In totale sono stati pubblicati 55 articoli nella sezione “Digital Forensics”, di seguito elencati dal più recente:
Tecniche di Cloud Forensics di Fabio Massa La quantità di servizi basati su cloud per il consumatore ha aumentato notevolmente la capacità di elaborazione e di archiviazione. Molte applicazioni basate sul modello client-server sono in realtà servizi PaaS su cloud, utilizzati in modo trasparente al consumatore. Oggi la Cloud Forensics assume pertanto un ruolo importante nelle indagini elettroniche, ma …
Intelligenza artificiale prospettive per la sicurezza e la digital forensics di Nanni Bassetti (N. II_MMXXI)
Si sente molto parlare di intelligenza artificiale (AI o IA), machine learning e deep learning negli ultimi tempi, in realtà è un argomento che affonda le sue radici a parecchi decenni fa, infatti l’IA fu teorizzata e poi sviluppata con modelli matematici sin dal 1956 ad opera di nomi eccelsi come John McCarthy, Marvin Minsky, Claude Shannon e Nathaniel Rochester, fino a giungere ai giorni nostri che la stanno valorizzando molto dal punto di vista di sviluppo, grazie all’evoluzione dell’hardware più potente e di molte librerie software gratuite ed open source, sviluppate dai numerosi ricercatori sul web.
Come WhatsApp gestisce i messaggi di Giovanni Tessitore e Antonio Casolaro (N. IV_MMXX)
Analisi dettagliata di alcuni funzionamenti dell’applicazione WhatsApp per sistemi Android con illustrazione dei meccanismi di memorizzazione dei messaggi sul filesystem, con particolare riferimento all’implementazione della cifratura e all'eventuale recupero di database corrotti.
Wallet Hardware e criptovalute nelle operazioni di polizia giudiziaria Luca Cadonici (N. IV_MMXIX)
Il presente articolo è nato a seguito di esperienze professionali che hanno visto lo scrivente operare come Ausiliario di Polizia Giudiziaria in supporto al personale della Guardia di Finanza, e sviluppa le tematiche presentate nel corso della quinta edizione dell’evento annuale organizzato dall’Osservatorio Nazionale sull’Informatica Forense, tenutosi nella giornata del 18 ottobre 2019 ad Amelia, vicino Terni. Al personale di Polizia Giudiziaria presente, che ringrazio per l’attenzione e la partecipazione, vanno queste righe, sperando di poter offrire informazioni utili e spunti operativi in un ambito non ancora normato, in particolare dal punto di vista procedurale, durante le delicate fasi di perquisizione e sequestro.
Viola il principio di proporzionalità ed adeguatezza il sequestro indiscriminato di sistema informatico che conduce all’apprensione dell’intero contenuto di informazioni di Antonio Di Tullio DElisiis (N. II_MMXIX)
Corte di cassazione, Sezione VI Penale, sentenza n. 24617 del 24 febbraio 2015 e depositata il 10 giugno 2015. La Sezione Sesta, decidendo su una fattispecie di perquisizione e sequestro di computer di giornalista, ha affermato che: deve ritenersi violato il principio di proporzionalità ed adeguatezza, applicabile anche ai vincoli reali, nel caso di sequestro indiscriminato di un sistema informatico a fini probatori che conduca, senza che ve ne sia specifica ragione, all’apprensione dell’intero contenuto di informazioni; le disposizioni introdotte dalla legge 48/2008 riconoscono al dato informatico, in quanto tale, la caratteristica di oggetto del sequestro, di modo che il trattenimento di copia dei dati sequestrati, con restituzione all’avente diritto del loro supporto fisico originale di memoria, non fa cessare il sequestro; il diritto all’anonimato sulle fonti del giornalista, quale previsto dall’art. 200 cod. proc. pen., non consente il ricorso a perquisizione e sequestro per acquisire il nominativo della fonte, salvo che non ricorrano, ex ante, le condizioni per la non operatività del diritto al segreto.
Image/video forensics: theoretical background, methods and best practices. Part three – Tools for operational scenarios by Fausto Galvan and Sebastiano Battiato (N. III_MMXIX)
From the beginning of this century, Image/Video Forensics experts faced the need to extract the largest number of information from a digital visual content, developing a plethora of methods and algorithms. These approaches, which may concern the authentication of images or videos, the identification of the device in which the visual data was originated, or the alterations to which the document has been subjected, find applications both in the civil and criminal context. In a series of three papers, we provide first an introductory part about the powerful impact of images and videos in today’s reality, followed by a section where we highlight the differences between the analog and digital age in the formation of an image. Then we will define what is a digital evidence, and we will introduce Image/Video Forensics as a branch of the forensic sciences, highlighting its potential and limits. In the following, we will examine in detail some methods allowing to retrieve information from images when they are not readily available, and finally will provided a list of free and non-free software to face the daily challenges coming from processing images and videos for forensic purposes. The work ends with a list of publications containing the Best Practices in the field.
Image/video forensics: theoretical background, methods and best practices – Part two: From analog to digital world by Fausto Galvan and Sebastiano Battiato (N. I_MMXIX)
From the beginning of this century, Image/Video Forensics experts faced the need to extract the largest number of information from a digital visual content, developing a plethora of methods and algorithms. These approaches, which may concern the authentication of images or videos, the identification of the device in which the visual data was originated, or the alterations to which the document has been subjected, find applications both in the civil and criminal context. In a series of three papers, we provide first an introductory part about the powerful impact of images and videos in today’s reality, followed by a section where we highlight the differences between the analog and digital age in the formation of an image. Then we will define what is a digital evidence, and we will introduce Image/Video Forensics as a branch of the forensic sciences, highlighting its potential and limits. In the following, we will examine in detail some methods allowing to retrieve information from images when they are not readily available, and finally will provided a list of free and non-free software to face the daily challenges coming from processing images and videos for forensic purposes. The work ends with a list of publications containing the Best Practices in the field.
Image/video forensics: theoretical background, methods and best practices – Part one: Can we trust Images and Videos? by Fausto Galvan and Sebastiano Battiato (N. IV_MMXVIII)
From the beginning of this century, Image/Video Forensics experts faced the need to extract the largest number of information from a digital visual content, developing a plethora of methods and algorithms. These approaches, which may concern the authentication of images or videos, the identification of the device in which the visual data was originated, or the alterations to which the document has been subjected, find applications both in the civil and criminal context. In a series of three papers, we provide first an introductory part about the powerful impact of images and videos in today’s reality, followed by a section where we highlight the differences between the analog and digital age in the formation of an image. Then we will define what is a digital evidence, and we will introduce Image/Video Forensics as a branch of the forensic sciences, highlighting its potential and limits. In the following, we will examine in detail some methods allowing to retrieve information from images when they are not readily available, and finally will provided a list of free and non-free software to face the daily challenges coming from processing images and videos for forensic purposes. The work ends with a list of publications containing the Best Practices in the field.
I dati informatici acquisiti dalla memoria di un telefono non rientrano nel concetto di corrispondenza di Andrea Girella (N. III_MMXVIII)
Corte di Cassazione, Sezione V Penale, sentenza n. 1822 del 21 novembre 2017 e depositata il 16 gennaio 2018. I dati informatici acquisiti dalla memoria del telefono in uso all’indagata (sms, messaggi whatsApp, messaggi di posta elettronica “scaricati” e/o conservati nella memoria dell’apparecchio cellulare) hanno natura di documenti ai sensi dell’art. 234 cod. proc. pen. La relativa attività acquisitiva non soggiace né alle regole stabilite per la corrispondenza, né tantomeno alla disciplina delle intercettazioni telefoniche. Secondo l’insegnamento della Corte di legittimità non è applicabile la disciplina dettata dall’art. 254 cod. proc. pen. con riferimento a messaggi WhatsApp e SMS rinvenuti in un telefono cellulare sottoposto a sequestro, in quanto questi testi non rientrano nel concetto di “corrispondenza”, la cui nozione implica un’attività di spedizione in corso o comunque avviata dal mittente mediante consegna a terzi per il recapito.
Dal surface al dark web, passando per il deep web (III parte) di Giuseppe Di Ieva e Gianpaolo Zambonini (N. II_MMXVIII)
PRIMA PARTE1. Introduzione, 2. Surface Web, 2.1. Raccolta/Indicizzazione/Ordinamento, 2.2. Link Popularity vs PageRank, 2.3. I motori di ricerca del Surface Web, 3. Deep Web, 3.1. Alla scoperta del Deep Web. SECONDA PARTE: 3.2. Anatomia di una query, 3.3. L’Albo pretorio on-line, 3.4. I contenuti del Deep Web, 3.5. La rete Usenet come Deep Web, 4. Dark Web, 4.1. L’anonimato, 4.2. I Proxy, 4.3. Tor, 4.4. La rete Tor, 4.5. Hidden Service, 4.6. Navigare su un sito onion, 4.7. Basta un click. TERZA PARTE (in qesto numero): 4.8. La valigetta degli attrezzi per il Dark Web, 4.9. ACTIVE o INACTIVE onion site, 4.10. I motori di ricerca del Dark Web, 5. Conclusioni.
Le procedure ed i metodi della digital forensics sono così importanti? di Nanni Bassetti (n.I_MMXVIII)
Che impatto avrebbe il non effettuare una copia bit a bit e non calcolare i codici hash sull’attendibilità dei dati che saranno analizzati? Accendere un computer per ispezionarlo prima di acquisire la copia dei dischi, cosa comporta? Spesso sembra che adottare delle procedure sia solo un esercizio di stile, a avolte sembre importante solo trovare le evidenze.
L’analisi dei dati di geolocalizzazione provenienti dai dispositivi satellitari automobilistici di Paolo Reale (N. I_MMXVIII)
Nei casi giudiziari le informazioni raccolte dalle c.d. “scatole nere” possono diventare elementi essenziali per la ricostruzione dei fatti, dei movimenti, della presenza o meno nei luoghi di interesse da parte degli indagati, ma anche per la sincronizzazione oraria tra eventi di natura diversa, come una ripresa video.
Dal surface al dark web, passando per il deep web (II parte) di Giuseppe Di Ieva e Gianpaolo Zambonini (N. I_MMXVIII)
PRIMA PARTE1. Introduzione, 2. Surface Web, 2.1. Raccolta/Indicizzazione/Ordinamento, 2.2. Link Popularity vs PageRank, 2.3. I motori di ricerca del Surface Web, 3. Deep Web, 3.1. Alla scoperta del Deep Web. SECONDA PARTE (in qesto numero): 3.2. Anatomia di una query, 3.3. L’Albo pretorio on-line, 3.4. I contenuti del Deep Web, 3.5. La rete Usenet come Deep Web, 4. Dark Web, 4.1. L’anonimato, 4.2. I Proxy, 4.3. Tor, 4.4. La rete Tor, 4.5. Hidden Service, 4.6. Navigare su un sito onion, 4.7. Basta un click. TERZA PARTE: 4.8. La valigetta degli attrezzi per il Dark Web, 4.9. ACTIVE o INACTIVE onion site, 4.10. I motori di ricerca del Dark Web, 5. Conclusioni.
Dal surface al dark web, passando per il deep web (I parte) di Giuseppe Di Ieva e Gianpaolo Zambonini (N. IV_MMXVII)
PRIMA PARTE (in qesto numero): 1. Introduzione, 2. Surface Web, 2.1. Raccolta/Indicizzazione/Ordinamento, 2.2. Link Popularity vs PageRank, 2.3. I motori di ricerca del Surface Web, 3. Deep Web, 3.1. Alla scoperta del Deep Web. SECONDA PARTE: 3.2. Anatomia di una query, 3.3. L’Albo pretorio on-line, 3.4. I contenuti del Deep Web, 3.5. La rete Usenet come Deep Web, 4. Dark Web, 4.1. L’anonimato, 4.2. I Proxy, 4.3. Tor, 4.4. La rete Tor, 4.5. Hidden Service, 4.6. Navigare su un sito onion, 4.7. Basta un click. TERZA PARTE: 4.8. La valigetta degli attrezzi per il Dark Web, 4.9. ACTIVE o INACTIVE onion site, 4.10. I motori di ricerca del Dark Web, 5. Conclusioni.
Gli algoritmi crittografici del bitcoin di Roberto Demarchi (N. III_MMXVII)
Bitcoin ha stravolto il pensiero della tradizionale moneta. Fonda la sua costruzione su degli algoritmi crittografici ed ha una concezione, nella transazione tra utenti, paritaria con l’assenza di una gestione governata da una autorità centrale. Ha di fatto aperto la strada e il pensiero delle persone a nuove realtà similari che stanno affacciandosi sui mercati finanziari ed economici..
Il caso San Bernardino: APPLE vs FBI di Fabio Massa (N. III_MMXVII)
Il recente caso investigativo americano ha suscitato numerose discussioni di carattere tecnico, giuridico etico e sociale in merito alla disputa tra la Apple inc., la Federal Bureau of Investigation e la DOJ (U.S. Department of Justice), generata dalla richiesta di sblocco di un Iphone 5C utilizzato da uno dei killer della strage di San Bernardino in California del dicembre 2015, dove sono rimaste uccise 14 persone e ferite gravemente 22. il telefono dell’attentore è stato recuperato intatto, ma risultava bloccato da un codice di blocco a 4 cifre e impostato per il wiping dei dati dopo 10 tentativi falliti nell’inserimento del codice di blocco, opzione presente nei dispositivi iPhone. La Apple inc. adducendo diverse motivazioni, tecniche e giuridiche, ha rifiutato la disponibilità nella creazione di un software che avrebbe consentito di bypassare i sistemi di sicurezza dei loro dispositivi, nodo cardine delle politiche commerciali dell’azienda.
Le tecniche anti forensics di Fabio Massa (N. I_MMXVII)
L’Anti-Forensics è l’insieme di strumenti, metodi e processi che ostacolano l’applicazione della Digital Forensics. Sebbene il termine non sia nuovo, non esiste una chiara definizione di queste tecniche, tuttavia lo scopo finale rimane quello di influire negativamente sulla esistenza, quantità e/o qualità delle prove nella scena del crimine digitale, con la conseguenza di rendere impossibile o complesso condurre le indagini. Conoscere l’Anti-Forensics, o non far finta che non esista, consente di affrontare le nuove sfide offerte dalla tecnologia per sviluppare opportune metodologie di identificazione e di analisi digitale adeguate a tutte le situazioni.
La stima dell’errore nella determinazione dell’altezza di un soggetto ripreso da un sistema di videosorveglianza di Sebastiano Battiato e Giovanni Tessitore (N. IV_MMXVI)
La diffusione dei sistemi di video-sorveglianza pubblici e privati rende frequente oggigiorno il caso in cui gli autori di un reato siano ripresi dalle telecamere di tali sistemi. La misura dell’altezza può essere un valido strumento per restringere la cerchia dei sospettati ed aiutare ad identificare i soggetti coinvolti. La stima dell’errore di misura deve sempre accompagnare le misure effettuate.
Distrazione da smartphone nell’omicidio stradale di Roberto Rocchetti (N. IV_MMXVI)
Nell’ipotesi di un accadimento drammatico per l’uso dello smartphone durante la guida, è possibile applicare il metodo scientifico alle investigazioni digitali quando nei procedimenti penali occorra stabilire se l’incidente stradale è originato dalla condotta negligente del conducente e, nella fattispecie, a causa proprio dell’utilizzo dello smartphone.
Un esempio pratico di memory forensics con l’open source di Nanni Bassetti (n.IV_MMXVI)
La memory forensics, ossia le indagini sul contenuto della memoria RAM di un dispositivo digitale come un computer, rappresentano una materia abbastanza complessa, infatti occorre conoscere molto bene come funzionano i processi ed il sistema operativo, al fine di comprendere cosa è in esecuzione e quali file sono coinvolti. In quest’articolo si tratterà un piccolo esempio di “malware hunting” (caccia al malware) per illustrare come con degli strumenti open source ed online, si può trovare il software maligno che infesta un computer, chiaramente è un percorso semplice per fini descrittivi e didattici, dato che scovare i malware e le loro varie declinazioni spesso è molto più complicato.
Gps Forensics di Fabio Massa (N. IV_MMXVI)
Il 15 dicembre 2016 è entrata in funzione la rete GALILEO (in inglese GNSS - Global Navigation Satellite System) grazie ai primi 16 dei suoi complessivi 30 satelliti che saranno dispiegati entro la fine del 2019. La rete GALILEO è stata sviluppata in Europa come alternativa al Global Positioning System (NAVSTAR GPS), controllato dal Dipartimento della Difesa degli Stati Uniti. L’uso del Sistema di navigazione satellitare è estremamente diffuso nella società odierna in molteplici applicazioni: civili, militari e industriali. Le potenziali fonti di prova che può fornire questo Sistema sono i dati storici di localizzazione.
Anatomia di un attacco ransomware di Fabio Massa (N. II_MMXVI)
Come previsto in passato da numerosi esperti di sicurezza, oggi per la prima volta nel genere umano, un numero impressionante di persone sono sottoposte quotidianamente ad estorsioni digitali che prendono in ostaggio i dati, tramite ransomware e crittografia. L’uso dei personal computer e dei dispositivi digitali connessi alla rete, presenti oramai in tutte le attività quotidiane degli utenti, ha prodotto indirettamente un numero esponenziale di potenziali vittime di crimini informatici, amplificata dalle numerose campagne quotidiane di infezione. Ormai la già vasta gamma di ransomware è ulteriormente in crescita. La stragrande maggioranza di questi malware vengono generati per estorcere direttamente o indirettamente denaro alle vittime, a tal punto da essere considerati oggi una grave minaccia a livello globale.
Misure da una foto: un approccio tecnico-statistico per formulare stime affidabili di Paolo Reale (N. I_MMXVI)
Spesso nei casi giudiziari c’è la necessità di valutare delle misure relative alle dimensioni di oggetti o persone inquadrate, tuttavia a volte - per diversi motivi - non è possibile applicare i metodi di elaborazione delle immagini tramite software, oppure le immagini disponibili non sono state pensate per questi scopi, ma rimangono comunque le uniche testimonianze utili.
Malware Forensics di Fabio Massa (N. I_MMXVI)
L’analisi forense in casistiche da infezione da malware (malicious software) è estremamente frequente nell’ambito delle investigazioni digitali, in particolar modo per fornire risposte ed elementi probatori ad attacchi e/o incidenti informatici, accessi abusivi, spionaggio, furto di identità e ricatto. I malicious software costituiscono una grave minaccia per la sicurezza dei sistemi informatici. Spesso, nelle casistiche relative alle investigazioni digitali di sistemi infettati da malware è necessario ricorrere ad una attenta analisi per fornire risposte mirate su cosa è accaduto e quali elementi probatori della sua esistenza possono essere reperiti nel sistema, riferiti anche agli attacker e ai metodi di diffusione ed infezione.
Il ruolo dei social media nell’investigazione di Sara Bartolucci (N. I_MMXVI)
Nelle attività di contrasto alla criminalità, negli ultimi anni ha assunto grande rilevanza la capacità di analisi, di comprensione e di predizione di eventi e fenomeni criminali complessi. In tale contesto, si diffonde e riconosce l’utilità nell’ambito delle attività info-investigative che spaziano dalle comunicazioni telefoniche alle organizzazioni criminali, ai gruppi terroristici, dai social media e dall’analisi delle reti sociali, partendo dall’osservazione fondamentale che la maggioranza delle informazioni oggetto di investigazione da parte delle forze dell’ordine sono notizie di natura relazionale.
L’analisi forense delle email di Fabio Massa (N. IV_MMXV)
Una email è composta da un header, un corpo messaggio, e in alcuni casi da un allegato, che generalmente contengono informazioni quali: mittente, destinatario, data e ora di invio e di ricezione, indirizzi IP del server di invio e di ricezione, e un ID messaggio univoco. In ambito forense queste informazioni hanno un valore probatorio molto importante, e possono essere recuperate tramite molteplici tecniche forensi da due categorie di applicazione di gestione della posta elettronica.
LA RICERCA E L’ANALISI NEL DEEP WEB: I BLACK MARKET di Maria Clara Colombini (N. IV_MMXV)
Il Deep Web (Web sommerso o invisibile) è l’insieme delle risorse informative del World Wide Web non raggiugibili dai comuni motori di ricerca. Secondo Wired, il Web è costituito da oltre un trilione di pagine, mentre Google ne indicizza solo tre miliardi. La struttura dell’intero World Wide Web è spesso paragonata a quella di un iceberg, di cui solo una minima parte è visibile sopra il pelo dell’acqua. Poiché vi sono implementate numerose sotto-reti con accessi regolamentati da diversi livelli di sicurezza, esso è rappresentato tramite livelli successivi o strati, dal più esterno (quello visibile a chiunque) a quelli più interni e difficilmente accessibili.
ACCESSO ABUSIVO A SISTEMA INFORMATICO: IL LOCUS COMMISSI DELICTI COINCIDE CON QUELLO DEL SOGGETTO CHE ACCEDE di Elena Bassoli (N. III_MMXV)
Corte di Cassazione, Sezioni Unite Penali, sentenza n. 17325 del 26 marzo 2015 e depositata il 24 aprile 2015. Con sentenza depositata il 24 aprile 2015, le Sezioni Unite Penali della Corte di Cassazione, risolvendo un conflitto di competenza, hanno affermato che “il luogo di consumazione del delitto di accesso abusivo ad un sistema informatico o telematico di cui all’art. 615-ter cod. pen. coincide con quello nel quale si trova il soggetto che effettua l’introduzione abusiva o vi si mantiene abusivamente”.
PERQUISIZIONE DI SISTEMA INFORMATICO PER LE PRENOTAZIONI DEI VOLI ONLINE: I DATI DEVONO ESSERE GIÀ PRESENTI di Fabrizio Corona (N. III_MMXV)
Corte di cassazione, Sezione IV Penale, sentenza n. 19618 depositata il 24 maggio 2012. La perquisizione, ai sensi dell’art. 247 c.p.p., comma 2, (introdotto dalla L. n. 48 del 2008), è consentita “quando vi è fondato motivo di ritenere che dati, informazioni, programmi informatici o tracce pertinenti al reato si trovino in un sistema informatico o telematico, ancorché protetto da misure di sicurezza”. Pertanto, è da escludere un preventivo ed indefinito monitoraggio del sistema predetto in attesa dell’eventuale e futura comparsa del dato da acquisire a base delle indagini.
Osint e cyber intelligence: tecniche di investigazione nella rete di Fabio Massa (N. III_MMXV)
OSINT, acronimo di Open Source Intelligence, è un processo di analisi di Intelligence delle Fonti Aperte. L’Open Source Intelligence è una disciplina strettamente collegata al mondo della Cyber Intelligence, e rappresenta la raccolta di notizie che devono essere trasformate in “conoscenza”, attraverso fasi di validazione, di conferma e di attribuibilità certa della cosiddetta fonte di diffusione. Vediamo una panoramica dei più diffusi tools gratuiti a disposizione sul web che possono essere utilizzati per l’OSINT.
COME AFFRONTARE I “BIG DATA” NELLA DIGITAL FORENSICS di Nanni Bassetti (n.II_MMXV)
L’aumento incontrollato di dati è diventato un ostacolo per gli investigatori informatici, che devono affrontare una corsa agli armamenti informatici per far fronte a questo tsunami digitale. Analisi di alcuni sistemi organizzativi che potrebbero aiutare a vincere questa battaglia.
IOT Forensics: nuove sfide e opportunità nelle indagini scientifiche di Paolo Reale (n.II_MMXV)
In termini di sicurezza l’Internet Of Things (IoT) desta già diverse preoccupazioni. Sono evidenti anche le implicazioni in termini di privacy. Anche sotto il profilo ‘forense’ questi dispositivi rappresentano evidentemente un elemento di interesse: tramite questi ‘oggetti’ è possibile perpetrare dei crimini, e quindi si configurano come (nuovi) mezzi con i quali commettere dei reati.
Mac Osx Forensics Analysis (II parte) di Fabio Massa (n.II_MMXV)
Nel precedente numero: 1. Introduzione - 2. Tecniche di acquisizione ed analisi di un computer Macintosh - a) Avvio con CD DVD - b) Avvio Single User - c) Modalità Target Disk. In questo numero: 3. Machintosh file system - 4. La Radice UNIX - a) System tree - b) Local tree - c) User tree - d) Network tree - 5. Analisi Forense - a) Safari - b) Apple Mail - c) ichat - ) Keychains
LE BEST PRACTICES SULL’ATTENDIBILITÀ DELLA PROVA DIGITALE ENTRANO ANCHE NEL GIUDIZIO CIVILE di Elena Bassoli (n.I_MMXV)
Tribunale Napoli, Ordinanza 29/04/2014. L’ordinanza analizza il valore probatorio dei file di log, con le relative operazioni di conservazione ed estrazione, sancendo, anche per il diritto civile e non solo per quello penale, il principio dell’inattendibilità probatoria delle semplici copie di prove digitali.
Mac Osx Forensics Analysis (I parte) di Fabio Massa (n.I_MMXV)
In questo numero: 1. Introduzione - 2. Tecniche di acquisizione ed analisi di un computer Macintosh - a) Avvio con CD DVD - b) Avvio Single User - c) Modalità Target Disk. Nel prossimo numero: 3. Machintosh file system - 4. La Radice UNIX - a) System tree - b) Local tree - c) User tree - d) Network tree - 5. Analisi Forense - a) Safari - b) Apple Mail - c) Keychains.
Deep Web: investigazioni digitali nel lato oscuro della rete di Fabio Massa
La peculiarità del deep web è l’elevato livello di anonimato favorito dall’utilizzo di particolari tecnologie, come Tor. Da una parte Tor garantisce un livello di anonimato che consente di trasferire in alta sicurezza i dati oppure di superare condizioni di censura presenti in alcuni paesi, dall’altra parte rappresenta il mezzo ideale per attività criminali. L’analisi forense dei client nei quali è stato installato “Tor Browser Bundle”, può aprire scenari investigativi interessanti, che smentiscono alcune certezze di anonimato garantite dai manutentori dello stesso progetto.
Microsoft Windows 8 Forensics di Fabio Massa
Windows 8 ha introdotto molte novità che riguardano particolarmente la connessione costante alla rete Internet. Ora che possiamo considerarlo ampiamente diffuso, anche se è già in procinto di essere presentata la nuova versione 9, descriviamo le principali novità introdotte da Windows 8 ai fini delle indagini forensi.
VERIFICA DELL’ATTENDIBILITÀ DI UN ALIBI COSTITUITO DA IMMAGINI O VIDEO di Sebastiano Battiato e Fausto Galvan (N. II_MMXIV)
Tra le conseguenze che l’informatizzazione globale ha sul mondo delle investigazioni, vi è il sempre maggior utilizzo di strumenti digitali per la creazione di alibi. In questo contesto, le immagini e/o i video opportunamente modificati sono molto sfruttati. Al fine di rivelare le manipolazioni dei documenti visivi, oltre ai metodi forniti dalla Image Forensics “classica” vengono qui considerati, in una visione più globale del fenomeno falsificatorio, gli approcci che analizzano la possibile presenza di falsi originali. Alcuni esempi tratti da casi reali completano la trattazione.
BITCOINS FORENSICS di Fabio Massa ( n. II_MMXIV )
Bitcoin è una moneta elettronica creata nel 2009 da un anonimo conosciuto. La struttura peer-to-peer della rete Bitcoin e la mancanza di un ente centrale rende impossibile per qualunque autorità, governativa o meno, di bloccare la rete, sequestrare bitcoins ai legittimi possessori o di svalutarla creando nuova moneta. Al fenomeno è stato addirittura dedicato un evento alla Camera dei Deputati l’11 giugno 2014 dal titolo “Bitcoin in Italia: quali opportunità per le “monete matematiche” nel nostro paese?” nel quale si si sono messi in luce i rischi macroeconomici connessi ad una moneta a tendenza deflattiva. È stato poi annunciato il primo Bancomat Bitcoin italiano da oggi sul mercato, chiamato “Bit-Wallet”.
Analisi forense di una scheda SIM di Fabio Massa ( n.IV_MMXI )
Una delle casistiche più frequenti in una analisi forense, in particolar modo nel caso di un telefono cellulare, è la possibilità di ricavare da una SIM (Subscriber Identity Module) informazioni che risultano essenziali in moltissime circostanze, ad es. per ricostruire un evento criminoso, in molte situazioni anche di tipo omicidiario.
ANALISI DEL DISCO FISSO DI UN SISTEMA DI VIDEOSORVEGLIANZA: UN ESEMPIO DI REVERSE ENGINEERING di Paolo Reale (n.I_MMXIV)
Probabilmente molti ricordano il caso della bomba nella scuola di Brindisi, a maggio 2012, che è stato risolto grazie alle registrazioni video di alcune telecamere di sicurezza: in effetti, il numero di sistemi di videosorveglianza in uso, per ragioni di sicurezza e per combattere la criminalità, è cresciuto notevolmente negli ultimi anni, e anche se è difficile fare una stima (non essendo necessarie particolari autorizzazioni per l’installazione, non sono disponibili numeri precisi), secondo alcune valutazioni in Italia ci sarebbero circa due milioni di telecamere.
ANALIZZARE DISPOSITIVI SENZA INTERFACCE O DISTRUTTI: LA “CHIP-OFF” FORENSICS di Nanni Bassetti (n.I_MMXIV)
La tecnica d’indagine forense c.d “chip-off” rappresenta l’estremo tentativo di recuperare dati ed informazioni da un dispositivo, quasi sempre di tipo mobile (come ad es. il telefono cellulare, il tablet, la pendrive, il navigatore satellitare, l’unità GPS, la game console, il registratore digitale, ecc..), soprattutto quando non vi è modo di connettersi a causa della mancanza d’interfacce o perché il dispositivo è quasi totalmente distrutto.
Facebook Forensics di Fabio Massa ( n.IV_MMXIII )
Il social network Facebook®, con oltre un miliardo di utenti in tutto il mondo, ha acquisito il primato in qualità di mezzo di comunicazione digitale più famoso a livello globale. Una quantità impressionante di importanti informazioni personali e commerciali viene scambiata tra gli utenti quotidianamente, a tal punto da divenire anche un ottimo mezzo di acquisizione di fonti probatorie nel caso di indagini investigative criminali.
IL FUTURO DELLA DIGITAL FORENSICS di Nanni Bassetti (n.IV_MMXIII)
Nel futuro della Digital Forensics si cominciano a intravedere scure nubi, formate da ostacoli di non piccolo cabotaggio. Durante le vostre ricerche potrete imbattervi in alcuni di questi baubau della Digital Forensics, vere e proprie innovazioni tecnologiche e culturali, che potrebbero spazzar via tutto quello che finora si è cercato di consolidare.
La perquisizione online tra esigenze investigative e ricerca atipica della prova di Luca Battinieri ( n.IV_MMXIII )
Un recente intervento giurisprudenziale della S.C. (Cass. Sez. 4, Sentenza n. 19618 del 17/04/2012) ha consentito di fare luce sulle problematiche cui darebbe luogo la perquisizione informatica allorquando realizzata con modalità tali da fuoriuscire dai confini dell’art. 247 c.p.p. per arrivare a lambire quelli del mezzo atipico di ricerca della prova.
APPORTO DELL’INTELLIGENZA ARTIFICIALE NELLA VALUTAZIONE DELLA PROVA PENALE di Michele Iaselli ( n.IV_MMXIII )
Come è noto l’indagine di polizia giudiziaria può essere definita informatica in due casi: quando è tesa all’identificazione dell’autore di crimini informatici, intendendosi con tale accezione, principalmente, quei crimini previsti ed introdotti nel nostro ordinamento dalla legge 547/93; quando si utilizzano tecnologie informatiche e telematiche nello svolgimento delle investigazioni su reati comuni, già esistenti prima della rete Internet e dell’avvento della così detta Società dell’informazione.
RICOSTRUZIONE DI INFORMAZIONI 3D A PARTIRE DA IMMAGINI BIDIMENSIONALI di Sebastiano Battiato e Fausto Galvan ( n.IV_MMXIII )
Tra gli strumenti di indagine disponibili oggigiorno, cominciano a farsi strada anche metodi che permettono di estrapolare da una (o più) immagini informazioni relative alle dimensione di oggetti e/o persone fotografate. Alcuni di questi algoritmi rendono possibile ricostruire l’intera scena 3D ripresa dalla camera al momento dello scatto. Dopo una breve introduzione alla teoria matematica di riferimento verranno brevemente elencati alcuni risultati di rilievo già utilizzati ampiamente in ambito investigativo.
Analisi forense del peer-to-peer: l’esempio di EMule di Fabio Massa ( n.III_MMXIII )
L’analisi forense di eMule, e di software dedicati alla stessa tipologia di attività su network P2P, può generare numerosi elementi probatori fondamentali ed inequivocabili in sede di giudizio.
Giustizia ed informatica forense: particolarità ed eccezioni di Nanni Bassetti e Paolo Reale (n.III_MMXIII)
Il Consulente Tecnico esperto in Digital Forensics si imbatte in situazioni di natura paradossale durante le operazioni eseguite su disposizione dell’autorita’ giudiziaria in materia civile e penale. Vediamone alcuni aspetti, come la mancanza dei requisiti richiesti a ricoprire tale ruolo e le tariffe relative alla sua remunerazione.
L’ispezione informatica e la disciplina processuale delle attività di computer forensics di Luca Battinieri ( n.III_MMXIII )
L’attività investigativa tesa a repertare la prova digitale è sovente veicolata de plano nell’ambito degli accertamenti tecnici irripetibili, trascurando, tuttavia, che, nei casi più comuni di accesso informatico, difetta proprio l’elemento caratterizzante dell’istituto processuale invocato.
La digital forensics nel cloud computing di Fabio Massa ( n.II_MMXIII )
La digital forensics nel Cloud Computing è una nuova disciplina che studia il relativo crescente utilizzo di reti, computer e dispositivi di memorizzazione digitale impiegati in infrastrutture cloud, sfruttati per attività criminali hi tech e tradizionali.
LA VALIDITÀ PROBATORIA DELLE IMMAGINI E DEI VIDEO di Sebastiano Battiato e Fausto Galvan ( n.II_MMXIII )
Il numero di immagini in circolazione sul web, e non solo, è in costante aumento. Questo scenario ha un inevitabile riscontro in ambito forense: è sempre più improbabile che un evento delittuoso possa consumarsi senza che la scena del crimine o parte di essa, oppure l’autore del fatto, non vengano ripresi da un sistema di videosorveglianza. La relativa facilità con cui al giorno d’oggi l’uso di software di fotoritocco o di editing video, anche di facile reperimento, permette di “comporre” una immagine o “montare” una scena alterandone i contenuti originari impone che l’acquisizione ed il trattamento di immagini e video digitali sia regolato da “best practice” di riferimento.
GESTIONE DELL’INCERTEZZA NELLA DIGITAL FORENSICS di Marco Mattiucci ( n.II_MMXII )
La Digital Forensics (DF) è una scienza forense nata a seguito della necessità di rispondere a consulenze tecniche di polizia giudiziaria inerenti sistemi digitali. Lungi quindi dall’essere partita da basi teoriche assestate, ha sfruttato la cultura esistente (prettamente nel settore informatico ed elettronico) per determinare metodi il più possibile certi ed inattaccabili, atti ad ottenere fonti di prova ammissibili in dibattimento. La stessa informatica teorica, la logica matematica che sottende l’informatica, la statistica alla base del funzionamento dei sistemi elettronici e la teoria delle probabilità, non sono mai stati coinvolti nell’iniziale creazione del DF e questo oggi inizia ad evidenziare delle possibili debolezze teoriche e strutturali della materia che potrebbero essere negativamente impiegate in dibattimento a scopo di invalidazione dei risultati.
IL PROBLEMA DELL’IDENTIFICAZIONE NELLA NETWORK FORENSICS di Marco Mattiucci e Raffaele Olivieri ( n.I_MMXII )
La Network Forensics (NF), nell’ambito del più generale Digital Forensics, si occupa della cattura, registrazione ed analisi di comunicazioni di rete (impostate su precisi protocolli standard) al fine di ottenere informazioni utili allo svolgimento di indagini tecniche in vari ambiti legali(1) (aziendali interni, penali, civili, ecc.). Data la diffusione del protocollo IP (Internet Protocol) ad oggi la NF tende ad identificarsi con la cattura, registrazione ed analisi di pacchetti IP ma non si limita a questo. Uno degli scopi fondamentali e particolarmente ricorrenti di tali analisi è il tracciamento dei pacchetti e l’identificazione a vari livelli: posizione geografica, autore, responsabilità, e svariati altri aspetti. Il grande volume di attività degli utenti su web, generalmente effettuata tramite browser, scatena tutta una serie di comunicazioni IP, anche molto sofisticate, che hanno spinto lo sviluppo di particolari studi di NF (non limitati al web) codificati in una importante sotto-materia denominata Internet Forensics, di anch’essa si parlerà in questo lavoro.
Il DIGITAL FORENSICS: DAL COMPUTER AL CELLULARE, AD INTERNET FINO ALL’ELETTRONICA PURA di Marco Mattiucci ( n.IV_MMXI )
Il Digital Forensics (DF) è una scienza di recente costituzione che è risultata pervasiva e trasversale rispetto alle altre discipline scientifico forensi. In questo lavoro introduttivo ci si pone lo scopo di percorrere in generale la strada del DF in Italia da 15 anni a questa parte evidenziando alcuni dei filoni di studio che ha aperto, le problematiche tecniche (risolte ed irrisolte) nonché gli aspetti teorici cui ha dato vita formalmente a livello accademico e legale, ciò ovviamente senza pretesa di esaustività.
