Occasioni d’incontro. Febbraio 2009

7 02 2009

Altre due importanti occasioni d’incontro:

A presto!





Convegno CFI – Roma – 18 giugno 2008

4 06 2008

CONVEGNO SULLA COMPUTER FORENSICS 18 – Giugno – 2008

CFI





Pubblicazione degli articoli su Computer Forensics

29 04 2008

Grazie alla gentile concessione del Responsabile di redazione del mensile Linux Pro, ecco i due articoli apparsi sui nn. 61 e 62. Per leggere gli articoli in formato PDF è sufficiente cliccare sulle immagini di seguito riportate.

LXP 61

LXP 62

Non è consentita l’ulteriore distribuzione dei contenuti sopra riportati (e linkati) da altri siti internet. Non ne è consentito alcun utilizzo commerciale.






La rete della ASL8? L’abbiamo bucata!

29 02 2008

Dati sensibili? «Con l’aiuto di esperto d’informatica, i Riformatori sono penetrati, tramite un punto d’accesso wireless a Cagliari, nella rete dell’Asl, riuscendo ad accedere a dati su dimissioni e ricoveri delle case di cura con nomi e cognomi dei pazienti, schede personali con le patologie, esenzioni ticket per patologie degli abitanti di un comune del Sulcis, comunicazioni interne dei medici.» (da http://www.informatica-oggi.it/archives/0002104.html) La ASL 8 risponde con una segnalazione alla magistratura… «L’Asl ipotizza che l’accesso denunciato dai Riformatori abbia riguardato “un pc inserito in una rete locale, nel quale peraltro erano presenti file riguardanti dati sensibili di pazienti: l’azione del tutto volontaria e niente affatto casuale e’ molto grave”. Percio’ l’Azienda ha segnalato l’episodio all’autorita’ giudiziaria.» (da http://www.informatica-oggi.it/archives/0002105.html)





Quegli strani puntini gialli…

25 02 2008

Forse non tutti sanno che…

EFF imagesi possono ottenere preziose informazioni di computer forensics anche da pagine stampate con stampanti laser. Ne parlava tre anni fa il sempre ottimo Schneier. In sostanza molti modelli di stampanti laser inseriscono artatamente delle informazioni nelle pagine stampate. Attraverso la lettura di tali informazioni semi-nascoste è possibile risalire all’identità del titolare della stampante. Le stampanti DocuColor della Xerox, ad esempio,inseriscono una serie di minuscoli punti gialli in ciascuna pagina stampata. La particolare disposizione di questi punti gialli, a mo’ di impronta digitale (“laser”) lasciata su ciascun foglio consente di immagazzinare oltre 14 7-bit byte di informazioni.

Non c’è modo di vedere queste sequenze di punti gialli ad occhio nudo: è necessario utilizzare un microscopio o una lente d’ingrandimento e illuminare la pagina con una luce blu.

La EFF (Electronic Frontier Foundation) ha pubblicato una lista delle stampanti che mostrano questa simpatica peculiarità.

Alcuni giorni fa un articolo su The Register parla dell’iniziativa di indagine conoscitiva attivata da Franco Frattini, Commissario responsabile per il portafoglio Giustizia, libertà e sicurezza dell’Unione Europea, su iniziativa di alcuni europarlamentari (altrimenti detti MEPs). Questa tecnologia di inserimento di informazioni attraverso le stampe laser è potenzialmente lesiva dei diritti umani (in particolare il diritto alla privacy) in quanto non viene fornita alcuna informazione sull’uso che verrà fatto di tale sistema di “tracciamento” delle attività individuali.





Selective file dumper

21 02 2008

SFDumper è un nuovo software (bash script) per la computer forensics sviluppato da Nanni Bassetti e Denis Frati. Tra i prerequisiti di Sfdumper: Sleuth Kit, Foremost, sha256deep, grep, awk, sed e dd.

Lo scopo principale di SFDumper è quello di recuperare file da immagini forensi, o da device, in modo selettivo.

La pagina del progetto è su Sourceforge: http://sfdumper.sourceforge.net/ ; mentre le pagine personali degli sviluppatori Denis Frati e Nanni Bassetti sono, rispettivamente, http://www.denisfrati.it/?p=301 e http://www.nannibassetti.com/.

Ringrazio Nanni Bassetti per la gentile segnalazione.





Quando rivelare la password costituisce autoincriminazione

17 01 2008

L’antico brocardo nemo tenetur se detegere riemerge con forza in un caso segnalato ieri dal washington post, secondo cui il Governo degli Stati Uniti avrebbe chiesto un pronunciamento alla Corte Distrettuale del Vermont relativo ad un ordine di “rivelazione di password” nei confronti di un soggetto sospettato di detenzione di materiale pedopornografico.

Secondo John Miller dell’FBI si dovrebbe trovare un sistema, nel rispetto della costituzione, che consenta ai tribunali di imporre un facere necessario per accedere al materiale probatorio.

La questione è nata nel momento in cui il sospettato si è appellato al principio secondo cui nessuno può essere costretto ad autoincriminarsi (il famoso quinto emendamento). E’ evidente, infatti, che qualora il sospettato avesse svelato la password (il programma utilizzato per la cifratura del file in cui, secondo le forze dell’ordine, sarebbe contenuto del materiale pedopornografico, è PGP) avrebbe fornito un fortissimo elemento all’accusa: qualcosa dal valore equiparabile ad una confessione.

Un esperto in computer forensics ha, al proposito, confermato che accedere a quel tipo di file senza la password è praticamente impossibile. Prosegue: “l’unico modo per accedere senza password a tale file è l’uso di un sistema automatizzato di brute forcing. E per questo procedimento potrebbero essere necessari anche alcuni anni…”.





Ruba questa connessione wi-fi

13 01 2008

Questo è il titolo dato ad un post di un articolo su Wired da Bruce Schneier, colui che l’Economist ha definito “security guru” e il creatore della newsletter di Crypto-Gram. Un articolo dai toni, sicuramente, provocatori.

Shneier ammette, nel suo articolo, che per lui condividere la propria connessione wireless domestica è, fondamentalmente, una questione di cortesia. Nessun problema per le limitazioni alla banda della sua connessione.

Ogni qualvolta qualcuno gli chiede in che modo protegga la propria connessione wi-fi egli risponde che la tiene, candidamente, aperta e senza alcun sistema di cifratura. Egli è consapevole del fatto che qualcuno potrebbe utilizzare la sua connessione per commettere ogni sorta di nefandezza, come ad esempio scaricare o condividere immagini pedopornografiche, ciò nonostante ritiene che tenere aperto o chiuso l’accesso al proprio Access Point wireless sia del tutto indifferente. Con un minimo di praticità, infatti, ogni wardriver smaliziato potrebbe comunque accedervi.

Bruce sa, inoltre, che alcuni rischi reali ci sono: c’è il rischio di poter vedere sequestrato il proprio computer e c’è il rischio che gli inquirenti non riescano a cogliere immediatamente la ipotesi che un AP possa essere utilizzato da soggetti differenti dal suo titolare. Pur prevedendo tutto ciò ritiene, comunque, che il massimo della sicurezza la si ottenga senza alcun controllo o limitazione in accesso. Ciò che conta, prosegue, è tenere i dati al sicuro all’interno del proprio computer, utilizzando, ad esempio, sistemi di cifratura dei dati.

La sicurezza informatica è sempre una questione di compromessi. Se la connessione wireless fosse protetta e qualcuno la “bucasse” per commettere reati informatici in rete – prosegue Schneier – sarebbe più difficile difendersi dall’accusa di essere i responsabili di quei reati. Con una connessione condivisa, invece, basterebbe dire all’accusa: “io non ne so niente… d’altronde la mia connessione è condivisa e potrebbe essere stato chiunque a commettere il reato di cui mi si accusa”.

Ebbene il ragionamento è, paradossalmente, condivisibile. Tuttavia potrebbe ingenerare false aspettative di impunità in chi dovesse seguire questi ragionamenti in termini pratici. Schneier, sostanzialmente, affronta l’argomento dal punto di vista della sicurezza dei dati contenuti nel sistema informatico del soggetto che condivide la connessione wireless ma (mi pare) sottovaluta i problemi legati alla responsabilità che da tale condotta potrebbe derivare.

A parte l’eventuale violazione contrattuale che il fornitore di connettività potrebbe lamentare si impongono alcune considerazioni tecniche di natura penalistica.

E’ corretto dire che chi lasci l’accesso al proprio AP liberamente disponibile non corra alcun “rischio” nel caso in cui vengano commessi reati attraverso la connettività messa a disposizione?

Il primo rischio che corre chi condivide la propria connettività internet è, come notato da Schneier, quello di vedersi sequestrare il computer (sia esso un sequestro probatorio o preventivo). Su tale macchina saranno eseguite le indagini di computer forensics, dalle quali potranno emergere, a suo (Tizio) carico, “chiari” indici di responsabilità per il crimine commesso (ad esempio se le indagini sono volte a ricercare il responsabile di una condivisione di materiale pedopornografico e, sul computer del “condivisore di accessibilità ad internet” dovessero scoprirsi programmi di peer to peer con file pedopornografici posti nella cartella condivisa). Se, invece, le analisi di computer forensics non dovessero evidenziare alcun elemento di responsabilità “diretta”, allora (probabilmente) i rischi andranno ad attenuarsi.

Il discorso si complica notevolmente.

Esempio: Caio si collega all’AP di Tizio. Questo AP non è protetto ma da’ libero accesso a chiunque. Caio diffonde immagini pedopornografiche (art. 600 ter, terzo comma, c.p.). Le indagini di network forensics evidenziano che dall’indirizzo IP dell’AP di Tizio sono state diffuse immagini pedopornografiche. Il PC di Tizio viene sequestrato e Tizio – con notevole probabilità – sarà indagato per il reato di diffusione di materiale pedopornografico. In fase di indagini o nel processo si scopre (ipotesi ottimistica) che Tizio non ha diffuso il materiale pedopornografico, perché, ad esempio, nel suo computer non viene rinvenuta traccia di quella diffusione.

Ebbene, a questo punto, potrebbe emergere una responsabilità di Tizio per non aver impedito la commissione del reato da parte di Caio.

Primo problema: Tizio aveva l’obbligo giuridico di impedire la commissione del reato?

Secondo problema: il reato non impedito può equipararsi ad un evento di cui all’art. 40 cpv. c.p.? Anche se il reato non-impedito non è un reato di evento ma è un reato di mera condotta?

Terzo problema: è ammissibile un concorso unilaterale (di Tizio) animato da dolo eventuale?

[...]

Segue…





LXP gennaio 2008 – Seconda parte dell’articolo su Computer Forensics

11 01 2008

LXP n. 62 - Gennaio 2008 Come da oggetto è uscito in edicola il numero di gennaio di Linux Pro nel quale si trova la seconda parte del mio articolo su computer forensics. In questo numero ho passato in veloce rassegna alcuni tool di software libero per indagini forensi.





Articolo su computer forensics

17 12 2007

Copertina del numero di NataleNel numero di Natale 2007 di LinuxPro è stato pubblicato il mio primo articolo sulla computer forensics: “A caccia di prove con Linux”.








Iscriviti

Ricevi al tuo indirizzo email tutti i nuovi post del sito.