OWASP Day III
Università degli Studi
di Bari
23.02.2009
Presentazioni
Cybercrime
Reazione
Analisi forense
Fasi canoniche
Best Practices
Live forensics
Normativa
In aula
Contatti
Ass. Davide Gabrini
Ufficio Tecnico
Chi siamo
OWASP Day III
Università degli Studi
di Bari
23.02.2009
Presentazioni
Cybercrime
Reazione
Analisi forense
Fasi canoniche
Best Practices
Live forensics
Normativa
In aula
Contatti
Ass. Davide Gabrini
Ufficio Tecnico
L’Ufficio Tecnico del Compartimento Polizia Postale
e delle Comunicazioni di Milano si occupa di:
Ricerca e Sviluppo
Osservatorio sulle nuove tecnologie
Studio e implementazione di
strumenti e metodologie
Formazione del personale
Supporto tecnico alle attività investigative
Computer Forensics
…e ovviamente Pubbliche Relazioni 
Seminari, Convegni, Workshop…
Interventi formativi per scuole, P.A. e realtà aziendali
Di cosa parliamo
OWASP Day III
Università degli Studi
di Bari
23.02.2009
Presentazioni
Cybercrime
Reazione
Cybercrime, nel mondo e in Italia
Reazione ad un attacco subìto
Analisi forense
Fasi canoniche
Best Practices
Live forensics
Normativa
In aula
Contatti
Ass. Davide Gabrini
Ufficio Tecnico
Computer Forensics
Normativa e giurisprudenza
Cybercrime
OWASP Day III
Università degli Studi
di Bari
23.02.2009
Presentazioni
Cybercrime
Reazione
Analisi forense
Fasi canoniche
Best Practices
Live forensics
Normativa
In aula
Contatti
Ass. Davide Gabrini
Ufficio Tecnico
Nel 2008, il cybercrime ha prodotto profitti per
276 milioni di dollari (Symantec)
Sempre nel 2008 ha anche prodotto danni per un
trilione di dollari (McAfee)
Il numero dei malware catalogati supera gli 11
milioni (Sophos)
Si scopre una nuova infezione web ogni 4,5
secondi (Sophos)
I paesi che hostano più malware sono USA (37%),
Cina (27,7%) e Russia (9,1%) (Sophos)
Si tratta soprattutto di siti legittimi che sono
stati compromessi per distribuire malware
Vettori di attacco: la Top10 di Websense
OWASP Day III
Università degli Studi
di Bari
23.02.2009
Presentazioni
Cybercrime
Reazione
Analisi forense
Fasi canoniche
Best Practices
Live forensics
Normativa
In aula
Contatti
Ass. Davide Gabrini
Ufficio Tecnico
1.
2.
3.
4.
Browser vulnerabilities
Rogue antivirus/social engineering
SQL injection
Malicious Web 2.0 components (e.g. Facebook
applications, third-party widgets and gadgets, banner ads)
5. Adobe Flash vulnerabilities
6. DNS Cache Poisoning and DNS Zone fle hijacking
7. ActiveX vulnerabilities
8. RealPlayer vulnerabilities
9. Apple QuickTime vulnerabilities
10. Adobe Acrobat Reader PDF vulnerabilities
Websense Security Labs Report Q3Q4 2008
Vulnerabilità web apps: Top 10 di OWASP
OWASP Day III
Università degli Studi
di Bari
23.02.2009
Presentazioni
Cybercrime
Reazione
Analisi forense
Fasi canoniche
Best Practices
Live forensics
Normativa
In aula
1.
2.
3.
4.
5.
6.
7.
8.
9.
10.
Cross Site Scripting (XSS)
Injection Flaws
Malicious File Execution
Insecure Direct Object Reference
Cross Site Request Forgery (CSRF)
Information Leakage and Improper Error Handling
Broken Authentication and Session Management
Insecure Cryptographic Storage
Insecure Communications
Failure to Restrict URL Access
Contatti
Ass. Davide Gabrini
Ufficio Tecnico
http://www.owasp.org/index.php/Top_10_2007
Quotazioni dei tool d’attacco
OWASP Day III
Università degli Studi
di Bari
23.02.2009
Presentazioni
Cybercrime
Reazione
Analisi forense
Fasi canoniche
Best Practices
Live forensics
Normativa
In aula
Contatti
Ass. Davide Gabrini
Ufficio Tecnico
Symantec Corporation: Report on the Underground Economy 11/2008
Le botnet nell’ultimo anno
OWASP Day III
Università degli Studi
di Bari
23.02.2009
Presentazioni
Cybercrime
Reazione
Analisi forense
Fasi canoniche
Best Practices
Live forensics
Normativa
In aula
Contatti
Ass. Davide Gabrini
Ufficio Tecnico
Shadowserver Foundation
E in Italia?
OWASP Day III
Università degli Studi
di Bari
23.02.2009
Statistiche aggiornate sul fenomeno:
Presentazioni
Cybercrime
Reazione
Analisi forense
Fasi canoniche
Best Practices
Live forensics
Normativa
In aula
Contatti
Ass. Davide Gabrini
Ufficio Tecnico
O siamo un’isola felice, oppure vige l’omertà…
Sotto la punta dell’iceberg
OWASP Day III
Università degli Studi
di Bari
23.02.2009
Presentazioni
Cybercrime
Reazione
Analisi forense
Fasi canoniche
Best Practices
Live forensics
Normativa
In aula
Contatti
Ass. Davide Gabrini
Ufficio Tecnico
Il grosso delle violazioni non viene
denunciato. Possibili cause:
La compromissione non viene rilevata
Il problema viene "rattoppato" senza
indagare ulteriormente
L'indagine rimane interna all'azienda
Timore di danno d'immagine
Scarsa fiducia o interesse in un'azione
legale
E chi chiamerai?
OWASP Day III
Università degli Studi
di Bari
23.02.2009
Presentazioni
Cybercrime
Reazione
Analisi forense
Fasi canoniche
Best Practices
Live forensics
Normativa
In aula
Contatti
Ass. Davide Gabrini
Ufficio Tecnico
Cosa fare, dal punto di vista legale, in caso di accertato
accesso abusivo? E' possibile presentare una querela:
Chi: la parte lesa. Nel caso di un'azienza, chi ne ha la
rappresentanza legale.
La procedibilità d'ufficio è possibile solo in presenza di aggravanti
È comunque opportuno che il legale/amministivo sia
accompagnato dal tecnico
Quando si tratta di reati con alto profilo tecnico, serve una querela
con un profilo tecnico altrettanto alto
Quando: entro 3 mesi dal giorno in cui si è appreso il fatto
Dove: qualunque ufficio di Polizia Giudiziaria. Tuttavia la
Polizia Postale è solitamente più avvezza alla materia
Cosa serve: tutto! Ogni informazione, dato, rilievo utile a
circostanziare i fatti. Meglio ancora se già filtrato, ma attenti
alla conservazione degli originali! Per operare al meglio, sono
utili nozioni di computer forensics
Computer Forensics e Incident Response
OWASP Day III
Università degli Studi
di Bari
23.02.2009
Presentazioni
Cybercrime
Reazione
Analisi forense
Fasi canoniche
Best Practices
Live forensics
Normativa
In aula
Contatti
Ass. Davide Gabrini
Ufficio Tecnico
Le procedure di CF ben si inseriscono nel
processo di gestione degli incidenti
Un processo di IR non è completo senza
una fase di indagine
Nonostante i possibili obiettivi comuni, CF
e IR hanno spesso priorità e finalità diverse
Ciò che va bene per l'IR, non è detto che
vada altrettanto bene per la CF
sempre se si desidera arrivare in sede di giudizio
Computer Forensics
Best Practices
La computer forensics è la
disciplina che si occupa della
preservazione, dell'identificazione,
dello studio, della documentazione
dei computer, o dei sistemi
informativi in generale, al fine di
evidenziare l’esistenza di prove
nello svolgimento dell’attività
investigativa.
Live forensics
(A.Ghirardini: “Computer forensics” – Apogeo)
OWASP Day III
Università degli Studi
di Bari
23.02.2009
Presentazioni
Cybercrime
Reazione
Analisi forense
Fasi canoniche
Normativa
In aula
Contatti
Ass. Davide Gabrini
Ufficio Tecnico
L’obiettivo è dunque quello di evidenziare dei
fatti pertinenti l’indagine da sottoporre a giudizio
Necessità di una metodologia scientifica
OWASP Day III
Università degli Studi
di Bari
23.02.2009
Presentazioni
Cybercrime
Reazione
Analisi forense
Fasi canoniche
Best Practices
Live forensics
Normativa
In aula
Contatti
Ass. Davide Gabrini
Ufficio Tecnico
Pervasività delle tecnologie digitali
Loro implicazione in attività delittuose
Lo strumento informatico come mezzo
Lo strumento informatico come fine
Nonostante la pervasività, il reale
funzionamento della tecnologia resta ai più
misterioso…
Le tracce digitali possono avere una
natura estremamente delicata, che richiede
competenze specifiche per la trattazione
Scopi di un’analisi forense
OWASP Day III
Università degli Studi
di Bari
23.02.2009
Presentazioni
Cybercrime
Reazione
Analisi forense
Fasi canoniche
Best Practices
Live forensics
Normativa
In aula
Contatti
Ass. Davide Gabrini
Ufficio Tecnico
Confermare o escludere un evento
Individuare tracce e informazioni utili
a circostanziarlo
Acquisire e conservare le tracce in
maniera idonea, che garantisca integrità
e non ripudiabilità
Interpretare e correlare le evidenze
acquisite
Riferire con precisione ed efficienza
Principi fondamentali di CF
OWASP Day III
Università degli Studi
di Bari
23.02.2009
Presentazioni
Cybercrime
Reazione
Analisi forense
Fasi canoniche
Best Practices
Live forensics
Normativa
In aula
Contatti
Ass. Davide Gabrini
Ufficio Tecnico
Limitare al minimo l'impatto:
Primo: non nuocere
Non alterare lo stato delle cose
Isolamento della scena del crimine
Utilizzo di procedure non invasive
Documentare nel dettaglio ogni
intervento
Previene possibili contestazioni
Consente in certa misura di ricostruire
la situazione
Le fasi canoniche
OWASP Day III
Università degli Studi
di Bari
23.02.2009
Identificazione
Presentazioni
Cybercrime
Reazione
Analisi forense
Acquisizione / Preservazione
Fasi canoniche
Best Practices
Live forensics
Analisi / Valutazione
Normativa
In aula
Contatti
Ass. Davide Gabrini
Ufficio Tecnico
Presentazione
1. Identificazione
OWASP Day III
Università degli Studi
di Bari
23.02.2009
Presentazioni
Cybercrime
Individuare le informazioni o le fonti
di informazione disponibili
Comprenderne natura e pertinenza
Reazione
Analisi forense
Fasi canoniche
Best Practices
Individuare il metodo di acquisizione
più ideoneo
Live forensics
Normativa
In aula
Contatti
Ass. Davide Gabrini
Ufficio Tecnico
Stabilire un piano di acquisizione
2. Acquisizione
OWASP Day III
Università degli Studi
di Bari
23.02.2009
Presentazioni
Cybercrime
Reazione
Analisi forense
Fasi canoniche
Best Practices
Live forensics
Normativa
In aula
Contatti
Ass. Davide Gabrini
Ufficio Tecnico
Il sequestro è un metodo facile, veloce
e sicuro, ma non tutti i dati possono
essere acquisiti "fisicamente"
Le copie eseguite devono essere
identiche all'originale (integrità e non
ripudiabilità)
Le procedure devono essere
documentate e attuate secondo metodi e
tecnologie conosciute, così da essere
verificabili dalla controparte
3- Analisi e valutazione
OWASP Day III
Università degli Studi
di Bari
23.02.2009
Presentazioni
Cybercrime
Reazione
Analisi forense
Fasi canoniche
Best Practices
Live forensics
Normativa
In aula
Contatti
Ass. Davide Gabrini
Ufficio Tecnico
Dare un senso a quanto acquisito
Estrarre i dati e processarli per
ricostruire informazioni
Interpretare le informazioni per
individuare elementi utili
Comprendere e correlare, per affinare le
ricerche e trarre conclusioni
E' sicuramente la fase più onerosa di
tutto il processo e richiede conoscenze
davvero disparate
4. Presentazione
OWASP Day III
Università degli Studi
di Bari
23.02.2009
Presentazioni
Cybercrime
Reazione
Analisi forense
Fasi canoniche
Best Practices
Live forensics
Normativa
In aula
Contatti
Ass. Davide Gabrini
Ufficio Tecnico
I risultati devono essere presentati in
forma facilmente comprensibile
I destinatari non hanno di solito
competenze informatiche approfondite
Tuttavia è probabile che la relazione
venga esaminata da un tecnico della
controparte
Semplicità e chiarezza, non
superficialità e approssimazione
Problemi procedurali
OWASP Day III
Università degli Studi
di Bari
23.02.2009
Presentazioni
Cybercrime
Reazione
Analisi forense
Fasi canoniche
Best Practices
Live forensics
Normativa
In aula
Contatti
Ass. Davide Gabrini
Ufficio Tecnico
Manca una validazione "locale" degli
strumenti impiegati
Negli Stati Uniti il NIST testa e certifica
gli strumenti hardware e software
In Italia manca un istituto analogo
Manca una metodologia legalmente
riconosciuta o una giurisprudenza
affermata in materia
La questione anzi pare spesso
considerata di scarsa rilevanza giuridica
Best practices internazionali
OWASP Day III
Università degli Studi
di Bari
23.02.2009
Presentazioni
Cybercrime
Reazione
Analisi forense
Fasi canoniche
Best Practices
Live forensics
Normativa
In aula
Contatti
Ass. Davide Gabrini
Ufficio Tecnico
In Italia, nessuna istituzione pubblica si è presa la briga di
compilare delle linee guida per le indagini digitali
All'estero ci sono diverse fonti interessanti:
IACP: International Association of Chiefs of Police
Best Practices for Seizing Electronic Evidence
CERT: Computer Emergency Response Team (Carnegie Mellon University)
First Responders Guide to Computer Forensics
IACIS: International Association of Computer Investigative Specialists
IACIS Forensics Procedures
NIST: National Institute of Standards and Technology
Guide to Integrating Forensics Techniques into Incident Response
Guidelines on Cell Phone Forensics
Guidelines on PDA Forensics
US Department of Justice:
Search and Seizure Manual
UK ACPO: Association of Chief Police Officers
Computer based evidence
La RFC3227
Guidelines for Evidence Collection and Archiving
OWASP Day III
Università degli Studi
di Bari
23.02.2009
Presentazioni
Cybercrime
Reazione
Analisi forense
Fasi canoniche
Best Practices
Live forensics
Normativa
In aula
Contatti
Ass. Davide Gabrini
Ufficio Tecnico
Pubblicata nel febbraio 2002, è ancora un non smentito punto
di riferimento internazionale. Tra le altre cose consiglia:
Documentare dettagliatamente ogni operazione svolta
Chiari riferimenti temporali
Indicazione di eventuali discrepanze
Evitare tecniche invasive o limitare l'impatto
all'irrinunciabile, preferendo strumenti ben documentabili
Isolare il sistema da fattori esterni che possono modificarlo
(attenzione: l'attività potrebbe essere rilevata)
Nella scelta tra acquisizione e analisi, prima si acquisisce e
poi si analizza
Essere metodici e implementare automatismi (attenzione:
arma a doppio taglio…)
Procedere dalle fonti più volatili alle meno volatili
Eseguire copie bit-level (bit stream image) e lavorare su esse
Chain of custody
OWASP Day III
Università degli Studi
di Bari
23.02.2009
Presentazioni
Cybercrime
Reazione
Analisi forense
Fasi canoniche
Best Practices
Live forensics
Normativa
In aula
Contatti
Ass. Davide Gabrini
Ufficio Tecnico
Procedura necessaria per poter tracciare lo stato di
un reperto e la relativa responsabilità in qualsiasi
momento della sua esistenza.
Deve documentare chiaramente:
Dove, quando e da chi l’evidence è stata scoperta e acquisita
Dove, quando e da chi è stata custodita o analizzata
Chi l’ha avuta in custodia e in quale periodo
Come è stata conservata
Ad ogni passaggio di consegna, dove, come e tra chi è stata
trasferita
Gli accessi all’evidence devono essere estremamente
ristretti e chiaramente documentati.
Devono potersi rilevare accessi non autorizzati.
Piano di acquisizione
OWASP Day III
Università degli Studi
di Bari
23.02.2009
Presentazioni
Cybercrime
Reazione
Analisi forense
Fasi canoniche
Best Practices
Live forensics
Normativa
In aula
Contatti
Ass. Davide Gabrini
Ufficio Tecnico
L'acquisizione va fatta rispettando
l'ordine di volatilità
Per i sistemi in esecuzione:
Registri, cache
Memorie RAM
Stato della rete
(connessioni stabilite, socket in ascolto,
applicazioni coinvolte, cache ARP, routing table, DNS cache ecc…)
Processi attivi
File system temporanei
Dischi
Ordine di volatilità (segue)
OWASP Day III
Università degli Studi
di Bari
23.02.2009
Presentazioni
Cybercrime
Reazione
Analisi forense
Fasi canoniche
Best Practices
Live forensics
Normativa
In aula
Contatti
Ass. Davide Gabrini
Ufficio Tecnico
Dopo l'eventuale spegnimento, si
prosegue con:
Dischi (post-mortem)
Log remoti
Configurazione fisica e
topologia di rete
Floppy, nastri e altri dispositivi
di backup
Supporti ottici, stampe ecc.
Analisi Live vs Post-mortem
OWASP Day III
Università degli Studi
di Bari
23.02.2009
Presentazioni
Cybercrime
Reazione
Analisi forense
Fasi canoniche
Best Practices
Live forensics
Normativa
In aula
Contatti
Ass. Davide Gabrini
Ufficio Tecnico
Quando si interviene su un sistema
acceso, si è davanti ad una scelta:
Spegnerlo subito per procedere ad
acquisizione e analisi post-mortem
Esaminarlo mentre è in esecuzione
Entrambe le scelte hanno pro e contro,
dipendenti anche da:
Competenza del personale impiegato
Strumentazione a disposizione
Perdita di dati (o di servizi) e loro rilevanza
Nel caso, valutare la modalità di spegnimento
OWASP Day III
Università degli Studi
di Bari
23.02.2009
Presentazioni
Cybercrime
Reazione
Analisi forense
Fasi canoniche
Best Practices
Live forensics
Normativa
In aula
Contatti
Ass. Davide Gabrini
Ufficio Tecnico
Quando è necessario un intervento live
OWASP Day III
Università degli Studi
di Bari
23.02.2009
Presentazioni
Cybercrime
Reazione
Analisi forense
Fasi canoniche
Best Practices
Live forensics
Normativa
In aula
Contatti
Ass. Davide Gabrini
Ufficio Tecnico
Se il sistema è in esecuzione, qualsiasi
azione lo modificherà
tanto vale intraprendere azioni utili…
Se il sistema non è fisicamente rimovibile
Se il sistema non può essere spento
Se il sistema non può essere acquisito
nella sua interezza
Se le informazioni volatili possono essere
rilevanti ai fini dell'indagine
In particolar modo, se occorre acquisire il
traffico di rete riguardante la macchina
Invasività
OWASP Day III
Università degli Studi
di Bari
23.02.2009
Presentazioni
Cybercrime
Reazione
Analisi forense
Fasi canoniche
Best Practices
Live forensics
Normativa
In aula
Contatti
Ass. Davide Gabrini
Ufficio Tecnico
Il sistema viene sicuramente alterato
le modifiche sono note?
sono documentabili?
intaccano significativamente il risultato
dell'analisi?
ogni modifica distrugge qualcosa
Gli accertamenti svolti su sistemi
accesi non saranno ripetibili
Live forensics best practices
OWASP Day III
Università degli Studi
di Bari
23.02.2009
Presentazioni
Cybercrime
Reazione
Analisi forense
Fasi canoniche
Best Practices
Live forensics
Normativa
In aula
Contatti
Ass. Davide Gabrini
Ufficio Tecnico
L'intervento dell'utente deve essere ridotto al minimo
Ogni azione deve essere indispensabile e meno invasiva
possibile
Le modifiche ai dati memorizzati staticamente devono essere
ridotte all'inevitabile
Le aquisizioni hanno priorità secondo l'ordine di volatilità
Ogni azione intrapresa deve essere scrupolosamente
verbalizzata, con gli opportuni riferimenti temporali
Gli strumenti utilizzati devono essere fidati, il più possibile
indipendenti dal sistema e impiegare il minimo delle risorse;
non devono produrre alterazioni né ai dati né ai metadati
I dati estratti vanno sottoposti ad hash e duplicati prima di
procedere all'analisi
I dati che non sono volatili devono preferibilmente essere
acquisiti secondo metodologia tradizionale
Live forensics best practices
OWASP Day III
Università degli Studi
di Bari
23.02.2009
Presentazioni
Cybercrime
Reazione
Analisi forense
Fasi canoniche
Best Practices
Live forensics
Normativa
In aula
Contatti
Ass. Davide Gabrini
Ufficio Tecnico
Più in generale:
E’ necessario comprendere le azioni che si
stanno per compiere e le loro conseguenze
In caso contrario, è indispensabile ricorrere a
personale specializzato
E’ consigliabile attenersi agli obiettivi
dell’indagine, evitando divagazioni
La live forensics non dovrebbe sostituirsi
all'analisi post-mortem, ma esserne
complementare
Nemici delle live forensics
OWASP Day III
Università degli Studi
di Bari
23.02.2009
Presentazioni
Cybercrime
Reazione
Analisi forense
Fasi canoniche
Best Practices
Live forensics
Normativa
In aula
Contatti
Ass. Davide Gabrini
Ufficio Tecnico
Rootkit
user space (ring 3)
kernel space (ring 0)
VM based
Non sempre è facile rilevarli
Possono rilevare l'azione dei tool forensi
Possono quindi alterarne i risultati, p.e.
impedendo l'acquisizione di un'evidence
Rendono necessaria l'analisi post-mortem
Metodi di spegnimento
OWASP Day III
Università degli Studi
di Bari
23.02.2009
Presentazioni
Cybercrime
Reazione
Analisi forense
Fasi canoniche
Best Practices
Live forensics
Normativa
In aula
Contatti
Ass. Davide Gabrini
Ufficio Tecnico
Se si decide di spegnere il sistema, scegliere la
modalità più opportuna:
1) Procedura canonica (in genere deprecata)
le normali procedure alterano numerose informazioni
sul disco!
ogni scrittura sovrascrive dati preesistenti (rilevanti?)
è possibile siano state predisposte procedure di "pulizia"
2) Interrompendo l'alimentazione
L'impatto sui dati è solitamente minore che con lo
shutdown del sistema
Per contro, potrebbero perdersi dati non ancora
registrati su disco
Operazioni di scrittura ancora in cache
Transazioni DB
Problemi di coerenza al successivo riavvio
Danni ai componenti elettronici
OWASP Day III
Università degli Studi
di Bari
23.02.2009
Presentazioni
Cybercrime
Reazione
Analisi forense
Fasi canoniche
Best Practices
Live forensics
Normativa
In aula
Contatti
Ass. Davide Gabrini
Ufficio Tecnico
Raccolta delle prove
OWASP Day III
Università degli Studi
di Bari
23.02.2009
Presentazioni
Cybercrime
Reazione
Analisi forense
Fasi canoniche
Best Practices
Live forensics
Normativa
In aula
Contatti
Ass. Davide Gabrini
Ufficio Tecnico
Oltre che dalla Polizia Giudiziaria, le
prove possono essere raccolte anche da
altri soggetti:
il Pubblico Ministero durante le
indagini preliminari;
la parte sottoposta a indagine, a fini
difensivi;
la parte offesa, per valutare
l'opportunità di una denuncia o querela.
Prove atipiche
OWASP Day III
Università degli Studi
di Bari
23.02.2009
Presentazioni
Cybercrime
Reazione
Analisi forense
Fasi canoniche
Best Practices
Live forensics
Normativa
In aula
Contatti
Ass. Davide Gabrini
Ufficio Tecnico
Art.189 c.p.p. comma 1: Prove non
disciplinate dalla legge
Quando è richiesta una prova non
disciplinata dalla legge, il giudice può
assumerla se essa risulta idonea ad
assicurare l’accertamento dei fatti e non
pregiudica la libertà morale della
persona. Il giudice provvede
all’ammissione, sentite le parti sulle
modalità di assunzione della prova.
Indagini difensive
OWASP Day III
Università degli Studi
di Bari
23.02.2009
Presentazioni
Cybercrime
Reazione
Analisi forense
Fasi canoniche
Best Practices
Live forensics
Normativa
In aula
Contatti
Ass. Davide Gabrini
Ufficio Tecnico
Principio di parità tra accusa e difesa
L. 397/2000: Disposizioni in materia di indagini difensive
Art. da 391bis a 391decies cpp
Il difensore, gli investigatori privati, i consulenti
tecnici possono:
Ricevere dichiarazioni dalle persone in grado di
riferire su circostanze utili
Richiedere documentazione alla Pubblica
Amministrazione
Prendere visione dello stato di luoghi e cose ed
effettuare rilievi
Accedere a luoghi privati o non aperti al pubblico,
eventualmente su autorizzazione del giudice, al solo
fine di ispezione.
Art.391-nonies: Attività investigativa preventiva
OWASP Day III
Università degli Studi
di Bari
23.02.2009
Presentazioni
Cybercrime
Reazione
Analisi forense
Fasi canoniche
Best Practices
Live forensics
Normativa
In aula
Contatti
Ass. Davide Gabrini
Ufficio Tecnico
L’attività investigativa del difensore (Art.327-bis)
può essere svolta anche preventivamente, su
apposito mandato e per l’eventualità che si instauri
un procedimento penale.
Il difensore può incaricare dell'attività il sostituto,
l'investigatore privato autorizzato o il consulente
tecnico
L'attività investigativa preventiva non può
comprendere atti che richiedono l'autorizzazione
dell'Autorità Giudiziaria
Si possono dunque svolgere autonomamente
indagini private in attesa di valutare l'eventualità di
procedere a un'azione penale e/o civile.
Legge 48/2008
OWASP Day III
Università degli Studi
di Bari
23.02.2009
Presentazioni
Cybercrime
Reazione
Analisi forense
Fasi canoniche
Best Practices
Live forensics
Normativa
In aula
Contatti
Ass. Davide Gabrini
Ufficio Tecnico
Per la prima volta, vengono introdotte procedure
di acquisizione dell'evidenza informatica,
mediante l'imposizione dell'adozione di misure
tecniche dirette ad assicurare la conservazione dei
dati originali e ad impedirne l'alterazione;
Adozione di procedure che assicurino la
conformità dei dati acquisiti a quelli originali e la
loro immodificabilità.
Le novità riguardano, tra l'altro, gli articoli relativi
a perquisizione, ispezione, sequestro, accertamenti
urgenti, oltre al concetto stesso di corpo del reato.
OWASP Day III
Università degli Studi
di Bari
23.02.2009
Presentazioni
Cybercrime
Reazione
Analisi forense
Fasi canoniche
Best Practices
Live forensics
Normativa
In aula
Contatti
Ass. Davide Gabrini
Ufficio Tecnico
Idoneità della Computer Forensics
OWASP Day III
Università degli Studi
di Bari
23.02.2009
Presentazioni
Cybercrime
Reazione
Analisi forense
Fasi canoniche
Best Practices
Live forensics
Normativa
In aula
Contatti
Ass. Davide Gabrini
Ufficio Tecnico
Per essere ammessa nel processo civile o penale,
la prova deve essere idonea a dimostrare i fatti a
cui si riferisce.
Nel processo civile, è onere della parte raccogliere
e conservare le prove in maniera tale che non
rischino di essere considerate inidonee.
Se il metodo di raccolta è opinabile e la
conservazione incerta, la prova può perdere
facilmente di attendibilità.
Più i procedimenti sono rigorosi e documentati,
più è probabile che il giudice ne riconosca l'idoneità
(per questa valutazione il giudice può avvalersi di
consulenti tecnici).
Idoneità della Computer Forensics
OWASP Day III
Università degli Studi
di Bari
23.02.2009
Presentazioni
Cybercrime
Reazione
Analisi forense
Fasi canoniche
Best Practices
Live forensics
Normativa
In aula
Contatti
Ass. Davide Gabrini
Ufficio Tecnico
Nel procedimento penale è il giudice che deve
verificare la validità scientifica dei metodi d'indagine
per stabilirne l'affidabilità:
"Nel valutare i risultati di una perizia, il giudice deve verificare
la stessa validità scientifica dei criteri e dei metodi di indagine
utilizzati dal perito, allorché essi si presentino come nuovi e
sperimentali e perciò non sottoposti al vaglio di una pluralità di
casi ed al confronto critico tra gli esperti del settore, sì da non
potersi considerare ancora acquisiti al patrimonio della
comunità scientifica. Quando, invece, la perizia si fonda su
cognizioni di comune dominio degli esperti e su tecniche di
indagine ormai consolidate, il giudice deve verificare
unicamente la corretta applicazione delle suddette cognizioni e
tecniche. "
Cass. Pen. Sez. V, 9 luglio 1993, Arch. nuova proc.pen.
1994, 226; Giust. pen. 1994, III, 42.
Sentenza 1823/05 del Tribunale di Bologna
OWASP Day III
Università degli Studi
di Bari
23.02.2009
Presentazioni
Cybercrime
Reazione
Analisi forense
Fasi canoniche
Best Practices
Live forensics
Normativa
In aula
Contatti
Ass. Davide Gabrini
Ufficio Tecnico
La difesa mise in discussione la correttezza del metodo utilizzato dalla p.g. per
estrarre i programmi dal computer.
Nella sentenza di legge:
"Il tema […] appare nella fattispecie in esame di secondo rilievo."
"non è compito di questo Tribunale determinare un protocollo relativo alle
procedure informatiche forensi, ma semmai verificare se il metodo utilizzato
dalla p.g. nel caso in esame abbia concretamente alterato alcuni dei dati
ricercati."
"non è permesso al Tribunale escludere a priori i risultati di una tecnica
informatica utilizzata a fini forensi solo perché alcune fonti ritengono ve ne
siano di più scientificamente corrette, in assenza della allegazione di fatti che
suggeriscano che si possa essere astrattamente verificata nel caso concreto
una qualsiasi forma di alterazione dei dati"
"quando anche il metodo utilizzato dalla p.g. non dovesse ritenersi conforme
alla migliore pratica scientifica, in difetto di prova di una alterazione concreta,
conduce a risultati che sono, per il principio di cui all’art. 192 c.p.p.,
liberamente valutabili dal giudice alla luce del contesto probatorio complessivo
(fermo restando che maggiore è la scientificità del metodo scelto, minori
saranno i riscontri che il giudice è chiamato a considerare per ritenere
attendibili gli esiti delle operazioni tecniche).
Sentenza 175/2006 del Tribunale di Chieti
OWASP Day III
Università degli Studi
di Bari
23.02.2009
Presentazioni
Cybercrime
Reazione
Analisi forense
Fasi canoniche
Best Practices
Live forensics
Normativa
In aula
Contatti
Ass. Davide Gabrini
Ufficio Tecnico
[...]le indagini non proseguirono con sufficiente approfondimento
poiché ci si limitò ad interpellare la ditta senza alcuna formale
acquisizione di dati e senza alcuna verifica circa le
modalità della conservazione degli stessi allo scopo di
assicurarne la genuinità e l'attendibilità nel tempo.
[…][l'U.P.G.] ha poi aggiunto di non essere andato sul posto e di
non essere in grado di riferire circa le "operazioni tecniche che
sono state compiute da Technorail per estrarre questi dati".
Se a ciò aggiungiamo che questi dati provenivano dalla stessa
persona offesa e che trattasi di dati tecnici di particolare
delicatezza e manipolabilità ci pare che il dato acquisito sia
minimo e del tutto insufficiente a fondare qualsivoglia
affermazione di responsabilità al di là del ragionevole dubbio
con la conseguenza che il prevenuto deve essere mandato
assolto con la già annunciata formula.
Contatti
OWASP Day III
Università degli Studi
di Bari
23.02.2009
Presentazioni
Cybercrime
Reazione
Compartimento Polizia Postale e delle
Comunicazioni per la Lombardia
Via Moisè Loria, 74 - 20144 – MILANO
Tel. 02/43.33.3011 – Fax 02/43.33.3067
E-mail: [email protected]
Analisi forense
Fasi canoniche
Best Practices
Live forensics
UFFICIO TECNICO
Normativa
In aula
Contatti
Ass. Davide Gabrini
Ufficio Tecnico
Assistente Davide GABRINI
[email protected]