. nel caso in esame abbia concretamente alterato alcuni dei dati ricercati."
"non è permesso al Tribunale escludere a priori i risultati di una tecnica informatica utilizzata a fini forensi solo perché alcune fonti ritengono ve ne siano di più scientificamente corrette, in assenza della allegazione di fatti che suggeriscano che si possa essere astrattamente verificata nel caso concreto una qualsiasi forma di alterazione dei dati"
"quando anche il metodo utilizzato dalla p.g. non dovesse ritenersi conforme alla migliore pratica scientifica, in difetto di prova di una alterazione concreta, conduce a risultati che sono, per il principio di cui all’art. 192 c.p.p., liberamente valutabili dal giudice alla luce del contesto probatorio complessivo (fermo restando che maggiore è la scientificità del metodo scelto, minori saranno i riscontri che il giudice è chiamato a considerare per ritenere attendibili gli esiti delle operazioni tecniche).
Sentenza 1823/05 del Tribunale di BolognaSentenza 1823/05 del Tribunale di Bologna
Ass. Davide Gabrini
Ufficio Tecnico
Presentazioni
Cybercrime
Reazione
Analisi forense
Fasi canoniche
Best Practices
Live forensics
Normativa
In aula
Contatti
OWASP Day IIIUniversità degli Studi
di Bari23.02.2009
[...]le indagini non proseguirono con sufficiente approfondimento poiché ci si limitò ad interpellare la ditta senza alcuna formale
acquisizione di dati e senza alcuna verifica circa le modalità della conservazione degli stessi allo scopo di assicurarne la genuinità e l'attendibilità nel tempo.
[…][l'U.P.G.] ha poi aggiunto di non essere andato sul posto e di non essere in grado di riferire circa le "operazioni tecniche che sono state compiute da Technorail per estrarre questi dati".
Se a ciò aggiungiamo che questi dati provenivano dalla stessa persona offesa e che trattasi di dati tecnici di particolare
delicatezza e manipolabilità ci pare che il dato acquisito sia minimo e del tutto insufficiente a fondare qualsivoglia affermazione di responsabilità al di là del ragionevole dubbio
con la conseguenza che il prevenuto deve essere mandato assolto con la già annunciata formula.
Sentenza 175/2006 del Tribunale di Chieti Sentenza 175/2006 del Tribunale di Chieti
Ass. Davide Gabrini
Ufficio Tecnico
Presentazioni
Cybercrime
Reazione
Analisi forense
Fasi canoniche
Best Practices
Live forensics
Normativa
In aula
Contatti
OWASP Day IIIUniversità degli Studi
di Bari23.02.2009
ContattiContatti
Compartimento Polizia Postale e delle Compartimento Polizia Postale e delle Comunicazioni per la LombardiaComunicazioni per la Lombardia
Via Via MoisèMoisè LoriaLoria, 74 , 74 -- 20144 20144 –– MILANOMILANOTel. 02/43.33.3011 Tel. 02/43.33.3011 –– Fax Fax 02/43.33.306702/43.33.3067
EE--mail:mail: [email protected]@poliziadistato.it
Assistente Assistente Davide GABRINIDavide GABRINI
[email protected]@poliziadistato.it
UUUUUUUUFFICIOFFICIOFFICIOFFICIOFFICIOFFICIOFFICIOFFICIO TTTTTTTTECNICOECNICOECNICOECNICOECNICOECNICOECNICOECNICO