ass. davide gabrini ufficio tecnico ass. davide gabrini ufficio tecnico presentazioni cybercrime...

Ass. Davide GabriniUfficio Tecnico


Presentazioni

Cybercrime

Reazione

Analisi forense

Fasi canoniche

Best Practices

Live forensics

Normativa

In aula

Contatti

OWASP Day IIIUniversità degli Studi

di Bari23.02.2009



Presentazioni

Cybercrime

Reazione

Analisi forense

Fasi canoniche

Best Practices

Live forensics

Normativa

In aula

Contatti


di Bari23.02.2009

L’Ufficio Tecnico del Compartimento Polizia Postalee delle Comunicazioni di Milano si occupa di:

Ricerca e Sviluppo Osservatorio sulle nuove tecnologie

Studio e implementazione di strumenti e metodologie

Formazione del personale

Supporto tecnico alle attività investigative

Computer Forensics

…e ovviamente Pubbliche Relazioni Seminari, Convegni, Workshop…

Interventi formativi per scuole, P.A. e realtà aziendali

Chi siamoChi siamo



Presentazioni

Cybercrime

Reazione

Analisi forense

Fasi canoniche

Best Practices

Live forensics

Normativa

In aula

Contatti


di Bari23.02.2009

Cybercrime, nel mondo e in Italia

Reazione ad un attacco subìto

Computer Forensics

Normativa e giurisprudenza

Di cosa parliamoDi cosa parliamo



Presentazioni

Cybercrime

Reazione

Analisi forense

Fasi canoniche

Best Practices

Live forensics

Normativa

In aula

Contatti


di Bari23.02.2009

Nel 2008, il cybercrime ha prodotto profitti per 276 milioni di dollari (Symantec)

Sempre nel 2008 ha anche prodotto danni per un trilione di dollari (McAfee)

Il numero dei malware catalogati supera gli 11 milioni (Sophos)

Si scopre una nuova infezione web ogni 4,5 secondi (Sophos)

I paesi che hostano più malware sono USA (37%), Cina (27,7%) e Russia (9,1%) (Sophos)

Si tratta soprattutto di siti legittimi che sono stati compromessi per distribuire malware

CybercrimeCybercrime



Presentazioni

Cybercrime

Reazione

Analisi forense

Fasi canoniche

Best Practices

Live forensics

Normativa

In aula

Contatti


di Bari23.02.2009

1. Browser vulnerabilities2. Rogue antivirus/social engineering3. SQL injection4. Malicious Web 2.0 components (e.g. Facebook

applications, third-party widgets and gadgets, banner ads)

5. Adobe Flash vulnerabilities6. DNS Cache Poisoning and DNS Zone fle hijacking7. ActiveX vulnerabilities8. RealPlayer vulnerabilities9. Apple QuickTime vulnerabilities10. Adobe Acrobat Reader PDF vulnerabilities

Vettori di attacco: la Top10 di WebsenseVettori di attacco: la Top10 di Websense

Websense Security Labs Report Q3Q4 2008



Presentazioni

Cybercrime

Reazione

Analisi forense

Fasi canoniche

Best Practices

Live forensics

Normativa

In aula

Contatti


di Bari23.02.2009

1. Cross Site Scripting (XSS) 2. Injection Flaws 3. Malicious File Execution 4. Insecure Direct Object Reference 5. Cross Site Request Forgery (CSRF) 6. Information Leakage and Improper Error Handling 7. Broken Authentication and Session Management 8. Insecure Cryptographic Storage 9. Insecure Communications 10. Failure to Restrict URL Access

Vulnerabilità web apps: Top 10 di OWASPVulnerabilità web apps: Top 10 di OWASP

http://www.owasp.org/index.php/Top_10_2007



Presentazioni

Cybercrime

Reazione

Analisi forense

Fasi canoniche

Best Practices

Live forensics

Normativa

In aula

Contatti


di Bari23.02.2009

Quotazioni dei tool d’attaccoQuotazioni dei tool d’attacco

Symantec Corporation: Report on the Underground Economy 11/2008



Presentazioni

Cybercrime

Reazione

Analisi forense

Fasi canoniche

Best Practices

Live forensics

Normativa

In aula

Contatti


di Bari23.02.2009

Le botnet nell’ultimo annoLe botnet nell’ultimo anno

Shadowserver Foundation



Presentazioni

Cybercrime

Reazione

Analisi forense

Fasi canoniche

Best Practices

Live forensics

Normativa

In aula

Contatti


di Bari23.02.2009

Statistiche aggiornate sul fenomeno:

E in Italia?E in Italia?

O siamo un’isola felice, oppure vige l’omertà…



Presentazioni

Cybercrime

Reazione

Analisi forense

Fasi canoniche

Best Practices

Live forensics

Normativa

In aula

Contatti


di Bari23.02.2009

Il grosso delle violazioni non viene denunciato. Possibili cause:

La compromissione non viene rilevata

Il problema viene "rattoppato" senza indagare ulteriormente

L'indagine rimane interna all'azienda Timore di danno d'immagine Scarsa fiducia o interesse in un'azione legale

Sotto la punta dell’icebergSotto la punta dell’iceberg



Presentazioni

Cybercrime

Reazione

Analisi forense

Fasi canoniche

Best Practices

Live forensics

Normativa

In aula

Contatti


di Bari23.02.2009

Cosa fare, dal punto di vista legale, in caso di accertato accesso abusivo? E' possibile presentare una querela:

Chi: la parte lesa. Nel caso di un'azienza, chi ne ha la rappresentanza legale.

La procedibilità d'ufficio è possibile solo in presenza di aggravantiÈ comunque opportuno che il legale/amministivo sia accompagnato dal tecnicoQuando si tratta di reati con alto profilo tecnico, serve una querela con un profilo tecnico altrettanto alto

Quando: entro 3 mesi dal giorno in cui si è appreso il fatto Dove: qualunque ufficio di Polizia Giudiziaria. Tuttavia la

Polizia Postale è solitamente più avvezza alla materia Cosa serve: tutto! Ogni informazione, dato, rilievo utile a

circostanziare i fatti. Meglio ancora se già filtrato, ma attenti alla conservazione degli originali! Per operare al meglio, sono utili nozioni di computer forensics

E chi chiamerai?E chi chiamerai?



Presentazioni

Cybercrime

Reazione

Analisi forense

Fasi canoniche

Best Practices

Live forensics

Normativa

In aula

Contatti


di Bari23.02.2009

Le procedure di CF ben si inseriscono nel processo di gestione degli incidenti

Un processo di IR non è completo senza una fase di indagine

Nonostante i possibili obiettivi comuni, CF e IR hanno spesso priorità e finalità diverse

Ciò che va bene per l'IR, non è detto che vada altrettanto bene per la CF

sempre se si desidera arrivare in sede di giudizio

Computer Forensics e Incident ResponseComputer Forensics e Incident Response



Presentazioni

Cybercrime

Reazione

Analisi forense

Fasi canoniche

Best Practices

Live forensics

Normativa

In aula

Contatti


di Bari23.02.2009

La computer forensics è la disciplina che si occupa della

preservazione, dell'identificazione, dello studio,

della documentazione dei computer, o dei sistemi

informativi in generale, al fine di evidenziare l’esistenza di prove nello svolgimento dell’attività

investigativa.(A.Ghirardini: “Computer forensics” –

Apogeo)L’obiettivo è dunque quello di evidenziare dei

fatti pertinenti l’indagine da sottoporre a giudizio

Computer ForensicsComputer Forensics



Presentazioni

Cybercrime

Reazione

Analisi forense

Fasi canoniche

Best Practices

Live forensics

Normativa

In aula

Contatti


di Bari23.02.2009

Pervasività delle tecnologie digitali Loro implicazione in attività delittuose

Lo strumento informatico come mezzo Lo strumento informatico come fine

Nonostante la pervasività, il reale funzionamento della tecnologia resta ai più misterioso…

Le tracce digitali possono avere una natura estremamente delicata, che richiede competenze specifiche per la trattazione

Necessità di una metodologia scientificaNecessità di una metodologia scientifica



Presentazioni

Cybercrime

Reazione

Analisi forense

Fasi canoniche

Best Practices

Live forensics

Normativa

In aula

Contatti


di Bari23.02.2009

Confermare o escludere un evento Individuare tracce e informazioni utili

a circostanziarlo Acquisire e conservare le tracce in

maniera idonea, che garantisca integrità e non ripudiabilità

Interpretare e correlare le evidenze acquisite

Riferire con precisione ed efficienza

Scopi di un’analisi forenseScopi di un’analisi forense



Presentazioni

Cybercrime

Reazione

Analisi forense

Fasi canoniche

Best Practices

Live forensics

Normativa

In aula

Contatti


di Bari23.02.2009

Limitare al minimo l'impatto: Primo: non nuocere Non alterare lo stato delle cose

Isolamento della scena del crimine Utilizzo di procedure non invasive

Documentare nel dettaglio ogni intervento

Previene possibili contestazioni Consente in certa misura di ricostruire la situazione

Principi fondamentali di CFPrincipi fondamentali di CF



Presentazioni

Cybercrime

Reazione

Analisi forense

Fasi canoniche

Best Practices

Live forensics

Normativa

In aula

Contatti


di Bari23.02.2009 Identificazione

Acquisizione / Preservazione

Analisi / Valutazione

Presentazione

Le fasi canonicheLe fasi canoniche



Presentazioni

Cybercrime

Reazione

Analisi forense

Fasi canoniche

Best Practices

Live forensics

Normativa

In aula

Contatti


di Bari23.02.2009

Individuare le informazioni o le fonti di informazione disponibili

Comprenderne natura e pertinenza

Individuare il metodo di acquisizione più ideoneo

Stabilire un piano di acquisizione

1. Identificazione1. Identificazione



Presentazioni

Cybercrime

Reazione

Analisi forense

Fasi canoniche

Best Practices

Live forensics

Normativa

In aula

Contatti


di Bari23.02.2009

Il sequestro è un metodo facile, veloce e sicuro, ma non tutti i dati possono essere acquisiti "fisicamente"

Le copie eseguite devono essere identiche all'originale (integrità e non ripudiabilità)

Le procedure devono essere documentate e attuate secondo metodi e tecnologie conosciute, così da essere verificabili dalla controparte

2. Acquisizione2. Acquisizione



Presentazioni

Cybercrime

Reazione

Analisi forense

Fasi canoniche

Best Practices

Live forensics

Normativa

In aula

Contatti


di Bari23.02.2009

Dare un senso a quanto acquisito Estrarre i dati e processarli per ricostruire informazioni Interpretare le informazioni per individuare elementi utili Comprendere e correlare, per affinare le ricerche e trarre conclusioni

E' sicuramente la fase più onerosa di tutto il processo e richiede conoscenze davvero disparate

3- Analisi e valutazione3- Analisi e valutazione



Presentazioni

Cybercrime

Reazione

Analisi forense

Fasi canoniche

Best Practices

Live forensics

Normativa

In aula

Contatti


di Bari23.02.2009

I risultati devono essere presentati in forma facilmente comprensibile

I destinatari non hanno di solito competenze informatiche approfondite Tuttavia è probabile che la relazione venga esaminata da un tecnico della controparte Semplicità e chiarezza, non superficialità e approssimazione

4. Presentazione4. Presentazione



Presentazioni

Cybercrime

Reazione

Analisi forense

Fasi canoniche

Best Practices

Live forensics

Normativa

In aula

Contatti


di Bari23.02.2009

Manca una validazione "locale" degli strumenti impiegati

Negli Stati Uniti il NIST testa e certifica gli strumenti hardware e softwareIn Italia manca un istituto analogo

Manca una metodologia legalmente riconosciuta o una giurisprudenza affermata in materia

La questione anzi pare spesso considerata di scarsa rilevanza giuridica

Problemi proceduraliProblemi procedurali



Presentazioni

Cybercrime

Reazione

Analisi forense

Fasi canoniche

Best Practices

Live forensics

Normativa

In aula

Contatti


di Bari23.02.2009

In Italia, nessuna istituzione pubblica si è presa la briga di compilare delle linee guida per le indagini digitali

All'estero ci sono diverse fonti interessanti:IACP: International Association of Chiefs of Police

Best Practices for Seizing Electronic EvidenceCERT: Computer Emergency Response Team (Carnegie Mellon University)

First Responders Guide to Computer ForensicsIACIS: International Association of Computer Investigative Specialists

IACIS Forensics ProceduresNIST: National Institute of Standards and Technology

Guide to Integrating Forensics Techniques into Incident ResponseGuidelines on Cell Phone ForensicsGuidelines on PDA Forensics

US Department of Justice:Search and Seizure Manual

UK ACPO: Association of Chief Police OfficersComputer based evidence

Best practices internazionaliBest practices internazionali



Presentazioni

Cybercrime

Reazione

Analisi forense

Fasi canoniche

Best Practices

Live forensics

Normativa

In aula

Contatti


di Bari23.02.2009

Pubblicata nel febbraio 2002, è ancora un non smentito punto di riferimento internazionale. Tra le altre cose consiglia:

Documentare dettagliatamente ogni operazione svolta Chiari riferimenti temporali Indicazione di eventuali discrepanze

Evitare tecniche invasive o limitare l'impatto all'irrinunciabile, preferendo strumenti ben documentabili

Isolare il sistema da fattori esterni che possono modificarlo (attenzione: l'attività potrebbe essere rilevata)

Nella scelta tra acquisizione e analisi, prima si acquisisce e poi si analizza

Essere metodici e implementare automatismi (attenzione: arma a doppio taglio…)

Procedere dalle fonti più volatili alle meno volatili Eseguire copie bit-level (bit stream image) e lavorare su

esse

La RFC3227La RFC3227Guidelines for Evidence Collection and ArchivingGuidelines for Evidence Collection and Archiving



Presentazioni

Cybercrime

Reazione

Analisi forense

Fasi canoniche

Best Practices

Live forensics

Normativa

In aula

Contatti


di Bari23.02.2009

Procedura necessaria per poter tracciare lo stato di un reperto e la relativa responsabilità in qualsiasi momento della sua esistenza. Deve documentare chiaramente:

Dove, quando e da chi l’evidence è stata scoperta e acquisita

Dove, quando e da chi è stata custodita o analizzata Chi l’ha avuta in custodia e in quale periodo Come è stata conservata Ad ogni passaggio di consegna, dove, come e tra chi è stata

trasferita

Gli accessi all’evidence devono essere estremamente ristretti e chiaramente documentati. Devono potersi rilevare accessi non autorizzati.

Chain of custodyChain of custody



Presentazioni

Cybercrime

Reazione

Analisi forense

Fasi canoniche

Best Practices

Live forensics

Normativa

In aula

Contatti


di Bari23.02.2009

L'acquisizione va fatta rispettando l'ordine di volatilità

Per i sistemi in esecuzione: Registri, cache Memorie RAM Stato della rete (connessioni stabilite, socket in ascolto, applicazioni coinvolte, cache ARP, routing table, DNS cache ecc…)

Processi attivi File system temporanei Dischi

Piano di acquisizionePiano di acquisizione



Presentazioni

Cybercrime

Reazione

Analisi forense

Fasi canoniche

Best Practices

Live forensics

Normativa

In aula

Contatti


di Bari23.02.2009

Dopo l'eventuale spegnimento, si prosegue con:

Dischi (post-mortem) Log remoti Configurazione fisica e topologia di rete Floppy, nastri e altri dispositivi di backup Supporti ottici, stampe ecc.

Ordine di volatilità Ordine di volatilità (segue)(segue)



Presentazioni

Cybercrime

Reazione

Analisi forense

Fasi canoniche

Best Practices

Live forensics

Normativa

In aula

Contatti


di Bari23.02.2009

Analisi Analisi LiveLive vs vs Post-mortemPost-mortem

Quando si interviene su un sistema acceso, si è davanti ad una scelta:

Spegnerlo subito per procedere ad acquisizione e analisi post-mortem Esaminarlo mentre è in esecuzione

Entrambe le scelte hanno pro e contro, dipendenti anche da:

Competenza del personale impiegato Strumentazione a disposizione Perdita di dati (o di servizi) e loro rilevanza

Nel caso, valutare la modalità di spegnimento



Presentazioni

Cybercrime

Reazione

Analisi forense

Fasi canoniche

Best Practices

Live forensics

Normativa

In aula

Contatti


di Bari23.02.2009



Presentazioni

Cybercrime

Reazione

Analisi forense

Fasi canoniche

Best Practices

Live forensics

Normativa

In aula

Contatti


di Bari23.02.2009

Se il sistema è in esecuzione, qualsiasi azione lo modificherà

tanto vale intraprendere azioni utili… Se il sistema non è fisicamente rimovibile Se il sistema non può essere spento Se il sistema non può essere acquisito

nella sua interezza Se le informazioni volatili possono essere

rilevanti ai fini dell'indagine In particolar modo, se occorre acquisire il

traffico di rete riguardante la macchina

Quando è necessario un intervento Quando è necessario un intervento livelive



Presentazioni

Cybercrime

Reazione

Analisi forense

Fasi canoniche

Best Practices

Live forensics

Normativa

In aula

Contatti


di Bari23.02.2009

Il sistema viene sicuramente alterato le modifiche sono note? sono documentabili? intaccano significativamente il risultato dell'analisi? ogni modifica distrugge qualcosa

Gli accertamenti svolti su sistemi accesi non saranno ripetibili

InvasivitàInvasività



Presentazioni

Cybercrime

Reazione

Analisi forense

Fasi canoniche

Best Practices

Live forensics

Normativa

In aula

Contatti


di Bari23.02.2009

L'intervento dell'utente deve essere ridotto al minimo Ogni azione deve essere indispensabile e meno invasiva

possibile Le modifiche ai dati memorizzati staticamente devono

essere ridotte all'inevitabile Le aquisizioni hanno priorità secondo l'ordine di volatilità Ogni azione intrapresa deve essere scrupolosamente

verbalizzata, con gli opportuni riferimenti temporali Gli strumenti utilizzati devono essere fidati, il più possibile

indipendenti dal sistema e impiegare il minimo delle risorse; non devono produrre alterazioni né ai dati né ai metadati

I dati estratti vanno sottoposti ad hash e duplicati prima di procedere all'analisi

I dati che non sono volatili devono preferibilmente essere acquisiti secondo metodologia tradizionale

Live forensics best practicesLive forensics best practices



Presentazioni

Cybercrime

Reazione

Analisi forense

Fasi canoniche

Best Practices

Live forensics

Normativa

In aula

Contatti


di Bari23.02.2009

Più in generale: E’ necessario comprendere le azioni che

si stanno per compiere e le loro conseguenze

In caso contrario, è indispensabile ricorrere a personale specializzato

E’ consigliabile attenersi agli obiettivi dell’indagine, evitando divagazioni

La live forensics non dovrebbe sostituirsi all'analisi post-mortem, ma esserne complementare

Live forensics best practicesLive forensics best practices



Presentazioni

Cybercrime

Reazione

Analisi forense

Fasi canoniche

Best Practices

Live forensics

Normativa

In aula

Contatti


di Bari23.02.2009

Rootkit user space (ring 3) kernel space (ring 0) VM based

Non sempre è facile rilevarli

Possono rilevare l'azione dei tool forensi

Possono quindi alterarne i risultati, p.e. impedendo l'acquisizione di un'evidence

Rendono necessaria l'analisi post-mortem

Nemici delle live forensicsNemici delle live forensics



Presentazioni

Cybercrime

Reazione

Analisi forense

Fasi canoniche

Best Practices

Live forensics

Normativa

In aula

Contatti


di Bari23.02.2009

Se si decide di spegnere il sistema, scegliere la modalità più opportuna:1) Procedura canonica (in genere deprecata)

le normali procedure alterano numerose informazioni sul disco!ogni scrittura sovrascrive dati preesistenti (rilevanti?)è possibile siano state predisposte procedure di "pulizia"

2) Interrompendo l'alimentazioneL'impatto sui dati è solitamente minore che con lo shutdown del sistemaPer contro, potrebbero perdersi dati non ancora registrati su disco

Operazioni di scrittura ancora in cacheTransazioni DBProblemi di coerenza al successivo riavvioDanni ai componenti elettronici

Metodi di spegnimentoMetodi di spegnimento



Presentazioni

Cybercrime

Reazione

Analisi forense

Fasi canoniche

Best Practices

Live forensics

Normativa

In aula

Contatti


di Bari23.02.2009



Presentazioni

Cybercrime

Reazione

Analisi forense

Fasi canoniche

Best Practices

Live forensics

Normativa

In aula

Contatti


di Bari23.02.2009

Raccolta delle proveRaccolta delle prove

Oltre che dalla Polizia Giudiziaria, le prove possono essere raccolte anche da altri soggetti:

il Pubblico Ministero durante le indagini preliminari;

la parte sottoposta a indagine, a fini difensivi;

la parte offesa, per valutare l'opportunità di una denuncia o querela.



Presentazioni

Cybercrime

Reazione

Analisi forense

Fasi canoniche

Best Practices

Live forensics

Normativa

In aula

Contatti


di Bari23.02.2009

Prove atipicheProve atipiche

Art.189 c.p.p. comma 1: Prove non disciplinate dalla legge Quando è richiesta una prova non disciplinata dalla legge, il giudice può assumerla se essa risulta idonea ad assicurare l’accertamento dei fatti e non pregiudica la libertà morale della persona. Il giudice provvede all’ammissione, sentite le parti sulle modalità di assunzione della prova.



Presentazioni

Cybercrime

Reazione

Analisi forense

Fasi canoniche

Best Practices

Live forensics

Normativa

In aula

Contatti


di Bari23.02.2009

Indagini difensiveIndagini difensive

Principio di parità tra accusa e difesa L. 397/2000: Disposizioni in materia di indagini difensive

Art. da 391bis a 391decies cpp

Il difensore, gli investigatori privati, i consulenti tecnici possono:

Ricevere dichiarazioni dalle persone in grado di riferire su circostanze utiliRichiedere documentazione alla Pubblica AmministrazionePrendere visione dello stato di luoghi e cose ed effettuare rilieviAccedere a luoghi privati o non aperti al pubblico, eventualmente su autorizzazione del giudice, al solo fine di ispezione.



Presentazioni

Cybercrime

Reazione

Analisi forense

Fasi canoniche

Best Practices

Live forensics

Normativa

In aula

Contatti


di Bari23.02.2009

Art.391-nonies: Art.391-nonies: Attività investigativa preventivaAttività investigativa preventiva

L’attività investigativa del difensore (Art.327-bis) può essere svolta anche preventivamente, su apposito mandato e per l’eventualità che si instauri un procedimento penale.

Il difensore può incaricare dell'attività il sostituto, l'investigatore privato autorizzato o il consulente tecnico

L'attività investigativa preventiva non può comprendere atti che richiedono l'autorizzazione dell'Autorità GiudiziariaSi possono dunque svolgere autonomamente indagini private in attesa di valutare l'eventualità di procedere a un'azione penale e/o civile.



Presentazioni

Cybercrime

Reazione

Analisi forense

Fasi canoniche

Best Practices

Live forensics

Normativa

In aula

Contatti


di Bari23.02.2009

Per la prima volta, vengono introdotte procedure di acquisizione dell'evidenza informatica, mediante l'imposizione dell'adozione di misure tecniche dirette ad assicurare la conservazione dei dati originali e ad impedirne l'alterazione;

Adozione di procedure che assicurino la conformità dei dati acquisiti a quelli originali e la loro immodificabilità.

Le novità riguardano, tra l'altro, gli articoli relativi a perquisizione, ispezione, sequestro, accertamenti urgenti, oltre al concetto stesso di corpo del reato.

Legge 48/2008Legge 48/2008



Presentazioni

Cybercrime

Reazione

Analisi forense

Fasi canoniche

Best Practices

Live forensics

Normativa

In aula

Contatti


di Bari23.02.2009



Presentazioni

Cybercrime

Reazione

Analisi forense

Fasi canoniche

Best Practices

Live forensics

Normativa

In aula

Contatti


di Bari23.02.2009

Per essere ammessa nel processo civile o penale, la prova deve essere idonea a dimostrare i fatti a cui si riferisce.

Nel processo civile, è onere della parte raccogliere e conservare le prove in maniera tale che non rischino di essere considerate inidonee.

Se il metodo di raccolta è opinabile e la conservazione incerta, la prova può perdere facilmente di attendibilità.

Più i procedimenti sono rigorosi e documentati, più è probabile che il giudice ne riconosca l'idoneità (per questa valutazione il giudice può avvalersi di consulenti tecnici).

Idoneità della Computer ForensicsIdoneità della Computer Forensics



Presentazioni

Cybercrime

Reazione

Analisi forense

Fasi canoniche

Best Practices

Live forensics

Normativa

In aula

Contatti


di Bari23.02.2009

Nel procedimento penale è il giudice che deve verificare la validità scientifica dei metodi d'indagine per stabilirne l'affidabilità:"Nel valutare i risultati di una perizia, il giudice deve verificare la stessa validità scientifica dei criteri e dei metodi di indagine utilizzati dal perito, allorché essi si presentino come nuovi e sperimentali e perciò non sottoposti al vaglio di una pluralità di casi ed al confronto critico tra gli esperti del settore, sì da non potersi considerare ancora acquisiti al patrimonio della comunità scientifica. Quando, invece, la perizia si fonda su cognizioni di comune dominio degli esperti e su tecniche di indagine ormai consolidate, il giudice deve verificare unicamente la corretta applicazione delle suddette cognizioni e tecniche. " Cass. Pen. Sez. V, 9 luglio 1993, Arch. nuova proc.pen. 1994, 226; Giust. pen. 1994, III, 42.

Idoneità della Computer ForensicsIdoneità della Computer Forensics



Presentazioni

Cybercrime

Reazione

Analisi forense

Fasi canoniche

Best Practices

Live forensics

Normativa

In aula

Contatti


di Bari23.02.2009

La difesa mise in discussione la correttezza del metodo utilizzato dalla p.g. per estrarre i programmi dal computer. Nella sentenza di legge:

"Il tema […] appare nella fattispecie in esame di secondo rilievo." "non è compito di questo Tribunale determinare un protocollo relativo alle

procedure informatiche forensi, ma semmai verificare se il metodo utilizzato dalla p.g. nel caso in esame abbia concretamente alterato alcuni dei dati ricercati."

"non è permesso al Tribunale escludere a priori i risultati di una tecnica informatica utilizzata a fini forensi solo perché alcune fonti ritengono ve ne siano di più scientificamente corrette, in assenza della allegazione di fatti che suggeriscano che si possa essere astrattamente verificata nel caso concreto una qualsiasi forma di alterazione dei dati"

"quando anche il metodo utilizzato dalla p.g. non dovesse ritenersi conforme alla migliore pratica scientifica, in difetto di prova di una alterazione concreta, conduce a risultati che sono, per il principio di cui all’art. 192 c.p.p., liberamente valutabili dal giudice alla luce del contesto probatorio complessivo (fermo restando che maggiore è la scientificità del metodo scelto, minori saranno i riscontri che il giudice è chiamato a considerare per ritenere attendibili gli esiti delle operazioni tecniche).

Sentenza 1823/05 del Tribunale di BolognaSentenza 1823/05 del Tribunale di Bologna



Presentazioni

Cybercrime

Reazione

Analisi forense

Fasi canoniche

Best Practices

Live forensics

Normativa

In aula

Contatti


di Bari23.02.2009

[...]le indagini non proseguirono con sufficiente approfondimento poiché ci si limitò ad interpellare la ditta senza alcuna formale acquisizione di dati e senza alcuna verifica circa le modalità della conservazione degli stessi allo scopo di assicurarne la genuinità e l'attendibilità nel tempo.[…][l'U.P.G.] ha poi aggiunto di non essere andato sul posto e di non essere in grado di riferire circa le "operazioni tecniche che sono state compiute da Technorail per estrarre questi dati".Se a ciò aggiungiamo che questi dati provenivano dalla stessa persona offesa e che trattasi di dati tecnici di particolare delicatezza e manipolabilità ci pare che il dato acquisito sia minimo e del tutto insufficiente a fondare qualsivoglia affermazione di responsabilità al di là del ragionevole dubbio con la conseguenza che il prevenuto deve essere mandato assolto con la già annunciata formula.

Sentenza 175/2006 del Tribunale di Chieti Sentenza 175/2006 del Tribunale di Chieti



Presentazioni

Cybercrime

Reazione

Analisi forense

Fasi canoniche

Best Practices

Live forensics

Normativa

In aula

Contatti


di Bari23.02.2009

ContattiContatti

Compartimento Polizia Postale e Compartimento Polizia Postale e delle Comunicazioni per la delle Comunicazioni per la

LombardiaLombardiaVia Moisè Loria, 74 - 20144 – MILANOVia Moisè Loria, 74 - 20144 – MILANO

Tel. 02/43.33.3011 – Fax 02/43.33.3067Tel. 02/43.33.3011 – Fax 02/43.33.3067

E-mail:E-mail: [email protected] [email protected]

Assistente Assistente Davide GABRINIDavide [email protected] [email protected]

UFFICIO UFFICIO TECNICOTECNICO

ass. davide gabrini ufficio tecnico ass. davide gabrini ufficio tecnico presentazioni cybercrime...

Documents