smau milano 2015 - alessandro bonu
TRANSCRIPT
“Classificazione e profilazione dei referti investigativi sulle fattispecie criminose”
Aspetti metodologici applicati alla disciplina della Digital Forensics in relazione all’evoluzione delle nuove tecnologie
Alessandro Bonu [email protected]
“Classificazione e profilazione dei referti investigativi sulle fattispecie criminose” a cura di Alessandro Bonu
www.diricto.itict4forensics.diee.unica.it
Premessa• la diffusione di apparati tecnologici sul mercato globale
ha raggiunto numeri significativi e il trend di crescita continua ad essere decisamente alto
• cresce esponenzialmente il fattore di calcolo ma soprattutto la capacità di memoria, numero e tipologia dei dispositivi che le forze dell’ordine si trovano a reperire e analizzare per tutte le fasi correlate alle indagini di Digital Forensics
• in questo scenario si sente la necessità di nuove strategie per snellire e velocizzare i lavori di indagine
“Classificazione e profilazione dei referti investigativi sulle fattispecie criminose” a cura di Alessandro Bonu
www.diricto.itict4forensics.diee.unica.it
• da una stima già del 2013 la mole di dati generata aveva raggiunto i 4 zettabytes = 1 triliardo di dati
• il mercato Big Data Analytics in Italia, cresce anche nel 2014 (+25%) è quanto emerge dalla ricerca 2014 dell’Osservatorio Big Data Analytics & Business Intelligence
• questa crescita è sostenuta più che da un utilizzo consapevole di questi strumenti, dalla disponibilità di tecnologie a basso costo, oggi a portata di “tutti”
Big Data
“Classificazione e profilazione dei referti investigativi sulle fattispecie criminose” a cura di Alessandro Bonu
www.diricto.itict4forensics.diee.unica.it
Crimini informatici
• possono assumere varie forme
• possono essere perpetrati sempre e ovunque
• nel consiglio Europeo sulla criminalità informatica, vengono definiti con termine noto di CYBERCRIME
ma il cybercrime oggi non è questo..
“Classificazione e profilazione dei referti investigativi sulle fattispecie criminose” a cura di Alessandro Bonu
www.diricto.itict4forensics.diee.unica.it
Cybercrime
..oggi sono questi
“Classificazione e profilazione dei referti investigativi sulle fattispecie criminose” a cura di Alessandro Bonu
www.diricto.itict4forensics.diee.unica.it
Last news tecnologiche
“Classificazione e profilazione dei referti investigativi sulle fattispecie criminose” a cura di Alessandro Bonu
www.diricto.itict4forensics.diee.unica.it
• Il Cyber crimine nel mondo è aumentato del 30% nei primi 6 mesi del 2015 ed è ormai la causa di circa il 60% degli attacchi informatici gravi avvenuti a livello globale nello stesso periodo
• sono le "infrastrutture critiche", come le reti per l'energia e le telecomunicazioni a registrare la crescita maggiore, passando da 2 attacchi nella seconda metà del 2014 a 20 nella prima metà del 2015, con un incremento del 900%
Rapporto Clusit sulla sicurezza informatica globale presentato a Verona - 2015
“Classificazione e profilazione dei referti investigativi sulle fattispecie criminose” a cura di Alessandro Bonu
www.diricto.itict4forensics.diee.unica.it
• crescita a tre cifre anche per gli attacchi che riguardano l'automotive, cioè le auto connesse a Internet: +400%
• supermercati e la grande distribuzione: +400%
• informazione ed entertainment, cioè siti e testate online, piattaforme di giochi e blogging: +179%
• il rapporto Clusit evidenzia - sempre nei primi sei mesi del 2015 - il raddoppio degli attacchi informatici subito dalle realtà che operano nella sanità, che segna un +81%
• I servizi online (mail, social network, siti di e-Commerce e piattaforme Cloud) segnano una crescita degli incidenti di oltre il 50%, a dimostrazione di quanto gli attacchi gravi siano mirati a tutte le tipologie di servizi erogati via Internet
Rapporto Clusit sulla sicurezza informatica globale presentato a Verona - 2015
“Classificazione e profilazione dei referti investigativi sulle fattispecie criminose” a cura di Alessandro Bonu
www.diricto.itict4forensics.diee.unica.it
Rapporto CLUSIT 2015 sulla sicurezza ICT in Italia
5%
8%
27%
60%
CybercrimeHack,vismEspionage/SabotageCyberwarfare
“Classificazione e profilazione dei referti investigativi sulle fattispecie criminose” a cura di Alessandro Bonu
www.diricto.itict4forensics.diee.unica.it
Trend di crescita delle minacce nel 2015
PiattaformediSocialNetwork
SistemiPOS
DispositiviMobile
Logicheestorsiveransomware
“Classificazione e profilazione dei referti investigativi sulle fattispecie criminose” a cura di Alessandro Bonu
www.diricto.itict4forensics.diee.unica.it
ma come impattano queste cifre sulla Digital Forensics?
+ crimini = + indagini
“Classificazione e profilazione dei referti investigativi sulle fattispecie criminose” a cura di Alessandro Bonu
www.diricto.itict4forensics.diee.unica.it
ma se oggi i cyber criminali sono questi?
con quali armi dobbiamo contrastarli?
sinergie di più forze
“Classificazione e profilazione dei referti investigativi sulle fattispecie criminose” a cura di Alessandro Bonu
www.diricto.itict4forensics.diee.unica.it
Dualismo della Digital Forensics
“Classificazione e profilazione dei referti investigativi sulle fattispecie criminose” a cura di Alessandro Bonu
www.diricto.itict4forensics.diee.unica.it
IoT
Automotive
Altrefrontiere..?
Ambiti della Digital Forensics
“Classificazione e profilazione dei referti investigativi sulle fattispecie criminose” a cura di Alessandro Bonu
www.diricto.itict4forensics.diee.unica.it
altre frontiere..
“Classificazione e profilazione dei referti investigativi sulle fattispecie criminose” a cura di Alessandro Bonu
www.diricto.itict4forensics.diee.unica.it
di fronte a questi scenari come si pone l’attività di indagine da parte degli
investigatori forensi?
“Classificazione e profilazione dei referti investigativi sulle fattispecie criminose” a cura di Alessandro Bonu
www.diricto.itict4forensics.diee.unica.it
Metodologie di indagine• le metodologie di base restano
invariate e supportate dalle best practices
• le strade da seguire sono due:
1. il mezzo tecnologico è vittima di un crimine
2. il mezzo tecnologico è il tramite per compiere un’azione criminosa
“Classificazione e profilazione dei referti investigativi sulle fattispecie criminose” a cura di Alessandro Bonu
www.diricto.itict4forensics.diee.unica.it
Work flow classico di investigazione forense
IDENTIFICAZIONE
repertamentoACQUISIZIONE
copia forense
ANALISI
estrazione dei dati
PRESENTAZIONE
relazione finale
CATENADI
CUSTODIAINDAGINE
“Classificazione e profilazione dei referti investigativi sulle fattispecie criminose” a cura di Alessandro Bonu
www.diricto.itict4forensics.diee.unica.it
tipologie delle scene del crimine
“Classificazione e profilazione dei referti investigativi sulle fattispecie criminose” a cura di Alessandro Bonu
www.diricto.itict4forensics.diee.unica.it
INDAGINE
Uno o pochi soggetti coinvolti
“Classificazione e profilazione dei referti investigativi sulle fattispecie criminose” a cura di Alessandro Bonu
www.diricto.itict4forensics.diee.unica.it
INDAGINE
Pochi o molti soggetti coinvolti
“Classificazione e profilazione dei referti investigativi sulle fattispecie criminose” a cura di Alessandro Bonu
www.diricto.itict4forensics.diee.unica.it
INDAGINE
Realtà aziendali
“Classificazione e profilazione dei referti investigativi sulle fattispecie criminose” a cura di Alessandro Bonu
www.diricto.itict4forensics.diee.unica.it
INDAGINE
Organizzazioni evolute
“Classificazione e profilazione dei referti investigativi sulle fattispecie criminose” a cura di Alessandro Bonu
www.diricto.itict4forensics.diee.unica.it
INDAGINE
Organizzazioni Enterprise e oltre confine
“Classificazione e profilazione dei referti investigativi sulle fattispecie criminose” a cura di Alessandro Bonu
www.diricto.itict4forensics.diee.unica.it
Reperti nella scena del crimine
“Classificazione e profilazione dei referti investigativi sulle fattispecie criminose” a cura di Alessandro Bonu
www.diricto.itict4forensics.diee.unica.it
Attività sulla scena del crimine
“Classificazione e profilazione dei referti investigativi sulle fattispecie criminose” a cura di Alessandro Bonu
www.diricto.itict4forensics.diee.unica.it
L’analisi classica• questa attività riguarda l’estrapolazione, interpretazione
e correlazione dei dati al fatto criminoso
• si applica sempre alle copie forensi e mai ai reperti originali
• si tratta di un’analisi approfondita e organizzata rispetto a ciò che accade in sede di “live forensics” dove i tempi impongono delle marce più alte
• l’obiettivo è rispondere a quesiti ben precisi ma il modus operandi è a discrezione degli operatori, sempre sulla linea delle “best practices” e normative di riferimento
“Classificazione e profilazione dei referti investigativi sulle fattispecie criminose” a cura di Alessandro Bonu
www.diricto.itict4forensics.diee.unica.it
in questo scenario l’investigatore si trova di fronte a una vasta ed eterogenea mole di dati come un’armata ben allestita da fronteggiare su aspetti fondamentali come:
➢tempistiche
➢aspetti organizzativi
➢aspetti economici
➢ limite dei tools forensi
➢adeguamento di skill e formazione
Quali i problemi..?
“Classificazione e profilazione dei referti investigativi sulle fattispecie criminose” a cura di Alessandro Bonu
www.diricto.itict4forensics.diee.unica.it
Attività della Forensics Analysis
ForensicsAnalysis
LIVE DEAD
oncrimescene onlaboratory
reports
“Classificazione e profilazione dei referti investigativi sulle fattispecie criminose” a cura di Alessandro Bonu
www.diricto.itict4forensics.diee.unica.it
on crime scene
scenari atipici che richiedono una notevole professionalità…
Foto di Luca Savoldi
…e conoscenza di aspetti tecnici specifici
“Classificazione e profilazione dei referti investigativi sulle fattispecie criminose” a cura di Alessandro Bonu
www.diricto.itict4forensics.diee.unica.it
on Laboratory
“Classificazione e profilazione dei referti investigativi sulle fattispecie criminose” a cura di Alessandro Bonu
www.diricto.itict4forensics.diee.unica.it
• negli anni si è potuta osservare una certa inadeguatezza nel tradizionale processo forense nel rispondere a determinate esigenze investigative
• i tempi di risposta a queste esigenze sono aumentati proporzionalmente al numero e alla tipologia dei reperti acquisiti
• questo dovuto in genere ad una metodologia che mira ad effettuare le classiche attività senza discriminanti o poco relazionata al reato o al caso specifico
• alla luce di tutto questo si è introdotta una fase intermedia atta a delimitare l’area d’interesse ad un numero di reperti valutati più rilevanti e pertinenti
Standardizzazione dei processi
“Classificazione e profilazione dei referti investigativi sulle fattispecie criminose” a cura di Alessandro Bonu
www.diricto.itict4forensics.diee.unica.it
la continua evoluzione degli strumenti high-tech ha introdotto nuove criticità nelle attività di Digital Forensics:
• incremento esponenziale della capacità di memoria dei nuovi dispositivi
• nuove tecnologie hardware e software • proliferazione di Sistemi Operativi e nuovi formati di file
• sistemi di virtualizzazione e relative macchine virtuali
• sistemi di crittografia che complicano non poco le attività di analisi dei supporti interessati
• sistemi remoti e cloud
Nuove criticità
“Classificazione e profilazione dei referti investigativi sulle fattispecie criminose” a cura di Alessandro Bonu
www.diricto.itict4forensics.diee.unica.it
Quale approccio..DI FORZA
• basato sull’incremento delle risorse in grado di sostenere il carico di lavoro: hardware, software, personale, logistica
più immediato, si argina il problema ma i costi lievitano esponenzialmente
DI METODO
• basato sul flusso di lavoro suddiviso tra diverse parti, valutando le priorità sulle quali operare e concentrando l’approfondimento dell’analisi dopo una prima scrematura
più economico e scalabile.. ma come metterlo in pratica?
“Classificazione e profilazione dei referti investigativi sulle fattispecie criminose” a cura di Alessandro Bonu
www.diricto.itict4forensics.diee.unica.it
Selezione e Triage Forensics
l’esigenza è quella di dare risposte rapide ad ipotesi di reato o quando si delineano
aspetti non strettamente forensi • identificare le informazioni più rilevanti e dare loro una sorta di priorità (codice)
• l’analisi approfondita si applica pertanto in maniera selettiva a partire dai reperti che hanno ottenuto un grado di priorità maggiore
“Classificazione e profilazione dei referti investigativi sulle fattispecie criminose” a cura di Alessandro Bonu
www.diricto.itict4forensics.diee.unica.it
codicerosso
codicegiallo
codiceverde
codicebianco
URGENZAASSOLUTA
POSSIBILERISCHIO
ASSENZADIRISCHI
NONURGENTE
Valutare le priorità?volendo traslare un concetto utilizzato in ambito ospedaliero, potremo definire le seguenti priorità
“Classificazione e profilazione dei referti investigativi sulle fattispecie criminose” a cura di Alessandro Bonu
www.diricto.itict4forensics.diee.unica.it
Applicazione del Triage• questa metodologia può essere applicata sia nella fase
di live forensics che post-mortem a seconda del contesto in cui ci si trova ad operare
• live forensics dove la tempestività nell’agire sulla scena del crimine, per alcune fattispecie criminose, può diventare di vitale importanza, in quanto fornisce indizi rilevanti e discriminanti
• anche nei casi di analisi post-mortem, la classificazioni di dispositivi “freddi” rappresenta un valido supporto e una semplificazione della successiva fase di analisi
“Classificazione e profilazione dei referti investigativi sulle fattispecie criminose” a cura di Alessandro Bonu
www.diricto.itict4forensics.diee.unica.it
Vantaggi del Triage
• abbattimento dei tempi di elaborazione iniziale dei dati
• possibilità di consultazione rapida delle risultanze
• utilizzo flessibile delle risorse hardware a disposizione e generazione di risposte affidabili
• determinazione delle priorità prima di mettere in campo le risorse per un’analisi più approfondita e accurata
velocità e affidabilità sono le parole chiave del triage per ridurre al minimo costi, tempi e risorse
“Classificazione e profilazione dei referti investigativi sulle fattispecie criminose” a cura di Alessandro Bonu
www.diricto.itict4forensics.diee.unica.it
• le informazioni vengono opportunamente classificate al fine di identificare rapidamente le prove che consentono di porre in relazione la prova digitale con la fattispecie criminosa in esame
• ad esempio, sui reperti mobili, ci si è concentrati sui dati attinenti la rubrica telefonica, la cronologia delle chiamate, gli sms, eventuale navigazione internet
• si sono inoltre ricavate, da queste ultime, anche informazioni statistiche relative a percentuale e numero di eventi suddivisi in slot temporali
PROFILO DI UTILIZZO DEL DISPOSITIVO
classificazionedeirisultati
normalizzazionedeidati
raccoltadei
reperti
Classificazione delle informazioni
“Classificazione e profilazione dei referti investigativi sulle fattispecie criminose” a cura di Alessandro Bonu
www.diricto.itict4forensics.diee.unica.it
Raccolta dei reperti• è la fase iniziale dell’indagine dove si identificano i reperti
• dispositivi in grado di memorizzare delle informazioni e che potrebbero essere oggetto di reato o correlati allo stesso
• ricerca mirata di quei reperti che rappresentano potenziali elementi probatori in relazione ad una profilazione preliminare del caso
• importante è cercare di comprenderne la pertinenza
• questa fase di divide in due macro aree:
1. dati volatili (reperti caldi)
2. dati statici (reperti freddi)
“Classificazione e profilazione dei referti investigativi sulle fattispecie criminose” a cura di Alessandro Bonu
www.diricto.itict4forensics.diee.unica.it
• rientrano in questa categoria tutte le informazioni che sono presenti su dispositivi accesi e operativi
• si tratta di informazioni “fragili”, operazioni errate o affrettate in questa fase potrebbero alterare i dati = potenziali elementi probatori
• scenari difficilmente standardizzabili proprio a causa delle variabili che si possono di volta in volta incontrare
• lo spegnimento brutale, anche se meno indolore di uno shutdown, determina quasi sempre una perdita di dati
• tale procedura si configura sempre come attività irripetibile
Dati volatili
“Classificazione e profilazione dei referti investigativi sulle fattispecie criminose” a cura di Alessandro Bonu
www.diricto.itict4forensics.diee.unica.it
sistemiaccesieoperativichepossonorappresentareunafontedidatiedevidenzedinotevoleimportanzaecheinalcunicasipotrebberoesseredecisiviperl’esitodiindagine
Scena del crimine con live data
“Classificazione e profilazione dei referti investigativi sulle fattispecie criminose” a cura di Alessandro Bonu
www.diricto.itict4forensics.diee.unica.it
• agevola le forze dell’ordine in un rapido repertamento di prove più rilevanti
• attività svolta nell’immediatezza del fatto anche da tecnici non altamente specializzati in analisi forense
• utile quando viene richiesto di dare rapidamente risposta ad una ipotesi di reato
• agevola gli investigatori a decisioni più consapevoli per la prosecuzione dell’indagine
Triage nel live forensics
“Classificazione e profilazione dei referti investigativi sulle fattispecie criminose” a cura di Alessandro Bonu
www.diricto.itict4forensics.diee.unica.it
• talvolta si ha necessità di agire in fretta nella scena del crimine: dati e informazioni potrebbero altrimenti essere compromesse
• l’agire in fretta è sempre un problema, si tralasciano per esempio evidenze apparentemente irrilevanti
• contesto in cui il tempo è tiranno:
• devo avere una strategia operativa e capire da dove iniziare e quali strumenti utilizzare in relazione al contesto di indagine
Agire in fretta
“Classificazione e profilazione dei referti investigativi sulle fattispecie criminose” a cura di Alessandro Bonu
www.diricto.itict4forensics.diee.unica.it
Sentenza di Garlasco• Il collegio peritale evidenziava che le condotte di accesso da parte dei
Carabinieri hanno determinato la sottrazione di contenuto informativo con riferimento al pc di Alberto Stasi pari al 73,8% dei files visibili (oltre 156.000) con riscontrati accessi su oltre 39.000 files”…
• perizia informatica, altro elemento cruciale nell'indagine per quanto riguarda il possibile alibi e il movente di Stasi, per capire se il contenuto del portatile è stato o meno inesorabilmente contaminato dai vari accessi fatti prima che venisse consegnato ai tecnici del Ris di Parma. » questo, secondo il parere del GUP, uno dei passaggi di cruciale importanza dell'intero quadro accusatorio…
• E a tal riguardo il GUP conclude: “non è più possibile esprimere delle valutazioni certe né in un senso né nell'altro: in questo ambito, il danno irreparabile prodotto dagli inquirenti attiene proprio all'accertamento della verità processuale. Questi i sintesi i principali errori investigativi che hanno segnato l'indagine sull'omicidio di Chiara Poggi, che ancora oggi resta un delitto impunito e senza un perché…
“Classificazione e profilazione dei referti investigativi sulle fattispecie criminose” a cura di Alessandro Bonu
www.diricto.itict4forensics.diee.unica.it
• rientrano nella categoria dei dispositivi cosiddetti “freddi” ovvero spenti e non operativi
• sono caratterizzati dal fatto che i dati all’interno di questi device sono stabili nel tempo a meno che non intervengano cause di esterne
• le attività su questi dispositivi si effettuano in laboratorio attraverso l’acquisizione delle “copie forensi” sulle quali poi operare l’analisi..
• anche in questo caso, come nel “live forensics” viene acquisita l’intera area di memoria con le note procedure di “bit stream image”
Dati statici
“Classificazione e profilazione dei referti investigativi sulle fattispecie criminose” a cura di Alessandro Bonu
www.diricto.itict4forensics.diee.unica.it
• kit forensi in grado di estrapolare dai dispositivi digitali gli elementi più importanti ed evidenti per l’indagine in corso
• In genere in caso di truffe (caso classico) estrazione dei dati orinati per formato (es.. .docx, .xlsx, pdf, ..ecc)
• analisi testuali su header delle mail per individuarne la paternità o in caso di pedopornografia le immagini e i video
• altrettanto rilevanti possono essere le informazioni di sistema, navigazione internet, parco applicativo, contenuti (anche cancellati) ..ecc
Gli strumenti del mestiere
“Classificazione e profilazione dei referti investigativi sulle fattispecie criminose” a cura di Alessandro Bonu
www.diricto.itict4forensics.diee.unica.it
CASEREPORT
Windows Ultimate Forensic Outflow
“Classificazione e profilazione dei referti investigativi sulle fattispecie criminose” a cura di Alessandro Bonu
www.diricto.itict4forensics.diee.unica.it
Catalogazione delle informazioni
“Classificazione e profilazione dei referti investigativi sulle fattispecie criminose” a cura di Alessandro Bonu
www.diricto.itict4forensics.diee.unica.it
Browser History View
“Classificazione e profilazione dei referti investigativi sulle fattispecie criminose” a cura di Alessandro Bonu
www.diricto.itict4forensics.diee.unica.it
Spektor di DELL
“Classificazione e profilazione dei referti investigativi sulle fattispecie criminose” a cura di Alessandro Bonu
www.diricto.itict4forensics.diee.unica.it
Normalizzazione dei dati• la “normalizzazione” ha il fine di eliminare tutti i
disallineamenti di output derivanti dalla varietà degli strumenti utilizzati durante la fase di acquisizione dalle varie fonti
• una volta normalizzati i dati confluiscono in un database sul quale vengono effettuate elaborazioni statistiche che producono attributi (features) che identificano un data set
• la scelta di questi attributi viene accuratamente effettuata sulla base di esperienze che nel tempo hanno portato a risultati significativi
“Classificazione e profilazione dei referti investigativi sulle fattispecie criminose” a cura di Alessandro Bonu
www.diricto.itict4forensics.diee.unica.it
FEATURES TYPE DEVICE #1 DEVICE #2 DEVICE #3
feature #1 true false true
feature #2 false true false
feature #3 false false true
feature #4 true true true
feature #5 true true false
feature #6 1200 320 65000
feature #7 … … …
feature #n … … …
… … … …
FeaturesFeatures e data set
“Classificazione e profilazione dei referti investigativi sulle fattispecie criminose” a cura di Alessandro Bonu
www.diricto.itict4forensics.diee.unica.it
Data Mining• queste metodologie hanno lo scopo di estrarre sapere e
conoscenza da una grande mole di dati
• processi matematici eseguiti attraverso automatismi che hanno doppia valenza:
1. estrazione di informazioni implicite e/o nascoste da dati già strutturati in modo tale che siano direttamente fruibili
2. esplorazione e analisi da una grossa mole di dati mirate a scoprire schemi significativi
in entrambi i casi il dato diventa significativo o trascurabile in relazione all’ambito di indagine
“Classificazione e profilazione dei referti investigativi sulle fattispecie criminose” a cura di Alessandro Bonu
www.diricto.itict4forensics.diee.unica.it
start
datinormalizzati?
allineamentodelleanomalie
elaborazionedelleevidenze
trasformazionedeidati
memorizzazionedeidati
DataMining
estrazionedellefeaturesend
SI NO
work-flow di normalizzazione dei dati
“Classificazione e profilazione dei referti investigativi sulle fattispecie criminose” a cura di Alessandro Bonu
www.diricto.itict4forensics.diee.unica.it
• obiettivo è quindi quello di classificare i dati in ingresso per definire specifiche classi
• gli algoritmi di classificazione consentono identificare degli schemi o insiemi di caratteristiche alle quali appartiene un determinato record
• le features individuate servono a capire per es. il grado di utilizzo del reperto da parte del soggetto indagato e relazionandolo al reato commesso
Classificazione dei risultati
“Classificazione e profilazione dei referti investigativi sulle fattispecie criminose” a cura di Alessandro Bonu
www.diricto.itict4forensics.diee.unica.it
Applicazione alla Computer Forensics• In questo contesto si valuta il profilo di utilizzo dei
dispositivi esaminati e classificati in relazione ad una particolare fattispecie di reato: PIRATERIA
• il data set delle features è stato pertanto costruito con l’obiettivo di valutare e classificare in modo automatico ciascun dispositivo in relazione al reato di pirateria informatica
INFORMAZIONIESTRAPOLATEDALREPERTOnumerodiapplicazioniinstallate
numerodiapplicazionisuddivisepertipologiafunzionale(chat,browser,ecc)
numeroepercentualedelleURLvisitateesuddivisepertipologia
numeroepercentualedeifileaudioscaricatiesuddivisiperdimensione
“Classificazione e profilazione dei referti investigativi sulle fattispecie criminose” a cura di Alessandro Bonu
www.diricto.itict4forensics.diee.unica.it
casodi stalking
accessoa
Internet
numerodichiamate
arcotemporale
duratadelle
chiamate
tipologiadispositivimobile
casodi pedofilia
accessoa
Internet
grannumerodiimmaginievideo
archivieareedi
download
softwaredi
download
criptaggiosteganografia
Valutazione dei risultati su casi differenti
“Classificazione e profilazione dei referti investigativi sulle fattispecie criminose” a cura di Alessandro Bonu
www.diricto.itict4forensics.diee.unica.it
• specifiche tecniche di intelligence e profiling atte ad ottenere informazioni che possono essere utili alla comprensione e risoluzione del problema per il quale si procede
• tale processo si articola con la ricerca di “tracce digitali” dell’utilizzatore degli apparati fisici che come tale personalizza l’ambiente sul quale opera e interagisce, sia questo reale che virtuale
• in questo ampio e bivalente contesto, anche inconsciamente , si lasciano necessariamente delle tracce che possono essere rilevate, confrontate e classificate
Digital Profiling
“Classificazione e profilazione dei referti investigativi sulle fattispecie criminose” a cura di Alessandro Bonu
www.diricto.itict4forensics.diee.unica.it
IDENTIFICAZIONE
repertamentoACQUISIZIONE
copia forense
ANALISI
estrazione dei dati
PRESENTAZIONE
relazione finale
CATENADI
CUSTODIAINDAGINE
Evoluzione del Work-flow del triage nel processo di investigazione
IDENTIFICAZIONErepertamento
Raccoltamiratadeireperti
PRESENTAZIONEFINALEconsegnadellavoro
Normalizzazione deidati
Dat
a Pr
ofilin
g
DataMining,Featurese
DataSetperlaclassificazione
deidati
TRIAGE
ANALISI
INDAGINE
“Classificazione e profilazione dei referti investigativi sulle fattispecie criminose” a cura di Alessandro Bonu
www.diricto.itict4forensics.diee.unica.it
• di fondamentale importanza è inoltre la fase di preservazione delle evidenze digitali acquisite è definita come “catena di custodia”
• insieme di procedure atte a tracciare tutte le attività effettuate sul reperto dal momento in cui lo stesso è stato preso in consegna
• tali evidenze devono essere inoltre custodite in appositi contenitori idonei al trasporto e in grado di evitare anche danneggiamenti involontari o condizioni ambientali avverse
Catena di custodia
“Classificazione e profilazione dei referti investigativi sulle fattispecie criminose” a cura di Alessandro Bonu
www.diricto.itict4forensics.diee.unica.it
• i dispositivi tecnologici sono oggi parte integrante nell’indagine, anche se non direttamente coinvolti
• rappresentano un elemento utile per ricostruire la sequenza
temporale del crimine e relativo modus operandi
• gli strumenti di analisi forense diventano tanto più obsoleti quanto più velocemente si evolvono le nuove tecnologie
• questo fenomeno evolutivo richiede un grado di specializzazione tecnica più elevato e qualificato rispetto a quello tradizionale
Un nuovo approccio
“Classificazione e profilazione dei referti investigativi sulle fattispecie criminose” a cura di Alessandro Bonu
www.diricto.itict4forensics.diee.unica.it
Progetto ILLBusterL'obiettivo del progetto ILLBuster, finanziato dalla Commissione Europea, all'interno del programma "Prevention of and Fight Against Crime", è quello di fornire un sistema integrato per il rilevamento automatico di attività illegali sulla rete internet. Il sistema è pensato per fornire alle forze dell'ordine uno strumento prezioso nelle loro attività di prevenzione e lotta contro il crimine informatico, e sarà costituito da:
• un motore principale responsabile della rilevazione di una lista “nera” di domini malevoli;
• un insieme di periferiche e servizi che ispezioneranno le pagine web ospitate su domini maligni con lo scopo di individuare materiale illecito o pericoloso (pedopornografia, malware, phishing).
• Il sistema risultante sarà in grado di identificare domini (e contenuti) maligni attraverso l'analisi del traffico DNS e segnalare URL sospetti alle forze dell'ordine, in modo che gli illeciti possano essere facilmente individuati.
• Una caratteristica peculiare del sistema proposto è che esso sarà progettato tenendo presenti tutti gli aspetti legali che garantiscono il rispetto della privacy dei cittadini e non consentono abusi.
“Classificazione e profilazione dei referti investigativi sulle fattispecie criminose” a cura di Alessandro Bonu
www.diricto.itict4forensics.diee.unica.it
Progetto ILLBusterObiettivo
sviluppare una piattaforma che supporti le forze dell’ordine nell’attività investigativa in rete
“Classificazione e profilazione dei referti investigativi sulle fattispecie criminose” a cura di Alessandro Bonu
www.diricto.itict4forensics.diee.unica.it
Progetto ILLBuster
Buster of ILLegal contents spread by malicious computer networks
Università di Cagliari
www.illbuster-project.eu
Co-funded by the Prevention of and Fight against Crime Programme of the European Union
“Classificazione e profilazione dei referti investigativi sulle fattispecie criminose” a cura di Alessandro Bonu
www.diricto.itict4forensics.diee.unica.it
• i metodi descritti consentono un approccio più mirato nella fase di ricerca delle prove
• gli investigatori operano con cognizione di causa e possono dare ordine e priorità ai reperti rilevati
• l’analisi informatica è quindi più snella, rapida ed efficace, ne beneficiano tempi e costi
• con l’evoluzione della tecnologia e con l’incremento esponenziale della mole di dati che ci si trova ad dover analizzare, oggi è un passaggio obbligato
Conclusioni
“Classificazione e profilazione dei referti investigativi sulle fattispecie criminose” a cura di Alessandro Bonu
www.diricto.itict4forensics.diee.unica.it
Grazie per l’attenzione
it.linkedin.com/in/abonu
www.andig.it
www.diricto.it
ict4forensics.diee.unica.it
www.massimofarina.it
Fine presentazione..
“Classificazione e profilazione dei referti investigativi sulle fattispecie criminose” a cura di Alessandro Bonu
www.diricto.itict4forensics.diee.unica.it
Attribuzione - Non Commerciale - Condividi allo stesso modo 2.5
Tuseilibero: • diriprodurre,distribuire,comunicarealpubblico,esporreinpubblico,rappresentare,eseguireorecitare
l'opera • dicreareoperederivatealleseguenticondizioni:
• Attribuzione.Deviriconoscereilcontributodell'autoreoriginario. • Noncommerciale.Nonpuoiusarequest’operaperscopicommerciali. • Condividiallostessomodo.Sealteri,trasformiosviluppiquest’opera,puoidistribuirel’operarisultantesolopermezzodiuna
licenzaidenticaaquesta. Inoccasionediogniattodiriutilizzazioneodistribuzione,devichiarireaglialtriiterminidellalicenzadiquest’opera. Seottieniilpermessodaltitolaredeldirittod'autore,èpossibilerinunciareadognunadiquestecondizioni. Letueutilizzazionilibereeglialtridirittinonsonoinnessunmodolimitatidaquantosopra