INFORMATICA COME SCIENZA FORENSE

IL CONSULENTE TECNICO INFORMATICO NEL PROCESSO

ONIF, 2016Roma

La Digital Forensics è la disciplina scientifica che serve per identificare, acquisire ed

analizzare una fonte di prova digitale, preservandola da eventuali alterazioni.

Scientifica: ripetibile (Galileo Galilei)

è la modalità tipica con cui la scienza procede per raggiungere una conoscenza

della realtà oggettiva, affidabile, verificabile e condivisibile. Esso consiste, da una

parte, nella raccolta di evidenza empirica e misurabile attraverso l'osservazione e

l'esperimento; dall'altra, nella formulazione di ipotesi e teorie da sottoporre

nuovamente al vaglio dell'esperimento.

POPPER: ciò che conta di una teoria scientifica non è la sua genesi soggettiva, ma

il fatto che essa sia espressa in forma criticabile e falsificabile sul piano oggettivo.

Fonte di prova: deve garantire il suo uso in tribunale

DEFINIZIONE

2ONIF - Roma 2016

• Autenticità: il dato proviene dalla fonte informativa

presunta?

• Integrità: il dato è stato conservato inalterato?

• Veridicità: il dato è interpretato in maniera corretta?

• Completezza: sono stati raccolti tutti i dati relativi

all’informazione rilevante?

• Legalità: il dato è stato raccolto secondo le disposizioni della

legge?

DEFINIZIONI

4ONIF - Roma 2016

• Tali proprietà sono quindi requisiti atti a fornire al dato la

predetta capacità di resistenza

Digital Evidence

• “Qualsiasi informazione con valore probatorio generata,

memorizzata o trasmessa in un formato digitale”

• Il dato diventa un’informazione che rappresenta - o più di

avvicina a rappresentare - il vero

Scientific Working Group on Digital Evidence (1998)

DEFINIZIONI

5ONIF - Roma 2016

• Un insieme di conoscenze processo collettivo e continuativo

atto a rappresentare il “mondo” in modo affidabile

consistente e non arbitrario

• Il metodo scientifico è necessario, per descrivere

oggettivamente le metodologie utilizzate per raggiungere

certi risultati, anche di fronte a scenari mai affrontati prima o

con scarsa documentazione.

• L’obiettivo finale è quindi la verità, la realtà oggettiva.

Wolf S. (2002) “Introduction to scientific method”, http://teacher.pas.rochester.edu/phy_labs/AppendixE/AppendixE.html

SCIENZA

6ONIF - Roma 2016

• Nelle scienze ci sono delle leggi ormai dimostrate e

consolidate.

• Nell'informatica pure, ma questa ha dei tempi di

cambiamento ed evoluzione molto più rapidi e relativi ad una

moltitudine di tecnologie, applicazioni, sistemi, ecc.

• Consegue che spesso ci si ritrova di fronte all'ignoto ed al

“bizzarro”

SCIENZA e MONDO DIGITALE

7ONIF - Roma 2016

hard diskpendrivecd-romecc.

cloudcrittografiaSSDtelefoniecc.

Nel forense si deve garantire che una fonte di prova sia valida e inoppugnabile, per raggiungere questo target si utilizza il metodo scientifico.

» “metodo scientifico impronte”

» “Metodo scientifico DNA” “balistica” metodo scientifico

balistica

foto

wikipedia

LA SCIENZA FORENSE

9ONIF - Roma 2016

LA SCIENZA FORENSE

PERCEZIONE DEL

“metodo scientifico computer”

10ONIF - Roma 2016

LO SMANETTONE!

La legge 48/2008 in Italia, impone alcune cautele nell'analisi dei reperti digitali,

proprio come avviene di solito con i reperti “classici”, come le armi, le impronte

digitali, ecc. ecc

.

La difficoltà principale è data dal fatto che il reperto digitale è immateriale, non è

unico, può essere “clonato” infinite volte, è presente in dei contenitori software o

hardware, a volte è volatile, ossia non persistente, può esser di diverse tipologie,

quindi non analizzabile dagli strumenti attuali, può esser coperto da segreto

industriale, può necessitare di azioni d'ingegneria inversa e tanto altro ancora.

Pertanto, la digital forensics o informatica forense, è una disciplina che è in

costante evoluzione e con delle regole di massima da seguire, ma non potrà mai

coprire tutte le casistiche che si potranno presentare, quindi si dovrà adottare

una strategia scientifica al fine di razionalizzare ogni azione compiuta nel

trattamento delle evidenze digitali.

LA SCIENZA FORENSE

11ONIF - Roma 2016

Non bisogna esser rigidi e cullarsi sulle procedure e i mezzi conosciuti, bisogna

evitare di diventare dei “push the button forensic expert”, infatti spesso può

capitare di trovarsi di fronte a reperti che dovrebbero poter esser acquisiti o

analizzati in modo standard, ma per una serie di motivi non si riesce, come ad

esempio:

software forense che non mantiene ciò che promette;

reperto non funzionante;

situazione particolare che non permette certe procedure;

reperti “esotici”;

mancanza di documentazione;

In questi casi, si naviga in acque sconosciute e allora bisogna adattarsi, inventare,

documentarsi e riuscire ad acquisire ed analizzare, mantenendo la rigorosità

scientifica.

Ricordiamoci che “copia ad uso forense”, non significa necessariamente e

rigidamente una copia bit a bit di qualsiasi cosa, ma è una copia di dati che

deve garantire l'uso in tribunale, quindi deve avere delle motivazioni razionali

per cui è stata creata in un certo modo.

LA SCIENZA FORENSE

12ONIF - Roma 2016

A questo scopo serve ragionare, formulare delle ipotesi, verificarle con dei sistemi

simili per poter sperimentare in sicurezza, confrontarsi con altri esperti, cercare

bibliografia e documentazione ufficiale e scientifica, realizzare dei nuovi

strumenti, fornire il codice sorgente, insomma scrivere un documento in cui si

spieghi il perché si è dovuto agire in un certo modo, chi ha agito, quindi se aveva

competenze acclarate per farlo, quali sono i limiti, quanto la procedura adottata

ha inciso sul reperto, che conseguenze ha avuto, se è noto il tasso d'errore e se

c'è della documentazione che giustifichi in tutto o in parte la procedura.

Quanto descritto è una fusione tra le regole enunciate dall'ACPO (Association of

Chief Police Officers ) del 1999 ed il test di Daubert (2003).

LA SCIENZA FORENSE

13ONIF - Roma 2016

Principi dell'ACPO:

Principio 1: Nessuna azione intrapresa dalle forze dell'ordine o dai loro agenti

dovrebbe cambiare i dati memorizzati su uno dei supporti informatici o di

archiviazione che successivamente possono essere fatti valere in tribunale.

Principio 2: In circostanze eccezionali, quando una persona si trova nella

necessità di accedere ai dati originali conservati su un computer o su supporti

di memorizzazione e che tale persona sia competente a farlo ed essere in

grado di testimoniare e spiegare la rilevanza e le implicazioni delle loro azioni.

Principio 3: Il metodo adottato o altri documenti di tutti i processi applicati alla

raccolta delle evidenze elettroniche deve essere creato e conservato. Una terza

parte indipendente deve essere in grado di esaminare i processi e ottenere lo

stesso risultato.

Principio 4: Il responsabile delle indagini ha la responsabilità generale di

assicurare che il diritto e tali principi siano rispettati.

LA SCIENZA FORENSE

14ONIF - Roma 2016

Test di Daubert:

La procedura/strumento:

* Verifica empirica: se la teoria o la tecnica è falsificabile, confutabile e / o

verificabile è stata testata in maniera indipendente?

* Se è stato sottoposto a peer review e a pubblicazione.

* Se è noto il tasso d'errore

* L'esistenza e il mantenimento di norme e controlli per il suo funzionamento.

* Il grado in cui la teoria e la tecnica è generalmente accettato da una comunità

scientifica pertinente.

Quindi in una perizia tecnica informatica si dovrebbe dettagliare tutte le procedure

adottate e fornire tutti i mezzi necessari a riprodurla e avere le due descrizioni,

quella tecnica e quella divulgativa al fine di rendere comprensibile il tutto ai non

tecnici che affollano l'aula di un tribunale.

Infine, si dovrebbe corredare sempre con rilievi fotografici, laddove possibile,

bibliografia attendibile, software attendibile e non lasciare tutto

all'immaginazione o al caso.

LA SCIENZA FORENSE

15ONIF - Roma 2016

Un esempio pratico di come il metodo scientifico sia stato utile in una causa

legale è il caso:

Nucor Corp v. Bell, 2008 WL 4442571 (D.S.C. Jan. 11, 2008) nel quale un digital

forensics expert affermò che l'indagato aveva utilizzato un programma che

effettuava il wiping (cancellazione sicura) dei dati dall'hard disk del suo

computer, al fine di eliminare ogni prova digitale.

La Corte negò la mozione di rigettare l'ipotesi del perito informatico, perché

quest'ultimo riuscì, rifacendosi alla procedura di Daubert, a dimostrare la

perfetta coincidenza dei dati risultanti dal proprio esperimento ripetibile,

con quelli che apparivano sull'hard disk dell'indagato, quindi tutta la

procedura era testabile e ripetibile e questo colmava il divario tra la

semplice “opinione” e la verifica scientifica.

LA SCIENZA FORENSE

16ONIF - Roma 2016

L'IMPORTANZA DELLA BIBLIOGRAFIA UFFICIALE

LA KNOWLEDGE SHARING

L'AFFIDABILITà DEGLI STRUMENTI SW/HW

LA FORMAZIONE DEL CONSULENTE INFORMATICO FORENSE

LA SCIENZA FORENSE

17ONIF - Roma 2016

• La condizione necessaria ma NON sufficiente è che l'esperto abbia

la cultura di base giusta, sappia scrivere e parlare, sappia divulgare

e sappia applicare il metodo scientifico, conosca l'inglese, abbia una

cultura informatica vasta ed orizzontale Le competenze non fanno

l'esperto, ma servono da basi solide, ma non determinano la

correttezza della perizia.

• In sostanza non è detto che un ingegnere costruisca bene una casa,

ma voi affidereste la costruzione di casa vostra ad uno che non è

ingegnere edile?

foto

wikipedia

L’ESPERTO

21ONIF - Roma 2016

Possibili criteri

• capacità di comunicazione e gestione del digital divide

• l’esperto non giudica

• non accusa

• non difende

• codice etico

Un esperto in digital forensics è orientato a ricostruire al meglio

la verità, sulla base della quale avvocati/magistrati/etc possano

decidere al meglio.

Scientific Working Group on Digital Evidence (1998)

CRITERI

22ONIF - Roma 2016

NESSUNO

Chi ha delle pubblicazioni online/offline

Chi ha un C.V. qualificante

Chi sviluppa sw. Digital forensics

Chi conosce i sw e hw della digital forensics

Chi conosce leggi e metodologie della digital

forensics

CHI È IL DIGITAL FORENSICS EXPERT

23ONIF - Roma 2016

cracking di password complesse con la semplice pressione compulsiva di tasti

recuperare file cancellati con velocità inimmaginabile riconoscimenti facciali accessi a tutte le reti e database del mondo analisi di qualsiasi telefonino, contenuti decriptati al volo Zoom esagerati!

LE BUFALE INFORMATICHE

24ONIF - Roma 2016

NEI FILM È COSÌ

25ONIF - Roma 2016

NELLA REALTÀ È COSÌ

26ONIF - Roma 2016

Che bello sarebbe lanciare un programmino che in pochi minuti trova

la password di un file criptato o l'accesso ad un sito web, a un

firewall, a un PC o altro.

"... ah... codice criptato a 128 bit... difficile... ma non per me!" ed in

meno di 30 secondi lo ha gia' scardinato...

Ehmmm.....

PASSWORD CRACKING

27ONIF - Roma 2016

In molti film fanno vedere come alcuni hacker o forze dell'ordine

riescano ad accedere ovunque, si collegano alle reti di ogni Ente,

azienda, ecc., in tempo reale. Ma è possibile?

In alcuni casi proprio no, perché non tutti i sistemi sono raggiungibili

da Internet: alcune reti infatti sono delle LAN senza affaccio sulla

Rete né tantomeno raggiungibili via Web. Alcune di queste reti a volte

possono essere collegate a computer che a loro volta hanno un

accesso a Internet, ma anche in questi casi l'accesso è quasi

impossibile, e di certo non si ottiene in quattro e quattr'otto come si

vede al cinema.

Non esistono database in rete di tutto, dalle moquette dei tappetini

delle auto, alle marche di bulloni...in Italia solo ora, pare, stiano

costruendo la banca dati del DNA!!!!

RETI

28ONIF - Roma 2016

E ancora, i telefonini spenti non comunicano con le celle, e non si possono

usare per intercettazioni ambientali a meno che non siano opportunamente

modificati via software o hardware. I cellulari accesi invece si possono

usare come microspie, se sotto intercettazione o infettati, altrimenti non c'è

modo, specialmente da parte di privati, di agganciarsi al telefonino di Tizio e

sentire i fatti suoi senza averlo mai infettato con qualcosa.

Gli SMS non vengono conservati dai gestori telefonici, infatti quest'ultimi

forniscono solo i tabulati di mittente, destinatario, data ed ora, ma non il

testo del messaggio, anche se ci sarà sempre un "qualcuno” che ha un

"amico" nella Telecom che dirà il contrario.

TELEFONI

29ONIF - Roma 2016

Fonte:

http://imgur.com/dnfe6JO

SUPER ZOOM

30ONIF - Roma 2016

Fonte:

http://imgur.com/dnfe6JO

TODO

31ONIF - Roma 2016

Insomma la digital forensics è spesso lenta e noiosa, e si scontra

sovente contro le limitazioni tecnologiche degli strumenti e delle

conoscenze: i sistemi proprietari sono in aumento, i sistemi

crittografici sempre più diffusi, i dati viaggiano sulle "nuvole" e

sono in mano a Big Company dislocate su tutto il globo, ma

l'effetto CSI e l'ignoranza informatica permettono di accettare

qualunque cosa, creando richieste assurde da parte di chi si

rivolge al digital forensics expert. Si pensa che tutto è possibile,

tutto è veloce e non ci sono differenze tra sistemi operativi,

hardware, reti e quant'altro, è tutto "informatica".

CONCLUSIONI

32ONIF - Roma 2016

Chiudo ricordando la super-chicca di

"Indipendence Day" (R. Emmerich 1996) film nel

quale si sviluppa un virus su un Mac, lo si carica

sull'astronave madre degli alieni invasori e

funziona. Strano che nel mondo reale un virus per

Windows non funzioni su Mac o Linux e viceversa,

ma poi si riesca a scrivere un virus per un

computer alieno.

CONCLUSIONI

33ONIF - Roma 2016