Digital forensics: Sherlock Holmes del nuovo millennio

Digital forensics: definizione, significato, analisi
La Digital Forensics (informatica forense) è una branca della scienza forense che si occupa di identificare, acquisire, analizzare e conservare prove di tipo digitale/informatico che potrebbero essere usate come tali durante un processo per provvedimenti civili o penali. L’informatica forense è strettamente legata all’ e-crime ossia un crimine di natura elettronica o che utilizza l’elettronica per portare a termine la messa in atto del reato. È importante avere quindi una disciplina che si occupa di questo genere di criminalità anche perché in questi ultimi anni la prova digitale sta progressivamente sostituendo quella cartacea.

I professionisti della scientifica digitale agiscono seguendo procedure ben specifiche: identificare, acquisire/conservare, analizzare, presentare. Tutta la scienza digitale inizia con l’identificazione dei dati e nella maggior parte dei casi si tratta di dati archiviati su dischi rigidi (hard-disk), server, chiavette USB, unità flash, server online.

La prima fase consiste quindi nell’identificazione di tutti quei dispositivi che potenzialmente possono contenere prove (digital evidence). Alla fase di identificazione segue la fase di acquisizione che deve essere affidabile (non deve lasciare spazio a dubbi e incertezze), totale (l’acquisizione deve essere completa e mai parziale), accurata (priva di errori) e verificabile (un altro investigatore dovrebbe arrivare allo stesso risultato con gli stessi dati).

La fase di identificazione è strettamente legata a quella di conservazione. La conservazione dei dati e della loro integrità è importante in modo tale che questi non perdano valore e possano essere presentati al processo come prova di colpevolezza. In questo senso è molto utile una tecnologia nota come Write Block che consente all’investigatore di visualizzare i dati presenti nel disco o nell’archivio, bloccandone la possibilità modificare i dati già presenti su di esso. Un’altra pratica molto comune durante l’indagine, è quella di acquisire una copia dei dati così da poter lavorare su di essi senza modificare l’integrità della prova originale.

La copia forense (bitstream image) utilizza il formato EWF (Expert Witness Forma). La fase di recupero prevede l’acquisizione di dati che sono stati cancellati, dati corrotti o che sono protetti da password e persino dati danneggiati. L’acquisizione prevede l’utilizzo di una documentazione specifica (Chain of Custody o Catena di Custodia) in cui viene scritto cosa è stato fatto durante questa fase e quali persone hanno avuto accesso alle copie forensi. Questo documento contiene il nome dell’azienda che è stata incaricata dell’investigazione, l’investigatore che ha trattato il caso, descrizione, tempo di conservazione dei dati o della loro copia, luogo di ritrovamento del supporto con i dati e informazioni tecniche specifiche riguardo la natura del supporto. L’analisi prevede poi l’utilizzo di programmi e app per controllare il registro, la cronologia, la memoria. L’indagine si conclude con la consegna dei risultati dell’investigazione agli organi competenti (PM, avvocati).

Digital forensics: leggi e ordinamenti

In Italia la legge di riferimento per l’informatica forense è la numero 48 del 18 marzo 2008 che non è altro che la messa in atto di quanto deciso a Budapest nel 2001 dal consiglio Europeo sulla criminalità informatica. Questo provvedimento afferma che chiunque dichiara falsamente di prestare servizi di certificazione delle firme elettroniche è punito con la reclusione, allo stesso modo di chi diffonde dati informatici con lo scopo di procurarne la distruzione totale o parziale. Secondo questo decreto poi, il fornitore di servizi telematici è obbligato a mantenere il segreto altrimenti sarà severamente multato. Più recente è la circolare con il titolo Manuale operativo in materia di contrasto all’evasione e alle frodi fiscali che è stata pubblicata sul sito della guardia di Finanza il 4 dicembre del 2017 e che, articolandosi in una serie di volumi, tratta le attività svolte durante la verifica fiscale. Nel primo volume viene descritta la figura di colui che è in possesso della qualifica CFDA (Computer Forensics e Data Analysis), mentre nel secondo volume viene descritta la modalità con la quale avviene la ricerca e l’identificazione dei dati informatici. Secondo l’articolo 359 del codice penale il PM (pubblico ministero) può avvalersi di consulenti tecnici per la perizia la quale, secondo l’articolo 220 del codice penale, è ammessa quando sono necessarie competenze tecniche e specifiche per poter acquisire dati e informazioni. Il Perito (o consulente tecnico) è colui che testimonierà in tribunale dal momento che ha particolari conoscenze nel settore. Secondo il Frye test le prove presentate in tribunale per poter essere accettate dovranno essere raccolte utilizzando metodiche e procedure che hanno avuto un general acceptance (accettati dalla comunità scientifica). L’acquisizione della prova richiede la necessità di garantire l’integrità di questa e per fare ciò vengono utilizzati dispositivi specifici. I più comuni in Italia sono i Tableau o i Falcon per le copie forensi e i DEFT e CAINE per l’acquisizione di immagini forensi.
Esistono anche programmi gratuiti come FTK Imager, che è utile sia per l’acquisizione che per la copia.

Cellebrite UFED

Tra i programmi utilizzati per i duplicatori forensi il Tableau TD2u o Logicube Falcon è uno dei migliori per velocità e costi (tra i 1000 euro e i 3000 euro). Per quanto riguarda gli strumenti di acquisizione la UFED 4C è uno dei più utilizzati. Il kit Cellebrite costa circa 10 mila euro, con una spesa aggiuntiva di circa 4000 euro annualmente per il costo di licenze e aggiornamento. Cellebrite è l’azienda leader nel settore dell’informatica forense dal momento che i suoi strumenti supportano oltre 15 mila dispositivi. UFED analizza approfonditamente i dati, i file system e i registri per raccogliere prove che saranno utilizzate dal team di investigazione. Questo software permette di superare le protezioni di password e PIN, permette di accedere a file nascosti e persino cancellati da smartphone, e altri dispositivi. Il vantaggio di questo programma è nella sua assoluta versatilità che lo rende utilizzabile sia su dispositivi Apple che Android. Con UFED è possibile rilevare chiamate, SMS, cronologia, file multimediali e informazioni di posizione (GPS).

Informatica forense nelle aziende

Nell’ambito dell’informatica forense e delle indagini condotte dagli investigatori, sono molte le richieste delle aziende di effettuare un controllo sui lavoratori e sui dipendenti. Questo genere di controlli permette di scoprire eventuali illeciti o condotte antigiuridiche da parte dei dipendenti nei confronti della ditta e dell’azienda. Per Policy di Sicurezza informatica si intende un documento dove vengono riportate tutte le misure effettuate per ridurre i rischi degli attacchi informatici. Il regolamento viene consegnato al dipendente durante l’assunzione e sarà da lui firmato come segno di presa visione e di completa adesione alle normative giuridiche e legali. La perizia chiesta dalle aziende può riguardare controlli di posta elettronica, dei siti web utilizzati, dei cellulari e dei computer aziendali. L’indagine può far emergere furto di profili, elenchi, sottrazione di progetti e informazioni riservate e nascoste.

In un contesto come quello attuale, una branca della scienza che utilizza strumenti elettronici per l’investigazione, è fondamentale soprattutto dal momento che il fenomeno del dipendente infedele è sempre più diffuso. Stiamo parlando di fuga di dati aziendali come progetti, bilanci, brevetti e informazioni di mercato. Nella maggior parte dei casi alla radice del dipendente infedele è presente una nota di insoddisfazione che lo porta ad agire in modo tale da procurare un danno alla ditta per cui lavora e spesso l’acquisizione di questi dati è finalizzata alla rivendita di questi ad altre aziende, in cambio di un compenso. Per questo motivo è importante avere una buona Policy Aziendale che stabilisca i diversi ruoli e i diversi margini di azione e competenza all’interno del posto di lavoro. In questo tipo di situazione è quindi importante l’azione dei professionisti e dei tecnici specializzati in digital forensics che dopo un primo incontro con il committente, stabilisce le linee guida di azione e quali siano i dispositivi da controllare.

Nella prima fase di colloquio è importante ascoltare le diverse testimonianze, in modo tale da avere un quadro completo sull’azione illecita, e individuare esattamente quali siano le norme aziendali e di conseguenza quali tra queste siano state violate. La prima azione che viene svolta consiste nell’effettuare una copia del supporto da analizzare e sulla base degli accordi si eseguono una serie di controlli.

L’investigazione si conclude con la redazione di un resoconto finale su quanto raccolto e su quando è stato scoperto circa il possibile illecito commesso. E’ importante sottolineare comunque che anche in caso di richiesta di indagine forense, è opportuno rivolgersi ad agenzie investigative ufficialmente riconosciute e che dispongono di sistemi aggiornati e all’avanguardia. Una di queste è la Luciano Ponzi alla quale si rivolgono un gran numero di aziende e che si avvale del software più efficiente al momento ossia l’UFED. Questa agenzia ha più sedi (Verona, Brescia, Milano) e conduce azioni investigative su singole persone o su intere aziende. È importante quindi, in caso di necessità di un analisi e di un controllo da parte di professionisti specializzati, contattare subito l’agenzia nel minor tempo possibile, anche per evitare che il flusso di possibili informazioni possa generare danni.