Quanto troverete qui di seguito riguardo al Digital Forensic è stato interamente estratto per gentile concessione dal sito del
Dott. Marco Mattiucci "Ufficiale del Ruolo Tecnico Ingegneri dell’Arma dei Carabinieri (Maggiore), Comandante/Fondatore della Sezione Telematica del Reparto Tecnologie Informatiche (RTI) interno al Raggruppamento Carabinieri Investigazioni Scientifiche (RaCIS)".
Per ulteriori approfondimenti sull'argomento e "lezioni on-line di Digital forensic "(previa registrazione sul suo sito) vi rimandiamo all'indirizzo URL :
http://www.marcomattiucci.it
DIGITAL FORENSIC
Il Digital Forensics è un campo fortemente emergente tra le Forze di Polizia, i Militari, i Servizi Segreti e qualsiasi organizzazione pubblica o privata che si trova a gestire sistemi di comunicazione high tech al suo interno. Il DF raccoglie sempre crescenti fette di mercato ed il business che si sta creando attorno ad esso lo rende appetibile a studi di alto livello sia in campo universitario che privato.
Premessa
Il termine "Crimini ad alta tecnologia" (HTC), traduzione del più famoso High Tech Crime, proviene dall'omonimo gruppo di lavoro del G8 con il quale ebbi occasione di interagire in una splendida ed enorme conferenza a Londra nell'ottobre del 1999. A quei tempi la mia esperienza nel settore scientifico forense si limitava a qualche centinaio di casi affrontati con molto criterio ma effettivamente con limitatezza di veduta.
In quel frangente mi resi conto di quanto ampio fosse il settore di cui mi stavo andando ad occupare con sempre maggior vigore ed individuai quello che già da allora si configurava come un settore di punta della IT che in Italia sarebbe stato notato per bene almeno 6 anni dopo.
Gli HTC rappresentano la classe dei crimini perpetrati mediante l'impiego di sistemi elettronici tecnologicamente avanzati, ad oggi per la maggioranza digitali. Tale classe non si limita ai reati "reali" che possono essere perpetrati più efficacemente o facilmente mediante l'ausilio dell'elettronica ma anche quegli atti illeciti che senza gli adeguati strumenti tecnologici non potrebbero affatto esistere.
Definizione
Nel "lontano" 2001 il primo Digital Forensic Research Workshop (DFRWS - http://dfrws.org) segnò le linee guida per la determinazione della scienza del Digital Forensics ed in particolare, nel report della riunione [45] si può leggere quanto segue:
"Digital Forensic Science: The use of scientifically derived and proven methods toward the preservation, collection, validation, identification, analysis, interpretation, documentation and presentation of digital evidence derived from digital sources for the purpose of facilitating or furthering the reconstruction of events found to be criminal, or helping to anticipate unauthorized actions shown to be disruptive to planned operations."
Come si può vedere l'accezione della definizione è sbilanciata nel senso "criminale" eppure oggi gli strumenti ed i risultati del DF si applicano estensivamente anche a settori non penali (si direbbe in Italia). Ad esempio all'interno di aziende o organizzazioni che si trovano a gestire estesi sistemi di comunicazione digitali e che vogliono mantenerne il controllo conformemente a determinate direttive interne. Questo ha allargato sempre più gli studi di questa materia ma soprattutto ne ha ingigantito gli aspetti commerciali.
Altra osservazione riguarda il fatto che il DF non si limita alle memorie di massa e/o alle reti di computer ma abbraccia qualsiasi sistema digitale: dai PC, agli iPod, agli smartphone fino ai sistemi di riconoscimento automatico di voci ed immagini, ecc.. In questo senso è una materia scientifica di immense proporzioni che richiede, allo specialista un'enorme preparazione tecnica.
Nel contempo lo sviluppo del DF ha spinto la nascita dell'Anti-Forensics o Counter-Forensics, una parte del DF che si occupa specificamente di come impedire agli strumenti ed alle metodologie del DF di operare correttamente con risultati completi.
__________________
REPERTAMENTO SULLA SCENA DEL CRIMINE
Repertamento di sistemi High Tech
"... quando arrivi sulla scena del crimine è molto importante definire cosa fare e non fare!"
Marzo 2007
Riferimenti normativi
Nel corso delle attività d’indagine da parte della Polizia Giudiziaria, siano queste di iniziativa o delegate, si pone il problema pratico inerente la ricerca, l’individuazione ed il repertamento dei sistemi high tech e dei dati digitali che contengono al fine eventuale di farne fonti di prova.
Nell’ambito della ricerca di tali fonti, l'art. 354 CPP, secondo comma, così recita: “Se vi è pericolo che le cose, le tracce e i luoghi si disperdano o comunque si modifichino e il pubblico ministero non può intervenire tempestivamente, gli ufficiali di polizia giudiziaria compiono i necessari accertamenti e rilievi sullo stato dei luoghi e delle cose...".
Indagini di sopralluogo sono anche quelle effettuate dagli ausiliari di polizia giudiziaria, o dai consulenti tecnici nominati dal pubblico ministero o dal difensore di una delle parti impegnate nel processo penale, oppure dai periti nominati dal magistrato giudicante, in base all. art. 348 CPP. Analogamente il pubblico ministero, qualora debba procedere ad un “operazione tecnica per cui sono necessarie specifiche competenze, può nominare e avvalersi di consulenti...” (art. 359 CPP primo comma).
L’art. 360 CPP “Accertamenti irripetibili” da' alla persona indagata “la facoltà di nominare consulenti tecnici”. Il sopralluogo è dunque un mezzo di ricerca della prova perché rende possibile l'acquisizione di cose o tracce dotate di attitudine probatoria e costituite prima del processo. La sua “natura” di mezzo di ricerca della prova non varia anche qualora costituisca parte integrante di una perizia che è come visto, un mezzo di prova.
La perizia differisce sostanzialmente dal sopralluogo che è un atto ispettivo mirante a descrivere il più fedelmente possibile la scena di un delitto; il sopralluogo è una serie di atti limitata a rendere obiettiva una situazione di fatto, senza alcun giudizio tecnico sulle cause: è un accertamento statico. La perizia, invece, è un accertamento di carattere dinamico che esprime giudizi valutativi il più possibile precisi e coerenti in risposta a specifici quesiti posti dal magistrato. Il giudice non è vincolato dai giudizi valutativi espressi dal perito, ma non può certamente ignorare gli elementi oggettivi costituiti da cose o tracce raccolti dal perito durante l'attività di sopralluogo. Ciò dimostra che il sopralluogo è anche in questo caso un mezzo di ricerca della prova, perché comunque rende possibile l'acquisizione di cose o di tracce con attitudine probatoria. La documentazione del sopralluogo, essendo normalmente relativa ad atti irripetibili, entra a far parte del fascicolo per il dibattimento (art. 431 CPP lett. b).
Il Problema del repertamento digitale
Esistono due livelli di repertamento di un sistema digitale:
- il repertamento dell’oggetto fisico, che mantiene i dati seguendo un qualche principio fisico (in genere elettrico, magnetico e/o ottico);
- il repertamento dei dati ossia la fedele copia dei dati su supporto sicuro.
Generalmente, come già evidenziato in precedenza, il repertamento fisico anticipa quello dei dati, ma si noti che questa tende a non essere più una regola. Si stanno diffondendo rapidamente sistemi portatili di repertamento dati che consentono di clonare il contenuto completo o parziale di un PC senza necessariamente prelevarlo e trasportarlo in un laboratorio specializzato e questo mentre continua a funzionare (live analysis). Tale dualità tra fisico e dato si presenta solo nella digital forensics ed in nessun altra materia scientifica forense (pagina interessante).
A ciò va aggiunto che molti dispositivi elettronici memorizzano i dati su memorie che hanno bisogno di batterie tampone o della corrente di rete per non perdere i dati in essi contenuti. Di converso molti altri dispositivi devono essere spenti forzatamente per garantire un buon repertamento (che consenta poi un’analisi efficace).
Il repertamento di PC e di memorie di massa
L’indicazione fondamentale è quella di non “smanettare” direttamente sul sistema alla ricerca di dati utili nella fase di sopralluogo. La prima operazione da compiere è la disattivazione del sistema. Questo perché l’unico stato dell’elaboratore che assicura la sua impossibilità di proteggersi o distruggere dati utili è proprio quello in cui la circuiteria non è alimentata elettricamente.
Raccogliere l’hardware e documentarne la configurazione
Prima di smontare i vari componenti del computer, è importante che vengano fatte delle fotografie dello stesso da varie angolazioni per documentare la configurazione Hardware e le relative connessioni.
Una volta smontato il sistema si abbia cura di imballare le singole parti in contenitori che diano la sufficiente protezione meccanica.
Raccogliere i supporti di memoria di massa
Dopo la disattivazione del sistema (che deve necessariamente essere svolta via hardware e non via software) individuato è necessario passare a raccogliere fisicamente tutti si supporti di memorizzazione presenti. Bisogna fare quindi attenzione a: CD, DVD, cassette di formato diverso da quelle musicali, nastri, hard disk staccati da PC, chiavette USB, ecc.. In generale i pericoli per i supporti magneto-ottici sono di natura:
(a) Meccanica;
(b) Termica;
(c) Elettromagnetica.
Documentare i supporti magneto ottici di memoria individuati
Floppy Disk, CD, cassette e nastri magnetici di vari formati sono una fonte di dati il più delle volte importantissima ai fini del repertamento, quindi è necessario soffermarsi accuratamente a catalogare ed etichettare tutto il materiale di tal tipo.
Trasferire il materiale repertato in un luogo sicuro
Un computer o una memoria di massa, una volta sequestrati e prima dell’analisi dei dati, devono essere conservati come reperti e quindi in un luogo poco accessibile, regolato termicamente e tracciato negli ingressi.
Il repertamento dei Server
Raramente è indicato effettuare un repertamento fisico di un server, sia per la difficoltà nell'isolare e spegnere correttamente un tale tipo di strumento (generalmente operante real time in rete) che per l'eventuale danno che si finirebbe per arrecare all'organizzazione che lo possiede. La modalità essenziale quindi è quella di individuare i dati di interesse e clonarli in maniera irripetibile (presenza dei periti di parte art. 360 CPP). In alcuni casi è anche possibile effettuare un backup completo del sistema (se i dati sono in quantità limitata). Si tratta di un approccio più sicuro in relazione all'indagine ma preoccupante dal punto di vista della liceità del prelievo (= sequestro) di una mole di dati tanto varia e spesso non strettamente inerente il procedimento penale.
Il repertamento dei PDA e dei cellulari
I palmtop e gli smartphone sono sorgenti di dati generalmente insostituibili per le indagini. Purtroppo il loro repertamento non è immediato, soprattutto se il sistema gestisce servizi di comunicazione cellulare. Devono essere prese precauzioni sia per isolare le comunicazioni radio che per impedire lo spegnimento del dispositivo (Mobile Forensics).
Trattare un sistema in rete
Problematica tipica dei server e spesso anche di PC casalinghi sui quali si interviene "a caldo" durante le comunicazioni su Internet. Non esiste, ad oggi e per quanto in mia conoscenza, una metodologia generale che preservi tutte le informazioni (quelle in RAM sono in questo caso fondamentali) e che riduca a zero l'intrusività. Da questo punto di vista l'unico modo per effettuare una sorta di repertamento dati è forzare un logging dell'attività della macchina mediante dei software che non necessitano di installazione, il tutto "live", ossia senza spegnere nulla. A ciò sarebbe opportuno aggiungere una video camera che riprende le attività sviluppate dall'operatore forense (per la sua migliore tutela legale).
Il repertamento di sistemi video/fotografici
Videocamere e macchine fotografiche digitali devono essere repertati nell'ambito High Tech, soprattutto tenendo conto che le memorie interne/removibili che possiedono su mini schede o chip possono contenere file di qualsiasi genere e non necessariamente immagini. Il prelievo di tali sistemi è relativamente semplice dato che le loro memorie sono in massima parte non temporanee. Bisogna fare molta attenzione a prelevare tutte le memorie effettivamente presenti sulla scena del crimine che talvolta possono passare inosservate data la minima dimensione e magari la lontananza dal sistema di ripresa foto/video.
Il repertamento di smartcart e sistemi correlati
Le smartcard vengono impiegati in diversi settori, dalla telefonia mobile all'identificazione biometrica. I lettori e modificatori di smartcard sono generalmente dei sistemi special purpose simili a PC per cui il loro repertamento segue quanto visto in precedenza. La smartcard può essere prelevata senza problemi a patto che non risulti in attività su una di tali macchine.
Il repertamento di magnetic-card e sistemi correlati
Le magnetic card trovano il massimo impiego nelle carte di pagamento ed identificazione. Anche in questo caso i lettori/scrittori di card sono dei sistemi special purpose simili a PC e talvolta solo PC collegati a speciali periferiche (es. skimmer). Il loro repertamento, quindi è sostanzialmente di prassi
Il repertamento di sistemi speciali
I sistemi elettronici speciali come GPS, detonatori, microspie, ecc. necessitano di un repertamento altamente specialistico non suscettibile di generalizzazioni teoriche.
E il resto?
Tanto per citare altro: fax, segreterie telefoniche, cerca persone, orologi, fotocopiatrici, stampanti, router, videocontrollori, ecc. devono essere repertati a seconda dei dati che devono essere individuati. Talvolta è sufficiente effettuare un repertamento dati, talvolta bisogna congelare il sistema fisico per la difficoltà di operare in condizioni "live".
_____________________