3.2.2           Tools di shredding e di cleaning

I tools di shredding sono programmi che permettono di cancellare in modo sicuro un file o un’intera cartella. Sono molto facili da utilizzare e garantiscono l’irrecuperabilità del file cancellato senza però curarsi delle tracce che l’apertura di tali file possono aver lasciato da  qualche parte nel sistema.

Fra i tool più noti si ritrova Eraser (http://eraser.heidi.ie/) .

·    Oltre ad eseguire la cancellazione immediata dei file e delle cartelle scelte, si possono creare dei job schedulati per la cancellazione ricorrente.

·    S’integra con la shell di windows in modo da poter agire sul file o cartella voluta con il tasto destro del mouse.

·    Implementa un numero impressionante di metodi di cancellazione sicura con vari livelli di affidabilità.

·    Cancella in modo sicuro lo spazio non utilizzato di un volume.

·    È gratuito.

Un altro tool gratuito è Free File Shredder (http://www.fileshredder.org/), simile ad Eraser ma mancante della schedulazione delle operazioni.

Questo tipo di tools rivestono a mio avviso uno scarso interesse dal punto di vista anti forensics in quanto non si occupano di rimuovere anche le tracce delle aperture dei file che vengono cancellati.

Un discorso a parte invece lo si può fare per un prodotto che effettua lo shredding delle mail di una dei diffusi client di posta, Microsoft Outlook. Il prodotto si chiama

E-mail Shredder for Outlook

(http://www.safeit.com/products/index.asp) . Com’è noto, la cancellazione di una mail non comporta la sua eliminazione completa dal database pst di Outlook, ed è facilmente recuperabile. Per poter effettuarne l’eliminazione bisognerebbe compattare il database, cosa che richiede un’enorme quantità di tempo e spesso la si evita. Questo programma permette di eseguire una cancellazione completa delle e-mail selezionate senza la necessità della compattazione, agendo con i metodi di cancellazione sicura solo sugli elementi voluti.

Esiste anche la versione per gli utilizzatori di Exchange Server e agisce sul database locale ost nello stesso modo che con il database pst.

e-mail shredder

Anche questo tools non si cura però dei file temporanei tipicamente generati dall’apertura degli allegati.

Volendo utilizzare come tecnica anti forensics la cancellazione, è opportuno utilizzare , o aggiungere, un tool più completo in grado di andare a rimuovere in modo sicuro tutte le tracce che si vogliono eliminare.

Va premesso che un buon prodotto deve essere in grado di agire sulle tracce dei singoli programmi utilizzati, che spesso cambiano nel tempo aggiungendo informazioni incontrollabili.

Fra i migliori prodotti di questo tipo troviamo CyberScrub Privacy Suite (http://www.cyberscrub.com/en/privacy-suite/).

È un prodotto a pagamento con il metodo della sottoscrizione annuale. Questa è sicuramente una scelta corretta poiché il prodotto, affinché sia efficace, deve essere continuamente aggiornato nelle definizioni di un enorme numero di applicazioni.

Il prodotto è in grado di identificare automaticamente le applicazioni installate e se le ha fra le sue definizioni permette all’utilizzatore di abilitarne la pulizia dei file, delle chiavi di registro e dell’eventuale cache.

La debolezza dal punto di vista anti forensics di questo tipo di applicazioni sta proprio nel fatto che le applicazioni continuano a essere aggiornate, a volte con frequenze altissime, come gli antivirus, e i programmatori dei tools in questione devono analizzare le modifiche apportare e rilasciare le definizioni per i nuovi aggiornamenti.

Una caratteristica sicuramente positiva di questo programma è di non permettere l’abilitazione della definizione di un programma se questa definizione non è quella per quella particolare release, non lasciando di fatto l’utente nella falsa sicurezza di aver bonificato quanto voluto.

Un’altra caratteristica interessante è quella di poter creare delle definizioni custom, a totale rischio e pericolo di chi le realizza, per cancellare in modo sicuro qualsiasi cosa in modo schedulato.

Altra caratteristica per cui preferirlo è la certificazione Via Padlock (28) che ne garantisce la conformità alle ultime disposizioni in materia di crittografia e meccanismi di sicurezza a livello militare.

 Può inoltre operare in modalità stealth impedendo la sua individuazione.

Cyberscrub

Fornisce anche strumenti per l’archiviazione sicura creando una locazione crittata accessibile tramite password.

Cyberscrub criptata

Un altro tool interessante è Privacy Guardian di Pctools (http://www.pctools.com/it/privacy-guardian/).

 Privacy Guardian di Pctools

Il prodotto ha a favore rispetto a Cyberscrub la capacità di cancellare le tracce da un maggior numero di browser internet e un prezzo davvero basso per un prodotto di questo tipo. In meno, non da la possibilità di customizzare azioni personalizzate.

Un ulteriore prodotto di buona qualità è ParetoLogic Privacy Controls  (http://www.paretologic.com/products/paretologicpc/) la cui peculiarità è la capacità di cancellare efficacemente le tracce dai sistemi di messaging e voip maggiormente utilizzati quali AOL, ICQ, MSN Skype, Google Talk e Windows Live Messenger.

Ottima l’azione sui più diffusi client P2P.

Un altro tool molto interessante è CleanAfterMe della Nirsoft (http://www.nirsoft.net/utils/clean_after_me.html). Questo tool non ha tutte le funzioni dei tool precedenti, però è portatile e permette di eliminare le tracce di utilizzo di molti programmi e browser. È molto utile quando si vuole evitare che qualcuno capisca dalle tracce grossolane lasciate che il computer in questione è stato utilizzato. Ha inoltre, come scelta, la possibilità di sovrascrivere i file oggetto di eliminazione con degli zeri prima di effettuare l’eliminazione.

CleanAfterMe

 3.3   Trail obfuscation

Fino ad ora si sono prese in considerazione tecniche anti forensics atte o a nascondere o a eliminare tracce e documenti che si vogliono tenere riservati.

La Trail obfuscation invece è una tecnica tendente a modificare alcune caratteristiche dei file in modo da creare confusione in chi deve analizzare un sistema.

Le tecniche consistono nel modificare gli attributi di uno o più file come, per esempio, la data e ora dell’ultimo accesso e della creazione del file, il nome del file, modificare i file cambiandone di fatto lo hash, agire sui file di log per alterare le sequenze delle operazioni.

A prima vista possono sembrare tecniche di poco valore, ma sono invece veramente rilevanti specialmente quando sul sistema da analizzare vi sono montagne di file.

Immaginiamo uno scenario in cui un investigatore debba analizzare un sistema per ricercare dei documenti sottratti a un’azienda. Di fronte alla presenza di un numero notevole di file di un certo tipo, come per esempio documenti PDF, il buon investigatore ben si guarderà da aprirli uno ad uno per analizzarne il contenuto, utilizzerà invece la tecnica di far calcolare da un programma gli hash di tutti i file trovati, calcolerà l’hash dei file consegnatigli dal denunciante come campione e poi effettuerà la ricerca degli hash dei campioni con gli hash calcolati di tutti i file trovati.

Se i documenti sono stati modificati in modo da alterarne l’hash originale, questi file non verranno mai trovati.

Formuliamo poi l’ipotesi che, per puro caso, sia individuato uno di questi file. Se la data di creazione è, per esempio, di molto antecedente alla data di creazione del file campione, si potrebbe addirittura ipotizzare che il file in oggetto sia stato creato dal denunciato piuttosto che dal denunciante.

Un tools che davvero inaspettatamente rivela le sue doti anti forensics è il famosissimo IrfanView (http://www.irfanview.net/) . La sua “dote” anti forensics sta nella capacità di convertire e rinominare in bulk file da un formato a un altro, per esempio da jpg a png, da PDF a PDF ottimizzandolo (e di fatto cambiandogli l’hash).

Irfanview

Il risultato di quest’attività è l’ottenimento di files praticamente identici agli originali ma con hash totalmente cambiato, e così pure la data di creazione e altre informazioni rilevanti.

Un’altra tecnica di trail obfuscation è quella di contaminare appositamente la propria macchina con un malware noto, come ad esempio un trojan.proxy [10] , programmi di remote administration come Logmein, Vnc, ecc in modo da poter dire “il mio sistema è virato e non sono stato io a fare quello di cui mi si accusa”.

A differenza delle altre tecniche, questa può essere utilizzata per modificare la realtà dei fatti estrapolati dal sistema sotto indagine.

A titolo di esempio, mettiamo che ci si voglia creare un alibi per un certo range di orari nel futuro. Si può semplicemente modificare l’orario di sistema spostandolo in avanti quel tanto che basta, accendere il sistema e lavorarci un po’ su in modo normale. Una volta coperto il tempo necessario, si spegne il computer e lo si riaccende solo per modificare l’orario riportandolo a quello corretto. Bisogna evitare il collegamento con internet per evitare aggiornamenti non voluti dell’orario di sistema.

Più complicato, ma altrettanto fattibile, crearsi un alibi nel passato. Da windows Vista in poi, è abilitata di default la shadow copy (29) su tutto il disco di sistema e per ogni aggiornamento di sistema viene creato un punto di ripristino. Mettiamo per ipotesi che ci si voglia creare un alibi per la mattina del giorno precedente avendo lavorato nel pomeriggio della stessa giornata.

Per effettuare questa operazione lasciando meno tracce possibili si può utilizzare ShadowExplorer  (http://www.shadowexplorer.com/) un interessantissimo programma che permette di navigare all’interno delle copie shadow presenti su un disco fisso e di esportare il file su un altro supporto.

Va anche utilizzato un altro tool della Nirsoft, BulkFileChanger (http://www.nirsoft.net/utils/bulk_file_changer.html) allo scopo di modificare le date di creazione dei file eventi che andremo a ripristinare. Per poter effettuare una modifica delle date più accurata, al posto di BulkFileChanger sarebbe meglio utilizzare  Timestomp (http://www.jonrajewski.com/data/for270/timestomp.exe)  che ha anche la possibilità di modificare il valore del changetime nella MFT (Master File Table) (30) rendendo ancora più complicato per un investigatore trovare la manipolazione. Purtroppo il programma lo si trova con difficoltà; l’unico link ancora attivo è quello che ho indicato.

Può essere abbinato ad un’interfaccia grafica, Timestomp-Gui (http://sourceforge.net/projects/timestomp-gui/). Per funzionare con questa interfaccia, bisogna impostare il formato dell’ora sulle 12 ore, utilizzando così i suffissi PM e AM.

Bisogna procedere come segue:

1)  Si scarica la versione portable di ShadowExplorer e di BulkFileChanger e li si memorizzino su una chiavetta USB.

2)  Si esegue il programma ShadowExplorer e si sceglie la copia shadow con la data desiderata.

Shadowexplorer

3)  Si va nella cartella “c:\windows\system32\winevt\Logs” della copia shadow voluta.

4)  Si copiano tutti i file *.evtx sulla chiavetta tramite la funzione export del programma ShadowExplorer  e poi lo si chiude.

5)  Si esegue il programma di sistema msconfig.

6)  Si va nella scheda “Servizi” e si toglie la spunta dal servizio “Registro eventi di Windows”, quindi ok.

7)  Si accetta il riavvio. Alla partenza premere F8 per scegliere la modalità provvisoria.

8)  Al riavvio, ci si sposta sulla cartella del disco fisso “c:\windows\system32\winevt\Logs”.

9)  Si prende nota della data di creazione dei file, non della data di ultima modifica. Spesso è la stessa e comunque si potrà utilizzare la data più vecchia.

10)Si eliminano tutti i file *.evtx presenti nella cartella.

11)Si copiano i file *.evtx salvati sulla chiavetta nella cartella.

12)Si esegue BulkFileChanger, si selezionano tutti i file trasferiti e si modifica la data di creazione in modo opportuno.

BulkFileChanger

13)Si modifica la data di sistema in modo da collocarsi al giorno voluto e all’ora voluta.

14)Si riesegue msconfig e si riabilita la voce “Registro eventi di Windows”.

15) Alla richiesta di riavvio, si spegne il sistema con il tasto di accensione. Quindi si riaccende il sistema e si lavora effettivamente facendo un po’ di cose per creare entri nel registro opportune.

16)   Completato il riempimento, si arresta il sistema e si reimpostano la data e l’ora corrette.

Procedendo in questo modo si sono create voci alla data voluta, file e altre tracce che confermano dell’attività nel periodo voluto.

Il programma BulkFileChanger presentato sopra (meglio ancora Timestomp), è un programma che permette di apportare modifiche ad informazioni importanti relative ai file. Senza una data certa molto spesso diventa impossibile utilizzare il file in tribunale.

3.4   Tecniche per la prevenzione della trasmissione di informazioni non voluta.

Esistono malware come i keylogger (31) che sono sfruttati per carpire informazioni durante il normale uso del sistema. Nulla esclude che nel corso di un’investigazione si possa ricorrere a strumenti software realizzati appositamente per acquisire informazioni non ottenibili altrimenti.

Un esempio sono le conversazioni effettuate tramite Skype, notoriamente crittate.

È possibile per cui che per intercettare queste conversazioni si possa indurre in vari modi l’utilizzatore a installare qualche software, volontariamente o a propria insaputa, che registra le conversazioni e le invia a un “ascoltatore”.

In generale bisogna per cui porre attenzione anche sull’attività delle applicazioni che sono in esecuzione e impedire loro di comunicare con l’esterno se non autorizzate.

Oramai i firewall personali sono attivati di default sulle macchine con sistemi operativi moderni, ma la loro azione è rivolta a evitare l’ingresso dall’esterno verso servizi che non si vogliono pubblicare.

Bisogna per cui incrementare la sicurezza in uscita installando firewall che blocca il traffico verso l’esterno se questo non è voluto.

Molti software antivirus con funzionalità di Internet Security offrono già questo servizio.

In questo spazio segnalo un’applicazione che sfrutta il firewall nativo di Windows XP, Windows Vista, Windows 7 e Windows 8 che permette di realizzare un controllo completo e granulare dell’attività dei software anche in uscita.

Il programma è Windows7FirewallControl (http://www.sphinx-soft.com/Vista/) . Il programma s’integra con il desktop di Windows ma esiste anche una versione portable che ne permette l’attivazione alla bisogna. Il programma è a pagamento.

3.5   Utilizzo di tecniche di crittazione asimmetrica per l’invio di informazioni riservate.

Pochissime persone hanno coscienza di questa vulnerabilità che colpisce soprattutto la posta elettronica, le trasmissioni di file via ftp o http e i collegamenti Wi – Fi.

Spessissimo questo tipo di attività sono svolte senza pensare che, senza opportuni accorgimenti, tutto il traffico generato sia in chiaro, compri gli user id e le password.

3.5.1           Posta Elettronica

Vi sono due accorgimenti da implementare:

-    Utilizzare connessioni con il proprio server di posta che implementato crittazione TLS/SSL.

Tenendo poi presente che, anche utilizzando la crittazione della connessione con il server di posta, una volta giunti sul server su questo sono in chiaro e non si può essere sicuri che il flusso da un server all’altro per l’invio al destinatario segua regole di sicurezza, anzi spesso non le segue.

È importante per cui:

-    Utilizzare certificati digitali per crittare le conversazioni riservate, in modo tale da permetterne la lettura solo al legittimo destinatario.

Questa possibilità è offerta a tutti a costo zero sul portale di COMODO (http://www.comodo.com/home/email-security/free-email-certificate.php). Sul sito è possibile procurarsi un certificato da utilizzare per l’invio di mail crittate.

Per inviare posta crittografata utilizzando i certificati impone la seguente procedura:

a)  Bisogna che entrambi i corrispondenti abbiano un certificato digitale utilizzabile per l’invio di posta crittografata.

b)  Ogni corrispondente deve inviare una mail firmata con il proprio certificato all’altro.

c)  Si deve aggiungere il certificato digitale del proprio corrispondente alla rubrica del proprio client di posta (modalità differenti a seconda del  client stesso).

d)  Dopo la compilazione della mail da inviare bisogna abilitare l’opzione di crittatura.

Va comunque ricordato che una volta giunto sul client del proprio corrispondente il messaggio è in chiaro e può essere letto da chiunque abbia accesso al computer del corrispondente a meno della revoca del certificato (nel caso di COMODO la revoca del certificato può essere effettuata qui: https://secure.comodo.com/products/!SecureEmailCertificate_Revoke) .

3.5.2           Tramissione file

Anche per la trasmissione file utilizzando protocolli FTP e HTTP è consigliabile la crittazione. Per quanto non in grado di dimostrarlo, nella mia attività di consulente, l’aver fatto impostare il trasferimento di file per siti web su SFTP ha fatto cessare completamente azioni di hacking dei siti stessi avendo escluso a priori vulnerabilità note del software del sito stesso.

Purtroppo sono pochissimi i provider che offrono hosting di siti web che forniscono questo servizio. Bisogna per cui cercare un provider che fornisca tale connettività (fra i grandi, in Italia, Aruba fornisce il servizio gratuitamente).

Per comprendere quanto sia delicata la questione rimando al seguente articolo su Punto Informaticohttp://punto-informatico.it/2086911/PI/Interviste/seeweb-cronaca-un-attacco.aspx .

Dal punto di vista puramente anti forensics, è possibile che un investigatore venga in possesso delle password ftp di un sito di un indagato e solo grazie a questo fatto ottenere molte informazioni, ma, in aggiunta, vi è la possibilità di modificare del codice, per esempio nella parte amministrativa del sito, in modo tale da installare un malware appositamente costruito sul pc o sui pc oggetto di future indagini.

3.5.3           Connessioni Wi - Fi

Molte strutture alberghiere, aereoportuali, bar, ristoranti, hanno messo a disposizione hot spot Wi – Fi gratuiti per i loro clienti.

Questi hot spot sono spesso aperti, cioè senza alcuna crittatura del segnale, lasciando la validazione per la navigazione a livello di gateway.

Chiunque collegato a questa rete non protetta è in grado di catturare il traffico generato dagli altri avventori e impossessarsi per esempio delle password per l’accesso alla loro posta se la connessione con la propria casella non è crittata.

Collegarsi a reti aperte sconosciute non è cosa saggia poiché un malintenzionato o anche un investigatore potrebbe creare ad hoc un access point aperto per farvi collegare, invogliati dalla gratuità, e carpire il traffico in chiaro generato.

Vanno per cui preferite le reti crittate e comunque tenere ben presente il rischio che si corre utilizzando quelle in chiaro.

3.5.4           Tecniche di protezione della infrastruttura informatica dall’accesso illecito perpetrato dall’interno.

Ognuno in casa propria pensa di essere al riparo da azioni malevole effettuate dalle persone che lo circondano. Spesso, nella mia attività di consulente, di fronte all’impossibilità o alla scarsa probabilità che un furto d’informazioni possa essere stato perpetrato da un “pirata” esterno, dichiarando di voler verificare eventuali azioni interne, mi trovo spesso di fronte ad un irrigidimento.

La logica porterebbe invece a mettere in prima linea una ricerca all’interno, giacché le persone coinvolte in un business sono quelle più interessate ad avere informazioni riservate.

Oltre ad azioni truffaldine, vi sono a volte all’interno di un’azienda rapporti interpersonali che fan sorgere gelosie non propriamente lavorative e fanno scattare il desiderio di farsi gli affari dei colleghi.

Vi sono numerosi software disponibili in internet, in grado di intercettare il traffico generato da un host perpetrando un attacco Man In The Middle (21) utilizzando usa sola scheda di rete sfruttando l’Arp Spoofing (32) . Fra i più famosi troviamo Ettercap (http://ettercap.github.com/ettercap/),  disponibile anche per Windows (http://sourceforge.net/projects/ettercap/files/unofficial%20binaries/windows/).

È disponibile pronto nella distro live NST 2.16 (http://networksecuritytoolkit.org/nst/index.html), che abbinato con un tool gratuito di analisi forense come Xplico (http://www.xplico.org/download), disponibile sulla distribuzione live Deft 7.2 (http://www.deftlinux.net/download/), permettere di effettuare una comoda analisi anche da parte dei non addetti ai lavori.

Ovviamente, sempre guardando la questione dal punto di vista anti forensics, un investigatore può trovare una giustificazione plausibile (manutenzione del centralino, della stampante multifunzione, tecnico Telecom o simile) per inserire sulla rete locale aziendale un minuscolo pc tipo lo EEE della Asus, senza tastiera mouse, monitor o altro tanto da farlo apparire come un qualsiasi dispositivo abbinato al centralino, router ecc, con tutta la suite NST 2.16 opportunamente pilotabile dall’esterno, non destando alcun sospetto.

Ovviamente la cosa è difficile da compiere in aziende strutturate con un reparto ITC, ma nelle piccole aziende l’ipotesi non è per nulla peregrina.

Una tecnica di protezione già disponibile nelle comuni reti Windows con controller di dominio è l’IPsec (33). La sicurezza è raggiunta attraverso funzionalità di autenticazione, cifratura e controllo d’integrità dei pacchetti IP (datagrammi).

Purtroppo non mi è mai capitato di trovare una rete in una piccola struttura con i criteri IPsec abilitati, e, devo ammette, non l’ho mai attivata neppure io sulle installazioni da me eseguite. Oltre alla scarsa sensibilità e conoscenza del protocollo, vi è il problema che, se implementato funziona solamente con i PC con Windows XP e successivi legati al dominio. Tutti i client con sistema operativo non supportato (i Mac per esempio) non avrebbero accesso alla rete.

Riporto comunque un interessante tutorial in lingua inglese su come effettuare la configurazione di IPsec: http://allcomputers.us/windows_server/windows-server-2003---securing-network-communications-using-ipsec---deploying-ipsec.aspx .

Un’altra tecnica è quella di inserire un software che rileva un attacco ARP Spoofing. Un tool gratuito è ARP Antispoofer (http://arpantispoofer.sourceforge.net/), per Windows.

4 Conclusioni

Molto spesso l’anti forensics è considerata una scienza al servizio dei malfattori. Molte attività umane hanno il loro rovescio della medaglia.

Ritengo personalmente legittimo che chiunque abbia il diritto di difendersi come gli è consentito, malfattore o persona per bene, anche da legittime indagini ordinate dalla magistratura.

Nella mia esperienza di consulente della difesa in procedimenti penali, mi sono trovato a scontrarmi troppo spesso con azioni del magistrato non comprensibili e che, pur essendo certamente legittime, ledevano in modo palese il diritto di difesa dell’imputato.

Per esempio, è sempre più difficile ottenere una copia di quanto sequestrato dal PM durante la fase delle indagini, o, se concesso, a cause delle ultime normative, estremamente costoso. Solo grandi aziende possono sopportarne i costi.

Infine ci sono addirittura sentenze della Cassazione che legittimano di fatto acquisizioni di documenti informatici e catene di custodia dei reperti che non rispondono minimamente a quanto stabilito dalla Convenzione di Budapest recepita dalla legge N° 48 del 18 Marzo 2008 (per esempio: Cassazione Sentenza 14511 del 2.4.2009 ) http://www.marcomattiucci.it/copy.php#14511 .

Sulla base di queste premesse ben venga qualsiasi attività di autotutela, anti forensics compresa.

BIBLIOGRAFIA

1. forensics, Anti-computer. http://en.wikipedia.org/wiki/Anti-computer_forensics Wikipedia. [Online] 21 12 2012. http://en.wikipedia.org/wiki/Anti-computer_forensics

2. Norton Utilities. [Online] http://en.wikipedia.org/wiki/Norton_Utilities

3. ST-506. [Online] 27 2 2013. http://en.wikipedia.org/wiki/ST-506

4. Storia di Internet. [Online] http://it.wikipedia.org/wiki/Storia_di_Internet

5. Crimine informatico. [Online] http://it.wikipedia.org/wiki/Crimine_informatico

6. Informatica forense. [Online] 2 3 2013. http://it.wikipedia.org/wiki/Informatica_forense

7. Rogers, D. M. Anti-Forensic Presentation given to Lockheed Martin. San Diego : s.n., 2005.

8. KISSmetrics, accordo sui cookie traccianti. [Online] 24 Ottobre 2012.

http://punto-informatico.it/3631886/PI/News/kissmetrics-accordo-sui-cookie-traccianti.aspx

9. Atbash. [Online] 14 febbraio 2013. http://it.wikipedia.org/wiki/Atbash

10. Disco cifrante. [Online] http://it.wikipedia.org/wiki/Disco_cifrante

11. Blaise de Vigenère. [Online] http://it.wikipedia.org/wiki/Blaise_de_Vigen%C3%A8re

12. Friedrich Kasiski. [Online] http://it.wikipedia.org/wiki/Friedrich_Kasiski

13. Principio di Kerckhoffs. [Online] 8 Marzo 2013. http://it.wikipedia.org/wiki/Principio_di_Kerckhoffs

14. La teoria della comunicazione nei sistemi crittografici. [Online] http://it.wikipedia.org/wiki/La_teoria_della_comunicazione_nei_sistemi_crittografici

15. Cifrario di Vernam. [Online] http://it.wikipedia.org/wiki/Cifrario_di_Vernam

16. Advanced Encryption Standard. [Online] http://it.wikipedia.org/wiki/Advanced_Encryption_Standard

17. Steganografia. [Online] http://it.wikipedia.org/wiki/Steganografia

18. Compressione JPEG. [Online] http://wiki.dmi.unict.it/mediawiki/index.php/Compressione_JPEG

19. Trasformata discreta del coseno. [Online] http://it.wikipedia.org/wiki/Trasformata_discreta_del_coseno

20. Crittografia negabile. [Online] http://it.wikipedia.org/wiki/Crittografia_negabile

21. Attacco man in the middle. [Online] http://it.wikipedia.org/wiki/Attacco_man_in_the_middle

22. Crittografia asimmetrica. [Online] http://it.wikipedia.org/wiki/Crittografia_asimmetrica

23. What is WEP, WPA, and WPA2? [Online] http://www.brighthub.com/computing/smb-security/articles/53262.aspx

24. Tor. [Online] https://www.torproject.org/.

25. PPTP. [Online] http://it.wikipedia.org/wiki/PPTP.

26. IPsec. [Online] http://it.wikipedia.org/wiki/IPsec.

27. Transport Layer Security. [Online] http://it.wikipedia.org/wiki/Transport_Layer_Security

28. What is VIA PadLock? [Online] http://www.via.com.tw/en/initiatives/padlock/what_and_how.jsp

29. Copia Shadow. [Online] http://it.wikipedia.org/wiki/Copia_shadow

30. Master File Table. [Online] http://it.wikipedia.org/wiki/Master_File_Table

31. Keylogger. [Online] http://it.wikipedia.org/wiki/Keylogger

32. ARP Spoofing. [Online] http://it.wikipedia.org/wiki/ARP_poisoning

33. IPsec. [Online] http://it.wikipedia.org/wiki/IPsec.

34. Cookie. [Online] 27 Febbraio 2013.http://it.wikipedia.org/wiki/Cookie

35. Generatore di numeri pseudocasuali crittograficamente sicuro. [Online] http://it.wikipedia.org/wiki/Generatore_di_numeri_pseudocasuali_crittograficamente_sicuro

36. Pfitzmann, Andreas Westfeld and Andreas. Attacks on Steganographic Systems. [Online] http://www.di.unisa.it/~ads/corso-security/www/CORSO-0203/steganografia/LINKS%20LOCALI/Attacks.pdf

 NOTE


[1] In informatica i cookie HTTP (più comunemente denominati Web cookies, tracking cookies o semplicemente cookie) sono stringhe di testo di piccola dimensione inviate da un server ad un Web client (di solito un browser) e poi rimandati indietro dal client al server (senza subire modifiche) ogni volta che il client accede alla stessa porzione dello stesso dominio. Il termine "cookie" - letteralmente "biscotto" - deriva da magic cookie, concetto ben noto in ambiente UNIX che ha ispirato sia l'idea che il nome dei cookie HTTP.

Sono usati per eseguire autenticazioni automatiche, tracking di sessioni e memorizzazione d’informazioni specifiche riguardanti gli utenti che accedono al server, come ad esempio siti web preferiti o, in caso di acquisti on-line, il contenuto dei loro "carrelli della spesa" (shopping cart). (34)

[2] Un generatore di numeri pseudocasuali crittograficamente sicuro (detto in genere CSPRNG da Cryptographically Secure Pseudo-random Number Generator è un generatore di numeri pseudocasuali le cui proprietà lo rendono adatto all'uso in crittografia. (35)

[3] I dati altamente sensibili possono essere protetti usando dei dati meno sensibili come esca.

[4] Metodo di stegoanalisi sviluppato da Andreas Westfeld e Andreas Pfitzmann (36)

[5] I dati crittografati sono sempre sottoposti a scrambling per spezzare qualsiasi struttura residua dello stream. Viene inizializzato un nuovo generatore di numeri pseudo-casuali crittograficamente sicuro (CSPRNG) con una terza password (256bit) e i dati vengono mischiati globalmente con indici random.

[6] I dati sottoposti a scrambling sono sempre mischiati a una grande quantità di rumore, proveniente da un CSPRNG indipendente inizializzato con entropia hardware.

[7] I dati sottoposti a whitening sono sempre codificati usando una funzione non-lineare che usa come input anche i bit originali dei carrier. I carrier modificati subiranno meno cambiamenti e supereranno molti test steganalitici (p.e.: Chi Quadro test).

[8] In informatica il termine Peer-to-peer (P2P) indica un'architettura logica di rete informatica in cui i nodi non sono gerarchizzati unicamente sotto forma di client o server fissi (clienti e serventi), ma sotto forma di nodi equivalenti o paritari (in inglese peer) che possono cioè fungere sia da cliente che da servente verso gli altri nodi terminali della rete. Essa dunque è un caso particolare dell'architettura logica di rete client-server.

[9] La Host Protected Area è una sezione del disco fisso non visibile al sistema operativo. Viene normalmente utilizzata per memorizzare la copia del sistema operativo da utilizzare nel caso di ripristino. Può venire utilizzata anche per memorizzare dati che si vogliono tenere nascosti

[10] Un Trojan.Proxy è un malware che realizza un proxy server sul pc contaminato. Questo computer è poi utilizzato dagli attaccanti per navigare in modo anonimo, scaricare file ecc.

 

Tecniche e strumenti di antiforensics

di David Tanzer

 

 

Keywords: Antiforensic; Computer Forensics; Digital Forensics;

 

1.        Introduzione

 

Solo recentemente l’anti-computer forensics è stata riconosciuta come legittimo argomento di studio (1) anche se, in realtà, l’anti-computer forensics è nata assieme alla computer forensics o, forse, anche prima che ci fosse un sua formalizzazione e definizione.

Con l’uscita sul mercato di Norton Commander per DOS v. 1.00 nel 1982 (2) che conteneva il programma UnErase, viene, di fatto, rivelato che la semplice cancellazione di un file non è un’azione definitiva e che quanto cancellato può essere recuperato.

Nei primi anni ’80, per quanto già disponibile il primo hard disk da 5” ¼ dalla capacità formattata di 5 MB (3) dai costi proibitivi,  i personal computer utilizzavano Floppy disk da 5” ¼ per eseguire il sistema operativo, i programmi e per la memorizzazione dei dati. Possiamo ragionevolmente ritenere che il primo tool  anti-forensics fu il distruggi documenti!

Dalla fine degli anni ’80 anche i computer economici cominciarono a essere dotati di supporti di massa fissi.

L’incremento negli anni seguenti dei computer in circolazione, la disponibilità crescente di mezzi d’interconnessione fra gli stessi e con la decisione del CERN il 30 aprile 1993 (4) di rendere pubblica la tecnologia alla base del web, ha portato con se la nascita dei crimini informatici, cioè fenomeni criminali che si caratterizzano nell’abuso della tecnologia informatica sia hardware che software. L’esigenza di punire i crimini informatici emerse già alla fine degli anni ’80 (raccomandazione sulla criminalità informatica del Consiglio d’Europa, 13 settembre 1989). (5) 

La diffusione negli ultimi anni di nuovi dispositivi assimilabili a dei computer poiché dotati di processore, memoria, memoria di massa, dispositivi di input e output, sistemi operativi e applicazioni, ha sicuramente creato nuove sfide per gli investigatori ma anche nuove opportunità per l’individuazione delle fonti di prova.

 

Leggi il resto

Legge 18 marzo 2008, n. 48

"Ratifica ed esecuzione della Convenzione del Consiglio d'Europa sulla criminalità informatica, fatta a Budapest il 23 novembre 2001, e norme di adeguamento dell'ordinamento interno"

pubblicata nella Gazzetta Ufficiale n. 80 del 4 aprile 2008 - Supplemento ordinario n. 79

Capo I

RATIFICA ED ESECUZIONE

Art. 1.

(Autorizzazione alla ratifica)

1. Il Presidente della Repubblica è autorizzato a ratificare la Convenzione del Consiglio d'Europa sulla criminalità informatica, fatta a Budapest il 23 novembre 2001, di seguito denominata «Convenzione».

Art. 2.

(Ordine di esecuzione)

1. Piena e intera esecuzione è data alla Convenzione, a decorrere dalla data della sua entrata in vigore in conformità a quanto disposto dall'articolo 36 della Convenzione stessa.

Capo II

MODIFICHE AL CODICE PENALEE AL DECRETO LEGISLATIVO 8 GIUGNO 2001, N.  231

Art. 3.

(Modifiche al titolo VII del libro secondo del codice penale)

1. All'articolo 491-bis del codice penale sono apportate le seguenti modificazioni:

a) al primo periodo, dopo la parola: «privato» sono inserite le seguenti: «avente efficacia probatoria»;

b) il secondo periodo è soppresso.

2. Dopo l'articolo 495 del codice penale è inserito il seguente:
«Art. 495-bis. - (Falsa dichiarazione o attestazione al certificatore di firma elettronica sull'identità o su qualità personali proprie o di altri). - Chiunque dichiara o attesta falsamente al soggetto che presta servizi di certificazione delle firme elettroniche l'identità o lo stato o altre qualità della propria o dell'altrui persona è punito con la reclusione fino ad un anno».

Art. 4.

(Modifica al titolo XII del libro secondo del codice penale)

1. L'articolo 615-quinquies del codice penale è sostituito dal seguente:

«Art. 615-quinquies. - (Diffusione di apparecchiature, dispositivi o programmi informatici diretti a danneggiare o interrompere un sistema informatico o telematico). - Chiunque, allo scopo di danneggiare illecitamente un sistema informatico o telematico, le informazioni, i dati o i programmi in esso contenuti o ad esso pertinenti ovvero di favorire l'interruzione, totale o parziale, o l'alterazione del suo funzionamento, si procura, produce, riproduce, importa, diffonde, comunica, consegna o, comunque, mette a disposizione di altri apparecchiature, dispositivi o programmi informatici, è punito con la reclusione fino a due anni e con la multa sino a euro 10.329».

Art. 5.

(Modifiche al titolo XIII del libro secondo del codice penale)

1. L'articolo 635-bis del codice penale è sostituito dal seguente:

«Art. 635-bis. - (Danneggiamento di informazioni, dati e programmi informatici). - Salvo che il fatto costituisca più grave reato, chiunque distrugge, deteriora, cancella, altera o sopprime informazioni, dati o programmi informatici altrui è punito, a querela della persona offesa, con la reclusione da sei mesi a tre anni.

Se ricorre la circostanza di cui al numero 1) del secondo comma dell'articolo 635 ovvero se il fatto è commesso con abuso della qualità di operatore del sistema, la pena è della reclusione da uno a quattro anni e si procede d'ufficio».

2. Dopo l'articolo 635-bis del codice penale sono inseriti i seguenti:
«Art. 635-ter. - (Danneggiamento di informazioni, dati e programmi informatici utilizzati dallo Stato o da altro ente pubblico o comunque di pubblica utilità). - Salvo che il fatto costituisca più grave reato, chiunque commette un fatto diretto a distruggere, deteriorare, cancellare, alterare o sopprimere informazioni, dati o programmi informatici utilizzati dallo Stato o da altro ente pubblico o ad essi pertinenti, o comunque di pubblica utilità, è punito con la reclusione da uno a quattro anni.

Se dal fatto deriva la distruzione, il deterioramento, la cancellazione, l'alterazione o la soppressione delle informazioni, dei dati o dei programmi informatici, la pena è della reclusione da tre a otto anni.
Se ricorre la circostanza di cui al numero 1) del secondo comma dell'articolo 635 ovvero se il fatto è commesso con abuso della qualità di operatore del sistema, la pena è aumentata.

Art. 635-quater. - (Danneggiamento di sistemi informatici o telematici). - Salvo che il fatto costituisca più grave reato, chiunque, mediante le condotte di cui all'articolo 635-bis, ovvero attraverso l'introduzione o la trasmissione di dati, informazioni o programmi, distrugge, danneggia, rende, in tutto o in parte, inservibili sistemi informatici o telematici altrui o ne ostacola gravemente il funzionamento è punito con la reclusione da uno a cinque anni.

Se ricorre la circostanza di cui al numero 1) del secondo comma dell'articolo 635 ovvero se il fatto è commesso con abuso della qualità di operatore del sistema, la pena è aumentata.

Art. 635-quinquies. - (Danneggiamento di sistemi informatici o telematici di pubblica utilità). - Se il fatto di cui all'articolo 635-quater è diretto a distruggere, danneggiare, rendere, in tutto o in parte, inservibili sistemi informatici o telematici di pubblica utilità o ad ostacolarne gravemente il funzionamento, la pena è della reclusione da uno a quattro anni.

Se dal fatto deriva la distruzione o il danneggiamento del sistema informatico o telematico di pubblica utilità ovvero se questo è reso, in tutto o in parte, inservibile, la pena è della reclusione da tre a otto anni.
Se ricorre la circostanza di cui al numero 1) del secondo comma dell'articolo 635 ovvero se il fatto è commesso con abuso della qualità di operatore del sistema, la pena è aumentata».

3. Dopo l'articolo 640-quater del codice penale è inserito il seguente:
«Art. 640-quinquies. - (Frode informatica del soggetto che presta servizi di certificazione di firma elettronica). - Il soggetto che presta servizi di certificazione di firma elettronica, il quale, al fine di procurare a sé o ad altri un ingiusto profitto ovvero di arrecare ad altri danno, viola gli obblighi previsti dalla legge per il rilascio di un certificato qualificato, è punito con la reclusione fino a tre anni e con la multa da 51 a 1.032 euro».

Art. 6.

(Modifiche all'articolo 420 del codice penale)

1. All'articolo 420 del codice penale, il secondo e il terzo comma sono abrogati.

Art. 7.

(Introduzione dell'articolo 24-bis del decreto legislativo 8 giugno 2001, n. 231)

1. Dopo l'articolo 24 del decreto legislativo 8 giugno 2001, n. 231, è inserito il seguente:

«Art. 24-bis. - (Delitti informatici e trattamento illecito di dati). - 1. In relazione alla commissione dei delitti di cui agli articoli 615-ter, 617-quater, 617-quinquies, 635-bis, 635-ter, 635-quater e 635-quinquies del codice penale, si applica all'ente la sanzione pecuniaria da cento a cinquecento quote.

2. In relazione alla commissione dei delitti di cui agli articoli 615-quater e 615-quinquies del codice penale, si applica all'ente la sanzione pecuniaria sino a trecento quote.
3. In relazione alla commissione dei delitti di cui agli articoli 491-bis e 640-quinquies del codice penale, salvo quanto previsto dall'articolo 24 del presente decreto per i casi di frode informatica in danno dello Stato o di altro ente pubblico, si applica all'ente la sanzione pecuniaria sino a quattrocento quote.
4. Nei casi di condanna per uno dei delitti indicati nel comma 1 si applicano le sanzioni interdittive previste dall'articolo 9, comma 2, lettere a), b) ed e). Nei casi di condanna per uno dei delitti indicati nel comma 2 si applicano le sanzioni interdittive previste dall'articolo 9, comma 2, lettere b) ed e). Nei casi di condanna per uno dei delitti indicati nel comma 3 si applicano le sanzioni interdittive previste dall'articolo 9, comma 2, lettere c), d) ed e)».

Capo III

MODIFICHE AL CODICE DI PROCEDURA PENALE E AL CODICE DI CUI AL DECRETO LEGISLATIVO 30 GIUGNO 2003, N.  196

Art. 8.

(Modifiche al titolo III del libro terzo del codice di procedura penale)

1. All'articolo 244, comma 2, secondo periodo, del codice di procedura penale sono aggiunte, in fine, le seguenti parole: «, anche in relazione a sistemi informatici o telematici, adottando misure tecniche dirette ad assicurare la conservazione dei dati originali e ad impedirne l'alterazione».

2. All'articolo 247 del codice di procedura penale, dopo il comma 1 è inserito il seguente:

«1-bis. Quando vi è fondato motivo di ritenere che dati, informazioni, programmi informatici o tracce comunque pertinenti al reato si trovino in un sistema informatico o telematico, ancorché protetto da misure di sicurezza, ne è disposta la perquisizione, adottando misure tecniche dirette ad assicurare la conservazione dei dati originali e ad impedirne l'alterazione».
3. All'articolo 248, comma 2, primo periodo, del codice di procedura penale, le parole: «atti, documenti e corrispondenza presso banche» sono sostituite dalle seguenti: «presso banche atti, documenti e corrispondenza nonché dati, informazioni e programmi informatici».

4. All'articolo 254 del codice di procedura penale sono apportate le seguenti modificazioni:

a) il comma 1 è sostituito dal seguente:
«1. Presso coloro che forniscono servizi postali, telegrafici, telematici o di telecomunicazioni è consentito procedere al sequestro di lettere, pieghi, pacchi, valori, telegrammi e altri oggetti di corrispondenza, anche se inoltrati per via telematica, che l'autorità giudiziaria abbia fondato motivo di ritenere spediti dall'imputato o a lui diretti, anche sotto nome diverso o per mezzo di persona diversa, o che comunque possono avere relazione con il reato»;

b) al comma 2, dopo le parole: «senza aprirli» sono inserite le seguenti: «o alterarli».

5. Dopo l'articolo 254 del codice di procedura penale è inserito il seguente:
«Art. 254-bis. - (Sequestro di dati informatici presso fornitori di servizi informatici, telematici e di telecomunicazioni). - 1. L'autorità giudiziaria, quando dispone il sequestro, presso i fornitori di servizi informatici, telematici o di telecomunicazioni, dei dati da questi detenuti, compresi quelli di traffico o di ubicazione, può stabilire, per esigenze legate alla regolare fornitura dei medesimi servizi, che la loro acquisizione avvenga mediante copia di essi su adeguato supporto, con una procedura che assicuri la conformità dei dati acquisiti a quelli originali e la loro immodificabilità. In questo caso è, comunque, ordinato al fornitore dei servizi di conservare e proteggere adeguatamente i dati originali».
6. All'articolo 256, comma 1, del codice di procedura penale, dopo le parole: «anche in originale se così è ordinato,» sono inserite le seguenti: «nonché i dati, le informazioni e i programmi informatici, anche mediante copia di essi su adeguato supporto,».

7. All'articolo 259, comma 2, del codice di procedura penale, dopo il primo periodo è inserito il seguente: «Quando la custodia riguarda dati, informazioni o programmi informatici, il custode è altresì avvertito dell'obbligo di impedirne l'alterazione o l'accesso da parte di terzi, salva, in quest'ultimo caso, diversa disposizione dell'autorità giudiziaria».
8. All'articolo 260 del codice di procedura penale sono apportate le seguenti modificazioni:

a) al comma 1, dopo le parole: «con altro mezzo» sono inserite le seguenti: «, anche di carattere elettronico o informatico,»;

b) al comma 2 è aggiunto, in fine, il seguente periodo: «Quando si tratta di dati, di informazioni o di programmi informatici, la copia deve essere realizzata su adeguati supporti, mediante procedura che assicuri la conformità della copia all'originale e la sua immodificabilità; in tali casi, la custodia degli originali può essere disposta anche in luoghi diversi dalla cancelleria o dalla segreteria».

Art. 9.

(Modifiche al titolo IV del libro quinto del codice di procedura penale)

1. All'articolo 352 del codice di procedura penale, dopo il comma 1 è inserito il seguente:

«1-bis. Nella flagranza del reato, ovvero nei casi di cui al comma 2 quando sussistono i presupposti e le altre condizioni ivi previsti, gli ufficiali di polizia giudiziaria, adottando misure tecniche dirette ad assicurare la conservazione dei dati originali e ad impedirne l'alterazione, procedono altresì alla perquisizione di sistemi informatici o telematici, ancorché protetti da misure di sicurezza, quando hanno fondato motivo di ritenere che in questi si trovino occultati dati, informazioni, programmi informatici o tracce comunque pertinenti al reato che possono essere cancellati o dispersi».
2. All'articolo 353 del codice di procedura penale sono apportate le seguenti modificazioni:
a) al comma 2 sono aggiunte, in fine, le seguenti parole: «e l'accertamento del contenuto»;

b) al comma 3, primo periodo, le parole: «lettere, pieghi, pacchi, valori, telegrammi o altri oggetti di corrispondenza» sono sostituite dalle seguenti: «lettere, pieghi, pacchi, valori, telegrammi o altri oggetti di corrispondenza, anche se in forma elettronica o se inoltrati per via telematica,» e dopo le parole: «servizio postale» sono inserite le seguenti: «, telegrafico, telematico o di telecomunicazione».

3. All'articolo 354, comma 2, del codice di procedura penale, dopo il primo periodo è inserito il seguente: «In relazione ai dati, alle informazioni e ai programmi informatici o ai sistemi informatici o telematici, gli ufficiali della polizia giudiziaria adottano, altresì, le misure tecniche o impartiscono le prescrizioni necessarie ad assicurarne la conservazione e ad impedirne l'alterazione e l'accesso e provvedono, ove possibile, alla loro immediata duplicazione su adeguati supporti, mediante una procedura che assicuri la conformità della copia all'originale e la sua immodificabilità».

Art. 10.

(Modifiche all'articolo 132 del codice in materia di protezione dei dati personali, di cui al decreto legislativo 30 giugno 2003, n. 196)

1. Dopo il comma 4-bis dell'articolo 132 del codice in materia di protezione dei dati personali, di cui al decreto legislativo 30 giugno 2003, n. 196, sono inseriti i seguenti:

«4-ter. Il Ministro dell'interno o, su sua delega, i responsabili degli uffici centrali specialistici in materia informatica o telematica della Polizia di Stato, dell'Arma dei carabinieri e del Corpo della guardia di finanza, nonché gli altri soggetti indicati nel comma 1 dell'articolo 226 delle norme di attuazione, di coordinamento e transitorie del codice di procedura penale, di cui al decreto legislativo 28 luglio 1989, n. 271, possono ordinare, anche in relazione alle eventuali richieste avanzate da autorità investigative straniere, ai fornitori e agli operatori di servizi informatici o telematici di conservare e proteggere, secondo le modalità indicate e per un periodo non superiore a novanta giorni, i dati relativi al traffico telematico, esclusi comunque i contenuti delle comunicazioni, ai fini dello svolgimento delle investigazioni preventive previste dal citato articolo 226 delle norme di cui al decreto legislativo n. 271 del 1989, ovvero per finalità di accertamento e repressione di specifici reati. Il provvedimento, prorogabile, per motivate esigenze, per una durata complessiva non superiore a sei mesi, può prevedere particolari modalità di custodia dei dati e l'eventuale indisponibilità dei dati stessi da parte dei fornitori e degli operatori di servizi informatici o telematici ovvero di terzi.

4-quater. Il fornitore o l'operatore di servizi informatici o telematici cui è rivolto l'ordine previsto dal comma 4-ter deve ottemperarvi senza ritardo, fornendo immediatamente all'autorità richiedente l'assicurazione dell'adempimento. Il fornitore o l'operatore di servizi informatici o telematici è tenuto a mantenere il segreto relativamente all'ordine ricevuto e alle attività conseguentemente svolte per il periodo indicato dall'autorità. In caso di violazione dell'obbligo si applicano, salvo che il fatto costituisca più grave reato, le disposizioni dell'articolo 326 del codice penale.
4-quinquies. I provvedimenti adottati ai sensi del comma 4-ter sono comunicati per iscritto, senza ritardo e comunque entro quarantotto ore dalla notifica al destinatario, al pubblico ministero del luogo di esecuzione il quale, se ne ricorrono i presupposti, li convalida. In caso di mancata convalida, i provvedimenti assunti perdono efficacia».

Art. 11.

(Competenza)

1. All'articolo 51 del codice di procedura penale è aggiunto, in fine, il seguente comma:

«3-quinquies. Quando si tratta di procedimenti per i delitti, consumati o tentati, di cui agli articoli 600-bis, 600-ter, 600-quater, 600-quater.1, 600-quinquies, 615-ter, 615-quater, 615-quinquies, 617-bis, 617-ter, 617-quater, 617-quinquies, 617-sexies, 635-bis, 635-ter, 635-quater, 640-ter e 640-quinquies del codice penale, le funzioni indicate nel comma 1, lettera a), del presente articolo sono attribuite all'ufficio del pubblico ministero presso il tribunale del capoluogo del distretto nel cui ambito ha sede il giudice competente».

Art. 12.

(Fondo per il contrasto della pedopornografia su internet e per la protezione delle infrastrutture informatiche di interesse nazionale)

1. Per le esigenze connesse al funzionamento del Centro nazionale per il contrasto della pedopornografia sulla rete INTERNET, di cui all'articolo 14-bis della legge 3 agosto 1998, n. 269, e dell'organo del Ministero dell'interno per la sicurezza e per la regolarità dei servizi di telecomunicazione per le esigenze relative alla protezione informatica delle infrastrutture critiche informatizzate di interesse nazionale, di cui all'articolo 7-bis del decreto-legge 27 luglio 2005, n. 144, convertito, con modificazioni, dalla legge 31 luglio 2005, n. 155, è istituito, nello stato di previsione del Ministero dell'interno, un fondo con una dotazione di 2 milioni di euro annui a decorrere dall'anno 2008.

2. Agli oneri derivanti dal presente articolo, pari a 2 milioni di euro annui a decorrere dall'anno 2008, si provvede mediante corrispondente riduzione dello stanziamento iscritto, ai fini del bilancio triennale 2008-2010, nell'ambito del fondo speciale di parte corrente dello stato di previsione del Ministero dell'economia e delle finanze per l'anno 2008, allo scopo parzialmente utilizzando l'accantonamento relativo al Ministero della giustizia.
3. Il Ministro dell'economia e delle finanze è autorizzato ad apportare, con propri decreti, le occorrenti variazioni di bilancio.

Capo IV

DISPOSIZIONI FINALI

Art. 13.

(Norma di adeguamento)

1. L'autorità centrale ai sensi degli articoli 24, paragrafo 7, e 27, paragrafo 2, della Convenzione è il Ministro della giustizia.

2. Il Ministro dell'interno, di concerto con il Ministro della giustizia, individua il punto di contatto di cui all'articolo 35 della Convenzione.

Art. 14.

(Entrata in vigore)

1. La presente legge entra in vigore il giorno successivo a quello della sua pubblicazione nella Gazzetta Ufficiale.

Informatica Forense

Fotolia 23473076_XSCome definita in Wikipedia, l'informatica forense (computer forensics) è la scienza che studia l'individuazione, la conservazione, la protezione, l'estrazione, la documentazione e ogni altra forma di trattamento del dato informatico al fine di essere valutato in un processo giuridico e studia, ai fini probatori, le tecniche e gli strumenti per l'esame metodologico dei sistemi informatici.

Si tratta di una disciplina di recente formazione (la sua nascita si colloca intorno al 1980 ad opera dei laboratori tecnici della FBI). Spesso viene erroneamente identificata come una nuova "branca" della computer security.

Con l'aumento dei crimini informatici e, soprattutto con una presa di coscienza da parte delle aziende che hanno finalmente cominciato a denunciare i crimini di cui sono vittime, si rende necessaria una applicazione integrale di questa disciplina, che sembra tuttavia non scevra di evoluzioni.

In Italia, la legge di riferimento per l'informatica forense è la Legge n.48/2008, nota come "Legge di ratifica della Convenzione di Budapest".

Il termine "computer forensic expert" è utilizzato per identificare la figura professionale che presta la sua opera nell'ambito dei reati informatici o del computer crime. Dal momento che non esiste una definizione univoca ricompresa nella dizione "informatica forense" il computer forensics expert deve occuparsi di "preservare, identificare, studiare ed analizzare i contenuti memorizzati all'interno di qualsiasi supporto o dispositivo di memorizzazione". Le attività sono dirette non solo a tutte le categorie di computer, ma a qualsiasi attrezzatura elettronica con potenzialità di memorizzazione dei dati (ad esempio, cellulari, smartphone, sistemi di domotica, autoveicoli e tutto ciò che contiene dati memorizzati). Data l'eterogeneità dei supporti investigabili, si preferisce denominare questa figura professionale, "digital forensic expert".

Nel sistema giuridico italiano vi è disparità fra le possibilità di investigazione richieste dal Pubblico Ministero e le investigazioni della difesa. Nella fattispecie il "computer forensic expert" del Pubblico Ministero gode dello status di pubblico ufficiale, quindi le sue dichiarazioni sono vere fino a prova contraria.

PC Professionale news

Total Commander è un file manager basato sullo storco design a doppia finestra di Norton Commander, una configurazione pensata per sostituire il classico file manager mono-finestra di Windows e rendere più pratica la gestione dei file anche grazie al gran numero di funzionalità avanzate integrate. Il “nuovo” (cioè antico quanto il DOS) paradigma a doppia […] L'articolo Download del giorno: Total Commander 9.50 proviene da PC Professionale.
Leggi Tutto ...
Il nuovo coronavirus cinese, anche noto come Coronavirus di Wuhan o SARS-CoV-2, continua a infettare persone e fare vittime in tutto il mondo. Al momento l’infezione è prevalentemente circoscritta alla regione cinese e paesi limitrofi, con oltre 71.000 casi accertati, 1.775 morti e più di 11.000 pazienti guariti. L’Organizzazione Mondiale della Sanità (OMS) ha dichiarato […] L'articolo Coronavirus di Wuhan, il video introduttivo dell’OMS proviene da PC Professionale.
Leggi Tutto ...
La decisione di Activision Blizzard di abbandonare il nuovo servizio di streaming videoludico GeForce NOW? Tutto frutto di un “malinteso”, sostiene ora NVIDIA. Una volta risolta l’incomprensione, i giochi del publisher statunitense dovrebbero fare presto ritorno sulla piattaforma. Stando a quanto confermato da NVIDIA, infatti, la casa delle GeForce aveva dato per scontato che Overwatch, […] L'articolo GeForce NOW, i giochi Activision Blizzard rimossi per un malinteso proviene da PC Professionale.
Leggi Tutto ...
Le CPU Intel Core di decima generazione per PC desktop devono ancora arrivare sul mercato, o persino essere annunciate ufficialmente dalla corporation di Santa Clara, ma un numero cospicuo di esemplari campione sono già in circolazione. E confermano i leak passati sulle ottime prestazioni dei nuovi chip. L’architettura Comet Lake rappresenta il debutto dei chip […] L'articolo Intel, campioni di CPU desktop di decima generazione già sul mercato proviene da PC Professionale.
Leggi Tutto ...
La console Sony di nuova generazione è attesa al debutto (assieme alla nuova Xbox) per le prossime festività natalizie, ma la corporation nipponica non avrebbe ancora stabilito il costo del prodotto agli utenti finali. PlayStation 5 dovrebbe costare più di una PS4 Pro, e questa volta la colpa non sembra essere esclusivamente di Sony. Secondo […] L'articolo Sony: problemi di prezzo per la PlayStation 5? proviene da PC Professionale.
Leggi Tutto ...
Ogni giorno Amazon propone un gran numero di prodotti in offerta, con sconti sul prezzo base che possono arrivare a decine o anche a diverse centinaia di euro. Le offerte giornaliere di Amazon.it rappresentano una sorta di continuazione ideale dello spirito del Prime Day, e danno agli utenti interessati a una particolare categoria di prodotti […] L'articolo Le offerte Amazon del giorno per informatica, giocattoli e home video proviene da PC Professionale.
Leggi Tutto ...
Copyright © 2013-2018 David Tanzer - Consulente Informatico. P.I. 09306910150 Tutti i diritti riservati.
Joomla! è un software libero rilasciato sotto licenza GNU/GPL.