
























































Studia grazie alle numerose risorse presenti su Docsity
Guadagna punti aiutando altri studenti oppure acquistali con un piano Premium
Prepara i tuoi esami
Studia grazie alle numerose risorse presenti su Docsity
Prepara i tuoi esami con i documenti condivisi da studenti come te su Docsity
Trova i documenti specifici per gli esami della tua università
Preparati con lezioni e prove svolte basate sui programmi universitari!
Rispondi a reali domande d’esame e scopri la tua preparazione
Riassumi i tuoi documenti, fagli domande, convertili in quiz e mappe concettuali
Studia con prove svolte, tesine e consigli utili
Togliti ogni dubbio leggendo le risposte alle domande fatte da altri studenti come te
Esplora i documenti più scaricati per gli argomenti di studio più popolari
Ottieni i punti per scaricare
Guadagna punti aiutando altri studenti oppure acquistali con un piano Premium
Cybercrime - Risposte Aperte CORRETTO e AGGIORNATO
Tipologia: Panieri
1 / 64
Questa pagina non è visibile nell’anteprima
Non perderti parti importanti!

























































A dicembre 2018 veniamo contattati in qualità di esperti di Telecommunication Forensics per analizzare un caso di omicidio. Il fatto criminoso è avvenuto ad agosto 2018, quindi non molto tempo prima. Trattandosi di verifiche da eseguire a posteriori, cioè riguardanti un evento già accaduto, una delle prime azioni che eseguiamo è la richiesta dei tabulati ai Gestori Telefonici di riferimento per le utenze afferenti ai soggetti di interesse investigativo; in particolare chiediamo che ci forniscano, per il periodo di interesse da luglio 2018 a settembre 2018, tutto il traffico generato dalle utenze in termini di: l traffico telefonico; l traffico telematico; l chiamate senza risposta. La richiesta, posta in questo modo, è corretta? No. I Gestori di Telefonia sono obbligati per legge a conservare i dati di traffico afferenti ai propri utenti, per finalità di accertamento e repressione dei reati. Per le chiamate senza risposta il lasso temporale dell'obbligo è però di 30 giorni a partire dalla data in cui è stato generato il traffico; nel caso specifico quindi a dicembre 2018 non possiamo pretendere che i Gestori ci forniscano le chiamate senza risposta generate tra luglio e settembre 2018. Anche le più moderne tecniche di crittografia si basano su un principio teorizzato da Auguste Kerckhoffs alla fine del XIX secolo. Cosa afferma il principio di Kerckhoffs? Il principio di Kerckhoffs afferma che la sicurezza di un sistema crittografico non deve risiedere nella segretezza del funzionamento dell’algoritmo di cifratura, ma esclusivamente nella chiave di cifratura. Attualmente il malware (malicious software, cioè software malevolo ) più temuto a livello mondiale è probabilmente il cosiddetto ransomware, di cosa si tratta e come agisce? Il ransomware prende "in ostaggio" i dispositivi informatici delle vittime, bloccandoli e chiedendo un riscatto (solitamente sotto forma di bitcoin) per renderli nuovamente utilizzabili. Attualmente tra le tipologie di supporto di memoria più largamente utilizzate ci sono le cosiddette memorie flash, di che tipo di supporto si tratta? Si tratta di supporti di memoria non volatili costituiti da materiale semiconduttore strutturato in griglie di righe e colonne che con le loro intersezioni formano delle celle, nei quali i dati digitali vengono memorizzati intrappolando gli elettroni all'interno delle celle che costituiscono le griglie. Con riferimento alle fasi precedenti, contigue e successive ad un evento criminoso, le analisi di Telecommunication Forensics eseguite sui tabulati hanno l’obiettivo di ricostruire: l tra chi sono avvenuti i contatti telefonici; l quando tali contatti sono stati generati; l dove si trovavano i soggetti al momento degli eventi di traffico. Si tratta di informazioni direttamente ed immediatamente ricavabili in maniera certa dai tabulati? Il "quando" è l’unica informazione ricavabile direttamente, immediatamente ed in modo certo dal tabulato, poiché esso contiene le indicazioni temporali relative alla data/ora di generazione dei vari eventi di traffico. Per ricostruire tra "chi" è avvenuto il traffico e "dove" si trovavano i soggetti occorre invece elaborare in modo scientifico i dati di traffico allo scopo di ricavarne quante più indicazioni possibili.
Due codici di primaria importanza nell'ambito delle analisi di Telecommunication Forensics sono: l codice IMSI; l codice IMEI. Cosa rappresentano i suddetti codici e quale specifica caratteristica di interesse investigativo li differenzia profondamente? Il codice IMEI identifica l'apparecchio telefonico e non è associato in alcun modo ai dati anagrafici dell'utente che usa tale dispositivo. Il codice IMSI identifica la SIM e risulta univocamente associato all'utente intestatario della SIM. Due tra le tecniche più diffuse di attacco basato su Social Engineering sono il phishing e il baiting. Entrambe le tecniche utilizzano come veicolo principale di attacco l'invio di email ingannevoli alle vittime, ma c'è una differenza tra le due, quale? Il phishing mira ad ingannare le vittime tramite messaggi dai toni perentori ed allarmistici (ad esempio malfunzionamenti o controlli di sicurezza), apparentemente provenienti da istituti affidabili, che chiedono loro l’inserimento dei propri dati riservati. Il baiting mira invece ad ingannare le vittime mediante messaggi che creano in loro un desiderio (ad esempio forti sconti in un negozio), per soddisfare il quale la vittima è portata a compiere delle azioni a vantaggio dell’attaccante. Esistono diverse tecniche messe a punto dai cyber-criminali per impedire che i malware vengano rilevati dai software antimalware. Quale di queste tecniche prevede l'occultamento del file eseguibile del malware accorpandolo, senza preventiva compressione, in un altro file eseguibile innocuo in modo da generare così un unico file contenente sia codice innocuo che codice maligno di difficile rilevazione per gli antimalware? I Binders E' vero che l'obiettivo della Crittoanalisi è ricostruire i messaggi segreti che sono stati cifrati mediante tecniche crittografiche? Si. Gli antimalware (spesso chiamati impropriamente antivirus) sono i software da usare per proteggere i dispositivi informatici dai malware (cioè dai programmi maligni). Numerosi antimalware agiscono basandosi sulle cosiddette ‘firme’ dei malware; qual è il principio di funzionamento su cui si fonda questa tecnica? L’antimalware contiene una lista delle firme di tutti i malware che conosce, cioè delle caratteristiche che contraddistinguono i vari tipi di malware. L'antimalware esegue quindi una comparazione dei programmi da controllare con tutte le firme del suo archivio, e se trova una corrispondenza capisce che si tratta di un malware. Gli Hard Disk magnetici sono ancora oggi tra i supporti di memoria di massa più diffusi. Alcune possibili operazioni da eseguire per cancellare i dati digitali memorizzati all'interno degli Hard Disk magnetici sono: l eliminazione dei file mediante la funzione di cancellazione; l riscrittura dell'hard disk; l formattazione di alto livello dell'hard disk. Quale tra le suddette tecniche è la più efficace per cancellare i dati da un hard disk magnetico? Il modo più sicuro per cancellare i dati da un hard disk magnetico è la riscrittura dell'hard disk. Occorre fare attenzione al fatto che, anche se sembra strano, anche i dati sovrascritti non vengono del tutto cancellati in quanto il disco magnetico mantiene una sorta di "memoria" dei bit cancellati e quindi è possibile recuperarli. Per questo motivo esistono appositi programmi che eseguono numerose riscritture consecutive dei dati.
Apple scaricabili solo da App Store; Android è invece un sistema operativo aperto, compatibile con App sviluppate da terze parti, non necessariamente scaricate dal Google Play Store. I diversi attacchi volti a compromettere la sicurezza di un Sistema informatico possono essere classificati sulla base di quale proprietà del Sistema mirano a violare. Quale obiettivo ha il sabotaggio? Il sabotaggio mira a degradare o interrompere del tutto la disponibilità del Sistema informatico, in modo che esso non possa offrire un regolare funzionamento agli utenti autorizzati ad accedervi I Gestori di Telefonia Radiomobile installano sul territorio una serie di impianti di ricetrasmissione (BTS), ognuno dei quali con il proprio segnale offre copertura ad una determinata area geografica, chiamata cella telefonica. In questo contesto cosa sono le cosiddette Location Area? Le Location Area sono zone territoriali contenenti più celle telefoniche, che servono al Gestore per tracciare in tempo reale la posizione di massima dei vari cellulari che non hanno comunicazioni attive; in questo modo le chiamate dirette verso una determinata utenza vengono instradate solo nella Location Area in cui tale utenza risulta posizionata. I Gestori di Telefonia Radiomobile garantiscono la copertura del territorio installando una serie di BTS, apparati ricetrasmittenti che coprono una determinata porzione geografica di dimensione limitata, la cosiddetta cella telefonica. Le celle (e quindi le BTS) in cui viene suddiviso il territorio sono associate al codice CGI ( Cell Global Identity ), cosa rappresenta questo codice? Il CGI è un codice univoco che identifica le singole celle, non esistono due celle con lo stesso CGI neanche di gestori telefonici diversi. I Firewall filtrano il flusso di dati in ingresso ed uscita dalla Rete da proteggere sulla base di una serie di regole opportunamente impostate; l'insieme delle regole costituisce la cosiddetta Security Policy, che prevede filtri sul traffico con restrizioni via via crescenti al crescere del livello di sicurezza richiesto per le varie zone. La Security Policy può essere impostata decidendo se indicare in modo esplicito: l ciò che deve essere permesso: viene cioè stabilito nel dettaglio tutto ciò che il Firewall deve permettere, tutto il resto risulta quindi vietato; oppure l ciò che deve essere vietato: viene cioè stabilito nel dettaglio tutto ciò che il Firewall non deve permettere, tutto il resto risulta quindi permesso. Che differenza c'è tra i due approcci? L'approccio che prevede di stabilire ciò che è permesso risulta più sicuro ma, se la Security Policy viene configurata in modo non corretto, sottopone gli utenti al rischio di non poter utilizzare dei servizi di cui necessitano. Il cifrario di Vigenère, pubblicato nel 1586, prevede che ogni carattere del testo in chiaro venga sostituito dal carattere che lo segue di un numero di posizioni variabile, stabilito sulla base di una parola segreta conosciuta solo da mittente e destinatario, che funziona da chiave di cifratura. La parola chiave va scritta ripetutamente sotto il testo in chiaro, e per costruire il crittogramma ogni lettera del testo in chiaro deve essere sostituita dalla lettera che la segue nell'alfabeto di un numero di posizioni pari al numero ordinale della corrispondente lettera della parola chiave. Qual è la principale debolezza del cifrario di Vigenère, superata dal cifrario successivamente proposto da Vernam nel 1917?
La parola segreta usata come chiave del cifrario di Vigenère è più corta del testo in chiaro e quindi va ripetuta per cifrare il testo in chiaro nella sua interezza. Il cifrario OTP (One Time Pad, in italiano Blocco Monouso ), ispirato al metodo di cifratura teorizzato da Vernam nel 1917, nella sua forma ideale prevede l'utilizzo di una chiave di cifratura avente tre caratteristiche fondamentali, quali? La chiave di cifratura utilizzata nel cifrario OTP deve essere: l lunga quanto il testo in chiaro da cifrare; l generata in modo puramente casuale; l utilizzabile una sola volta. Il funzionamento della cifratrice di Lorenz, una delle più raffinate macchine cifranti mai ideate, è basato sul cifrario "perfetto" di Vernam che teorizza l'uso di una chiave di cifratura del tutto casuale, da usare una sola volta e lunga quanto il messaggio da cifrare. Qual è la sostanziale differenza tra la macchina di Lorenz e il cifrario di Vernam, che costituisce il principale punto di debolezza di tale macchina? La macchina di Lorenz utilizza una chiave pseudo-casuale. Il meccanismo di Firma Digitale, da solo, garantisce anche la riservatezza dei dati trasmessi? Garantisce cioè che un eventuale attaccante che dovesse riuscire ad intercettarli non potrebbe comunque avere accesso al contenuto informativo dei file? La Firma Digitale, da sola, non garantisce la riservatezza dei dati. Per proteggere anche la riservatezza della comunicazione, il mittente dopo aver ‘firmato’ il file con la sua chiave privata deve procedere, prima dell'invio, a cifrare sia il file che la Firma Digitale con uno dei metodi classici di crittografia (Simmetrica con chiave segreta o Asimmetrica con chiave pubblica del destinatario). Il principio di funzionamento di un sistema di telecomunicazione radiomobile consiste nel raggiungere gli utenti in movimento tramite la generazione e propagazione di onde elettromagnetiche alle quali vengono sovrapposte le informazioni da trasmettere. Un'onda elettromagnetica è costituita da un campo elettrico e da un campo magnetico che si propagano nello spazio, ed è caratterizzata dalle seguenti proprietà fisiche che ne determinano il comportamento: l frequenza; l lunghezza d'onda; l ampiezza. Cosa rappresentano le suddette proprietà? La frequenza rappresenta il numero di oscillazioni che l’onda compie nell'unità di tempo (ad esempio ogni secondo). La lunghezza d'onda rappresenta la distanza tra un picco dell’onda e quello successivo, ed è inversamente proporzionale alla frequenza. L'ampiezza rappresenta l’altezza dei picchi dell'onda. Il principio di funzionamento dei sistemi di telecomunicazione radiomobile è far comunicare utenti in movimento e distanti tra loro sovrapponendo alle onde elettromagnetiche le informazioni da trasmettere. Il territorio viene suddiviso in molteplici zone di copertura, le cosiddette celle telefoniche, ognuna delle quali risulta servita da uno specifico impianto (chiamato Stazione Radio Base ) dotato di apposite antenne in grado di trasmettere e ricevere onde elettromagnetiche. A cosa servono esattamente le antenne? Le antenne sono dispositivi in grado di convertire i segnali elettrici in onde elettromagnetiche, irradiando poi tali onde nello spazio (antenne trasmittenti) e, viceversa, di trasformare in segnali elettrici le onde elettromagnetiche in cui sono immerse (antenne riceventi).
Il virus necessita di un software che lo ospiti per introdursi nei dispositivi da infettare, si diffonde annidandosi all'interno di altri software. Il worm costituisce un software a se stante e per propagarsi non ha quindi bisogno di annidarsi all'interno di altri software. Internet è una Rete informatica a commutazione di pacchetto, nella quale cioè i dati da trasmettere vengono suddivisi in tanti "pacchetti" inviati singolarmente dal computer sorgente a quello di destinazione. Qual è il dispositivo che si occupa di instradare i vari pacchetti all'interno della Rete affinché raggiungano la destinazione corretta? Il Router In ambito telecommunication forensic, le tracce lasciate …ecc… Le verifiche a priori sono quelle da eseguire su qualcos che deve ancora accadere. Le verifiche a posteriori mirano invece ad analizzare un evento già avvenuto. In ambito Digital Forensics il processo di validazione della copia forense consiste nel confrontare la copia con l’originale per verificarne l’esatta corrispondenza; la validazione viene eseguita calcolando le impronte di originale e copia mediante funzioni crittografiche di Hash, e verificando poi che le impronte siano identiche. Quando deve essere eseguita la validazione? Nell'immediatezza dell’individuazione/sequestro dell'originale e della sua duplicazione, devono essere subito calcolate le impronte di Hash di originale e copia, necessarie per validare la copia forense appena prodotta e per verificare se nel corso del tempo la copia o anche lo stesso originale abbiano subito alterazioni. I sistemi di autenticazione biometrici si basano su …ecc.. Non è possibile in quanto una delle proprietà ..ecc.. I sistemi di telecomunicazioni radiomobili riescono a far comunicare utenti distanti tra loro ed in movimento sovrapponendo le informazioni da trasmettere ad onde elettromagnetiche opportunamente generate e propagate. Quali sono le caratteristiche principali con le quali le onde elettromagnetiche si propagano nello spazio? Quando propagandosi nello spazio l'onda elettromagnetica passa da un mezzo ad un altro (ad esempio dal vuoto all'atmosfera terrestre o anche dall'aria all'acqua) o incontra ostacoli (ad esempio montagne o edifici), è soggetta a fenomeni come riflessione, rifrazione, diffrazione ed interferenza che ne modificano direzione e velocità. I sistemi di telecomunicazione radiomobile riescono a far comunicare utenti in movimento tramite la generazione e propagazione di onde elettromagnetiche, alle quali vengono ‘sovrapposte’ le informazioni da trasmettere. L’informazione da trasmettere viene sovrapposta all'onda elettromagnetica tramite il processo di modulazione, che prevede la generazione di: l un segnale portante, con ampiezza e frequenza di oscillazione costanti; l un segnale modulante, contenente l'informazione che deve essere trasmessa (rappresentata dalla variabilità del segnale); l un segnale modulato, costituito dalla sovrapposizione dei segnali portante e modulante. e quindi contenente anch'esso l'informazione da trasmettere. Un'antenna trasmittente installata nel dispositivo del mittente provvede ad inviare il segnale modulato, e un'antenna ricevente provvede a captarlo in ricezione per renderlo disponibile al destinatario della comunicazione. Per quale motivo non viene inviato direttamente il segnale modulante, dato che già esso contiene l'informazione da trasmettere?
I segnali modulanti sono onde elettromagnetiche a bassa frequenza (ad esempio la voce umana), caratterizzati quindi da lunghezze d’onda enormi. Essendo la dimensione delle antenne proporzionale alla lunghezza d'onda dei segnali da gestire, se venissero usati i segnali modulanti servirebbero antenne enormi per inviarli e riceverli. Poiché i segnali portanti sono caratterizzati invece da piccole lunghezze d'onda (alte frequenze), anche i segnali modulati hanno piccole lunghezze d'onda e sono quindi più facilmente gestibili. L'analisi del comportamento criminale in ambito informatico, deve tener conto degli aspetti peculiari che differenziano i reati informatici da quelli tradizionali. C'è un caratteristica particolare propria dei reati informatici che è opportuno considerare quando si procede a valutare il profilo psicologico e motivazionale dei cyber-criminali, quale? . Nella commissione dei reati informatici il criminale non ha alcun contatto con la scena del crimine e con la vittima, e ciò comporta che il criminale informatico molto spesso non prende pienamente coscienza del proprio operato e della gravità del reato. La Crittografia Asimmetrica permette agli utenti di comunicarsi le chiavi di cifratura anche su canale non protetto; anche se un attaccante riuscisse ad intercettare le chiavi trasmesse su canale non sicuro, non potrebbe infatti usarle per decifrare i crittogrammi. Si tratta quindi di una tecnica più sicura rispetto alla Crittografia Simmetrica, che invece richiede che gli interlocutori condividano le chiavi esclusivamente su canale protetto. Proprio per questa sua caratteristica, la Crittografia Asimmetrica vien chiamata anche Crittografia a chiave pubblica; che significa? Nella Crittografia Asimmetrica la chiave utilizzata dal mittente per cifrare il testo in chiaro è diversa da quella che deve usare il destinatario per decifrare il crittogramma. La chiave per cifrare può essere resa pubblica, mentre quella per decifrare deve restare privata, segreta e disponibile al solo al legittimo destinatario, che quindi deve provvedere a conservarla con estrema attenzione. La crittografia RSA è la tecnica di cifratura Asimmetrica più diffusa al mondo e sfrutta una funzione matematica facile da calcolare in un verso, ma quasi impossibile da invertire; qual è questa particolare funzione matematica? La fattorizzazione dei numeri primi. La diffusione delle tecnologie informatiche nella vita quotidiana di ognuno ha progressivamente incrementato i casi in cui le informazioni potenzialmente importanti a livello processuale sono costituite da elementi digitali, correlati a dispositivi informatici o a reti informatiche. Per questo motivo è nata e si è sviluppata la Digital Forensics, disciplina che si occupa di individuare , estrarre, conservare, analizzare e documentare le evidenze digitali affinché abbiano valore probatorio in ambito processuale. In quali ambiti viene applicata la Digital Forensics? La Digital Forensics è applicabile ai reati, sia tradizionali che strettamente riconducibili alla categoria dei cybercrime, nel cui contesto sia presente un dispositivo informatico in qualche modo legato ad oggetti, luoghi e persone pertinenti il reato stesso. La fisica quantistica si è sviluppata a partire dall'inizio del 1900, ed è la branca della fisica che si occupa di analizzare e comprendere il comportamento della materia nell'infinitamente piccolo. Due scoperte fatte nell'ambito della fisica quantistica riguardano l'incredibile comportamento delle particelle microscopiche e risultano di primaria importanza nel campo della Crittografia in quanto potrebbero portare ad una vera e propria rivoluzione nelle tecniche di cifratura dei messaggi. Quali sono queste scoperte? l La sovrapposizione degli stati: in un determinato istante le proprietà delle particelle non sono definite e possiedono contemporaneamente valori (stati) diversi. l L'entanglement quantistico: in particolari condizioni più particelle diverse risultano legate tra loro pur essendo separate da grandi distanze.
Disponibilità Riservatezza Integrità Autenticità Non ripudiabilit La steganografia sostitutiva è una delle tecniche più diffuse per nascondere un messaggio segreto all'interno di un file, chiamato contenitore, apparentemente privo di interesse per un eventuale attaccante. La maggior parte dei software di steganografia sostitutiva sono basati sul metodo LSB ( Least Significant Bits ) che consiste nell'inserire il messaggio segreto al posto dei bit meno significativi del contenitore, ad esempio un'immagine digitale, per fare in modo che dopo l’inserimento del messaggio segreto il contenitore stesso risulti difficilmente distinguibile dall'immagine originale, passando quindi del tutto inosservato. Supponiamo di voler utilizzare come contenitore un'immagine digitale in formato bmp (bitmap), codificata con il metodo RGB cioè come somma dei tre colori Rosso (Red), Verde (Green) e Blu (Blue). Il contenitore è quindi costituito da una griglia di punti colorati, i pixel; i singoli pixel sono associati a 3 byte (1 byte = 8 bit), che determinano lo specifico colore del pixel tra tutti i colori possibili. Ognuno dei 3 byte rappresenta infatti un colore espresso come codifica binaria di un numero da 1 a 256, ed indica il livello dei colori Rosso, Verde e Blu per quel pixel (il colore del pixel è la somma dei colori rappresentati dai 3 byte). Consideriamo ad esempio un pixel, tendente al Rosso, associato alla seguente terna di byte: l Rosso: 11100010 (traduzione di 226 in codice binario) l Verde: 00001010 (traduzione di 10 in codice binario) l Blu: 00011001 (traduzione di 25 in codice binario) Per nascondere 3 bit del messaggio segreto (ad esempio i bit 010) all'interno del suddetto pixel procediamo ad inserirli al posto di altrettanti bit del pixel stesso, ottenendo quindi un pixel così modificato: l Rosso:? l Verde:? l Blu:? l Rosso: 11100010 l Verde: 00001011 l Blu: 0001100 0 (sono stati evidenziati in grassetto i bit diversi rispetto al pixel originale) La tecnica del salting serve ad incrementare la sicurezza delle password. Consiste nell'aggiungere ad ognuna delle password alcuni caratteri casuali (detti appunto salt, ossia granelli di sale ) prima di procedere all'applicazione della funzione di Hash per il calcolo delle impronte digitali. In pratica nel sistema informatico vengono tracciate le coppie "username - Hash della (password+salt)". Per quale motivo questa tecnica rende proibitivi gli attacchi a Dizionario, gli attacchi basati cioè sulla predisposizione di un Dizionario di password comuni alle quali applicare la funzione di Hash per ricavare un Dizionario Criptato (chiamato anche Rainbow Table ), da confrontare poi con le impronte di tutte le password memorizzate nel sistema informatico? All'attaccante non basta più preparare un unico Dizionario di password comuni alle quali applicare la funzione di Hash e ricavare così un unico Dizionario Criptato (chiamato anche Rainbow Table ). Pur conoscendo il salt, l'attaccante è invece costretto a preparare almeno un Dizionario Criptato per ognuna delle password da violare, ricavato a partire da tutte le password comuni alle quali deve essere aggiunto lo specifico salt di ognuna delle password da violare. Il tempo e le risorse necessarie a calcolare tutti i Dizionari Criptati rende proibitivo l'attacco a Dizionario. Le classiche tecniche di autenticazione tramite One Time Password (OTP) prevedono che il generatore di OTP (ad esempio un Token) e il sistema informatico al quale si vuole accedere conoscano entrambi un dato segreto (il cosiddetto "seme") sulla base del quale viene generata la password OTP. Il seme deve
quindi essere trasmesso dal Token al sistema informatico, col rischio che un attaccante possa intercettarlo ed entrarne in possesso. Il metodo S/KEY è una particolare tecnica OTP che possiede però una caratteristica specifica che lo rende decisamente più sicuro delle tecniche di autenticazione OTP classiche, quale? Il metodo S/KEY non richiede che il sistema informatico conosca il seme; permette quindi di far restare il seme nella sola disponibilità dell’utente, senza che venga mai trasmesso dal Token al sistema informatico. Una volta usato il seme viene cancellato anche dal Token. Le funzioni crittografiche di Hash sono uno degli strumenti maggiormente utilizzati per garantire l'integrità dei dati digitali, proteggendoli così sia dalle modifiche accidentali che, soprattutto, dagli attacchi volontari che mirano ad alterarli. Tali funzioni matematiche vengono comunemente chiamate "one way" Hash, definizione che deriva da una particolare proprietà che le caratterizza e che risulta di fondamentale importanza in ambito crittografico, quale? Il termine one way Hash deriva dal fatto che le funzioni di Hash sono unidirezionali, risultano cioè molto difficili da invertire. In altre parole, è molto complicato ricostruire il file originale partendo dal risultato ottenuto applicando la funzione di Hash a quel file. Le funzioni crittografiche di Hash, applicate al file di cui si vuole garantire l'integrità, forniscono come risultato una sorta di "impronta digitale" di tale file. L'impronta digitale del file, chiamata anche message digest , viene ottenuta trasformando la sequenza di bit originale di cui è costituito il file in un'altra sequenza di bit apparentemente casuale, che costituisce l'impronta digitale del file. Quale proprietà caratterizza la lunghezza delle impronte digitali generate dalle funzioni crittografiche di Hash? Applicando una determinata funzione crittografica di Hash a file costituiti da sequenze di bit di lunghezza arbitraria, la funzione genera impronte digitali di lunghezza fissa; in altre parole la funzione crittografica di Hash trasforma sequenze di bit di qualunque lunghezza in una sequenza di bit di lunghezza fissa. Tutti i file a cui viene applicata una certa funzione crittografica di Hash forniscono impronte digitali diverse loro ma della stessa lunghezza. Le moderne Reti Telefoniche Cellulari si basano sul cosiddetto "riuso delle frequenze", necessario per permettere ai Gestori telefonici di coprire un’area geografica vasta a piacere. In cosa consiste il riuso delle frequenze? Il riuso delle frequenze consiste nel configurare gli impianti di ricetrasmissione (BTS) in modo che le frequenze in uso all'interno di una determinata cella, vengono riutilizzate in celle sufficientemente distanti da non causare fenomeni di interferenza. Le tecniche di Crittografia Simmetrica hanno un punto di debolezza nel fatto che richiedono la trasmissione della chiave su canali protetti; sono però di veloce esecuzione e risultano quindi adatte alla cifratura di messaggi anche molto lunghi. Di contro le tecniche di Crittografia Asimmetrica sono più sicure perché non necessitano di scambio della chiave su canale protetto, però risultano decisamente più lente a causa dei complessi calcoli matematici necessari alla cifratura/decifratura. La soluzione di cifratura oggi più usata prevede l’utilizzo di una combinazione dei metodi Simmetrico ed Asimmetrico, allo scopo di sfruttare gli aspetti positivi di entrambe le tecniche, garantendo la sicurezza offerta dalla Crittografia Asimmetrica senza però eccessive ripercussioni sulla velocità di cifratura/decifratura. Qual è il principio di funzionamento della Crittografia combinata? Il mittente applica al messaggio da inviare una tecnica di Crittografia Simmetrica, provvedendo poi a cifrare la chiave di cifratura simmetrica con una tecnica di Crittografia Asimmetrica. Al destinatario vengono inviati sia il crittogramma del messaggio che quello della chiave.
Le MDC sono funzioni di Hash senza chiave, possono quindi garantire solo l'integrità dei file. Le MAC sono invece funzioni di Hash con chiave e, oltre all'integrità, sono in grado di garantire anche l'autenticità dei file. Nel 1949 Claude Shannon, uno dei padri della teoria dell’informazione, dimostrò matematicamente che il cifrario OTP (One Time Pad, in italiano Blocco Monouso ), se applicato nella sua forma ideale, è l'unico cifrario che può essere considerato perfetto ed inviolabile. Il cifrario OTP non è però utilizzabile nella pratica (almeno fino all'avvento della Crittografia Quantistica) a causa di alcuni problemi rilevanti, quali? I problemi che rendono il cifrario ideale OTP inutilizzabile nella pratica sono: l complessità tecnica di generazione di chiavi che siano genuinamente casuali; l necessità che mittente e destinatario condividano su un canale di comunicazione sicuro una chiave lunga quanto il messaggio da cifrare. Nel 1949 Claude Shannon, uno dei padri della teoria dell’informazione, dimostrò matematicamente che il cifrario OTP (One Time Pad, in italiano Blocco Monouso ), se applicato nella sua forma ideale, è l'unico cifrario che può essere considerato perfetto ed inviolabile. Da quale peculiare caratteristica del cifrario OTP deriva la sua inviolabilità? L'inviolabilità del cifrario OTP dipende dal fatto che dopo il processo di cifratura il crittogramma non presenta più nessuna relazione con il messaggio in chiaro, sono quindi destinati a fallire sia gli attacchi statistici che quelli a forza bruta. L’unico modo per decifrare il crittogramma è possedere la chiave. Nell'ambito degli smartphone cosa identifica il codice IMSI ( International Mobile Subscriber Identity )? L'IMSI è il codice che identifica una determinata SIM in Rete, cioè la SIM associata ad uno specifico Gestore di telefonia. Ad esempio una specifica SIM di Telecom Italia utilizzata dall'utente Alessandro Comi. Nell'ambito dei Firewall che cos'è un Application Gateway? . L’Application Gateway è un particolare Firewall che agisce a livello applicativo; si interpone tra i dispositivi interni alla Rete da proteggere e quelli esterni a cui ci si vuole connettere, fungendo da Proxy che disaccoppia il canale di comunicazione tra i diversi dispositivi. Riceve le richieste e provvede a inoltrarle o a bloccarle a seconda delle regole che sono state impostate. Nell'ambito della sicurezza informatica, la Crittografia Simmetrica e le funzioni di Hash con chiave sono in grado di garantire integrità ed autenticità dei file. La Firma Digitale è stata introdotta per garantire che il file, oltre ad essere integro ed autentico, possegga un'altra fondamentale caratteristica, necessaria per poter equiparare la Firma Digitale ad una firma autografa, quale? La Firma Digitale garantisce anche la non ripudiabilità dei file. Nell'ambito della sicurezza informatica è di fondamentale importanza proteggere la riservatezza dei dati; occorre cioè garantire che le informazioni memorizzate e scambiate all'interno di un sistema informatico o tra diversi sistemi informatici devono risultare accessibili solo agli utenti autorizzati. Una delle tecniche maggiormente utilizzate a tale scopo è la steganografia, che consiste nel nascondere il messaggio da tenere segreto all'interno del cosiddetto " contenitore", facendo in modo che solo i
soggetti autorizzati siano in possesso della chiave per accedere al contenuto del messaggio. A cosa serve il contenitore? Il contenitore è un elemento (ad esempio uno fotografia digitale, un file audio o anche un semplice file di testo) che non desta alcun interesse in un eventuale attaccante, e la modifica del suo aspetto derivante dall'inserimento del messaggio segreto risulta impercettibile. Il contenitore è quindi in grado di nascondere l'esistenza stessa del messaggio segreto. Nell'ambito delle attività di Digital Forensics, in quali casi è necessario procedere alla duplicazione delle evidenze digitali di interesse? La duplicazione è necessaria non solo per acquisire i dati digitali nel caso in cui non risulta possibile il sequestro dei dispositivi informatici che li contengono, ma anche per la creazione di copie forensi su cui eseguire le analisi per non intaccare i dati originali e preservarne quindi l'integrità. Nell'ambito delle attività di Digital Forensics, cosa si intende per live forensics e post-mortem forensics? La live forensics riguarda le attività di acquisizione da eseguire sui dispositivi informatici accesi. La post-mortem forensics si riferisce invece alle attività di acquisizione da eseguire sui dispositivi informatici spenti. Nell'ambito delle politiche di accesso ai sistemi informatici, il metodo di autenticazione più diffuso è quello basato sulla password. Quando un utente in fase di richiesta di accesso fornisce la propria username ed inserisce una password, il sistema provvede a confrontarla con la password associata alla username dell'utente per autenticarne l'identità. A tale scopo occorre memorizzare nel sistema informatico (all'interno di appositi file) specifiche informazioni che permettano di associare le username di tutti gli utenti autorizzati alle relative password di accesso. Qual è uno dei sistemi maggiormente usati per evitare che, in caso di furto dei file contenenti le suddette associazioni, un attaccante abbia facile accesso alle password di tutti gli utenti? Memorizzare non le password ma le loro impronte digitali generate tramite funzioni di Hash; il sistema contiene quindi le associazioni username-hash della password. Nell'ambito delle telecomunicazioni radiomobili, il processo mediante il quale le informazioni da trasmettere vengono sovrapposte alle onde elettromagnetiche propagate poi nello spazio è noto come modulazione. Che differenza c'è tra modulazione di ampiezza e modulazione di frequenza? La modulazione di ampiezza (AM) consiste nel modificare l’ampiezza del segnale portante in maniera proporzionale alle variazioni di ampiezza del segnale modulante. La modulazione di frequenza (FM) consiste nel modificare la frequenza del segnale portante in maniera proporzionale alle variazioni di ampiezza del segnale modulante Nell'ambito delle Reti Cellulari, l'handover è una delle tecniche utilizzate per la gestione della mobilità degli utenti sul territorio, cioè una delle tecniche che permettono agli utenti di ricevere, eseguire o mantenere attive le comunicazioni stando in movimento. Nello specifico, a cosa serve l'handover? L'handover è la procedura che serve a cambiare automaticamente i canali di aggancio di un telefono cellulare mentre è attiva una comunicazione (sia all'interno di una stessa cella che tra celle diverse), per fare in modo che gli utenti che hanno una comunicazione in corso possano muoversi liberamente nel territorio senza che la comunicazione venga interrotta. Nell'ambito delle Reti Cellulari in tecnologia GSM l'unica informazione relativa al posizionamento di
dispositivo all'altro. Ogni Gestore di Telefonia Radiomobile installa sul territorio un certo numero di impianti di ricetrasmissione (BTS), ognuno dei quali offre copertura ad una determinata area geografica chiamata cella telefonica. Ai fini forensi la dimensione delle singole celle di interesse investigativo è un parametro fondamentale di cui tener conto nelle analisi. In fase di progettazione della disposizione fisica delle BTS sul territorio e della loro configurazione ottimale, è vero che il Gestore dimensiona le celle in maniera diversa sulla base della densità di popolazione presente nelle varie aree geografiche? In caso affermativo in che modo la densità di popolazione influenza la dimensione da assegnare alle celle? Ogni cella va dimensionata sulla base della densità di popolazione presente in quella zona. In aree particolarmente popolate, ad esempio le zone urbane, vanno previste celle di dimensioni ridotte, altrimenti i canali delle BTS verrebbero rapidamente saturati. Le zone rurali, in cui la densità abitativa è bassa, possono al contrario essere adeguatamente servite anche da celle di maggiori dimensioni. Per fare in modo che un dispositivo informatico esegua in automatico le operazioni logiche necessarie a risolvere uno specifico problema, è necessario definire la sequenza di azioni elementari che occorre compiere sui dati in ingresso per ottenere la soluzione del problema. In questo contesto, che differenza c'è tra algoritmi e programmi? L'algoritmo è la sequenza di azioni elementari da eseguire in un ordine ben preciso sui dati in ingresso per risolvere un problema, ed ottenere come risultato una serie di dati in uscita. Il programma è la traduzione dell'algoritmo in un linguaggio comprensibile per il dispositivo informatico che deve eseguire le azioni Per rendere più sicuro il trasferimento dei dati, è possibile aggiungere funzionalità di cifratura e autenticazione direttamente ai Protocolli di comunicazione, principalmente ai Protocolli di Rete ed ai Protocolli Applicativi. Un esempio di comunicazione sicura tramite Protocollo Applicativo cifrato è il Protocollo HTTPS, ottenuto inserendo il Protocollo HTTP all'interno di una connessione criptata tramite un particolare sistema di cifratura, quale? Il sistema di cifratura TLS/SSL Qual è l'obiettivo primario della Digital Forensics? La Digital Forensics si occupa di gestire le evidenze digitali legate ad un evento criminoso in tutto il loro ciclo di vita (dall'individuazione alla presentazione in sede processuale); l'esperto di Digital Forensics quindi deve occuparsi non solo di analizzare le evidenze digitali ma anche di assicurare che tali evidenze abbiano e conservino valore probatorio, che siano cioè utilizzabili nel processo senza essere soggette a contestazioni. Qual è, nell'ambito delle indagini di Mobile Forensics, la caratteristica più importante che differenzia gli smartphone dagli altri dispositivi informatici, di cui occorre tener conto per eseguire in modo corretto le analisi forensi? Gli smartphone tentano continuamente di connettersi alla Rete di telefonia radiomobile; se non vengono adeguatamente isolati sono pertanto potenzialmente in grado di ricevere flussi di dati dalla Rete radiomobile esterna, in sovrascrittura sui dati già presenti nello smartphone, e potrebbero subire addirittura cancellazioni volontarie dati da remoto. Sulla scena di un crimine viene trovato un computer acceso che potrebbe contenere dati digitali di potenziale interesse investigativo; si supponga che non si tratta di un dispositivo always-on (dispositivi che devono per forza essere mantenuti sempre accesi) e che quindi è possibile decidere se e quando
spegnerlo. Cosa è opportuno fare sulla base dei dettami della Digital Forensics? Procedere subito allo spegnimento del computer o decidere di acquisire dei dati mantenendolo acceso dipende dalla tipologia dei dati che si vuole estrarre; se sono di interesse le attività più recenti eseguite sul computer (cioè sapere cosa stesse facendo il computer in prossimità del momento del ritrovamento), prima dello spegnimento è indispensabile eseguire la duplicazione della memoria RAM (dump della RAM). Supponiamo di essere i responsabili della sicurezza del Sistema informatico che controlla e monitora il corretto funzionamento di una Centrale Nucleare. Nell'ambito della valutazione dei rischi informatici cui è soggetto tale sistema nei confronti delle diverse minacce, come dobbiamo porci di fronte alla valutazione del rischio informatico rappresentato da un eventuale terremoto? Il rischio informatico cui è esposto il Sistema nei confronti di un eventuale terremoto è tanto più alto quanto più la zona in cui è ubicata la Centrale Nucleare è soggetta a fenomeni sismici; in assenza di opportune contromisure il rischio è altissimo se si tratta di una zona sismica, risulta invece basso se la zona non è soggetta a fenomeni sismici. In ogni caso è possibile ridurre il rischio mediante l'adozione di specifiche contromisure tecniche e procedurali che garantiscano la sicurezza della Centrale anche in caso di terremoto Un computer quantistico è un particolare dispositivo informatico che per elaborare le informazioni ed eseguire i calcoli, invece di basarsi sulle leggi della fisica classica (come fanno i dispositivi tradizionali che tutti conosciamo), utilizza invece le leggi della fisica quantistica. Si tratta di un computer in grado di eseguire calcoli con una potenza enormemente maggiore rispetto ai dispositivi informatici tradizionali, pertanto potrebbe in linea teorica mettere in crisi gli attuali sistemi crittografici. In questo contesto si inquadra il cosiddetto algoritmo quantistico di Shor, di che si tratta? Si tratta di un algoritmo che, fatto girare su un computer quantistico di potenza opportuna, potrebbe risolvere in tempi accettabili il problema della fattorizzazione di grandi interi in numeri primi e sarebbe quindi in grado di violare tutti i sistemi crittografici basati sulla fattorizzazione in numeri primi, compresa la diffusissima tecnica asimmetrica RSA. Un’operazione di primaria importanza nell'ambito della Digital Forensics è la creazione di una copia forense del dato digitale di interesse, dove per copia forense si intende una copia bit a bit di tutti i dati contenuti in un supporto di origine verso un supporto di destinazione. Per fare in modo che la componente logica della copia risulti perfettamente identica all'originale, la procedura di duplicazione deve cioè garantire che i singoli bit della copia corrispondano ai singoli bit dell’originale. Quali sono le possibili modalità per generare una copia forense? Per generare una copia forense che abbia valore probatorio incontestabile, è possibile procedere alla duplicazione dell'originale utilizzando una delle seguenti modalità: l clonare l'originale, cioè duplicare tutti i bit del supporto di memoria di origine all'interno di un supporto di memoria di destinazione, rispettando l’esatta sequenza di riproduzione dei bit; l creare un'immagine dell'originale, cioè duplicare tutti i bit del supporto di memoria di origine in uno o più file "immagine" che vengono salvati all'interno di un supporto di memoria destinazione. Una delle tecniche crittografiche più antiche per nascondere un messaggio segreto rendendolo incomprensibile, è generare un crittogramma applicando al messaggio segreto la cosiddetta cifratura per trasposizione; in cosa consiste? I caratteri del messaggio segreto da cifrare vengono "mescolati" usando specifiche regole reversibili; viene cioè modificata la posizione dei caratteri del messaggio segreto.
Uno dei modi per classificare i reati informatici è distinguerli in: l reati informatici propri (o informatici in senso stretto); l reati informatici impropri (o informatici in senso lato). Qual è la differenza tra queste due macro-categorie di reati? Nei reati informatici propri il ruolo dei dispositivi informatici è essenziale nella commissione del reato, nel senso che senza il supporto dei sistemi informatici e telematici questi reati non possono sussistere. I reati informatici impropri esistono a prescindere dai sistemi informatici ed utilizzano tali sistemi solo come strumento più efficace per realizzare il crimine; potrebbero cioè essere commessi anche senza l'ausilio di dispositivi informatici. Uno dei più importanti fenomeni cui sono soggette le onde elettromagnetiche …ecc.. È il risultato della sovrapposizione di due o più onde elettromagnetiche Uno dei principi della Fisica Quantistica che risulta di fondamentale importanza nell'ambito delle ricerche inerenti la Crittografia Quantistica è la casualità degli esiti delle misurazioni sulle singole particelle. I risultati ottenuti misurando determinate proprietà delle particelle elementari sono cioè genuinamente probabilistici, nel senso che se si misura ripetutamente una certa proprietà di una determinata particella, l’esito delle singole misure non è sempre lo stesso ma varia in modo del tutto casuale. Effettuando ad esempio una serie di misure del piano di polarizzazione di una particella, che tipo di risultati si otterrebbero? L'esito delle misurazioni è genuinamente casuale, quindi si otterrebbe che dopo un elevato numero di misurazioni il 50% delle volte la misura ha fornito un piano di polarizzazione orizzontale e nell'altro 50% dei casi il risultato è stato invece polarizzazione verticale. Uno dei sistemi crittografici maggiormente utilizzati per rendere più sicuri i Protocolli Applicativi è il sistema TLS (e il suo predecessore SSL). Cosa garantisce una comunicazione tra client e server eseguita mediante Protocollo HTTPS, cioè Protocollo HTTP crittografato tramite sistema TLS/SSL? . Il Protocollo crittografico HTTPS garantisce la riservatezza dei dati trasmessi e l'identità del server (il sito web visitato), non quella del client. Uno degli attacchi più diffusi portati al mondo di internet è il cosiddetto spoofing; in cosa consiste? Tramite le tecniche di spoofing il criminale, nascondendo la propria vera identità, finge di essere un dispositivo informatico o un utente che agli occhi della vittima appare affidabile, spingendola quindi a compiere azioni per lei dannose a tutto vantaggio dell'attaccante.