Informatica Forense (Computer Forensics)
Lo scopo dell’informatica e dell’analisi forense digitale è determinare se un dispositivo è stato utilizzato per scopi illegali, che vanno dall’hacking informatico all’archiviazione di materiale pornografico illegale o registrazioni di attività illegali. Quando viene commesso un reato informatico, bisogna condurre un’indagine forense per estrapolare i dati necessari dai dispositivi, mobili e non, e per fare questo conviene rivolgersi a professionisti e successivamente adempiere le vie legali.
Si pertanto può identificare il colpevole di un reato, confermare o invalidare una confessione o un alibi, stabilire la paternità di una azione, verificare azioni e movimenti di un soggetto, prevenire e/o contrastare un attacco hacker.
Le fasi del trattamento del dato digitale sono: identificazione, raccolta, acquisizione, analisi e presentazione.
Recupero Dati
Mediante tecniche di Computer Forensics si può recuperare praticamente ogni tipo di file, da quelli di sistema a quelli creati dagli utenti, per esempio fogli di calcolo. I file si possono recuperare anche se l’utente ha cercato di cancellarli o se ha formattato l’Hard Disk.
Ulteriori Attività di Computer Forensics
Posta elettronica (email)
L’email è probabilmente il tipo più importante di evidenza digitale. È molto importante per vari motivi, fra cui i seguenti.
- Controllo, possesso, intenzioni.
- Catena degli eventi.
- Prevalenza.
- Inquinamento delle prove.
- Ammissibilità.
- Accessibilità.
Controllo, possesso, intenzioni
Nella Computer Forensics, stabilire controllo, possesso e intenzione è fondamentale perché le prove siano incriminanti. A volte non c’è nulla di più personale dell’email, che può mostrare le intenzioni del sospettato e della vittima. Nel caso di Sharon Lopatka, uccisa da Robert Glass, l’email è stata la prova più importante nella causa per omicidio.
Glass e Lopatka si sono scambiati molte email prima di incontrarsi nella Carolina del Nord, dove Glass ha torturato e strangolato Lopatka. Le email andavano a sostegno delle dichiarazioni inquietanti, secondo cui tortura e omicidio sarebbero stati consensuali.
In casi che coinvolgono il possesso di pornografia infantile, l’accusato di solito sostiene di non avere saputo che quelle immagini erano presenti sul suo computer. L’accusa deve dimostrare che l’imputato sapeva della loro esistenza e che erano immagini di minori. Le email possono spesso dimostrare che le immagini erano state condivise dall’imputato con altri pedofili.
Questo contribuisce a dimostrare la colpevolezza dell’imputato e consente di incriminarlo per possesso di immagini pedopornografiche e per l’uso di un computer per distribuire immagini illegali. Per stabilire che un’immagine che si trova su un computer è lo stesso file di immagine che si trova su un altro computer, si può utilizzare un procedimento che va sotto il nome di hashing MD5.
Catena degli eventi
La ricostruzione degli eventi che hanno portato a un crimine è un aspetto importante della presentazione di un caso. Spesso un file di email contiene una catena di conversazioni, svoltesi nell’arco di vari giorni, e comprende ore, date, mittente e ricevente. Questo può contribuire a stabilire una catena di eventi.
Prevalenza
La posta elettronica è molto importante perché la usiamo molto per comunicare, perciò è molto presente nelle attività sia personali che di lavoro. Nell’indagine sulla Enron sono state acquisite e indagate decine di migliaia di email. È possibile che una società di revisione dei conti dotata di una unità di Computer Forensics abbia anche una unità distinta con un gruppo di analisti che passano le proprie giornate soltanto esaminando l’evidenza fornita dall’email.
Inquinamento delle prove
L’inquinamento è l’occultamento, la distruzione, l’alterazione o la falsificazione delle prove ed è un reato grave. Nella causa Mattel contro MGA Entertainment, Inc., il giudice distrettuale Stephen Larson ha stabilito che la giuria poteva ascoltare la testimonianza della Mattel secondo cui l’ex dipendente Carter Bryant aveva usato un’applicazione, chiamata Evidence Eliminator, per inquinare le prove prima di consegnare il suo computer agli avvocati nel 2004.
L’email è molto preziosa per gli investigatori perché, anche se l’accusato cerca di inquinarla sul proprio computer, rimane ancora accessibile da altre fonti. Per esempio, i messaggi si potrebbero trovare non solo sul computer del sospettato ma anche su quello del destinario. Inoltre è possibile emettere un mandato nei confronti di un servizio di posta elettronica perché consegni i file memorizzati sui suoi server. File di email si possono spesso acquisire anche da smartphone come gli iPhone e da altri dispositivi come un iPad o un MacBook.
Ammissibilità
Giudici e tribunali da anni accettano la posta elettronica come prova ammissibile. Cosa interessante, in un caso, Rombom et al. contro Weberman et al., il giudice ha accettato come prova le stampe dei messaggi di posta; il querelante ha testimoniato di aver ricevuto le email dall’accusato e di averle stampate.
Accessibilità
A differenza di molte altre fonti di evidenza, per l’accesso alla posta elettronica di un individuo non è necessariamente richiesto un mandato di perquisizione. Il Dipartimento di Giustizia degli Stati Uniti ha sostenuto che, dopo che un’email è stata aperta, non è più protetta dallo Stored Communications Act (SCA). Anche se un giudice ha già respinto la petizione per una perquisizione senza mandato, il governo ha continuato a sostenere che quando l’email è nel cloud ha il diritto di accedervi liberamente.
In base allo SCA, per le comunicazioni archiviate, come le email che risalgono a meno di 180 giorni prima, è necessario che le forze dell’ordine ottengano un mandato. Electronic Frontier Foundation, fondata nel 1990 da John Gilmore, Mitch Kapor, John Perry Barlow e Steve Wozniak, si oppone con forza ai tentativi del governo in questo campo.
Alcuni analisti pensano però che la legge potrebbe cambiare a favore del governo. Comunque, quello che è chiaro è che l’email aziendale di un dipendente è proprietà del datore di lavoro. Un’azienda quindi può esaminare l’email di un dipendente senza il consenso di quest’ultimo.
Nel 2009, nella causa Stengart contro Loving Care Agency, Inc., la Divisione d’Appello della Corte Superiore del New Jersey ha ribadito che un datore di lavoro può accedere all’email di un dipendente e leggerla senza il consenso del dipendente, se quest’ultimo usa la tecnologia dell’azienda per accedere alla posta elettronica. Perciò, avere accesso alle comunicazioni via email spesso è più facile che avere accesso ad altri metodi di comunicazione.
Immagini
Esistono numerosi tipi di file di immagine. I formati più usati sono BMP (Windows bitmap), JPEG (Joint Photographic Experts Group), TIFF (Tagged Image File Format) e PNG (Portable Network Graphics). Le immagini sono particolarmente importanti nei casi di pedopornografia, sono anzi ancora più importanti oggi di quanto lo fossero 20 anni fa, perché le fotografie digitali presentano dettagli sul tipo di fotocamera utilizzata (dimostrando quindi il possesso) e spesso contentono dati GPS (Global Positioning System), che consentono di stabilire la posizione del dispositivo (per esempio, uno smartphone) e quando la fotografia è stata scattata.
Questi metadati sono spesso associati alle fotografie scattate con uno smartphone. In generale i metadati di file di una fotografia digitale permettono di identificare marca e modello della fotocamera utilizzata, che sono informazioni preziose per gli investigatori. I metadati sono informazioni su un file e possono includere le date di creazione, modifica e ultimo accesso, e a volte i particolari sull’utente che ha creato il file.
Metadati di un file.
La maggior parte dei software di imaging e analisi forense, fra cui l’applicazione FTK di AccessData, offre un’interfaccia utente che può filtrare le immagini per tipo e separarle. Questi file sono raggruppati e comprendono anche file di immagine estratti da altri file. Se, per esempio, un’email o un documento di Microsoft Word contengono un’immagine, l’applicazione può estrarla e raggrupparla con altre immagini che ha trovato.
Il software X-Ways Forensics e altri strumenti forensi consentono a un investigatore di filtrare tutte le immagini utilizzando come criterio una tonalità della pelle. Il risultato è che, dopo la ricerca, vengono presentate quasi esclusivamente immagini di persone.
Le fotografie sono utilizzate da molti anni in tribunale, ma le immagini digitali oggi forniscono più informazioni delle immagini tradizionali su pellicola. Spesso, molti servizi online eliminano i metadati dalle fotografie digitali, perciò è possibile che un investigatore abbia bisogno di un mandato per ottenere le immagini che gli interessano nel formato originale (cioè complete di metadati).
Video
Prove video si possono trovare su molti tipi diversi di dispositivi, fra cui computer, fotocamere digitali, telefoni cellulari. Oggi i video di sorveglianza sono salvati in genere su computer e perciò ricadono nel campo dell’informatica forense. I video di sorveglianza spesso sono utili nel caso di furti a banche e negozi, ma vengono usati anche per molti altri tipi di attività criminali.
L’uso di skimmer sui bancomat ha reso possibili furti per milioni di dollari in tutto il mondo. Uno skimmer è un dispositivo usato per catturare i dati memorizzati sulla banda magnetica di una carta bancomat, di una carta di credito o di debito. I video di sorveglianza possono essere fondamentali per catturare questo tipo di criminali.
Dispositivo di skimming.
La televisione a circuito chiuso (CCTV, Closed-Circuit TeleVision) è l’uso di video trasmessi in una particolare sede. A Londra, per esempio, esistono oltre 600 mila videocamere CCTV, che sono state utilizzate per esempio nelle indagini su rapine ai danni di turisti e per casi di alto profilo come l’avvelenamento dell’ex spia russa Alexander Litvinenko nel 2006.
Gli investigatori di Computer Forensics hanno a disposizione vari strumenti, fra cui alcuni che migliorano la qualità dei video da analizzare; altri creano fermi immagine personalizzabili in punti predeterminati di un video. Queste immagini sono preziose, perché possono essere incluse nei rapporti degli investigatori. Cosa ancora più importante, questi strumenti danno all’investigatore un metodo efficiente per identificare quando nel video compaiono evidenze incriminanti importanti, eliminando la necessità di guardare il video dall’inizio alla fine. Inoltre, se i contenuti video sono scioccanti, l’investigatore non è costretto a guardarli per intero. In tribunale, infine, i materiali video possono essere le prove più convincenti per la formulazione di una sentenza.
Siti web visitati e ricerche in Internet
È ancora viva, fra le forze dell’ordine, la discussione se si debba staccare la spina a un computer per conservare le evidenze nello stato originale o se un computer attivo debba rimanere acceso quando viene scoperto. Con i perfezionamenti delle tecniche crittografiche e la natura delle evidenze che si perdono se si toglie l’alimentazione, la maggior parte degli investigatori è convinta che un sistema attivo debba essere esaminato mentre è acceso.
La cifratura è il processo per cui un testo in chiaro viene trasformato in un formato non leggibile, mediante l’applicazione di una formula matematica (un algoritmo). File che possono costituire evidenza e i dati relativi alle ricerche in Internet e ai siti web visitati sono più facilmente disponibili mentre il computer è acceso, poiché gran parte dell’attività corrente dell’utente, fra cui l’attività in Internet, è conservata in memoria ad accesso casuale (RAM, Random Access Memory). La RAM è chiamata anche memoria di breve termine o volatile, perché i suoi contenuti scompaiono quando viene tolta l’alimentazione.
È importante sapere che, quando viene visitato un sito web, un computer client effettua una richiesta a un server web. Il client in effetti scarica un documento HTML e le relative risorse (come le immagini) dal sito web nella memoria del computer locale, come si vede nella figura seguente. La finalità principale di un server web è trasferire documenti HTML e le relative risorse in risposta alle richieste dei client. Si può pensare il client come un consumatore a cui il server fornisce un servizio. La maggior parte degli strumenti professionali di Computer Forensics possono creare effettivamente un’immagine dei contenuti della RAM mentre il computer è acceso. Sono disponibili anche vari strumenti open source di analisi della RAM.
Comunicazioni tra un client e un server web.
Cellphone Forensics
Il campo dell’analisi forense per i telefoni cellulari, o Mobile Forensics, sta crescendo esponenzialmente, poiché le capacità dei dispositivi mobili continuano ad ampliarsi. Un telefono cellulare può dire quali persone il sospettato conosca (contatti), i suoi appuntamenti (calendario), con chi abbia parlato (tabulati delle chiamate) e che cosa abbia detto (messaggi di testo).
Altri dispositivi possono fornire anche evidenze sotto forma di immagini e video (fotocamera incorporata), sui luoghi visitati (GPS), sugli acquisti effettuati online e sui siti web visitati (smartphone abilitati a Internet). I telefoni cellulari sono usati spesso anche per tracciare i sospettati. Nel corso delle indagini sull’omicidio di Fred Jablin, il detective Coby Kelley ha ottenuto un mandato per la documentazione delle chiamate da cellulare della sospettata Piper Rountree.
Poiché i ripetitori della telefonia cellulare tengono traccia del telefono di un utente mentre questi si sposta da una cella (un’area) all’altra, il detective è stato in grado di rintracciare la sospettata a Richmond, in Virginia, mentre si dirigeva a est sulla I-64 in direzione dell’aeroporto di Norfolk. In seguito, il cellulare è stato individuato mentre trasmetteva da Baltimore nel Maryland. Dopo ulteriori indagini, è stato scoperto che la Rountree aveva acquistato un biglietto aereo da Baltimore al Texas sotto il nome della sorella.
Piper Rountree sosteneva di non essersi mai mossa da Houston nel Texas, ma la documentazione delle attività del cellulare dimostrava il contrario, e questa prova è stata determinante per stabilire la sua colpevolezza.
IoT Forensics
Negli ultimi anni sono stati fatti significativi passi avanti nei sistemi di intelligenza artificiale (AI) per la casa. Inoltre, questi dispositivi abilitati dall’AI possono essere controllati da smartphone e integrati con dispositivi domotici (termostati, dispositivi di sorveglianza, illuminazione). Conoscere questi nuovi ecosistemi e le tracce digitali che questi dispositivi salvano localmente o nel cloud è fondamentale per gli investigatori.
Quali competenze deve avere un investigatore forense?
La Computer Forensics è un campo multidisciplinare, in cui sono richieste competenze in vari campi: informatica, diritto, procedura penale, matematica, scrittura, scienze forensi e linguistica.
Conoscenze di informatica
Per quanto riguarda l’informatica, è importante avere una buona conoscenza dei sistemi operativi e dei filesystem associati. Fondamenta solide in questo ambito consentiranno all’investigatore di sapere dove sono conservati i file e di stabilirne il valore per l’accusa in un caso penale. La conoscenza dei sistemi operativi permette di capire come interagiscono fra loro software e hardware. Queste informazioni sono fondamentali per ricostruire le azioni di un utente su un computer.
Per esempio, BitLocker, uno strumento di cifratura introdotto con le versioni Ultimate e Enterprise di Microsoft Windows Vista, consente di cifrare file, cartelle o intere unità disco. Se si toglie l’alimentazione a un computer su cui è attivato BitLocker, il processo crittografico si attiva. Un investigatore di Computer Forensics esperto che trovi questo sistema operativo (o uno più recente) su un computer acceso avrà ben chiari i potenziali rischi che lo spegnimento del computer potrebbe provocare.
Individuare e recuperare i file che possono costituire evidenza non è sufficiente. Un esaminatore forense esperto deve avere grandi capacità investigative, che gli consentiranno di associare quelle evidenze a una persona specifica; l’esaminatore deve essere in grado di usare le evidenze digitali per dimostrare controllo, possesso e intenzione.
Per esempio, un investigatore deve poter dimostrare che un sospettato aveva il controllo del computer quando i file sono stati salvati nella memoria. Un esempio di controllo, in questo scenario, è se l’utente ha utilizzato un nome utente e una password per accedere al computer. Il possesso è un altro fattore importante, quando si cerca di dimostrare la colpevolezza. L’investigatore deve poter dimostrare che il sospettato ha creato un file, o lo ha modificato o lo ha spedito per posta elettronica a qualcuno.
Infine, l’intenzione in generale è fondamentale per perseguire un criminale. Nel caso della Computer Forensics, gli accusati potrebbero sostenere di non aver avuto intenzione di visitare un particolare sito web o di avere scaricato certe immagini senza rendersene conto, ma di non averle mai guardate. Perciò l’investigatore di Computer Forensics, per poter dimostrare l’intenzione deve poter dimostrare che sia stato effettuato l’accesso a un determinato sito web varie volte, o magari che un’immagine è stata vista in più occasioni e quindi distribuita ad altri.
Formazione continua
Un investigatore di Computer Forensics dovrà continuare ad acquisire nuove competenze. Ci saranno sempre comunque competenze fondamentali ma difficili da misurare. La capacità di astrazione, o di pensare fuori dagli schemi, è determinante, perché ogni crimine è diverso dagli altri e la natura delle prove varia. Perciò gli investigatori di Computer Forensics dovranno sviluppare continuamente nuove tattiche e nuove soluzioni.
Saper essere flessibili e apprendere continuamente nuove competenze è particolarmente importante anche vista la rapidità con cui cambiano le tecnologie, e con queste anche la natura dei crimini. Un altro aspetto intangibile è legato alla psicologia. Essere in grado di comprendere il criminale consente di capire meglio le azioni della persona e può consentire di trovare rapidamente le risposte nel corso di un’indagine. Per questo motivo abbiamo bisogno di esperti in grado di profilare serial killer e altri criminali.
Programmazione
Anche se non è necessario che un investigatore forense abbia profonde conoscenze di programmazione, qualche capacità in questo campo è molto utile. Più specificamente, la conoscenza di Linux può aiutare nell’esame dei server Linux, nella clonazione di un volume, nell’esame di dispositivi Android, nell’analisi delle app Android e delle reti; si può usare AppleScripts per lo scraping di siti web o per individuare a forza bruta i PIN su un computer Mac; Python può essere usato per lo scraping automatizzato di siti Web; gli EnScripts sono script personalizzabili utilizzati con EnCase; i cmdlet e gli script di PowerShell si possono usare per recuperare evidenze fondamentali da diversi sistemi operativi, fra cui anche Windows.
Riservatezza
Infine, è fondamentale mantenere la riservatezza delle informazioni. Solo quanti devono sapere di un’indagine devono avere accesso alle informazioni; quanti meno sono, tanto meglio è. Se il sospettato scopre che sono in corso indagini, potrebbe fuggire o inquinare le prove, cioè cercare di nascondere, alterare o distruggere prove collegate alle indagini. Anche le fughe di notizie ai media sono fonte di preoccupazione, perché possono influire sulla percezione del caso da parte di chi è chiamato a decidere (sui membri della giuria, per esempio, negli ordinamenti in cui è una giuria a emettere un verdetto).
Questo articolo richiama contenuti dal capitolo 1 di Digital Forensics.
