Cybercop italiani tra formazione IT e gare

IISFA Forum 2008 richiama magistrati, forze dell'ordine, avvocati, giuristi e consulenti che vogliano approfondire il rapporto tra indagini e tecnologia. C'Ŕ pure il concorso a squadre per cybercop. PI ne parla con gli organizzatori

Bologna - ╚ partito il countdown ad un evento concepito per fare il punto sulle tecniche di investigazione nell'era digitale, mettendo al centro le procedure e le tecnologie dell'attività investigativa: a differenza di altri convegni, IISFA Forum 2008 (18/19 aprile, Bologna) è gratuito ed aperto a tutti gli interessati. Al suo interno ospiterà anche un singolare concorso a squadre aperto a tutti gli interessati, denominato Cybercop 2008, una simulazione delle problematiche dibattimentali, che sarà vinto dalla squadra più ligia alle regole, più capace di usare le tecnologie a disposizione e più attenta alle procedure.
Perché un concorso? Punto Informatico ne ha parlato con il presidente di IISFA Italian Chapter, Gerardo Costabile (*).

Punto Informatico: C'è ancora molto da fare per sollecitare in tutti i soggetti interessati, dalle stesse forze dell'ordine agli avvocati, fino ai magistrati, la giusta attenzione per le peculiarità dell'ambiente informatico?
Gerardo Costabile: Le regole del gioco stanno cambiando e noto un digital divide anche sul piano investigativo.
Oggi, con la ratifica della convenzione di Budapest, le indagini informatiche necessitano di maggiori professionalità, non solo per i reparti investigativi di élite.
A mio avviso, comunque, molto ancora deve e dovrà farsi nel mondo dei magistrati giudicanti. Ma ci vorrà ancora del tempo.

PI: Perché, cosa cambia con la ratifica della Convenzione di Budapest?
GC: Prima della legge di ratifica della convenzione di Budapest non esisteva una norma in Italia che indicasse dei requisiti sulla computer forensics. Gli unici driver erano quelli delle linee guida internazionali, spesso citate anche in alcuni noti testi ma forse poco conosciute dagli stessi commentatori. Oggi, invece, un aspetto importante ed anche per certi versi critico è il concetto di non alterazione del reperto informatico. ╚ un aspetto tecnico che dovrà essere bene analizzato dalla dottrina e dalla giurisprudenza in una cornice più complessa. Ne parleremo a Bologna.
PI: L'indagine informatica... Il concorso aiuterà a comprendere meglio i meccanismi tutti particolari di questo aspetto dell'attività investigativa? Chi può partecipare al concorso? Quali sono gli skill in gioco?
GC: Il concorso è a squadre (da 2 a 4 persone) gratuito ed aperto a tutti, fino a riempimento della sala.
Nella squadra dovrà esserci una figura di investigatore (di profilo più legale, anche un avvocato) ed un tecnico, che si occuperà della parte di computer forensics.
Il "gioco" è a tappe: si parte da una querela e ci si muove in un primo scenario investigativo (con il relativo supporto tecnico), per poi arrivare al sequestro di una digital evidence da analizzare.
C'è una prima parte di supporto tecnico all'investigatore, come ad esempio sui file di log. Successivamente, invece, ci sarà una vera e propria analisi, con alcuni livelli di difficoltà.
Non basterà avere tecnica e/o attrezzatura, sarà necessario usare la tecnica.

PI: Quali skill bisogna avere per partecipare?
GC: Per quanto concerne gli skill, è opportuno aver avuto esperienze anche non operative sulla computer forensics.

PI: In che modo questo può consentire a "formare" intelligenze che saranno poi sempre più impegnate sul fronte della computer forensics, dell'investigazione informatica, della lotta al cybercrime?
GC: ╚ fondamentale, per le squadre, improntare il lavoro sulla metodologia investigativa, sulla documentazione, sulla chain of custody e non solo sul risultato che è solo uno dei parametri di giudizio.
I vincitori, il giorno dopo, simuleranno con veri magistrati e avvocati le problematiche di un processo, dove le cose si complicano e non basta più la tecnica.
Il concorso, che prevede anche un premio ed un rimborso spese per i vincitori, servirà a ricercare i nuovi talenti
(o confermarne alcuni). Ogni informazione utile è a questa pagina.

PI: Con quali tecnologie si espleta oggi un'indagine informatica? Ci possono essere casi in cui si fa ricorso a tecnologie di intercettazione? E in casi complessi, penso al VoIP, Skype ecc., come si procede?
GC: L'intercettazione telematica ha assunto un ruolo importante negli ultimi anni, in quanto sempre più spesso ci si trova di fronte a traffico dati per molti servizi.
Purtroppo le tecnologie di intercettazione sono ancora molto costose e gli skill a macchia di leopardo sul territorio nazionale. Di fondamentale importanza è il supporto dei provider, telefonici e telematici.
Il metaterritorio di internet, in ogni caso, non aiuta gli investigatori in tutte le situazioni e si rincorre spesso il criminale sulla rete con armi spuntate.

PI: Chi sviluppa queste tecnologie, quelle che vengono poi impiegate in queste investigazioni? E come vengono acquisite? IISFA dispone anche di un suo Lab open source
GC: Molte tecnologie sono figlie dell'esperienza e frutto di lavoro congiunto tra tecnici e investigatori.
Di contro, il Lab di IISFA non supporta operativamente le forze dell'ordine o la magistratura, pur potendo fornire, se richiesto, un supporto informale. Si tratta di un Competence Center sull'Information Forensics, nato per testare e per analizzare, oltre che per sviluppare software open source per l'uso investigativo.
IISFA ha al suo interno molti investigatori, oltre che professionisti di comprovata esperienza che possono comunque supportare magistrati e avvocati per gli aspetti di stretta competenza. IISFA ha come obiettivo anche quello di creare una sorta di famiglia professionale, con un elevato standard ed in modo assolutamente indipendente dalle software house.

(*) Il dott. Gerardo Costabile è Presidente dell'IISFA Italian Chapter, information security manager ed ex investigatore della Guardia di Finanza.
36 Commenti alla Notizia Cybercop italiani tra formazione IT e gare
Ordina
  • la sala sarà piena di persone nello stesso modo in cui altre "FIERE" sono piene di persone. In realtà si tratterà di curiosi poco skillati in cerca di un nuovo contatto, un avvocato, un magistrato dal quale farsi elemosinare una perizia. La ricerca forense è ben altra. Ci sono un paio di relatori al convegno che non sono neanche laureati!
    non+autenticato
  • - Scritto da: luca
    > Ci sono
    > un paio di relatori al convegno che non sono
    > neanche
    > laureati!

    Il solito...

    Calcola che dei massimi esperti di Forensics italiani, quelli che in Università INSEGNANO, quelli alti una spalla più degli altri, non sono laureati.

    Attaccati alla tua laurea, mi raccomando.
    Gli altri faranno le cose, tu starai a guardarli.
    non+autenticato
  • Bah, io non sarei tanto d'accordo. Innanzitutto faccio fatica a pensare ad un Docente Universitario che non è laureato. Non vorrei sbagliare, ma non credo neanche che sia possibile. Forse puoi fare degli esempi? Ad ogni modo, la scienza forense richiede un curriculum universitario inerente la professione. Probabilmente la Computer Forensics nasce ora ed ancora questi problemi non li ha affrontati, ma ho letto, in USA e UK, di gente che non viene neanche ammessa a testimoniare se non ha un CV credibile. Il caso dell'Esperto di forensic non laureato mi suona un po' come l'odontotecnico che vuole fare il dentista. Io mi sto avvicinando ora a questa materia e provengo da altri settori "forensi" (chimica). Sono andato a vedere il forum e ne sono rimasto un po' deluso. Mi aspettavo una conferenza piu' scientifica e invece ho trovato un gruppo (simpatico, a dire la verità) di gente che si avvicina a un mondo, ma un po' vergine di conoscenza e con un approccio un po' da smanettoni. Spero di sbagliarmi.
    non+autenticato
  • I migliori hacker del mondo manco sanno cosa sia una laurea.
    non+autenticato
  • Ave.

    Molto più interessante, perchè tenuto gelosamente "misterioso" e "celato", ciò che non viene detto e non verrà detto nè al Forum nè ai loro corsi-seminari.

    Credere che chi deve acchiappare i criminali sveli le REALI tecniche per farlo è un poco da "creduloni".

    Lo stesso dicasi per le "tecniche" per evitare di essere acchiappati.

    A presto
    Nilok
    Nilok
    1925
  • certo, in realta' hanno i programmi e le tecniche che si usano nei film e nei telefilm, infatti acchiappano sempre tutti...

    Mi sa che il credulone e' qualcun altro, e non solo in questo campo mi pare lol
    non+autenticato
  • Le tecniche sono MOOOOOOOOOOOOLTO meno segrete ed evolute di quel che tu credi !!!!

    Considera 2 semplici cose :

    - In Italia hanno i fondi tagliati per comperare copie di EnCase ad esempio

    - Si stanno affidando a software open source e a consulenze di ragazzi universitari come stage per "colmare" l'incolmabile.

    http://www.unicam.it/computerforensic/

    Non credere che usino tecniche da CSI o chissacheccosa.

    - Aquisizione speculare (Bit a Bit) - dd, o Encase
    - Checksum del volume (MD5 + SHA1)
    - Analisi con Helix nel 90 % dei casi dei dati acquisiti
    - Verifiche ed analisi della copia dei dati su Virtual Machine quali VMWare o concorrenti open source.

    Nei casi di distruzione fisica del disco, (il classico stolto che lo prende a martellate) in casi MOLTO importanti si ricorre alla camera bianca per il recupero dei dati.
    non+autenticato
  • - Scritto da: Nilok
    > Ave.
    >
    > Molto più interessante, perchè tenuto gelosamente
    > "misterioso" e "celato", ciò che non viene detto
    > e non verrà detto nè al Forum nè ai loro
    > corsi-seminari.
    >
    > Credere che chi deve acchiappare i criminali
    > sveli le REALI tecniche per farlo è un poco da
    > "creduloni".
    >
    > Lo stesso dicasi per le "tecniche" per evitare di
    > essere
    > acchiappati.
    >
    > A presto
    > Nilok


    Sei troppo sospettoso Nilok, che è come dire troppo credulone.
    Troppo sospettoso per credere che io sia io e troppo credulone per sospettarlo

    A presto

    Xenu
    non+autenticato
  • ragazzi, la sala sarà piena stracolma di persone.

    per questo (non devo riempire la sala) vi invito a prendere il treno e fare un salto a Bologna

    Vedrete come il 18 e 19 (come da tanti anni...che stiamo insieme ) in questi convegni parleremo di ciò che accadrà nei prossimi anni nelle Procure e nei tribunali.

    Chi come me, in veste di avvocato e docente si occupa con grande divertimento di questi processi da qualche tempo vi conferma quello che avete detto anche voi (ma che Nilok dubita sia possibile): ormai le techiche (di entrambe le parti) sono per lo più note.

    chi conosce queste norme sa che sono destinate a cambiare le indagini investigative e i mezzi di ricerca delle cd digital evidence. come ? se avete voglia venite a Bologna e assisterete ad un serio e approfondito confronto, altrimenti tenete gli occhi aperti che dopo alcuni mesi gli atti saranno pubblicati....ma è tutta un'altra cosa...anche perchè se si partecipa si può intervenire dal pubblico nei momenti dedicati alla discussione (vedi programma).

    Garantisco a Nilok che il processo e le indagini non sono limitate alle "tecniche per beccarti" o a quelle per "non farti beccare"......le norme processuali servono anche ad assolvere uno che è stato beccato dalò miglior cybercop oppure a condannare uno che non si è fatto prendere in Rete ma è stato "tradito" da un testimone.
    Ecco perchè occorre studiare e conoscere Non dando nulla per scontato.... Occhiolino)
    non+autenticato
  • Non esiste solo Helix.

    Esiste un valido progetto alternativo tutto italiano chiamato DEFT Linux: deft.yourside.it

    Helix ha riscontrato avere molte anomalie e in alcuni casi ha alterato il reperto originale in fase di acquisizione.


    State attenti a quello che usate!!!
    non+autenticato
  • > Esiste un valido progetto alternativo tutto
    > italiano chiamato DEFT Linux:
    > deft.yourside.it
    Ora lo provo.


    > Helix ha riscontrato avere molte anomalie e in
    > alcuni casi ha alterato il reperto originale in
    > fase di
    > acquisizione.
    Mi posti i riferimenti precisi?
    Che tipo di alterazione? Scrive sull'originale o non acquisisce correttamente?
  • Ci sono noti problemi quando si va ad utilizzare adepto; se l'applicazione va in cras (e ogni tanto accade) scrive nel device causando anche seri danni al source disk (il destination rimane intatto).
    non+autenticato
  • Detto da uno che ha collaborato con la POLPOST di Ancona.

    Perchè ?

    Perchè se qualcuno "individuo" o "impresa" parte con l'intento di delinquere (informaticamente parlando) avrà probabilmente i giusti mezzi e le giuste precauzioni per farlo.

    Per fare una breve lista dell'occorrente alla portata di tutti anche un privato :

    - Scheda GSM con intestatario Falso
    - Telefonino UMTS rubato
    - Un PC portatile con qualsiasi sistema operativo volete con partizione crittografata con ad esempio Truecrypt.
    - L'utilizzo di software di disk wipining con magari l'utilizzo di una macchina virtuale all'interno di una macchina fisica.

    Porta firewire TAPPATA con il superATTAK (per evitare il dumping della memoria RAM tramite DMA) "per i curiosi cercate online Owned By IPOD" che ho visto praticamente essere utilizzato almeno a livello "didattico" dai Computer Forensic della POLPOST.

    Crittografia per collegarsi con l'altro lato del mondo dove avrò un ponte di attacco ("server dedicato") comprato in un paese senza rogatoria pagato con carta di credito postepay sotto falso nome.

    Messo che la polpost riescano a localizzare il presunto colpevole, nel momento in cui si troveranno davanti un PC blindato, non potranno tirare fuori un ragno dal buco dai supporti, ergo ... non possono incriminarvi.

    Conclusione : Chi commercia con pedoporno a livello professionale o traffico di Carte di Credito o informazioni riservate (vedi spionaggio industriale) la farà SEMPRE franca, in quanto esiste la tecnologia per soddisfare il più paranoico dei blackhat al mondo !!!

    Peccato invece che il ragazzino che si scarica il dvd XXX pensando sia un film di azione ... ha scaricato un pedoporno, fa "Elimina" e un bel giorno arrivano la GdF o la Polpost che fanno la copia speculare con Encase o dd, e resuscitano il file cancellato.

    Il ragazzino sarà marcato come pedofilo, sarà processato, e sarà distrutta una vita.

    Ovviamente loro "i vigilanti" potranno compiacersi e giustificare dunque il denaro pubblico investito su di loro !!!


    Firmato

    Uno che sa come funzionano le cose
    non+autenticato
  • credo che tu abbia proprio ragione, e non serve lavorare con la polpost per capirlo

    Se da un lato la privacy e' salva, dall'altro la proliferazione di strumenti atti a proteggerla e' sicuramente un aiuto a chi compie attivita' criminose, sono 2 facce della stessa medaglia.
    non+autenticato
  • - Scritto da: Marco Marcoaldi
    > Detto da uno che ha collaborato con la POLPOST di
    > Ancona.
    >

    ma che, come molti, solo per questo pensa di sapere, sbagliando, come si sviluppa un'indagine criminale.

    non esistono solo gli HD e i computer.

    se non posso tracciare il flusso delle informazioni, traccio il flusso di denaro, tanto per dirne una.

    non basta saper usare DD e guardare CSI tutte le settimane per fare l'investigatore.
    non+autenticato
  • - Scritto da: infame
    > - Scritto da: Marco Marcoaldi
    > > Detto da uno che ha collaborato con la POLPOST
    > di
    > > Ancona.
    > >
    >
    > ma che, come molti, solo per questo pensa di
    > sapere, sbagliando, come si sviluppa un'indagine
    > criminale.
    >
    > non esistono solo gli HD e i computer.
    >
    > se non posso tracciare il flusso delle
    > informazioni, traccio il flusso di denaro, tanto
    > per dirne
    > una.
    >
    > non basta saper usare DD e guardare CSI tutte le
    > settimane per fare
    > l'investigatore.

    e cosa c'entrano i flussi di denaro con le metodologie tecniche di investigazione? Ovvio che quelli sono tracciabili (fino a che punto vorrei saperlo pero'...) ma non si stava parlando di quello
    non+autenticato
  • > e cosa c'entrano i flussi di denaro con le
    > metodologie tecniche di investigazione? Ovvio che
    > quelli sono tracciabili (fino a che punto vorrei
    > saperlo pero'...) ma non si stava parlando di
    > quello
    Perché secondo te leindagini si fanno a compartimenti stagni?
    Nel caso del ragazzino che scarica il DVD XXX con emule e lo cancella il più sfigato dei forensic è in grado di verificare e scrivere che si è trattato di accesso CASUALE e di solito lo scrive.
  • Su base di cosa affermi ciò ?

    Dire che il 95 % delle volte uno se la scampa è un conto !
    Dire che mai nessuno è stato processato od incriminato per un "accesso casuale" come dici tu è ben diversa !
    non+autenticato
  • La legge italiana vieta il possesso del materiale pedopornografico.
    Non stabiisce se questo possesso debba essere continuativo, quindi può essere occasionale, e non stabilisce quanto questo possesso debba durare, quindi vale anche l'istante in cui hai iniziato a scaricare un file pedopornografico credendo che fosse altro.
    E inoltre la polpost ha il diritto di andare a ripescare i file cancellati per vedere se in passato hai posseduto un file pedopornografico.
    non+autenticato
  • Con ciò ? Cosa hai detto di nuovo che già non si sapeva ?
    non+autenticato
  • Indagine Criminale ?

    Stiamo parlando di Forensic !!! L'indagine criminale la svolgeranno gli investigatori affiancati dalla magistratura in base alle prove (e alla qualità ed attendibilità delle stesse) che un Computer Forensive è riuscito a procurare !

    Ripeto : chi è realmente paranoico non viene MAI preso con le mani nel sacco !
    non+autenticato
  • > Firmato

    > Uno che sa come funzionano le cose

    beato te a che 25 anni sai già come vanno le cose. diamine io a 32 ho capito solo che più mi guardo intorno meno capisco.
    non+autenticato
  • Vogli fare un OT generale sulla "Percezione della realtà".

    Tutti noi siamo stati abituati a dare per vere certi pensieri.

    Ne faccio un breve elenco.

    - La medicina esiste in funzione della cura dei malati.
    - Le Banche stanno li per aiutarti se non ti bastano i soldi.
    - Le carte di credito sono sicure.
    - Il dentista ti cura SOLO i denti cariati.

    Ecc... ecc...

    Tutto ciò rimane tale fino a quando volontariamente o involontariamente non approfondisci la faccenda e magari poi arriverai alla conclusione opposta che :

    - La medicina tutela gli interessi delle proprie azioni
    - Le banche hanno lo scopo di pignorarti casa.
    - Le carte di credito sono MOLTO insicure.
    - Il dentista cura spesso ANCHE i denti sani per guadagnarci.

    Morale della favola : in tutti i settori, lavorativi o meno, esistono 2 realtà percepibili a seconda di come si osserva la situazione, sul palcoscenico c'è ciò che si tenta di mostrare al popolo, ma il "dietro alle quinte" è assai ben diverso !

    Chi vuol sapere ... sa !
    non+autenticato
  • "Prima della legge di ratifica della convenzione di Budapest non esisteva una norma in Italia che indicasse dei requisiti sulla computer forensics. Gli unici driver erano quelli delle linee guida internazionali, spesso citate anche in alcuni noti testi ma forse poco conosciute dagli stessi commentatori. Oggi, invece, un aspetto importante ed anche per certi versi critico è il concetto di non alterazione del reperto informatico. ╚ un aspetto tecnico che dovrà essere bene analizzato dalla dottrina e dalla giurisprudenza in una cornice più complessa."

    Ora la norma c'e'...

    Ma che dice?
  • Detto molto semplicisticamente, se l'avvocato della difesa chiede : "ma chi mi garantisce che quel software che hai usato per l'aquisizione dati (copia speculare) faccia realmente quello che dici tu faccia ?" ... non esistono certificazioni straniere che tengono (anche per software validissimi e costosissimi come EnCase), ne NIST ne altro, con ottime percentuali le eventuali prove saranno scartate alla fase dell'incidente probatorio.

    La soluzione ottimale invece è affidarsi a strumenti opensource ad esempio il classico Helix o versioni proprietarie sviluppate adhoc dalla polpost (13 mega di iso per l'esattezza ;D) che poi altro non sono che interfacce Ncurses su un linux ultraleggero caricato direttamente in RAM che "pilotano" programmi quali dd, md5sum, sha1sum, tree, e netcat per l'aquisizione e la scrittura dei dati acquisiti in rete o su supporti esterni.

    Una volta garantita una copia speculare consegnando il codice sorgente all'eventuale perizia della difesa, si può poi procedere a analizzare il disco con tool specifici quali ad esempio l'OTTIMO e opensource Helix.
    non+autenticato
  • Se porti Helix in tribunale ti ridono dietro.

    EnCase è LO standard accettato. Se l'avvocato della difesa è tanto fesso da metterlo in discussione, l'accusa può mostrare tranquillamente come funziona il drive imager.

    Poi se vuoi puoi anche inventarti che il test del DNA non è affidabile, ma meglio che ti trovi un nuovo lavoro al MacDonald's.A bocca aperta
    non+autenticato
  • non è proprio come dice Marco.

    occorre andara a leggersi le norme processuali Legge n. 48 del 2008....non è difficile ..

    in sostanza ora è scritto che l'acquisizione degli elementi di prova deve avvenire adottando misure tecniche necessarie a garantire la conservazione del dato origiale e a non alterarlo.

    Il problema Encase o Open Source è lontano dalle aule processuali dove si fa una grande difficoltà ad introdurre certi criteri e principi già radicati tra gli informatici.
    Per l'inattendibilità in sè di un sw licenziatario ci vorrà ancora molto....oggi ti condannano anche perchè poi non puoi più dire che la postale ha un sw craccato senza licenza. Con tutti i soldi che prendono come finanziamento per la lotta alla pedopornografia hanno tutte copie licenziate di Encase e encase enterprise ..ciao ciao
    non+autenticato
  • Io ti consiglio di documentarti meglio. Le componenti di acquisizione di encase ed ftk sono state validate da almeno 3 laboratori governativi e 4 università- La letteratura è PIENA di test di validazione delle componenti di imaging dei tool commerciali e la cosiddetta "recognition in court" è ormai assodata in tutto il mondo. Cambiando argomento, io ho dato uno sguardo a www.iisfa.org che dovrebbe essere la sede "centrale" dell'associazione italiana. E ho notato nell'ordine:
    1) l'ultima persona "certificata" presente nell'elenco è del 2006. Solo 103 persone certificate. Sono un po' pochine.
    2) ci sono delle pagine non aggiornate da almeno un paio d'anni
    3) alcune pagine sono addirittura "non raggiungibili" o "under construction".

    il tutto mi lascia un po' perplesso. Di solito un'associazione realmente attiva ha nel sito lo strumento più aggiornato.
    bah
    non+autenticato
  • Si, ho dato anche io uno sguardo al sito americano, e non mi convince tanto. Ci sono altre associazioni che si occupano della materia?
    non+autenticato