Estratto del documento

Cosa si intende per digital evidence?

Esistono varie enunciazioni per definire cos’è in concreto una prova digitale e tra le più importanti ne spiccano due. La prima è stata formulata dall’International Organization on Computer Evidence (IOCE) secondo la quale la digital evidence “è un’informazione generata, memorizzata e trasmessa attraverso un supporto informatico che può avere valore in tribunale”; la seconda è stata adottata dallo Scientific Working Group on Digital Evidence (SWGDE) per cui costituisce digital evidence “qualsiasi informazione, con valore probatorio, che sia o meno memorizzata o trasmessa in un formato digitale”.

All’interno di questa cerchia possiamo trovare anche tutti i dati in formato analogico come ad esempio le audio e video cassette, le pellicole fotografiche e le telefonate compiute attraverso la rete pubblica: tutte fonti di prova che possono essere “digitalizzate”, ma che non nascono in formato digitale. L’entrata in vigore della legge n° 48 del 18 marzo 2008 ha di fatto sancito l’introduzione dei principi fondanti della computer forensics all’interno del nostro ordinamento, prevedendo importanti aspetti legati alla gestione delle digital evidence che, per loro natura, presentano caratteristiche di estrema volatilità e fragilità.

Seppur il legislatore si sia mosso cautamente nell’introdurre i nuovi principi per l’assunzione delle prove informatiche, non indicando cioè nel dettaglio le modalità esecutorie da applicare nell’utilizzo di tali istituti, si è comunque focalizzata l’attenzione su due basilari aspetti, sicuramente più vincolati al risultato finale che non al metodo da utilizzare, ovvero la corretta procedura di copia dei dati utili alle indagini e la loro integrità e non alterabilità in sede di acquisizione.

Le fasi principali nella digital forensic

Le fasi principali che caratterizzano l’attività e le best practices nella digital forensic possono essere riassunte nell’individuazione, preservazione, acquisizione, analisi e correlazione dei dati assunti, oltre che in una completa ed esaustiva documentazione di quanto effettuato nelle singole fasi. Le procedure di individuazione ed isolamento contemplano una fase descrittiva, che prevede il sopralluogo con un puntuale inventario delle evidenze rinvenute, ed una fase tecnica, che ha lo scopo di impedire qualsiasi interazione dei reperti con l’ambiente circostante sino alla successiva fase di acquisizione.

L’acquisizione della prova informatica è sicuramente la fase che presenta una maggior criticità, proprio perché deve garantire l’inalterabilità dell’elemento che viene analizzato. Tale procedura non potrà essere attuata come una mera copia del dato ricercato, poiché un’operazione di questo tipo comporterebbe l’irreparabile perdita di tutti quegli elementi che caratterizzano la prova stessa. Generalmente l’acquisizione dell’evidenza digitale consiste nella creazione della cosiddetta “bit stream image”, ovvero nella copia “bit a bit” del dispositivo oggetto d’indagine.

Cos'è lo spettro elettromagnetico?

Lo spettro elettromagnetico è l’insieme di tutte le possibili frequenze delle radiazioni elettromagnetiche e il suo andamento è continuo. Per convenzione, a seconda della “lunghezza d’onda” e dell’energia delle emissioni, lo spettro è stato suddiviso in “bande di frequenza”. Possiamo immaginare lo spettro come un insieme di “onde” più o meno ravvicinate tra loro.

La luce visibile e le onde radio

Quella che noi chiamiamo “luce” non è altro che la “porzione” dello spettro elettromagnetico che l’occhio umano riesce a percepire; i nostri occhi riescono a percepire solo una minima parte dello spettro, compreso tra i 400 e i 700 nm (nanometri), questa parte si esprime attraverso i colori dell’arcobaleno. Le onde radio sono caratterizzate dalle maggiori lunghezze d’onda, superiori a 1 millimetro, quelle a maggiore frequenza sono dette microonde. Le frequenze maggiori hanno anche un’energia maggiore (raggi cosmici, raggi Gamma, raggi X) e questo è il motivo per il quale occorrono maggiori cautele quando si fa, ad esempio, una radiografia (Raggi X).

Cos'è il file system

Il sistema operativo gestisce i file attraverso due componenti:

  • Il file system
  • Il sotto-sistema di I/O

Il file system è l’aspetto del sistema operativo più visibile dal punto di vista dell’utente. Esso è organizzato in due parti distinte:

  • Un insieme di file contenenti informazioni
  • Una struttura della directory, che organizza i file in una struttura gerarchica e fornisce informazioni sui file stessi

Fornisce gli strumenti per:

  • La creazione e la manipolazione dei file
  • Garantire l’affidabilità dei file quando si verificano guasti
  • Permettere la protezione dei file e la condivisione tra gli utenti (anche per l’accesso concorrente)

Directory e path

Una directory è una "cartella", un luogo in cui è possibile inserire file o altre directory (e file speciali, dispositivi, collegamenti simbolici...) in poche parole è un contenitore per oggetti filesystem. Una path (letteralmente “percorso”) è una stringa che specifica come raggiungere un oggetto filesystem; questo oggetto può essere un file, una directory, un file speciale, etc.

SQL Injection

Descrivere la tipologia di attacco chiamato SQL Injection, specificando qual è il suo obiettivo e fornendo una breve descrizione di alto livello di come viene sferrato. Con SQL injection si intende lo sfruttamento di una vulnerabilità nei database relazionali, che utilizzano il linguaggio SQL per l’inserimento dei dati. In questo caso l’hacker approfitta di quegli input degli utenti nell’interfaccia del database che non sono filtrati correttamente e in cui sono presenti dei metacaratteri quali trattino doppio, virgolette, elementi QUOTE e punto e virgola.

Questi caratteri possiedono delle funzioni particolari per l’interprete SQL e consentono la modifica esterna dei comandi eseguiti. Spesso una SQL injection si presenta correlata a dei programmi in PHP e ASP che dispongono di vecchie interfacce. Qui, a volte, gli input non sono filtrati nel modo giusto e rappresentano perciò il target perfetto per un attacco hacker. Con un uso mirato di caratteri di funzione, un utente non autorizzato inietta in questo modo altri comandi SQL e manipola i record in modo da poterli modificare, leggere o eliminare. Nei casi più gravi è persino possibile che, sfruttando questo metodo, l’hacker riesca ad avere accesso alla riga di comando del sistema e giunga così all’intero database server.

Autenticità e non ripudiabilità

Due aspetti che vanno assolutamente salvaguardati nell'ambito della sicurezza informatica sono l'autenticità e la non ripudiabilità dei dati. Entrambi afferiscono al tema della reale identità dei soggetti che si scambiano dati (ad esempio inviandosi dei file); ma c'è una sostanziale differenza tra i due aspetti, di cui tener conto quando si analizzano le diverse tecniche per garantire la protezione delle informazioni.

La differenza tra autenticità e non ripudiabilità

È utile osservare che autenticità e non ripudiabilità sono proprietà molto simili, ma non sempre la prima implica automaticamente la seconda. L’autenticità esprime il fatto che il destinatario possiede prove sufficienti a fargli ritenere che il messaggio provenga effettivamente dal mittente indicato. Per la proprietà di non ripudio, tuttavia, tali prove devono essere anche opponibili nei confronti del mittente.

Se ad esempio Tizio invia un messaggio a Caio tramite un sistema crittografico a chiave segreta X, una volta decodificato con successo il messaggio, Caio non ha ragioni per dubitare che esso provenga effettivamente da Tizio, dal momento che Tizio è l’unico altro soggetto che conosce la chiave X. Dunque l’autenticità è garantita. Se tuttavia Tizio sconfessa, in un secondo momento, di aver inviato il messaggio, Caio non può dimostrare che quel messaggio è stato spedito proprio da Tizio. Infatti il messaggio potrebbe essere stato creato e codificato localmente dallo stesso Caio, mediante la medesima chiave X. In un sistema crittografico a chiave pubblica questo chiaramente non potrebbe avvenire.

Grandezze digitali vs analogiche

Il funzionamento delle moderne piattaforme informatiche è basato sulla gestione di “grandezze digitali”. Cosa significa esattamente grandezza “digitale” e che differenza c'è con le grandezze di tipo “analogico”?

Una grandezza viene detta analogica, quando può assumere con continuità qualsiasi valore in un certo intervallo, mentre viene invece detta digitale (o discreta) quando due suoi valori consecutivi sono separati da un intervallo che non contiene altri valori validi. L'intervallo minimo fra due valori consecutivi di una grandezza digitale, viene detto quanto. Se il valore del quanto è molto piccolo, l'andamento di una grandezza digitale risulta praticamente indistinguibile da quello di una grandezza analogica. In pratica una grandezza analogica potrebbe anche essere considerata una grandezza digitale con quanto uguale a zero.

Il metodo S/KEY

Il metodo S/KEY è una tecnica particolare di autenticazione basata su One Time Password (OTP). Descrivere il meccanismo di autenticazione S/KEY, evidenziando i motivi per cui tale meccanismo garantisce un altissimo livello di sicurezza nei confronti degli attacchi che mirano a rubare il "seme", cioè il codice segreto usato per generare le singole OTP.

La sicurezza di S/KEY confida sulla difficoltà di invertire la funzione di hash. Si supponga che un attaccante ottenga una password X che è stata utilizzata per una precedente autenticazione. Tale password è inutile per le autenticazioni successive perché ogni password può essere usata una volta soltanto. Se la password X sniffata dall'attaccante fosse l'ultima utilizzata, si potrebbe tentare di invertire la funzione di hash in modo da ottenere la prossima password. Tale operazione risulta estremamente difficoltosa.

S/KEY è comunque vulnerabile ad un attacco “man in the middle” oltre che a certe race conditions, come nel caso in cui un attaccante utilizzasse uno sniffer per trovare i primi N-1 caratteri per poi utilizzare rapidamente un attacco a forza bruta per scoprire il restante carattere. Questo tipo di vulnerabilità possono essere evitate utilizzando ssh (Secure SHell), SSL (Secure Sockets Layer), SPKM (Simple Public Key Mechanism) o un altro metodo di trasmissione criptata.

Validazione della copia forense

Il processo di validazione della copia forense consiste nel confrontare la copia con l’originale per verificarne l’esatta corrispondenza, e la tecnica maggiormente usata per validare le copie forensi è applicare su originale e copia le cosiddette funzioni di Hash. Se le impronte digitali generate dalle funzioni di Hash su originale e copia forense sono uguali, allora la copia è perfettamente identica all'originale, in caso contrario la copia è stata prodotta in modo non corretto o è stata alterata nel tempo.

Il problema delle collisioni nelle funzioni di Hash

  • Di che si tratta;
  • Perché è inevitabile che si generino;
  • Quali sono le conseguenze sulla validazione.

Le collisioni sono quei casi in cui due diversi documenti generano la stessa impronta digitale; tale evento è inevitabile in quanto le funzioni di Hash mappano un universo potenzialmente infinito (tutti i possibili documenti, di ogni lunghezza possibile) in un universo sicuramente finito (tutte le possibili impronte digitali di una certa lunghezza fissa).

Tale concetto può essere meglio compreso attraverso il Principio dei cassetti (in inglese Pigeonhole Principle, “principio della colombaia”) afferma un fatto abbastanza ovvio: n + 1 buste non possono essere collocate in n cassetti in modo che ogni cassetto contenga una sola busta. Detto in termini di piccioni: se n+1 piccioni volano in una piccionaia con n buche, in almeno una buca finiranno due o più piccioni. Detto in modo formale: non esistono applicazioni iniettive da un insieme di n+1 elementi in uno di n elementi.

Conseguenze sulla validazione

Le conseguenze sulla validazione possono essere che l'impronta digitale venga manomessa in modo da continuare a fornire la stessa impronta di Hash a fronte delle modifiche; è il caso questo dell'attacco alla seconda pre-immagine con il quale l’attaccante cerca di modificare un file F in F’ facendo in modo che F’ generi però la stessa impronta digitale di F.

Crittografia simmetrica e distribuzione delle chiavi

L'aspetto più critico delle tecniche di crittografia simmetrica è proteggere la segretezza della chiave utilizzata per cifrare e decifrare i messaggi, che deve essere nota solo ai legittimi mittente e destinatario; se un attaccante riuscisse ad entrare in possesso di tale chiave, potrebbe con estrema facilità accedere al contenuto delle comunicazioni riservate.

Key Distribution Center (KDC)

Uno dei metodi maggiormente utilizzati per la distribuzione sicura delle chiavi di cifratura simmetriche ai legittimi interlocutori è il KDC – Key Distribution Center (in italiano Centro di Distribuzione della Chiavi). Si tratta di un metodo di distribuzione in grado di garantire che la chiave venga:

  • Condivisa da mittente e destinatario in modo sicuro;
  • Modificata ad ogni sessione di comunicazione.

Il KDC utilizza un server esterno in grado di comunicare in modo sicuro con ognuno degli utenti registrati al servizio usando una chiave simmetrica condivisa tra KDC e i singoli utenti (diversa per ognuno di essi); quando un utente ha bisogno di instaurare una connessione cifrata con un altro utente, richiede al KDC una chiave di cifratura simmetrica temporanea da usare solo per quella sessione. Siano allora:

  • KDC-A: chiave simmetrica condivisa tra il KDC e l'utente A
  • KDC-B: chiave simmetrica condivisa tra il KDC e l'utente B
  • KSim: chiave simmetrica temporanea da usare nella comunicazione tra gli utenti A e B

Logica di funzionamento del KDC

Descrivere la logica di funzionamento alla base del KDC, con particolare riferimento a come tale metodo riesce a far pervenire in modo sicuro agli utenti A e B la chiave KSim che gli utenti useranno per cifrare la loro comunicazione.

Il Key Distribution Center è un ente esterno di fiducia preposto alla distribuzione di chiavi di cifratura; il motivo per cui si ricorre ad un ente esterno è per ridurre i rischi dovuti allo scambio delle chiavi tra due utenti. Mettiamo il caso che l'utente A e l'utente B comunicassero già usando una chiave simmetrica K, e per condividere una chiave nuova K’ l'utente A inviasse semplicemente all'utente B la chiave K’ cifrandola con la chiave K; in questo modo solo l'utente B potrebbe decifrare il messaggio e accedere quindi a K’. Il problema di questo metodo è che se un attaccante in qualche modo riuscisse ad entrare in possesso di una delle chiavi utilizzate da A e B, sarebbe poi in grado di accedere facilmente a tutte le chiavi di cifratura successive e quindi al contenuto di tutte le comunicazioni segrete da quel momento in poi.

Essendo il KDC un ente esterno, spesso costituito da server singoli, che offre un servizio di distribuzione sicura di chiavi simmetriche agli utenti registrati. Esso comunica con ognuno dei suoi singoli utenti usando una chiave simmetrica connessa solamente tra lui e loro, tale chiave è diversa per ognuno degli utenti ed è uguale solo quando un ipotetico utente A deve instaurare una connessione cifrata con un utente B. Infatti, in tal caso l'utente A che richiede al KDC una chiave simmetrica monouso specifica per quella sessione, riceverà la stessa chiave simmetrica K che riceverà B. La chiave in questione essendo distribuita attraverso il collegamento cifrato che il KDC ha con ognuno di loro sarà accessibile dunque solo ad A e B.

Anteprima
Vedrai una selezione di 5 pagine su 18
Cybercrime - Domande Aperte Pag. 1 Cybercrime - Domande Aperte Pag. 2
Anteprima di 5 pagg. su 18.
Scarica il documento per vederlo tutto.
Cybercrime - Domande Aperte Pag. 6
Anteprima di 5 pagg. su 18.
Scarica il documento per vederlo tutto.
Cybercrime - Domande Aperte Pag. 11
Anteprima di 5 pagg. su 18.
Scarica il documento per vederlo tutto.
Cybercrime - Domande Aperte Pag. 16
1 su 18
D/illustrazione/soddisfatti o rimborsati
Acquista con carta o PayPal
Scarica i documenti tutte le volte che vuoi
Dettagli
SSD
Scienze matematiche e informatiche INF/01 Informatica

I contenuti di questa pagina costituiscono rielaborazioni personali del Publisher stefano.b22 di informazioni apprese con la frequenza delle lezioni di Cybercrime e studio autonomo di eventuali libri di riferimento in preparazione dell'esame finale o della tesi. Non devono intendersi come materiale ufficiale dell'università Università telematica "e-Campus" di Novedrate (CO) o del prof Comi Alessandro.
Appunti correlati Invia appunti e guadagna

Domande e risposte

Hai bisogno di aiuto?
Chiedi alla community