criminal profiling labcriminal profiling lab hackers... · dell’individuo si rispecchia nel...
TRANSCRIPT
Laboratory for Intelligent Systems and Controls (LISC)
CRIMINAL PROFILING LABCRIMINAL PROFILING LABNorth Carolina - USA
UNIVERSITA’ DEGLI STUDI DI PALERMOUNIVERSITA’ DEGLI STUDI DI PALERMODOCENTE DI PSICOLOGIA DOCENTE DI PSICOLOGIA
INVESTIGATIVA E CRIMINAL PROFILINGINVESTIGATIVA E CRIMINAL PROFILING
CHI E’ UN PROFILER?CHI E’ UN PROFILER?CHI E UN PROFILER?CHI E UN PROFILER?
COSA VIENE CHIESTO COSA VIENE CHIESTO AL PROFILER?AL PROFILER?
Cosa è successo sulla scena del delitto?Cosa è successo sulla scena del delitto? Che tipo di persona può aver fatto questo?Che tipo di persona può aver fatto questo?p p p qp p p q Quali sono le più probabili caratteristiche di Quali sono le più probabili caratteristiche di
personalità di questo individuo?personalità di questo individuo?personalità di questo individuo?personalità di questo individuo?
OBBIETTIVO: RIDURRE OBBIETTIVO: RIDURRE ((GERARCHIZZAREGERARCHIZZARE) LA SUSPECT LIST) LA SUSPECT LIST
PROFILING: ASSUNTO DI BASEPROFILING: ASSUNTO DI BASEPROFILING: ASSUNTO DI BASEPROFILING: ASSUNTO DI BASE
l’offender durante la l’offender durante la perpetrazione del proprio crimine perpetrazione del proprio crimine il modello di comportamento il modello di comportamento
dell’offender lascia delle dell’offender lascia delle p p p pp p p pesibisce un determinato modello esibisce un determinato modello di comportamento…di comportamento…
dell offender lascia delle dell offender lascia delle tracce legate a tale modellotracce legate a tale modello
nella suspectnella suspect--list alcuni list alcuni
l’individuazione e lo studio di questo l’individuazione e lo studio di questo modello permette modello permette di inferire alcune caratteristichedi inferire alcune caratteristiche
soggetti presenteranno soggetti presenteranno queste caratteristiche queste caratteristiche psicologiche e saranno psicologiche e saranno
i di di i di di bio-psicologiche dell’autore del criminedell’autore del criminequindi oggetto di quindi oggetto di maggiore attenzione..maggiore attenzione..
PROFILING E PSICOLOGIAPROFILING E PSICOLOGIAPROFILING E PSICOLOGIAPROFILING E PSICOLOGIA
Il profiling non si rivolge a caratteristiche psicologiche caratteristiche psicologiche fondamentali ma a quanto dell’individuo si rispecchia nel delitto che ha commesso (comportamento) che ha commesso (comportamento).
non può avvalersi dell’esame diretto pdell’individuo e degli strumenti correlati a tale esame (colloquio clinico, tecniche psicodiagnostiche)clinico, tecniche psicodiagnostiche)
FATTORI CHE INFLUENZANOFATTORI CHE INFLUENZANOIL COMPORTAMENTO UMANOIL COMPORTAMENTO UMANO
Personalità (scelta dell’obbiettivo e stile di raggiungimento dello scopo)raggiungimento dello scopo)
Logica iniziale (goal directed action) per raggiungere lo scoposcopo
Fattori contestuali (risoluzione di problemi imprevisti) Logica secondaria (monitoraggio dell’azione e nuovo Logica secondaria (monitoraggio dell azione e nuovo
indirizzo del comportamento) Psicopatologia (scelta, stile ed intensità dell’azione, p g ( , ,
connotazione emotiva)
MODIFICHE DEL MODIFICHE DEL COMPORTAMENTOCOMPORTAMENTO
AZIONE CRIMINALELOGICA FATTOREAZIONE CRIMINALE SECONDARIACONTESTUALE
LOGICA INIZIALEMODIFICA
AZIONE CRIMINALELOGICA INIZIALE AZIONE CRIMINALE
SCOPO PRAGMATICODELL’OFFENDER TRACCE
ESEMPI DI MODIFICHE ESEMPI DI MODIFICHE DEL COMPORTAMENTODEL COMPORTAMENTO
IL LAVORO DEL PROFILERIL LAVORO DEL PROFILERIL LAVORO DEL PROFILERIL LAVORO DEL PROFILER
FIRMA
MODUS OPERANDIRICOSTRUIRE
L’AZIONE CRIMINALE
IDENTIFICAREEVENTUALI FATTORI
CONTESTUALI
TRACCELOGICA INIZIALE
MODUS OPERANDIMODUS OPERANDIMODUS OPERANDIMODUS OPERANDI
è sostanzialmente correlato ad è sostanzialmente correlato ad una specifica logica pragmaticauna specifica logica pragmatica
comprende le strategie per comprende le strategie per raggiungere lo scopo criminale che raggiungere lo scopo criminale che spesso evolvono e si sviluppano spesso evolvono e si sviluppano nel tempo seguendo unnel tempo seguendo un processonel tempo seguendo un nel tempo seguendo un processo di maturazione
LA FIRMALA FIRMALA FIRMALA FIRMA
comprende comportamenti non comprende comportamenti non strettamente necessari alla commissione strettamente necessari alla commissione d l i i ( h i t i ld l i i ( h i t i ldel crimine (che rientrano invece nel del crimine (che rientrano invece nel modus operandi) modus operandi)
soddisfa esigenze psicologiche e soddisfa esigenze psicologiche e psicopatologiche dell’offender psicopatologiche dell’offender
tende a essere tende a essere più stabile rispetto al modus operandip
MODELLI DEDUTTIVI, INDUTTIVI MODELLI DEDUTTIVI, INDUTTIVI E MISTI NELL’ OFFENDER PROFILINGE MISTI NELL’ OFFENDER PROFILING
EVIDENCE VALUTAZIONILOGICHE
PROFILODEDUTTIVO
PROFILOINDUTTIVOEVIDENCE
MEMORIAVECCHI CASI
EVIDENCE
MEMORIAVECCHI CASI PROFILOEVIDENCEVALUTAZIONI
LOGICHE
MISTO
EVIDENCE NEURALNETWORK
PROFILO
MODELLI DI PROFILINGMODELLI DI PROFILING
LOGICA DEDUTIVA
OFFENDER PROFILING
DEDUTIVA
LOGICAINDUTTIVA
TIPICO
PROFILOCOMPORTAMENTALE
TIPICOLOGICA INDUTTIVA
COMPORTAMENTALE
ATIPICOLOGICA DEDUTTIVA
TECNICHE DI PROFILING COMPORTAMENTALE:
1. Definire i pattern comportamentali tipici e atipici
2. Attribuire ad alcuni pattern comportamentali atipici un’origine illegale
3. Prevedere un sistema di alert
COMPUTER CRIMESCOMPUTER CRIMESCOMPUTER CRIMESCOMPUTER CRIMES ELEVATO NUMERO OSCUROELEVATO NUMERO OSCURO ELEVATO NUMERO OSCUROELEVATO NUMERO OSCURO BASSA CLEARENCE BY ARRESTBASSA CLEARENCE BY ARREST BASSA INDIVIDUABILITA’ DEI CRIMINALIBASSA INDIVIDUABILITA’ DEI CRIMINALI BASSA INDIVIDUABILITA DEI CRIMINALIBASSA INDIVIDUABILITA DEI CRIMINALI “PICCOLI CRIMINI” GRANDI DANNI“PICCOLI CRIMINI” GRANDI DANNI
UTILITA’ DEL PROFILINGUTILITA’ DEL PROFILINGUTILITA DEL PROFILINGUTILITA DEL PROFILING
GRANDI ORGANIZZAZIONIGRANDI ORGANIZZAZIONI
NECESSITA’ DI CONCENTRARE L’ATTENZIONE INVESTIGATIVA
SUPPORTO ALL’IMPIEGO DI SOFTWARE SNIFFING INTERNISUPPORTO ALL IMPIEGO DI SOFTWARE SNIFFING INTERNI
TIPICO PROFILO DI CYBERCRIMINALETIPICO PROFILO DI CYBERCRIMINALE
livello sociale e culturale mediolivello sociale e culturale medio--altoaltotendenzialmente nontendenzialmente non violento e lontano dallo stereotipo del criminale diviolento e lontano dallo stereotipo del criminale di tendenzialmente nontendenzialmente non--violento e lontano dallo stereotipo del criminale di violento e lontano dallo stereotipo del criminale di strada (streetstrada (street--crime)crime)
parziali contiguità con le teorizzazioni sui white collar crime parziali contiguità con le teorizzazioni sui white collar crime dimostra ridotta percezione del criminedimostra ridotta percezione del crimine dimostra ridotta percezione del criminedimostra ridotta percezione del crimine ha buona capacità di pianificazione del comportamento per sfruttare le ha buona capacità di pianificazione del comportamento per sfruttare le
opportunità dell’informaticaopportunità dell’informatica possiede minori strumenti psicologici di contenimento dell’ansia per possiede minori strumenti psicologici di contenimento dell’ansia per
l’ di t tt di tt l i i i l itti i tt il’ di t tt di tt l i i i l itti i tt il’assenza di un contatto diretto con la scena criminis e la vittima rispetto ai l’assenza di un contatto diretto con la scena criminis e la vittima rispetto ai criminali di stradacriminali di strada
ha la tendenza ad operare in solitudine e ha scarsi contatti con gli ambienti ha la tendenza ad operare in solitudine e ha scarsi contatti con gli ambienti delinquenziali tradizionalidelinquenziali tradizionalidelinquenziali tradizionalidelinquenziali tradizionali
ha la tendenza ad acquisire il know how criminale in ambiente informatico ha la tendenza ad acquisire il know how criminale in ambiente informatico (hackers)(hackers)
presenta scarse rispondenze diagnostiche con il Disturbo Antisociale di presenta scarse rispondenze diagnostiche con il Disturbo Antisociale di P lità (ADP)P lità (ADP)Personalità (ADP)Personalità (ADP)
dimostra minore tendenza ad autopercepirsi come un soggetto criminale dimostra minore tendenza ad autopercepirsi come un soggetto criminale
COMPUTER CRIME ADVERSARIAL MATRIX COMPUTER CRIME ADVERSARIAL MATRIX FBIFBI
CRACKERS CRIMINALS VANDALS
TIPOLOGIA INTRUSORI ICAA 2001TIPOLOGIA INTRUSORI ICAA 2001 20072007TIPOLOGIA INTRUSORI ICAA 2001TIPOLOGIA INTRUSORI ICAA 2001--20072007
PSICOLOGIA
MOTIVAZIONE
COMPETENZACOMPETENZA
TIPOLOGIA DI INTRUSORETIPOLOGIA DI INTRUSORETIPOLOGIA DI INTRUSORETIPOLOGIA DI INTRUSORE
tradizionale etico giovanile distruttivo vandalicog giovanile goliardico “lancia tools” distruttivo professionista spia antagonista terrorista: (o cyberterrorista) impiegato sicurezza informatica
TRATTI COMUNITRATTI COMUNITRATTI COMUNITRATTI COMUNI
autostima esagerata e spesso autostima esagerata e spesso i ti ti ti timmotivata; immotivata;
di d i fi i li d i idi d i fi i li d i i perdita dei confini morali ed etici;perdita dei confini morali ed etici;
forte bisogno di affermazione;forte bisogno di affermazione;
difficoltà emotive e relazionali.difficoltà emotive e relazionali.
ELECTRONIC CRIME SCENE EVIDENCEELECTRONIC CRIME SCENE EVIDENCEELECTRONIC CRIME SCENE EVIDENCEELECTRONIC CRIME SCENE EVIDENCE
1. Strategia dell’attacco e del modus operandi;
2. Livello di preparazione e aggiornamento dell’attaccante (tecniche2. Livello di preparazione e aggiornamento dell attaccante (tecniche utilizzate, tools impiegati, livello di complessità ecc.);
3. Livello di aggressività dell'attaccante inferito dai diversi gradi di distruttività gg ge danneggiamento rilevati;
4. Tempistica (fascia oraria, durata dell’attacco, reiterazione dell’attacco);
5. Introduzione virus (tipologia di virus, modalità di infezione ecc.)
6. Ipotesi sui criteri di scelta della vulnerabilità.
OFFENDER PSYCHOLOGYOFFENDER PSYCHOLOGYOFFENDER PSYCHOLOGYOFFENDER PSYCHOLOGY
Livello di organizzazione/disorganizzazione Livello di organizzazione/disorganizzazione della personalità dell’offender;della personalità dell’offender;
Livello di pianificazione del crimine da parteLivello di pianificazione del crimine da parte Livello di pianificazione del crimine da parte Livello di pianificazione del crimine da parte dell’offender; dell’offender;
Livello di consapevolezza dell'azione illegale Livello di consapevolezza dell'azione illegale da parte dell’offender; da parte dell’offender;
Livello di percezione del rischio da parte Livello di percezione del rischio da parte dell’offender;dell’offender;dell offender;dell offender;
Livello di timore della sanzione da parte Livello di timore della sanzione da parte dell’offender;dell’offender;
Livello di emotività dell’offender;Livello di emotività dell’offender; Livello di intelligenza dell’offender.Livello di intelligenza dell’offender.
LE TRE DIMENSIONI MOTIVAZIONALILE TRE DIMENSIONI MOTIVAZIONALILE TRE DIMENSIONI MOTIVAZIONALILE TRE DIMENSIONI MOTIVAZIONALI
VANDALICODISTRUTTIVA
LUDICOGOLIARDICADISTRUTTIVA GOLIARDICA
LOGICOG CPRAGMATICA
DIMENSIONI MOTIVAZIONALI INTRUDERSDIMENSIONI MOTIVAZIONALI INTRUDERSDIMENSIONI MOTIVAZIONALI INTRUDERSDIMENSIONI MOTIVAZIONALI INTRUDERS
Vandalico-distruttiva distruttivo professionista;distruttivo professionista; giovanile distruttivo vandalico;giovanile distruttivo vandalico;g ;g ;
Ludico-goliardica tradizionale etico;tradizionale etico; tradizionale etico;tradizionale etico; giovanile goliardico;giovanile goliardico; “lancia tools”;“lancia tools”;
Logico-pragmatica spia (aziendale, militare);spia (aziendale, militare);
antagonista;antagonista; antagonista;antagonista; terrorista;terrorista; impiegato nel settore sicurezza informatica;impiegato nel settore sicurezza informatica;
SCENA DEL CRIMINE DIGITALE SCENA DEL CRIMINE DIGITALE E PROFILO DELL’INTRUDERE PROFILO DELL’INTRUDER
ELECTRONIC OFFENDER OFFENDERELECTRONICCRIME SCENE
OFFENDERPSYCHOLOGY
OFFENDERPROFILING
H.A.I.P.A.H.A.I.P.A.H.A.I.P.A.H.A.I.P.A.
Hacking Activity Investigative Hacking Activity Investigative
and Psychological Analysisand Psychological Analysis
Organizzazione e
tecnologia utilizzata
La simulazione ipotizzata è relativa ad una realtà aziendale di rivendita di soluzioni software internazionali operanti nell’ambito della ICT security.
TECNOLOGIETECNOLOGIE:
- Sito internet (accesso pubblico)
- Info-line telefonica
- Zona dedicata a Clienti/Fornitori (accesso protetto)
- Zona dedicata agli utenti registrati (accesso protetto)
- Intranet aziendale (accesso protetto)
Piattaforma di simulazione (ICAA - HoneyNet)
WebInternet
R
Firewall
DMZ
HoneyNet 1
Mail FTPRouter
Honey
Individuazione ed analisi intrusioni
RDBMS Fil
Net 2
Back Office
RDBMS File Server
• Attraverso l’utilizzo di una HoneyNet ICAA si emulano ambienti operativi
Operatori
• Attraverso l utilizzo di una HoneyNet ICAA si emulano ambienti operativied applicazioni diverse, che consentono un controllo preciso delle attivitàeffettuate
• Un sistema centrale raccoglie i dati di traffico provenienti dai singoli host (honeypot). Gli operatori analizzano le tecniche ed i livello di profondità d ll’ tt i i t d i t l il t tdell’attacco in corso, interagendo in tempo reale con il target
CRIMINAL PROFILING DELL’INSIDERCRIMINAL PROFILING DELL’INSIDERCRIMINAL PROFILING DELL INSIDERCRIMINAL PROFILING DELL INSIDER
TIPICHE MOTIVAZIONI INSIDE ATTACKTIPICHE MOTIVAZIONI INSIDE ATTACKTIPICHE MOTIVAZIONI INSIDE ATTACKTIPICHE MOTIVAZIONI INSIDE ATTACK
Desiderio di arricchimento Difficoltà finanziarie personali. p Vendetta. Paga inadeguata.Paga inadeguata. Insoddisfazione riguardo il proprio lavoro. Sensazione di non essere stimato dall’azienda. Sensazione di non essere stimato dall azienda. Disturbi psichiatrici ed abuso di sostanze.
Fischer e Green (1992), Maree (2003) e Lydon (2003)
SECRET SERVICE SECRET SERVICE –– CERT/CCCERT/CC
La maggior parte dei crimini insider studiatiLa maggior parte dei crimini insider studiati La maggior parte dei crimini insider studiati La maggior parte dei crimini insider studiati (nell’87% dei casi), ha richiesto un livello (nell’87% dei casi), ha richiesto un livello minimo di competenza tecnica ed è statominimo di competenza tecnica ed è statominimo di competenza tecnica ed è stato minimo di competenza tecnica ed è stato commesso da personale non tecnico con commesso da personale non tecnico con scarse conoscenza/formazione in ambitoscarse conoscenza/formazione in ambitoscarse conoscenza/formazione in ambito scarse conoscenza/formazione in ambito informatico che ha sfruttato delle vulnerabilità informatico che ha sfruttato delle vulnerabilità non di carattere tecnico come regole dinon di carattere tecnico come regole dinon di carattere tecnico, come regole di non di carattere tecnico, come regole di business o policies dell’organizzazione. business o policies dell’organizzazione. piuttosto che vulnerabilità a carico del sistemapiuttosto che vulnerabilità a carico del sistemapiuttosto che vulnerabilità a carico del sistema piuttosto che vulnerabilità a carico del sistema informativo o della rete. informativo o della rete.
SECRET SERVICE SECRET SERVICE –– CERT/CCCERT/CC
Molti di questi crimini sono stati pianificati inMolti di questi crimini sono stati pianificati in Molti di questi crimini sono stati pianificati in Molti di questi crimini sono stati pianificati in anticipoanticipo
Spesso (nell’85% dei casi) gli altri colleghi di Spesso (nell’85% dei casi) gli altri colleghi di lavioro conoscevano le intenzioni dell’insider, i lavioro conoscevano le intenzioni dell’insider, i piani o le attività in corso. c’era qualcuno, oltre piani o le attività in corso. c’era qualcuno, oltre all’insider, che era a conoscenza del crimine. all’insider, che era a conoscenza del crimine.
SECRET SERVICE SECRET SERVICE –– CERT/CCCERT/CC
Nel 31% degli incidenti c’erano dei segnali cheNel 31% degli incidenti c’erano dei segnali che Nel 31% degli incidenti, c erano dei segnali che Nel 31% degli incidenti, c erano dei segnali che qualcuno stava pianificando un crimine. Ad qualcuno stava pianificando un crimine. Ad esempio erano state rubate le passwords diesempio erano state rubate le passwords diesempio erano state rubate le passwords di esempio erano state rubate le passwords di livello amministrativo del sistema, erano state livello amministrativo del sistema, erano state copiate delle informazioni da un computer dicopiate delle informazioni da un computer dicopiate delle informazioni da un computer di copiate delle informazioni da un computer di casa sul sistema informativo dell’organizzazione casa sul sistema informativo dell’organizzazione o un collega era stato avvicinato per un aiutoo un collega era stato avvicinato per un aiutoo un collega era stato avvicinato per un aiuto o un collega era stato avvicinato per un aiuto nella modifica di dati finanziari.nella modifica di dati finanziari.
SECRET SERVICE SECRET SERVICE –– CERT/CCCERT/CC
Nell’81% dei crimini il movente eraNell’81% dei crimini il movente era Nell 81% dei crimini, il movente era Nell 81% dei crimini, il movente era rappresentato dal guadagno economico. rappresentato dal guadagno economico. S l’i id t tt d i dS l’i id t tt d i d Spesso l’insider stava attraversando un periodo Spesso l’insider stava attraversando un periodo di difficoltà economica al momento del crimine. di difficoltà economica al momento del crimine.
Moventi meno frequenti erano la vendetta (23% Moventi meno frequenti erano la vendetta (23% dei casi), insoddisfazione nei confronti del dei casi), insoddisfazione nei confronti del management dell’organizzazione/azienda, la management dell’organizzazione/azienda, la cultura o le policies (15% dei casi) ed il cultura o le policies (15% dei casi) ed il desiderio di rispetto (15%).desiderio di rispetto (15%).
SECRET SERVICE SECRET SERVICE –– CERT/CCCERT/CC
Molti degli insiders analizzati in questo studioMolti degli insiders analizzati in questo studio Molti degli insiders analizzati in questo studio Molti degli insiders analizzati in questo studio non occupavano una posizione tecnica non occupavano una posizione tecnica all’interno dell’organizzazione non avevano unall’interno dell’organizzazione non avevano unall interno dell organizzazione, non avevano un all interno dell organizzazione, non avevano un passato di hacker alle spalle e non erano passato di hacker alle spalle e non erano percepiti dall’organizzazione/azienda comepercepiti dall’organizzazione/azienda comepercepiti dall organizzazione/azienda come percepiti dall organizzazione/azienda come dipendenti problematici (in altre parole erano dipendenti problematici (in altre parole erano del tutto “invisibili” dal punto di vista criminale)del tutto “invisibili” dal punto di vista criminale)del tutto invisibili dal punto di vista criminale).del tutto invisibili dal punto di vista criminale).
SECRET SERVICE SECRET SERVICE –– CERT/CCCERT/CC
L’attacco inside è stato scoperto frequentemente perL’attacco inside è stato scoperto frequentemente per L attacco inside è stato scoperto frequentemente per L attacco inside è stato scoperto frequentemente per segnalazione da parte di clienti o a causa di irregolarità segnalazione da parte di clienti o a causa di irregolarità o difetti del sistema, e molto raramente per azione dei o difetti del sistema, e molto raramente per azione dei , p, presponsabili della sicurezza.responsabili della sicurezza.
L’83% dei crimini è avvenuto all’interno degli uffici L’83% dei crimini è avvenuto all’interno degli uffici dell’organizzazione e il 70% ha avuto luogo durante il dell’organizzazione e il 70% ha avuto luogo durante il normale orario di lavoro. Alcuni dei crimini sono stati normale orario di lavoro. Alcuni dei crimini sono stati
i d di d ti f i ffi i h hi d di d ti f i ffi i h hcommessi da dipendenti fuori ufficio che hanno commessi da dipendenti fuori ufficio che hanno utilizzato il loro accesso in remoto per violare il sistema utilizzato il loro accesso in remoto per violare il sistema e la rete della propria organizzazionee la rete della propria organizzazionee la rete della propria organizzazione.e la rete della propria organizzazione.
SECRET SERVICE SECRET SERVICE –– CERT/CCCERT/CC
L’attacco inside è stato scopertoL’attacco inside è stato scoperto L attacco inside è stato scoperto L attacco inside è stato scoperto frequentemente per segnalazione da parte di frequentemente per segnalazione da parte di clienti o a causa di irregolarità o difetti delclienti o a causa di irregolarità o difetti delclienti o a causa di irregolarità o difetti del clienti o a causa di irregolarità o difetti del sistema, e molto raramente per azione dei sistema, e molto raramente per azione dei responsabili della sicurezzaresponsabili della sicurezzaresponsabili della sicurezza……………..responsabili della sicurezza……………..
SECRET SERVICE SECRET SERVICE –– CERT/CCCERT/CC
BASE DATI REPORT SS/CERT BASE DATI REPORT SS/CERT 20052005 23 CASI SCOPERTI23 CASI SCOPERTI2005: 2005: 23 CASI SCOPERTI23 CASI SCOPERTI………………
CRIMINAL PROFILING CRIMINAL PROFILING INSIDER SU BASE STATISTICAINSIDER SU BASE STATISTICA
INSODDISFAZIONESUL PROPRIO
LAVORO
VENDETTADIFFICOLTA’ FINANZIARIEVENDETTAPERSONALI
DISTURBIPAGA
INADEGUATA
DISTURBIPSICHIATRICIE ABUSO DISOSTANZE
TIPOLOGIA COMPUTER CRIME INSIDETIPOLOGIA COMPUTER CRIME INSIDETIPOLOGIA COMPUTER CRIME INSIDETIPOLOGIA COMPUTER CRIME INSIDE
attacchi diretti al patrimonio aziendale (attacchi diretti al patrimonio aziendale (typetype 1);1);
attacchi diretti ad appartenenti all’azienda attacchi diretti ad appartenenti all’azienda (minacce molestie diffama ioni dispetti ari(minacce molestie diffama ioni dispetti ari(minacce, molestie, diffamazioni, dispetti vari (minacce, molestie, diffamazioni, dispetti vari ecc.) (ecc.) (typetype 2);2);
attacchi diretti a contesti esterni all’azienda attacchi diretti a contesti esterni all’azienda utilizzando la rete aziendale (utilizzando la rete aziendale (typetype 3);3);
PROFILING INSIDERPROFILING INSIDERPROFILING INSIDERPROFILING INSIDER
Generica tipologia dell’insider (HPI Generica tipologia dell’insider (HPI –– LPI LPI –– UI)UI) Motivazione dell’autoreMotivazione dell’autore Sesso autore Sesso autore Età autore Età autore Livello istruzioneLivello istruzione Livello istruzione Livello istruzione Rapporto di impiego Rapporto di impiego Livello gerarchico Livello gerarchico Privilegi di accessoPrivilegi di accesso Associazione con altri o attacco solitarioAssociazione con altri o attacco solitario Competenze informaticheCompetenze informatiche Competenze informaticheCompetenze informatiche
TIPOLOGIA DI INSIDERSTIPOLOGIA DI INSIDERSTIPOLOGIA DI INSIDERSTIPOLOGIA DI INSIDERS
LOW PROFILE INSIDERS
HIGH PROFILEHIGH PROFILEINSIDERS
UNAWARE
INSIDERS
L’origine dei comportamenti L’origine dei comportamenti inside illegali in aziendainside illegali in azienda
Azioni deliberate per voglia di appropriazione o vendetta Azioni deliberate per voglia di appropriazione o vendetta (high profile)(high profile)(high profile)(high profile)
Azioni dovute a scarsa conoscenza delle norme (low Azioni dovute a scarsa conoscenza delle norme (low profile)profile)profile)profile)
Azioni dovute a scarsa valutazione dei danni provocabili Azioni dovute a scarsa valutazione dei danni provocabili (low profile)(low profile)(low profile)(low profile)
Azioni dovute a bassa stima di essere scoperto (low Azioni dovute a bassa stima di essere scoperto (low profile)profile)p )p )
Motivazione degli insidersMotivazione degli insidersMotivazione degli insidersMotivazione degli insiders
Piccoli vantaggi personali Piccoli vantaggi personali (low profile)(low profile) Danneggiare l’azienda Danneggiare l’azienda (high profile)(high profile) Danneggiare un superiore gerarchico Danneggiare un superiore gerarchico (low profile)(low profile)
D i i d / b diD i i d / b di (l fil )(l fil ) Danneggiare un parigrado/subordinato Danneggiare un parigrado/subordinato (low profile)(low profile) Sfida nei confronti del sistema Sfida nei confronti del sistema (low profile)(low profile)
P i t l iP i t l i (hi h fil )(hi h fil ) Psicopatologica Psicopatologica (high profile)(high profile) Vandalica Vandalica (high profile) (high profile) Spionaggio professionaleSpionaggio professionale (high profile)(high profile) Spionaggio professionale Spionaggio professionale (high profile)(high profile)
INSIDERSINSIDERSINSIDERSINSIDERS
HIGH PROFILEHIGH PROFILESpie industrialiSpie industriali
LOW PROFILELOW PROFILELadri di tempoLadri di tempo Spie industrialiSpie industriali
TerroristiTerroristi Ladri di tempo Ladri di tempo
macchinamacchina
Sabotatori Sabotatori Piccoli danneggiatoriPiccoli danneggiatori Violatori privacyViolatori privacy
High profile insidersHigh profile insiders: soggetti ad alto : soggetti ad alto rischio all’interno dell’organizzazionerischio all’interno dell’organizzazione
Soggetti di medio/alto profilo criminaleSoggetti di medio/alto profilo criminale Soggetti di elevata percezione del crimineSoggetti di elevata percezione del crimine Soggetti di elevata percezione del crimineSoggetti di elevata percezione del crimine Soggetti con scarso quadro morale Soggetti con scarso quadro morale Soggetti con apparente buon livello di integrazioneSoggetti con apparente buon livello di integrazione Soggetti con apparente buon livello di integrazione Soggetti con apparente buon livello di integrazione
sociale e lavorativasociale e lavorativa Soggetti con medio/alto indice di conflittualità neiSoggetti con medio/alto indice di conflittualità nei Soggetti con medio/alto indice di conflittualità nei Soggetti con medio/alto indice di conflittualità nei
confronti dell’aziendaconfronti dell’azienda
Low profile insiders:Low profile insiders: soggetti a basso rischio soggetti a basso rischio nell’organizzazione (se sensibilizzati)nell’organizzazione (se sensibilizzati)
Soggetti di basso profilo criminaleSoggetti di basso profilo criminale Soggetti con bassa percezione del crimineSoggetti con bassa percezione del crimine Soggetti con soddisfacente quadro morale Soggetti con soddisfacente quadro morale Soggetti con sostanziale buon livello di integrazione Soggetti con sostanziale buon livello di integrazione
sociale e lavorativasociale e lavorativa Soggetti con basso indice di conflittualità nei confronti Soggetti con basso indice di conflittualità nei confronti
dell’aziendadell’azienda
Azioni pericolose LP (sottostimate)Azioni pericolose LP (sottostimate)Azioni pericolose LP (sottostimate)Azioni pericolose LP (sottostimate)
Navigazione su siti: siti pedo civettaNavigazione su siti: siti pedo civetta Hacking: apparente attacco di aziende concorrentiHacking: apparente attacco di aziende concorrenti Download: scarico di materiale da azienda concorrente (es film)Download: scarico di materiale da azienda concorrente (es film) FileFile sharing: arrivo in azienda di materiale illegalesharing: arrivo in azienda di materiale illegale FileFile--sharing: arrivo in azienda di materiale illegalesharing: arrivo in azienda di materiale illegale Scarsa protezione da virus: divulgazione dati sensibiliScarsa protezione da virus: divulgazione dati sensibili
HIGH PROFILE
LOW PROFILELOW PROFILE
UNAWARE
COMPETENZA INFORMATICACOMPETENZA INFORMATICADESCRIZIONE
ATTACCO
COLLOCAZIONE GERARCHICACOLLOCAZIONE GERARCHICA
MOTIVAZIONEMOTIVAZIONE
CARATTERISTICHE BIOGRAFICHECARATTERISTICHE BIOGRAFICHE
MOTIVAZIONEMOTIVAZIONE
NEURAL NETWORK FOR PSYCHOLOGICAL CRIMINAL PROFILING
HIGH PROFILE INSIDE :HIGH PROFILE INSIDE :TECNICHE INFORMATICHE DI ATTACCOTECNICHE INFORMATICHE DI ATTACCOTECNICHE INFORMATICHE DI ATTACCOTECNICHE INFORMATICHE DI ATTACCO
PRIVILEGE ESCALATION
SPOOFINGSNIFFING
LEAST PRIVILEGE LACK EXPLOITPASSWORD CRACKING
INSIDER DENIAL OF SERVICEBACK DOOR/TROJAN HORSE
INSIDERVIRUS
TUNNELINGTUNNELINGDUPSTER DIVINGHACKER TOOLKIT
SOCIAL ENGINEERINGHACKER TOOLKIT
EXPLOIT APPLICATIVO
Rete feed forwardRete feed forwardRete feed forwardRete feed forward
Rete feedbackRete feedbackRete feedbackRete feedback
Bayesian SelfBayesian Self Organizing Maps (BSOM)Organizing Maps (BSOM)Bayesian SelfBayesian Self--Organizing Maps (BSOM)Organizing Maps (BSOM)
NNPCP (insiders): DATA ENTRYNNPCP (insiders): DATA ENTRYNNPCP (insiders): DATA ENTRYNNPCP (insiders): DATA ENTRYAMBIENTE EVENTO AUTOREAMBIENTE Dimensioni Azienda Settore di attività
EVENTO Target dell’attaccoTarget dell’attacco Origine attaccoOrigine attacco Tipologia attaccoTipologia attacco
AUTORE Generica tipologia Generica tipologia
dell’insider (HPI dell’insider (HPI –– LPI LPI ––UI)UI)
misure di sicurezza logica misure di sicurezza fisica Gestione della sicurezza
Tipologia attaccoTipologia attacco Tecniche informatiche Tecniche informatiche
di attacco adottatedi attacco adottate Danno direttoDanno diretto
UI)UI) Motivazione dell’autoreMotivazione dell’autore Sesso autore Sesso autore Età autoreEtà autore
Danno indirettoDanno indiretto Stima economica del Stima economica del
danno danno
Età autore Età autore Livello istruzione Livello istruzione Rapporto di impiego Rapporto di impiego Livello gerarchicoLivello gerarchico Provvedimento Provvedimento
dell’aziendadell’azienda Ostacoli alla denuncia Ostacoli alla denuncia
penalepenale
Livello gerarchico Livello gerarchico Privilegi di accessoPrivilegi di accesso Associazione con altri o Associazione con altri o
attacco solitarioattacco solitariopp attacco solitarioattacco solitario Competenze Competenze
informaticheinformatiche
NNPCP (insiders): CONSULTAZIONENNPCP (insiders): CONSULTAZIONENNPCP (insiders): CONSULTAZIONENNPCP (insiders): CONSULTAZIONE
AMBIENTEAMBIENTE EVENTOEVENTO AUTOREAUTOREAMBIENTEAMBIENTE Dimensioni AziendaDimensioni Azienda Settore di attivitàSettore di attività misure di sicurezza logicamisure di sicurezza logica
ff
EVENTOEVENTO Target dell’attaccoTarget dell’attacco Origine attaccoOrigine attacco Tipologia attaccoTipologia attacco
ff
AUTOREAUTORE Generica tipologia Generica tipologia
dell’insider (HPI dell’insider (HPI –– LPI LPI ––UI)UI)
’’ misure di sicurezza fisica misure di sicurezza fisica Gestione della sicurezzaGestione della sicurezza
Tecniche informatiche di Tecniche informatiche di attacco adottateattacco adottate
Danno direttoDanno diretto Danno indirettoDanno indiretto
Motivazione dell’autoreMotivazione dell’autore Sesso autore Sesso autore Età autore Età autore Livello istruzioneLivello istruzione
Stima economica del Stima economica del danno danno
Provvedimento Provvedimento dell’aziendadell’azienda
Livello istruzione Livello istruzione Rapporto di impiego Rapporto di impiego Livello gerarchico Livello gerarchico Privilegi di accessoPrivilegi di accesso
Ostacoli alla denuncia Ostacoli alla denuncia penalepenale
Associazione con altri o Associazione con altri o attacco solitarioattacco solitario
Competenze informaticheCompetenze informatiche