SMAU MILANO 2023 | SMAU MILANO 2023 | Intelligenza Artificiale e chatbots
Smau Milano 2012 Stefano Fratepietro - Una partita di pallavolo
1. L’AVVOCATO E IL CONSULENTE
TECNICO INFORMATICO
Una partita di pallavolo!
FIREA MILANO CITY SMAU MILANO 2012
mercoledì 24 ottobre 12
2. I RUOLI
Palleggiatore: è la persona
che prepara l’attaccante
Martello: è la persona che
attacca risolvendo l’alzata
Julio Velasco
2
mercoledì 24 ottobre 12
3. LA FORMAZIONE
Palleggiatori aka consulenti tecnici
Dott. Paolo Dal Checco
• Consulente tecnico per forze dell’ordine, tribunali e privati
• Socio fondatore dello studio Digital Forensics Bureau di
• Socio amministratore della Digit Law Srl di Milano
• Membro del team di sviluppo DEFT Linux, nonchè socio fondatore
dell’ Associazione DEFT
Dott. Stefano Fratepietro
• IT Security specialist per uno dei più grandi CED italiani per banche
• Consulente tecnico per forze dell’ordine, tribunali e privati
• Socio fondatore dell’ Associazione DEFT nonchè papà del sistema
DEFT Linux
Martello aka l’ avvocato
Avv. Giuseppe Vaciago
•PHD in Digital Forensics all'Università degli Studi di Milano Bicocca
ed è docente di informatica giuridica presso l'Università degli Studi
dell'Insubri
• Avvocato nel foro di Milano specializzato in diritto penale delle
3
nuove tecnologie, diritto penale societario e nella consulenza
finalizzata alla redazione dei compliance program ai sensi del D.lgs.
231/01.
mercoledì 24 ottobre 12
4. L’ HACKER E LA TELEFONATA
Scenario
• Il tecnico di una azienda che si occupa principalmente di centralini
VoIP viene accusato di aver violato il sistema informativo di una
azienda cliente per eseguire attività di scansione della rete
Internet alla ricerca di altri sistemi vulnerabili
• Con questo tipo di attività l’azienda afferma che l’ambiente di
produzione e validazione subirono forti rallentamenti
nell’erogazione del servizio
4
mercoledì 24 ottobre 12
5. L’ HACKER E LA TELEFONATA
Scenario
• Dopo i rilevamenti sul posto eseguiti dalla polizia postale, viene
dichiarato che la violazione sarebbe avvenuta su un server che
ospita un server Asterisk VoIP
• L’imputato avrebbe violato il sistema “con una telefonata”,
essendo stato proprio lui a chiamare quel numero di telefono
proprio nel momento in cui si sono riscontrate le prime attività di
intrusione
5
mercoledì 24 ottobre 12
6. L’ HACKER E LA TELEFONATA
6
mercoledì 24 ottobre 12
7. L’ HACKER E LA TELEFONATA
Attività dell’attaccante
• L’attaccante, sfruttando una delle tante vulnerabilità delle prime
versioni di Asterisk, è riuscito ad eseguire una remote shell
• Tramite la remote shell ha iniziato a studiare il comportamento del
server, notando che spesso vi erano chiamate non risposte da una
numerazione mobile (il cellulare dell’imputato)
• L’imputato come controllo del servizio h24, eseguiva una
chiamata al numero di telefono del centralino per verificarne la
funzionalità utilizzando la propria sim/utenza
7
mercoledì 24 ottobre 12
8. L’ HACKER E LA TELEFONATA
http://cve.mitre.org/cgi-bin/cvekey.cgi?keyword=Asterisk 8
mercoledì 24 ottobre 12
9. L’ HACKER E LA TELEFONATA
Attività dell’attaccante
• L’attaccante ha configurato Asterisk tale per cui tutte le operazioni malevole
fossero eseguite da script lanciati dalla ricezione della telefonata dell’imputato
• add user toor abilitato ad accesso via ssh
• cambio privilegi
• installazione nmap
• cancellazione log
9
mercoledì 24 ottobre 12
10. L’ HACKER E LA TELEFONATA
Analisi dei documenti della pg
• La polizia giudiziaria decide di non sequestrare il server ma di estrapolare solo le informazioni considerate
“di interesse”
“Non possiamo sequestrare il server e non possiamo nemmeno spegnerlo perchè fermeremmo la
produttività dell’azienda”
• Il file system del server non viene acquisito tramite una bit stream immage ma vengono estrapolati file per
un totale del 2% dei file totali presenti nel sistema
• Vengono prodotti un cd-rom con dentro:
• Il file motd del server violato che riportava la firma di un gruppo di hacker brasiliani
• Estrapolazioni di log di sistema provenienti non da /var/log ma dal database mysql usato da Asterisk
10
• Output di una scansione Nmap
mercoledì 24 ottobre 12
11. L’ HACKER E LA TELEFONATA
Analisi dei documenti della pg
• L’analisi dei log della rete evidenzia che le connessioni considerate
“anomale” hanno origine da un IP italiano attestato ad una adsl di un
ufficio che non ha nulla a che fare con l’indagato
• Le analisi sul posto da parte degli ufficiali di pg riscontreranno che
l’ufficio in questione aveva il modem/router esposto sulla rete Internet
con password di administrator di default
• Non vengono acquisiti log dell’apparato, ne vengono controllati i pc
dell’ufficio.
11
mercoledì 24 ottobre 12
12. L’ HACKER E LA TELEFONATA
Analisi del pc dell’indagato
• Non vengono riscontrate alcune evidence di interesse
• L’agente di pg nelle conclusioni evidenzia che il livello di
conoscenza informatica dell’indagato “è altissimo” e che pertanto
potrebbe aver già rimosso in modo sicuro il tutto
• Pur non avendo prove tangibili si sono permessi di scrivere
una nota di interesse molto compromettente
12
mercoledì 24 ottobre 12
13. L’ HACKER E LA TELEFONATA
Principali errori
• Non viene acquisita la memoria del server
• Non vengono eseguiti approfondimenti nei pc dell’ufficio da dove è
partito l’attacco
• Totale improvvisazione nell’interpretazione di log generati da Asterisk
(per gli operatori era la prima volta in tutta la loro vita che vedevano
Asterisk configurato e funzionante su un server)
• Affermazioni pesanti senza alcuna prova informatica
13
mercoledì 24 ottobre 12
14. L’ HACKER E LA TELEFONATA
La perizia di parte
Obiettivo principale fu quello di evidenziare gli errori
della pg
Spiegare al pm e al giudice come “lavorano” gli hacker
(lamer) e cos’è il motd e il perchè qualcuno deve lasciare
una firma
Spiegare al pm e al giudice come gli operatori di pg
abbiano eseguito una analisi del server senza considerare
• la loro totale ignoranza su Asterisk e Linux
• l’aver ignorato completamente l’ufficio da dove
sono partite le connessioni ssh con l’utenza toor
14
• eventuali file cancellati
mercoledì 24 ottobre 12
15. L’ HACKER E LA TELEFONATA
COM’E’ ANDATA?
• L’ avvocato ha attaccato sui punti deboli delle varie relazioni
citando per tutta la durata del processo, la perizia fatta dal
consulente
• Il giudice ha compreso gli errori di valutazione e la totale assenza
di prove schiaccianti
• L’ imputato è stato assolto
15
mercoledì 24 ottobre 12
16. SEQUESTRO SERVER
• L’autorità giudiziaria, quando
dispone il sequestro, presso i
fornitori di servizi informatici,
telematici, può stabilire, per
esigenze legate alla regolare
for nitur a dei medesimi
servizi, che la loro acquisizione
avvenga, con una procedura
che assicuri la conformità dei
dati acquisiti a quelli originali.
16
mercoledì 24 ottobre 12
17. FILE DI LOG
• Una connessione wi fi può essere utilizzata anche da terzi che
possono essersi intromessi illecitamente nel sistema informatico
dell’imputato (Tribunale Roma, giugno 2012).
• Le prove della connessione ad un sito internet acquisite presso gli
internet service provider, attraverso i cd log di connessione,
ovvero le prove dell’accesso ad un determinato sito internet, se
non acquisite e conservate secondo le norme di legge, sono
inutilizzabili (Tribunale Roma, giugno 2012, Tribunale Chieti,
maggio 2006).
17
mercoledì 24 ottobre 12
18. REATI CONTESTABILI
• Accesso abusivo a sistema telematico: da 1 a 5 anni
• Danneggiamento informatico: da 1 a 5 anni
• Installazione di apparecchiature atte ad intercettare od impedire
comunicazioni o conversazioni telegrafiche o telefoniche da 1 a
5 anni
• Intercettazione, impedimento o interruzione illecita di
comunicazioni informatiche o telematiche: da 1 a 5 anni
18
mercoledì 24 ottobre 12
21. CASE STUDY
• Un dipendente lascia l’azienda (o la sta per lasciare) e c’è il
sospetto che abbia trafugato materiale riservato (progetti, elenco
clienti, documenti, etc...) copiandolo su una sua chiavetta USB o
inviandolo via email, anche cancellandolo dal PC aziendale e
togliendolo quindi dalla disponibilità della società
• L’Avvocato e il Consulente Informatico vengono chiamati per far
luce su quanto accaduto e valutare come procedere
(eventualmente ricuperando i dati se di valore)
21
mercoledì 24 ottobre 12
23. File activity timeline with daily summary
Si rileva inserimento penna USB il 1 e 2 ottobre
anche su PC di altri dipendenti in pausa pranzo
23
mercoledì 24 ottobre 12
24. COME PREPARARE L’ATTACCO
• Cercare tracce di invio email o copia massiva su USB
• Cercare file cancellati, valutarne il contenuto aziendale e quando
possibile data di cancellazione (danneggiamento)
• Valutare se c’è stato accesso abusivo
• Cercare di dimostrare l’autore delle attività rilevate (incrociando
anche bollature di ingresso e metadati digitali)
• Cercare di dimostrare l’utilizzo delle informazioni sottratte
(valutare IP email ricevute dai clienti, errori sul DB, etc...)
24
mercoledì 24 ottobre 12
25. INDICAZIONI TECNICHE
• RFC 3227: “Guidelines for Evidence Collection and Archiving”
• ISO 27037: “Guidelines for identification, collection, acquisition
and preservation of digital evidence” standardizza la RFC 3227
• Introducono concetti come ordine di volatilità, minimizzazione dei
cambiamenti ai dati, approccio metodico, documentazione,
integrità, catena di custodia, ripetibilità, riproducibilità
25
mercoledì 24 ottobre 12
26. COSA NON FARE
• Mancata copia forense (bitstream) dei supporti
• Accensione e utilizzo del PC originale
• Mancata conservazione dei supporti originali
• Mancata apposizione di data certa
• Monitoraggio del dipendente in tempo reale
• Violazione Privacy
26
mercoledì 24 ottobre 12
27. COSA NON FARE
• Errata repertazione (hash, sigilli, catena di conservazione)
• Uso di strumenti di duplicazione inadeguati (es. Norton Ghost)
• Utilizzo di strumenti di analisi o metodologie non adeguate (es.
RegExp malformate)
• Per l’Avvocato: non chiamare il CT all’ultimo momento (meglio
iniziare insieme fin dall’inizio e soprattuto fare “allenamenti”)
• Per il CT: non fare l’Avvocato (vale anche il viceversa)
27
mercoledì 24 ottobre 12
28. QUESTIONI APERTE
• Il CT sa tecnicamente cosa fare.... può farlo?
• Acquisizione dell’hard disk senza il consenso del dipendente
• Monitoraggio dell’email senza il consenso del dipendente
• Mancanza di policy sull’utilizzo delle pendrive o dei propri dati
• Contestazione accesso abusivo a sistema telematico
• Normativa su rivelazione dei segreti e applicabilità in Italia
28
mercoledì 24 ottobre 12
29. PRIVACY
• Cosa succede se l’Hard Disk viene acquisito con il consenso del
dipendente?
• Violazione della normativa sulla privacy o reato penale ?
• Ammissibilità della prova nel procedimento penale/civile?
• Cosa succede se monitoro l’email aziendale (@azienda.it) senza il
consenso del dipendente ?
• Violazione della normativa sulla privacy o illecito civile o nulla?
29
mercoledì 24 ottobre 12
30. SEGRETI INDUSTRIALI
• Esistenza di un segreto industriale
• Esistenza di NDA e di policy per tutelare la riservatezza dei dati
• Prova dell’accesso al segreto industriale
• Prova del trasferimento di tale segreto industriale al competitor
• Prova dell’utilizzo del segreto industriale da parte del competitor
30
mercoledì 24 ottobre 12
31. ACCESSO ABUSIVO
• Policy di autorizzazione all’accesso ai dati del dipendente
• Policy circa l’utilizzo di pen drive
• Volontà espressa dell’azienda di “escludere l’accesso”
• Indifferenza delle misure di sicurezza
• Momento consumativo del reato ?
31
mercoledì 24 ottobre 12
32. CONCLUSIONI
• Ognuno ha ruoli ben distinti, è la collaborazione che conta!
• Conoscere le mosse dell’avvocato senza svelarle ed anticiparle
• Allenarsi insieme, sin dall’inizio
• Il consulente tecnico non deve fare l’avvocato... e viceversa!
32
mercoledì 24 ottobre 12
33. L’AVVOCATO E IL CONSULENTE
TECNICO INFORMATICO
Una partita di pallavolo!
DOMANDE?
FIREA MILANO CITY SMAU MILANO 2012
mercoledì 24 ottobre 12