Ministero dell’Interno
Polizia Postale e delle Comunicazioni
Compartimento Polizia Postale e
delle Comunicazioni per
l’Umbria
Facoltà di Giurisprudenza
Perugia,26 marzo 2012
Ministero dell’Interno
Polizia Postale e delle Comunicazioni
L'evoluzione tecnologica ha reso indispensabile l'uso di Internet
quale mezzo di scambio di informazioni, di accesso alle grandi
banche dati, di esecuzione di transazioni e disposizioni
finanziarie, di ideazione e creazione di nuove attività
professionali.
La rapida diffusione dell'uso di Internet ha ben presto messo in
evidenza i punti di debolezza della Rete stessa, in particolar
modo con riferimento alla sicurezza informatica.
E' in questo scenario che nasce, con legge riforma
dell'Amministrazione della Pubblica Sicurezza, la Polizia Postale e
delle Comunicazioni, quale "specialità" della Polizia di Stato
all'avanguardia nell'azione di prevenzione e contrasto della
criminalità informatica e a garanzia dei valori costituzionali della
segretezza della corrispondenza e della libertà di ogni forma di
comunicazione.
Ministero dell’Interno
Polizia Postale e delle Comunicazioni
Il principale sforzo operativo della Polizia Postale e delle
Comunicazioni è nella direzione del continuo adeguamento della
propria risposta alle nuove frontiere tecnologiche della
delinquenza.
La Polizia delle Comunicazioni è
presente su tutto il territorio
nazionale
attraverso
i
20
compartimenti,con
competenza
regionale, e le 80 sezioni con
competenza provinciale, coordinati
a livello centrale dal Servizio Polizia
delle Comunicazioni.
Ministero dell’Interno
Polizia Postale e delle Comunicazioni
Aree d'intervento
 Pedofilia on-line
 Protezione infrastrutture critiche
 Cyberterrorismo
 Copyright
 E-Commerce
 Hacking
 Collaborazione operativa con Forze di Polizia straniere
 Computer forensics
Ministero dell’Interno
Polizia Postale e delle Comunicazioni
Computer Crime
L’eccezionale e inarrestabile sviluppo, evoluzione ed espansione
delle reti telematiche, in particolare della rete Internet, e la
capillare diffusione delle apparecchiature informatiche ed
elettroniche hanno comportato innegabilmente un aumento sia
dei crimini informatici tuttavia il fenomeno appare sottovalutato
poiché:
 la vittima non ha la cognizione dell’origine dell’evento
lesivo né la consapevolezza dell’esistenza dell’evento stesso;
 il timore o preoccupazione di una pubblicità negativa,
della perdita di prestigio, della reputazione o della
credibilità.
Ministero dell’Interno
Polizia Postale e delle Comunicazioni
Attività investigative condotte dalla Polizia Giudiziaria
 quando sono rivolte all’individuazione dell’autore di crimini
informatici,cioè quei crimini contemplati e introdotti nel
Codice Penale dalla legge 547/93 (in questo caso ci
troviamo in presenza di reati informatici in senso stretto)
 quando i reati che si perseguono, pur essendo diversi da
quelli sopra definiti “crimini informatici” in senso stretto,
sono stati perpetrati a mezzo di sistemi informatici e/o
telematici
 quando si utilizzano tecnologie informatiche
telematiche nello svolgimento delle investigazioni.
e/o
Ministero dell’Interno
Polizia Postale e delle Comunicazioni
L’evidenza informatica
Il dato informatico o evidenza informatica, è costituita da una
serie di “bits” (ove, con il termine “singolo bit” - acronimo di binary
unit, e cioè cifra che può assumere il valore zero o il valore uno - è
indicata la componente elementare, che riduce a identità strutturale un
testo, un suono, un'immagine o un filmato) risultanti ordinariamente
dalla magnetizzazione o smagnetizzazione della superficie di un
supporto (e comunque dalla variazione dello stato fisico della materia),
e come tale può essere considerata immateriale.
È proprio l’immaterialità del dato informatico, bene oggetto di
tutela da parte dalla legge, che sta alla base delle difficoltà di
applicazione di taluni strumenti processuali.
Ministero dell’Interno
Polizia Postale e delle Comunicazioni
Mezzi di ricerca della prova
perquisizione
sequestro
ispezione
acquisizione
intercettazione di comunicazioni informatiche o telematiche
Ministero dell’Interno
Polizia Postale e delle Comunicazioni
Perquisizione
È il mezzo di ricerca della prova preordinato al sequestro della
stessa; la ricerca può essere omessa, se l’interessato ottempera
all’invito di consegna.
Consiste nell’attività diretta alla ricerca del corpo del reato e in
genere delle cose pertinenti al reato, quelle cioè sulle quali o a
mezzo delle quali fu commesso il reato, e quelle che ne
costituiscono il profitto, il prezzo o il prodotto o un mezzo di
prova.
Recentemente è stata introdotta la cosiddetta perquisizione
informatica art. 247 comma 1 bis c.p.p. , anche per l’eventuale
arresto per pedo-pornografia.
Ministero dell’Interno
Polizia Postale e delle Comunicazioni
Sequestro
Il sequestro consiste nell’imposizione di un vincolo di
indisponibilità sulle cose che ne sono oggetto o nel loro
spossessamento. Il sequestro probatorio (artt.253- 265 c.p.p.),
tende ad assicurare e assoggettare a custodia le fonti di prova.
Ministero dell’Interno
Polizia Postale e delle Comunicazioni
Ispezione
L’ispezione costituisce un mezzo di ricerca delle prove che ha
per oggetto persone, luoghi o cose e viene disposta, con decreto
motivato dal pubblico ministero, allo scopo di accertare
(osservare, constatare e rilevare) le “tracce e gli altri effetti
materiali del reato”.
Ministero dell’Interno
Polizia Postale e delle Comunicazioni
Acquisizione
Analogamente a quanto previsto per il sequestro, si ritiene che,
ai sensi degli artt. 234 e segg. c.p.p., si possa procedere ad
acquisizione anche dell’evidenza informatica, equiparata
pertanto ai documenti di cui al titolo II, capo VII del codice di
procedura penale, relativo ai mezzi di prova.
Ministero dell’Interno
Polizia Postale e delle Comunicazioni
Intercettazione
Un ulteriore mezzo di ricerca della prova sono le intercettazioni
informatiche o telematiche regolate dagli artt. 266 bis e segg.
c.p.p
Ministero dell’Interno
Polizia Postale e delle Comunicazioni
Modalità di intervento
descrizione particolareggiata del tipo di operazioni illecite
accertate o presunte;
assunzione di informazioni dettagliate dei luoghi da
controllare;
descrizione del sistema oggetto di indagine (hardware,
software, applicazioni, sistemi di memorizzazione di dati);
descrizione della tipologia e topologia dell’eventuale rete e di
ogni altro mezzo e linea di comunicazione disponibile (LAN,
WAN, ISP, fax, modem, telefono);
individuazione dell’eventuale amministratore di sistema e/o
della rete e delle figure professionali che lavorano nel settore
tecnico, (nello specifico se appartengono all’organizzazione
oppure se fanno parte di strutture esterne);
individuazione delle persone che possono essere informate dei
fatti.
Ministero dell’Interno
Polizia Postale e delle Comunicazioni
Attività tecnica di assunzione della prova informatica
Acquisizione
Analisi
Presentazione
Ministero dell’Interno
Polizia Postale e delle Comunicazioni
Acquisizione dell’evidenza informatica
Operazione
propedeutica
all’acquisizione
delle
evidenze
informatiche è altresì la constatazione e la verifica delle
connessioni del sistema in esame e dei dispositivi collegati.
In fase di acquisizione è necessario «sigillare» in maniera
informatica o semplicemente fisica i supporti da sottoporre ad
analisi.
Nel caso si proceda al sequestro dei soli Hard Disk è necessario
effettuare la verifica della data ed orario di sistema dal bios.
Ministero dell’Interno
Polizia Postale e delle Comunicazioni
Duplicazione dei supporti di memorizzazione
L’operazione di duplicazione deve essere realizzata con l’impiego
di programmi che consentono la riproduzione esatta e
l’inalterabilità del contenuto dei supporti originali, con
contestuale verifica dell’integrità e autenticità del contenuto
stesso.
Hardware
LOGICUBE® modello Forensic DOSSIER ®
Software
Distribuzioni live (Software)
Hardware e/o Software
Encase
AccessData FTK
Ministero dell’Interno
Polizia Postale e delle Comunicazioni
Acquisizione dei dati volatili
L’operazione di raccolta dei dati volatili, che spesso costituiscono
importante
elemento
probatorio,
non
è
facilmente
standardizzabile in ragione delle numerose variabili da valutare
e del consistente numero di strumenti utilizzabili.
È opportuno sempre tenere in debita considerazione che lo
spegnimento del sistema o un blocco dello stesso (crash)
causerebbe la definitiva perdita dei dati volatili, residenti
generalmente in porzioni di memoria non permanente.
Ministero dell’Interno
Polizia Postale e delle Comunicazioni
Indagini e attività di Polizia Giudiziaria sui sistemi
informatici modalità operative
In relazione al fatto che il sistema sia o meno in funzione all’atto
dell’ intervento, andrà calibrata sia la metodica di acquisizione
delle prove, che l’analisi dei dati, che potranno essere effettuate
direttamente sul posto o successivamente in laboratorio.
Ministero dell’Interno
Polizia Postale e delle Comunicazioni
Sistema non in funzione
Se il sistema non è in funzione e non è possibile eseguire
l’analisi dei dati sul posto (per insufficienza di apparecchiature,
per inadeguatezza dei luoghi, ecc.), sarà opportuno effettuarla
presso laboratori opportunamente attrezzati e controllati,
procedendo all’avvio e analisi del sistema.
E’ però sempre importante considerare che, quando si procede
nell’ambito di attività di polizia giudiziaria, la tempestività
nell’acquisire le notizie sui fatti oggetto di indagine, è spesso
determinante per il buon esito delle investigazioni
Ministero dell’Interno
Polizia Postale e delle Comunicazioni
Sistema non in funzione con analisi sul posto
Se il sistema non è in funzione, ma è possibile dare immediato
corso all’analisi ripetibile ed alla eventuale acquisizione dei dati,
per esigenze investigative o per procedere con ispezione, dopo
aver verificato, come detto, lo stato delle connessioni e delle
varie apparecchiature, si procederà ad accendere il sistema,
evitando che l’operazione modifichi i dati già presenti
Dopo aver disconnesso i supporti da analizzare, si procede
avviando il sistema ed accedendo al BIOS. Dopo aver preso nota
della data ed ora
Per procedere all’analisi immediata, al fine di motivare il
sequestro, per conseguire elementi utili al prosieguo delle
indagini o semplicemente perché si procede ad ispezione, si
potranno utilizzare le seguenti tecniche:
Avviare la macchina da esaminare con un “live cd”
Utilizzare EnCase(o software analoghi) in modalità protetta
Ministero dell’Interno
Polizia Postale e delle Comunicazioni
Sistema in funzione con possibilità di spegnimento
Nel caso in cui il sistema informatico in funzione possa essere
disattivato e sequestrato, per effettuare un’analisi successiva, si
procederà inizialmente alla raccolta dei dati volatili, in quanto
operazione non ripetibile dopo lo spegnimento del sistema.
Lo spegnimento adeguato di un sistema è una delle operazioni
più delicate da intraprendere, dal momento che azioni non
opportune potrebbero compromettere l’integrità dei dati in esso
contenuti.
Ministero dell’Interno
Polizia Postale e delle Comunicazioni
Sistema in funzione con impossibilità di spegnimento
Nel caso in cui non sia possibile spegnere il sistema, in
conseguenza per lo più della gravità del danno che ne
deriverebbe (si pensi a sistemi informatici che gestiscono
infrastrutture critiche o cicli produttivi di grandi aziende), le
attività di analisi immediata non potranno avere il carattere della
assoluta ripetibilità.
In tal caso, si potrà solo procedere come ispezione urgente, ex
artt. 364, 5° e 6° comma c.p.p.
Tali operazioni andranno descritte nel relativo verbale, al quale
si dovranno anche allegare i supporti informatici, sui quali
saranno state memorizzate le informazioni rilevate ed i file
acquisiti.
Presupposti fondamentali degli accertamenti urgenti art. 354 c.p.p sono:
•la possibilità di alterazione, modificazione o distruzione dell’oggetto
dell’indagine;
•l’impossibilità di intervento tempestivo da parte del pubblico ministero.
Ministero dell’Interno
Polizia Postale e delle Comunicazioni
Analisi dell’evidenza informatica
L’analisi dell’evidenza informatica si concretizza nell’estrarre,
processare e interpretare ogni tipo di dato. che possa costituire
un indizio per la prosecuzione delle indagini o sia fonte di prova
ovvero possa essere rilevante ai fini delle investigazioni
difensive.
In via generale è possibile indicare alcuni metodi e tecniche
diretti a conseguire lo scopo che ci si prefigge con l’attività di
analisi. In relazione alla fattispecie concreta, di volta in volta, si
dovranno utilizzare metodi di analisi non rigidamente legati alla
seguente elencazione ma ad un principio di logica sussidiarietà
Ministero dell’Interno
Polizia Postale e delle Comunicazioni
Verifica della data e dell’ora del sistema oggetto di analisi
(dal BIOS)
A tal proposito si tenga in debita considerazione che i riferimenti
temporali dei file e delle cartelle, contenute nel sistema oggetto
di analisi, siano rigidamente correlati alla data e all'ora
riscontrate nel BIOS. Infatti, modificare le impostazioni di data
ed ora del BIOS, è un operazione molto semplice, che può
essere effettuata in qualsiasi momento e senza lasciare tracce.
Ministero dell’Interno
Polizia Postale e delle Comunicazioni
La “timeline”
riportano in modo dettagliato date e orari di ultima modifica,
accesso e cambiamento dello status o creazione di file e cartelle,
che potrebbero essere rilevanti.
Ministero dell’Interno
Polizia Postale e delle Comunicazioni
Il “registro di sistema”
(configurazione del sistema operativo Windows)
Analisi degli utenti accreditati
Ultimo spegnimento del sistema
Ministero dell’Interno
Polizia Postale e delle Comunicazioni
Crittografia/ Steganografia
File system crittografati
File crittografati
La crittografia dei file consente di impedire ad altri utenti
l'accesso a dati particolarmente riservati. È possibile proteggere
i file desiderati con una password in modo da potervi accedere
in maniera esclusiva
File steganografati
steganografia a differenza di un algoritmo crittografico deve
tenere conto della forma plausibile che i dati generati devono
avere, affinché non destino sospetti.
Steganografia LSB/rumore di fondo
è la tipologia di steganografia più diffusa. Si basa sulla teoria secondo la
quale l'aspetto di un'immagine digitale non cambia se i colori vengono
modificati in modo impercettibile. Ogni pixel è rappresentato da un
colore differente, cambiando il bit meno significativo di ogni pixel, il
singolo colore non risulterà variato in modo significativo e il contenuto
dell'immagine sarà preservato nonostante questa manipolazione.
Ministero dell’Interno
Polizia Postale e delle Comunicazioni
Sistemi operativi e dei programmi applicativi
individuare i file propri dei sistemi operativi e dei programmi
applicativi in modo da selezionare, per differenza, i file degni di
analisi, a mezzo di tecniche cosiddette di “hashing”, che
confrontano i dati in esame con quelli, sicuramente autentici,
presenti su un proprio archivio, evidenziando di converso quelli
di cui è dubbia la legittimità;
Forensic Tool Kit della AccessData – visualizzazione della schermata utilizzata per il
confronto degli hash dei file presenti nel sistema in analisi con il proprio archivio di hash noti.
Ministero dell’Interno
Polizia Postale e delle Comunicazioni
Individuare i file camuffati
ad esempio è possibile rinominare un file contenente materiale
illecito con un nome simile ad un file di sistema e posizionarlo,
appunto, tra i file di sistema:
C:\account_rubati.zip > C:\WinNT\system32\video32.dll
le soluzioni più idonee per individuare tali camuffamenti sono
l’utilizzo delle tecniche di hashing, oppure l’utilizzo del comando
“file“ presente nei sistemi unix-like, il quale è in grado di
riconoscere la maggiore parte dei file esistenti mediante l’analisi
del loro header;
Ministero dell’Interno
Polizia Postale e delle Comunicazioni
Ricercare e controllare ogni tipo di file immagine, video,
audio, documenti, file compressi e l’estrazione della posta
elettronica
Ricerca dei files anche mediante l’utilizzo di script
Ricerca dei files in base all’header degli stessi
Ministero dell’Interno
Polizia Postale e delle Comunicazioni
Verificare la presenza di ADS
C’è la concreta possibilità di utilizzare gli ADS (Alternate Data
Stream) del file system NTFS per nascondere informazioni, dati
o file, in modo assolutamente trasparente, per essere utilizzati
in seguito.
Alcuni strumenti per la verifica dell’esistenza degli ADS sono:
crucialADS, lads
Ministero dell’Interno
Polizia Postale e delle Comunicazioni
Estrapolare i file protetti da password
in caso di mancata collaborazione da parte dell’indagato si
tenterà di individuarle, utilizzando apposito software o hardware
dove possibile (nel caso in cui la codifica sia stata effettuata
tramite RSA, questa soluzione non si mostra alquanto
applicabile)
Ministero dell’Interno
Polizia Postale e delle Comunicazioni
Individuare programmi installati
tra cui quelli di “file sharing” (che consentono la condivisione di
dati in rete) e di “chat” (permettono a più utenti di comunicare
in tempo reale sulla rete), verificando l’eventuale condivisione di
cartelle attraverso i file di configurazione dei programmi stessi;
Molto importante l’analisi della configurazione dei programmi
per “file sharing” al fine di delineare la forma criminosa in
relazione alla detenzione o diffusione di materiale pedopornografico
Ministero dell’Interno
Polizia Postale e delle Comunicazioni
Individuare programmi o attività di backdoors e rootkit
Backdoor, programmi finalizzati al controllo remoto di personal
computers di persone ignare, in modo tale da far ricadere su
altri la colpa di comportamenti illeciti
Rootkit, programmi in grado di falsare le informazioni dei dati
volatili contenuti in un sistema.
Ministero dell’Interno
Polizia Postale e delle Comunicazioni
controllo delle cartelle Preferiti” e spool di stampa
controllo delle cartelle “Preferiti” e dei relativi “links collegamenti”, “Dati Recenti”,“Cestino” e spool di stampa dei
Sistemi Operativi.
Ministero dell’Interno
Polizia Postale e delle Comunicazioni
controllo e verifica dei browser (attività web)
 Cache dei browser
per esempio index.dat, cioè dei file temporanei di navigazione in
Internet, presenti nei Sistemi Operativi, anche sotto nomi
diversi (ricostruzione della cache del browser);
Cookies
analisi dei file “cookies”, che indicano tracce della navigazione
sulle reti, in relazione a particolari siti
filtraggio delle URL dei siti web visitati in base alla data, ora,
titolo, contenuto
Ministero dell’Interno
Polizia Postale e delle Comunicazioni
webmail / remote virtual disk/ configurazione di rete
individuazione di attività di WEBMAIL o REMOTE VIRTUAL DISK
(posta elettronica via web, dischi virtuali residenti in remoto), in
quanto elementi utili per le indagini potrebbero risiedere su
dischi remoti.
verifica della configurazione di rete (Wi-fi/Eternet)
Ministero dell’Interno
Polizia Postale e delle Comunicazioni
verifica dei file di “log”
(registrazione di eventi e attività) generati dai programmi
installati e dal Sistema Operativo
interpretazione e rielaborazione dei file di log in modo da
catalogare gli eventi in modo cronologico
ricerca di correlazioni, in base alla data-ora, IP, utente, ecc.,
degli eventi risultanti dall’analisi dei file di log
Contenuto della cartella /var/log, dove comunemente vengono registrati i file di log in un sistema Linux.
Ministero dell’Interno
Polizia Postale e delle Comunicazioni
spazio non allocato
L’elenco delle operazioni enunciate, che non è da ritenersi
esaustivo, è comunque relativo ai dati che risultano in chiaro,
ovvero che non sono stati cancellati e che quindi hanno
un’allocazione ben definita all’interno del “file system”
Per completezza di analisi devono essere effettuate anche
ricerche su quella parte di dati, comunemente detto spazio non
allocato, eliminati dall’utente o dal Sistema Operativo, che pur
se non visibili, sono fisicamente presenti sui supporti magnetici
in esame
Visualizzazione con autopsy dei file cancellati in un supporto di memorizzazione
Ministero dell’Interno
Polizia Postale e delle Comunicazioni
Ripristino del sistema
Delle volte potrebbe essere conveniente, per eseguire un’analisi
rigorosa e completa, ricreare lo stesso ambiente in cui si trovava
il sistema oggetto di analisi, ripristinando cioè, dalla copia
acquisita, il contenuto originale del supporto da analizzare su un
altro disco rigido.
In tal modo, quest’ultimo potrà essere collegato al sistema
originale, oppure ad un ambiente simulato , per essere avviato
in modo corretto al fine di verificare l’originaria finalità del
software installato, ed eventualmente, di visualizzare i file creati
con software proprietario, altrimenti non visionabili.
Ministero dell’Interno
Polizia Postale e delle Comunicazioni
Presentazione del risultato
Ultima in ordine di esposizione, ma non per questo meno
importante delle altre, è la fase di presentazione dei risultati
della ricerca.
La
presentazione
deve
essere
tesa
all’illustrazione
dell’accertamento di determinati atti o fatti ed essere esposta in
modo tale da essere pienamente comprensibile, anche da
persone con scarse conoscenze informatiche.
È necessario limitarsi a inserire nella relazione conclusiva solo
gli elementi utili per l’investigazione.
Ministero dell’Interno
Polizia Postale e delle Comunicazioni
Presentazione del risultato
Ultima in ordine di esposizione, ma non per questo meno
importante delle altre, è la fase di presentazione dei risultati
della ricerca.
La
presentazione
deve
essere
tesa
all’illustrazione
dell’accertamento di determinati atti o fatti ed essere esposta in
modo tale da essere pienamente comprensibile, anche da
persone con scarse conoscenze informatiche.
È necessario limitarsi a inserire nella relazione conclusiva solo
gli elementi utili per l’investigazione.
Ministero dell’Interno
Polizia Postale e delle Comunicazioni
In modo sintetico, la relazione di presentazione dei
risultati di ricerca sull’evidenza informatica dovrebbe
contenere:
il nominativo dell’operatore che ha eseguito l’analisi
la data e l’ora di inizio e di temine dell’operazione di
acquisizione dell’evidenza informatica.
i dati dei supporti su cui la copia dell’evidenza informatica è
stata riversata.
il codice di validità (checksum o message digest, sia esso
riferito all’algoritmo MD5 o SHA1) dell’evidenza informatica e
delle copie speculari.
la descrizione delle caratteristiche del sistema posto sotto
analisi (hardware e software).
Ministero dell’Interno
Polizia Postale e delle Comunicazioni
In modo sintetico, la relazione di presentazione dei
risultati di ricerca sull’evidenza informatica dovrebbe
contenere:
la descrizione di tutte le operazioni effettuate sul supporto
originale, che costituisce l’evidenza informatica.
la descrizione delle operazioni di analisi e ricerca effettuate
sulla copia dell’evidenza.
l’elencazione e la descrizione delle caratteristiche dei
programmi eventualmente utilizzati, con particolare riferimento
a quelli impiegati per ricercare informazioni in zone non allocate
del “file system”.
la collocazione esatta (percorso logico o path) informazioni utili
per le indagini (siano essi testi, immagini, video, suoni o
programmi).
Ministero dell’Interno
Polizia Postale e delle Comunicazioni
In modo sintetico, la relazione di presentazione dei
risultati di ricerca sull’evidenza informatica dovrebbe
contenere:
la stampa, in caso sia possibile e necessario, dei dati rinvenuti.
la registrazione possibilmente su supporto non alterabile, dei
dati di interesse-
Ministero dell’Interno
Polizia Postale e delle Comunicazioni
“Non c'è alcun ramo delle scienze investigative così poco
praticato, eppure tanto importante, qual è l'arte
d'interpretare le orme.”
(Sherlock Holmes)
“È un errore enorme teorizzare a vuoto.
Senza accorgersene, si comincia a deformare i fatti per
adattarli alle teorie, anziché il viceversa.”
(Conan Doyle)
Ministero dell’Interno
Polizia Postale e delle Comunicazioni
Strumentazioni
Ministero dell’Interno
Polizia Postale e delle Comunicazioni
Software