Nel corso degli articoli precedenti abbiamo iniziato a vedere quali sono gli illeciti perpetrati in rete. Abbiamo parlato non solo di challenge o sfide social ma anche di adescamento online.

Ora vogliamo farvi entrare nel mondo delle investigazioni informatiche. Vedremo, infatti, in quale campo opera l’informatico forense.

Attendibilità estrinseca sempre più ampia

La pervasiva diffusione e il conseguente utilizzo della tecnologia fornisce la possibilità di sostanziare le dichiarazioni che vengono rilasciate in fase di indagini mediante dati oggettivi. Attualmente, particolarmente utili ai fini delle investigazioni informatiche risultano le analisi sui metadati dei file multimediali (foto, video etc.) e la localizzazione GPS.

Metadati

Un metadato (dal greco μετὰ “oltre, dopo, per mezzo” e dal latino datum “informazione” – plurale: data), letteralmente “(dato) per mezzo di un (altro) dato”, è un’informazione che descrive un insieme di dati. Nel contesto dei prodotti digitali (documenti, foto, video, audio, etc.), il termine metadato adotta il significato che gli è stato affidato dall’informatica, da cui deriva la restrizione del concetto di “dato”, limitando il suo dominio semantico ai soli dati digitali e discreti che vengono gestiti da un computer.

Dunque, i metadati sono informazioni contenute in ciascun prodotto digitale che “informano” sulle caratteristiche dello stesso: le più comuni sono data, ora e luogo della creazione, autore, dispositivo su cui il prodotto è stato creato etc. Semplificando molto, potremmo dire che sono delle “etichette” che vengono apposte su qualsiasi prodotto digitale.

Nel caso delle immagini digitali, i metadati sono contenuti nei cosiddetti EXIF (Exchangeable image file format). Si tratta di informazioni contenute all’interno delle immagini che racchiudono dettagli tecnici dello scatto e dettagli identificativi sia dell’attrezzatura utilizzata che del fotografo che ha scattato la foto. In altre parole, contengono dia dati costituenti l’immagine stessa (ossia i valori cromatici di ogni singolo pixel) sia i metadati, ossia le informazioni di corredo al contenuto del file stesso.

L’Exchangeable Image File Format è stato sviluppato dalla Japan Electronics and IT Association (JEITA) e pubblicato per la prima volta nel 1995. Si tratta, come detto, di strutture di metadati contenute all’interno di specifici formati di file JPEG, TIFF e RIFF. Viene comunemente utilizzato come standard di riferimento per la memorizzazione di informazioni su alcune proprietà della foto, ovvero:

Metadati di data e ora: potremo sapere in che giorno e in che minuto la foto è stata scattata. (La veridicità di questa informazione dipende dalla correttezza della data impostata sulla fotocamera);
Metadati di posizione: potremo sapere dove la foto è stata scattata, qualora il sistema di geolocalizzazione sia attivo nel dispositivo;
Metadati sulla fotocamera: all’interno di questa categoria troviamo il modello e la marca della fotocamera, l’obiettivo fotografico e la lunghezza focale utilizzati;
Metadati sulle impostazioni di scatto: orientamento dell’immagine, tempo di esposizione, apertura del diaframma, ISO e persino il bilanciamento del bianco;
Miniatura della foto: piccola anteprima da visualizzare sul LCD della fotocamera e nei file manager dei vari sistemi operativi;
Informazioni sul copyright: informazioni sull’identità del fotografo e su un eventuale copyright.

Di seguito viene presentato un’analisi dei metadata di una fotografia dai quali si riesce ad evincere la data di creazione e le esatte coordinate GPS del luogo in cui tale foto è stata scattata.

Localizzazione telefoni

Se parliamo di investigazioni informatiche, un elemento oggettivo è l’evento di traffico documentato nel tabulato telefonico con relativo impegno di cella, ovvero ciò che indagano le tecniche tradizionali di localizzazione a posteriori basate sul traffico telefonico. L’acquisizione dei tabulati telefonici permette, infatti, di visionare a quale cella il telefono in questione è agganciato di volta in volta, a prescindere dal fatto che tale telefono stia effettuando una chiamata o stia navigando in Internet, o semplicemente abbia attivato il sistema GPS.

Uno step di analisi aggiuntivo è rappresentato dalla rappresentazione cartografica dei soli indirizzi di cella ottenuti dai dati di traffico.
È possibile infatti che due soggetti, A e B, compiano lo stesso percorso fisico ma gli indirizzi di cella registrati dai dispositivi mostrino un percorso assai diverso. Questo perché i rispettivi gestori erogano gli eventi di traffico su celle distinte e possono essere presenti ostacoli contingenti nel percorso dei terminali quando viene generato l’evento di traffico.

Un ulteriore step di analisi è rappresentato dalla georeferenziazione delle aree teoriche coperte dalle celle agganciate di volta in volta dai dispositivi.

Come si può vedere dall’immagine sopra riportata, entrambe le celle agganciate dai due dispositivi coprono delle aree ampie, alcune parti delle quali vanno a sovrapporsi testimoniando così il percorso comune effettuato dai due soggetti che hanno utilizzato i dispositivi.

Le investigazioni informatiche: L’Osint, l’ultimo ampliamento della attendibilità intrinseca

Con il termine OSINT si intende indicare l’informazione disponibile ed aperta all’accesso pubblico che ha subito un processo di ricerca, selezione, distillazione e diffusione verso un gruppo selezionato di destinatari al fine di soddisfare un preciso bisogno informativo.

Scopo dell’OSINT è dunque quello di dare una risposta ad una specifica domanda o richiesta attraverso la ricerca di informazioni che dovranno essere analizzate e valutate proprio in funzione dello scopo prefisso.

Le informazioni vengono tratte da dati liberamente accessibili, ad esempio: siti web, social network, interviste, video, giornali, archivi, blog, e quant’altro disponibile al pubblico.

Si tratta di un tipo di investigazioni informatiche che ricorre all’acquisizione di tutte le informazioni presenti nel web. Tale ricerca si avvale di diversi strumenti:

– Motori di ricerca: archivi, raccolte di immagini, giornali, blog, archivi statistici;
– Social Networks;
– Recupero di materiale cancellato online nei siti web;
– Indirizzi email e indirizzi IP;
– Numeri telefonici;
– Mappe online;
– Ecc.

Differenza fra osint e hacking

L’attività di ricerca di informazioni tramite OSINT non prevede alcun’attività illecita di intrusione all’interno di siti web o di sottrazione di informazione, ovvero hacking.
L’OSINT rappresenta una metodologia di investigazioni informatiche che può essere utilizzata nelle attività di hackeraggio durante la raccolta di informazioni, avendo a disposizione molti tool e strumenti per effettuare un’approfondita ricerca. Va precisato che l’aspetto illegale dell’hackeraggio NON riguarda le indagini OSINT che, come detto in precedenza, riguardano fonti aperte e liberamente accessibili.

Le investigazioni informatiche: Osint. Cosa si può fare?

I risvolti applicativi delle attività di OSINT in campo forense sono diversi, di seguito alcuni esempi tratti da perizie svolte:

DIPENDENTE ASSENTEISTA

Il dipendente di una grossa azienda da un anno si ammalava il lunedì mattina e guariva il venerdì sera per poi riammalarsi il lunedì successivo. Questo curioso pattern di malattia durava da un anno e alle visite mediche domiciliari il dipendente si era sempre fatto trovare. Mediante una analisi delle foto postate dai suoi amici su facebook è stato possibile ricostruire che nei periodi in cui avrebbe dovuto essere a casa era stato immortalato in foto che lo vedevano a New York e in Romania.

PRESUNTO ABUSO SESSUALE

In un caso di abuso sessuale, la ragazza che lamentava l’abuso aveva riportato al suo psicoterapeuta conseguenze psichiche tali da indurre lo specialista a diagnosticare un Disturbo post traumatico da Stress (DPTS). Uno dei fattori che consente la diagnosi è il fatto che si tende ad evitare tutte quelle situazioni che possono, anche solo lontanamente, richiamare l’evento stressante (in questo caso la discoteca dove sarebbe avvenuto il reato). L’analisi dei suoi like su Facebook e dei suoi post ha permesso di rilevare come la sua attenzione fosse focalizzata quasi esclusivamente sui locali notturni cosa questa incompatibile con il sintomo di evitamento che lei aveva riferito alla psicoterapeuta.

VIOLENZA SU MINORE E DETENZIONE MATERIALE PEDOPORNOGRAFICO

Un ragazzo risultava indagato per corruzione e abuso di minorenne a seguito della denuncia di una decina di ragazzine quattordicenni del suo paese.
Sono stati analizzati i profili social del ragazzo ed è stato recuperato l’archivio di messaggistica associato a tali profili. A seguito dello studio di tale materiale, è stato possibile dimostrare come le ragazzine, costituitesi parte civile, non solo erano consenzienti, ma ricercavano attivamente l’imputato per incontri e scambi di materiale pornografico (sextings).

DA TENTATO OMICIDIO A TENTATA AGGRESSIONE

Un uomo risultava accusato di tentato omicidio poiché durante una sparatoria in un parcheggio tra bande, le immagini delle telecamere di videosorveglianza lo riprendevano mentre puntava una pistola.
In tal caso, è stato effettuato un lavoro di pulizia e scrematura delle immagini al fine di potenziarne la nitidezza e si è proceduto a misurazioni su parametri biometrici.
Le risultanze hanno mostrato come il soggetto in realtà indossasse un guanto nero tirapugni e non un’arma.

TRUFFA

Un uomo denunciava di essere stato truffato da una donna con la quale intratteneva una relazione per una somma di 70.000 euro. Tale donna aveva fatto poi perdere le tracce e le uniche informazioni che l’uomo possedeva erano il numero telefonico e il nome.
L’analisi OSINT ha permesso di poter svelare la reale identità della donna, la sua rete familiare e amicale, il luogo in cui ella abitava nonché il posto di lavoro in cui nottetempo prestava servizio.

CAPACITÀ GENITORIALE

Durante una CTU sulla valutazione delle capacità genitoriali, alcuni sospetti sulla vita privata della madre hanno dato avvio a un’indagine OSINT sulla signora. Le evidenze raccolte hanno permesso di poter disconfermare quanto dalla stessa sostenuto in sede di consulenza; invero la madre aveva delle frequentazioni inadatte ad una genitrice, faceva uso di sostanze e la geolocalizzazione confermava che la stessa non era in casa con la figlia la maggior parte del tempo, lasciando la ragazzina da sola.

ACCUSA DI ASSOCIAZIONE MAFIOSA

Un noto direttore di Banca del Nord Est veniva accusato del delitto di associazione mafiosa a seguito di alcune intercettazioni ambientali.
Tali intercettazioni risultavano di scarsa qualità e le trascrizioni della Polizia Giudiziaria in molti punti non erano in grado di riportare quanto detto nei dialoghi, classificando tali passaggi come incomprensibili.
La pulizia del file audio mediante specifici software e l’isolamento delle voci dei vari partecipanti alle conversazioni ha permesso di rendere comprensibili tali passaggi, di fatto fondamentali ai fini del processo. Il direttore di Banca è stato assolto poiché l’audio migliorato ha permesso di far luce sulle dinamiche e provare la sua estraneità ai fatti.

Le investigazioni informatiche: Case studies di alto profilo

Bellingcat è un sito di giornalismo investigativo fondato nel 2014 da Eliot Higgins, che fa ampiamente utilizzo delle tecniche OSINT per la risoluzione di diversi casi.
Mediante tale metodologia, il sito è riuscito a risolvere casi di alto profilo internazionale.

Nel 2018 i giornalisti di Bellingcat sono riusciti a scoprire l’identità dei due agenti russi accusati di avere avvelenato l’ex spia russa Sergei Skripal a Salisbury, in Inghilterra.
L’inchiesta ha anticipato le indagini della polizia britannica ed ha scoperto che i due uomini facevano parte dell’intelligence militare russa – Gru.

Nel 2016 il sito identificò i soldati che erano stati coinvolti nell’abbattimento del volo MH17, scoprì il loro battaglione di appartenenza e passò tutte le prove raccolte agli investigatori olandesi che si stavano occupando del caso.

Nel 2016 sono stati localizzati alcuni sostenitori dello Stato Islamico (o ISIS) in diverse città europee: Münster, Londra, Parigi e Amsterdam, tra le altre. Tutto è iniziato quando molti sostenitori dello Stato Islamico hanno pubblicato su un canale di Telegram messaggi a sostegno del gruppo in vista dell’imminente discorso di Abu Mohammed al Adnani, portavoce e importante esponente dello Stato Islamico: molti messaggi contenevano l’immagine di un biglietto nel quale c’era scritto a penna il posto dove si trovava in quel momento il simpatizzante dello Stato Islamico. Riconoscendo alcuni dettagli degli sfondi, è stato possibile localizzare il posto in cui era stata scattata la foto.

La tecnologia e Internet se da un lato hanno permesso la nascita di nuovi illeciti, dall’altro hanno consentito lo svilupparsi delle investigazioni informatiche. Tali attività, oggi, sono indispensabili e le analisi sul campo eseguite dall’investigatore privato non possono che integrarsi.

Se il mondo delle investigazioni informatiche ti ha colpito non perderti i nostri prossimi articoli e non dimenticarti di seguirci anche su Facebook e Youtube.
Inoltre non dimenticarti di scriverci a info@forensicsteam.it per porci qualsiasi domanda desideri, saremo felici di rispondere ad ogni tuo dubbio!

Articolo di Samuela Bolgan

Le investigazioni informatiche