Paolo Reale: ICT & Digital Forensics Consulting

ICT & Digital Forensics Consulting

Blog&Articoli

Garante Privacy: vietati i controlli indiscriminati su e-mail e smartphone aziendali

Pubblicato il: 17 Febbraio 2017 da Paolo Reale
0

Con il provvedimento n. 547 del 22.12.2016 il Garante per la protezione dei dati personali, nell’ambito del reclamo posto da un ex-dipendente nei confronti dell’azienda per la quale aveva lavorato, ha concluso che il datore di lavoro non può accedere in maniera indiscriminata alla posta elettronica o ai dati personali contenuti negli smartphone in dotazione al personale.

Si tratta a tutti gli effetti di un comportamento illecito, in quanto la società può solo conservarli per la tutela dei diritti in sede giudiziaria: il datore di lavoro, “pur avendo la facoltà di verificare l’esatto adempimento della prestazione professionale ed il corretto utilizzo degli strumenti di lavoro da parte dei dipendenti, deve in ogni caso salvaguardarne la libertà e la dignità, attenendosi ai limiti previsti dalla normativa“. La disciplina di settore in materia di controlli a distanza, inoltre, non consente di effettuare  attività idonee a realizzare, anche indirettamente, il controllo massivo, prolungato e indiscriminato dell’attività del lavoratore.

I lavoratori, poi, devono essere sempre informati in modo chiaro e dettagliato sulle modalità di utilizzo degli strumenti aziendali ed eventuali verifiche.

Nel caso analizzato, l’Autorità ha potuto verificare l’esistenza di numerose (e gravi) irregolarità: la mancata informazione ai lavoratori sulle modalità e finalità di utilizzo degli strumenti elettronici in dotazione, sul trattamento dei dati, la configurazione del sistema di posta elettronica in modo da conservare copia di tutta la corrispondenza per ben dieci anni (sic!), e addirittura l’esistenza di una procedura che consentiva alla società di accedere al contenuto dei messaggi che, pur in linea con la policy aziendale, potevano avere anche carattere privato.

Inquietante anche il fatto che l’istruttoria abbia accertato che  il titolare poteva “accedere da remoto – non solo per attività di manutenzione – alle informazioni contenute negli smartphone in dotazione ai dipendenti (anche privatissime e non attinenti allo svolgimento dell’attività lavorativa), di copiarle o cancellarle, di comunicarle a terzi violando i principi di liceità, necessità, pertinenza e non eccedenza del trattamento“.

Il provvedimento è consultabile qui.

Blog, normative, notizie, privacy

Sicurezza dei dispositivi digitali e “backdoor”

Pubblicato il: 11 Agosto 2016 da Paolo Reale
0

cyber-lockSe ne è parlato lungamente in occasione dell’indagine sull’iphone dell’attentatore di San Bernardino (che l’anno scorso attaccò un centro disabili in California uccidendo 14 persone e ferendone altre 23), ovvero della necessità di poter accedere ai contenuti dei cellulari bloccati da meccanismi crittografici per finalità investigative. Si tratta della disputa “FBI-Apple”: tra le varie opzioni richieste ad Apple c’era anche la creazione di una “backdoor” (una sorta di “porta di servizio”), al fine di consentire alle forze dell’ordine l’accesso al dispositivo in casi come questo.

Quanto accaduto a Microsoft in questo periodo probabilmente dimostra la validità delle argomentazioni di Apple, che sosteneva come questo approccio possa creare rischi di sicurezza per tutti i clienti, nel caso la backdoor diventi di dominio pubblico. Anche perché non esiste una backdoor che rimanga nota solo al suo creatore…

Come spiega The Register, Microsoft ha involontariamente “divulgato” le “chiavi segrete” (in realtà si tratta di policy, ma concettualmente il significato non cambia) che possono permettere di sbloccare i dispositivi protetti da UEFI (Unified Extensible Firmware Interface): sinteticamente, “Secure Boot” è una funzione di sicurezza che protegge il dispositivo da alcuni tipi di malware, e limita l’esecuzione di qualsiasi sistema operativo non Microsoft sul dispositivo.

La possibilità di “aggirare” il Secure Boot era stata pensata per le attività degli sviluppatori e dei tester, e adesso diventa disponibile “a tutti”: con le “chiavi”scoperte da due ricercatori, queste possono essere verosimilmente utilizzate anche per installare sistemi operativi non Windows sui dispositivi protetti da Secure Boot, oppure per sbloccare dispositivi non accessibili in ambito investigativo.

Secondo i ricercatori che hanno scoperto la “falla”, sarà anche molto difficile per Microsoft porre rimedio a questo problema, sebbene stia freneticamente cercando con le ultime patch di correre ai ripari. Oltretutto, la “chiave” è valida per tutti i dispositivi, tablet o cellulari…

A questo punto, l’ipotesi di una “backdoor” come meccanismo per accedere ai dispositivi bloccati è ancora un’opzione?
Blog, mobile forensics, notizie, privacy, sicurezza informatica, tecnologia

Processo di Garlasco – Sentenza Cassazione bis

Pubblicato il: 21 Giugno 2016 da Paolo Reale
0

E’ stata pubblicata la sentenza 25799/16 della Quinta Sezione della Suprema Corte di Cassazione, relativa al procedimento contro Alberto Stasi, per l’omicidio di Chiara Poggi, avvenuto il 13 agosto 2007 a Garlasco.

La sentenza, che ha confermato definitivamente la condanna di Alberto Stasi a 16 anni di carcere quale responsabile dell’omicidio, è arrivata dopo un iter nel quale:

  • l’imputato era stato assolto in primo grado dal GUP di Vigevano (2009), secondo l’art. 530 secondo comma (“manca, è insufficiente o è contraddittoria la prova che il fatto sussiste“),
  • era stata confermata l’assoluzione in secondo grado dalla Seconda Sezione della Corte d’Assise d’Appello di Milano (2011),
  • la Prima Sezione della Corte di Cassazione aveva annullato la sentenza con rinvio ad altra sezione della Corte d’Assise d’Appello di Milano (2013);
  • la Prima Sezione della Corte d’Assise d’Appello di Milano aveva emesso sentenza di condanna in riforma della sentenza del 2009 del GUP di Vigevano (2014).

Trattandosi di una sentenza pubblica, viene qui messa a disposizione, seguendo questo link.

 

Blog, notizie

Approccio statistico alle misure su foto

Pubblicato il: 5 Maggio 2016 da Paolo Reale
0

SeG_I_MMXVI_prima_220Spesso nei casi giudiziari c’è la necessità di valutare delle misure relative alle dimensioni di oggetti o persone inquadrate, tuttavia a volte – per diversi motivi – non è possibile applicare i metodi di elaborazione delle immagini tramite software, oppure le immagini disponibili non sono state pensate per questi scopi, ma rimangono comunque le uniche testimonianze utili.

Sull’ultimo numero della rivista “Sicurezza e Giustizia” è pubblicato un mio articolo dal titolo “MISURE DA UNA FOTO: UN APPROCCIO TECNICO- STATISTICO PER FORMULARE STIME AFFIDABILI“, in cui affronto il tema suggerendo una modalità di applicazione che può essere adottata in alcuni contesti.

L’utilità dell’approccio è che ha delle basi semplici, ma si appoggia solidamente sul metodo statistico, in modo da poter fornire delle stime ancorate a delle valutazioni di errore e la possibilità di confrontare i parametri individuati in modo da poter effettivamente fornire delle valutazioni di compatibilità o meno.

A volte infatti, specie nelle fotografie scattate per esigenze di repertamento sulle scene del crimine, si può trovare un riferimento metrico, il classico “righello”, posizionato magari anche non in modo ottimale, ma comunque utile a rappresentare un elemento di confronto. La necessità dell’approccio statistico nasce per due esigenze: innanzitutto consentire di comprendere il livello di errore intrinseco nella misura effettuata, con cui necessariamente confrontarsi per ogni ipotesi di compatibilità; consentire la verifica, magari da più immagini, della stessa misura, tramite i test statistici che consentono di arrivare a comprendere la ‘compatibilità’ (sono statisticamente coerenti tra loro) nel confronto tra le diverse misure rilevate, oppure la loro ‘non compatibilità’ (le differenti misure si devono verosimilmente attribuire a due diverse dimensioni reali).

Lo trovate a disposizione in pdf nella sezione download.

 

Blog, computer forensics, digital forensics, notizie

Linee guida per la sicurezza informatica nell’Internet of Things

Pubblicato il: 11 Febbraio 2016 da Paolo Reale
0

GSMA-logo-webL’arrembante avanzata dell’Internet delle Cose, o Internet of Things (IoT), attraverso la creazione di nuovi prodotti e servizi innovativi che fondano le loro funzionalità sulla connettività, rappresenta sicuramente una grande opportunità, sia per i produttori che per i consumatori. Contestualmente, l’enorme numero di dispositivi che si prevede saranno connessi nei prossimi anni, e la proporzionale mole di dati che verranno riversati in rete, crea già attenzione sulle implicazioni di questo approccio iper-connesso, e su certe tematiche anche una ragionevole preoccupazione, in particolare per quanto riguarda gli aspetti di privacy e security.

Del resto, sul fronte delle possibili frodi e degli attacchi informatici già ci sono indizi di particolare attenzione da parte degli aggressori, che su questo terreno hanno certamente un vantaggio in termini di ‘esperienza’, rispetto ai nuovi fornitori che si affacciano a questo mercato. Va però detto che le minacce e le potenziali soluzioni a queste, sono tipicamente molto simili, per questo l’industria delle telecomunicazioni -che ha una storia importante nella fornitura di prodotti e servizi sicuri ai clienti- costituisce un importante opportunità per assicurarsi che i nuovi servizi IoT possano arrivare sul mercato in modo sicuro.

Da qui l’impegno di GSMA, l’associazione GSM, attraverso proprio la partecipazione degli operatori di telecomunicazioni che ne fanno parte, a capitalizzare e valorizzare l’esperienza nel settore della sicurezza informatica a vantaggio dell’IoT.

GSMA ha quindi creato un insieme di documenti quali linee guida per la sicurezza nell’IoT (“Internet of Things Security Guidelines“): l’obiettivo dei documenti prodotti è quello di fornire, a chi sviluppa un servizio o un prodotto IoT, le corrette modalità di progettazione di un prodotto sicuro. Destinatari di queste linee guida sono gli IoT service provider, i produttori di device IoT, gli sviluppatori IoT, gli operatori di rete. Per questo le linee guida sono suddivise su più capitoli specializzati sui diversi temi.

Di seguito i link per approfondire:

 

 

 

Blog, notizie, privacy, sicurezza informatica

Progetto europeo EVIDENCE – Workshop a Roma

Pubblicato il: 9 Dicembre 2015 da Paolo Reale
0

logo evidenceNell’ambito del progetto europeo “Evidence”, “European Informatics Data Exchange – Framework for Courts and Evidence“, tra le diverse tematiche trattate, c’è anche quella di identificare i fattori che ostacolano, o facilitano, la cosiddetta “digitalizzazione della Giustizia”.

Su questi aspetti verte il workshop del 10 e 11 dicembre 2015, organizzato presso la Casa dell’Aviatore a Roma, con un panel di importanti relatori internazionali, incentrato proprio sulla condivisione di esperienze di esperti che operano in questo campo.

Io farò un intervento nella sessione pomeridiana, relativamente a “Obstacles and Open Issues in the Introduction of ICT and Electronic Evidence in Courts“.

Per chi è interessato a partecipare, e a conoscere meglio il progetto EVIDENCE, suggerisco di seguire questo link.

Il programma è anche scaricabile direttamente qui.

Blog, computer forensics, digital forensics, mobile forensics, notizie, Seminari

La figura dell’Informatico Forense in Italia – Survey ONIF 2015

Pubblicato il: 27 Novembre 2015 da Paolo Reale
0

survey-onif-consulente-informatico-forense1La categoria professionale degli “informatici forensi”, ovvero coloro che operano in ambito giudiziario in qualità di consulenti tecnici e periti, indipendentemente dalla parte processuale rappresentata, è certamente tra le ‘ultime arrivate’ in questo settore. Per questo, non di rado, capita la domanda “cioè, di cosa si occupa?” tra i non addetti ai lavori, ma soprattutto non esiste una vera e propria caratterizzazione del settore in termini più precisi, sotto il profilo delle competenze del professionista, della sua formazione, del valore economico dei servizi erogati e così via.

Proprio per contribuire a colmare queste “lacune”, e fare in modo di ottenere una nitida “foto di gruppo” di questa professionalità, l’Osservatorio Nazionale di Informatica Forense (ONIF) ha ritenuto utile proporre la compilazione di un questionario che vada a coprire i diversi aspetti dell’attività dell’informatico forense.

Attività peraltro caratterizzata da diverse variabili, quali la continua evoluzione tecnologica, la necessità di costante formazione e specializzazione, la fissità delle normative, le procedure obsolete e inadeguate e gli aspetti economici, che condizionano fortemente le opportunità di crescita o comunque il consolidamento del settore.

Per questo le domande proposte vertono su tutti gli aspetti correlati all’attività: la formazione personale, l’aggiornamento professionale, l’ambito in cui si opera, le attrezzature di lavoro, la composizione dei compensi, le iniziative attuate, il ‘sentiment’ per il futuro.

L’obiettivo è di descrivere al meglio la categoria così come è oggi, nell’intento anche di ‘fare squadra’, quanto meno nelle ragionevoli lamentele che, isolate e distribuite, non consentono di essere raccolte e meglio indirizzate.

In qualità di fondatore di ONIF, e attualmente Presidente, avrei piacere ad avere la massima partecipazione dei Consulenti Tecnici, essenziale per costruire una rappresentazione corretta della realtà, con la consapevolezza di aver contribuito a qualcosa che va a vantaggio di tutti: i risultati saranno poi esposti e divulgati a febbraio 2016 in occasione di un evento che verrà organizzato ad hoc. Grazie a chi vorrà dare il suo contibuto!

Questionario ONIF

Blog, computer forensics, digital forensics, mobile forensics, notizie

Seminario tecnico sulle infrastrutture di telecomunicazioni a banda larga

Pubblicato il: 18 Novembre 2015 da Paolo Reale
0

mzl.tcyrsvcn.320x480-75Il giorno 1 dicembre 2015 alle ore 9:30, presso la sala Tirreno, palazzo della Regione Lazio a Roma, si terrà il seminario dal titolo “Lo sviluppo delle infrastrutture di telecomunicazioni a banda larga ed ultra larga: impatto sul settore economico ed occupazionale, aspetti tecnici e normativi“.

Il seminario è frutto dell’organizzazione congiunta della Commissione Informatica dell’Ordine degli Ingegneri di Roma, dell’associazione AICT, di Ericsson Telecomunicazioni ed è patrocinato dalla Regione Lazio.

Un’occasione unica per aggiornarsi su un tematiche di primaria importanza, che verranno trattate non solo sotto il profilo tecnico, ma anche nelle loro implicazioni in ambito economico, occupazionale, strategico e sociale. Inutile dire che i relatori sono di altissimo livello, e afferiscono a tutti i settori coinvolti.

Date un’occhiata alla locandina!

Per gli ingegneri iscritti all’ordine che vogliono avere il riconoscimento dei crediti formativi, è necessaria la prenotazione tramite il sito dell’Ordine, qui.

Blog, notizie, Seminari, tecnologia

Internet of Things Forensics

Pubblicato il: 23 Agosto 2015 da Paolo Reale
0

SeG_II_MMXV_prima_212Sull’ultimo numero della rivista “Sicurezza e Giustizia”, n. 2 del 2015, è stato pubblicato un mio articolo sul tema dell’IoT forensics.

L’Internet Of Things (IoT) può essere considerato un ulteriore evoluzione dell’uso della Rete: gli oggetti inanimati possono finalmente ‘prendere vita’ attraverso la comunicazione e la loro identificabilità in rete, fornendo informazioni sul proprio stato, così come accedendo ad altri dati disponibili in rete. Parliamo di luci che si accendono quando rientriamo in casa, di sensori che attivano il sistema di irrigazione in base allo stato delle piante, di calzini con sensori inseriti nel tessuto in modo da raccogliere informazioni sul movimento (distribuzione del peso, tipo di attività, cadenza passi, etc.) per poi trasferirle ad altri dispositivi, di frigoriferi che ci avvisano dei cibi in scadenza, di auto che comunicano in tempo reale la propria posizione geografica, e molto altro ancora.
Anche se, per ora, queste tecnologie non sono ancora presenti nelle case degli utenti in modo massivo, l’IoT è indubbiamente il ramo che sta segnando il maggior incremento di investimenti e di attenzione, a livello praticamente da record, per questo moltissime sono le start-up che hanno voluto investire in questo settore. Ma sono anche i grandi operatori ad essere interessati: aziende di telefonia, OTT, produttori di hardware, grandi distributori. Le previsioni diffuse da diversi enti e osservatori sono effettivamente eccezionali: secondo lo studio IoT Analytics, entro il 2020 saranno 50 miliardi gli oggetti connessi ed interconnessi, sei in media per ogni abitante della terra. Collateralmente, è importante prestare attenzione a questa evoluzione sotto diversi profili: quali sono le implicazioni in termini di sicurezza? e di rispetto della privacy? di affidabilità? e anche di natura non tecnica, come per esempio l’impatto sociale sulla vita delle persone. Infine, soprattutto, qual è la reale capacità delle stesse ad utilizzare in modo consapevole questa dirompente, e innegabilmente invasiva, opportunità?

Se siete curiosi di sapere qualcosa di più, qui trovate l’articolo! Oppure nella sezione ‘download‘.

Blog, computer forensics, digital forensics

Corso di Alta Specializzazione in Criminalistica e Gestione della scena del crimine

Pubblicato il: 20 Agosto 2015 da Paolo Reale
0

logo-scuolaA partire dal 17 ottobre 2015, un sabato al mese, a Milano, presso la Scuola Militare Teulié, partirà il Corso di Alta Specializzazione “Cenni di criminalistica e di gestione della scena del crimine e dei suoi attori: profilo psicologico e profilo giuridico“, con docenti di altissimo profilo.

Il corso è destinato a: psichiatri, psicologi, psicoterapeuti, consulenti tecnici di parte, operatori di primo intervento, appartenenti alle Forze dell’Ordine, Ex Allievi della Scuola Militare Teuliè.

Obiettivo: Il corso mira a porre le basi per un corretto approccio alla scena del crimine da parte del personale di primo intervento, all’ascolto e all’indirizzo della vittima di reato da parte di coloro i quali si trovino istituzionalmente e non in contatto con la stessa, attraverso la legislazione in materia, l’applicazione di protocolli e metodologie in campo psicologico e medico, le indicazioni operative e scientifiche consolidate nell’ambito delle scienze forensi.

Il 14 settembre interverrò anch’io come docente sui temi di informatica e telefonia forense: in quell’occasione verranno approfondite le tecniche di digital forensics, di mobile forensics e di analisi dei dati e delle celle telefoniche.

Per chi è interessato, questo è il link da seguire.

Qui di seguito trovate:

 

Blog, computer forensics, digital forensics, mobile forensics, notizie, Seminari