cybercrime OK

100問 • 2ヶ月前

問題一覧

02.01. Gli strumenti elementari mediante i quali i sistemi informatici elaborano le informazioni sono le cosiddette Porte Logiche che, sulla base dei valori in ingresso, forniscono un determinato valore in uscita. Esistono diverse tipologie di Porta Logica, ognuna in grado di eseguire una specifica operazione logica. Di fondamentale importanza nell'ambito della Crittografia è l'operazione eseguita dalla Porta Logica XOR, in cosa consiste?

Se i valori in ingresso sono uguali (0 e 0 oppure 1 e 1), la Porta Logica XOR restituisce valore 0 in uscita. Se i valori in ingresso sono diversi (0 e 1 oppure 1 e 0), la Porta Logica XOR restituisce valore 1 in uscita.

02.02. Internet è una Rete informatica a commutazione di pacchetto, nella quale cioè i dati da trasmettere vengono suddivisi in tanti "pacchetti" inviati singolarmente dal computer sorgente a quello di destinazione. Qual è il dispositivo che si occupa di instradare i vari pacchetti all'interno della Rete affinché raggiungano la destinazione corretta?

Il Router

02.03. Per fare in modo che un dispositivo informatico esegua in automatico le operazioni logiche necessarie a risolvere uno specifico problema, è necessario definire la sequenza di azioni elementari che occorre compiere sui dati in ingresso per ottenere la soluzione del problema. In questo contesto, che differenza c'è tra algoritmi e programmi?

L'algoritmo è la sequenza di azioni elementari da eseguire in un ordine ben preciso sui dati in ingresso per risolvere un problema, ed ottenere come risultato una serie di dati in uscita. Il programma è la traduzione dell'algoritmo in un linguaggio comprensibile per il dispositivo informatico che deve eseguire le azioni.

3.01. I diversi attacchi volti a compromettere la sicurezza di un Sistema informatico possono essere classificati sulla base di quale proprietà del Sistema mirano a violare. Quale obiettivo ha il sabotaggio?

Il sabotaggio mira a degradare o interrompere del tutto la disponibilità del Sistema informatico, in modo che esso non possa offrire un regolare funzionamento agli utenti autorizzati ad accedervi.

3.02. La sicurezza informatica è una specifica branca dell’informatica dedicata a proteggere i sistemi informatici e telematici. Quali aspetti del sistema informatico/telematico vanno protetti e salvaguardati al fine di garantire la sua sicurezza?

● Disponibilità ● Riservatezza ● Integrità ● Autenticità ● Non ripudiabilità

4.01. Supponiamo di essere i responsabili della sicurezza del Sistema informatico che controlla e monitora il corretto funzionamento di una Centrale Nucleare. Nell'ambito della valutazione dei rischi informatici cui è soggetto tale sistema nei confronti delle diverse minacce, come dobbiamo porci di fronte alla valutazione del rischio informatico rappresentato da un eventuale terremoto?

Il rischio informatico cui è esposto il Sistema nei confronti di un eventuale terremoto è tanto più alto quanto più la zona in cui è ubicata la Centrale Nucleare è soggetta a fenomeni sismici; in assenza di opportune contromisure il rischio è altissimo se si tratta di una zona sismica, risulta invece basso se la zona non è soggetta a fenomeni sismici. In ogni caso è possibile ridurre il rischio mediante l'adozione di specifiche contromisure tecniche e procedurali che garantiscano la sicurezza della Centrale anche in caso di terremoto.

4.02. Una minaccia informatica, sia essa una azione volontaria (attacco) o un evento accidentale, può essere più o meno grave; da che cosa dipende la gravità della minaccia informatica?

La gravità di una minaccia informatica, accidentale o volontaria, dipende dal valore del bene informatico che viene violato. Più è alto il valore del bene minacciato, maggiore è la gravità della minaccia.

4.03. I beni informatici sono le entità, materiali o immateriali, contenute in un Sistema informatico, che hanno un valore e vanno quindi protette dalle possibili minacce. Cosa si intende per beni informatici primari e secondari?

I beni informatici primari sono i beni materiali (ad esempio risorse hardware) o immateriali (ad esempio documenti digitali riservati) che di per se hanno un valore. I beni informatici secondari sono invece quelli che di per se non hanno valore, ma permettono all'attaccante che ne entra in possesso di accedere ai beni primari (ad esempio i codici dispositivi per mezzo dei quali è possibile confermare le operazioni bancarie sulle piattaforme di Home Banking).

5.01. Nell'ambito della sicurezza dei dati digitali, e con particolare riferimento alla protezione della loro integrità, a cosa serve il cosiddetto Checksum?

Il Checksum viene utilizzato per verificare che un determinato file non abbia subito modifiche, ad esempio nel corso della trasmissione da un dispositivo informatico all'altro.

5.02. Le funzioni crittografiche di Hash, applicate al file di cui si vuole garantire l'integrità, forniscono come risultato una sorta di "impronta digitale" di tale file. L'impronta digitale del file, chiamata anche message digest, viene ottenuta trasformando la sequenza di bit originale di cui è costituito il file in un'altra sequenza di bit apparentemente casuale, che costituisce l'impronta digitale del file. Quale proprietà caratterizza la lunghezza delle impronte digitali generate dalle funzioni crittografiche di Hash?

Applicando una determinata funzione crittografica di Hash a file costituiti da sequenze di bit di lunghezza arbitraria, la funzione genera impronte digitali di lunghezza fissa; in altre parole la funzione crittografica di Hash trasforma sequenze di bit di qualunque lunghezza in una sequenza di bit di lunghezza fissa. Tutti i file a cui viene applicata una certa funzione crittografica di Hash forniscono impronte digitali diverse loro ma della stessa lunghezza.

5.03. Le funzioni crittografiche di Hash sono uno degli strumenti maggiormente utilizzati per garantire l'integrità dei dati digitali, proteggendoli così sia dalle modifiche accidentali che, soprattutto, dagli attacchi volontari che mirano ad alterarli. Tali funzioni matematiche vengono comunemente chiamate "one way" Hash, definizione che deriva da una particolare proprietà che le caratterizza e che risulta di fondamentale importanza in ambito crittografico, quale?

Il termine one way Hash deriva dal fatto che le funzioni di Hash sono unidirezionali, risultano cioè molto difficili da invertire. In altre parole, è molto complicato ricostruire il file originale partendo dal risultato ottenuto applicando la funzione di Hash a quel file.

6.01. Nell'ambito delle funzioni crittografiche di Hash che differenza c'è tra le funzioni MDC (Modification Detection Code) e le funzioni MAC (Message Authentication Code)?

Le MDC sono funzioni di Hash senza chiave, possono quindi garantire solo l'integrità dei file. Le MAC sono invece funzioni di Hash con chiave e, oltre all'integrità, sono in grado di garantire anche l'autenticità dei file.

7.01. Nell'ambito della sicurezza informatica, la Crittografia Simmetrica e le funzioni di Hash con chiave sono in grado di garantire integrità ed autenticità dei file.La Firma Digitale è stata introdotta per garantire che il file, oltre ad essere integro ed autentico, possegga un'altra fondamentale caratteristica, necessaria perpoter equiparare la Firma Digitale ad una firma autografa, quale?

La Firma Digitale garantisce anche la non ripudiabilità dei file.

7.02. Il processo di applicazione della Firma Digitale prevede i macro-step di seguito riportati.1. Il mittente applica la funzione di Hash al messaggio in chiaro, ottenendo l’impronta digitale del messaggio.2. xxx3. Il mittente invia sia il messaggio in chiaro che la Firma Digitale.4. xxx5. Il destinatario applica la funzione di Hash sul messaggio in chiaro, calcola cioè l’impronta digitale del file. 6. Il destinatario confronta le due impronte digitali, quella inviata dal mittente e quella calcolata direttamente da lui, per verificare che siano uguali. Completare il processo indicando cosa è previsto negli step 2 e 4.

2. Il mittente esegue la cifratura Asimmetrica dell’impronta digitale, utilizzando la propria chiave privata (è la Firma Digitale)4. Il destinatario decifra la Firma Digitale con la chiave pubblica del mittente, ottenendo così l’impronta digitale che aveva generato il mittente.

7.03. I cosiddetti Certificati Digitali (rilasciati da appositi enti certificatori chiamati Certification Authority) servono a garantire che una determinata FirmaDigitale sia autentica, che sia cioè riconducibile ad un soggetto (persona fisica ma anche sito web o software) la cui identità è certa.A questo scopo il Certificato Digitale contiene, e garantisce, l'associazione tra i soggetti e le loro?

Tra i soggetti e le loro chiavi pubbliche di cifratura Asimmetrica, con indicazione della scadenza temporale di tali chiavi.

7.04. Il meccanismo di Firma Digitale, da solo, garantisce anche la riservatezza dei dati trasmessi? Garantisce cioè che un eventuale attaccante che dovesse riusciread intercettarli non potrebbe comunque avere accesso al contenuto informativo dei file?

La Firma Digitale, da sola, non garantisce la riservatezza dei dati. Per proteggere anche la riservatezza della comunicazione, il mittente dopo aver ‘firmato’ il file con la suachiave privata deve procedere, prima dell'invio, a cifrare sia il file che la Firma Digitale con uno dei metodi classici di crittografia (Simmetrica con chiave segreta oAsimmetrica con chiave pubblica del destinatario).

8.01. Nell'ambito delle politiche di accesso ai sistemi informatici, il metodo di autenticazione più diffuso è quello basato sulla password. Quando un utente in fase di richiesta di accesso fornisce la propria username ed inserisce una password, il sistema provvede a confrontarla con la password associata alla username dell'utente per autenticarne l'identità. A tale scopo occorre memorizzare nel sistema informatico (all'interno di appositi file) specifiche informazioni che permettano di associare le username di tutti gli utenti autorizzati alle relative password di accesso. Qual è uno dei sistemi maggiormente usati per evitare che, in caso di furto dei file contenenti le suddette associazioni, un attaccante abbia facile accesso alle password di tutti gli utenti?

Memorizzare non le password ma le loro impronte digitali generate tramite funzioni di Hash; il sistema contiene quindi le associazioni username-hash della password.

8.02. Una delle tecniche più diffuse per violare i sistemi di autenticazione tramite password è il cosiddetto attacco a Forza Bruta. In cosa consiste?

L'attaccante prova per tentativi successivi tutte le combinazioni di caratteri alfanumerici teoricamente possibili, fino a trovare la password corretta.

9.01. Una tecnica di autenticazione con password che non risulta vulnerabile agli attacchi basati su intercettazioni è l'autenticazione tramite One Time Password ( OTP). Qual è la caratteristica fondamentale delle password OTP?

Le password OTP sono password monouso, hanno cioè una validità limitata e possono essere usate dall'utente una sola volta.

9.02. Molto spesso per incrementare la sicurezza dei sistemi di autenticazione tramite password, oltre alla tecnica del Salting (che consiste nell'aggiungere alla password i salt, letteralmente granelli di sale) vengono utilizzati anche i cosiddetti pepper. Anche il pepper, esattamente come il salt, è una sequenza casuale di caratteri che viene aggiunta alla password prima di applicare la funzione crittografica di Hash. Qual è la differenza sostanziale tra pepper e salt?

Alla password di ogni singolo utente viene associato un salt diverso, mentre il pepper è uguale per tutte le password. Inoltre il salt può essere memorizzato in chiaro nel sistema, mentre il pepper va assolutamente tenuto segreto e separato dal database in cui sono memorizzate le password.

9.03. La tecnica del salting serve ad incrementare la sicurezza delle password. Consiste nell'aggiungere ad ognuna delle password alcuni caratteri casuali (detti appunto salt, ossia granelli di sale) prima di procedere all'applicazione della funzione di Hash per il calcolo delle impronte digitali. In pratica nel sistema informatico vengono tracciate le coppie "username - Hash della (password+salt)". Per quale motivo questa tecnica rende proibitivi gli attacchi a Dizionario, gli attacchi basati cioè sulla predisposizione di un Dizionario di password comuni alle quali applicare la funzione di Hash per ricavare un Dizionario Criptato (chiamato anche Rainbow Table), da confrontare poi con le impronte di tutte le password memorizzate nel sistema informatico?

All'attaccante non basta più preparare un unico Dizionario di password comuni alle quali applicare la funzione di Hash e ricavare così un unico Dizionario Criptato (chiamato anche Rainbow Table). Pur conoscendo il salt, l'attaccante è invece costretto a preparare almeno un Dizionario Criptato per ognuna delle password da violare, ricavato a partire da tutte le password comuni alle quali deve essere aggiunto lo specifico salt di ognuna delle password da violare. Il tempo e le risorse necessarie a calcolare tutti i Dizionari Criptati rende proibitivo l'attacco a Dizionario.

9.04. I cosiddetti Sistemi di autenticazione a Sfida sono stati ideati per evitare che, quando un utente richiede di accedere ad un sistema informatico, la password venga inviata dal dispositivo dell'utente al sistema informatico, col rischio che nel corso della trasmissione venga intercettata da eventuali attaccanti. Esistono due tipologie di autenticazione a Sfida: l autenticazione a Sfida Simmetrica l autenticazione a Sfida Asimmetrica In cosa si differenziano?

Con entrambi i sistemi di autenticazione, sia a Sfida Simmetrica che a Sfida Asimmetrica, la password non viene mai trasmessa tra il dispositivo dell'utente ed il sistema informatico al quale vuole accedere. La differenza sta nel fatto che, mentre l'autenticazione a Sfida Simmetrica richiede di memorizzare la password nel sistema informatico (col rischio che venga trafugata da eventuali attaccanti), l'utilizzo dell'autenticazione a Sfida Asimmetrica permette di non memorizzare la password neanche nel sistema informatico; con l'autenticazione a Sfida Asimmetrica la password è cioè nota solo all'utente.

10.01. I sistemi di autenticazione Biometrici si basano su caratteristiche personali specifiche dell’utente, fisiologiche (ad esempio le impronte digitali) o comportamentali (ad esempio la calligrafia). I dati biometrici degli utenti autorizzati vengono memorizzati nei database dei sistemi informatici, affinché si possa procedere a confrontarli con i dati biometrici dei soggetti che richiedono di accedere, e verificare quindi la loro identità. Aspetto di primaria importanza, sia dal punto di vista della sicurezza informatica che a livello di privacy, è la protezione dei file in cui sono memorizzati i dati biometrici; una possibile tecnica di protezione potrebbe essere applicare la funzione di Hash ai dati biometrici e memorizzare nei sistemi le impronte di Hash invece dei dati biometrici in chiaro? In tal modo, grazie alla non invertibilità delle funzioni di Hash, un attaccante che dovesse riuscire a rubare i file non avrebbe la possibilità di risalire dalle impronte di Hash ai dati biometrici originali.

Non è possibile in quanto una delle proprietà fondamentali delle funzioni di Hash è che applicando una stessa funzione a due file leggermente diversi si ottengono risultati completamente diversi. A piccole variazioni dell’impronta biometrica corrisponderebbero quindi enormi variazioni nel risultato della funzione di Hash, cosa che impedirebbe l'autenticazione mediante confronto tra l’impronta inviata dall'utente e il dato memorizzato sul sistema.

10.02. Le classiche tecniche di autenticazione tramite One Time Password (OTP) prevedono che il generatore di OTP (ad esempio un Token) e il sistema informatico al quale si vuole accedere conoscano entrambi un dato segreto (il cosiddetto "seme") sulla base del quale viene generata la password OTP. Il seme deve quindi essere trasmesso dal Token al sistema informatico, col rischio che un attaccante possa intercettarlo ed entrarne in possesso. Il metodo S/KEY è una particolare tecnica OTP che possiede però una caratteristica specifica che lo rende decisamente più sicuro delle tecniche di autenticazione OTP classiche, quale?

Il metodo S/KEY non richiede che il sistema informatico conosca il seme; permette quindi di far restare il seme nella sola disponibilità dell’utente, senza che venga mai trasmesso dal Token al sistema informatico. Una volta usato il seme viene cancellato anche dal Token.

10.03. Nell'ambito delle tecniche usate per proteggere i sistemi informatici dagli accessi non autorizzati, in cosa consiste la cosiddetta Strong Authentication?

La Strong Authentication aumenta il livello di sicurezza nella gestione degli accessi tramite l’utilizzo di almeno due dei tre fattori di autenticazione possibili: qualcosa che l’utente conosce, qualcosa che l'utente possiede o che qualcosa che l'utente è.

11.01. Uno dei modi per classificare i reati informatici è distinguerli in: l reati informatici propri (o informatici in senso stretto); l reati informatici impropri (o informatici in senso lato). Qual è la differenza tra queste due macro-categorie di reati?

Nei reati informatici propri il ruolo dei dispositivi informatici è essenziale nella commissione del reato, nel senso che senza il supporto dei sistemi informatici e telematici questi reati non possono sussistere. I reati informatici impropri esistono a prescindere dai sistemi informatici ed utilizzano tali sistemi solo come strumento più efficace per realizzare il crimine; potrebbero cioè essere commessi anche senza l'ausilio di dispositivi informatici.

12.01. L'analisi del comportamento criminale in ambito informatico, deve tener conto degli aspetti peculiari che differenziano i reati informatici da quelli tradizionali. C'è un caratteristica particolare propria dei reati informatici che è opportuno considerare quando si procede a valutare il profilo psicologico e motivazionale dei cyber-criminali, quale?

Nella commissione dei reati informatici il criminale non ha alcun contatto con la scena del crimine e con la vittima, e ciò comporta che il criminale informatico molto spesso non prende pienamente coscienza del proprio operato e della gravità del reato.

13.01.Tra i malware più noti e diffusi ci sono i virus e i worm. Entrambi hanno l’obiettivo di infettare rapidamente il numero più elevato possibile di dispositivi informatici, ma c'è una caratteristica che differenzia il loro modo di diffondersi, quale?

Il virus necessita di un software che lo ospiti per introdursi nei dispositivi da infettare, si diffonde annidandosi all'interno di altri software. Il worm costituisce un software a se stante e per propagarsi non ha quindi bisogno di annidarsi all'interno di altri software.

13.02. I malware (malicious software, ossia codice maligno) sono software realizzati con il preciso obiettivo di danneggiare o alterare un sistema informatico o i dati in esso contenuti. Analogamente a quanto accade per le strutture biologiche, tutti i tipi di malware anche se molto diversi tra loro hanno in comune un unico modello basato su specifiche fasi che il codice maligno percorre nel proprio ciclo di vita, dalla creazione (progettazione del software maligno) alla eliminazione (il software maligno viene individuato e messo nelle condizioni di non nuocere). Una delle fasi del ciclo di vita dei malware è la cosiddetta quiescenza, in cosa consiste?

La quiescenza è la fase in cui il malware, dopo aver infettato il dispositivo informatico, resta silente ma attivo all'interno del dispositivo stesso, in attesa che si verifichino le condizioni favorevoli per entrare in azione.

14.01. Attualmente il malware (malicious software, cioè software malevolo) più temuto a livello mondiale è probabilmente il cosiddetto ransomware, di cosa si tratta e come agisce?

Il ransomware prende "in ostaggio" i dispositivi informatici delle vittime, bloccandoli e chiedendo un riscatto (solitamente sotto forma di bitcoin) per renderli nuovamente utilizzabili.

15.01. Nel mondo della criminalità informatica sono molto diffusi gli attacchi che mirano a compromettere uno degli aspetti chiave dei sistemi informatici, cioè la loro disponibilità. Si tratta dei cosiddetti attacchi DoS e DDoS, in grado di rendere i dispositivi delle vittime del tutto inutilizzabili anche per i legittimi utenti, attraverso la degradazione dei processi o l’esaurimento dello spazio libero sul disco che ne comporta il blocco. Qual è la differenza tra un attacco DoS e un attacco DDoS?

L’attacco DoS viene sferrato contro le vittime direttamente dal dispositivo di un singolo attaccante, mentre con l'attacco DDoS i dispositivi delle vittime vengono attaccati contemporanei da un gran numero di dispositivi preventivamente infettati dall'attaccante mediante introduzione di malware di tipo bot, per costruire le cosiddette botnet.

15.02. Esistono diverse tecniche messe a punto dai cyber-criminali per impedire che i malware vengano rilevati dai software antimalware. Quale di queste tecniche prevede l'occultamento del file eseguibile del malware accorpandolo, senza preventiva compressione, in un altro file eseguibile innocuo in modo da generare così un unico file contenente sia codice innocuo che codice maligno di difficile rilevazione per gli antimalware?

I Binders

15.03. Gli antimalware (spesso chiamati impropriamente antivirus) sono i software da usare per proteggere i dispositivi informatici dai malware (cioè dai programmi maligni). Numerosi antimalware agiscono basandosi sulle cosiddette ‘firme’ dei malware; qual è il principio di funzionamento su cui si fonda questa tecnica?

L’antimalware contiene una lista delle firme di tutti i malware che conosce, cioè delle caratteristiche che contraddistinguono i vari tipi di malware. L'antimalware esegue quindi una comparazione dei programmi da controllare con tutte le firme del suo archivio, e se trova una corrispondenza capisce che si tratta di un malware.

16.01. Due tra le tecniche più diffuse di attacco basato su Social Engineering sono il phishing e il baiting. Entrambe le tecniche utilizzano come veicolo principale di attacco l'invio di email ingannevoli alle vittime, ma c'è una differenza tra le due, quale?

Il phishing mira ad ingannare le vittime tramite messaggi dai toni perentori ed allarmistici (ad esempio malfunzionamenti o controlli di sicurezza), apparentemente provenienti da istituti affidabili, che chiedono loro l’inserimento dei propri dati riservati. Il baiting mira invece ad ingannare le vittime mediante messaggi che creano in loro un desiderio (ad esempio forti sconti in un negozio), per soddisfare il quale la vittima è portata a compiere delle azioni a vantaggio dell’attaccante.

16.02. Una delle tecniche di attacco maggiormente diffuse è chiamata Social Engineering, in italiano Ingegneria Sociale. Si tratta di una tecnica che permette di violare le misure di sicurezza dei dispositivi informatici, consentendo agli attaccanti di danneggiare i dispositivi delle vittime o di trafugare da essi informazioni riservate. In cosa consiste?

Il Social Engineering sfrutta le debolezze umane degli utenti da attaccare; prevede lo studio del comportamento delle vittime, allo scopo di far compiere loro in modo inconsapevole azioni mirate a permettere all'attaccante di accedere ai dispositivi da violare.

17.01. I cookies sono dei file di piccole dimensioni che la maggior parte dei siti web, al momento delle connessione, introduce nei browser di navigazione installati nei dispositivi di chi naviga in Rete; servono a raccogliere informazioni anche personali sugli utenti, da fornire al sito alla successiva connessione in modo da permettere al sito stesso di ‘ricordare’ di che utente si tratta, personalizzare le pagine e migliorare quindi l’esperienza di navigazione dell’utente su quel sito. Uno degli attacchi specifici rivolti al mondo di Internet e dei siti web è il cross-site scripting, in cosa consiste?

Il cross-site scripting mira a trafugare i cookies dai dispositivi degli utenti, per carpirne informazioni personali e permettere agli attaccanti di accedere ai siti web usando le credenziali delle vittime, e quindi sostituendosi ad esse.

17.02. Uno degli attacchi più diffusi portati al mondo di internet è il cosiddetto spoofing; in cosa consiste?

Tramite le tecniche di spoofing il criminale, nascondendo la propria vera identità, finge di essere un dispositivo informatico o un utente che agli occhi della vittima appare affidabile, spingendola quindi a compiere azioni per lei dannose a tutto vantaggio dell'attaccante.

18.01. Nel mondo degli smartphone una delle più diffuse tipologie di malware sono i blocker che, analogamente ai ransomware usati per attaccare i dispositivi fissi, prevedono il pagamento di un riscatto da parte delle vittime. Cosa differenzia i blocker dai ransomware?

I ransomware criptano i file contenuti nel computer tramite tecniche crittografiche, rendendoli quindi inutilizzabili. I blocker bloccano invece lo smartphone (non i file) frapponendosi all'interfaccia grafica di qualsiasi app e rendendola così inutilizzabile.

18.software sono provvisti di appositi Sistemi Operativi dedicati. Esistono diversi sistemi operativi per dispositivi mobili, quelli largamente più diffusi sono Android (il sistema operativo mobile di Google) e iOS (il sistema operativo mobile di Apple). Qual è la caratteristica principale che li differenzia dal punto di vista della sensibilità agli attacchi informatici?

iOS è un sistema operativo chiuso sul quale possono essere eseguite esclusivamente le App autorizzate Apple scaricabili solo da App Store; Android è invece un sistema operativo aperto, compatibile con App sviluppate da terze parti, non necessariamente scaricate dal Google Play Store.

19.01 nell'ambito della sicurezza informatica è di fondamentale importanza proteggere la riservatezza dei dati; occorre cioè garantire che le informazioni memorizzate e scambiate all'interno di un sistema informatico o tra diversi sistemi informatici devono risultare accessibili solo agli utenti autorizzati. Una delle tecniche maggiormente utilizzate a tale scopo è la steganografia, che consiste nel nascondere il messaggio da tenere segreto all'interno del cosiddetto " contenitore", facendo in modo che solo i soggetti autorizzati siano in possesso della chiave per accedere al contenuto del messaggio. A cosa serve il contenitore?

Il contenitore è un elemento (ad esempio uno fotografia digitale, un file audio o anche un semplice file di testo) che non desta alcun interesse in un eventuale attaccante, e la modifica del suo aspetto derivante dall'inserimento del messaggio segreto risulta impercettibile. Il contenitore è quindi in grado di nascondere l'esistenza stessa del messaggio segreto.

20.01. La steganografia sostitutiva è una delle tecniche più diffuse per nascondere un messaggio segreto all'interno di un file, chiamato contenitore, apparentemente privo di interesse per un eventuale attaccante. La maggior parte dei software di steganografia sostitutiva sono basati sul metodo LSB (Least Significant Bits) che consiste nell'inserire il messaggio segreto al posto dei bit meno significativi del contenitore, ad esempio un'immagine digitale, per fare in modo che dopo l’inserimento del messaggio segreto il contenitore stesso risulti difficilmente distinguibile dall'immagine originale, passando quindi del tutto inosservato. Supponiamo di voler utilizzare come contenitore un'immagine digitale in formato bmp (bitmap), codificata con il metodo RGB cioè come somma dei tre colori Rosso (Red), Verde (Green) e Blu (Blue). Il contenitore è quindi costituito da una griglia di punti colorati, i pixel; i singoli pixel sono associati a 3 byte (1 byte = 8 bit), che determinano lo specifico colore del pixel tra tutti i colori possibili. Ognuno dei 3 byte rappresenta infatti un colore espresso come codifica binaria di un numero da 1 a 256, ed indica il livello dei colori Rosso, Verde e Blu per quel pixel (il colore del pixel è la somma dei colori rappresentati dai 3 byte). Consideriamo ad esempio un pixel, tendente al Rosso, associato alla seguente terna di byte: l Rosso: 11100010 (traduzione di 226 in codice binario) l Verde: 00001010 (traduzione di 10 in codice binario) l Blu: 00011001 (traduzione di 25 in codice binario) Per nascondere 3 bit del messaggio segreto (ad esempio i bit 010) all'interno del suddetto pixel procediamo ad inserirli al posto di altrettanti bit del pixel stesso, ottenendo quindi un pixel così modificato: l Rosso: ? l Verde: ? l Blu: ?

l Rosso: 11100010 l Verde: 00001011 l Blu: 00011000 (sono stati evidenziati in grassetto i bit diversi rispetto al pixel originale)

21.01. Una delle tecniche crittografiche più antiche per nascondere un messaggio segreto rendendolo incomprensibile, è generare un crittogramma applicando al messaggio segreto la cosiddetta cifratura per trasposizione; in cosa consiste?

I caratteri del messaggio segreto da cifrare vengono "mescolati" usando specifiche regole reversibili; viene cioè modificata la posizione dei caratteri del messaggio segreto.

21.02. Il cifrario di Vigenère, pubblicato nel 1586, prevede che ogni carattere del testo in chiaro venga sostituito dal carattere che lo segue di un numero di posizioni variabile, stabilito sulla base di una parola segreta conosciuta solo da mittente e destinatario, che funziona da chiave di cifratura. La parola chiave va scritta ripetutamente sotto il testo in chiaro, e per costruire il crittogramma ogni lettera del testo in chiaro deve essere sostituita dalla lettera che la segue nell'alfabeto di un numero di posizioni pari al numero ordinale della corrispondente lettera della parola chiave. Qual è la principale debolezza del cifrario di Vigenère, superata dal cifrario successivamente proposto da Vernam nel 1917?

La parola segreta usata come chiave del cifrario di Vigenère è più corta del testo in chiaro e quindi va ripetuta per cifrare il testo in chiaro nella sua interezza.

22.01. Il funzionamento della cifratrice di Lorenz, una delle più raffinate macchine cifranti mai ideate, è basato sul cifrario "perfetto" di Vernam che teorizza l'uso di una chiave di cifratura del tutto casuale, da usare una sola volta e lunga quanto il messaggio da cifrare. Qual è la sostanziale differenza tra la macchina di Lorenz e il cifrario di Vernam, che costituisce il principale punto di debolezza di tale macchina?

La macchina di Lorenz utilizza una chiave pseudo-casuale.

23.01. Nelle tecniche di crittografia simmetrica a blocchi (ad esempio DES e AES) si procede a suddividere in blocchi il messaggio da cifrare; ad ognuno dei blocchi viene poi applicato l'algoritmo di cifratura.

Il criterio di Avalanche prevede che se il testo in chiaro (o la chiave) cambia anche di poco, il relativo crittogramma deve risultare invece pesantemente diverso; ciò si ottiene facendo in modo che se un singolo bit del testo in chiaro o della chiave viene modificato da 0 a 1 o viceversa, allora ognuno dei bit del relativo crittogramma deve avere una probabilità del 50% di essere modificato.

24.01. Una tecnica di crittografia simmetrica a blocchi molto diffusa fino alla fine del XX secolo è il metodo DES (Data Encryption Standard) ideato dalla IBM nel 1973; nel 1998 la crittografia DES venne però forzata e si dimostrò quindi non più robusta nei confronti degli attacchi a forza bruta. Prima della progettazione di un nuovo e più sicuro algoritmo di cifratura simmetrica a blocchi (il metodo AES - Advanced Encryption Standard), si pensò di incrementare la sicurezza dei sistemi crittografici basati su algoritmo DES tramite la tecnica 3DES. In cosa consiste il metodo 3DES?

Il metodo 3DES consiste nell'applicare sul testo in chiaro tre volte in successione il processo di cifratura DES, oppure due processi di cifratura DES intervallati da un processo di decifrazione DES (da cui il nome 3DES). Le chiavi utilizzate nei tre processi devono essere diverse tra loro o, se si vuole semplificare, la prima può essere uguale alla terza.

26.01. Nel 1949 Claude Shannon, uno dei padri della teoria dell’informazione, dimostrò matematicamente che il cifrario OTP (One Time Pad, in italiano Blocco Monouso), se applicato nella sua forma ideale, è l'unico cifrario che può essere considerato perfetto ed inviolabile. Da quale peculiare caratteristica del cifrario OTP deriva la sua inviolabilità?

L'inviolabilità del cifrario OTP dipende dal fatto che dopo il processo di cifratura il crittogramma non presenta più nessuna relazione con il messaggio in chiaro, sono quindi destinati a fallire sia gli attacchi statistici che quelli a forza bruta. L’unico modo per decifrare il crittogramma è possedere la chiave.

26.02. Il cifrario OTP (One Time Pad, in italiano Blocco Monouso), ispirato al metodo di cifratura teorizzato da Vernam nel 1917, nella sua forma ideale prevede l'utilizzo di una chiave di cifratura avente tre caratteristiche fondamentali, quali?

La chiave di cifratura utilizzata nel cifrario OTP deve essere: l lunga quanto il testo in chiaro da cifrare; l generata in modo puramente casuale; l utilizzabile una sola volta.

26.03. Nel 1949 Claude Shannon, uno dei padri della teoria dell’informazione, dimostrò matematicamente che il cifrario OTP (One Time Pad, in italiano Blocco Monouso), se applicato nella sua forma ideale, è l'unico cifrario che può essere considerato perfetto ed inviolabile. Il cifrario OTP non è però utilizzabile nella pratica (almeno fino all'avvento della Crittografia Quantistica) a causa di alcuni problemi rilevanti, quali?

I problemi che rendono il cifrario ideale OTP inutilizzabile nella pratica sono: l complessità tecnica di generazione di chiavi che siano genuinamente casuali; l necessità che mittente e destinatario condividano su un canale di comunicazione sicuro una chiave lunga quanto il messaggio da cifrare.

27.01. La Crittografia Asimmetrica permette agli utenti di comunicarsi le chiavi di cifratura anche su canale non protetto; anche se un attaccante riuscisse ad intercettare le chiavi trasmesse su canale non sicuro, non potrebbe infatti usarle per decifrare i crittogrammi. Proprio per questa sua caratteristica, la Crittografia Asimmetrica viene chiamata anche Crittografia a chiave pubblica; che significa?

Nella Crittografia Asimmetrica la chiave utilizzata dal mittente per cifrare il testo in chiaro è diversa da quella che deve usare il destinatario per decifrare il crittogramma. La chiave per cifrare può essere resa pubblica, mentre quella per decifrare deve restare privata, segreta e disponibile al solo al legittimo destinatario, che quindi deve provvedere a conservarla con estrema attenzione.

27.La crittografia RSA è la tecnica di cifratura Asimmetrica più diffusa al mondo e sfrutta una funzione matematica facile da calcolare in un verso, ma quasi impossibile da invertire; qual è questa particolare funzione matematica?

La fattorizzazione dei numeri primi.

28.01. Le tecniche di Crittografia Simmetrica hanno un punto di debolezza nel fatto che richiedono la trasmissione della chiave su canali protetti; sono però di veloce esecuzione e risultano quindi adatte alla cifratura di messaggi anche molto lunghi. Di contro le tecniche di Crittografia Asimmetrica sono più sicure perché non necessitano di scambio della chiave su canale protetto, però risultano decisamente più lente a causa dei complessi calcoli matematici necessari alla cifratura/decifratura. La soluzione di cifratura oggi più usata prevede l’utilizzo di una combinazione dei metodi Simmetrico ed Asimmetrico, allo scopo di sfruttare gli aspetti positivi di entrambe le tecniche, garantendo la sicurezza offerta dalla Crittografia Asimmetrica senza però eccessive ripercussioni sulla velocità di cifratura/decifratura. Qual è il principio di funzionamento della Crittografia combinata?

Il mittente applica al messaggio da inviare una tecnica di Crittografia Simmetrica, provvedendo poi a cifrare la chiave di cifratura simmetrica con una tecnica di Crittografia Asimmetrica. Al destinatario vengono inviati sia il crittogramma del messaggio che quello della chiave.

29.01. E' vero che l'obiettivo della Crittoanalisi è ricostruire i messaggi segreti che sono stati cifrati mediante tecniche crittografiche?

Si.

29.2. Anche le più moderne tecniche di crittografia si basano su un principio autorizzato da August Kerckhoffs alla fine del XIX secolo. Cosa afferma il principio di Kerckhoffs?

ll principio di Kerckhoffs afferma che la sicurezza di un sistema crittografico non deve risiedere nella segretezza del funzionamento dell'algoritmo di cifratura, ma esclusivamente nella chiave di cifratura.

30.01. La fisica quantistica si è sviluppata a partire dall'inizio del 1900, ed è la branca della fisica che si occupa di analizzare e comprendere il comportamento della materia nell'infinitamente piccolo. Due scoperte fatte nell'ambito della fisica quantistica riguardano l'incredibile comportamento delle particelle microscopiche e risultano di primaria importanza nel campo della Crittografia in quanto potrebbero portare ad una vera e propria rivoluzione nelle tecniche di cifratura dei messaggi. Quali sono queste scoperte?

l La sovrapposizione degli stati: in un determinato istante le proprietà delle particelle non sono definite e possiedono contemporaneamente valori (stati) diversi. l L'entanglement quantistico: in particolari condizioni più particelle diverse risultano legate tra loro pur essendo separate da grandi distanze.

31.01. Un computer quantistico è un particolare dispositivo informatico che per elaborare le informazioni ed eseguire i calcoli, invece di basarsi sulle leggi della fisica classica (come fanno i dispositivi tradizionali che tutti conosciamo), utilizza invece le leggi della fisica quantistica. Si tratta di un computer in grado di eseguire calcoli con una potenza enormemente maggiore rispetto ai dispositivi informatici tradizionali, pertanto potrebbe in linea teorica mettere in crisi gli attuali sistemi crittografici. In questo contesto si inquadra il cosiddetto algoritmo quantistico di Shor, di che si tratta?

Si tratta di un algoritmo che, fatto girare su un computer quantistico di potenza opportuna, potrebbe risolvere in tempi accettabili il problema della fattorizzazione di grandi interi in numeri primi e sarebbe quindi in grado di violare tutti i sistemi crittografici basati sulla fattorizzazione in numeri primi, compresa la diffusissima tecnica asimmetrica RSA.

32.01. La principale applicazione dei principi quantistici in campo crittografico è la cosiddetta Distribuzione a Chiave Quantistica (QKD dall'inglese Quantum Key Distribution), metodo che permette di risolvere i problemi tecnologici che oggi rendono non applicabile nella pratica la cifratura ideale teorizzata da Vernam; cosa consente di fare la Distribuzione a Chiave Quantistica?

La Distribuzione a Chiave Quantistica è una tecnica che consente a mittente e destinatario di produrre una sequenza di bit genuinamente casuale (da usare come chiave di cifratura simmetrica) e di scambiarsi in modo sicuro una chiave lunga a piacere (quindi anche di lunghezza pari a quella del testo da cifrare).

32.02. Uno dei principi della Fisica Quantistica che risulta di fondamentale importanza nell'ambito delle ricerche inerenti la Crittografia Quantistica è la casualità degli esiti delle misurazioni sulle singole particelle. I risultati ottenuti misurando determinate proprietà delle particelle elementari sono cioè genuinamente probabilistici, nel senso che se si misura ripetutamente una certa proprietà di una determinata particella, l’esito delle singole misure non è sempre lo stesso ma varia in modo del tutto casuale. Effettuando ad esempio una serie di misure del piano di polarizzazione di una particella, che tipo di risultati si otterrebbero?

L'esito delle misurazioni è genuinamente casuale, quindi si otterrebbe che dopo un elevato numero di misurazioni il 50% delle volte la misura ha fornito un piano di polarizzazione orizzontale e nell'altro 50% dei casi il risultato è stato invece polarizzazione verticale.

33.01. Per rendere più sicuro il trasferimento dei dati, è possibile aggiungere funzionalità di cifratura e autenticazione direttamente ai Protocolli di comunicazione, principalmente ai Protocolli di Rete ed ai Protocolli Applicativi. Un esempio di comunicazione sicura tramite Protocollo Applicativo cifrato è il Protocollo HTTPS, ottenuto inserendo il Protocollo HTTP all'interno di una connessione criptata tramite un particolare sistema di cifratura, quale?

Il sistema di cifratura TLS/SSL.

33.02. Uno dei sistemi crittografici maggiormente utilizzati per rendere più sicuri i Protocolli Applicativi è il sistema TLS (e il suo predecessore SSL). Cosa garantisce una comunicazione tra client e server eseguita mediante Protocollo HTTPS, cioè Protocollo HTTP crittografato tramite sistema TLS/SSL?

Il Protocollo crittografico HTTPS garantisce la riservatezza dei dati trasmessi e l'identità del server (il sito web visitato), non quella del client.

33.03. Nel mondo delle Reti informatiche e telematiche è di primaria importanza il cosiddetto modello ISO/OSI, di che si tratta?

Il modello ISO/OSI consente la comunicazione tra i diversi dispositivi informatici. In particolare suddivide la comunicazione in sette livelli distinti, ognuno deputato ad eseguire determinati compiti, e per ognuno di essi definisce uno specifico Protocollo contenente l'insieme delle regole da seguire per trasmettere i dati da un dispositivo all'altro.

33.04. Il sistema crittografico TLS/SSL è una delle tecniche più diffuse per rendere sicuri i Protocolli Applicativi usati dai dispositivi informatici per comunicare tra loro. Si riporta di seguito una descrizione di alto livello del meccanismo di funzionamento del sistema TLS/SSL. l Quando viene chiamato dal client, il server invia al client un Certificato che contiene i dati identificativi del server e la chiave di cifratura K1. l Il client procede a verificare l’identità del server tramite il Certificato. l Il client genera una chiave di cifratura K2. l Il client cifra la chiave K2 con la chiave K1 e la invia al server. l Il server decifra il messaggio utilizzando la chiave K3. Ottiene così la disponibilità della chiave K2, chiave che quindi conoscono solo client e server. l La chiave K2 viene utilizzata per cifrare le successive comunicazioni tra client e server. Che tipo di chiavi di cifratura sono K1, K2 e K3?

K1 = chiave pubblica di cifratura Asimmetrica del server. K2 = chiave di cifratura Simmetrica. K3 = chiave privata di cifratura Asimmetrica del server.

34.01. La Reti informatiche da proteggere, soprattutto quelle più complesse, vanno organizzate in varie zone di sicurezza tramite inserimento di una serie di Firewall e Switch. A seconda di quanto sono restrittivi i filtri impostati sui diversi Firewall vengono create zone con diversi livelli di sicurezza; i singoli dispositivi vengono poi posizionati nelle diverse zone sulla base del livello di sicurezza richiesto per ogni dispositivo. In quale zona della Rete vengono posizionati i dispositivi che hanno il compito di comunicare con l'esterno della Rete?

I dispositivi che devono comunicare con l’esterno vengono posizionati nella zona della Rete da proteggere che richiede il livello di sicurezza più basso, cioè quella più ‘vicina’ alla Rete esterna e separata da essa dai Firewall con i filtri meno restrittivi.

34.03. I Firewall filtrano il flusso di dati in ingresso ed uscita dalla Rete da proteggere sulla base di una serie di regole opportunamente impostate; l'insieme delle regole costituisce la cosiddetta Security Policy, che prevede filtri sul traffico con restrizioni via via crescenti al crescere del livello di sicurezza richiesto per le varie zone. La Security Policy può essere impostata decidendo se indicare in modo esplicito: l ciò che deve essere permesso: viene cioè stabilito nel dettaglio tutto ciò che il Firewall deve permettere, tutto il resto risulta quindi vietato; oppure l ciò che deve essere vietato: viene cioè stabilito nel dettaglio tutto ciò che il Firewall non deve permettere, tutto il resto risulta quindi permesso. Che differenza c'è tra i due approcci?

L'approccio che prevede di stabilire ciò che è permesso risulta più sicuro ma, se la Security Policy viene configurata in modo non corretto, sottopone gli utenti al rischio di non poter utilizzare dei servizi di cui necessitano. L'approccio che prevede di stabilire ciò che è vietato è meno sicuro e, se la Security Policy viene configurata in modo non corretto, si rischia di far passare servizi dannosi.

34.Nell'ambito dei Firewall che cos'è un Application Gateway?

L’Application Gateway è un particolare Firewall che agisce a livello applicativo; si interpone tra i dispositivi interni alla Rete da proteggere e quelli esterni a cui ci si vuole connettere, fungendo da Proxy che disaccoppia il canale di comunicazione tra i diversi dispositivi. Riceve le richieste e provvede a inoltrarle o a bloccarle a seconda delle regole che sono state impostate.

35.01. La diffusione delle tecnologie informatiche nella vita quotidiana di ognuno ha progressivamente incrementato i casi in cui le informazioni potenzialmente importanti a livello processuale sono costituite da elementi digitali, correlati a dispositivi informatici o a reti informatiche. Per questo motivo è nata e si è sviluppata la Digital Forensics, disciplina che si occupa di individuare , estrarre, conservare, analizzare e documentare le evidenze digitali affinché abbiano valore probatorio in ambito processuale. In quali ambiti viene applicata la Digital Forensics?

La Digital Forensics è applicabile ai reati, sia tradizionali che strettamente riconducibili alla categoria dei cybercrime, nel cui contesto sia presente un dispositivo informatico in qualche modo legato ad oggetti, luoghi e persone pertinenti il reato stesso.

35.02. Qual è l'obiettivo primario della Digital Forensics?

La Digital Forensics si occupa di gestire le evidenze digitali legate ad un evento criminoso in tutto il loro ciclo di vita (dall'individuazione alla presentazione in sede processuale); l'esperto di Digital Forensics quindi deve occuparsi non solo di analizzare le evidenze digitali ma anche di assicurare che tali evidenze abbiano e conservino valore probatorio, che siano cioè utilizzabili nel processo senza essere soggette a contestazioni.

36.01. La maggior parte delle informazioni digitali risiede nei cosiddetti supporti di memoria, uno dei componenti hardware dei dispositivi informatici. Una particolare tipologia di supporto è la cosiddetta memoria volatile, nella quale i dati vengono mantenuti in memoria temporaneamente e non in maniera stabile; ciò cosa comporta ai fini dell'acquisizione dei dati contenuti in questo tipo di memoria?

I dati contenuti nelle memorie volatili vengono irrimediabilmente persi nel caso in cui viene eseguita la procedura di spegnimento del dispositivo informatico, e anche se viene interrotta l'alimentazione elettrica.

36.02. Nell'ambito delle attività di Digital Forensics, in quali casi è necessario procedere alla duplicazione delle evidenze digitali di interesse?

La duplicazione è necessaria non solo per acquisire i dati digitali nel caso in cui non risulta possibile il sequestro dei dispositivi informatici che li contengono, ma anche per la creazione di copie forensi su cui eseguire le analisi per non intaccare i dati originali e preservarne quindi l'integrità.

37.01. Nell'ambito dei dispositivi informatici tra i componenti hardware più importanti ai fini della Digital Forensics ci sono sicuramente i supporti di memoria, che contengono la maggior parte delle evidenze digitali con potenziale valore di interesse processuale. I supporti di memoria vengono distinti in due categorie: l memorie centrali; l memorie di massa. Qual è la principale caratteristica che differenzia le suddette tipologie di supporto?

Le memorie centrali sono supporti volatili, i dati vengono cioè mantenuti in memoria temporaneamente. Le memoria di massa sono invece supporti permanenti, che servono cioè ad archiviare le informazioni in maniera non volatile; i dati vengono persi solo in caso di rimozione volontaria oppure di danneggiamento fisico del supporto di memorizzazione.

37.02. Attualmente tra le tipologie di supporto di memoria più largamente utilizzate ci sono le cosiddette memorie flash, di che tipo di supporto si tratta?

Si tratta di supporti di memoria non volatili costituiti da materiale semiconduttore strutturato in griglie di righe e colonne che con le loro intersezioni formano delle celle, nei quali i dati digitali vengono memorizzati intrappolando gli elettroni all'interno delle celle che costituiscono le griglie.

38.01. Un’operazione di primaria importanza nell'ambito della Digital Forensics è la creazione di una copia forense del dato digitale di interesse, dove per copia forense si intende una copia bit a bit di tutti i dati contenuti in un supporto di origine verso un supporto di destinazione. Per fare in modo che la componente logica della copia risulti perfettamente identica all'originale, la procedura di duplicazione deve cioè garantire che i singoli bit della copia corrispondano ai singoli bit dell’originale. Quali sono le possibili modalità per generare una copia forense?

Per generare una copia forense che abbia valore probatorio incontestabile, è possibile procedere alla duplicazione dell'originale utilizzando una delle seguenti modalità: - clonare l'originale, cioè duplicare tutti i bit del supporto di memoria di origine all'interno di un supporto di memoria di destinazione, rispettando l’esatta sequenza di riproduzione dei bit; - creare un'immagine dell'originale, cioè duplicare tutti i bit del supporto di memoria di origine in uno o più file "immagine" che vengono salvati all'interno di un supporto di memoria destinazione.

38.02. In ambito Digital Forensics il processo di validazione della copia forense consiste nel confrontare la copia con l’originale per verificarne l’esatta corrispondenza; la validazione viene eseguita calcolando le impronte di originale e copia mediante funzioni crittografiche di Hash, e verificando poi che le impronte siano identiche. Quando deve essere eseguita la validazione?

Nell'immediatezza dell’individuazione/sequestro dell'originale e della sua duplicazione, devono essere subito calcolate le impronte di Hash di originale e copia, necessarie per validare la copia forense appena prodotta e per verificare se nel corso del tempo la copia o anche lo stesso originale abbiano subito alterazioni.

38.03. Il Write Blocker è uno strumento molto importante in ambito Digital Forensics per eseguire correttamente la fase di duplicazione forense dei dati digitali di interesse; a cosa serve questo strumento?

Il Write Blocker serve a fare in modo che quando il supporto di memoria da analizzare viene collegato al computer forense che deve eseguire la duplicazione, il computer stesso possa accedervi in sola lettura e il sistema operativo non esegua quindi le operazioni di scrittura automatiche che altererebbero i dati contenuti nel supporto di memoria.

39.01. Sulla scena di un crimine viene trovato un computer acceso che potrebbe contenere dati digitali di potenziale interesse investigativo; si supponga che non si tratta di un dispositivo always-on (dispositivi che devono per forza essere mantenuti sempre accesi) e che quindi è possibile decidere se e quando spegnerlo. Cosa è opportuno fare sulla base dei dettami della Digital Forensics?

Procedere subito allo spegnimento del computer o decidere di acquisire dei dati mantenendolo acceso dipende dalla tipologia dei dati che si vuole estrarre; se sono di interesse le attività più recenti eseguite sul computer (cioè sapere cosa stesse facendo il computer in prossimità del momento del ritrovamento), prima dello spegnimento è indispensabile eseguire la duplicazione della memoria RAM (dump della RAM).

39.02. Nell'ambito delle attività di Digital Forensics, cosa si intende per live forensics e post-mortem forensics?

La live forensics riguarda le attività di acquisizione da eseguire sui dispositivi informatici accesi. La post-mortem forensics si riferisce invece alle attività di acquisizione da eseguire sui dispositivi informatici spenti.

39.03. La memoria RAM può contenere informazioni di primaria importanza ai fini delle analisi di Digital Forensics, relative alle attività più recenti eseguite sul dispositivo informatico (come chat in corso, processi in esecuzione, connessioni di rete aperte). I dati vanno quindi estratti dalla RAM mediante il cosiddetto dump della memoria; si tratta di una procedura che serve a creare una copia della RAM in vista delle successive analisi forensi. Il dump della RAM è un'operazione ripetibile o irripetibile?

Essendo un'attività eseguita a dispositivo acceso (ambito quindi della live forensics), il dump della RAM è un’operazione irripetibile in quanto il caricamento nel dispositivo del programma necessario per eseguire il dump apporta inevitabilmente delle modifiche alla RAM stessa.

40.01. Gli Hard Disk magnetici sono ancora oggi tra i supporti di memoria di massa più diffusi. Alcune possibili operazioni da eseguire per cancellare i dati digitali memorizzati all'interno degli Hard Disk magnetici sono: - eliminazione dei file mediante la funzione di cancellazione; - riscrittura dell'hard disk; - formattazione di alto livello dell'hard disk. Quale tra le suddette tecniche è la più efficace per cancellare i dati da un hard disk magnetico?

Il modo più sicuro per cancellare i dati da un hard disk magnetico è la riscrittura dell'hard disk. Occorre fare attenzione al fatto che, anche se sembra strano, anche i dati sovrascritti non vengono del tutto cancellati in quanto il disco magnetico mantiene una sorta di "memoria" dei bit cancellati e quindi è possibile recuperarli. Per questo motivo esistono appositi programmi che eseguono numerose riscritture consecutive dei dati.

40.02. Molto spesso nel corso delle attività di indagine forense sui dati digitali contenuti in un computer risulta di primaria importanza analizzare i cosiddetti metadati, di cosa si tratta?

I metadati sono tutte le informazioni che caratterizzano i singoli file contenuti nel computer, come ad esempio nome dell’autore, data creazione, data dell’ultima modifica, tipologia di file, revisioni, commenti, e altro ancora.

41.01. Nell'ambito delle analisi di Mobile Forensics, a cosa servono le SIM sostitutive appositamente create per scopi forensi mediante clonazione delle SIM originali di interesse investigativo?

Le SIM clonate per scopi forensi, avendo gli stessi codici identificativi delle SIM originali di interesse investigativo, se inserite nello smartphone da analizzare vengono riconosciute dal dispositivo che quindi non esegue tutte le operazioni previste in caso di cambio SIM (si evitano quindi alterazioni dei dati); le SIM sostitutive non consentono però allo smartphone di autenticarsi in Rete e permettono quindi di non correre il rischio che lo smartphone instauri una connessione esterna potenzialmente in grado di sovrascrivere (e quindi cancellare) i dati in esso contenuti.

41.02. Qual è, nell'ambito delle indagini di Mobile Forensics, la caratteristica più importante che differenzia gli smartphone dagli altri dispositivi informatici, di cui occorre tener conto per eseguire in modo corretto le analisi forensi?

Gli smartphone tentano continuamente di connettersi alla Rete di telefonia radiomobile; se non vengono adeguatamente isolati sono pertanto potenzialmente in grado di ricevere flussi di dati dalla Rete radiomobile esterna, in sovrascrittura sui dati già presenti nello smartphone, e potrebbero subire addirittura cancellazioni volontarie dati da remoto.

41.03. Nell'ambito degli smartphone cosa identifica il codice IMSI (International Mobile Subscriber Identity)?

L'IMSI è il codice che identifica una determinata SIM in Rete, cioè la SIM associata ad uno specifico Gestore di telefonia. Ad esempio una specifica SIM di Telecom Italia utilizzata dall'utente Alessandro Comi.

42.01. I sistemi di telecomunicazioni radiomobili riescono a far comunicare utente distanti tra loro ed in movimento sovrapponendo le informazioni da trasmettere ad onde elettromagnetiche opportunamente generate propagate. Quali sono le caratteristiche principali con le quali le onde elettromagnetiche si propagano nello spazio?

Quando propagandosi nello spazio l'onda elettromagnetica passa da un mezzo ad un altro (ad esempio dal vuoto all'atmosfera terrestre o anche dall'aria all'acqua) o incontra ostacoli (ad esempio montagne o edifici), è soggetta a fenomeni come riflessione, rifrazione, diffrazione e interferenza che ne modificano direzione e velocità.

42.02. Uno dei più importanti fenomeni cui sono soggette le onde elettromagnetiche nel loro moto di propagazione è l'interferenza; in cosa consiste?

è il risultato della sovrapposizione di due o più onde elettromagnetiche.

42.03. Il principio di funzionamento di un sistema di telecomunicazione radiomobile consiste nel raggiungere gli utenti in movimento tramite la generazione e la propagazione di onde elettromagnetiche alle quali vengono sovrapposte le informazioni da trasmettere. Un onda elettromagnetica è costituita da un campo elettrico e da un campo magnetico che si propagano nello spazio, ed è caratterizzata dalle seguenti proprietà fisiche che ne determinano il comportamento: - frequenza - lunghezza d'onda - ampiezza Cosa rappresentano le suddette proprietà?

La frequenza rappresenta il numero di oscillazioni che l'onda compie nell'unità di tempo (ad esempio ogni secondo). La lunghezza d'onda rappresenta la distanza tra un picco dell'onda e quello successivo, ed è inversamente proporzionale alla frequenza. l'ampiezza rappresenta l'altezza dei picchi dell'onda.

43.01. i sistemi di telecomunicazioni radiomobile riescono a far comunicare utenti i movimenti tramite la generazione e propagazione di onde elettromagnetiche, alle quali vengono sovrapposte le informazioni da trasmettere. L'informazione trasmettere viene sovrapposta a Londra elettromagnetica tramite il processo di modulazione, che prevede la generazione di: -un segnale portante, con ampiezza e frequenza di oscillazione costanti; -un segnale modulante, contenente le informazioni che deve essere trasmessa (rappresentata dalla variabilità del segnale); -un segnale modulato, costituito dalla sovrapposizione dei segnali portante e modulante. E quindi contenente anch'esso le informazioni da trasmettere. Un'antenna trasmittente installata nel dispositivo del mittente provvede ad inviare il segnale modulato, è un'antenna ricevente provvede a capirlo in ricezione per renderlo disponibile al destinatario della comunicazione. Per quale motivo non viene inviato direttamente il segnale modulante, dato che già Esso contiene l'informazione a trasmettere?

i segnali modulanti sono onde elettromagnetiche a bassa frequenza (ad esempio la voce umana), caratterizzate quindi da lunghezze d'onda enormi. essendo la dimensione delle antenne proporzionale alla lunghezza d'onda dei segnali da gestire, se venissero usati i segnali modulanti servirebbero antenne enormi per inviarli e riceverli. poiché i segnali portanti sono caratterizzati invece da piccole lunghezze d'onda (alte frequenze), anche segnali modulanti hanno piccole lunghezze d'onda e sono quindi più facilmente gestibili.

43.02. nell'ambito delle telecomunicazioni degli immobili il processo mediante il quale le informazioni trasmettere vengono sovrapposte alle onde elettromagnetiche propagate poi nello spazio noto come modulazione. Che differenza c'è tra modulazione di ampiezza e modulazione di frequenza?

la modulazione di ampiezza (AM) consiste nel modificare l'ampiezza del segnale portante in maniera proporzionale alle variazioni di ampiezza del segnale modulante. la modulazione di frequenza (FM) consiste nel modificare la frequenza del segnale portante in maniera proporzionale alle variazioni di ampiezza del segnale modulante.

43.03. il principio di funzionamento dei sistemi di telecomunicazioni radiomobile è far comunicare utenti movimento e distanti tra loro sovrapponendo alle onde elettromagnetiche e le informazioni da trasmettere. Il territorio viene suddiviso in molteplici zone di copertura, le cosiddette Celle telefoniche, ognuna delle quali risulta servita da uno specifico impianto chiamato stazione radio base dotato di apposite antenne e in grado di trasmettere e ricevere onde elettromagnetiche appunto A cosa servono esattamente le antenne?

le antenne sono dispositivi in grado di convertire i segnali elettrici in onde elettromagnetiche, irradiando poi tali onde nello spazio (antenne trasmittenti) e, viceversa, di trasformare un segnale elettrici le onde elettromagnetiche in cui sono immerse (antenne riceventi),

44.01 i gestori di telefonia radiomobile installano sul territorio una sede di impianti di ricetrasmissione (bts), ognuno dei quali con il proprio segnale offre copertura ad una determinata area geografica, chiamata cella telefonica. In questo contesto Cosa sono le cosiddette location area?

le location area sono zone territoriali contenente più celle telefoniche, che servono al gestore per tracciare in tempo reale la posizione di massima dei vari cellulari che non hanno comunicazioni attive; in questo modo le chiamate dirette verso una determinata utenza vengono instradate solo nella location area in cui tale utenza risulta posizionata.

44.02. i gestori di telefonia radiomobile garantiscono la copertura del territorio installando una serie di bts, apparati ricetrasmittenti che coprono una determinata porzione geografica di dimensioni limitata, la cosiddetta cella telefonica. Le celle (e quindi le bts) in cui viene suddiviso il territorio e sono associato al codice CGI (cell Global identity) cosa rappresenta questo codice?

il CGI è un codice univoco che identifica le singole celle, non esistono due Celle con lo stesso CGI neanche di gestori telefonici diversi

44.03. ogni gestore di telefonia radio mobile installa sul territorio un certo numero di impianti di ricetrasmissione, bts, ognuno dei quali offre copertura ad una determinata area geografica chiamata cella telefonica. Ai fini forensi la dimensione delle singole Celle di interesse investigativo è un parametro fondamentale di cui tener conto nelle analisi. In fase di progettazione della disposizione fisica delle bts sul territorio e della loro configurazione ottimale, è vero che il gestore dimensiona le celle in maniera diversa sulla base della densità di popolazione presente nelle varie aree geografiche? In caso affermativo in che modo la densità di popolazione influenza la dimensione da assegnare alle Celle?

ogni cella va dimensionata sulla base della densità di popolazione presente in quella zona. in aree particolarmente popolate ad esempio le zone urbane, vanno previste Celle di dimensioni ridotte, altrimenti i canali delle bts verrebbero rapidamente saturati. le zone rurali, in cui la densità abitativa è bassa possono al contrario essere adeguatamente servite anche da Celle di maggiori dimensioni.

44.04. le moderni reti telefoniche cellulari si basano sul cosiddetto riuso delle frequenze, è necessario per permettere ai gestori telefonici di coprire un'area geografica vasta a piacere. In cosa consiste il riuso delle frequenze?

il riuso delle frequenze consiste nel configurare gli impianti di ricetrasmissione bts in modo che le frequenze in uso all'interno di una determinata cella, vengono riutilizzate in Celle sufficientemente distanti da non causare fenomeni di interferenza.

45.01 nell'ambito delle reti cellulari, l'handover è una delle tecniche utilizzate per la gestione della mobilità degli utenti sul territorio, cioè una delle tecniche che permettono agli utenti di ricevere, e seguire o mantenere attive le comunicazioni stando in movimento. Nello specifico, a cosa serve l'handover?

l'handover è la procedura che serve a cambiare automaticamente i canali di aggancio di un telefono cellulare mentre è attiva una comunicazione (sia all'interno di una stessa cella che tra celle diverse), per fare in modo che gli utenti che hanno una comunicazione in corso possano muoversi liberamente nel territorio senza che la comunicazione venga interrotta.

45.02 due codici di primaria importanza nell'ambito delle analisi di telecomunication forensics sono: -codice Imsi -codice IMEI Cosa rappresentano i suddetti codici e quale specifica caratteristica di interesse investigativo li differenzia profondamente?

il codice IMEI identifica l'apparecchio telefonico e non è associato in alcun modo ai dati anagrafici dell'utente che usa tale dispositivo. il codice IMSI identifica la SIM e risulta univocamente associato all'utente intestatario della sim.

45.03 una tecnica ampiamente utilizzata nella progettazione delle reti cellulari è il cosiddetto cell-sectoring; di che si tratta e che infatti ha in ambito investigativo?

il cell sectoring consiste nel settorializzare i siti cellulari installando in un singolo sito, invece di un'unica bts omnidirezionale, più bts direttive aventi direzioni di irradiamento del segnale diverse tra loro. l’importanza a livello investigativo deriva dal fatto che ognuna delle bts costituisce una cella a sé stante, quindi per avere idea dell'area di copertura offerta dalle singole celle non è più sufficiente conoscere la posizione geografica della bts in quanto la cella non risulta più centrata su tale posizione. nel caso di bts direttive è invece assolutamente necessario conoscere anche la direzione di radiamento della bts in quanto l'area geografica coperta dalla cella si trova su tale direzione

46,02 con riferimento alle fasi precedenti, contigue e successive ad un evento criminoso, le analisi di telecomunication forensics eseguite sui tabulati hanno l'obiettivo di ricostruire: -tra chi sono venuti i contatti telefonici -quando tali contatti sono stati generati -dove si trovavano i soggetti al momento degli eventi di traffico Si tratta di informazioni direttamente ed indirettamente ricavabili in maniera certa dai tabulati?

il "quando" è l'unica informazione ricavabile direttamente, immediatamente ed in modo certo dal tabulato, poiché Esso contiene le indicazioni temporali relative alla data/ora di generazione dei vari eventi di traffico. per ricostruire tra "chi" è avvenuto il traffico e "dove" si trovavano i soggetti occorre invece elaborare in modo scientifico i dati di traffico allo scopo di ricavarne quante più indicazioni possibili.

46.01 a dicembre 2018 veniamo contattati in qualità di esperti di telecomunication forensics per analizzare un caso di omicidio. Il fatto criminoso è avvenuto ad agosto 2018, quindi non molto tempo prima. Trattandosi di verifiche da seguire a posteriori, cioè riguardanti un evento già accaduto, una delle primazioni che eseguiamo è la richiesta di tabulati ai gestori telefonici di riferimento per le utenze afferenti ai soggetti di interesse investigativo; in particolare chiediamo che ci forniscono, per il periodo di interesse da luglio 2018 a settembre 2018, tutto il traffico generato dalle utenze in termini di: -traffico telefonico -traffico telematico -chiamate senza risposta La richiesta, posta in questo modo, è corretta?

no. i gestori di telefonia sono obbligati per legge a conservare i dati di traffico afferenti ai proprii utenti, per finalità di accertamento e repressione dei reati. per le chiamate senza risposta il lasso temporale dell'obbligo è però di 30 giorni a partire dalla data in cui è stato generato il traffico; nel caso specifico quindi a dicembre 2018 non possiamo pretendere che i gestori ci forniscano le chiamate senza risposta generate tra luglio e settembre 2018.

46.03 in ambito telecomunication forensics le tracce lasciate da una determinata utenze telefoniche e il tipo di informazioni che se ne possono ricavare dipendono fortemente dallo scenario temporale di riferimento; si parla allora di verifiche a priori o a posteriori. In cosa consiste questa differenza?

le verifiche a priori sono quelle da eseguire su qualcosa che deve ancora accadere. le verifiche a posteriori mirano invece ad analizzare un evento già avvenuto

47.01 nell'ambito delle reti cellulari in tecnologia GSM l'unica informazione relativa al posizionamento di un'utenza ricavabile immediatamente e direttamente sulla base della sola ubicazione geografica delle bts di aggancio, e che l'utenza nel corso di un evento di traffico non può trovarsi ad una distanza dalla bts di aggancio maggiori di 35 km in linea d'aria. Da cosa dipende questo limite?

35 km è il limite impostato a livello software dai gestori telefonici nell'ambito del cosiddetto timing Advance, al fine di poter gestire comunicazioni contemporanee su uno stesso canale di trasmissione

100

48.01 nell'ambito delle attività di telecomunication forensics volte ha localizzare le utenze cellulari, Cosa si intende con il termine bts primaria?

una bts si dice primaria quando, in una determinata zona, irradia un segnale migliore rispetto a quelli di tutte le altre bts limitrofe.

filosofia del diritto 13-24

Sara Sofia · 44問 · 2年前

filosofia del diritto 13-24

44問 • 2年前

Sara Sofia

filosofia del diritto 25-36

Sara Sofia · 37問 · 2年前

filosofia del diritto 25-36

37問 • 2年前

Sara Sofia

filosofia del diritto 37-48

Sara Sofia · 45問 · 2年前

filosofia del diritto 37-48

45問 • 2年前

Sara Sofia

filosofia del diritto 49-60

Sara Sofia · 39問 · 2年前

filosofia del diritto 49-60

39問 • 2年前

Sara Sofia

filosofia del diritto 61-72

Sara Sofia · 39問 · 2年前

filosofia del diritto 61-72

39問 • 2年前

Sara Sofia

cybercrime OK

Sara Sofia · 100問 · 2ヶ月前

cybercrime OK

100問 • 2ヶ月前

Sara Sofia

Diritto processuale civile 1

Sara Sofia · 100問 · 13日前

Diritto processuale civile 1

100問 • 13日前

Sara Sofia

Diritto processuale civile 2

Sara Sofia · 99問 · 12日前

Diritto processuale civile 2

99問 • 12日前

Sara Sofia

Diritto processuale civile 3

Sara Sofia · 40問 · 12日前

Diritto processuale civile 3

40問 • 12日前