Telecommunication Forensics e analisi dei tabulati
A dicembre 2018 veniamo contattati in qualità di esperti di Telecommunication Forensics per analizzare un caso di omicidio. Il fatto criminoso è avvenuto ad agosto 2018, quindi non molto tempo prima. Trattandosi di verifiche da eseguire a posteriori, cioè riguardanti un evento già accaduto, una delle prime azioni che eseguiamo è la richiesta dei tabulati ai Gestori Telefonici di riferimento per le utenze afferenti ai soggetti di interesse investigativo; in particolare chiediamo che ci forniscano, per il periodo di interesse da luglio 2018 a settembre 2018, tutto il traffico generato dalle utenze in termini di:
- Traffico telefonico;
- Traffico telematico;
- Chiamate senza risposta.
La richiesta, posta in questo modo, è corretta? No. I Gestori di Telefonia sono obbligati per legge a conservare i dati di traffico afferenti ai propri utenti, per finalità di accertamento e repressione dei reati. Per le chiamate senza risposta il lasso temporale dell'obbligo è però di 30 giorni a partire dalla data in cui è stato generato il traffico; nel caso specifico quindi a dicembre 2018 non possiamo pretendere che i Gestori ci forniscano le chiamate senza risposta generate tra luglio e settembre 2018.
Principio di Kerckhoffs
Anche le più moderne tecniche di crittografia si basano su un principio teorizzato da Auguste Kerckhoffs alla fine del XIX secolo. Cosa afferma il principio di Kerckhoffs? Il principio di Kerckhoffs afferma che la sicurezza di un sistema crittografico non deve risiedere nella segretezza del funzionamento dell’algoritmo di cifratura, ma esclusivamente nella chiave di cifratura.
Malware e ransomware
Attualmente il malware (malicious software, cioè software malevolo) più temuto a livello mondiale è probabilmente il cosiddetto ransomware, di cosa si tratta e come agisce? Il ransomware prende "in ostaggio" i dispositivi informatici delle vittime, bloccandoli e chiedendo un riscatto (solitamente sotto forma di bitcoin) per renderli nuovamente utilizzabili.
Memorie flash
Attualmente tra le tipologie di supporto di memoria più largamente utilizzate ci sono le cosiddette memorie flash, di che tipo di supporto si tratta? Si tratta di supporti di memoria non volatili costituiti da materiale semiconduttore strutturato in griglie di righe e colonne che con le loro intersezioni formano delle celle, nei quali i dati digitali vengono memorizzati intrappolando gli elettroni all'interno delle celle che costituiscono le griglie.
Analisi di Telecommunication Forensics
Con riferimento alle fasi precedenti, contigue e successive ad un evento criminoso, le analisi di Telecommunication Forensics eseguite sui tabulati hanno l’obiettivo di ricostruire:
- Tra chi sono avvenuti i contatti telefonici;
- Quando tali contatti sono stati generati;
- Dove si trovavano i soggetti al momento degli eventi di traffico.
Si tratta di informazioni direttamente ed immediatamente ricavabili in maniera certa dai tabulati? Il "quando" è l’unica informazione ricavabile direttamente, immediatamente ed in modo certo dal tabulato, poiché esso contiene le indicazioni temporali relative alla data/ora di generazione dei vari eventi di traffico. Per ricostruire tra "chi" è avvenuto il traffico e "dove" si trovavano i soggetti occorre invece elaborare in modo scientifico i dati di traffico allo scopo di ricavarne quante più indicazioni possibili.
Codici IMSI e IMEI
Due codici di primaria importanza nell'ambito delle analisi di Telecommunication Forensics sono:
- Codice IMSI;
- Codice IMEI.
Cosa rappresentano i suddetti codici e quale specifica caratteristica di interesse investigativo li differenzia profondamente? Il codice IMEI identifica l'apparecchio telefonico e non è associato in alcun modo ai dati anagrafici dell'utente che usa tale dispositivo. Il codice IMSI identifica la SIM e risulta univocamente associato all'utente intestatario della SIM.
Attacchi di social engineering
Due tra le tecniche più diffuse di attacco basato su Social Engineering sono il phishing e il baiting. Entrambe le tecniche utilizzano come veicolo principale di attacco l'invio di email ingannevoli alle vittime, ma c'è una differenza tra le due, quale? Il phishing mira ad ingannare le vittime tramite messaggi dai toni perentori ed allarmistici (ad esempio malfunzionamenti o controlli di sicurezza), apparentemente provenienti da istituti affidabili, che chiedono loro l’inserimento dei propri dati riservati. Il baiting mira invece ad ingannare le vittime mediante messaggi che creano in loro un desiderio (ad esempio forti sconti in un negozio), per soddisfare il quale la vittima è portata a compiere delle azioni a vantaggio dell’attaccante.
Crittoanalisi
È vero che l'obiettivo della Crittoanalisi è ricostruire i messaggi segreti che sono stati cifrati mediante tecniche crittografiche? Si
Binder e malware
Esistono diverse tecniche messe a punto dai cyber-criminali per impedire che i malware vengano rilevati dai software antimalware. Quale di queste tecniche prevede l'occultamento del file eseguibile del malware accorpandolo, senza preventiva compressione, in un altro file eseguibile innocuo in modo da generare così un unico file contenente sia codice innocuo che codice maligno di difficile rilevazione per gli antimalware? I Binders.
Antimalware e firme
Gli antimalware (spesso chiamati impropriamente antivirus) sono i software da usare per proteggere i dispositivi informatici dai malware (cioè dai programmi maligni). Numerosi antimalware agiscono basandosi sulle cosiddette ‘firme’ dei malware; qual è il principio di funzionamento su cui si fonda questa tecnica? L’antimalware contiene una lista delle firme di tutti i malware che conosce, cioè delle caratteristiche che contraddistinguono i vari tipi di malware. L'antimalware esegue quindi una comparazione dei programmi da controllare con tutte le firme del suo archivio, e se trova una corrispondenza capisce che si tratta di un malware.
Hard disk magnetici
Gli Hard Disk magnetici sono ancora oggi tra i supporti di memoria di massa più diffusi. Alcune possibili operazioni da eseguire per cancellare i dati digitali memorizzati all'interno degli Hard Disk magnetici sono:
- Eliminazione dei file mediante la funzione di cancellazione;
- Riscrittura dell'hard disk;
- Formattazione di alto livello dell'hard disk.
Quale tra le suddette tecniche è la più efficace per cancellare i dati da un hard disk magnetico? Il modo più sicuro per cancellare i dati da un hard disk magnetico è la riscrittura dell'hard disk. Occorre fare attenzione al fatto che, anche se sembra strano, anche i dati sovrascritti non vengono del tutto cancellati in quanto il disco magnetico mantiene una sorta di "memoria" dei bit cancellati e quindi è possibile recuperarli. Per questo motivo esistono appositi programmi che eseguono numerose riscritture consecutive dei dati.
Porte logiche e crittografia
Gli strumenti elementari mediante i quali i sistemi informatici elaborano le informazioni sono le cosiddette Porte Logiche che, sulla base dei valori in ingresso, forniscono un determinato valore in uscita. Esistono diverse tipologie di Porta Logica, ognuna in grado di eseguire una specifica operazione logica. Di fondamentale importanza nell'ambito della Crittografia è l'operazione eseguita dalla Porta Logica XOR, in cosa consiste? Se i valori in ingresso sono uguali (0 e 0 oppure 1 e 1), la Porta Logica XOR restituisce valore 0 in uscita. Se i valori in ingresso sono diversi (0 e 1 oppure 1 e 0), la Porta Logica XOR restituisce valore 1 in uscita.
Beni informatici
I beni informatici sono le entità, materiali o immateriali, contenute in un Sistema informatico, che hanno un valore e vanno quindi protette dalle possibili minacce. Cosa si intende per beni informatici primari e secondari? I beni informatici primari sono i beni materiali (ad esempio risorse hardware) o immateriali (ad esempio documenti digitali riservati) che di per sé hanno un valore. I beni informatici secondari sono invece quelli che di per sé non hanno valore, ma permettono all'attaccante che ne entra in possesso di accedere ai beni primari (ad esempio i codici dispositivi per mezzo dei quali è possibile confermare le operazioni bancarie sulle piattaforme di Home Banking).
Cookies e cross-site scripting
I cookies sono dei file di piccole dimensioni che la maggior parte dei siti web, al momento della connessione, introduce nei browser di navigazione installati nei dispositivi di chi naviga in Rete; servono a raccogliere informazioni anche personali sugli utenti, da fornire al sito alla successiva connessione in modo da permettere al sito stesso di ‘ricordare’ di che utente si tratta, personalizzare le pagine e migliorare quindi l’esperienza di navigazione dell’utente su quel sito. Uno degli attacchi specifici rivolti al mondo di Internet e dei siti web è il cross-site scripting, in cosa consiste? Il cross-site scripting mira a trafugare i cookies dai dispositivi degli utenti, per carpirne informazioni personali e permettere agli attaccanti di accedere ai siti web usando le credenziali delle vittime, e quindi sostituendosi ad esse.
Certificati digitali
I cosiddetti Certificati Digitali (rilasciati da appositi enti certificatori chiamati Certification Authority) servono a garantire che una determinata Firma Digitale sia autentica, che sia cioè riconducibile ad un soggetto (persona fisica ma anche sito web o software) la cui identità è certa. A questo scopo il Certificato Digitale contiene, e garantisce, l'associazione tra i soggetti e le loro chiavi pubbliche di cifratura Asimmetrica, con indicazione della scadenza temporale di tali chiavi.
Sistemi di autenticazione a Sfida
I cosiddetti Sistemi di autenticazione a Sfida sono stati ideati per evitare che, quando un utente richiede di accedere ad un sistema informatico, la password venga inviata dal dispositivo dell'utente al sistema informatico, col rischio che nel corso della trasmissione venga intercettata da eventuali attaccanti. Esistono due tipologie di autenticazione a Sfida:
- Autenticazione a Sfida Simmetrica
- Autenticazione a Sfida Asimmetrica
In cosa si differenziano? Con entrambi i sistemi di autenticazione, sia a Sfida Simmetrica che a Sfida Asimmetrica, la password non viene mai trasmessa tra il dispositivo dell'utente ed il sistema informatico al quale vuole accedere. La differenza sta nel fatto che, mentre l'autenticazione a Sfida Simmetrica richiede di memorizzare la password nel sistema informatico (col rischio che venga trafugata da eventuali attaccanti), l'utilizzo dell'autenticazione a Sfida Asimmetrica permette di non memorizzare la password neanche nel sistema informatico; con l'autenticazione a Sfida Asimmetrica la password è cioè nota solo all'utente.
Sistemi operativi mobili
I dispositivi mobili, come smartphone e tablet, posseggono le stesse caratteristiche hardware e software dei personal computer, in particolare a livello software sono provvisti di appositi Sistemi Operativi dedicati. Esistono diversi sistemi operativi per dispositivi mobili, quelli largamente più diffusi sono Android (il sistema operativo mobile di Google) e iOS (il sistema operativo mobile di Apple). Qual è la caratteristica principale che li differenzia dal punto di vista della sensibilità agli attacchi informatici? iOS è un sistema operativo chiuso sul quale possono essere eseguite esclusivamente le App autorizzate Apple scaricabili solo da App Store; Android è invece un sistema operativo aperto, compatibile con App sviluppate da terze parti, non necessariamente scaricate dal Google Play Store.
Sicurezza dei sistemi informatici
I diversi attacchi volti a compromettere la sicurezza di un Sistema informatico possono essere classificati sulla base di quale proprietà del Sistema mirano a violare. Quale obiettivo ha il sabotaggio? Il sabotaggio mira a degradare o interrompere del tutto la disponibilità del Sistema informatico, in modo che esso non possa offrire un regolare funzionamento agli utenti autorizzati ad accedervi.
Firewall e Security Policy
I Firewall filtrano il flusso di dati in ingresso ed uscita dalla Rete da proteggere sulla base di una serie di regole opportunamente impostate; l'insieme delle regole costituisce la cosiddetta Security Policy, che prevede filtri sul traffico con restrizioni via via crescenti al crescere del livello di sicurezza richiesto per le varie zone. La Security Policy può essere impostata decidendo se indicare in modo esplicito:
- Ciò che deve essere permesso: viene cioè stabilito nel dettaglio tutto ciò che il Firewall deve permettere, tutto il resto risulta quindi vietato;
- Ciò che deve essere vietato: viene cioè stabilito nel dettaglio tutto ciò che il Firewall non deve permettere, tutto il resto risulta quindi permesso.
Che differenza c'è tra i due approcci? L'approccio che prevede di stabilire ciò che è permesso risulta più sicuro ma, se la Security Policy viene configurata in modo non corretto, sottopone gli utenti al rischio di non poter utilizzare dei servizi di cui necessitano.
Location Area e CGI
I Gestori di Telefonia Radiomobile installano sul territorio una serie di impianti di ricetrasmissione (BTS), ognuno dei quali con il proprio segnale offre copertura ad una determinata area geografica, chiamata cella telefonica. In questo contesto cosa sono le cosiddette Location Area? Le Location Area sono zone territoriali contenenti più celle telefoniche, che servono al Gestore per tracciare in tempo reale la posizione di massima dei vari cellulari che non hanno comunicazioni attive; in questo modo le chiamate dirette verso una determinata utenza vengono instradate solo nella Location Area in cui tale utenza risulta posizionata.
I Gestori di Telefonia Radiomobile garantiscono la copertura del territorio installando una serie di BTS, apparati ricetrasmittenti che coprono una determinata porzione geografica di dimensione limitata, la cosiddetta cella telefonica. Le celle (e quindi le BTS) in cui viene suddiviso il territorio sono associate al codice CGI (Cell Global Identity), cosa rappresenta questo codice? Il CGI è un codice univoco che identifica le singole celle, non esistono due celle con lo stesso CGI neanche di gestori telefonici diversi.
Virus e worm
I malware (software maligni) sono la tecnica di attacco informatico maggiormente utilizzata dai cyber-criminali. Tra i malware più noti e diffusi ci sono i virus e i worm. Entrambi hanno l’obiettivo di infettare rapidamente il numero più elevato possibile di dispositivi informatici, ma c'è una caratteristica che differenzia il loro modo di diffondersi, quale? Il virus necessita di un software che lo ospiti per introdursi nei dispositivi da infettare, si diffonde annidandosi all'interno di altri software. Il worm costituisce un software a sé stante e per propagarsi non ha quindi bisogno di annidarsi all'interno di altri software.
Ciclo di vita dei malware
I malware (malicious software, ossia codice maligno) sono software realizzati con il preciso obiettivo di danneggiare o alterare un sistema informatico o i dati in esso contenuti. Analogamente a quanto accade per le strutture biologiche, tutti i tipi di malware anche se molto diversi tra loro hanno in comune un unico modello basato su specifiche fasi che il codice maligno percorre nel proprio ciclo di vita, dalla creazione (progettazione del software maligno) alla eliminazione (il software maligno viene individuato e messo nelle condizioni di non nuocere). Una delle fasi del ciclo di vita dei malware è la cosiddetta quiescenza, in cosa consiste? La quiescenza è la fase in cui il malware, dopo aver infettato il dispositivo informatico, resta silente ma attivo all'interno del dispositivo stesso, in attesa che si verifichino le condizioni favorevoli per entrare in azione.
Autenticazione biometrica
I sistemi di autenticazione Biometrici si basano su caratteristiche personali specifiche dell’utente, fisiologiche (ad esempio le impronte digitali) o comportamentali (ad esempio la calligrafia). I dati biometrici degli utenti autorizzati vengono memorizzati nei database dei sistemi informatici, affinché si possa procedere a confrontarli con i dati biometrici dei soggetti che richiedono di accedere, e verificare quindi la loro identità. Aspetto di primaria importanza, sia dal punto di vista della sicurezza informatica che a livello di privacy, è la protezione dei file in cui sono memorizzati i dati biometrici; una possibile tecnica di protezione potrebbe essere applicare la funzione di Hash ai dati biometrici e memorizzare nei sistemi le impronte di Hash invece dei dati biometrici in chiaro? In tal modo, grazie alla non invertibilità delle funzioni di Hash, un attaccante che dovesse riuscire a rubare i file non avrebbe la possibilità di risalire dalle impronte di Hash ai dati biometrici originali. Non è possibile in quanto una delle proprietà fondamentali delle funzioni di Hash è che applicando una stessa funzione a due file leggermente diversi si ottengono risultati completamente diversi. A piccole variazioni dell’impronta biometrica corrisponderebbero quindi enormi variazioni nel risultato della funzione di Hash, cosa che impedirebbe l'autenticazione mediante confronto tra l’impronta inviata dall'utente e il dato memorizzato sul sistema.
Onde elettromagnetiche e telecomunicazioni radiomobili
I sistemi di telecomunicazioni radiomobili riescono a far comunicare utenti distanti tra loro e in movimento sovrapponendo le informazioni da trasmettere ad onde elettromagnetiche opportunamente generate e propagate. Quali sono le caratteristiche principali con le quali le onde elettromagnetiche si propagano nello spazio? Quando propagandosi nello spazio l'onda elettromagnetica passa da un mezzo ad un altro (ad esempio dal vuoto all'atmosfera terrestre o anche dall'aria all'acqua) o incontra ostacoli (ad esempio montagne o edifici), è soggetta a fenomeni come riflessione, rifrazione, diffrazione ed interferenza che ne modificano direzione e velocità.
Scarica il documento per vederlo tutto.
Scarica il documento per vederlo tutto.
Scarica il documento per vederlo tutto.
Scarica il documento per vederlo tutto.