FDS

Ultimo aggiornamento il 24/12/2009 – le nuove info sono evidenziate in giallo.

———————————————————————————————————————————–

Informatica Forense e Indagini di polizia

———————————————————————————————————————————–

Le tecniche e le informazioni riportate sono divulgate a puro scopo informativo e comunque valgono le indicazioni date nella sezione Disclaimer

———————————————————————————————————————————–

“When you have eliminated the impossible, whatever remains, however improbable, must be the truth.”

Sir Arthur Conan Doyle

L’informatica forense (Computer Forensics) è la scienza che studia l’individuazione, la conservazione, la protezione, l’estrazione, la documentazione e ogni altra forma di trattamento del dato informatico per essere valutato in un processo giuridico e studia, ai fini probatori, le tecniche e gli strumenti per l’esame metodologico dei sistemi informatici.

Si tratta di una disciplina di recente formazione, che spesso viene erroneamente identificata come una nuova “branca” della computer security. In realtà oggi, con l’aumento dei crimini informatici, e, specialmente, con una ripresa di coscienza da parte delle aziende che hanno finalmente cominciato a denunciare i crimini di cui sono vittime, si rende necessaria una applicazione integrale di questa disciplina, che sembra tuttavia non scevra di evoluzioni.

Nell’ambito dell’informatica forense, assume notevole importanza l’assicurare che i dati non vengano alterati, né durante la fase di acquisizione, né durante i passaggi successivi. Vengono quindi utilizzate determinate metodologie operative al momento del sequestro, o dopo lo stesso, dei sistemi informatici, e algoritmi di hash come MD5 e SHA1 per generare chiavi di identificazione di ciascun file e quindi permettendo di verificarne l’integrità in qualsiasi momento successivo all’acquisizione.

Definizione tratta da WikiPedia;

———————————————————————————————————————————–

Fonti informative:

• Introduzione alla Computer Forensics;
• CyberCrimes.It
• Codice di condotta e Procedure di Esame Forense;
• Mailing list di CFI – Computer Forensics Italy;
• Libro: Computer forensic;

———————————————————————————————————————————–

Le fasi delle indagini:

• avvio delle indagini, fase preliminare;
• La perquisizione ed il sequestro;
• Clonare e copiare;

———————————————————————————————————————————–

Strumenti informatici:

• Helix: Detective informatici con Linux – Usiamo una DistroLiveCD dotata di tutti gli strumenti necessari per individuare e analizzare attività illegali su un sistema;
• Linux LEO: The Law Enforcement and Forensic Examiner’s Introduction to Linux;
• DEFT: creata da Stefano Fratepietro, è una distribuzione live di software libero atta per usi legati alla Computer Forensics (informatica forense in Italia) e alla sicurezza informatica;
• Caine: (acronimo di Computer Aided Investigative Environment) è una distribuzione live orientata alla Computer Forensics (informatica forense) ideata da Giancarlo Giustini, all’interno di un progetto di Digital Forensics del Centro di Ricerca Interdipartimentale per la Sicurezza (CRIS) dell’Università di Modena e Reggio Emilia;
• Xplico è un Network Forensic Analisys Tool (NFAT), ovvero un software che ricostruisce i contenuti dalle acquisizioni eseguite con packet sniffer (ad esempio Wireshark o tcpdump). Diversamente dagli analizzatori di protocollo, la cui principale caratteristica non è la ricostruzione dei dati trasportati dai protocolli, Xplico nasce espressamente con lo scopo di ricostruire i dati applicativi dai protocolli che li trasportano ed è in grado di riconoscere i protocolli indipendentemente dalla porta che utilizzano, questo per mezzo di tecniche di Port Independent Protocol Identification (PIPI);
• Decaf: un hacker tool anti Microsoft Cofee (Computer On Line Forensic Evidence Extractor);

———————————————————————————————————————————–

Tecniche operative:

• Selective File Dumper è un tool Open Source sviluppato da Nanni Bassetti e Denis Frati, che facilita la ricerca dei file per tipologia o meglio per estensione (es. .doc o .jpg), realizzato principalmente per l’informatica forense. Il progetto nasce dall’esigenza di facilitare la ricerca ed l’estrazione di tutti i file di un certo tipo, utilizzando il software Sleuthkit, in ambiente Linux. In particolare, evita la duplicazione dei file recuperati (referenziati e cancellati) che avviene utilizzando in seguito Foremost per effettuare data carving, al fine di estrarre i file anche dallo spazio non allocato;
• write blocker è un dispositivo usato dagli investigatori nel campo dell’informatica forense per prevenire eventuali scritture su hard disk oggetto di investigazioni. Generalmente il write blocker è posto tra il disco esaminato e il computer utilizzato per esaminarlo.Ci sono due tipi di write blocker, native e tailgate:
  • un write blocker native è usato per collegare il disco attraverso la sua interfaccia nativa (es.: disco IDE su interfaccia IDE o disco SCSI su interfaccia SCSI),
  • un write blocker tailgate è usato invece per collegare il disco attraverso una interfaccia diversa (es.: disco IDE tramite USB o disco SATA tramite FireWire).

  Il write blocking fu inventato da Steve Bress e Mark Menz (brevetto: US patent# 6,813,682);

• Social engineering: di Massimo Adduci
  Possiamo definire il social engineering come un metodo di intrusione non tecnico. Usando i rapporti interpersonali e con particolari accorgimenti si cerca di estorcere quante più informazioni possibili alla persona identificata come “target” cercando così di bypassare le procedure di sicurezza.
  Obiettivo del social engineer: L’obiettivo è di ottenere informazioni (codici di accesso, password) che permettano di guadagnare l’accesso non autorizzato ad un sistema ed alle informazioni che vi risiedono.
• Come si ricostruisce una scena del crimine ? Sempre più spesso, quando ci occupiamo di omicidi non troppo semplici da risolvere, sentiamo spesso parlare di ricostruzioni virtuali delle scene del crimine. Ma quali software si utilizzano per farlo? [articolo completo su CrimeBlog];

———————————————————————————————————————————–

Giurisprudenza, sentenze e informatica:

• Tribunale di Roma: l’IP non basta per “incriminare” i navigatori che scaricano file illegali;

———————————————————————————————————————————–

Le indagini di Polizia
(informazioni tratte da CrimeBlog.It)

Di seguito elencherò le fasi che compongono un’indagine, cercando di far chiarezza sui termini e le procedure che le compongono:

• Le indagini preliminari: a fase processuale che precede l’udienza preliminare ed il giudizio vero e proprio, e che si pone come momento iniziale del procedimento penale. Partendo dal presupposto che il procedimento per “appurare la verità” si divide, come abbiamo già visto, in tre grandi fasi che sono le indagini preliminari, l’udienza preliminare e il giudizio (o dibattimento), si vede come l’atività delle indagini preliminari sia prodromica e propedeutica per l’instaurazione di un giudizio di colpevolezza ed eventualmente per l’irrogazione di una pena. Che succede quindi in questa fase? Vediamo come le indagini preliminari incomincino con l’iscrizione nel registro degli indagati di un nome, registro che tecnicamente è denominato registro delle notizie di reato, salvo che si tratti di ignoti per cui si procede all’iscrizione in un registro diverso, e l’indagine preliminare verterà anche sull’accertarne l’identità. A carico del soggetto iscritto vengono quindi svolte delle indagini da parte del Pubblico Ministero e della polizia giudiziaria, i quali hanno poteri specifici dal sapore inquisitorio per ottenere informazioni e ricercare indizi di colpevolezza in capo all’indagato. Le indagini preliminari infatti non possono durare più di 6 mesi, con alcune eccezioni e proroghe, fino a 18 mesi, termine ulteriormente prorogabile ma che comunque non può eccedere i due anni di indagine, e solo nel caso di reati di competenza delle procure distrettuali antimafia.
• L’udienza preliminare:
  • L’incidente probatorio: è una deroga al normale meccanismo di formazione della prova, perchè non avviene davanti al giudice nella fase dibattimentale (che segue il rinvio al giudizio disposto dal GUP su istanza del PM), ma avviene nella fase delle indagini preliminari, ovvero quella fase in cui bisogna valutare se ci sono quei presupposti per esercitare l’azione penale e quindi per celebrare un processo secondo il rito ordinario. Riferimenti agli articoli 392 ss. del codice di procedura penale.
  • Il rito abbreviato: il giudizio abbreviato è un rito speciale, ovvero una particolare serie di regole processuali che vengono seguite al posto di quelle generali, ordinarie. Quindi, se l’imputato chiede il rito abbreviato, non si apre il processo penale così come lo conosciamo, bensì si apre un altro tipo di processo, che toglie qualcosa dall’eventuale pena dell’imputato, per premiarlo per aver fatto risparmiare tempo e risorse allo stato, nella mancata celebrazione del rito ordinario. I riferimenti sono agli articoli 438 e seguenti del codice di procedura penale.
  • I poteri di indagine della polizia: La P.G. può prima di tutto acquisire sommarie informazioni, ovvero parlare direttamente con l’indagato, anche sul luogo del delitto o nell’immediatezza del fatto; la P.G. può procedere a perquisizione personale o locale se ha fondato motivo che sulla persona si trovino occultate tracce o cose pertinenti al reato; la P.G. può disporre il sequestro e l’apertura della corrispondenza (ad eccezione della corrispondenza fra l’indagato e il suo avvocato!); il sequestro può essere disposto anche su cose e luoghi pertinenti al reato, fra cui il corpo del reato, fino all’arrivo del pubblico ministero sul luogo del fatto; dopo il 2005 (in seguito alle esigenze anti-terrorismo) la P.G. può prelevare, anche coattivamente, materiale biologico (capelli o saliva) per l’esecuzione dell’esame del DNA. Ci sono inoltre i poteri di arresto e di fermo: il primo si riferisce ad una situazione di flagranza di reato, il secondo si riferisce al conseguimento di un quadro indiziario grave a carico di un soggetto indagato.