forensic profiling with digital data
Post on 04-Jun-2015
705 Views
Preview:
DESCRIPTION
TRANSCRIPT
Forensic Profiling with Digital Data
Forensic Profiling with Digital DataLa profilazione forense nell’era dell’informazione
Dott. Mario Piccinelli - UniBS
December 19, 2011
Dott. Mario Piccinelli - UniBS Forensic Profiling with Digital Data
Forensic Profiling with Digital Data
Outline
1 Digital ForensicsDefinizioneCampi di applicazioneFonti di informazioneProcedura standard
2 Forensics ProfilingDefinizioneElementi del Digital ProfilingProcedura standardTecniche di Data Mining
3 Strumenti per il digital profilingXIRAF
4 Bibliografia
5 Contatti
Dott. Mario Piccinelli - UniBS Forensic Profiling with Digital Data
Indice
1 Digital ForensicsDefinizioneCampi di applicazioneFonti di informazioneProcedura standard
2 Forensics ProfilingDefinizioneElementi del Digital ProfilingProcedura standardTecniche di Data Mining
3 Strumenti per il digital profilingXIRAF
4 Bibliografia
5 Contatti
Forensic Profiling with Digital Data
Digital Forensics
Definizione
Digital Forensics
”La scienza che studia
l’individuazione
l’estrazione
la protezione
la conservazione
la documentazione
e ogni altra forma di trattamento
del dato informatico al fine di essere valutato in un processogiuridico e studia, ai fini probatori, le tecniche e gli strumenti perl’esame metodologico dei sistemi informatici”.
Dott. Mario Piccinelli - UniBS Forensic Profiling with Digital Data
Forensic Profiling with Digital Data
Digital Forensics
Campi di applicazione
Digital Forensics: campi di applicazione
Indagini interne ad una azienda
FrodeSpionaggioViolazione policy aziendaliControllo dipendentiValutazione danni
Supporto alla polizia giudiziaria ed ai PM e Giudici
TerrorismoFrodePedopornografia
Supporto ai privati indagati
ecc...
Dott. Mario Piccinelli - UniBS Forensic Profiling with Digital Data
Forensic Profiling with Digital Data
Digital Forensics
Fonti di informazione
Fonti di informazione
Tutte le fonti digitali di prova da cui e possibile attingere dati utiliper l’indagine in corso.
Computer
Smartphone / dispositivo cellulare
Altri apparecchi digitali
Log di rete
E chissa cos’altro!
Dott. Mario Piccinelli - UniBS Forensic Profiling with Digital Data
Forensic Profiling with Digital Data
Digital Forensics
Fonti di informazione
Fonti di informazione: Personal Computer (I)
Contenuto della memoria volatile del sistema:
Credenziali degli utenti connessi.
Processi attivi.
Spazio di memoria allocato.DLL / librerie aperte.File aperti.Collegamenti al registro di sistema(Windows).
Connessioni di rete attive.
Moduli del kernel caricati.
...
Dott. Mario Piccinelli - UniBS Forensic Profiling with Digital Data
Forensic Profiling with Digital Data
Digital Forensics
Fonti di informazione
Fonti di informazione: Personal Computer (II)
Analisi memoria volatile: Volatility Framework
Dott. Mario Piccinelli - UniBS Forensic Profiling with Digital Data
Forensic Profiling with Digital Data
Digital Forensics
Fonti di informazione
Fonti di informazione: Personal Computer (III)
Contenuto delle memorie dimassa:
File nascosti.
File cancellati.
Registro di sistema.
...
Dott. Mario Piccinelli - UniBS Forensic Profiling with Digital Data
Forensic Profiling with Digital Data
Digital Forensics
Fonti di informazione
Fonti di informazione: Personal Computer (IV)
Cronologia del browser
Dott. Mario Piccinelli - UniBS Forensic Profiling with Digital Data
Forensic Profiling with Digital Data
Digital Forensics
Fonti di informazione
Fonti di informazione: Personal Computer (V)
Log di chat e client di messaggistica / VOIP
Dott. Mario Piccinelli - UniBS Forensic Profiling with Digital Data
Forensic Profiling with Digital Data
Digital Forensics
Fonti di informazione
Fonti di informazione: Personal Computer (VI)
Posta elettronica
Dott. Mario Piccinelli - UniBS Forensic Profiling with Digital Data
Forensic Profiling with Digital Data
Digital Forensics
Fonti di informazione
Fonti di informazione: Personal Computer (VII)
Informazioni sull’utilizzo del sistema
Dott. Mario Piccinelli - UniBS Forensic Profiling with Digital Data
Forensic Profiling with Digital Data
Digital Forensics
Fonti di informazione
Fonti di informazione: Personal Computer (VIII)
Informazioni sull’utilizzo di periferiche
Dott. Mario Piccinelli - UniBS Forensic Profiling with Digital Data
Forensic Profiling with Digital Data
Digital Forensics
Fonti di informazione
Fonti di informazione: Smartphone (I)
Informazioni contenute in unosmartphone:
Log chiamateeffettuate/ricevute.
SMS/MMS/Emails
Browser
HistoryBookmarksCache
Dott. Mario Piccinelli - UniBS Forensic Profiling with Digital Data
Forensic Profiling with Digital Data
Digital Forensics
Fonti di informazione
Fonti di informazione: Smartphone (II)
Informazioni contenute in unosmartphone:
Rubrica telefonica.
Password salvate
Reti wirelessPosta elettronica...
Note, appunti, appuntivocali...
Dott. Mario Piccinelli - UniBS Forensic Profiling with Digital Data
Forensic Profiling with Digital Data
Digital Forensics
Fonti di informazione
Fonti di informazione: Smartphone (III)
Geolocalizzazione:
Reti wireless toccate.
Celle GSM/UMTStoccate.
Dati GPS.
Dott. Mario Piccinelli - UniBS Forensic Profiling with Digital Data
Forensic Profiling with Digital Data
Digital Forensics
Fonti di informazione
Fonti di informazione: Smartphone (IV)
Dati contenuti nelleapplicazioni non standard:
Informazioni diutilizzo (applicazionidi home banking..).
Password salvate.
Immagini visualizzate.
...
Dott. Mario Piccinelli - UniBS Forensic Profiling with Digital Data
Forensic Profiling with Digital Data
Digital Forensics
Fonti di informazione
Fonti di informazione: Smartphone (V)
Galleria multimediale:
Foto
EXIF
Filmati
Audio
Note vocali
...
Dott. Mario Piccinelli - UniBS Forensic Profiling with Digital Data
Forensic Profiling with Digital Data
Digital Forensics
Procedura standard
Le fasi dell’analisi digitale forense
La procedura di analisi digitale forense e composta di quattropassaggi standard:
Acquisizione fisica del supporto
Acquisizione del dato
Analisi del dato
⇒ Forensic profiling
Report
Dott. Mario Piccinelli - UniBS Forensic Profiling with Digital Data
Indice
1 Digital ForensicsDefinizioneCampi di applicazioneFonti di informazioneProcedura standard
2 Forensics ProfilingDefinizioneElementi del Digital ProfilingProcedura standardTecniche di Data Mining
3 Strumenti per il digital profilingXIRAF
4 Bibliografia
5 Contatti
Forensic Profiling with Digital Data
Forensics Profiling
Definizione
Forensic profiling
Processo di scoperta delle correlazioni tra i dati presenti in archivioche possono essere utilizzati per identificare e rappresentare unsoggetto umano o non umano (individuale o di gruppo).
Applicazione dei profili per individuare e rappresentare un soggetto.
Dott. Mario Piccinelli - UniBS Forensic Profiling with Digital Data
Forensic Profiling with Digital Data
Forensics Profiling
Elementi del Digital Profiling
Elementi del Digital Profiling
I mattoni di base su cui si costruisce un profilo forense sono definitiin letteratura come:
Firma
Modus Operandi
Vittimologia
Motivazione
Fattori di rischio
Staging
La possibilita di evidenziare e correlare queste informazioni puoportare con buona approssimazione a indirizzare le successiveindagini.
Dott. Mario Piccinelli - UniBS Forensic Profiling with Digital Data
Forensic Profiling with Digital Data
Forensics Profiling
Elementi del Digital Profiling
Firma
Una ”firma” propria dell’autore del crimine, riscontrata sulla scenao connessa in altro modo all’evento. Puo essere lasciata a livelloconscio o meno e non cambia nella reiterazione del crimine.
Tipicamente si tratta di un modello comportamentale univoco eripetuto, non necessario alla dinamica del crimine.
Esempi:
Particolari forme di violenza verbale nei messaggi.
Particolari elementi grafici nei casi di defacement.
Caratteristiche forme di commento del codice.
Dott. Mario Piccinelli - UniBS Forensic Profiling with Digital Data
Forensic Profiling with Digital Data
Forensics Profiling
Elementi del Digital Profiling
Modus Operandi
Modalita attraverso le quali il crimine viene commesso (da nonconfondere con la firma).
Esempi:
Sistemi utilizzati per penetrare un server.
Tecniche di scansione.
Tecniche di occultamento dei log.
Tecniche di avvicinamento alla vittima in un contestoinformatico.
Dott. Mario Piccinelli - UniBS Forensic Profiling with Digital Data
Forensic Profiling with Digital Data
Forensics Profiling
Elementi del Digital Profiling
Vittimologia
Studio delle caratteristiche della vittima (persona, azienda, ...) allaricerca di possibili collegamenti con l’autore del reato.
Esempi:
In un reato violento di natura sessuale, le vittime hannocaratteristiche fisiche in comune?
In un reato contro la proprieta, i danneggiati hannocaratteristiche lavorative, sociali, economiche, religiose incomune?
Dott. Mario Piccinelli - UniBS Forensic Profiling with Digital Data
Forensic Profiling with Digital Data
Forensics Profiling
Elementi del Digital Profiling
Motivazione
Elementi psicologici, economici, politici o sociali che spingonol’individuo a commettere un reato.
Esempi:
Motivazioni politiche che spingono un hacker ad attaccare larete di una particolare azienda.
Pulsioni sessuali che spingono un criminale a contattare unacerta categoria di persone.
Motivazioni economiche che spingono un dipendente avendere segreti industriali a un concorrente.
Dott. Mario Piccinelli - UniBS Forensic Profiling with Digital Data
Forensic Profiling with Digital Data
Forensics Profiling
Elementi del Digital Profiling
Fattori di rischio
Livello di rischio al quale si espone l’individuo nel compimento diun atto criminale.
Esempi:
Un criminale sessuale ha un fattore di rischio legato a quantoe disposto a esporsi fornendo informazioni personali allepotenziali vittime. Puo dare un’indicazione dell’urgenza dellepulsioni.
Un insider ha un fattore di rischio proporzionale al valoreeconomico e strategico delle informazioni che e disposto aestrarre. Puo dare indicazioni sulle competenze informatichedell’individuo, sulla sua sicurezza o sulla sua disperazione.
Dott. Mario Piccinelli - UniBS Forensic Profiling with Digital Data
Forensic Profiling with Digital Data
Forensics Profiling
Elementi del Digital Profiling
Staging
Alterazione della scena del crimine da parte del criminale, dellavittima o di persone a essa correlate.
Esempi:
Il criminale informatico puo tentare di far cadere le sueresponsabilita su un terzo. Puo denotare una situazione diconflitto o risentimento.
La madre della vittima di un reato di pedofilia potrebbecancellare dal computer della figlia foto incriminanti perevitare situazioni di imbarazzo.
Una vittima potrebbe manomettere dati informatici per copriredelle sue responsabilita, magari non inerenti il caso in oggetto.
Dott. Mario Piccinelli - UniBS Forensic Profiling with Digital Data
Forensic Profiling with Digital Data
Forensics Profiling
Procedura standard
Forensic profiling: procedura standard
La profilazione puo essere suddivisa in una sequenza standard diazioni:
Analisi preliminare del problema.
Raccolta dati.
Preparazione dei dati.
Interpretazione dei dati.
⇒Data mining.
Applicazione del profilo.
Decisione istituzionale.
Dott. Mario Piccinelli - UniBS Forensic Profiling with Digital Data
Forensic Profiling with Digital Data
Forensics Profiling
Tecniche di Data Mining
Data Mining
Analisi avanzata dei dati usata per identificare pattern non visibilinei singoli componenti, attraverso procedimenti matematici estatistici.
Expense Account Padding
Dott. Mario Piccinelli - UniBS Forensic Profiling with Digital Data
Forensic Profiling with Digital Data
Forensics Profiling
Tecniche di Data Mining
Tecniche di data mining (I) : analisi dell’istogramma
L’istogramma e larappresentazione grafica diuna distribuzione in classidi un carattere continuo.Permette di individuare ilcarattere generale di unadistribuzione.
Esempio: analisi del log diaccensione di un pc.
Dott. Mario Piccinelli - UniBS Forensic Profiling with Digital Data
Forensic Profiling with Digital Data
Forensics Profiling
Tecniche di Data Mining
Tecniche di data mining (II) : regressione
La regressione (lineare)rappresenta un metodo distima del valore atteso unavariabile dipendente. Puoessere utilizzata perevidenziare scostamentirispetto al valore previstodi un determinatocomportamento.
Esempio: analisi deltraffico di rete di uncomputer.
Dott. Mario Piccinelli - UniBS Forensic Profiling with Digital Data
Forensic Profiling with Digital Data
Forensics Profiling
Tecniche di Data Mining
Tecniche di data mining (III) : clustering
Clustering (Unsupervisedlearning) e la suddivisione di unacollezione di oggetti in gruppi,detti cluster, tali che:
gli oggetti un un clustersono molto simili tra loro
gli oggetti di cluster diversisono molto diversi tra di loro
Evidenzia trend e scostamenti.Esempio: posizioni GPS estratteda uno smartphone.
Dott. Mario Piccinelli - UniBS Forensic Profiling with Digital Data
Forensic Profiling with Digital Data
Forensics Profiling
Tecniche di Data Mining
Tecniche di data mining (IV) : cross-correlazione
La correlazione incrociata didiverse fonti di informazionepermette di identificaresomiglianze e potenziali rapportidi causalita.
Esempio: visite alla macchinettadel caffe.
Dott. Mario Piccinelli - UniBS Forensic Profiling with Digital Data
Indice
1 Digital ForensicsDefinizioneCampi di applicazioneFonti di informazioneProcedura standard
2 Forensics ProfilingDefinizioneElementi del Digital ProfilingProcedura standardTecniche di Data Mining
3 Strumenti per il digital profilingXIRAF
4 Bibliografia
5 Contatti
Forensic Profiling with Digital Data
Strumenti per il digital profiling
XIRAF
XIRAF
XML-based indexing and querying for digital forensics.
Framework sperimentale realizzato nel 2005 come tesi di laurea daW. Alink presso l’universita di Twente (Paesi Bassi) incollaborazione con il Netherlands Forensics Institute (NFI).
Dott. Mario Piccinelli - UniBS Forensic Profiling with Digital Data
Forensic Profiling with Digital Data
Strumenti per il digital profiling
XIRAF
XIRAF
Nasce per porre rimedio ai problemi tipici della profilazione forensein campo informatico:
Grandi quantita di dati.
Necessita di terminare le analisi in un tempo ragionevole.Troppe informazioni non possono essere analizzatemanualmente.
Grande varieta di formati e tool software.
Molti formati differenti.Molti software standalone.
Dott. Mario Piccinelli - UniBS Forensic Profiling with Digital Data
Forensic Profiling with Digital Data
Strumenti per il digital profiling
XIRAF
Approccio scelto
Separazione netta tra:
Estrazione dati.Analisi dati.
Formato di output standard per tutti i tool, basato su XML.
Uso di database basato su XML per estrazione e analisi deidati.
Riutilizzo di tool gia esistenti per la forensics.
Dott. Mario Piccinelli - UniBS Forensic Profiling with Digital Data
Forensic Profiling with Digital Data
Strumenti per il digital profiling
XIRAF
Struttura del sistema
Dott. Mario Piccinelli - UniBS Forensic Profiling with Digital Data
Forensic Profiling with Digital Data
Strumenti per il digital profiling
XIRAF
Struttura del sistema (parallelo con il data warehousing)
Dott. Mario Piccinelli - UniBS Forensic Profiling with Digital Data
Forensic Profiling with Digital Data
Strumenti per il digital profiling
XIRAF
Esempio di estrazione di features
Dott. Mario Piccinelli - UniBS Forensic Profiling with Digital Data
Forensic Profiling with Digital Data
Strumenti per il digital profiling
XIRAF
Esempio di interrogazioni al database
Le interrogazioni sono svolte sul database XML mediantelinguaggio XQuery.
Ricerca di tutti gli URL relativi ai Google:
Ricerca di tutti gli URL nella history di Explorer:
Dott. Mario Piccinelli - UniBS Forensic Profiling with Digital Data
Indice
1 Digital ForensicsDefinizioneCampi di applicazioneFonti di informazioneProcedura standard
2 Forensics ProfilingDefinizioneElementi del Digital ProfilingProcedura standardTecniche di Data Mining
3 Strumenti per il digital profilingXIRAF
4 Bibliografia
5 Contatti
Forensic Profiling with Digital Data
Bibliografia
Riferimenti bibliografici
Google Tech Talk, Geeks Guide to Digital Forensics.http://viaforensics.com/computer-forensics/google-tech-talk-geeks-guide-to-digital-forensics-june-2011.html
Maurizio Anconelli, Introduzione al digital profiling.http://cybercrimes.it/papers/DigitalProfiling.pdf
J.J.Irvine (Crucial Security), Digital Forensic Analysis and CyberProfiling.http://www.afcea-qp.org/luncheons/CrucialBrief02Nov10.pdf
Piu qualche centinaio di articoli vari qui:
http://secdocs.lonerunners.net/tags/details/8-forensic
Dott. Mario Piccinelli - UniBS Forensic Profiling with Digital Data
Forensic Profiling with Digital Data
Bibliografia
Riferimenti bibliografici (II)
W. Alink, XIRAF – an XML-IR Approach to Digital Forensics.http://homepages.cwi.nl/~boncz/msc/2005-WouterAlink.pdf
Dott. Mario Piccinelli - UniBS Forensic Profiling with Digital Data
Indice
1 Digital ForensicsDefinizioneCampi di applicazioneFonti di informazioneProcedura standard
2 Forensics ProfilingDefinizioneElementi del Digital ProfilingProcedura standardTecniche di Data Mining
3 Strumenti per il digital profilingXIRAF
4 Bibliografia
5 Contatti
Forensic Profiling with Digital Data
Contatti
Contatti
Dott. Mario PiccinelliDipartimento di Ingegneria dell’Informazione
Facolta di IngegneriaUniversita degli Studi di Brescia
mail: mario.piccinelli@ing.unibs.itweb: www.ing.unibs.it/∼mario.piccinelli
Dott. Mario Piccinelli - UniBS Forensic Profiling with Digital Data
Forensic Profiling with Digital Data
Contatti
Domande?
Domande?
Dott. Mario Piccinelli - UniBS Forensic Profiling with Digital Data
top related