forensic profiling with digital data

Forensic Profiling with Digital Data

Forensic Profiling with Digital DataLa profilazione forense nell’era dell’informazione

Dott. Mario Piccinelli - UniBS

December 19, 2011

Dott. Mario Piccinelli - UniBS Forensic Profiling with Digital Data


Outline

1 Digital ForensicsDefinizioneCampi di applicazioneFonti di informazioneProcedura standard

2 Forensics ProfilingDefinizioneElementi del Digital ProfilingProcedura standardTecniche di Data Mining

3 Strumenti per il digital profilingXIRAF

4 Bibliografia

5 Contatti


Indice




4 Bibliografia

5 Contatti


Digital Forensics

Definizione

Digital Forensics

”La scienza che studia

l’individuazione

l’estrazione

la protezione

la conservazione

la documentazione

e ogni altra forma di trattamento

del dato informatico al fine di essere valutato in un processogiuridico e studia, ai fini probatori, le tecniche e gli strumenti perl’esame metodologico dei sistemi informatici”.



Digital Forensics

Campi di applicazione

Digital Forensics: campi di applicazione

Indagini interne ad una azienda

FrodeSpionaggioViolazione policy aziendaliControllo dipendentiValutazione danni

Supporto alla polizia giudiziaria ed ai PM e Giudici

TerrorismoFrodePedopornografia

Supporto ai privati indagati

ecc...



Digital Forensics

Fonti di informazione


Tutte le fonti digitali di prova da cui e possibile attingere dati utiliper l’indagine in corso.

Computer

Smartphone / dispositivo cellulare

Altri apparecchi digitali

Log di rete

E chissa cos’altro!



Digital Forensics


Fonti di informazione: Personal Computer (I)

Contenuto della memoria volatile del sistema:

Credenziali degli utenti connessi.

Processi attivi.

Spazio di memoria allocato.DLL / librerie aperte.File aperti.Collegamenti al registro di sistema(Windows).

Connessioni di rete attive.

Moduli del kernel caricati.

...



Digital Forensics


Fonti di informazione: Personal Computer (II)

Analisi memoria volatile: Volatility Framework



Digital Forensics


Fonti di informazione: Personal Computer (III)

Contenuto delle memorie dimassa:

File nascosti.

File cancellati.

Registro di sistema.

...



Digital Forensics


Fonti di informazione: Personal Computer (IV)

Cronologia del browser



Digital Forensics


Fonti di informazione: Personal Computer (V)

Log di chat e client di messaggistica / VOIP



Digital Forensics


Fonti di informazione: Personal Computer (VI)

Posta elettronica



Digital Forensics


Fonti di informazione: Personal Computer (VII)

Informazioni sull’utilizzo del sistema



Digital Forensics


Fonti di informazione: Personal Computer (VIII)

Informazioni sull’utilizzo di periferiche



Digital Forensics


Fonti di informazione: Smartphone (I)

Informazioni contenute in unosmartphone:

Log chiamateeffettuate/ricevute.

SMS/MMS/Emails

Browser

HistoryBookmarksCache



Digital Forensics


Fonti di informazione: Smartphone (II)

Informazioni contenute in unosmartphone:

Rubrica telefonica.

Password salvate

Reti wirelessPosta elettronica...

Note, appunti, appuntivocali...



Digital Forensics


Fonti di informazione: Smartphone (III)

Geolocalizzazione:

Reti wireless toccate.

Celle GSM/UMTStoccate.

Dati GPS.



Digital Forensics


Fonti di informazione: Smartphone (IV)

Dati contenuti nelleapplicazioni non standard:

Informazioni diutilizzo (applicazionidi home banking..).

Password salvate.

Immagini visualizzate.

...



Digital Forensics


Fonti di informazione: Smartphone (V)

Galleria multimediale:

Foto

EXIF

Filmati

Audio

Note vocali

...



Digital Forensics

Procedura standard

Le fasi dell’analisi digitale forense

La procedura di analisi digitale forense e composta di quattropassaggi standard:

Acquisizione fisica del supporto

Acquisizione del dato

Analisi del dato

⇒ Forensic profiling

Report


Indice




4 Bibliografia

5 Contatti


Forensics Profiling

Definizione

Forensic profiling

Processo di scoperta delle correlazioni tra i dati presenti in archivioche possono essere utilizzati per identificare e rappresentare unsoggetto umano o non umano (individuale o di gruppo).

Applicazione dei profili per individuare e rappresentare un soggetto.



Forensics Profiling

Elementi del Digital Profiling


I mattoni di base su cui si costruisce un profilo forense sono definitiin letteratura come:

Firma

Modus Operandi

Vittimologia

Motivazione

Fattori di rischio

Staging

La possibilita di evidenziare e correlare queste informazioni puoportare con buona approssimazione a indirizzare le successiveindagini.



Forensics Profiling


Firma

Una ”firma” propria dell’autore del crimine, riscontrata sulla scenao connessa in altro modo all’evento. Puo essere lasciata a livelloconscio o meno e non cambia nella reiterazione del crimine.

Tipicamente si tratta di un modello comportamentale univoco eripetuto, non necessario alla dinamica del crimine.

Esempi:

Particolari forme di violenza verbale nei messaggi.

Particolari elementi grafici nei casi di defacement.

Caratteristiche forme di commento del codice.



Forensics Profiling


Modus Operandi

Modalita attraverso le quali il crimine viene commesso (da nonconfondere con la firma).

Esempi:

Sistemi utilizzati per penetrare un server.

Tecniche di scansione.

Tecniche di occultamento dei log.

Tecniche di avvicinamento alla vittima in un contestoinformatico.



Forensics Profiling


Vittimologia

Studio delle caratteristiche della vittima (persona, azienda, ...) allaricerca di possibili collegamenti con l’autore del reato.

Esempi:

In un reato violento di natura sessuale, le vittime hannocaratteristiche fisiche in comune?

In un reato contro la proprieta, i danneggiati hannocaratteristiche lavorative, sociali, economiche, religiose incomune?



Forensics Profiling


Motivazione

Elementi psicologici, economici, politici o sociali che spingonol’individuo a commettere un reato.

Esempi:

Motivazioni politiche che spingono un hacker ad attaccare larete di una particolare azienda.

Pulsioni sessuali che spingono un criminale a contattare unacerta categoria di persone.

Motivazioni economiche che spingono un dipendente avendere segreti industriali a un concorrente.



Forensics Profiling


Fattori di rischio

Livello di rischio al quale si espone l’individuo nel compimento diun atto criminale.

Esempi:

Un criminale sessuale ha un fattore di rischio legato a quantoe disposto a esporsi fornendo informazioni personali allepotenziali vittime. Puo dare un’indicazione dell’urgenza dellepulsioni.

Un insider ha un fattore di rischio proporzionale al valoreeconomico e strategico delle informazioni che e disposto aestrarre. Puo dare indicazioni sulle competenze informatichedell’individuo, sulla sua sicurezza o sulla sua disperazione.



Forensics Profiling


Staging

Alterazione della scena del crimine da parte del criminale, dellavittima o di persone a essa correlate.

Esempi:

Il criminale informatico puo tentare di far cadere le sueresponsabilita su un terzo. Puo denotare una situazione diconflitto o risentimento.

La madre della vittima di un reato di pedofilia potrebbecancellare dal computer della figlia foto incriminanti perevitare situazioni di imbarazzo.

Una vittima potrebbe manomettere dati informatici per copriredelle sue responsabilita, magari non inerenti il caso in oggetto.



Forensics Profiling

Procedura standard

Forensic profiling: procedura standard

La profilazione puo essere suddivisa in una sequenza standard diazioni:

Analisi preliminare del problema.

Raccolta dati.

Preparazione dei dati.

Interpretazione dei dati.

⇒Data mining.

Applicazione del profilo.

Decisione istituzionale.



Forensics Profiling

Tecniche di Data Mining

Data Mining

Analisi avanzata dei dati usata per identificare pattern non visibilinei singoli componenti, attraverso procedimenti matematici estatistici.

Expense Account Padding



Forensics Profiling


Tecniche di data mining (I) : analisi dell’istogramma

L’istogramma e larappresentazione grafica diuna distribuzione in classidi un carattere continuo.Permette di individuare ilcarattere generale di unadistribuzione.

Esempio: analisi del log diaccensione di un pc.



Forensics Profiling


Tecniche di data mining (II) : regressione

La regressione (lineare)rappresenta un metodo distima del valore atteso unavariabile dipendente. Puoessere utilizzata perevidenziare scostamentirispetto al valore previstodi un determinatocomportamento.

Esempio: analisi deltraffico di rete di uncomputer.



Forensics Profiling


Tecniche di data mining (III) : clustering

Clustering (Unsupervisedlearning) e la suddivisione di unacollezione di oggetti in gruppi,detti cluster, tali che:

gli oggetti un un clustersono molto simili tra loro

gli oggetti di cluster diversisono molto diversi tra di loro

Evidenzia trend e scostamenti.Esempio: posizioni GPS estratteda uno smartphone.



Forensics Profiling


Tecniche di data mining (IV) : cross-correlazione

La correlazione incrociata didiverse fonti di informazionepermette di identificaresomiglianze e potenziali rapportidi causalita.

Esempio: visite alla macchinettadel caffe.


Indice




4 Bibliografia

5 Contatti


Strumenti per il digital profiling

XIRAF

XIRAF

XML-based indexing and querying for digital forensics.

Framework sperimentale realizzato nel 2005 come tesi di laurea daW. Alink presso l’universita di Twente (Paesi Bassi) incollaborazione con il Netherlands Forensics Institute (NFI).




XIRAF

XIRAF

Nasce per porre rimedio ai problemi tipici della profilazione forensein campo informatico:

Grandi quantita di dati.

Necessita di terminare le analisi in un tempo ragionevole.Troppe informazioni non possono essere analizzatemanualmente.

Grande varieta di formati e tool software.

Molti formati differenti.Molti software standalone.




XIRAF

Approccio scelto

Separazione netta tra:

Estrazione dati.Analisi dati.

Formato di output standard per tutti i tool, basato su XML.

Uso di database basato su XML per estrazione e analisi deidati.

Riutilizzo di tool gia esistenti per la forensics.




XIRAF

Struttura del sistema




XIRAF

Struttura del sistema (parallelo con il data warehousing)




XIRAF

Esempio di estrazione di features




XIRAF

Esempio di interrogazioni al database

Le interrogazioni sono svolte sul database XML mediantelinguaggio XQuery.

Ricerca di tutti gli URL relativi ai Google:

Ricerca di tutti gli URL nella history di Explorer:


Indice




4 Bibliografia

5 Contatti


Bibliografia

Riferimenti bibliografici

Google Tech Talk, Geeks Guide to Digital Forensics.http://viaforensics.com/computer-forensics/google-tech-talk-geeks-guide-to-digital-forensics-june-2011.html

Maurizio Anconelli, Introduzione al digital profiling.http://cybercrimes.it/papers/DigitalProfiling.pdf

J.J.Irvine (Crucial Security), Digital Forensic Analysis and CyberProfiling.http://www.afcea-qp.org/luncheons/CrucialBrief02Nov10.pdf

Piu qualche centinaio di articoli vari qui:

http://secdocs.lonerunners.net/tags/details/8-forensic


http://viaforensics.com/computer-forensics/google-tech-talk-geeks-guide-to-digital-forensics-june-2011.html



http://cybercrimes.it/papers/DigitalProfiling.pdf

http://www.afcea-qp.org/luncheons/CrucialBrief02Nov10.pdf

http://secdocs.lonerunners.net/tags/details/8-forensic


Bibliografia

Riferimenti bibliografici (II)

W. Alink, XIRAF – an XML-IR Approach to Digital Forensics.http://homepages.cwi.nl/~boncz/msc/2005-WouterAlink.pdf


http://homepages.cwi.nl/~boncz/msc/2005-WouterAlink.pdf

Indice




4 Bibliografia

5 Contatti


Contatti

Contatti

Dott. Mario PiccinelliDipartimento di Ingegneria dell’Informazione

Facolta di IngegneriaUniversita degli Studi di Brescia

mail: [email protected]: www.ing.unibs.it/∼mario.piccinelli



Contatti

Domande?

Domande?


forensic profiling with digital data

Documents

digital dataforensic

digital data outline

informazione fonti

il digital proling xiraf

data mining

applicazione fonti

fonti digitali

informazione tutte