Upload
others
View
11
Download
0
Embed Size (px)
Citation preview
Presentazioni
Cybercrime
Incident
Response
Digital Forensics
Live Forensics
Normativa
Contatti
Risk Management
Evolution
Milano, 15.10.2013
Sovrintendente Davide Gabrini
Aspetti legali della Gestione del Rischio:
normativa e investigazioni
Procura di Milano
Pool Reati Informatici
Aspetti legali della Gestione del Rischio:
normativa e investigazioni
Milano, 15 ottobre 2013
Presentazioni
Cybercrime
Incident
Response
Digital Forensics
Live Forensics
Normativa
Contatti
Risk Management
Evolution
Milano, 15.10.2013
Sovrintendente Davide Gabrini
Aspetti legali della Gestione del Rischio:
normativa e investigazioni
Il Pool Reati Informatici è un’unità di lavoro
altamente specializzata funzionale al IV Dipartimento
(Antiterrorismo) della Procura della Repubblica
presso il Tribunale Ordinario di Milano.
Coordinato da un Procuratore Aggiunto, il pool è composto
da Pubblici Ministeri, Ufficiali e Agenti di Polizia Giudiziaria e
personale ausiliario.
La Squadra Reati Informatici è un team interforze,
composto da personale di Polizia di Stato, Guardia di Finanza
e Polizia Locale.
Il pool si avvale inoltre di consulenti esperti in aree tecnico-
scientifiche e nelle discipline criminologiche.
Chi siamo
Presentazioni
Cybercrime
Incident
Response
Digital Forensics
Live Forensics
Normativa
Contatti
Risk Management
Evolution
Milano, 15.10.2013
Sovrintendente Davide Gabrini
Aspetti legali della Gestione del Rischio:
normativa e investigazioni
Cybercrime
Incident Response
Digital Forensics
Indagini difensive e preventive
Di cosa parliamo
Presentazioni
Cybercrime
Incident
Response
Digital Forensics
Live Forensics
Normativa
Contatti
Risk Management
Evolution
Milano, 15.10.2013
Sovrintendente Davide Gabrini
Aspetti legali della Gestione del Rischio:
normativa e investigazioni
Modello in quattro fasi, secondo Chris Pogue (Trustwave), per
la definizione dei cybercrime:
Infiltration is the point at which the attacker gets into an
organization.
Propagation is where the bad guy pivots, as the initial point
of entry isn't always where they want to be.
Aggregation is when the attacker
finds and collects all the data that
is being sought.
Exfiltration is about getting out
without being detected.
the Breach Quadrilateral
Presentazioni
Cybercrime
Incident
Response
Digital Forensics
Live Forensics
Normativa
Contatti
Risk Management
Evolution
Milano, 15.10.2013
Sovrintendente Davide Gabrini
Aspetti legali della Gestione del Rischio:
normativa e investigazioni
Vulnerabilità web apps: Top 10 di OWASP
http://www.owasp.org
Presentazioni
Cybercrime
Incident
Response
Digital Forensics
Live Forensics
Normativa
Contatti
Risk Management
Evolution
Milano, 15.10.2013
Sovrintendente Davide Gabrini
Aspetti legali della Gestione del Rischio:
normativa e investigazioni
Rapporto Clusit 2013
Presentazioni
Cybercrime
Incident
Response
Digital Forensics
Live Forensics
Normativa
Contatti
Risk Management
Evolution
Milano, 15.10.2013
Sovrintendente Davide Gabrini
Aspetti legali della Gestione del Rischio:
normativa e investigazioni
I dati della Procura di Milano
Presentazioni
Cybercrime
Incident
Response
Digital Forensics
Live Forensics
Normativa
Contatti
Risk Management
Evolution
Milano, 15.10.2013
Sovrintendente Davide Gabrini
Aspetti legali della Gestione del Rischio:
normativa e investigazioni
Il grosso delle violazioni non viene
denunciato. Possibili cause:
La compromissione non viene rilevata
Il problema viene "rattoppato" senza
indagare ulteriormente
L'indagine rimane interna all'azienda
Timore di danno d'immagine
Scarsa fiducia o mancanza di interesse
in un'azione legale
Sotto la punta dell’iceberg
Presentazioni
Cybercrime
Incident
Response
Digital Forensics
Live Forensics
Normativa
Contatti
Risk Management
Evolution
Milano, 15.10.2013
Sovrintendente Davide Gabrini
Aspetti legali della Gestione del Rischio:
normativa e investigazioni
Incident Response
Presentazioni
Cybercrime
Incident
Response
Digital Forensics
Live Forensics
Normativa
Contatti
Risk Management
Evolution
Milano, 15.10.2013
Sovrintendente Davide Gabrini
Aspetti legali della Gestione del Rischio:
normativa e investigazioni
IR Life Cycle secondo il Nist:
Incident Response
Presentazioni
Cybercrime
Incident
Response
Digital Forensics
Live Forensics
Normativa
Contatti
Risk Management
Evolution
Milano, 15.10.2013
Sovrintendente Davide Gabrini
Aspetti legali della Gestione del Rischio:
normativa e investigazioni
Le procedure di DF ben si inseriscono nel
processo di gestione degli incidenti
Un processo di IR non è completo senza
una fase di indagine
Nonostante i possibili obiettivi comuni, DF
e IR hanno spesso priorità e finalità diverse
Ciò che va bene per l'IR, non è detto che
vada altrettanto bene per la DF
sempre se si desidera arrivare in sede di giudizio
Digital Forensics e Incident Response
Presentazioni
Cybercrime
Incident
Response
Digital Forensics
Live Forensics
Normativa
Contatti
Risk Management
Evolution
Milano, 15.10.2013
Sovrintendente Davide Gabrini
Aspetti legali della Gestione del Rischio:
normativa e investigazioni
La computer forensics è la
disciplina che si occupa della
preservazione, dell'identificazione,
dello studio, della documentazione
dei computer, o dei sistemi
informativi in generale, al fine di
evidenziare l’esistenza di prove
nello svolgimento dell’attività
investigativa. (A.Ghirardini: “Computer forensics” – Apogeo)
L’obiettivo è dunque quello di evidenziare dei
fatti pertinenti l’indagine da sottoporre a giudizio
Computer Forensics
Presentazioni
Cybercrime
Incident
Response
Digital Forensics
Live Forensics
Normativa
Contatti
Risk Management
Evolution
Milano, 15.10.2013
Sovrintendente Davide Gabrini
Aspetti legali della Gestione del Rischio:
normativa e investigazioni
Confermare o escludere un evento
Individuare tracce e informazioni utili
a circostanziarlo
Acquisire e conservare le tracce in
maniera idonea, che garantisca cioè
integrità e non ripudiabilità
Interpretare e correlare le evidenze
acquisite per attribuirne la rilevanza
Riferire sui fatti riscontrati
Scopi di un’analisi forense
Presentazioni
Cybercrime
Incident
Response
Digital Forensics
Live Forensics
Normativa
Contatti
Risk Management
Evolution
Milano, 15.10.2013
Sovrintendente Davide Gabrini
Aspetti legali della Gestione del Rischio:
normativa e investigazioni
Identificazione
Acquisizione / Preservazione
Analisi / Valutazione
Presentazione
Le fasi canoniche
Presentazioni
Cybercrime
Incident
Response
Digital Forensics
Live Forensics
Normativa
Contatti
Risk Management
Evolution
Milano, 15.10.2013
Sovrintendente Davide Gabrini
Aspetti legali della Gestione del Rischio:
normativa e investigazioni
Limitare al minimo l'impatto:
Primo: non nuocere
Non alterare lo stato delle cose
Isolare della scena del crimine/incidente
Utilizzare procedure non invasive
Documentare nel dettaglio ogni
intervento eseguito
Previene possibili contestazioni
Consente in certa misura di ricostruire
la situazione
Principi fondamentali di CF
Presentazioni
Cybercrime
Incident
Response
Digital Forensics
Live Forensics
Normativa
Contatti
Risk Management
Evolution
Milano, 15.10.2013
Sovrintendente Davide Gabrini
Aspetti legali della Gestione del Rischio:
normativa e investigazioni
In Italia, nessuna istituzione pubblica si è presa la briga di
compilare delle linee guida per le indagini digitali
All'estero ci sono diverse fonti interessanti:
IACP: International Association of Chiefs of Police
Best Practices for Seizing Electronic Evidence
CERT: Computer Emergency Response Team (Carnegie Mellon University)
First Responders Guide to Computer Forensics
IACIS: International Association of Computer Investigative Specialists
IACIS Forensics Procedures
NIST: National Institute of Standards and Technology
Guide to Integrating Forensics Techniques into Incident Response
Guidelines on Cell Phone Forensics
Guidelines on PDA Forensics
US Department of Justice:
Search and Seizure Manual
UK ACPO: Association of Chief Police Officers
Computer based evidence
Best practices internazionali
Presentazioni
Cybercrime
Incident
Response
Digital Forensics
Live Forensics
Normativa
Contatti
Risk Management
Evolution
Milano, 15.10.2013
Sovrintendente Davide Gabrini
Aspetti legali della Gestione del Rischio:
normativa e investigazioni
Procedura necessaria per poter tracciare lo stato di
un reperto e la relativa responsabilità in qualsiasi
momento della sua esistenza.
Deve documentare chiaramente:
Dove, quando e da chi l’evidence è stata scoperta e acquisita
Dove, quando e da chi è stata custodita o analizzata
Chi l’ha avuta in custodia e in quale periodo
Come è stata conservata
Ad ogni passaggio di consegna, dove, come e tra chi è stata
trasferita
Gli accessi all’evidence devono essere estremamente
ristretti e chiaramente documentati.
Devono potersi rilevare accessi non autorizzati.
Chain of custody
Presentazioni
Cybercrime
Incident
Response
Digital Forensics
Live Forensics
Normativa
Contatti
Risk Management
Evolution
Milano, 15.10.2013
Sovrintendente Davide Gabrini
Aspetti legali della Gestione del Rischio:
normativa e investigazioni
Analisi Live vs Post-mortem
Quando si interviene su un sistema acceso,
si è davanti ad una scelta:
Spegnerlo subito per procedere ad acquisizione
e analisi post-mortem
Esaminarlo mentre è in esecuzione
Entrambe le scelte hanno pro e contro,
dipendenti anche da:
Competenza del personale impiegato
Strumentazione a disposizione
Perdita di dati e loro rilevanza
Sospensione di servizi critici
Presentazioni
Cybercrime
Incident
Response
Digital Forensics
Live Forensics
Normativa
Contatti
Risk Management
Evolution
Milano, 15.10.2013
Sovrintendente Davide Gabrini
Aspetti legali della Gestione del Rischio:
normativa e investigazioni
Presentazioni
Cybercrime
Incident
Response
Digital Forensics
Live Forensics
Normativa
Contatti
Risk Management
Evolution
Milano, 15.10.2013
Sovrintendente Davide Gabrini
Aspetti legali della Gestione del Rischio:
normativa e investigazioni
Live Forensics
Chi è presente sulla scena dell’incidente
ha un’occasione irripetibile
Osservare gli eventi in corso
Eseguire rilievi
Monitorare l’evoluzione
Catturare artefatti volatili
RAM, network dump ecc.
Presentazioni
Cybercrime
Incident
Response
Digital Forensics
Live Forensics
Normativa
Contatti
Risk Management
Evolution
Milano, 15.10.2013
Sovrintendente Davide Gabrini
Aspetti legali della Gestione del Rischio:
normativa e investigazioni
Ha però anche l’occasione per
commettere errori irrimediabili
Perdita di dati rilevanti
Alterazione delle timeline
Mancata documentazione degli
interventi
Intralcio alle indagini successive
Live Forensics
Presentazioni
Cybercrime
Incident
Response
Digital Forensics
Live Forensics
Normativa
Contatti
Risk Management
Evolution
Milano, 15.10.2013
Sovrintendente Davide Gabrini
Aspetti legali della Gestione del Rischio:
normativa e investigazioni
L'intervento dell'utente deve essere ridotto al minimo
Ogni azione deve essere indispensabile e meno invasiva
possibile
Le modifiche ai dati memorizzati staticamente devono essere
ridotte all'inevitabile
Le acquisizioni hanno priorità secondo l'ordine di volatilità
Ogni azione intrapresa deve essere scrupolosamente
verbalizzata, con gli opportuni riferimenti temporali
Gli strumenti utilizzati devono essere fidati, il più possibile
indipendenti dal sistema e impiegare il minimo delle risorse;
non devono produrre alterazioni né ai dati né ai metadati
I dati estratti vanno sottoposti ad hash e duplicati prima di
procedere all'analisi
I dati che non sono volatili devono preferibilmente essere
acquisiti secondo metodologia tradizionale
Live Forensics: Best practices
Presentazioni
Cybercrime
Incident
Response
Digital Forensics
Live Forensics
Normativa
Contatti
Risk Management
Evolution
Milano, 15.10.2013
Sovrintendente Davide Gabrini
Aspetti legali della Gestione del Rischio:
normativa e investigazioni
Presentazioni
Cybercrime
Incident
Response
Digital Forensics
Live Forensics
Normativa
Contatti
Risk Management
Evolution
Milano, 15.10.2013
Sovrintendente Davide Gabrini
Aspetti legali della Gestione del Rischio:
normativa e investigazioni
Raccolta delle prove
Oltre che dalla Polizia Giudiziaria, le
prove possono essere raccolte anche da
altri soggetti:
il Pubblico Ministero durante le
indagini preliminari;
la parte sottoposta a indagine, a fini
difensivi;
la parte offesa, per valutare
l'opportunità di una denuncia o querela.
Presentazioni
Cybercrime
Incident
Response
Digital Forensics
Live Forensics
Normativa
Contatti
Risk Management
Evolution
Milano, 15.10.2013
Sovrintendente Davide Gabrini
Aspetti legali della Gestione del Rischio:
normativa e investigazioni
Indagini difensive
Principio di parità tra accusa e difesa
L. 397/2000: Disposizioni in materia di indagini difensive
Art. da 391bis a 391decies cpp
Il difensore, gli investigatori privati, i consulenti
tecnici possono:
Ricevere dichiarazioni dalle persone in grado di
riferire su circostanze utili
Richiedere documentazione alla Pubblica
Amministrazione
Prendere visione dello stato di luoghi e cose ed
effettuare rilievi
Accedere a luoghi privati o non aperti al pubblico,
eventualmente su autorizzazione del giudice, al solo
fine di ispezione.
Presentazioni
Cybercrime
Incident
Response
Digital Forensics
Live Forensics
Normativa
Contatti
Risk Management
Evolution
Milano, 15.10.2013
Sovrintendente Davide Gabrini
Aspetti legali della Gestione del Rischio:
normativa e investigazioni
Art.391-nonies: Attività investigativa preventiva
L’attività investigativa del difensore (Art.327-bis)
può essere svolta anche preventivamente, su
apposito mandato e per l’eventualità che si instauri
un procedimento penale.
Il difensore può incaricare dell'attività il sostituto,
l'investigatore privato autorizzato o il consulente
tecnico
L'attività investigativa preventiva non può
comprendere atti che richiedono l'autorizzazione
dell'Autorità Giudiziaria
Si possono dunque svolgere autonomamente
indagini private in attesa di valutare l'eventualità di
procedere a un'azione penale e/o civile.
Presentazioni
Cybercrime
Incident
Response
Digital Forensics
Live Forensics
Normativa
Contatti
Risk Management
Evolution
Milano, 15.10.2013
Sovrintendente Davide Gabrini
Aspetti legali della Gestione del Rischio:
normativa e investigazioni
L’Autorità Giudiziaria ha poteri di indagine
decisamente superiori su diversi fronti
Avete voluto il BYOD in azienda?
Volete accedere lecitamente a dati
altrimenti non disponibili e non trattabili?
Volete sfruttare le potenzialità dei trattati
internazionali?
E non ultimo volete riscuotere il premio
dell’assicurazione? ;-)
Perchè denunciare l’incidente
Presentazioni
Cybercrime
Incident
Response
Digital Forensics
Live Forensics
Normativa
Contatti
Risk Management
Evolution
Milano, 15.10.2013
Sovrintendente Davide Gabrini
Aspetti legali della Gestione del Rischio:
normativa e investigazioni
Cosa fare, dal punto di vista legale, in caso di accertato
accesso abusivo? E' possibile presentare una querela:
Chi: la parte lesa. Nel caso di un'azienda, chi ne ha la
rappresentanza legale.
La procedibilità d'ufficio è possibile solo in presenza di aggravanti
È comunque opportuno che il legale/amministrativo sia
accompagnato dal tecnico
Quando si tratta di reati con alto profilo tecnico, serve una querela
con un profilo tecnico altrettanto alto
Quando: entro 3 mesi dal giorno in cui si è appreso il fatto
Dove: qualunque ufficio di Polizia Giudiziaria. Tuttavia la
Polizia Postale è solitamente più avvezza alla materia
Cosa serve: tutto! Ogni informazione, dato, rilievo utile a
circostanziare i fatti. Meglio ancora se già filtrato, ma attenti
alla conservazione degli originali! Per operare al meglio, sono
utili nozioni di digital forensics
E chi chiamerai?
Presentazioni
Cybercrime
Incident
Response
Digital Forensics
Live Forensics
Normativa
Contatti
Risk Management
Evolution
Milano, 15.10.2013
Sovrintendente Davide Gabrini
Aspetti legali della Gestione del Rischio:
normativa e investigazioni
Contatti
Procura della Repubblica
presso il Tribunale di Milano
Squadra Reati Informatici
Via Freguglia, 1 – 20122 – MILANO
Tel. 02/5433.4075 – Fax 02/54101058
Sovrintendente della Polizia di Stato
Davide GABRINI