DIGITAL INTELLIGENCE

Cybercrime: scenari, contrasto e contromisure

Il corso è aperto a tutti si consigliano i seguenti pre-requisiti:

conoscenze di base di informatica
conoscenze giuridiche di base

Panoramica

Il corso è destinato agli operatori delle FF.OO. e FF.AA. ed ha l’obiettivo di fornire gli strumenti culturali base necessari all’operatore nell’identificazioni e gestione delle evidenze digitali nei diversi scenari di interesse della Polizia Giudiziaria.
Il corso si svolgerà̀ in presenza ed onLine.

MODULO GENERALE

Effetti del Cybercrime su target aziendali: dalla pubblicazione dei dati oggetto di furto di proprietà intellettuale alla cassa integrazione
Quando si pensa al cybercrime, si tende a ragionare su un piano puramente “virtuale”, a volte tralasciando il fatto che ciò che avviene nello spazio cibernetico ha risvolti estremamente pratici; dipendenti in cassa integrazione, fermo dei macchinari e furti di ingenti quantità di denaro sono frequentemente legati a cyberattacchi. In tale ottica, l’intervento si pone l’obbiettivo di portare alcuni esempi reali di conseguenze subìte da enti ed aziende vittima di attacchi informatici.

I più comuni attacchi informatici: Phishing, Malware, BEC, Ransomware, Social Engineering, CEO Fraud
La conoscenza dei più comuni attacchi informatici è la prima barriera difensiva per un utente o un’azienda. La percezione del pericolo informatico è spesso molto bassa, in quanto la fiducia istintiva, che l’utente ripone verso il mezzo informatico, viene strumentalizzata dai cyber attaccanti per veicolare ogni tipo di minaccia. L’intervento ha lo scopo di dare un quadro generale dei più comuni cyber-attacchi e del perché è necessario “non sentirsi mai al sicuro”.

La situazione in Italia: il rapporto CLUSIT 2021
Cosa sta succedendo? Quali sono le categorie di enti ed aziende più a rischio? Quali sono i trend delle tipologie di attacco informatico? L’intervento consentirà di fotografare la situazione dell’anno 2020 per comprendere gli andamenti delle varie tipologie di crimini informatici.

La convenzione di Budapest: la risposta normativa al crimine informatico
Con Legge 48/2008 è stata ratificata in Italia la Convenzione sulla criminalità informatica, sottoscritta a Budapest il 23 novembre 2001, modificando il codice penale ed il codice di procedura penale. La ratifica ha introdotto nuovi reati, i c.d. reati informatici (da distinguere dai reati commessi con il mezzo informatico), ma ha anche introdotto nuovi mezzi di ricerca della prova mettendo particolare enfasi sulla salvaguardia del dato informatico a fini probatori. L’intervento è volto a fornire un quadro generale della Convenzione, descrivendo i nuovi reati legati al cybercrime e le modalità per l’acquisizione ed il trattamento dei dati informatici nel rispetto delle best-practices di settore.

La sottrazione dei dati aziendali: conseguenze e tutele
Il costante incremento dei data breach, delle esfiltrazioni dei dati e della fenomenologia dei c.d. “dipendenti infedeli”, costringe le aziende, spesso, a rispondere in modo frenetico e disordinato spaziando tra adempimenti GDPR, esigenze di ripristino dei dati e dell’operatività ed esigenza di salvaguardia delle evidenze dell’attacco. L’intervento si prefigge di delineare le tutele normative previste dall’ordinamento per le vittime di data breach, sia di descrivere i principali adempimenti a cui l’azienda deve porre attenzione.

La denuncia alle autorità: elementi fondamentali da raccogliere e presentare alle autorità preposte al contrasto del crimine informatico per consentirne l’immediata attivazione.
La fase della denuncia alle autorità è spesso un momento cruciale, in quanto la presenza di elementi specifici come file di log, email in formato originale e informazioni dettagliate sull’incidente consente alla polizia giudiziaria di attivare l’indagine in modo veloce e proficuo. L’intervento ha lo scopo di consentire agli operatori di p.g. di porre le giuste domande alle aziende e ai team di risposta agli incidenti informatici affinché raccolgano e presentino le evidenze in modo utile ed efficace.

Difendersi dagli attacchi informatici: il fattore umano
Le statistiche riportano che il fattore umano è all’origine della maggior parte degli attacchi informatici. Click su allegati malevoli di posta elettronica, smishing, social engineering sono alcune tra le tecniche più comuni usate dagli criminal-hacker per introdursi nei sistemi e sferrare ogni sorta di attacco. L’intervento si prefigge di mostrare l’importanza delle campagne di awareness degli utenti, anche mediante l’uso di tool appositi.

MODULO TECNICO

Difendersi dagli attacchi informatici: il fattore tecnico
Il crescente diffondersi dei dispositivi connessi al web, la diffusione dell’Internet of Things ed il 5G stanno cambiando radicalmente le nostre vite e la nostra quotidianità, anche quella lavorativa. Industrial IoT, smart working e digitalizzazione dei processi produttivi hanno velocemente ampliato il perimetro informatico aziendale, rendendo necessaria l’adozione di tecnologie di difesa predittiva, oltre a quelle classiche di difesa perimetrale. L’intervento ha lo scopo di delineare tecniche e tecnologie per la difesa del perimetro aziendale informatico, con particolare riferimento a quelle che implementano sistemi di gestione dei log , con un focus attento sulla cyber threat intelligence.

Incident response
Dopo aver adeguatamente inventariato e protetto gli asset aziendali, è necessario poter identificare gli incidenti, stabilirne la gravità, ricostruirne le modalità di attacco e porre in essere le azioni di mitigazione. L’intervento si prefigge di delineare le fasi di risposta ad un incidente, con orientamento alla lesson learned , che consentirà all’azienda di evitare di incorrere, in futuro, nel medesimo incidente.

Malware analysis
Se l’attacco è stato sferrato tramite malware, la malware analysis consente non soltanto di comprendere in profondità le modalità dell’attacco e le sue conseguenze, ma consentirà all’azienda di rimuovere le eventuali backdoor dai sistemi e di raccogliere gli elementi utili da fornire alle autorità competenti. L’intervento ha lo scopo di delineare le principali fasi della malware analysis, e di farne comprendere l’importanza ed il valore strategico.

Digital Forensic
A seguito del recepimento della convenzione di Budapest – Legge 48/2008 la digital forensic anche nel nostro ordinamento ha assunto un ruolo fondamentale che non può, anche a seguito dei più recenti orientamenti giurisprudenziali, non essere conosciuto, considerato ed applicato. Non solo il codice di procedura ha introdotto modifiche sostanziali nelle indagini, ma oggi l’introduzione nel processo dell’elemento digitale richiede il rispetto di principi scientifici e giuridici ormai imprescindibili. Vedremo quali siano i requisiti fondamentali della digital evidence e quali elementi risultino essenziali per assicurare le caratteristiche essenziali capaci di resistere nel processo alle principali contestazioni. Sul piano pratico cercheremo di comprendere come sulla scena del crimine (ormai non solo informatico) occorre porre particolare attenzione nella gestione dei reperti onde non inquinare irreparabilmente prove che potrebbero risultare “strategiche” nel processo. Ultimo ma non ultimo alcune attività pratiche accompagnate dalla pluriennale esperienze dei relatori evidenzieranno come l’operatore sia oggi sempre più chiamato a scelte tecniche operative che pur non apparendo “conformi” alle best practices internazionali, sono oggi le uniche capaci (unitamente ad altre attività ed elementi) di cristallizzare elementi che viceversa sono destinati ad essere dispersi o la cui acquisizione nel rispetto delle principali tecniche di digital forensic risultano difficili se non impossibili.

Digital Intelligence
Ha l’obbiettivo di sensibilizzare l’operatore sugli aspetti tecnici, giuridici e pratici che attengono all’OSINT quale strumento per la ricerca di indizi e fonti di prova capaci di poter essere utilizzati in un processo civile, amministrativo e penale. L’elemento raccolto nel processo OSINT al pari della digital evidence deve presentare quelle caratteristiche di genuinità, affidabilità, integrità, inalterbilità ed incorrubilità, tali da renderla quanto più “resistente” nel processo. Verrà quindi evidenziato nel corso come oggi la Digital Intelligence sia ormai parte di ogni indagine non limitandosi all’utilizzo dell’OSINT ma anche a l’intera raccolta “digitale” che nel corso delle indagini viene esaminata dagli investigatori. Il discente verrà guidato in una serie di considerazioni e riflessioni che faranno comprendere come talvolta anche un dato insignificante se correttamente valutato, considerato e raffrontato può assurgere a “prova regina” “pistola fumante” di molte indagini.

PROGRAMMA DEL CORSO

Svolgimento del corso in 12 mezze giornate

Principi di Digital forensic

• Elementi di informatica strategici per Digital Forensics
• La Perquisizione Informatica: normativa di riferimento, orientamenti giurisprudenziali (accertamenti urgenti 354, accertamenti ripetibili e irripetibili 359-360):
• Analisi del contesto investigativo
• prima gestione del reperto informatico
• repertamento e chain of custody.

Indagini sul Traffico Telefonico

• Le Infrastrutture
• Tabulati Voce e Dati
• Acquisizione ed Analisi
• Software

Fondamenti di Cyber Security

• Infrastrutture Informatiche
• Sistemi
• Virtualizzazioni
• Cloud
• Intro – La rete internet ed i Big data
• Rischi e
• Principi di Cyber Security

Principi di Digital Intelligence

• elementi di intelligence;
• tipologie e fonti;
• reputation, affidabilità, diritto all’oblio, privacy;
• Intelligence e catena di custodia.
• Intelligence e prova legale.

Principi di Osint

• elementi di OSINT;
• OSInt and Law Enforcement
• fonti e strumenti;
• Riconoscimento di oggetti e facciale con SO Open Source Linux
• Social network ed social network intelligence
• Acquisizione forense di prove da web ottenute tramite OSInt
• Salvataggio chat e pagine Social Network
• metodologia operativa.
• Introduzione a reti anonime, dark e deep web
• Information Gathering
• Validazione dei dati da fonti aperte con dati da Archivi di Stato
• Modalità pratiche: sicurezza, anonimato, privacy

Dalla teoria alla pratica 

• Dalla Digital forensics all’Intelligence

Dimostrazione di caso pratico