際際滷

際際滷Share a Scribd company logo

Il consulente tecnico di informatica forense

O
osservatorionazionaleinformaticaforense

際際滷 utilizzate durante la conferenza Il consulente tecnico informatico nel processo, organizzata dall'Osservatorio Nazionale d'Informatica Forense, tenutasi a Roma il 28 aprile 2016.

1 of 21
Downloaded 19 times
IL CONSULENTE TECNICO DI INFORMATICA FORENSE IL CONSULENTE TECNICO INFORMATICO NEL PROCESSO Roma, 28 aprile 2016, 14:30 18:10 Sala Pastorelli Via Genova, 3/a Ministero dellInterno c/o Dip. Vigili del Fuoco La necessit di comprendere il valore di una competenza sempre pi湛 utilizzata ma non adeguatamente valorizzata Guida alla scelta per il giurista: requisiti, formazione, competenze, analogie e diversit con consulenti di altre scienze
Medicina legale Chimica forense Psicologia forense Tossicologia forense Balistica forense Genetica forense Analogie con altre scienze forensi
Interdisciplinarit Assenza di percorso specifico dedicato (in Italia) Possibile percorso formativo: Laurea in ingegneria informatica o in informatica o altre equivalenti (matematica, fisica, ing. elettronica) Ove disponibili, con insegnamenti su Informatica forense Post laurea specializzante su informatica forense Dottorato di ricerca, master, corsi di perfezionamento o di alta formazione in ambito universitario o certificazioni specifiche Aggiornamento continuo Partecipazione a convegni, seminari, eventi formativi, materiale bibliografico Formazione
Competenze tecniche Competenze giuridiche Competenze linguistiche e di presentazione in pubblico Competenze
Competenze tecniche Competenze trasversali in materia di informatica Sistemi operativi Architettura degli elaboratori File system Formati file Programmazione (algoritmi e linguaggi) Reti e protocolli di comunicazione Sicurezza informatica Tecnologie del web Competenze specifiche di informatica forense Linee guida e standard in materia Software e hardware per acquisizione e la conservazione delle fonti di prova Catena di custodia Software e hardware per analisi dei dati Redazione di report e relazioni tecniche Competenze per casi specifici Es. malware, analisi video e immagini
Conoscenza di base del codice penale, del codice di procedura penale, del codice civile, del codice di procedura civile Ruolo, compiti, limiti del Consulente Tecnico e del Perito Norme specifiche sullinformatica forense Legge 48/2008 e Convenzione di Budapest 2001 Norme specifiche sullinformatica CAD, D.Lgs. 196/2003 Competenze giuridiche
Linformatica forense 竪 storicamente associata allambito penale Interviene in tutti i campi del diritto in cui siano presenti evidenze informatiche Si opera con diversi ruoli e responsabilit a seconda dellambito e dellinterlocutore: in ambito penale Ausiliario della Polizia Giudiziaria Consulente Tecnico del Pubblico Ministero Consulente Tecnico di Parte (breviter, CTP) dellimputato/indagato, delle parti civili, delle parti offese Perito del Giudice in ambito civile Consulente Tecnico dUfficio (breviter, CTU) del Giudice Consulente Tecnico di Parte (breviter, CTP) Albi dei CT e Periti presso i Tribunali Quasi sempre inesistente categoria Informatica Ove presente, filtri laschi Ambiti di attivit
Non si pensi solo a casi di reati informatici in senso stretto Qualche esempio: Pagina web per individuare il reale autore in caso di diffamazione Email in procedimento del lavoro SMS in caso di separazione Filmati di videosorveglianza in caso di rapina Fotografie per contestazione violazione codice della strada (velocit e photored) Ambiti di attivit
Linformatica forense interviene per conto delle parti anche fuori dalle aule di giustizia Qualche esempio: Azienda che intende verificare comportamento del proprio dipendente Tavoli di transazioni relativi ad aspetti tecnici Progetti e contratti informatici Ambiti di attivit
Spesso si comincia: in collaborazione come ausiliario di professionisti gi operanti sul campo da diversi anni in servizio presso reparti specializzati di Polizia Giudiziaria presso aziende in settori legati allinformatica forense (sicurezza, incident response, intelligence) Per cominciare: attivit tecniche pi湛 semplici acquisizioni e alcune tipologie di analisi scrittura report riepilogativi partecipazioni come 束uditore損 a conferimento incarico, operazioni collegiali, udienze I primi passi dellinformatico forense
Professionalit nello svolgimento dellincarico Correttezza nei confronti delle parti Spesso CT del PM troppo orientati allaccusa, dimenticano di raccogliere/mostrare prove a favore dellindagato Spesso Periti del Giudice, abituati a lavorare come CT del PM, tendono ad avallare la tesi accusatoria Saper riconoscere i propri limiti e rinunciare a incarichi fuori portata o chiedere collaborazione di esperti del caso specifico Capacit di interloquire con le altre parti processuali, nel rispetto degli specifici ruoli Riservatezza rispetto alle informazioni apprese nel corso degli incarichi Caratteristiche etiche dellinformatico forense
Aggiornamento continuo Corsi di formazione, convegni e seminari, lettura di bibliografia scientifica in materia (libri, paper, pubblicazioni, riviste, blog...) Utilizzo di tecniche e strumenti riconosciuti dalla comunit scientifica per lacquisizione e la garanzia dellintegrit della evidenza informatiche Applicazione di metodi scientifici, verificati o verificabili, per lanalisi e linterpretazione dei dati Applicazione delle metodologie descritte nelle linee guida internazionali (es. perquisizione, sequestro, trasporto, acquisizione dei dati...) Contributo critico personale in casi non perfettamente codificati (es. smartphone o acquisizioni su sistemi in esecuzione) Caratteristiche tecnico-scientifiche dellinformatico forense
L'esclusivo utilizzo di software opensource o gratuito spesso 竪 indice di attivit occasionale Settore popolato da tanti improvvisati Spesso vale lequazione improvvisazione = pitoccheria 束Uso software opensource, riesco a fare tutto anche meglio di software commerciali損 束Non uso hardware, si fa tutto via software, sto molto attento e non ne ho bisogno損 束Non mi serve investire, conta solo la mia competenza損 束Lassicurazione professionale? A cosa serve? Non sono obbligatoβ 束Volete mettere in dubbio che abbia interesse a modificare i dati?損 Per efficace esecuzione degli incarichi occorre svolgere la professione quotidianamente Conoscere criticit ed esigenze Per realt piccole (1 professionista) investimento minimo di circa 20K anno per un laboratorio Locali, utenze, hardware, licenze software, aggiornamento professionale Cifre che consentono gi di valutare la seriet professionale di un CT e lesperienza Es.: un consulente che chiede 1.000 per un incarico che dura 1 settimana di lavoro uomo probabilmente non 竪 compatibile con questi requisiti! Un parametri per la valutazione del CT: la sua richiesta economica
Il PM non dovrebbe dare incarico con quesito, grazie e arrivederci ma sarebbe pi湛 opportuno che prima fossero esposte al CT le esigenze CT dovrebbe illustrare criticit per guidare il PM a seconda del caso specifico (359 o 360 c.p.p. ?) CT dovrebbe rifiutare di assumere incarichi conferiti in regime di 359 quando sono a rischio di irripetibilit, a tutela sua, del PM, dellindagine, di tutte le parti coinvolte, del sistema giustizia Ritiro del materiale informatico nei luoghi in cui 竪 custodito Avvio delle attivit tecniche Ricognizione, identificazione e classificazione del materiale Acquisizione dei reperti mediante copia forense (ove possibile) o con la migliore tecnica disponibile per lo specifico dispositivo Almeno duplice copia con calcolo dellhash Conservazione e custodia del reperto originale e delle copie Esempio di incarico per PM (1) Queste prime tre fasi sono collegiali nei casi di incarichi conferiti ai sensi del 360 c.p.p.
Analisi dei dati Documentare strumenti utilizzati ed esiti, con maggior dettaglio possibile Possibilit di verificare anche con strumenti diversi Relazione tecnica Documento dove sono illustrate metodologie, strumenti utilizzati, esiti e valutazioni Utilizzare linguaggio rigoroso ma non solo tecnico; deve essere comprensibile anche per i giuristi Deposito della relazione tecnica (con eventuali allegati tecnici) Restituzione del materiale originale Solitamente dove era stato ritirato Pu嘆 avvenire quando la consulenza 竪 ancora in corso o successivamente al deposito della relazione tecnica Richiesta di liquidazione al PM Liquidazione da parte del Pubblico Ministero tipicamente calcolato in vacazioni 1 vacazione = 2 ore = 8,15 lordi = circa 4 lordi lora (max 4 vacazioni giornaliere, esclusi sabato, domeniche e festivi) Il PM dispone la liquidazione Potrebbe tagliare onorario e/o spese documentate Tanti tagliano richiesta di rimborso spesa hard disk per consegnare i dati (mediamente 2 x 100) ! Fatturazione dopo tempo variabile (anche anni) Eventuali presenze in aula per rispondere a quesiti e chiarimenti in merito alla consulenza tecnica consegnata Esempio di incarico per PM (2)
Il consulente tecnico di informatica forense
1. Primo contatto con il cliente finalizzato a comprendere lambito di attivit e stimare le attivit da svolgere 2. Colloquio dettagliato con il cliente e il legale, tipicamente telefonicamente o di persona, per la definizione delle attivit da svolgere e la strategia 3. Fornitura di un preventivo con il dettaglio delle operazioni da svolgere 4. Conferimento dellincarico da parte del cliente e versamento di un acconto sullimporto pattuito 5. Attivit tecniche 6. Redazione di un report preliminare da sottoporre al cliente e al legale 7. Raccolta di segnalazioni e richieste di precisazioni/integrazioni da parte del cliente e del legale 8. Redazione della relazione definitiva 9. In fase successiva si potrebbero rendere necessarie presenza alle udienze di dibattimento e ulteriori attivit (memorie, partecipazione a perizie o CTU) Eventuale reiterazione delle attivit indicate in grassetto Esempio di incarico da una parte privata
Casi nei quali 竪 necessario procedere con Acquisizione e/o analisi, nonch辿 valutazioni, di dati digitali. Ad esempio in merito a Supporti di memorizzazione di dati digitali Smartphone e GPS Sistemi complessi server, client o apparati di rete Pagine web Email Codice sorgente di programmi informatici Tabulati telefonici Mappe di copertura radio-elettriche Definizione e/o valutazione di Contratti ad oggetto informatico In generale, ogni volta che volete introdurre in un processo qualcosa che vedete su uno schermo luminoso Quando rivolgersi allinformatico forense?
Elenco semiserio di fatti realmente accaduti Non 竪 consulente dinformatica forense chi: Ho la passione per i computer Sono laureato in informatica, ma non so cosa sia una copia forense Non sono laureato in informatica ma ho lECDL Conosco un Giudice/PM/Avvocato che abita nel mio quartiere e gli ho sistemato il PC una volta. In questo modo ho iniziato a fare consulenze tecniche per lui e i suoi colleghi Faccio da una vita trascrizioni di audio e fonica forense Sono un ottimo programmatore Faccio siti web da una vita La BTS xxxxx 竪 quella di via Roma, me lo ha detto al telefono la Telecom Cosa/chi non 竪 un informatico forense
Dove avranno mai 壊岳顎糸庄温岳看
Quali sono gli 艶韓韓艶岳岳庄

More Related Content

Il consulente tecnico di informatica forense

  • 1. IL CONSULENTE TECNICO DI INFORMATICA FORENSE IL CONSULENTE TECNICO INFORMATICO NEL PROCESSO Roma, 28 aprile 2016, 14:30 18:10 Sala Pastorelli Via Genova, 3/a Ministero dellInterno c/o Dip. Vigili del Fuoco La necessit di comprendere il valore di una competenza sempre pi湛 utilizzata ma non adeguatamente valorizzata Guida alla scelta per il giurista: requisiti, formazione, competenze, analogie e diversit con consulenti di altre scienze
  • 2. Medicina legale Chimica forense Psicologia forense Tossicologia forense Balistica forense Genetica forense Analogie con altre scienze forensi
  • 3. Interdisciplinarit Assenza di percorso specifico dedicato (in Italia) Possibile percorso formativo: Laurea in ingegneria informatica o in informatica o altre equivalenti (matematica, fisica, ing. elettronica) Ove disponibili, con insegnamenti su Informatica forense Post laurea specializzante su informatica forense Dottorato di ricerca, master, corsi di perfezionamento o di alta formazione in ambito universitario o certificazioni specifiche Aggiornamento continuo Partecipazione a convegni, seminari, eventi formativi, materiale bibliografico Formazione
  • 4. Competenze tecniche Competenze giuridiche Competenze linguistiche e di presentazione in pubblico Competenze
  • 5. Competenze tecniche Competenze trasversali in materia di informatica Sistemi operativi Architettura degli elaboratori File system Formati file Programmazione (algoritmi e linguaggi) Reti e protocolli di comunicazione Sicurezza informatica Tecnologie del web Competenze specifiche di informatica forense Linee guida e standard in materia Software e hardware per acquisizione e la conservazione delle fonti di prova Catena di custodia Software e hardware per analisi dei dati Redazione di report e relazioni tecniche Competenze per casi specifici Es. malware, analisi video e immagini
  • 6. Conoscenza di base del codice penale, del codice di procedura penale, del codice civile, del codice di procedura civile Ruolo, compiti, limiti del Consulente Tecnico e del Perito Norme specifiche sullinformatica forense Legge 48/2008 e Convenzione di Budapest 2001 Norme specifiche sullinformatica CAD, D.Lgs. 196/2003 Competenze giuridiche
  • 7. Linformatica forense 竪 storicamente associata allambito penale Interviene in tutti i campi del diritto in cui siano presenti evidenze informatiche Si opera con diversi ruoli e responsabilit a seconda dellambito e dellinterlocutore: in ambito penale Ausiliario della Polizia Giudiziaria Consulente Tecnico del Pubblico Ministero Consulente Tecnico di Parte (breviter, CTP) dellimputato/indagato, delle parti civili, delle parti offese Perito del Giudice in ambito civile Consulente Tecnico dUfficio (breviter, CTU) del Giudice Consulente Tecnico di Parte (breviter, CTP) Albi dei CT e Periti presso i Tribunali Quasi sempre inesistente categoria Informatica Ove presente, filtri laschi Ambiti di attivit
  • 8. Non si pensi solo a casi di reati informatici in senso stretto Qualche esempio: Pagina web per individuare il reale autore in caso di diffamazione Email in procedimento del lavoro SMS in caso di separazione Filmati di videosorveglianza in caso di rapina Fotografie per contestazione violazione codice della strada (velocit e photored) Ambiti di attivit
  • 9. Linformatica forense interviene per conto delle parti anche fuori dalle aule di giustizia Qualche esempio: Azienda che intende verificare comportamento del proprio dipendente Tavoli di transazioni relativi ad aspetti tecnici Progetti e contratti informatici Ambiti di attivit
  • 10. Spesso si comincia: in collaborazione come ausiliario di professionisti gi operanti sul campo da diversi anni in servizio presso reparti specializzati di Polizia Giudiziaria presso aziende in settori legati allinformatica forense (sicurezza, incident response, intelligence) Per cominciare: attivit tecniche pi湛 semplici acquisizioni e alcune tipologie di analisi scrittura report riepilogativi partecipazioni come 束uditore損 a conferimento incarico, operazioni collegiali, udienze I primi passi dellinformatico forense
  • 11. Professionalit nello svolgimento dellincarico Correttezza nei confronti delle parti Spesso CT del PM troppo orientati allaccusa, dimenticano di raccogliere/mostrare prove a favore dellindagato Spesso Periti del Giudice, abituati a lavorare come CT del PM, tendono ad avallare la tesi accusatoria Saper riconoscere i propri limiti e rinunciare a incarichi fuori portata o chiedere collaborazione di esperti del caso specifico Capacit di interloquire con le altre parti processuali, nel rispetto degli specifici ruoli Riservatezza rispetto alle informazioni apprese nel corso degli incarichi Caratteristiche etiche dellinformatico forense
  • 12. Aggiornamento continuo Corsi di formazione, convegni e seminari, lettura di bibliografia scientifica in materia (libri, paper, pubblicazioni, riviste, blog...) Utilizzo di tecniche e strumenti riconosciuti dalla comunit scientifica per lacquisizione e la garanzia dellintegrit della evidenza informatiche Applicazione di metodi scientifici, verificati o verificabili, per lanalisi e linterpretazione dei dati Applicazione delle metodologie descritte nelle linee guida internazionali (es. perquisizione, sequestro, trasporto, acquisizione dei dati...) Contributo critico personale in casi non perfettamente codificati (es. smartphone o acquisizioni su sistemi in esecuzione) Caratteristiche tecnico-scientifiche dellinformatico forense
  • 13. L'esclusivo utilizzo di software opensource o gratuito spesso 竪 indice di attivit occasionale Settore popolato da tanti improvvisati Spesso vale lequazione improvvisazione = pitoccheria 束Uso software opensource, riesco a fare tutto anche meglio di software commerciali損 束Non uso hardware, si fa tutto via software, sto molto attento e non ne ho bisogno損 束Non mi serve investire, conta solo la mia competenza損 束Lassicurazione professionale? A cosa serve? Non sono obbligatoβ 束Volete mettere in dubbio che abbia interesse a modificare i dati?損 Per efficace esecuzione degli incarichi occorre svolgere la professione quotidianamente Conoscere criticit ed esigenze Per realt piccole (1 professionista) investimento minimo di circa 20K anno per un laboratorio Locali, utenze, hardware, licenze software, aggiornamento professionale Cifre che consentono gi di valutare la seriet professionale di un CT e lesperienza Es.: un consulente che chiede 1.000 per un incarico che dura 1 settimana di lavoro uomo probabilmente non 竪 compatibile con questi requisiti! Un parametri per la valutazione del CT: la sua richiesta economica
  • 14. Il PM non dovrebbe dare incarico con quesito, grazie e arrivederci ma sarebbe pi湛 opportuno che prima fossero esposte al CT le esigenze CT dovrebbe illustrare criticit per guidare il PM a seconda del caso specifico (359 o 360 c.p.p. ?) CT dovrebbe rifiutare di assumere incarichi conferiti in regime di 359 quando sono a rischio di irripetibilit, a tutela sua, del PM, dellindagine, di tutte le parti coinvolte, del sistema giustizia Ritiro del materiale informatico nei luoghi in cui 竪 custodito Avvio delle attivit tecniche Ricognizione, identificazione e classificazione del materiale Acquisizione dei reperti mediante copia forense (ove possibile) o con la migliore tecnica disponibile per lo specifico dispositivo Almeno duplice copia con calcolo dellhash Conservazione e custodia del reperto originale e delle copie Esempio di incarico per PM (1) Queste prime tre fasi sono collegiali nei casi di incarichi conferiti ai sensi del 360 c.p.p.
  • 15. Analisi dei dati Documentare strumenti utilizzati ed esiti, con maggior dettaglio possibile Possibilit di verificare anche con strumenti diversi Relazione tecnica Documento dove sono illustrate metodologie, strumenti utilizzati, esiti e valutazioni Utilizzare linguaggio rigoroso ma non solo tecnico; deve essere comprensibile anche per i giuristi Deposito della relazione tecnica (con eventuali allegati tecnici) Restituzione del materiale originale Solitamente dove era stato ritirato Pu嘆 avvenire quando la consulenza 竪 ancora in corso o successivamente al deposito della relazione tecnica Richiesta di liquidazione al PM Liquidazione da parte del Pubblico Ministero tipicamente calcolato in vacazioni 1 vacazione = 2 ore = 8,15 lordi = circa 4 lordi lora (max 4 vacazioni giornaliere, esclusi sabato, domeniche e festivi) Il PM dispone la liquidazione Potrebbe tagliare onorario e/o spese documentate Tanti tagliano richiesta di rimborso spesa hard disk per consegnare i dati (mediamente 2 x 100) ! Fatturazione dopo tempo variabile (anche anni) Eventuali presenze in aula per rispondere a quesiti e chiarimenti in merito alla consulenza tecnica consegnata Esempio di incarico per PM (2)
  • 17. 1. Primo contatto con il cliente finalizzato a comprendere lambito di attivit e stimare le attivit da svolgere 2. Colloquio dettagliato con il cliente e il legale, tipicamente telefonicamente o di persona, per la definizione delle attivit da svolgere e la strategia 3. Fornitura di un preventivo con il dettaglio delle operazioni da svolgere 4. Conferimento dellincarico da parte del cliente e versamento di un acconto sullimporto pattuito 5. Attivit tecniche 6. Redazione di un report preliminare da sottoporre al cliente e al legale 7. Raccolta di segnalazioni e richieste di precisazioni/integrazioni da parte del cliente e del legale 8. Redazione della relazione definitiva 9. In fase successiva si potrebbero rendere necessarie presenza alle udienze di dibattimento e ulteriori attivit (memorie, partecipazione a perizie o CTU) Eventuale reiterazione delle attivit indicate in grassetto Esempio di incarico da una parte privata
  • 18. Casi nei quali 竪 necessario procedere con Acquisizione e/o analisi, nonch辿 valutazioni, di dati digitali. Ad esempio in merito a Supporti di memorizzazione di dati digitali Smartphone e GPS Sistemi complessi server, client o apparati di rete Pagine web Email Codice sorgente di programmi informatici Tabulati telefonici Mappe di copertura radio-elettriche Definizione e/o valutazione di Contratti ad oggetto informatico In generale, ogni volta che volete introdurre in un processo qualcosa che vedete su uno schermo luminoso Quando rivolgersi allinformatico forense?
  • 19. Elenco semiserio di fatti realmente accaduti Non 竪 consulente dinformatica forense chi: Ho la passione per i computer Sono laureato in informatica, ma non so cosa sia una copia forense Non sono laureato in informatica ma ho lECDL Conosco un Giudice/PM/Avvocato che abita nel mio quartiere e gli ho sistemato il PC una volta. In questo modo ho iniziato a fare consulenze tecniche per lui e i suoi colleghi Faccio da una vita trascrizioni di audio e fonica forense Sono un ottimo programmatore Faccio siti web da una vita La BTS xxxxx 竪 quella di via Roma, me lo ha detto al telefono la Telecom Cosa/chi non 竪 un informatico forense
  • 20. Dove avranno mai 壊岳顎糸庄温岳看
  • 21. Quali sono gli 艶韓韓艶岳岳庄