Laboratory for Intelligent Systems and Controls (LISC)

CRIMINAL PROFILING LABCRIMINAL PROFILING LABNorth Carolina - USA

UNIVERSITA’ DEGLI STUDI DI PALERMOUNIVERSITA’ DEGLI STUDI DI PALERMODOCENTE DI PSICOLOGIA DOCENTE DI PSICOLOGIA

INVESTIGATIVA E CRIMINAL PROFILINGINVESTIGATIVA E CRIMINAL PROFILING

CHI E’ UN PROFILER?CHI E’ UN PROFILER?CHI E UN PROFILER?CHI E UN PROFILER?

COSA VIENE CHIESTO COSA VIENE CHIESTO AL PROFILER?AL PROFILER?

Cosa è successo sulla scena del delitto?Cosa è successo sulla scena del delitto? Che tipo di persona può aver fatto questo?Che tipo di persona può aver fatto questo?p p p qp p p q Quali sono le più probabili caratteristiche di Quali sono le più probabili caratteristiche di

personalità di questo individuo?personalità di questo individuo?personalità di questo individuo?personalità di questo individuo?

OBBIETTIVO: RIDURRE OBBIETTIVO: RIDURRE ((GERARCHIZZAREGERARCHIZZARE) LA SUSPECT LIST) LA SUSPECT LIST

PROFILING: ASSUNTO DI BASEPROFILING: ASSUNTO DI BASEPROFILING: ASSUNTO DI BASEPROFILING: ASSUNTO DI BASE

l’offender durante la l’offender durante la perpetrazione del proprio crimine perpetrazione del proprio crimine il modello di comportamento il modello di comportamento

dell’offender lascia delle dell’offender lascia delle p p p pp p p pesibisce un determinato modello esibisce un determinato modello di comportamento…di comportamento…

dell offender lascia delle dell offender lascia delle tracce legate a tale modellotracce legate a tale modello

nella suspectnella suspect--list alcuni list alcuni

l’individuazione e lo studio di questo l’individuazione e lo studio di questo modello permette modello permette di inferire alcune caratteristichedi inferire alcune caratteristiche

soggetti presenteranno soggetti presenteranno queste caratteristiche queste caratteristiche psicologiche e saranno psicologiche e saranno

i di di i di di bio-psicologiche dell’autore del criminedell’autore del criminequindi oggetto di quindi oggetto di maggiore attenzione..maggiore attenzione..

PROFILING E PSICOLOGIAPROFILING E PSICOLOGIAPROFILING E PSICOLOGIAPROFILING E PSICOLOGIA

Il profiling non si rivolge a caratteristiche psicologiche caratteristiche psicologiche fondamentali ma a quanto dell’individuo si rispecchia nel delitto che ha commesso (comportamento) che ha commesso (comportamento).

non può avvalersi dell’esame diretto pdell’individuo e degli strumenti correlati a tale esame (colloquio clinico, tecniche psicodiagnostiche)clinico, tecniche psicodiagnostiche)

FATTORI CHE INFLUENZANOFATTORI CHE INFLUENZANOIL COMPORTAMENTO UMANOIL COMPORTAMENTO UMANO

Personalità (scelta dell’obbiettivo e stile di raggiungimento dello scopo)raggiungimento dello scopo)

Logica iniziale (goal directed action) per raggiungere lo scoposcopo

Fattori contestuali (risoluzione di problemi imprevisti) Logica secondaria (monitoraggio dell’azione e nuovo Logica secondaria (monitoraggio dell azione e nuovo

indirizzo del comportamento) Psicopatologia (scelta, stile ed intensità dell’azione, p g ( , ,

connotazione emotiva)

MODIFICHE DEL MODIFICHE DEL COMPORTAMENTOCOMPORTAMENTO

AZIONE CRIMINALELOGICA FATTOREAZIONE CRIMINALE SECONDARIACONTESTUALE

LOGICA INIZIALEMODIFICA

AZIONE CRIMINALELOGICA INIZIALE AZIONE CRIMINALE

SCOPO PRAGMATICODELL’OFFENDER TRACCE

ESEMPI DI MODIFICHE ESEMPI DI MODIFICHE DEL COMPORTAMENTODEL COMPORTAMENTO

IL LAVORO DEL PROFILERIL LAVORO DEL PROFILERIL LAVORO DEL PROFILERIL LAVORO DEL PROFILER

FIRMA

MODUS OPERANDIRICOSTRUIRE

L’AZIONE CRIMINALE

IDENTIFICAREEVENTUALI FATTORI

CONTESTUALI

TRACCELOGICA INIZIALE

MODUS OPERANDIMODUS OPERANDIMODUS OPERANDIMODUS OPERANDI

è sostanzialmente correlato ad è sostanzialmente correlato ad una specifica logica pragmaticauna specifica logica pragmatica

comprende le strategie per comprende le strategie per raggiungere lo scopo criminale che raggiungere lo scopo criminale che spesso evolvono e si sviluppano spesso evolvono e si sviluppano nel tempo seguendo unnel tempo seguendo un processonel tempo seguendo un nel tempo seguendo un processo di maturazione

LA FIRMALA FIRMALA FIRMALA FIRMA

comprende comportamenti non comprende comportamenti non strettamente necessari alla commissione strettamente necessari alla commissione d l i i ( h i t i ld l i i ( h i t i ldel crimine (che rientrano invece nel del crimine (che rientrano invece nel modus operandi) modus operandi)

soddisfa esigenze psicologiche e soddisfa esigenze psicologiche e psicopatologiche dell’offender psicopatologiche dell’offender

tende a essere tende a essere più stabile rispetto al modus operandip

MODELLI DEDUTTIVI, INDUTTIVI MODELLI DEDUTTIVI, INDUTTIVI E MISTI NELL’ OFFENDER PROFILINGE MISTI NELL’ OFFENDER PROFILING

EVIDENCE VALUTAZIONILOGICHE

PROFILODEDUTTIVO

PROFILOINDUTTIVOEVIDENCE

MEMORIAVECCHI CASI

EVIDENCE

MEMORIAVECCHI CASI PROFILOEVIDENCEVALUTAZIONI

LOGICHE

MISTO

EVIDENCE NEURALNETWORK

PROFILO

MODELLI DI PROFILINGMODELLI DI PROFILING

LOGICA DEDUTIVA

OFFENDER PROFILING

DEDUTIVA

LOGICAINDUTTIVA

TIPICO

PROFILOCOMPORTAMENTALE

TIPICOLOGICA INDUTTIVA

COMPORTAMENTALE

ATIPICOLOGICA DEDUTTIVA

TECNICHE DI PROFILING COMPORTAMENTALE:

1. Definire i pattern comportamentali tipici e atipici

2. Attribuire ad alcuni pattern comportamentali atipici un’origine illegale

3. Prevedere un sistema di alert

COMPUTER CRIMESCOMPUTER CRIMESCOMPUTER CRIMESCOMPUTER CRIMES ELEVATO NUMERO OSCUROELEVATO NUMERO OSCURO ELEVATO NUMERO OSCUROELEVATO NUMERO OSCURO BASSA CLEARENCE BY ARRESTBASSA CLEARENCE BY ARREST BASSA INDIVIDUABILITA’ DEI CRIMINALIBASSA INDIVIDUABILITA’ DEI CRIMINALI BASSA INDIVIDUABILITA DEI CRIMINALIBASSA INDIVIDUABILITA DEI CRIMINALI “PICCOLI CRIMINI” GRANDI DANNI“PICCOLI CRIMINI” GRANDI DANNI

UTILITA’ DEL PROFILINGUTILITA’ DEL PROFILINGUTILITA DEL PROFILINGUTILITA DEL PROFILING

GRANDI ORGANIZZAZIONIGRANDI ORGANIZZAZIONI

NECESSITA’ DI CONCENTRARE L’ATTENZIONE INVESTIGATIVA

SUPPORTO ALL’IMPIEGO DI SOFTWARE SNIFFING INTERNISUPPORTO ALL IMPIEGO DI SOFTWARE SNIFFING INTERNI

TIPICO PROFILO DI CYBERCRIMINALETIPICO PROFILO DI CYBERCRIMINALE

livello sociale e culturale mediolivello sociale e culturale medio--altoaltotendenzialmente nontendenzialmente non violento e lontano dallo stereotipo del criminale diviolento e lontano dallo stereotipo del criminale di tendenzialmente nontendenzialmente non--violento e lontano dallo stereotipo del criminale di violento e lontano dallo stereotipo del criminale di strada (streetstrada (street--crime)crime)

parziali contiguità con le teorizzazioni sui white collar crime parziali contiguità con le teorizzazioni sui white collar crime dimostra ridotta percezione del criminedimostra ridotta percezione del crimine dimostra ridotta percezione del criminedimostra ridotta percezione del crimine ha buona capacità di pianificazione del comportamento per sfruttare le ha buona capacità di pianificazione del comportamento per sfruttare le

opportunità dell’informaticaopportunità dell’informatica possiede minori strumenti psicologici di contenimento dell’ansia per possiede minori strumenti psicologici di contenimento dell’ansia per

l’ di t tt di tt l i i i l itti i tt il’ di t tt di tt l i i i l itti i tt il’assenza di un contatto diretto con la scena criminis e la vittima rispetto ai l’assenza di un contatto diretto con la scena criminis e la vittima rispetto ai criminali di stradacriminali di strada

ha la tendenza ad operare in solitudine e ha scarsi contatti con gli ambienti ha la tendenza ad operare in solitudine e ha scarsi contatti con gli ambienti delinquenziali tradizionalidelinquenziali tradizionalidelinquenziali tradizionalidelinquenziali tradizionali

ha la tendenza ad acquisire il know how criminale in ambiente informatico ha la tendenza ad acquisire il know how criminale in ambiente informatico (hackers)(hackers)

presenta scarse rispondenze diagnostiche con il Disturbo Antisociale di presenta scarse rispondenze diagnostiche con il Disturbo Antisociale di P lità (ADP)P lità (ADP)Personalità (ADP)Personalità (ADP)

dimostra minore tendenza ad autopercepirsi come un soggetto criminale dimostra minore tendenza ad autopercepirsi come un soggetto criminale

COMPUTER CRIME ADVERSARIAL MATRIX COMPUTER CRIME ADVERSARIAL MATRIX FBIFBI

CRACKERS CRIMINALS VANDALS

TIPOLOGIA INTRUSORI ICAA 2001TIPOLOGIA INTRUSORI ICAA 2001 20072007TIPOLOGIA INTRUSORI ICAA 2001TIPOLOGIA INTRUSORI ICAA 2001--20072007

PSICOLOGIA

MOTIVAZIONE

COMPETENZACOMPETENZA

TIPOLOGIA DI INTRUSORETIPOLOGIA DI INTRUSORETIPOLOGIA DI INTRUSORETIPOLOGIA DI INTRUSORE

tradizionale etico giovanile distruttivo vandalicog giovanile goliardico “lancia tools” distruttivo professionista spia antagonista terrorista: (o cyberterrorista) impiegato sicurezza informatica

TRATTI COMUNITRATTI COMUNITRATTI COMUNITRATTI COMUNI

autostima esagerata e spesso autostima esagerata e spesso i ti ti ti timmotivata; immotivata;

di d i fi i li d i idi d i fi i li d i i perdita dei confini morali ed etici;perdita dei confini morali ed etici;

forte bisogno di affermazione;forte bisogno di affermazione;

difficoltà emotive e relazionali.difficoltà emotive e relazionali.

ELECTRONIC CRIME SCENE EVIDENCEELECTRONIC CRIME SCENE EVIDENCEELECTRONIC CRIME SCENE EVIDENCEELECTRONIC CRIME SCENE EVIDENCE

1. Strategia dell’attacco e del modus operandi;

2. Livello di preparazione e aggiornamento dell’attaccante (tecniche2. Livello di preparazione e aggiornamento dell attaccante (tecniche utilizzate, tools impiegati, livello di complessità ecc.);

3. Livello di aggressività dell'attaccante inferito dai diversi gradi di distruttività gg ge danneggiamento rilevati;

4. Tempistica (fascia oraria, durata dell’attacco, reiterazione dell’attacco);

5. Introduzione virus (tipologia di virus, modalità di infezione ecc.)

6. Ipotesi sui criteri di scelta della vulnerabilità.

OFFENDER PSYCHOLOGYOFFENDER PSYCHOLOGYOFFENDER PSYCHOLOGYOFFENDER PSYCHOLOGY

Livello di organizzazione/disorganizzazione Livello di organizzazione/disorganizzazione della personalità dell’offender;della personalità dell’offender;

Livello di pianificazione del crimine da parteLivello di pianificazione del crimine da parte Livello di pianificazione del crimine da parte Livello di pianificazione del crimine da parte dell’offender; dell’offender;

Livello di consapevolezza dell'azione illegale Livello di consapevolezza dell'azione illegale da parte dell’offender; da parte dell’offender;

Livello di percezione del rischio da parte Livello di percezione del rischio da parte dell’offender;dell’offender;dell offender;dell offender;

Livello di timore della sanzione da parte Livello di timore della sanzione da parte dell’offender;dell’offender;

Livello di emotività dell’offender;Livello di emotività dell’offender; Livello di intelligenza dell’offender.Livello di intelligenza dell’offender.

LE TRE DIMENSIONI MOTIVAZIONALILE TRE DIMENSIONI MOTIVAZIONALILE TRE DIMENSIONI MOTIVAZIONALILE TRE DIMENSIONI MOTIVAZIONALI

VANDALICODISTRUTTIVA

LUDICOGOLIARDICADISTRUTTIVA GOLIARDICA

LOGICOG CPRAGMATICA

DIMENSIONI MOTIVAZIONALI INTRUDERSDIMENSIONI MOTIVAZIONALI INTRUDERSDIMENSIONI MOTIVAZIONALI INTRUDERSDIMENSIONI MOTIVAZIONALI INTRUDERS

Vandalico-distruttiva distruttivo professionista;distruttivo professionista; giovanile distruttivo vandalico;giovanile distruttivo vandalico;g ;g ;

Ludico-goliardica tradizionale etico;tradizionale etico; tradizionale etico;tradizionale etico; giovanile goliardico;giovanile goliardico; “lancia tools”;“lancia tools”;

Logico-pragmatica spia (aziendale, militare);spia (aziendale, militare);

antagonista;antagonista; antagonista;antagonista; terrorista;terrorista; impiegato nel settore sicurezza informatica;impiegato nel settore sicurezza informatica;

SCENA DEL CRIMINE DIGITALE SCENA DEL CRIMINE DIGITALE E PROFILO DELL’INTRUDERE PROFILO DELL’INTRUDER

ELECTRONIC OFFENDER OFFENDERELECTRONICCRIME SCENE

OFFENDERPSYCHOLOGY

OFFENDERPROFILING

H.A.I.P.A.H.A.I.P.A.H.A.I.P.A.H.A.I.P.A.

Hacking Activity Investigative Hacking Activity Investigative

and Psychological Analysisand Psychological Analysis

Organizzazione e

tecnologia utilizzata

La simulazione ipotizzata è relativa ad una realtà aziendale di rivendita di soluzioni software internazionali operanti nell’ambito della ICT security.

TECNOLOGIETECNOLOGIE:

- Sito internet (accesso pubblico)

- Info-line telefonica

- Zona dedicata a Clienti/Fornitori (accesso protetto)

- Zona dedicata agli utenti registrati (accesso protetto)

- Intranet aziendale (accesso protetto)

Piattaforma di simulazione (ICAA - HoneyNet)

WebInternet

R

Firewall

DMZ

HoneyNet 1

Mail FTPRouter

Honey

Individuazione ed analisi intrusioni

RDBMS Fil

Net 2

Back Office

RDBMS File Server

• Attraverso l’utilizzo di una HoneyNet ICAA si emulano ambienti operativi

Operatori

• Attraverso l utilizzo di una HoneyNet ICAA si emulano ambienti operativied applicazioni diverse, che consentono un controllo preciso delle attivitàeffettuate

• Un sistema centrale raccoglie i dati di traffico provenienti dai singoli host (honeypot). Gli operatori analizzano le tecniche ed i livello di profondità d ll’ tt i i t d i t l il t tdell’attacco in corso, interagendo in tempo reale con il target

CRIMINAL PROFILING DELL’INSIDERCRIMINAL PROFILING DELL’INSIDERCRIMINAL PROFILING DELL INSIDERCRIMINAL PROFILING DELL INSIDER

TIPICHE MOTIVAZIONI INSIDE ATTACKTIPICHE MOTIVAZIONI INSIDE ATTACKTIPICHE MOTIVAZIONI INSIDE ATTACKTIPICHE MOTIVAZIONI INSIDE ATTACK

Desiderio di arricchimento Difficoltà finanziarie personali. p Vendetta. Paga inadeguata.Paga inadeguata. Insoddisfazione riguardo il proprio lavoro. Sensazione di non essere stimato dall’azienda. Sensazione di non essere stimato dall azienda. Disturbi psichiatrici ed abuso di sostanze.

Fischer e Green (1992), Maree (2003) e Lydon (2003)

SECRET SERVICE SECRET SERVICE –– CERT/CCCERT/CC

La maggior parte dei crimini insider studiatiLa maggior parte dei crimini insider studiati La maggior parte dei crimini insider studiati La maggior parte dei crimini insider studiati (nell’87% dei casi), ha richiesto un livello (nell’87% dei casi), ha richiesto un livello minimo di competenza tecnica ed è statominimo di competenza tecnica ed è statominimo di competenza tecnica ed è stato minimo di competenza tecnica ed è stato commesso da personale non tecnico con commesso da personale non tecnico con scarse conoscenza/formazione in ambitoscarse conoscenza/formazione in ambitoscarse conoscenza/formazione in ambito scarse conoscenza/formazione in ambito informatico che ha sfruttato delle vulnerabilità informatico che ha sfruttato delle vulnerabilità non di carattere tecnico come regole dinon di carattere tecnico come regole dinon di carattere tecnico, come regole di non di carattere tecnico, come regole di business o policies dell’organizzazione. business o policies dell’organizzazione. piuttosto che vulnerabilità a carico del sistemapiuttosto che vulnerabilità a carico del sistemapiuttosto che vulnerabilità a carico del sistema piuttosto che vulnerabilità a carico del sistema informativo o della rete. informativo o della rete.

SECRET SERVICE SECRET SERVICE –– CERT/CCCERT/CC

Molti di questi crimini sono stati pianificati inMolti di questi crimini sono stati pianificati in Molti di questi crimini sono stati pianificati in Molti di questi crimini sono stati pianificati in anticipoanticipo

Spesso (nell’85% dei casi) gli altri colleghi di Spesso (nell’85% dei casi) gli altri colleghi di lavioro conoscevano le intenzioni dell’insider, i lavioro conoscevano le intenzioni dell’insider, i piani o le attività in corso. c’era qualcuno, oltre piani o le attività in corso. c’era qualcuno, oltre all’insider, che era a conoscenza del crimine. all’insider, che era a conoscenza del crimine.

SECRET SERVICE SECRET SERVICE –– CERT/CCCERT/CC

Nel 31% degli incidenti c’erano dei segnali cheNel 31% degli incidenti c’erano dei segnali che Nel 31% degli incidenti, c erano dei segnali che Nel 31% degli incidenti, c erano dei segnali che qualcuno stava pianificando un crimine. Ad qualcuno stava pianificando un crimine. Ad esempio erano state rubate le passwords diesempio erano state rubate le passwords diesempio erano state rubate le passwords di esempio erano state rubate le passwords di livello amministrativo del sistema, erano state livello amministrativo del sistema, erano state copiate delle informazioni da un computer dicopiate delle informazioni da un computer dicopiate delle informazioni da un computer di copiate delle informazioni da un computer di casa sul sistema informativo dell’organizzazione casa sul sistema informativo dell’organizzazione o un collega era stato avvicinato per un aiutoo un collega era stato avvicinato per un aiutoo un collega era stato avvicinato per un aiuto o un collega era stato avvicinato per un aiuto nella modifica di dati finanziari.nella modifica di dati finanziari.

SECRET SERVICE SECRET SERVICE –– CERT/CCCERT/CC

Nell’81% dei crimini il movente eraNell’81% dei crimini il movente era Nell 81% dei crimini, il movente era Nell 81% dei crimini, il movente era rappresentato dal guadagno economico. rappresentato dal guadagno economico. S l’i id t tt d i dS l’i id t tt d i d Spesso l’insider stava attraversando un periodo Spesso l’insider stava attraversando un periodo di difficoltà economica al momento del crimine. di difficoltà economica al momento del crimine.

Moventi meno frequenti erano la vendetta (23% Moventi meno frequenti erano la vendetta (23% dei casi), insoddisfazione nei confronti del dei casi), insoddisfazione nei confronti del management dell’organizzazione/azienda, la management dell’organizzazione/azienda, la cultura o le policies (15% dei casi) ed il cultura o le policies (15% dei casi) ed il desiderio di rispetto (15%).desiderio di rispetto (15%).

SECRET SERVICE SECRET SERVICE –– CERT/CCCERT/CC

Molti degli insiders analizzati in questo studioMolti degli insiders analizzati in questo studio Molti degli insiders analizzati in questo studio Molti degli insiders analizzati in questo studio non occupavano una posizione tecnica non occupavano una posizione tecnica all’interno dell’organizzazione non avevano unall’interno dell’organizzazione non avevano unall interno dell organizzazione, non avevano un all interno dell organizzazione, non avevano un passato di hacker alle spalle e non erano passato di hacker alle spalle e non erano percepiti dall’organizzazione/azienda comepercepiti dall’organizzazione/azienda comepercepiti dall organizzazione/azienda come percepiti dall organizzazione/azienda come dipendenti problematici (in altre parole erano dipendenti problematici (in altre parole erano del tutto “invisibili” dal punto di vista criminale)del tutto “invisibili” dal punto di vista criminale)del tutto invisibili dal punto di vista criminale).del tutto invisibili dal punto di vista criminale).

SECRET SERVICE SECRET SERVICE –– CERT/CCCERT/CC

L’attacco inside è stato scoperto frequentemente perL’attacco inside è stato scoperto frequentemente per L attacco inside è stato scoperto frequentemente per L attacco inside è stato scoperto frequentemente per segnalazione da parte di clienti o a causa di irregolarità segnalazione da parte di clienti o a causa di irregolarità o difetti del sistema, e molto raramente per azione dei o difetti del sistema, e molto raramente per azione dei , p, presponsabili della sicurezza.responsabili della sicurezza.

L’83% dei crimini è avvenuto all’interno degli uffici L’83% dei crimini è avvenuto all’interno degli uffici dell’organizzazione e il 70% ha avuto luogo durante il dell’organizzazione e il 70% ha avuto luogo durante il normale orario di lavoro. Alcuni dei crimini sono stati normale orario di lavoro. Alcuni dei crimini sono stati

i d di d ti f i ffi i h hi d di d ti f i ffi i h hcommessi da dipendenti fuori ufficio che hanno commessi da dipendenti fuori ufficio che hanno utilizzato il loro accesso in remoto per violare il sistema utilizzato il loro accesso in remoto per violare il sistema e la rete della propria organizzazionee la rete della propria organizzazionee la rete della propria organizzazione.e la rete della propria organizzazione.

SECRET SERVICE SECRET SERVICE –– CERT/CCCERT/CC

L’attacco inside è stato scopertoL’attacco inside è stato scoperto L attacco inside è stato scoperto L attacco inside è stato scoperto frequentemente per segnalazione da parte di frequentemente per segnalazione da parte di clienti o a causa di irregolarità o difetti delclienti o a causa di irregolarità o difetti delclienti o a causa di irregolarità o difetti del clienti o a causa di irregolarità o difetti del sistema, e molto raramente per azione dei sistema, e molto raramente per azione dei responsabili della sicurezzaresponsabili della sicurezzaresponsabili della sicurezza……………..responsabili della sicurezza……………..

SECRET SERVICE SECRET SERVICE –– CERT/CCCERT/CC

BASE DATI REPORT SS/CERT BASE DATI REPORT SS/CERT 20052005 23 CASI SCOPERTI23 CASI SCOPERTI2005: 2005: 23 CASI SCOPERTI23 CASI SCOPERTI………………

CRIMINAL PROFILING CRIMINAL PROFILING INSIDER SU BASE STATISTICAINSIDER SU BASE STATISTICA

INSODDISFAZIONESUL PROPRIO

LAVORO

VENDETTADIFFICOLTA’ FINANZIARIEVENDETTAPERSONALI

DISTURBIPAGA

INADEGUATA

DISTURBIPSICHIATRICIE ABUSO DISOSTANZE

TIPOLOGIA COMPUTER CRIME INSIDETIPOLOGIA COMPUTER CRIME INSIDETIPOLOGIA COMPUTER CRIME INSIDETIPOLOGIA COMPUTER CRIME INSIDE

attacchi diretti al patrimonio aziendale (attacchi diretti al patrimonio aziendale (typetype 1);1);

attacchi diretti ad appartenenti all’azienda attacchi diretti ad appartenenti all’azienda (minacce molestie diffama ioni dispetti ari(minacce molestie diffama ioni dispetti ari(minacce, molestie, diffamazioni, dispetti vari (minacce, molestie, diffamazioni, dispetti vari ecc.) (ecc.) (typetype 2);2);

attacchi diretti a contesti esterni all’azienda attacchi diretti a contesti esterni all’azienda utilizzando la rete aziendale (utilizzando la rete aziendale (typetype 3);3);

PROFILING INSIDERPROFILING INSIDERPROFILING INSIDERPROFILING INSIDER

Generica tipologia dell’insider (HPI Generica tipologia dell’insider (HPI –– LPI LPI –– UI)UI) Motivazione dell’autoreMotivazione dell’autore Sesso autore Sesso autore Età autore Età autore Livello istruzioneLivello istruzione Livello istruzione Livello istruzione Rapporto di impiego Rapporto di impiego Livello gerarchico Livello gerarchico Privilegi di accessoPrivilegi di accesso Associazione con altri o attacco solitarioAssociazione con altri o attacco solitario Competenze informaticheCompetenze informatiche Competenze informaticheCompetenze informatiche

TIPOLOGIA DI INSIDERSTIPOLOGIA DI INSIDERSTIPOLOGIA DI INSIDERSTIPOLOGIA DI INSIDERS

LOW PROFILE INSIDERS

HIGH PROFILEHIGH PROFILEINSIDERS

UNAWARE

INSIDERS

L’origine dei comportamenti L’origine dei comportamenti inside illegali in aziendainside illegali in azienda

Azioni deliberate per voglia di appropriazione o vendetta Azioni deliberate per voglia di appropriazione o vendetta (high profile)(high profile)(high profile)(high profile)

Azioni dovute a scarsa conoscenza delle norme (low Azioni dovute a scarsa conoscenza delle norme (low profile)profile)profile)profile)

Azioni dovute a scarsa valutazione dei danni provocabili Azioni dovute a scarsa valutazione dei danni provocabili (low profile)(low profile)(low profile)(low profile)

Azioni dovute a bassa stima di essere scoperto (low Azioni dovute a bassa stima di essere scoperto (low profile)profile)p )p )

Motivazione degli insidersMotivazione degli insidersMotivazione degli insidersMotivazione degli insiders

Piccoli vantaggi personali Piccoli vantaggi personali (low profile)(low profile) Danneggiare l’azienda Danneggiare l’azienda (high profile)(high profile) Danneggiare un superiore gerarchico Danneggiare un superiore gerarchico (low profile)(low profile)

D i i d / b diD i i d / b di (l fil )(l fil ) Danneggiare un parigrado/subordinato Danneggiare un parigrado/subordinato (low profile)(low profile) Sfida nei confronti del sistema Sfida nei confronti del sistema (low profile)(low profile)

P i t l iP i t l i (hi h fil )(hi h fil ) Psicopatologica Psicopatologica (high profile)(high profile) Vandalica Vandalica (high profile) (high profile) Spionaggio professionaleSpionaggio professionale (high profile)(high profile) Spionaggio professionale Spionaggio professionale (high profile)(high profile)

INSIDERSINSIDERSINSIDERSINSIDERS

HIGH PROFILEHIGH PROFILESpie industrialiSpie industriali

LOW PROFILELOW PROFILELadri di tempoLadri di tempo Spie industrialiSpie industriali

TerroristiTerroristi Ladri di tempo Ladri di tempo

macchinamacchina

Sabotatori Sabotatori Piccoli danneggiatoriPiccoli danneggiatori Violatori privacyViolatori privacy

High profile insidersHigh profile insiders: soggetti ad alto : soggetti ad alto rischio all’interno dell’organizzazionerischio all’interno dell’organizzazione

Soggetti di medio/alto profilo criminaleSoggetti di medio/alto profilo criminale Soggetti di elevata percezione del crimineSoggetti di elevata percezione del crimine Soggetti di elevata percezione del crimineSoggetti di elevata percezione del crimine Soggetti con scarso quadro morale Soggetti con scarso quadro morale Soggetti con apparente buon livello di integrazioneSoggetti con apparente buon livello di integrazione Soggetti con apparente buon livello di integrazione Soggetti con apparente buon livello di integrazione

sociale e lavorativasociale e lavorativa Soggetti con medio/alto indice di conflittualità neiSoggetti con medio/alto indice di conflittualità nei Soggetti con medio/alto indice di conflittualità nei Soggetti con medio/alto indice di conflittualità nei

confronti dell’aziendaconfronti dell’azienda

Low profile insiders:Low profile insiders: soggetti a basso rischio soggetti a basso rischio nell’organizzazione (se sensibilizzati)nell’organizzazione (se sensibilizzati)

Soggetti di basso profilo criminaleSoggetti di basso profilo criminale Soggetti con bassa percezione del crimineSoggetti con bassa percezione del crimine Soggetti con soddisfacente quadro morale Soggetti con soddisfacente quadro morale Soggetti con sostanziale buon livello di integrazione Soggetti con sostanziale buon livello di integrazione

sociale e lavorativasociale e lavorativa Soggetti con basso indice di conflittualità nei confronti Soggetti con basso indice di conflittualità nei confronti

dell’aziendadell’azienda

Azioni pericolose LP (sottostimate)Azioni pericolose LP (sottostimate)Azioni pericolose LP (sottostimate)Azioni pericolose LP (sottostimate)

Navigazione su siti: siti pedo civettaNavigazione su siti: siti pedo civetta Hacking: apparente attacco di aziende concorrentiHacking: apparente attacco di aziende concorrenti Download: scarico di materiale da azienda concorrente (es film)Download: scarico di materiale da azienda concorrente (es film) FileFile sharing: arrivo in azienda di materiale illegalesharing: arrivo in azienda di materiale illegale FileFile--sharing: arrivo in azienda di materiale illegalesharing: arrivo in azienda di materiale illegale Scarsa protezione da virus: divulgazione dati sensibiliScarsa protezione da virus: divulgazione dati sensibili

HIGH PROFILE

LOW PROFILELOW PROFILE

UNAWARE

COMPETENZA INFORMATICACOMPETENZA INFORMATICADESCRIZIONE

ATTACCO

COLLOCAZIONE GERARCHICACOLLOCAZIONE GERARCHICA

MOTIVAZIONEMOTIVAZIONE

CARATTERISTICHE BIOGRAFICHECARATTERISTICHE BIOGRAFICHE

MOTIVAZIONEMOTIVAZIONE

NEURAL NETWORK FOR PSYCHOLOGICAL CRIMINAL PROFILING

HIGH PROFILE INSIDE :HIGH PROFILE INSIDE :TECNICHE INFORMATICHE DI ATTACCOTECNICHE INFORMATICHE DI ATTACCOTECNICHE INFORMATICHE DI ATTACCOTECNICHE INFORMATICHE DI ATTACCO

PRIVILEGE ESCALATION

SPOOFINGSNIFFING

LEAST PRIVILEGE LACK EXPLOITPASSWORD CRACKING

INSIDER DENIAL OF SERVICEBACK DOOR/TROJAN HORSE

INSIDERVIRUS

TUNNELINGTUNNELINGDUPSTER DIVINGHACKER TOOLKIT

SOCIAL ENGINEERINGHACKER TOOLKIT

EXPLOIT APPLICATIVO

Rete feed forwardRete feed forwardRete feed forwardRete feed forward

Rete feedbackRete feedbackRete feedbackRete feedback

Bayesian SelfBayesian Self Organizing Maps (BSOM)Organizing Maps (BSOM)Bayesian SelfBayesian Self--Organizing Maps (BSOM)Organizing Maps (BSOM)

NNPCP (insiders): DATA ENTRYNNPCP (insiders): DATA ENTRYNNPCP (insiders): DATA ENTRYNNPCP (insiders): DATA ENTRYAMBIENTE EVENTO AUTOREAMBIENTE Dimensioni Azienda Settore di attività

EVENTO Target dell’attaccoTarget dell’attacco Origine attaccoOrigine attacco Tipologia attaccoTipologia attacco

AUTORE Generica tipologia Generica tipologia

dell’insider (HPI dell’insider (HPI –– LPI LPI ––UI)UI)

misure di sicurezza logica misure di sicurezza fisica Gestione della sicurezza

Tipologia attaccoTipologia attacco Tecniche informatiche Tecniche informatiche

di attacco adottatedi attacco adottate Danno direttoDanno diretto

UI)UI) Motivazione dell’autoreMotivazione dell’autore Sesso autore Sesso autore Età autoreEtà autore

Danno indirettoDanno indiretto Stima economica del Stima economica del

danno danno

Età autore Età autore Livello istruzione Livello istruzione Rapporto di impiego Rapporto di impiego Livello gerarchicoLivello gerarchico Provvedimento Provvedimento

dell’aziendadell’azienda Ostacoli alla denuncia Ostacoli alla denuncia

penalepenale

Livello gerarchico Livello gerarchico Privilegi di accessoPrivilegi di accesso Associazione con altri o Associazione con altri o

attacco solitarioattacco solitariopp attacco solitarioattacco solitario Competenze Competenze

informaticheinformatiche

NNPCP (insiders): CONSULTAZIONENNPCP (insiders): CONSULTAZIONENNPCP (insiders): CONSULTAZIONENNPCP (insiders): CONSULTAZIONE

AMBIENTEAMBIENTE EVENTOEVENTO AUTOREAUTOREAMBIENTEAMBIENTE Dimensioni AziendaDimensioni Azienda Settore di attivitàSettore di attività misure di sicurezza logicamisure di sicurezza logica

ff

EVENTOEVENTO Target dell’attaccoTarget dell’attacco Origine attaccoOrigine attacco Tipologia attaccoTipologia attacco

ff

AUTOREAUTORE Generica tipologia Generica tipologia

dell’insider (HPI dell’insider (HPI –– LPI LPI ––UI)UI)

’’ misure di sicurezza fisica misure di sicurezza fisica Gestione della sicurezzaGestione della sicurezza

Tecniche informatiche di Tecniche informatiche di attacco adottateattacco adottate

Danno direttoDanno diretto Danno indirettoDanno indiretto

Motivazione dell’autoreMotivazione dell’autore Sesso autore Sesso autore Età autore Età autore Livello istruzioneLivello istruzione

Stima economica del Stima economica del danno danno

Provvedimento Provvedimento dell’aziendadell’azienda

Livello istruzione Livello istruzione Rapporto di impiego Rapporto di impiego Livello gerarchico Livello gerarchico Privilegi di accessoPrivilegi di accesso

Ostacoli alla denuncia Ostacoli alla denuncia penalepenale

Associazione con altri o Associazione con altri o attacco solitarioattacco solitario

Competenze informaticheCompetenze informatiche