Chapter

SOF on Trial. The Technical and Legal Value of Battlefield Digital Forensics in Court

Authors:
To read the full-text of this research, you can request a copy directly from the authors.

No full-text available

Request Full-text Paper PDF

To read the full-text of this research,
you can request a copy directly from the authors.

... It is this point that changes the nature of the collection cycle from evidence or intelligence-based collection to simple artifact collection. As shared by Mancini, Monti, and Panico, (2017) evidence that is not collected with exacting forensic standards does not immediately disqualify that artifact from being used as evidence. This sentiment is argued within the time urgent community. ...
... Training such as the NATO Technical Exploitation Operators course, train the skills required for unskilled forensic personnel to be able to collect biometric and digital media artifacts effectively in a time compressed tactical condition. This training allows for the competent collection of artifacts that could be used in the domains of criminal and intelligence prosecution according to Mancini, Monti, and Panico, (2017). ...
... Focusing on the collector the proposed framework in this paper is designed provide a highly efficient model for the collection of artifacts in a manner that is unbiased and maintaining the artifacts original integrity. Braccini et al., (2016); Mancini et al., (2017); Pearson & Watson, (2010b) ;Perry, (2009) all stated in their works that a framework is required to enable the training of operators to be proficient collectors. Over the years many frameworks have been offered to solve the training of operators and to provide a working workflow for efficient tactical collection. ...
... While in the intelligence and military circles the use of digital forensics-grade techniques is a low priority because none of these information are supposed to ever land in Court, the very same approach doesn't work for the "regular" investigation where rules of evidence reign. (Mancini, Panico, & Monti, 2017). ...
Conference Paper
Full-text available
This paper analyses the evolution of the methods applied by the Italian Public Prosecution Service and Law Enforcement community to the digital investigations. Starting from the early criminal trials, back in 1994, the paper shows how specific investigative trends have been anticipated by the "field necessity", and how the inability of the law to keep the pace with the rapidly-changing scenario led to mistrials and bad decisions that, to "save" a single trial, affected the legal system as a whole and the right to defense.
Article
Full-text available
The global diffusion of smartphones and tablets, exceeding traditional desktops and laptops market share, presents investigative opportunities and poses serious challenges to law enforcement agencies and forensic professionals. Traditional Digital Forensics techniques, indeed, may be no longer appropriate for timely analysis of digital devices found at the crime scene. Nevertheless, dealing with specific crimes such as murder, child abductions, missing persons, death threats, such activity may be crucial to speed up investigations. Motivated by this, the paper explores the field of Triage, a relatively new branch of Digital Forensics intended to provide investigators with actionable intelligence through digital media inspection, and describes a new interdisciplinary approach that merges Digital Forensics techniques and Machine Learning principles. The proposed Triage methodology aims at automating the categorization of digital media on the basis of plausible connections between traces retrieved (i.e. digital evidence) and crimes under investigation. As an application of the proposed method, two case studies about copyright infringement and child pornography exchange are then presented to actually prove that the idea is viable. The term “feature” will be regarded in the paper as a quantitative measure of a “plausible digital evidence”, according to the Machine Learning terminology. In this regard, we (a) define a list of crime-related features, (b) identify and extract them from available devices and forensic copies, (c) populate an input matrix and (d) process it with different Machine Learning mining schemes to come up with a device classification. We perform a benchmark study about the most popular mining algorithms (i.e. Bayes Networks, Decision Trees, Locally Weighted Learning and Support Vector Machines) to find the ones that best fit the case in question. Obtained results are encouraging as we will show that, triaging a dataset of 13 digital media and 45 copyright infringement-related features, it is possible to obtain more than 93% of correctly classified digital media using Bayes Networks or Support Vector Machines while, concerning child pornography exchange, with a dataset of 23 cell phones and 23 crime-related features it is possible to classify correctly 100% of the phones. In this regards, methods to reduce the number of linearly independent features are explored and classification results presented.
Book
La rete non ha memoria. O, meglio, la memoria della rete è Google. Se Google non trova più qualcosa, quel qualcosa scompare inesorabilmente dai ricordi delle persone. Un libro, al contrario, continua a esistere anche, soprattutto, fuori dalla rete. Questa riflessione ci ha spinto a ripubblicare Spaghetti Hacker, messo fuori catalogo dal precedente editore dopo oltre dieci anni di onorata carriera. Pensiamo che questo libro non debba sparire dalla memoria. Ancora oggi, infatti, è l’unico a raccontare una parte importante della storia delle persone che hanno vissuto da protagonisti l’epopea dello sviluppo dell’informatica in Italia. Ed è l’unico che consente, alle nuove generazioni di Spaghetti Hacker di scoprire un passato che non sanno di avere. Per molti, come i tanti amici della prima generazione ci hanno detto, riproporre questo libro nel 2011 è l’equivalente informatico di un concerto dei Pooh: un bello spettacolo per un pubblico cresciuto — e invecchiato — con le loro canzoni. Eppure non è così, perché Spaghetti Hacker serve ancora a qualcosa e a qualcuno. Serve a chi “c’era” allora, che ha vissuto un’epopea e si illude di viverla ancora. Serve per ricordare da dove vengono quelli che, entrando nello “star system”, hanno tradito persone e idee per trenta denari (e a volte, anche per meno). Serve, perché ci siamo resi conto — improvvisamente — che la nostra generazione è oramai “storia”, e che chi è arrivato dopo si è trovato, per quanto paradossale possa sembrare, nella nostra stessa situazione: avere un passato, ma senza saperlo. Serve, infine, per far capire alle persone “normali” che tutto quello che hanno oggi, dall’accesso a basso costo, ai social network, agli smartphone, alle aste on line, al peer to peer, non arriva soltanto dal mondo dell’industria... anzi. Già che c’eravamo, abbiamo aggiunto nuove storie e approfondito qualche tema che nella prima edizione era rimasto sullo sfondo (come il Child8, l’Altair italiano, o la nascita di cloni Apple fabbricati in Italia senza che la casa di Cupertino potesse impedirlo, o ancora la straordinaria “visione” della Olivetti che anticipò di anni il movimento open source). Riproporre questo libro, però, è utile soprattutto per “fare il punto” su cosa significa oggi — se significa ancora qualcosa — “essere hacker”. Tredici anni fa nessuno sapeva esattamente di essere “qualcosa”, o meglio “qualcuno”. Hacker? si, no, forse. Eravamo pieni di speranze e di fiducia nella nostra capacità di cambiare il mondo. Oggi, dopo tredici anni, il mondo ha cambiato (tanti di) noi. Oggi, un biglietto da visita con su scritto “hackerqualchecosa” — come il diciotto all’università e la sigaretta — non si nega a nessuno. Gli hacker di una volta e quelli che oggi fanno finta di esserlo sono (ri)entrati nei ranghi. Quelli più concreti sono diventati accademici, imprenditori e dirigenti d’azienda. Quelli meno capaci di “gestire l’immagine”, invece, fanno i sottoproletari della sicurezza. “Risorse” — risorse, non persone — che possono essere sacrificate senza troppi rimorsi quando, fidandosi della “parola” dei commerciali, fanno partire quel certo contratto di penetration-test non ancora firmato ma che “sostanzialmente” è come se lo fosse, per poi trovarsi denunciati e sull’orlo del licenziamento... Qualcuno si è messo a fare lo spione, qualcun altro il criminale (ma forse non c’è poi tutta questa differenza). I più saggi si sono dedicati alla famiglia, allo studio e alla crescita personale, cercando di recuperare gli anni passati nelle vesti di Peter Pan. E poi ci sono i cialtroni. Quelli che hanno sfruttato ragazzini dotati tecnicamente ma del tutto immaturi. Incapaci di essere credibili dentro quei vestiti a tre pezzi con cravatta regimental, indispensabili per partecipare alla riunione, pardon, al meeting con il megacliente di turno. Mentre i cialtroni di cui sopra si preoccupavano solo di sgattaiolare furtivamente fra i corridoi dell’azienda per lasciare “regalini” su qualche scrivania e vendere di tutto senza nemmeno preoccuparsi di sapere cosa avessero effettivamente fra le mani. “Vai genio!” In tutto questo caos, comunque, una cosa sola non è cambiata ma, anzi, è peggiorata: la (in)sensibilità della gente e delle istituzioni rispetto ai problemi provocati causati da (chi progetta e realizza) programmi e computer. Il grido di allarme sull’insicurezza dei sistemi che già più di vent’anni fa arrivava dal Chaos Computer Club nella forma di una clamorosa e innocua operazione dimostrativa di furto elettronico e che è stato amplificato anche dagli smanettoni italiani è caduto nel vuoto. E quando hanno provato a dire che il Re era nudo, sono stati ricompensati con minacce (mai messe in pratica, chissà perchè) di azioni legali e richieste di risarcimento miliardarie. Progressivamente, come l’ultimo dei Jedi, gli hacker del passato sono scomparsi dalla percezione dei più. Resi invisibili dalle luci accecanti che promuovono l’ennesimo gadget tecnologico, coperte le loro comunicazioni dal rumore assordante di mandrie telematiche di utenti-buoi che vagano da questo a quel social network, gli hacker di un tempo e le nuove generazioni vivono nell’oblio dei più e nell’isolamento. Non è certo possibile dare loro torto, ma questa scelta rinforza ancora di più la necessità che di Spaghetti Hacker si trasmettano la mente e il cuore. Ridare vita a questo libro, dunque, non è un’operazione nostalgia, ma un atto d’amore, con molta “nostalgia nel cuore”, per un periodo epico, irripetibile della vita nostra e di quella di tantissime persone, e che ha anche coinciso con i nostri vent’anni. Ecco a voi, ancora una volta, gli Spaghetti Hacker. Pescara, maggio 2011 Andrea Monti – a.monti@amonti.eu Stefano Chiccarelli – neuro@olografix.org
Book
Digital Triage Forensics (DTF) is a procedural model for the investigation of digital crime scenes including both traditional crime scenes and the more complex battlefield crime scenes. The U.S. Army and other traditional police agencies use this model for current digital forensic applications. The tools, training, and techniques from this practice are being brought to the public in this book for the first time. Now corporations, law enforcement, and consultants can benefit from the unique perspectives of the experts who coined Digital Triage Forensics. Includes coverage on collecting digital media Outlines pre- and post-blast investigations Features content on collecting data from cellular devices and SIM cards.
Conference Paper
In computer and common crimes, important evidence or clues are increasingly stored in the computers hard disks. The huge and increasing penetration of computers in the daily life together with a considerable increase of storage capacity in mass-market computers, pose, currently, new challenges to forensic operators. Usually a digital forensic investigator has to spend a lot of time in order to find documents, clues or evidence related to the investigation among the huge amount of data extracted from one or more sized hard drive. In particular, the seized material could be very huge, and, very often, only few devices are considered relevant for the investigation. In this paper we propose a methodology and a tool to support a fast computer user profiling via a classification into investigator-defined categories in order to quickly classify the seized computer user. The main purpose of the methodology discussed is to define the class of the user in order to establish an effective schedule with priorities based on the computer user content.
Article
The case study of the programmer, Gabriele Canazza, who was charged with computer trespassing for releasing the worm, Vierika in March 2001, is discussed. Canazza was accused of sending Vierika to Italian ISP and stealing confidential information, especially e-mail addresses. The prosecutions positions was that the trespass and damage elements were met by virtue of Vierika's self-propagation activity consisting of theft of users' PC computing power. Mr. Canazza was the first Italian to be indicted after a full trial for alleged virus writing.
Battlefield Digital Forensics Digital Intelligence and Evidence
  • C Braccini
  • T Vaisanen
  • M Sadlon
Italian Supreme Court) Orders nn
  • Corte Di Cassazione
Computer forensics field triage process model
  • M K Rogers
  • MK Rogers
Crossed Sword Exercise. Tallinn: s.n
  • Nato Ccdcoe
Chain of Custody and Identification of Real Evidence. s.l
  • P C Giannelli