Mag 21
Ott 27
ONIF Amelia 19 ottobre 2018
Sala Boccarini e Sala Paladini
La quarta edizione del seminario ONIF “Le Investigazioni” – “La Digital Forensics Nel Processo Giudiziario”, organizzato egregiamente dalla Dott.ssa Lucia D’Amico insieme allo staff di ONIF, si apre con la sentita commemorazione del Colonnello Massimo Giua, Comandante Provinciale di Terni della Guardia di Finanza, venuto a mancare pochi giorni prima dell’evento. Il momento di ricordo e raccoglimento per uno stimato professionista ed un amico di tanti presenti si è concluso con un caloroso applauso da parte di tutta la sala.
Terminata la commemorazione, viene proiettato il video-messaggio del Generale Umberto Rapetto, assente per motivi personali, in cui lo stesso, scusandosi per non aver potuto partecipare come previsto, si impegna a non mancare al seminario ONIF 2019, diventato, secondo il suo parere, l’evento centrale della Computer Forensics in Italia. Il Generale, prima di concludere il messaggio, centra l’attenzione sulla crescente importanza che l’informatica forense sta assumendo in ogni ambito investigativo, di pari passo con l’incremento di smart devices sempre più interconnessi fra loro: a testimonianza di ciò porta come esempio un fatto di cronaca recente, ovvero l’uccisione del giornalista Jamal Kashoggi nel consolato saudita di Ankara, in cui l’Apple Watch della vittima avrebbe ne avrebbe registrato i parametri vitali fino al decesso, permettendo così di individuare l’ora esatta dell’omicidio.
A seguire è la volta dell’Ing. Paolo Reale presidente ONIF, che introduce la giornata di studio presentando l’Associazione ONIF e per fare il punto sulla situazione della Computer Forensics in Italia. Si tratta di una disciplina percepita all’
esterno in modo ancora “oscuro”, sebbene sia sempre più penetrante nel mondo giudiziario italiano, tanto da indurre a pensare -in analogia alle mappe geografiche delle zone africane sconosciute agli antichi romani in cui tali zone venivano semplicemente etichettate con la dizione “Hic Sunt Leones”- che queste aree di competenza siano considerate dai giuristi in modo analogo. Tra i problemi della disciplina il Presidente segnala come più urgente quello relativo all’accertamento delle competenze dei professionisti del settore.
“Evoluzione del Malware – Nuove Sfide nell’Investigazione”
Vice Sovrintendente Polizia di Stato Mirko Gregori – Compartimento Polizia Postale e delle Comunicazioni per l’Umbria (PG)
L’intervento si apre illustrando le crescenti sfide poste dell’evoluzione tecnologica in fatto di attacchi da parte di malware, aventi come obiettivo non più solo Windows, ma estesi all’Internet delle Cose (IoT), ovvero alle nuove frontiere di attacco “smart”: smart TV che ci spiano, frigoriferi smart usati come veicoli per attaccare aziende.
Il malware, inteso come software in grado di danneggiare il dispositivo infettato in maniera nascosta all’utente, viene creato e diffuso perché porta guadagno a chi lo controlla sfruttando sia le vulnerabilità di applicativi e Sistemi Operativi, sia soprattutto le azioni e decisioni degli utenti
Gli attacchi fino al 2015 erano di tipo nascosto: il malware cioè, colpiva l’obiettivo restando invisibile. In questo modo l’utente non si accorgeva del problema. Negli ultimi anni abbiamo scoperto invece che esistono malware che colpiscono il dispositivo, lo danneggiano e si manifestano chiedendo il pagamento di una certa cifra in bitcoin per riavere i propri dati in chiaro. Un esempio famoso in questo senso è quello di Cryptolocker. Siamo quindi di fronte da un nuovo modo illegale di fare business, si punta alla cifratura dei dati per chiedere un riscatto.
L’elemento che più mette in difficoltà la macchina è senz’altro l’elemento umano: social engineering, phishing, mail create ad hoc con allegato o con il link nel testo della mail che ci dirigono verso un sito malevolo. Un nuovo pericolo in tal senso è la compromissione delle caselle di posta elettronica aziendale, attacco molto diffuso che si concretizza monitorando il traffico tra l’azienda ed il proprio cliente. Al momento dell’invio della fattura la mail viene intercettata, ne viene modificato l’IBAN e poi inviato al cliente. Il cliente procederà quindi al pagamento sull’IBAN modificato e intestato all’attaccate. Le azioni alla base di un attacco di questo tipo sono l’analisi dell’azienda tramite social network e la ricerca di informazioni su internet, al fine di capirne la struttura. Viene poi inviata una mail con un malware in grado di catturare i dati della casella di posta elettronica oppure una mail di phishing con link a sito malevolo per acquisire le credenziali.
I dati relativi alla diffusione dell’Internet delle Cose pongono nuove sfide a fronte di un’evoluzione che porterà ad avere cinquanta miliardi di dispositivi connessi a internet ventiquattro ore su ventiquattro già nel 2020. In particolare, per chi indaga, sussiste il problema della territorialità per i dispositivi che comunicano con centri di controllo in paesi esteri. La soluzione viene offerta dalla sinergia di forze tra il personale di Polizia dei vari paesi e per questo la Polizia Postale attua forme di collaborazione con altri Stati per conservare i dati necessari alle indagini.
“Il Mercato Parallelo dei Marketplace nella Darknet – Procedure Investigative”
Capitano Giuliano Latini Guardia di Finanza – Nucleo Speciale Tutela Privacy e Frodi Tecnologiche
Il Capitano Giuliano Latini apre l’intervento illustrando le attività del reparto, operativo a livello nazionale e specializzato nel campo delle indagini di Polizia Giudiziaria nel settore dei Marketplace nella Darknet. Il reparto effettua un costante monitoraggio della rete e delle attività illegali perpetrate attraverso il protocollo di anonimizzazione TOR, sfruttato nei business illegali in quanto garantisce alcune caratteristiche e, tra queste, l’anonimato.
Dal momento in cui la criminalità si è avvicinata a TOR nel web sono sorti molteplici Black Market o Marketplace, illegali ma che di fatto sfruttando un mezzo perfettamente legale.
Nei marketplace, ci informa il Capitano, i pagamenti sono anonimi ed effettuati in cripto valute. L’unico modo per essere identificati nei market è un nickname e anche le comunicazioni tra acquirente e venditore avvengono in maniera cifrata. Cosa si può acquistare nei marketplace? Tutto ciò che è presente nel mondo illegale: armi, manuali per esplosivi, pedopornografia, ma soprattutto droga: secondo statistica Europol 2017 più della metà dei prodotti nei marketplace è costituita da stupefacenti.
Viene poi svolto un esperimento dal vivo: quanto può essere semplice accedere a un marketplace? Basta andare su Google, scaricare TOR ed entrare nel marketplace. Ci vogliono due minuti ed è accessibile a tutti, bastano nickname e password, non servono email.
Entrati nel market vediamo venditori che offrono sostanze stupefacenti. Basta procedere al pagamento di bitcoin e fornire l’indirizzo di spedizione. Sono presenti inoltre i feedback dei venditori riportanti la prima e ultima lettera del nome dell’utente, la data e i bitcoin spesi. La chiave PGP usata per cifrare le mail è l’impronta digitale del venditore, non viene mai cambiata in quanto identifica il venditore stesso.
Le attività della Guardia di Finanza in questo campo si realizzano nel raccogliere informazioni nel dark web, nel tracciare le transazioni in bitcoin, nel leggere i forum, nell’analizzare mail e PGP, svolgendo attività sotto copertura e cercando di scoprire chi si cela dietro ai venditori.
“Cloud&Crowd – Aspetti evolutivi della Digital Forensics”
Tenento Colonnello Marco Martucci – Arma dei Carabinieri RACIS/Reparto Tecnologie Informatiche
Il Tenente Colonnello Marco Martucci, pioniere della Digital Forensics nell’Arma dei Carabinieri, apre il suo intervento segnalando che Autorità Giudiziaria e Forze dell’Ordine
devono bene intendere l’importanza della Digital Forensics, disciplina ormai ineludibile.
Il Reparto Tecnologie Informatiche è formato da tre sezioni dedicate alle attività di Forensics post mortem; operando come un laboratorio il Tenente Colonnello ed i suoi uomini lavorano a crimine avvenuto, dopo l’intervento del Magistrato. Occupandosi di Network Forensics come di uno dei settori del reparto, il relatore espone i rischi collegati all’incremento del sotto-settore del Cloud, oggi diffusissimo per i backup, costituito da server delocalizzati a livello geografico che offrono qualunque tipo di servizio. Il Cloud, impiegato sempre di più dagli smartphone o meglio smart devices, porterà ad un’evoluzione tecnologica, in quanto i nuovi dispositivi non avranno più necessità di essere molto potenti, ma solo di avere migliori interfacce, in quanto tutta la potenza verrà dal Cloud, secondo il concetto di mobile cloud computing già usato da servizi come Facebook, Google Drive, Dropbox etc. Ci saranno poi reti sul corpo (es. Smartwatch), funzionanti tramite Cloud WBAN (Wireless Body Area Network), veicoli connessi in cloud (Cloud Vehicle), nonché contenuti dell’Internet of Things spostati su Cloud a seconda dei dispositivi.
La rapida evoluzione tecnologica pone di fronte a concetti nuovi e nuove opportunità come il Mobile Crowd Computing, ovvero il supporto degli utenti nella realizzazione di un modello come nel caso dei navigatori satellitari, o di Mobile Crowd Forensics, cioè l’uso di persone e dispositivi connessi su Cloud all’interno di un’indagine. Un esempio è il Crowdsourced Forensics, ovvero nell’acquisizione di rilevazioni da parte di cellulari durante un evento criminoso, come ad esempio gli attentati terroristici, in cui gli smartphone oggi costituiscono la fonte primaria di evidenze audiovisive. Il Cloud inoltre può velocizzare le indagini comunicando alle parti in maniera in maniera istantanea tramite app: in futuro verranno generati dati in laboratorio e comunicati in tempo reale alo smartphone del Pubblico Ministero.
Con la diffusione di Crowdsourced Security infine avremo app in grado di chiamare polizia o soccorsi medici in caso di determinate variazioni nei parametri vitali.
Sessione Giuridica
“La figura dell’Informatico Forense, Competenze, Errori, Effetti su Indagini e processi”
Dott. Nanni Bassetti – Consulente di Informatica Forense – Socio Fondatore ONIF
L’intervento di Nanni Bassetti si apre evidenziando l’importanza delle best practices nella Computer Forensics come fonte di garanzia dell’attendibilità dei dati raccolti.
Tra esse viene innanzitutto segnalata la necessità di effettuare una copia forense in modo a procedere all’acquisizione di dati cancellati, difficile se non impossibile in caso di copia logica. Comparando i parametri di Completezza, Integrità e Analisi vediamo quindi che la copia forense bit a bit abbatte le percentuali di perdita di dati. Il relatore si sofferma poi sugli hash, codici alfanumerici costituenti una vera e propria firma genetica del file, da riportare non solo sui dispositivi di memorizzazione ma anche nei verbali redatti dopo copia e analisi. Ulteriori problematiche sono quelle connesse all’accensione del dispositivo che possono portare all’alterazione della timeline, alla cancellazione di evidenze digitali e, in casi estremi, l’autodistruzione o il wipe della memoria del dispositivo. Altri elementi di criticità sono ravvisati nella stampa di fonti di prova digitali e nell’estrapolazione di dati avulsi dal proprio ecosistema (come hard disk o smartphone). In questi casi si perdono i metadati provenienti dal file-system di origine, la garanzia della loro provenienza e inoltre non si registrano le azioni compiute sull’ecosistema: log, email, pagine web debbono essere prodotti in originale perché la rielaborazione è un dato parziale e soggettivo.
Si necessita infine di distinguere fra atti ripetibili e atti irripetibili onde evitare l’alterazione dei reperti. La soluzione proposta è di tipo culturale e comunicativo: bisogna creare un ponte fra tecnici e giuristi; un Digital Forensics Expert deve saper parlare ed avere una buona capacità didattica divenendo più divulgativo possibile.
“L’investigazione digitale nel processo giudiziario: metodi, nuove sfide, errori e difficoltà”
Dott. Alessandro Borra – Consulente di Informatica Forense – Socio Fondatore ONIF
L’intervento di Alessandro Borra si incentra sull’importanza dell’informatico forense al fine di capire il corretto metodo di indagine ed acquisizione dei dati. Portando ad esempio un caso reale di esfiltrazione di dati non autorizzati da un’azienda: procedendo all’analisi del solo PC del dipendente sospettato e non anche dei server non si sono ottenuti risultati. Il Pubblico Ministero invece, avrebbe dovuto consultare un informatico forense in modo da procedere all’acquisizione di tutte le differenti possibili fonti di prova, riuscendo così a risolvere il caso.
Ci si si sofferma poi sulla particolarità del documento elettronico visto come un’estensione di quello cartaceo, rispetto al quale però ha una dimensione maggiore fornita dal supporto che contiene non solo dati ma anche importantissimi metadati.
La verifica dell’attendibilità dei log, molto utilizzati dalle aziende per verificare gli accessi, può essere svolta solo da un professionista specializzato, in quanto si può sempre verificarne l’alterazione, involontaria o volontaria che sia. Similmente si possono alterare le mail. Il ricorso ad un professionista esperto e formato è quindi imprescindibile per tutte le attività di raccolta e di analisi.
“L’Informatica nella Precomprensione del fatto – Aspetti Giuridici del Falso Profilo nei Social Media”
Avvocato Massimo Brazzi – Referente Informatico dell’Ordine degli Avvocati di Perugia
L’intervento del dott. Brazzi si apre con una riflessione sulla figura dell’Avvocato come garante di diritti: essendo oggi violati i diritti non solo nell’ambiente reale, ma anche in quello digitale, sono in grado gli avvocati di tutelare al meglio i proprio assistiti? Per far fronte alle nuove sfide tecnologiche si rende necessario un maggiore e migliore dialogo con Consulenti Tecnici e Pubblici Ministeri, oltre ad una maggiore conoscenze dell’ecosistema digitale e della normativa ad esso attinente.
L’Avvocato deve fare domande e dire cosa vuole al Consulente Tecnico in modo da arrivare ad una conclusione condivisibile da tutti, avendo come obiettivo quello di arrivare all’autenticità e attendibilità della prova davanti a un giudice, riuscendo a formulare i giusti quesiti.
L’intervento prosegue con una disamina sulla normativa relativa al documento informatico in Italia dalle origini fino alla convenzione di Budapest e alla L. 48/2008, nate queste ultime dalla necessità di trovare una linea comune tra gli stati di Europei relativamente alla prova informatica. Tra i reati più comuni affrontati negli studi legali italiani troviamo quelli legati ai Social Media, partendo dalla creazione di profili falsi integranti il reato di Sostituzione di Persona fino alle truffe o ai tentativi di estorsione realizzati con bot o persona fisica per chiedere denaro.
Vengono infine esaminate le questioni probatorie relative al delitto di Sostituzione di Persona nei social media, integrato anche dai casi di appropriazione di indirizzo email tramite i dati di utente realmente esistente, nonché nell’abbinamento di una foto di un ignaro utente ad un nome di fantasia per creare un profilo fake su Badoo o altro social network.
“Atti utilizzabili ai fini della decisione dal GIP nel giudizio abbreviato”
Prof. Federico Bona Galvagno – Giudice Sezione Penale di Terni
Il Prof. Galvagno nel suo intervento mette a disposizione la propria grande esperienza di Giudice per riflettere sullo scarso uso che ancora viene fatto delle indagini difensive da parte degli avvocati.
Utili anche a formulare la strategia difensiva e chiedere il tipo di rito con cui procedere, le indagini difensive, coinvolgenti se necessario anche un consulente tecnico informatico, permettono di sviluppare gli elementi probatori incidendo sullo sviluppo del procedimento e sul rinvio a giudizio: la Cassazione impone infatti al GIP di andare a giudizio in ogni caso se si dimostra che la prova può essere ulteriormente sviluppata. Indagini difensive condotte in maniera professionale, nominando cioè consulenti tecnici di parte esperti e competenti possono invece garantire gli indagati e ridurre i tempi dei processi in quanto, se gli elementi raccolti durante l’indagine difensiva lo permettono, si può ottenere il rito abbreviato.
SPONSOR: CYBERA ed INTELLEXIA Dott. Dario BENIAMINI
“Social Network Analysis dalla teoria alla pratica”
L’Ing. Beniamini illustra la teoria della Social Network Analysis (SNA) ovvero l’analisi delle reti sociali e le sue applicazioni, dalla sua teorizzazione alla pratica in casi di attacco informatico, frode o qualsiasi attività investigativa in cui sia presente una rete. La SNA è una moderna metodologia di analisi e investigazione delle strutture sociali attraverso l’uso di reti e teoria dei grafi. Durante l’intervento, sono state enunciate le definizioni, le misure fondamentali,l’utilizzo che tale teoria può avere in diversi ambiti applicativi e come la SNA possa essere utilizzata in qualità di strumento analitico per l’esplorazione e l’analisi delle reti criminali. E’ stato inoltre mostrato come attraverso tecniche di ricerche OSINT e del suo processo in enrichment dei dati e di link analysis (analisi dei link tra gli attori), si possano espandere le modalità di ingaggio della SNA, ampliando in tutti gli ambiti in cui sono presenti delle reti la propria applicazione. L’intervento è stato concluso illustrando alcuni esempi pratici (dall’analisi dei profili dei social network, alle frodi assicurative auto, all’analisi degli influencer su twitter) e fornendo un elenco di strumenti open source e a pagamento per l’applicazione della SNA.
Dott. Nanni Bassetti “Le criptovalute e lo Shamir’s Secret Sharing”
L’intervento ha descritto le criptovalute, cosa sono, come si formano, attraverso la teoria ed esempi pratici sul mining, ma la parte più interessante è stata sulla tecnica denominata Shamir’s Secret Sharing, che permette la divisione di una chiave di cifratura tra più soggetti, impostando un numero minimo di possessori dei pezzi in cui è stata divisa la chiave, per poterla ricostruire. L’intervento ha fatto vedere una simulazione matematica attraverso l’interpolazione di Lagrange ed una simulazione con un piccolo script in Python, per rendere più chiaro il meccanismo non solo da un punto di vista teorico.
Ing. Michele BRUNO Istruttore Accademia del Drone – centro addestramento piloti apr – autorizzazione enac.ca.apr.052
“Le Nuove Sfide della Tecnologia i DRONI: Sicurezza – Normativa – Formazione”
Si è descritto il panorama normativo e tecnico per il volo dei droni in Italia e le prospettive future di nuove applicazioni operative.
Gen. Baldacci e Tenente Colonnello Pojer – Aeronautica Militare Italiana – Centro di Eccellenza per Aeromobili a Pilotaggio Remoto APR
Centro interforze
Il personale dell’Aeronautica Militare interviene sul tema dei droni e degli aerei senza pilota, strumenti efficaci quando l’elemento umano è un problema: hanno cockpit con visione non limitata, offrono immediato accesso e condivisione alle risorse acquisite e, soprattutto, riducono i rischi derivati dall’agire in ambiente ostile.
Oltre ai compiti militari i droni permettono attività di concorso con autorità civili come la sorveglianza Antincendio, la lotta la contrabbando e all’immigrazione clandestina, il monitoraggio ambientale, il soccorso in caso di calamità naturali, nonché il supporto a indagini e operazioni di Polizia. Le sfide future del settore saranno l’integrazione spazi aerei controllati, il coordinamento inter-agency, la standardizzazione procedure operative nonché la realizzazione di una normativa al passo con l’evoluzione dei sistemi.
“Alla Scoperta delle nuove minacce informatiche sempre più subdole ed evasive che minano i dati aziendali e la compliance col GDPR”
Dott. Giovanni Giovannelli – Sophos
Viene poi il turno di Giovanni Giovannelli dello sponsor Sophos, azienda anglo-americana che dal 1985 che opera in ambito Sicurezza Informatica. Giovannelli illustra come più del 50% delle minacce sui computer derivino non da eseguibili, ma da attività prodotte sulla macchina da agenti esterni come ransomware, malware avanzato e minacce via mail. Viene quindi illustrato Intercept X, la soluzione Sophos di endpoint security.
Intercept X si avvale dello strumento EDR (Endpoint Detection and Response) che non solo dà evidenza agli oggetti sospetti, ma riporta pure su quali macchine nel network lo stesso oggetto è presente. In più offre una mappa grafica che permette di vedere le conseguenze della minaccia.
Intercept X consente inoltre di isolare le macchine su cui sono presenti gli oggetti malevoli e creare un forensic snapshot, cioè un file con uno schema dei database che possono essere interrogati utilizzando strumenti standard, creando una “fotografia” del client in un momento preciso per poi analizzarla. Infine Giovannelli mostra i vantaggi della tecnologia Sophos Deep Learning, realizzata utilizzando i database di tutti i virus analizzati dal 1985 ad oggi per migliorarne il tasso di riconoscimento.
“La Ricostruzione Tridimensionale della Dinamica dell’Evento Criminale con Tecniche di Realtà virtuale”
Direttore Tecnico Ing. Gianluca Badalamenti – Servizio Polizia Scientifica di Roma – Sez. Realtà Virtuale e Ricostruzione 3d
L’Ing. Badalamenti affronta il tema della virtual evidence, presentando un ambiente 3d in cui vengono inserite informazioni da varie fonti: balistiche, biologiche ma anche investigative, come ad esempio pedinamenti e intercettazioni. Viene poi posto un manichino animato all’interno della rappresentazione, se possibile facendo camera matching, ovvero basandosi su immagini riprese e cambiando soggettiva. Il software riesce così ad acquisire i movimenti degli esseri umani e riproporli sulla scena del crimine. Infine il relatore mostra le differenze tra scansione 3d luce pulsata e scansione 3d luce a strutturata come tecnologie di ausilio alla balistica poiché permettono di ricostruire impatto e traiettoria senza alterare il reperto.
“L’Analisi dei tabulati telefonici nelle indagini di polizia giudiziaria”
SottoTenente Luciano Santoro – Arma dei Carabinieri Raggruppamento Operativo Speciale (Roma)
L’intervento è incentrato sui tabulati telefonici come strumenti di integrazione: non sostituiscono le indagini tradizionali ma le supportano, fornendo la documentazione storica del traffico telefonico da utilizzare come elemento di ricerca di prova. A tale fine il personale che si occupa dell’analisi dei tabulati telefonici viene sentito in dibattimento come riscontro ad altre informazioni acquisite durante le indagini. Il Sottotenente riporta quindi un caso reale, ovvero un omicidio avvenuto nel 2017, un delitto maturato nell’ambito ambito di dissidi familiari. In questo caso, volendo verificare sulla scena del delitto la presenza di due persone precise sono stati sovrapposti i dati video, GPS e l’analisi delle cellule telefoniche: verificata la corrispondenza delle tre tipologie di dati, si è potuto affermare che due delle persone che risultavano presenti erano in realtà da tutt’altra parte.
“Computer Vision & riconoscimenti facciali in ausilio alle indagini di Polizia Giudiziaria con strumenti Open Source”
Antonio Broi – Esperto Informatico “Digital Forensic” Programmatore S.O. Open Source GNU Linux
Antonio Broi sviluppa software da utilizzare nelle attività di polizia giudiziaria autorizzate, ad esempio per ricondurre un viso ad una persona che esiste. La sua attività si realizza principalmente nell’assemblare software Open Source come Python e customizzare distribuzioni Linux aggiungendo determinati applicativi. Mostra le librerie Python che utilizza e con cui riesce a realizzare obiettivi complessi utilizzando un numero ridotto di righe di programmazione. Analizza poi un caso celebre di face-recognition, ovvero il caso di cronaca 1inerente il pluriomicida conosciuto come “Igor il Russo”: una volta estratto il fotogramma dalla ripresa di una telecamera parte la fase di face-recognition, in cui l’algoritmo, seppur non perfetto, riesce a fornire un coefficiente di affidabilità biometrica.
“Elaborazione e autenticazione di immagini e video digitali”
Ing. Marco Fontani – AMPED
In conclusione l’Ing. Fontani ci parla dello sponsor Amped, software per l’analisi forense di analisi e video riconosciuto a livello mondiale e, in particolare di Amped Five, il prodotto più venduto. Fontani si sofferma sui problemi connessi all’acquisizione di immagini dai sistemi di sorveglianza, quali formati proprietari, la scarsa qualità o l’elevata compressione delle immagini, nonché nelle esigenze giudiziarie che impongono di lavorare in modo forense, senza alterare i dati o crearne di nuovi. Viene poi offerta una panoramica su Amped Five e su alcuni esempi di utilizzo quali la ricostruzione di una targa in movimento o la verifica dell’autenticità di un’immagine a fini probatori. In quest’ultimo caso Amped Five rileva il trattamento con Photoshop, verifica se l’immagine ha le caratteristiche di un’immagine scaricata da social network, e alla fine crea delle mappe di attendibilità che ci suggeriscono cosa eventualmente è stato modificato o aggiunto in una certa parte dell’immagine.
Si ringrazia ancora per il proficuo impegno organizzativo la Dott.ssa Lucia D’Amico.
Set 22
Mag 26
Il 25 Maggio 2018, presso il Palazzo Malvezzi Campeggi, sede della Scuola di Giurisprudenza, sviluppo della Facoltà di Giurisprudenza dell’Università di Bologna “Alma Mater Studiorum, si è svolto il convegno dal titolo “La rilevanza dell’esperto informatico forense sulla qualità dell’informazione giudiziale”.
Il convegno, con il patrocinio della Società Italiana di Informatica Giuridica (SIIG) e del Centro Studi Informatica Giuridica – Osservatorio di Bologna, (CSIG Bologna), sponsorizzato dalla società di informatica forense BIT4LAW, è stato organizzato dall’Università “Alma Mater Studiorum” di Bologna, dal Centro Interdipartimentale di Ricerca in Storia del Diritto, Filosofia e Sociologia del Diritto e Informatica Giuridica dell’Università degli Studi di Bologna “A. Gaudenzi e G. Fassò” (CIRSFID) e dall’Osservatorio Nazionale per l’Informatica Forense (ONIF). Coordinatore e moderatore della mattinata è stato il Prof. Cesare Maioli Professore ordinario di Informatica giuridica alla Facoltà di Giurisprudenza di Bologna sino al 2017.
L’intervento dell’Ing. Paolo Reale, socio fondatore, membro del direttivo e presidente di ONIF, ha evidenziato gli scopi dell’associazione ricordando gli sforzi per far convergere la realtà giuridica con quella tecnologica; lo studio, la definizione e la promozione di standard e “best practices” finalizzati alla qualificazione scientifica dell’informatica forense; la promozione e lo sviluppo della qualifica, della professionalità e della competenza dei soggetti che svolgono attività di consulenza nel ramo dell’informatica forense, e la coerente valorizzazione economica delle attività stesse. Infine è stata presentata l’iniziativa di ONIF di istituire un premio di laurea.
L’intervento del dott. Paolo Dal Checco, socio fondatore e membro del comitato direttivo di ONIF, ha illustrato quale possa essere un linguaggio comune da adottare nella bitcoin forensics su un argomento così tecnico e complesso quale quello delle criptovalute e quello del registro distribuito delle transazioni (blockchain), con una serie di definizioni e falsi miti tipici. L’intervento ha poi illustrato come riuscire a raccogliere informazioni relative alle transazioni delle criptovalute per indagini forensi, mediante la consultazione di fonti di pubblico dominio (OSINT). L’obiettivo è quello di tentare di ricostruire il portafaglio digitale (wallet), deanonimizzare transazioni, indirizzi, analizzare dispositivi posti sotto sequestro al fine di ricostruire le attività svolte dai soggetti o procedere a sequestro e confisca di criptomonete.
L’intervento dell’Avv. Antonio Gammarota ha illustrato i differenti ruoli che può assumere un consulente tecnico informatico forense, le sue responsabilità, i suoi diritti e i vari aspetti economici. L’organica enunciazione dei vari aspetti normativi legati a questa professione rende possibile comprendere anche ai non addetti ai lavori quali e quanto siano le competenze da ricercare per identificare e valorizzare un professionista della digital forensics.
L’intervento del Dott. Nanni Bassetti, socio fondatore, membro del direttivo e segretario di ONIF, ha evidenziato l’impatto che le migliori procedure (Best Practises) e gli eventuali errori durante le delicatissime fasi di acquisizione e analisi delle fonti di prove digitali, possono avere sulle indagini e sui processi. In particolare l’assenza del codice hash correttamente riportato nel verbale o relazione; l’accensione del dispositivo quando non strettamente necessario; la mera stampa cartacea delle fonti di prova digitale; l’assenza di una corretta catena di custodia (Chain of Custody); l’estrapolazione di dati avulsi dal loro contesto nativo; la rielaborazione di dati senza produrre la fonte originale; la mancanza di riferimenti oggettivi che spieghino o giustifichino alcune conclusioni sono fra gli elementi che conducono al necessario e indispensabile sviluppo, sempre di più, di una cultura uniforme fra tutti gli attori della Giustizia e della Tecnica, quindi dalla P.G., agli avvocati, magistrati, tecnici informatici e collaboratori vari.
L’intervento del dott. Alessandro Fiorenzi, socio ordinario e membro del direttivo ONIF, ha illustrato il particolare concetto di “prontezza informatica forense” (forensic readiness) da inquadrare all’interno dei vari obblighi previsti dal GDPR in caso di incidenti informatici che portino ad una violazione dei dati personali (data breach). In tali casi tornano ancor più preponderanti le attività di raccolta selettiva dei dati e loro monitoraggio, la corretta implementazione delle policy organizzative e delle conseguenti regole operative soprattutto per gestire gli allarmi e le relative comunicazioni. La forensic readiness permette in tal senso di gestire anticipatamente gli incidenti che sistematicamente si verificheranno.
A conclusione del convegno si è tenuta una tavola rotonda, coordinata dal dott. Michele Ferrazzano, socio fondatore e membro del direttivo ONIF e dalla Prof.ssa Raffaella Brighi del CIRSFID, con un profittevole scambio di opinioni e chiarimenti sui vari interventi.
Sorpresa finale è stata la presentazione in anteprima degli scritti in onore del Prof. Cesare Maioli dal titolo “Informatica giuridica e informatica forense al servizio della società della conoscenza”
Uno speciale ringraziamento va allo sponsor dell’evento BIT4LAW e al prof. Michele Caianiello, al prof. Giovanni Sartor, alla prof.ssa Raffaella Brighi, al CIRSFID e all’Università di Bologna per aver messo a disposizione la splendida Sala delle Armi ed essere intervenuti al convegno.
Apr 30
Il 25 maggio 2018, alle ore 09:00, presso la Sala Armi della Scuola di Giurisprudenza, in Via Zamboni 22 a Bologna si terrà la conferenza intitolata “La rilevanza dell’esperto informatico forense sulla qualità dell’informazione giudiziale“, organizzata dall’Alma Mater Studiorum, Università di Bologna, CIRSFID e dall’Osservatorio Nazionale d’Informatica Forense.
La partecipazione all’evento è libera e gratuita ma la capienza dell’aula impone la necessità di prenotazione: le iscrizioni possono essere effettuate tramite il sito Eventbrite all’indirizzo https://evento2018bologna.eventbrite.it/
Il programma del Convegno sull’Esperto Informatico Forense, coordinato dal Prof. Cesare Maioli – CIRSFID – Università di Bologna, è il seguente:
Saluti
Michele Caianiello – Direttore del DSG – Università di Bologna
Carla Faralli – Direttrice del CIRSFID – Università di Bologna
Giovanni Sartor – CIRSFID – Università di Bologna
Presentazione dell’associazione ONIF
Paolo Reale – Presidente ONIF
Informatica forense e OSINT su blockchain e cryptovalute
Paolo dal Checco – Scuola Universitaria Interdipartimentale in Scienze Strategiche (SUISS)
Il Consulente Tecnico informatico: ruolo, diritti, doveri, compensi
Antonio Gammarota – CIRSFID – Università di Bologna
Best/mal practice e informatica forense: gli effetti su indagini e processi
Nanni Bassetti – ONIF
Data breach e GDPR: l’importanza della forensic readiness e dell’incident response
Alessandro Fiorenzi – ONIF
Tavola rotonda e discussione con i partecipanti
Coordina: Raffaella Brighi – CIRSFID – Università di Bologna
Ott 04
Venerdì 20 ottobre 2017 dalle ore 09:15 alle 17:30 si terrà ad Amelia il seminario aperto a tutti dal titolo “La Digital 
Forensics: coordinamento, metodologia, tecnologia e potenzialità”. L’ingresso riservato con invito o previa registrazione tramite sito EventBrite entro il 17 ottobre 2017. La locandina dell’evento è scaricabile da questo link.
Si ringrazia l’Associazione Nazionale Carabinieri. Sarà rilasciato attestato di partecipazione e 8 crediti formativi cpe. L’evento è accreditato c/o consiglio Ordine Avv. di Terni che riconoscerà 2 crediti formativi ai partecipanti ed anche accreditato c/o Ordine Ing. di Terni che riconoscerà 6 crediti formativi e sarà svolto con il Patrocinio della Città di Amelia.
E’ disponibile parcheggio riservato in Piazza Vera per relatori e autorità, Centro Storico, Ingresso da Via della Repubblica – Porta Romana.
Sessione del mattino
Sessione pomeridiana: prove pratiche investigative
Apr 27
Il 16 maggio 2017 ONIF terrà un convegno presso la Camera dei Deputati nella Sala Salvadori – via Uffici del Vicario, 21 – Roma dalle 10:00 alle 13:30 e successivamente nel pomeriggio ci sarà l’assemblea dei soci ONIF presso l’Hotel Mondial – Via Torino, 127 – Roma dalle 14:30 alle 18:00.
Il titolo del convegno è:
10:00 Saluti iniziali – Ing. Carla Cappiello, Presidente Ordine degli Ingegneri della Provincia di Roma
Introduzione alle scienze forensi e i suoi esperti – Dr.ssa Immacolata Giuliani criminologa
10:15 Presentazione dell’associazione ONIF e della survey 2015 sulla professione di informatico forense – Ing. Paolo Reale Presidente ONIF Presidente commissione informatica dell’Ordine Ingegneri di Roma
10:40 Informatica forense come scienza forense Analogie e diversità con altre scienze; ambiti di applicazione; prospettive; problematiche frequenti – Dott. Nanni Bassetti Project manager progetto. CAINE Consulente di informatica forense e socio fondatore ONIF.
11:05 L’informatica forense nel sistema giudiziario: necessità di un cambio di prospettiva Presentazioni delle criticità riscontrate quotidianamente, con particolare riferimento alle figure professionali coinvolte e alle modalità di remunerazione degli incarichi – Dott. Alessandro Borra Socio fondatore ONIF e consulente informatica forense.
11:30 Il modello olandese: NRGD (Netherlands Register of Court Experts) Già da diversi anni il governo olandese ha istituito un registro nazionale degli esperti in diversi ambiti delle scienze forensi. Tale registro è gestito dal governo e utilizzato da giudici, pubblici ministeri e avvocati per la scelta del consulente – Dott. Mattia Epifani Consulente di informatica forense e socio fondatore ONIF.
11:55 “il riconoscimento delle competenze del tecnico forense nel processo penale” – Gen. Umberto Rapetto già Comandante del Gruppo Anticrimine Tecnologico della Guardia di Finanza, giornalista e scrittore
12:20 Intervento conclusivo di un rappresentante della commissione giustizia
I progetti di legge in discussione e il ruolo della Commissione Giustizia – On. Avv. Giuseppe Berretta Membro della Commissione Giustizia della Camera
Tutti gli altri dettagli li potete vedere nella locandina.
Per prenotare il vostro posto a sedere, sino ad esaurimento, cliccate qui:
Per prenotare il posto per l’assemblea RISERVATA SOLO AI SOCI ONIF, cliccate qui:
https://www.eventbrite.it/e/biglietti-assemblea-dei-soci-onif-33863408366
Mag 27
Il 28 aprile 2016 si è tenuto a Roma il primo evento pubblico dell’Osservatorio Nazionale d’Informatica Forense, organizzato con la collaborazione dell’Ordine degli Ingegneri e dell’Ordine Avvocati di Roma. Un’ampia partecipazione di pubblico ha dimostrato l’interesse di diverse categorie di Professionisti nell’attività dell’Osservatorio, come dimostrano le foto della giornata, visionabili integralmente nella photo gallery del sito.
Durante l’evento sono stati presentati i principali risultati emersi dalla survey sulla figura dell’informatico forense in Italia, che possono essere anche visionati nella presentazione qui allegata.
Le slide proiettate durante la giornata di conferenza sono disponibili pubblicamente sull’account Slidedhare dell’Osservatorio Nazionale d’Informatica Forense e vengono riportate, per comodità, qui sotto.
Apr 18
Il 28 aprile 2016 si terrà a Roma il primo evento pubblico dell’Osservatorio Nazionale d’Informatica Forense, organizzato con la collaborazione dell’Ordine degli Ingegneri e dell’Ordine Avvocati di Roma.
La sessione mattutina ospiterà, dalle ore 10:00 alle 13:00, l’Assemblea Annuale riservata ai soli soci ONIF, presso il Bes Western Hotel Mondial, in Via Torino 127, Roma. Durante la sessione mattutina verranno presentate le iniziative svolte da ONIF nel suo primo anno di attività, dalla fondazione a oggi, il bilancio economico 2015-2016, il sito web, le mailing list, varie ed eventuali.
La sessione pomeridiana, che si terrà dalle ore 14:30 alle ore 18:30, intitolata “Il consulente tecnico informatico nel processo”, tratterà della necessità di comprendere il valore di una competenza sempre più utilizzata ma non adeguatamente valorizzata. La sessione pomeridiana si terrà in Sala Pastorelli, in Via Genova, 3/a, Ministero dell’Interno c/o Dip. Vigili dei Fuoco.
Il moderatore della sessione pomeridiana dell’evento ONIF sarà il Dott. Giuseppe Latour, Giornalista de “Il Sole 24 Ore”, che introdurrrà una sessione di interventi presieduta da:
Dopo un breve coffee break, si terrà il talk del Dott. Michele Ferrazzano, Ph.D. – Professore a contratto di informatica forense Università di Bologna seguito da una tavola rotonda moderata dal Dott. Sabrina Scampini – Giornalista e conduttore TV che vedrà il Dott. Ing. Carla Cappiello, il Gen. Umberto Rapetto, l’Avv. Guglielmo Lomanno, l’Ing Paolo Reale e il Dott. Eugenio Albamonte discutere dell’argomento “La prova scientifica nel processo: chi è l’esperto forense?“.
Per iscrizioni, utilizzare i seguenti link su Eventbrite:
Mar 18
Nelle ultime settimane il caso del iPhone del terrorista di San Bernardino ha alimentato discussioni tecniche, giuridiche e sociali sulla risposta che Apple deve fornire al FBI.
Non si vuole qui entrare nel merito del problema, cioè se la richiesta del FBI abbia motivazioni di ‘ordine superiore’ o se le ragioni di protezione della riservatezza di Apple siano giuste e invalicabili. L’associazione ONIF, come osservatorio che racchiude alcuni dei principali e noti tecnici italiani d’informatica forense, vuole fare chiarezza su quelle che sono le attuali possibilità e i limiti in termini di acquisizione dei dati da dispositivi mobile Apple con sistema operativo iOS, anche e soprattutto per puntualizzare alcuni aspetti tecnici erroneamente trattati e approfonditi da diversi media.
La risposta dipende dagli strumenti e dalle metodologie che si hanno a disposizione, ma anche e soprattutto dal modello di iPhone/iPad e dalla versione del sistema operativo iOS installato. Gli ultimi modelli hanno sistemi di protezione (crittazione dei dati, impronta digitale, passcode e cancellazione totale dopo 10 immissioni errate del codice) che attualmente pongono severe limitazioni all’accesso ai dati.
No. Non è stato richiesto ad Apple di creare una backdoor. Ad Apple è stato chiesto di sviluppare una versione del sistema operativo iOS che:
Le attuali versioni di iOS non presentano queste caratteristiche ovviamente, e Apple dovrebbe crearne una ad-hoc e renderla funzionante solo sul dispositivo oggetto di accertamento (un iPhone 5C).
No. Tale operazione è possibile solo disponendo della password di cifratura. O mediante una backdoor prevista originariamente da Apple (che non risulta essere esistente).
No. L’operazione di chip-off è sempre rischiosa. Inoltre la procedura non porterebbe beneficio perché la crittografia utilizzata sui dispositivi Apple avviene a più livelli: una chiave legata all’hardware (cioè alla parte fisica all’iPhone) e una alla password scelta dall’utilizzatore. Una tecnica proposta negli ultimi giorni da Edward Snowden consiste nell’utilizzo di acidi e laser per estrarre la chiave legata all’hardware[2]. Tuttavia questa tecnica, oltre a essere molto pericolosa e invasiva sul dispositivo, non è mai stata dimostrata in pratica fino ad oggi.
In merito al recupero di dati da un dispositivo Apple (c.d. acquisizione) si distinguono principalmente due casi: acquisizione fisica e acquisizione logica. La scelta del metodo di acquisizione dipende dal tipo dispositivo e dalla versione di iOS.
In linea generale sui dispositivi iOS si distinguono due tipologie di acquisizione:
Per tutti i dispositivi fino ad iPhone 4 e per la prima versione di iPad è sempre possibile effettuare una acquisizione fisica, anche se il dispositivo è protetto con un passcode. Se il dispositivo è senza codice di blocco o se è bloccato con un codice che può essere violato in un tempo ragionevole, allora è possibile decifrare tutti i dati contenuti nella bit-stream image generata. Se non è possibile fare il cracking del codice non è possibile decifrare alcuni dati (es. i messaggi di posta elettronica all’interno dell’applicazione Apple Mail) ma si possono sicuramente decifrare tutte le informazioni delle applicazioni native (rubrica, SMS/MMS, immagini, video, cronologia di navigazione, ecc.). A partire da iPhone 4s non sono note tecniche per una acquisizione fisica del dispositivo, a meno di attività invasive (ovvero jailbreaking).
Sui dispositivi successivi ad iPhone 4s, quindi, si procede tipicamente con acquisizioni di tipo file system. Se il dispositivo è privo di codice di blocco è sempre possibile effettuare una acquisizione di parte del file system e la tecnica del backup può essere applicata su qualsiasi dispositivo, indipendentemente dalla versione del sistema operativo installato. Questo tipo di acquisizione può essere effettuata sia utilizzando direttamente iTunes sia con software opensource (es. libimobiledevice) sia con software commerciali (es. UFED Physical Analyzer, Oxygen Forensics, ecc.). La possibilità di estrarre i dati mediante backup non significa in assoluto poterli interpretare, ad esempio l’utente potrebbe aver impostato una password sul backup: in questo caso è necessario effettuare, a seguito dell’acquisizione, una attività di attacco sulla password. Il vantaggio sta nella possibilità di effettuare tale attacco “offline” (ovvero non sul dispositivo) e quindi sfruttare quanta più potenza computazionale possibile. In alternativa all’acquisizione attraverso backup si possono utilizzare le altre due tecniche. L’acquisizione attraverso Apple File Conduit produce diversi risultati in funzione della versione del sistema operativo: fino ad iOS 8.3 è possibile estrarre tutti i file multimediali (ivi compresa la musica di iTunes, non presente all’interno del backup) e le applicazioni di terze parti, da iOS 8.3 l’accesso alle applicazioni di terze parti attraverso questa modalità è stata inibita da Apple. L’acquisizione attraverso Apple File Relay è utilizzabile su tutti i sistemi operativi fino ad iOS 7.1.2 e permette di ottenere una acquisizione dei dati in chiaro, indipendentemente dalla presenza di una password di backup sul dispositivo.
Se il dispositivo è, invece, protetto da un codice di blocco è necessario distinguere in modo più granulare i diversi possibili scenari.
Il primo aspetto è lo stato del dispositivo al momento del sequestro/consegna, ovvero se acceso o spento.
Nel caso di dispositivo acceso possiamo avere tre ulteriori scenari:
L’ultimo caso equivale, in sostanza, a quello del dispositivo spento.
Nel primo caso è necessario impedire che il dispositivo possa andare in stato di blocco e comunicare con l’esterno: è quindi necessario disattivare il blocco automatico e attivare la modalità aerea. A questo punto è necessario procedere con l’acquisizione nel tempo più rapido possibile, avendo cura di non far scaricare il dispositivo e di non fare click sul tasto fisico di blocco (superiore o laterale a seconda del dispositivo).
Nel secondo caso è necessario tenere il dispositivo acceso, anche attraverso batterie ausiliarie e, ove possibile, attivare la modalità aerea (es. attraverso il Control Center attivabile mediante slider dal basso). Bisogna quindi ricercare all’interno di un computer utilizzato per sincronizzare il dispositivo un file di pairing (noto anche come certificato di Lockdown) e utilizzarlo per estrarre i dati attraverso una delle modalità di acquisizione già illustrate. E’ necessario evidenziare che, a partire da iOS 8, il file di pairing è valido solo se il dispositivo è stato sbloccato almeno una volta nelle ultime 48 ore.
Nell’ultimo caso è ulteriormente necessario distinguere a seconda del tipo di dispositivo e del sistema operativo installato.
Se il sistema operativo è iOS 7 ed è disponibile un certificato di lockdown è possibile utilizzare le modalità Apple File Relay e Apple File Conduit ed estrarre parte del file system.
Se il sistema operativo è iOS 7 e non è disponibile un certificato di lockdown si possono utilizzare soluzioni software e hardware per effettuare un attacco bruteforce sul passcode del dispositivo. Esempi di queste soluzioni sono UFED User Lock Code Recovery Tool e IP-BOX. E’ necessario evidenziare che, nel caso sia attiva la funzionalità di wiping del dispositivo dopo 10 inserimenti errati, questi strumenti rischiano di compromettere definitivamente la possibile acquisizione del dispositivo.
Se il sistema operativo è iOS 8 è disponibile un certificato di lockdown è possibile utilizzare la modalità Apple File Conduit, ma con una limitata quantità di informazioni estraibili (es. iBooks, cartelle condivise delle applicazioni attraverso Apple File Sharing, lista delle applicazioni installate, ecc.).
Se il sistema operativo è fino ad iOS 8.1 e non è disponibile un certificato di lockdown è possibile utilizzare, con necessità di apertura fisica del dispositivo, IP-BOX. Valgono le analoghe considerazioni espresse prima in relazione al rischio di wiping del dispositivo.
Se il sistema operativo è una qualunque versione di iOS 8 e il dispositivo è con processore a 32 bit (iPhone 4s/5/5c, iPad 2/3/4, iPad Mini 1), allora è possibile utilizzare il servizio offerto dalla società Cellebrite attraverso il CAIS[3] che permette di ottenere il codice di blocco[4] del dispositivo.
Se il sistema operativo è successivo ad iOS 8.1 e il dispositivo è a 64 bit, non sono note tecniche per il bruteforce del passcode, così come non sono note tecniche per qualsiasi tipo di dispositivo con sistema operativo iOS 9. Per questo motivo in caso di dispositivi spenti e con codice di blocco non è possibile allo stato attuale recuperare alcun tipo di informazione utente.
E’ utile evidenziare due ulteriori modalità per ottenere informazioni relative all’utilizzo di un dispositivo iOS: accedere all’account iCloud e verificare la presenza di backup del dispositivo oppure ricercare backup del dispositivo su computer che siano stati utilizzati per sincronizzare il dispositivo. Nel primo caso è necessario conoscere le credenziali dell’utente, oppure estrarre un token di autenticazione da un computer in cui sia installato il software iCloud Control Center oppure richiedere direttamente il supporto ad Apple. Nel secondo caso è sufficiente ricercare nella cartella dove tipicamente sono contenuti i backup (variabile a seconda della versione del sistema operativo installato sul computer) e ricercare il backup corrispondente all’identificatore univoco del dispositivo (UDID).
Giova inoltre ricordare che le informazioni sul dispositivo (es. tipo, colore, nome del dispositivo, versione del sistema operativo, UDID, Mac Address Wi-Fi) possono essere estratti anche da dispositivi bloccati utilizzando il tool ideviceinfo contenuto all’interno di libimobiledevice.
Abbiamo organizzato il presente intervento con una serie di domande/risposte che identificano i termini della questione FBI-Apple e una sezione di approfondimento tecnico che descrive più in dettaglio le modalità ed il tipo di informazioni che è possibile estrarre da un iPhone/iPad all’attuale stato dell’arte.
Dal punto di vista puramente tecnico, Apple è in grado di soddisfare le richieste avanzate dal FBI.
[1] Cos’è una backdoor? Si tratta di un punto di accesso ai dati riservata che permette di superare tutti i meccanismi di sicurezza del sistema.
[2] http://kticradio.com/abc_national/san-bernardino-iphone-can-be-hacked-without-apple-researchers-say-abcid35617143/
[3] http://www.cellebrite.com/it/Pages/services
[4] http://www.cellebrite.com/Pages/cellebrite-solution-for-locked-apple-devices-running-ios-8x
