la prova informatica nel processo penale - aspetti tecnici e giuridici

LA PROVA INFORMATICA LA PROVA INFORMATICA NEL PROCESSO PENALENEL PROCESSO PENALE

Aspetti Tecnici e GiuridiciAspetti Tecnici e GiuridiciIvrea 4 maggio 2007Ivrea 4 maggio 2007

Seminari di Diritto Penale dell'InformaticaSeminari di Diritto Penale dell'InformaticaOsservatorio CSIG Ivrea & Camera Penale Vittorio ChiusanoOsservatorio CSIG Ivrea & Camera Penale Vittorio Chiusano

Denis FratiDenis Frati

LA PROVA INFORMATICA NEL PROCESSO PENALE LA PROVA INFORMATICA NEL PROCESSO PENALE Aspetti Tecnici e Giuridici Ivrea 4 maggio 2007Aspetti Tecnici e Giuridici Ivrea 4 maggio 2007


In principio:

La casistica correlata all'acquisizione e all'analisi di prove digitali era limitata (1nni 7080) a reati prettamente informatici, ovvero dove il computer rappresentava il tramite attraverso cui commettere il reato o il target stesso dell'azione criminosa.



Attualmente:

I dispositivi elettronici/digitali hanno avuto diffusione di massa, divenendo compendio della vita quotidiana.Il loro utilizzo, non più legato al solo ambito informatico, implica la presenza di informazioni digitali, rilevanti ai fini dell'indagine, sulla scena di crimini comuni, in quanto dispositivi usati dall'autore del reato nella organizzazione/realizzazione dell'atto criminoso e/o dalla vittima.



sarà possibile

individuare

sulla scena del crimine



Definizione “Prova digitale”:

“Qualsiasi informazione, con valore probatorio, che sia o memorizzata o trasmessa in un formato digitale”

(Scientific Working Group on Digital Evidence, 1998)

L'informazione digitale è l'unica interpretabile da dispositivi elettronico/digitali, in quanto rappresentazione nel linguaggio binario, composto da 1 (uno) e 0 (zero), delle condizioni si/no, vero/falso, on/offL'unità minima è definita bit (binary unit)

Il mantenimento delle informazioni nella memoria dei dispositivi elettronici avviene attraverso la polarizzazione di unità fisiche costituenti i supporti di memoria magnetici e magnetoottici.



Perquisizione

Sequestro(fonte di prova)

Acquisizione della prova

(quale insieme dati contenuti sul supporto)

Estrazione dati/file rilevanti

(elementi di prova)

DibattimentoDibattimento

Notizia di reato

Il Valore Probatorio della prova è garantito da:● autenticità● integrità● veracità● completezza● legalità



perviene alla prova digitale, mantenendone

il valore probatorio

attraverso● identificazione● preservazione● acquisizione● analisi● presentazione

Digital forensics computer forensics

mobile forensics

network forensics



Identificazione:

attività volta, attraverso: ➔ l'analisi esterna

✔ dei dispositivi elettronico/digitali✔ dei supporti di memoria

➔ l'analisi a basso livello della logica dei supporti di memoria➔ l'hashing dei dati di interesse

al riconoscimento inequivocabile ed univoco dei dispositivi, dei supporti e dei dati.



Preservazione:

è quell'insieme di procedure tecnico/burocratiche volte a garantire la non alterazione della prova, quale insieme di dati digitali.si esplica:

➔ tecnicamente attraverso:✔ l'uso di hardware/software writeblocker✔ la sua duplicazione bit a bit✔ lo svolgimento dell'analisi sulle sole copie

➔ burocraticamente e formalmente attraverso:✔ la tracciabilità degli spostamenti (consegna/presa in carico)

subiti dalla prova:➢ ambito giudiziario: verbale di sequestro, di consegna o

affidamento, di deposito c/o uff. prove di reato➢ ambito civile: chain of custody (catena di custodia)

✔ la registrazione delle attività svolte sulla prova



Acquisizione (1):

attività volta alla copia dei dati presenti su supporti di memoria, o in transito nella rete.

deve :➔ garantire l'identicità dei dati tra copia e originale➔ non causare alterazioni nei dati/prova originali➔ essere scrupolosamente documentata

può essere effettuata:➔ in locale su host vittima o su forensic workstation➔ attraverso la rete (netcat)➔ in modalità live o postmortem



Acquisizione (2):

è una fase estremamente delicata, nella quale si potrebbero produrre alterazione dei dati/prova, se:

➔ il sequestro del dispositivo viene effettuato da operatori non esperti➔ non viene utilizzato hardware/software writeblocker➔ vengono utilizzati software non validati a fini forensi



Acquisizione (3):

i write blocker hardware sono dispositivi che vengono interposti tra il sistema che deve effettuare l'acquisizione e il supporto di memoria sul risiedono i dati di interesse

i software writeblocker consentono su sitemi operativi Unixlike di “montare” dispositivi e immagini in modalità di sola lettura

root# mount t vfat o ro,noexec /dev/sorg /mnt/punto_di_mount



Acquisizione (4):

provadigitale

minime quantità di dati (bytes)

perdita dati rilevanti

acquisizionecon parametrinon corretti



Acquisizione (5):

L'identicità speculare bit a bit, dei dati originali e di quelli prodotti come copia viene certificata attraverso il confronto degli HASH.L'algoritmo di hash trasforma una quantità di bit arbitraria in un output di lunghezza fissa.

Ivrea è bella

ALGORITMOdi

HASHMD5

885b9c97cf70c551d855b68a5354bc81

d9cd79e44d75c0b3a70b754d18b795fa

70dc1f163cc96dd2b58387e259d6c072



Analisi (1):

attività volta alla ricerca e identificazione dell'informazione, rilevante ai fini probatori (elemento di prova), svolta sui dati (quali insieme di bit) acquisiti.

l'analisi deve:➔ essere scrupolosamente documentata

✔ procedimenti svolti✔ sistema forense (hardware, sistema operativo e tools) utilizzato

➔ essere ripetibile➔ non apportare modifiche alla prova



Analisi (2):

l'analisi deve essere svolta in aderenza all'informazione da ricercare, potendo/dovendo prendere in considerazione:➔ files di sistema➔ files di log➔ files utente, documenti ufficio, email, testo, immagini, audio, video,

ecc..➔ files protetti da password➔ cronologia internet➔ spazio non allocato➔ spazio di slack➔ partizioni/files di swap➔ files cancellati➔ files criptati➔ files steganografati



Analisi (3) i tools:

Gli strumenti software utilizzati per l'analisi:non sono ancora certificati da alcun ente/organo/istituto

devono: ➔ garantire che nessuna modifica venga apportata ai dati➔ essere licenziati, se non distribuiti gratuitamente➔ non essere provento di cracking/pirateria

➔ essendone illecito l'utilizzo➔ non potendo garantire che il cracking non comporti modifiche al

funzionamentopossono essere:➔ open source: è possibile analizzare i processi logici a cui sono

sottoposti i dati➔ closed source: tipico dei software commerciali, non consente l'analisi

della logica di funzionamento, la verifica dei processi a cui i dati sono sottoposti

VSVS



Analisi (4) i tools:

I software closed source (EnCase, FTK, XWay Forensic, ecc..) offrono:➔ interfaccia user friendly➔ tools integrati (editor esadecimale, player, password cracker, hashing, log

attività, ecc...)➔ compilazione reportisticanon dispongono di larga compatibilità verso i file system non nativi

I software/sistemi open source (ambiente Unixlike) offrono:➔ ampio riconoscimento file systemnon offrono:➔ tools integrati in un'unica interfaccia grafica➔ compatibilità applicativi sviluppati per differenti SO➔ compilazione reportistica

Esistono, in ambiente Linux, interfacce grafiche che integrano i differenti tools in un'unica interfaccia (non gratuiti):➔ SMART di ASR Data➔ THE FARMER'S BOOT CD



Analisi (5) i tools/sistemi open source:

particolare attenzione meritano i Forensic Boot CD basati su GNU/Linux



Analisi (6) rischi:

Mostriamo in pratica quanto una prova digitale sia fragile: ipotizzando di star svolgendo un'analisi live, consideriamo il file immagine fccu_2.JPG. L'intefaccia Windows del boot live cd HELIX indica che l'immagine è stata

creata e modificata in data:12 marzo 2007e l'ultimo accesso al file è avvenuto in data:3 aprile 2007



Analisi (7) rischi:

Se l'analista forense prende visione del contenuto del disco rigido, per esempio visionando le immagini (come sotto mostrato), i filmati, o i documenti di testo, causerà la modifica del time stamp dei file.

se controlliamo nuovamente il time stamp notiamo che la data dell'ultimo accesso è cambiata:3 maggio 2007 !!

la prova è alterata !!



Presentazione:

Il procedimento di investigazione della prova digitale si conclude con la presentazione di:

➔ informazioni estratte dai dati recuperati➔ correlazione esistente tra informazione digitale e fatto reato➔ procedimenti di identificazione, preservazione, acquisizione e analisi➔ dispositivi e software utilizzati➔ dati estratti/recuperati su supporto digitale



Riferimenti (1) siti:

➔ Legal Electronic Forensics Team (L.E.F.T.), progetto di ricerca (e gruppo di studio) della Cattedra di Informatica Giuridica Avanzata dell'Università degli Studi di Milano http://www.avanzata.it/left/

➔ Cybercrimes.it, computer forensics e crimine informatico http://www.cybercrimes.it/

➔ Marco Mattiucci, il sito del maggiore dei Carabinieri http://www.marcomattiucci.it/

➔ Corso Informatica Forense, università degli Studi di Bologna http://www.informaticaforense.it/

➔ International Information Systems Forensic Association http://www.iisfa.it/

http://www.avanzata.it/left/

http://www.cybercrimes.it/

http://www.marcomattiucci.it/

http://www.informaticaforense.it/

http://www.iisfa.it/



Riferimenti (2) – blog e forum:

➔ Forensics Web Log, il blog dell'Avv. Federica Bertoni http://4ensix.blogspot.com/

➔ Computer Forensics, il blog del Prof. Giovanni Ziccardi http://forensics.typepad.com/

➔ Computer Forensics, il blog di Andrea Ghirardini http://forensicsbypila.blogspot.com/

➔ Cybercrimes.it forum http://www.cybercrimes.it/forum/ ➔ DigitalSherlock, il forum di Nani Bassetti Consulente tecnico

http://www.nannibassetti.com/cf ➔ IRItaly blog – il blog del progetto http://iritaly.blogspot.com/

http://4ensix.blogspot.com/

http://forensics.typepad.com/

http://forensicsbypila.blogspot.com/

http://www.cybercrimes.it/forum/

http://www.nannibassetti.com/cf

http://iritaly.blogspot.com/



Riferimenti (3) – boot live cd:

➔ IRItaly, il progetto e il boot live cd http://www.iritalylivecd.org/ ➔ Deft Computer Forensics, il progetto e il boot live cd

http://www.stevelab.net/deft/ ➔ Helix, progetto e boot live cd http://www.efense.com/helix/ ➔ FCCU, il boot live cd della Polizia Belga

http://www.lnx4n6.be/index.php ➔ Penguin Sleuth, macchina virtuale e boot live cd

http://www.linuxforensics.com/ ➔ SMART http://www.asrdata.com/SMART/➔ The Farmer's Boot Cd http://www.forensicbootcd.com

http://www.iritaly-livecd.org/

http://www.stevelab.net/deft/

http://www.e-fense.com/helix/

http://www.lnx4n6.be/index.php

http://www.linux-forensics.com/

http://www.asrdata.com/SMART/

http://www.forensicbootcd.com/

la prova informatica nel processo penale - aspetti tecnici e giuridici

Technology