Abbiamo già parlato di metadati, di localizzazione di telefoni e della differenza tra un informatico forense e un hacker. In questo articolo continueremo a trattare il vasto tema delle indagini informatiche.

Durante le indagini informatiche, la fase di acquisizione delle prove è tra quelle più delicate e complesse perché da essa dipende l’esito di un’intera causa. Quando si pensa alla cristallizzazione della prova digitale, si porta in genere l’attenzione verso ciò che per tradizione rappresenta il “contenitore” delle informazioni che da anni vengono utilizzate come elemento probatorio in cause civili e penali: i supporti di memoria.

Un aspetto però sta ulteriormente alzando l’asticella delle prove digitali ed è il mondo delle informazioni che risiedono – o viaggiano – su internet. Se parliamo di indagini informatiche, infatti, sempre più importanza sta assumendo la trattazione di dati che si trovano non su un PC o su un disco, bensì da qualche altra parte: su aree remote, su cloud, su web, siti etc.. Sono dati che viaggiano su canali cifrati, spesso anche dove risiedono, che rimangono all’interno di aree private o sono pubblicamente accessibili ma tutti con una caratteristica comune: non risiedono sul dispositivo oggetto di analisi o non sono comunque in disponibilità fisica del soggetto che li ha prodotti o ne beneficia, benchè appunto ne possa godere dell’accesso.

Da un lato, molti dei dispositivi che utilizziamo quotidianamente tendono a memorizzare sempre meno dati in locale per prediligere l’archiviazione online, per diversi motivi. Qualche anno fa i Chromebook hanno aperto questa rivoluzione, che ha spostato i dati su Internet, rendendo il dispositivo esclusivamente un punto di accesso sul quale se si è fortunati si è in grado di recuperare una sorta di ‘cache’, di specchio di ciò che si trova sulla propria area in rete ma nei casi peggiori non si recupera nulla, essendo appunto solamente un ponte tra l’utente e i dati remoti.

D’altro lato, le persone hanno spostato la loro vita sempre più online, non solo in termini di archiviazione dei dati ma anche nel modo in cui interagiscono tra di loro comunicando tramite chat, e-mail, siti web, commenti a forum o qualunque altro metodo di comunicazione che coinvolga aree presenti su Internet o anche soltanto la connettività Internet.

L’importanza di ciò che è online si fa sempre più strategica e per questo motivo serve una sorta di metodologia universale, di protocollo, di standard condiviso almeno a livello scientifico da utilizzare e far utilizzare a chi ha intenzione di produrre prove attraverso le indagini informatiche che andranno ad assumere validità giuridica, si tratti di web, cloud, posta elettronica o qualunque altra fonte di evidenze digitali online.

L’acquisizione forense delle evidenze digitali nelle indagini informatiche è un argomento del quale gli informatici forensi si occupano da diversi anni, con numerose evoluzioni che si sono succedute nel tempo. Dal punto di vista normativo e legislativo, uno degli elementi che in informatica forense viene tenuto in massima considerazione è la legge 48 del 2008, contenente la ratifica della convenzione di Budapest del 2001. Tale legge, ha un significato molto profondo che può essere schematizzato in 3 semplici punti:

  1. Nelle acquisizioni delle evidenze digitali durante le indagini informatiche, elemento strategico se non essenziale è quello di non alterare la prova lasciandola per quanto possibile immutata. Questo primo vincolo è un elemento di assoluta importanza al quale non sempre si può essere conformi. Si pensi all’acquisizione di dispositivi mobili come gli smartphone, nei quali talvolta è necessario avviare il telefono tramite il proprio Sistema Operativo per poter accedere alla copia forense, causando già con questa semplice azione alcune modifiche che vanno però a impattare sul sistema e su eventuali elementi accessori e non, tendenzialmente sui dati.

    Entra quindi in gioco il concetto di ‘contenitore’ che deve essere distinto dal concetto di ‘contenuto’, poiché quando viene citata la questione della ‘ripetibilità’ ci si riferisce in genere ai dati e dunque al ‘contenuto’, tollerando in alcuni casi che il ‘contenitore’ subisca delle mutazioni a patto che, ovviamente, tali mutazioni non vadano ad inficiare nelle indagini informatiche e investigative per le quali è stata richiesta la copia forense del dispositivo. L’esempio tipico è quello della richiesta di acquisizione dei contenuti di uno smartphone del quale poco importa l’eventuale dato relativo alle accensioni, spegnimenti, utilizzo, quanto invece esplicitamente il contenuto.

  2. Il secondo aspetto evidenzia come la copia che viene realizzata di un elemento digitale deve essere identica all’elemento originale. Con ‘elemento’ si intendono le evidenze digitali per i quali l’uguaglianza può essere calcolata in termini esatti utilizzando il confronto tra bit e byte per poter stabilire eventuali differenze o identità tra file, copia forense, hard disk, memorie flash o altri dispositivi di memoria dei quali sono state fatte acquisizioni forensi.
  3. Il terzo elemento strategico riguarda la conservazione delle copie, ovvero il fatto che la non modificabilità non deve riguardare soltanto il dato originale ma anche il dato copiato. Anche in questo caso, arriva in aiuto la possibilità di utilizzare funzioni hash anche per calcolare le impronte delle copie forensi che sono state prodotte, impronte che devono essere verbalizzate in un contesto effettivamente non modificabile.

 

LE INDAGINI INFORMATICHE: LA MARCA TEMPORALE

 

Un ulteriore elemento di rilievo che va ad integrare il corredo di ciò che rende un’acquisizione per indagini informatiche conforme alla legge 48 del 2008 è la marca temporale. Di notevole importanza infatti è non soltanto la possibilità di garantire l’immutabilità del dato originale (così come del dato copiato) ma anche la data esatta nella quale la copia è stata cristallizzata. Questo elemento ovviamente non può garantire la data in cui l’elemento originario è nato o è stato inizialmente prodotto, poiché cristallizza nel tempo semplicemente la presenza di un dato in un certo momento, identificando quindi una sorta di estremo superiore, dopo il quale non è possibile far risalire l’esistenza di un certo dato.

La marca temporale, infatti, identifica – nel momento in cui viene generata – la presenza del dato: questo significa che il dato in quel momento esiste e contiene effettivamente le informazioni che sono state inserite all’interno della marca.

Per poter apporre marche temporali esistono diverse soluzioni:

  • Utilizzo della posta certificata, inviando tramite PEC a se stessi o a un individuo terzo il valore hash calcolato sul dato al quale si vuole apporre la marca temporale – o il dato stesso se possibile;
  • Utilizzare le soluzioni offerte dai certificatori di posta elettronica che possibilmente forniscono certificati di marca temporale;
  • Utilizzare la blockchain, in particolare quella del protocollo Bitcoin.

Come si può intuire da questo articolo, il tema delle indagini informatiche è molto ampio e sarebbero necessarie procedure strutturate per poter svolgere un’analisi in maniera accurata e soprattutto standardizzata.

Il consulente forense che si occupa di indagini informatiche deve essere adeguatamente formato e costantemente aggiornato.

Se necessitate di ulteriori informazioni non esitate a contattarci. Potete inoltre seguirci sulla nostra pagina LinkedIn.

 

Articolo di Samuela Bolgan

Se ti é piaciuto condividi!

× Contattaci!