Introduzione all’analisi forense: metodologie e strumenti

Slides:



Advertisements
Presentazioni simili
. VANTAGGI E CARATTERISTICHE DEL SERVIZIO PAGHE ON LINE.
Advertisements

Convegno di Studi su Internet e Diritto - Milano, 16 e 17 Ottobre 2003 Convegno di Studi su Internet e Diritto - Milano, 16 e 17 Ottobre 2003 Ing. Andrea.
Codice della Privacy Il d. lgs. n°196 del 30 giugno 2003.
20/04/2006 COO-RU- Organizzazione Operativa 1 STRUTTURE SIN/ELI Struttura organizzativa COO/RU – Organizzazione Operativa 12 settembre 2007.
Unità D2 Database nel web. Obiettivi Comprendere il concetto di interfaccia utente Comprendere la struttura e i livelli che compongono unapplicazione.
Informatica e Telecomunicazioni
Miglioramento della protezione dei dati mediante SQL Server 2005 Utilizzo della crittografia di SQL Server 2005 per agevolare la protezione dei dati Pubblicato:
Corso aggiornamento ASUR10
Criminalità informatica e garanzie processuali
INTERNET: RISCHI E PERICOLI
Safe.dschola.it Attenti alle sovrapposizioni! Procedure Reali Procedure Qualità Procedure Privacy Le politiche per la privacy e la sicurezza non si risolvono.
Le reti informatiche!! Le reti di telecomunicazioni hanno permesso una maggior diffusione delle informazioni che possono essere trasmesse e ricevute.
Reti Informatiche.
Amministrazione di una rete con Active Directory.
Studio Legale Baldacci Esempio strutturato di SICUREZZA ORGANIZZATIVA Proposte concernenti le strategie in materia di sicurezza informatica e delle telecomunicazioni.
Strategie per la sicurezza degli host e la sorveglianza delle reti Danilo Bruschi Mattia Monga Dipartimento di Informatica e Comunicazione Università degli.
Fabrizio Balloni - AGES S.p.A. -
Documento informatico Ingegneria Informatica 31 marzo 2006 Prof. Pieremilio Sammarco.
Parma, 20 marzo 2003 Francesco Schinaia Firma Digitale e strumenti di accesso ai servizi
17/12/02 1 Direzione Sviluppo Servizi su rete, Banche dati IRIDE Infrastruttura di Registrazione e IDEntificazione.
1 DFP - Progetto Finalizzato A9 Dipartimento della Funzione Pubblica Presidenza del Consiglio dei Ministri Progetto finalizzato A9 Comunicazione elettronica.
Regione Lombardia Servizi di Pubblica Utilità 13 maggio 2005 La dematerializzazione dei documenti: linformazione costantemente disponibile e fruibile Roma.
Decreto Interministeriale 16 agosto 2005 Misure di preventiva acquisizione di dati anagrafici dei soggetti che utilizzano postazioni pubbliche non vigilate.
Il sistema integrato per la sicurezza dei tuoi dati da attacchi interni alla rete Quanti software proteggono i tuoi dati dagli attacchi esterni alla rete?
PROCEDURA PER L’ASSEVERAZIONE DELLE IMPRESE
Primo Rapporto annuale sui siti istituzionali delle Regioni Lanalisi dellaccessibilità dei siti con Kendo Paolo Subioli.
Copyright © 2007 Toshiba Corporation. Tutti i diritti riservati. Progettato per una mobilità senza precedenti Perché Windows ® Vista è più efficace sui.
Centro di Assistenza Multicanale (C.A.M.) di Cagliari
Modulo 1 – la sicurezza dei dati e la privacy u.d. 7 (syllabus – 1.7.2)
L'ambiente informatico: Hardware e Software
Seminario di Fabio Mignogna. "...è il prelievo, la memorizzazione e l'analisi degli eventi di rete al fine di identificare la sorgente degli attacchi.
Certificazioni del personale e certificazioni dei sistemi di gestione della sicurezza delle informazioni Limportanza di una corretta impostazione delle.
DOCUMENTO PROGRAMMATICO SULLA SICUREZZA
1 20 maggio 2005 MISURE DI SICUREZZA INFORMATICA DEL NUOVO CODICE DELLA PRIVACY (d.lgs. 30 giugno 2003, n. 196)
Partite insieme a noi per un viaggio nel mare dei numeri del Vostro Business liberi da ogni limite…
IMPRESA E DIRITTO: Licenze e Autorizzazioni per aprire IMPRESA E DIRITTO: Licenze e Autorizzazioni per aprire Licenze e Autorizzazioni per aprire:INTERNET.
Progetto RETE SME ALESSANDRO PASSONI
Configurazione in ambiente Windows Ing. A. Stile – Ing. L. Marchesano – 1/23.
AICA Corso IT Administrator: modulo 4 AICA © EUCIP IT Administrator Modulo 4 - Uso Esperto della Rete Risoluzione dei Problemi e Analisi del Traffico.
La sicurezza delle reti informatiche : la legge sulla Privacy
Sicurezza Informatica. Conoscere ed evitare! 2/19 I Virus e le truffe informatiche.
Reti Insieme di computer e di altri dispositivi che comunicano tra loro per condividere i dati, le applicazioni e lhardware Modulo 1.
1 Ufficio del Referente per la Formazione decentrata Magistrati AVVIO DEL PROCESSO TELEMATICO PRESSO LA CORTE DI APPELLO PRESSO LA CORTE DI APPELLO ED.
Configurazione di una rete Windows
1 M INISTERO DELLA G IUSTIZIA – D.G.S.I.A. S ISTEMI INFORMATIVI AUTOMATIZZATI PER LA GIUSTIZIA CIVILE E PROCESSO TELEMATICO P IANO STRAORDINARIO PER LA.
1 FATTURAZIONE ELETTRONICA “PA” & CONSERVAZIONE DIGITALE A NORMA CONSERVAZIONE DIGITALE SOSTITUTIVA IL RESPONSABILE DELLA CONSERVAZIONE ​​ Definizione.
SIARL ARCHITETTURA DEL SISTEMA E GESTIONE DELLA SICUREZZA Milano, 5 novembre 2003 Struttura Sistemi Informativi e Semplificazione.
La Conservazione Sostitutiva e la Soluzione Una-Doc.
Azienda Ospedaliera San Giovanni Addolorata Privacy: Misure Minime di Sicurezza Gianpiero Guerrieri Dirigente Analista I.C.T.
Il sito web SERVIZI PER L’IMPIEGO è uno strumento di informazione e comunicazione in materia di lavoro.
UNIVERSITÀ DEGLI STUDI DI PAVIA Anno accademico 2009/2010 Sicurezza e frodi informatiche in Internet: la Firma Digitale come garanzia di autenticità e.
INFN & sicurezza: aspetti legali Roberto Cecchini Paestum, 11 Giugno 2003.
SnippetSearch Database di snippet bilanciato e replicato di Gianluigi Salvi Reti di calcolatori LS – Prof. A.Corradi.
La conservazione dei documenti informatici delle pubbliche amministrazioni Agenzia per l’Italia Digitale Roma, 27 maggio 2015.
Guardie Giurate Art. 2 Statuto dei lavoratori.
Gestione Sicura dei Dati
COS’E’ L’ARCHIVIAZIONE SOSTITUTIVA
La conservazione dei documenti informatici delle pubbliche amministrazioni Enrica Massella Ducci Teri Roma, 27 maggio 2015.
Sicurezza e attacchi informatici
Acceptable Use Policy (AUP) La Rete Italiana dell'Università e della Ricerca, denominata comunemente "Rete GARR", si fonda su progetti di collaborazione.
ECDL European Computer Driving Licence
31 ottobre Security Assessment per Cassa Centrale Analisi delle modalità di deployment di server e di postazioni utente. Simulazione di consulente.
Le basi di dati.
M ANUALE R IVIERE 2015 CARMELO GARREFFA Il piano della sicurezza Centroservizi S.r.l. – Società di Servizi dell’Unione Industriali di Savona.
I sistemi operativi Funzioni principali e caratteristiche.
L’utilizzo della firma digitale e della posta elettronica certificata ai procedimenti demografici A. FRANCIONI e G. PIZZO Esperti Anusca.
Diritto e Internet Matteo Sacchi Classe 1°B Anno scolastico 2014/2015.
La sicurezza informatica Davide Bacciardi 1B_A.S 2014/2015.
LA SICUREZZA INFORMATICA MATTEO BUDASSI 1°B MATTEO BUDASSI 1°B ANNO SCOLASTICO 2014/2015.
La gestione della rete e dei server. Lista delle attività  Organizzare la rete  Configurare i servizi di base  Creare gli utenti e i gruppi  Condividere.
Transcript della presentazione:

Introduzione all’analisi forense: metodologie e strumenti Danilo Massa Sessione di Studio AIEA Torino 08/02/2007 Danilo Massa, 08/02/2007

Contenuti Analisi forense: come, quando e perchè Metodologie di analisi forense I processi aziendali a supporto Casi reali Domande e risposte Danilo Massa, 08/02/2007

Analisi forense – come L’analisi forense consiste nella ricerca e conservazione di evidenze digitali di reato. Queste evidenze devo essere: Ammissibili, per poter essere utilizzate in sede legale Autentiche, ovvero strettamente legate ai media digitali da cui sono state rilevate Complete, correlando tutte le informazioni possibili Affidabili, per non sollevare dubbi sulla loro autenticità Credibili, permettendo a chiunque di ricostruire il processo che ha portato alla loro rilevazione ottenendo gli stessi risultati Danilo Massa, 08/02/2007

Analisi forense – quando In seguito ad un incidente informatico (di sicurezza o meno) Durante una causa legale in sede di perizia Durante le indagini (preliminari o meno) relative ad un reato Danilo Massa, 08/02/2007

Analisi forense – perché In seguito ad un incidente informatico (di sicurezza o meno) Durante una causa legale in sede di perizia Durante le indagini (preliminari o meno) relative ad un reato Per individuare un responsabile dell’accaduto Per determinare cosa è accaduto Per verificare la reale entità dei danni Per accertare e registrare oggettivamente le responsabilità (C.T.U.) Per definire al meglio la propria posizione rispetto ai fatti accaduti (C.T.P.) Per incrementare le spese processuali e giungere ad un accordo privato tra le parti (sede civile) Per acquisire dati oggettivi sull’ipotesi di reato Per acquisire evidenze digitali da utilizzare in sede di giudizio Danilo Massa, 08/02/2007

Metodologie di analisi forense Mirano ad acquisire e conservare le evidenze digitali, costituite nella maggior parte dei casi da: File (es. documenti, log applicativi) Metadati (es. tempi di accesso ai file) E nella loro conservazione mediante: Sequestro/conservazione fisica in luogo sicuro ed idoneo Catena di custodia Danilo Massa, 08/02/2007

Metodologie di analisi forense (cont) Differiscono a seconda del media da porre sotto analisi e dal suo “stato”. Un flusso di dati su una rete di elaboratori Analisi “live” Un dispositivo di memorizzazione Analisi “live” (es. pc alimentato ed acceso) Analisi “dead” (es. pc spento) Altri dispositivi (es. telefoni cellulari, PDA, rilevatori presenze etc.) Danilo Massa, 08/02/2007

Metodologie di analisi forense (cont) Nel caso dell’analisi “live” di un flusso di dati su una rete è necessario avere: la possibilità di connettere un dispositivo di analisi su un router/switch dotato di porta configurabile in modalità spanning/monitoring oppure in alternativa … predisporre un HUB da inserire nel corretto segmento di rete che si vuole analizzare le corrette autorizzazioni legali per eseguire l’attività di intercettazione (es. cfr art 266-270 C.P.P, art 617 C.P.) oppure in alternativa … la competenza per una analisi delle sole informazioni di “busta” per preservare la riservatezza e la privacy di coloro che attuano il flusso di dati Danilo Massa, 08/02/2007

Metodologie di analisi forense (cont) Nel caso dell’analisi “live” di un dispositivo di memorizzazione è necessario avere: un dispositivo di memorizzazione aggiuntivo su cui effettuare una copia “forensicamente valida” del dispositivo da analizzare e … la possibilità di connetterlo sullo stesso router/switch che ospita l’elaboratore che lo ospita oppure in alternativa … predisporre un HUB da inserire tra l’elaboratore a cui è connesso il dispositivo di memorizzazione da analizzare ed il router/switch che lo ospita le corrette autorizzazioni legali per eseguire l’attività di analisi (es. cfr dlg 196/03) oppure in alternativa … una autorizzazione scritta rilasciata dal proprietario dei dati residenti sul dispositivo di memorizzazione posto sotto analisi Danilo Massa, 08/02/2007

Metodologie di analisi forense (cont) Nel caso dell’analisi “dead” di un dispositivo di memorizzazione è necessario avere: un dispositivo di memorizzazione aggiuntivo su cui effettuare una copia “forensicamente valida” del dispositivo da analizzare le corrette autorizzazioni legali per eseguire l’attività di analisi (es. cfr dlg 196/03) oppure in alternativa … una autorizzazione scritta rilasciata dal proprietario dei dati residenti sul dispositivo di memorizzazione posto sotto analisi Danilo Massa, 08/02/2007

Metodologie di analisi forense (cont) L’analisi di “altri dispositivi” è tecnicamente simile a quella dei dispositivi di memorizzazione (“live” o “dead”) in quanto consiste nell’estrazione, in modalità forensicamente valida, dei dati memorizzati sugli stessi. E’ però necessario avere: adeguati strumenti tecnici (es. cavi di connessione PC – cellulare) le corrette autorizzazioni legali per eseguire l’attività di analisi (es. cfr dlg 196/03) oppure in alternativa … una autorizzazione scritta rilasciata dal proprietario dei dati residenti sul dispositivo di memorizzazione posto sotto analisi Danilo Massa, 08/02/2007

Metodologie di analisi forense (cont) Punti di attenzione: è necessario possedere strumenti tecnologici (software specifico e dispositivi fisici) è necessario possedere competenze specifiche di analisi forense è necessario porre elevata attenzione alle vigenti leggi, normative e policy aziendali Danilo Massa, 08/02/2007

I processi aziendali a supporto Alcuni processi aziendali, procedure e prassi possono aiutare l’analista forense nella sua attività. Questi possono essere divisi in due macro livelli: Tecnologico Processo Danilo Massa, 08/02/2007

I processi aziendali a supporto (cont) A livello tecnologico vi sono attività del tipo: messa in sicurezza di sistemi operativi, dispositivi di rete ed applicazioni (web, c/s, etc) realizzazione di backup affidabili di dati, configurazioni e log presenza di sistemi di monitoring applicativo o meglio sistemi IDS/IPS aggiornamento costante dei sistemi (patch, update ed upgrade) Danilo Massa, 08/02/2007

I processi aziendali a supporto (cont) A livello di processo vi sono: AUP (Acceptable Use/r Policy) policy di sicurezza aggiornate, ben documentate e diffuse efficiente e documentata gestione dei change procedure per la gestione degli incidenti informatici (e non solo) Danilo Massa, 08/02/2007

Casi reali AGRO-ALIMENTARE SETTORE AGRO-ALIMENTARE Evento: impossibilità di accedere come amministratore al S.O. della macchina da tempo indefinito Ipotesi del Cliente: accesso da parte di un hacker al server di contro dei PLC INCIDENTE ATTIVITA’ Sistema: “dead” (spento dal Cliente) Copia forensicamente valida Creazione catena di custodia Messa in sicurezza dei supporti originali Analisi della copia Disco con S.O. danneggiato (HW), file delle password non leggibile. L.L.: installare ed utilizzare un sistema di monitoring RISULTATI Danilo Massa, 08/02/2007

Casi reali INDUSTRIA Evento: licenziamento dipendente SETTORE INDUSTRIA Evento: licenziamento dipendente Ipotesi del Cliente: azioni contrarie alle politiche aziendali e possibili attività illegali INCIDENTE ATTIVITA’ Sistemi: “dead” (spenti dal Cliente) Copia forensicamente valida Creazione catena di custodia Messa in sicurezza dei supporti originali Analisi della copia Raccolta di evidenze digitali di reato che giustificavano il licenziamento RISULTATI Danilo Massa, 08/02/2007

Casi reali BANCARIO Evento: attività anomala sulla rete intranet SETTORE BANCARIO Evento: attività anomala sulla rete intranet Ipotesi del Cliente: problemi di configurazione di nuovi dispositivi di rete da poco installati INCIDENTE ATTIVITA’ Sistemi: “live” Attivazione sistema di intercettazione delle “buste” Generazione file di intercettazione forensi Creazione catena di custodia Analisi dei dati Individuazione server compromesso da hacker, segnalato l’accaduto alle forze dell’ordine L.L. installare sistemi IDS/IPS e definire procedura di gestione degli incidenti RISULTATI Danilo Massa, 08/02/2007

Domande e risposte Danilo Massa (danilo.massa@altran-cis.it)

Grazie per la partecipazione Danilo Massa, 08/02/2007