Informatica forense

L'informatica forense è una branca della scienza digitale forense legata alle prove acquisite da computer e altri dispositivi con funzioni di memorizzazione digitale (fotocamere, videocamere, memorie di massa). Il suo scopo è quello di esaminare dispositivi digitali seguendo provedure di analisi forense al fine di identificare, preservare, recuperare, analizzare e presentare fatti o opinioni riguardanti le informazioni raccolte, al fine del loro eventuale utilizzo in un processo.

Storia

Il concetto di informatica forense emerge nei primi anni 1980, quando i personal computer cominciano a essere più accessibili ai consumatori, parallelamente però aumentando il loro utilizzo in attività criminali, e di conseguenza accrescono il numero di crimini identificati e riconosciuti come crimini informatici. L'informatica forense nasce quindi inizialmente come metodologia per il recupero e l'analisi di prove digitali da utilizzare di fronte a una corte. Da allora il numero di crimini informatici o legati all'informatica vede una crescita elevata, con un aumento del 67% dei casi tra il 2002 e il 2003.^[1]

A ad oggi l'informatica in ambito forense non è più solo uno strumento di analisi di dati e oggetti informatici ma uno dei principali mezzi di investigazione legato a diversi crimini. Tra questi sono inclusi la pedopornografia, lo spionaggio, il cyberstalking, l'omicidio, lo stupro e i vari tipi di frodi. Nei processi nei quali tale scienza è coinvolta, aumentano quindi le cosiddette "computer generated evidence",^[2] ossia le prove generate come output dai computer stessi, come ad esempio i dati estrapolati dell'analisi di informazioni associate alle celle radio, ai login a un Internet Service Provider, a una semplice segreteria telefonica o anche le reti sociali informatiche, come l'analisi forense dei social network.

Caratteristiche e finalità

L'utilizzo dell'informatica forense e della conoscenza maturata dagli esperti di tale scienza, permette di spiegare lo stato di ciò che prende il nome di artefatto digitale: come un sistema informatico, un dispositivo di memorizzazione, un documento digitale.

L'applicazione di tale disciplina viene largamente usata nelle indagini riguardanti una varietà di crimini nei quali le prove raccolte, soggette alle stesse pratiche e linee guida di ogni altra prova digitale, A tal scopo sono utilizzate tecniche e principi legati al recupero dei dati, affiancati però da procedure designate alla creazione di un percorso di revisione e analisi che sia legale.

Lo scopo di un'analisi forense può variare quindi dal recupero di semplici informazioni alla ricostruzione di una serie di eventi. Importante però è sottolineare come l'informatica forense, spesso riconosciuta come arte oltre che scienza, nonostante fornisca svariati metodi di estrazione di prove digitali e no, perde la sua flessibilità e conoscenza, sempre crescente, quando incontra l'applicazione della legge, giustamente rigida e carente di flessibilità.^[3]

I processi di investigazione dell'informatica forense seguono spesso gli standard di analisi forense digitale: acquisizione, esame, analisi e segnalazione. L'investigazione è prevalentemente eseguita su dati statici in un laboratorio di analisi (video e immagini recuperati) anziché sul "campo". Questa metodologia viene a consolidarsi principalmente con la nascita di specializzati e avanzati strumenti, inizialmente assenti o poco diffusi tra gli analisti forensi.

Tecniche e strumenti

Analisi base

Le forme più semplici di analisi partono dalla consultazione manuale dei dispositivi, controllo dei sistemi operativi, del registro di sistema di Microsoft Windows, scoperta o crack, di password, ricerca di una determinata parola chiave correlate all'eventuale crimine, estrazione di posta elettronica, immagini e altre informazioni.^[4] In ogni caso, per eseguire un'investigazione forense esistono diversi strumenti informatici, anche software open source.

Analisi cross-drive

L'analisi cross-drive è una tecnica che permette di correlare informazioni estrapolate da più dischi rigidi, riconoscendo ad esempio possibili organizzazioni tra persone o riconoscendo anomalie di dati rispetto a specifici pattern.^[5][6]

Analisi live cd

Esami realizzati in modalità live CD all'interno del computer sotto analisi attraverso l'uso di strumenti esistenti o creati ad hoc per l'estrazione di informazioni. Utile pratica nel caso di sistemi con Encrypting File System, nei quali si può ottenere la chiave di cifratura e spesso ottenere immagini del disco logico prima che il computer venga spento.

Analisi stocastica

Metodo di analisi che usa proprietà statistiche del sistema informatico analizzato per investigare su particolari attività in assenza di artefatti digitali dal quale cominciare le indagini.

Metodi antisteganografia

Tecniche utilizzate da esperti informatici forensi per combattere crimini associati a dati nascosti tramite la tecnica della steganografia (ad esempio mascherare dati all'interno di immagini alterandone i bit). Queste tecniche si basano sulla realizzazione e sul confronto degli hash ottenuti a partire dalle immagini originali e da quelle sotto analisi; questo perché un'immagine all'occhio identica risulterà avere un hash diverso se la sua codifica in bit è alterata.^[7]

Recupero di file eliminati

È una tra le più comuni tecniche implementate dai moderni software forensi. Molto spesso, sistemi operativi e file system non eliminano fisicamente i dati, permettendo così di ricostruirli a partire dai settori fisici del disco. Anche in caso di assenza di metadati associati al file system è possibile utilizzare tecniche di recupero note come file carving, per ottenere o ricostruire materiale eliminato.^[8]

La tutela dell'integrità dei dati e il problema della volatilità

Nell'ambito dell'informatica forense un aspetto fondamentale correlato all'analisi dei dati è la salvaguardia degli stessi presenti sui dispositivi e supporti di archiviazione posti sotto il vincolo del sequestro, dunque non nella disponibilità del proprietario.

A salvaguardia dei dati e della garanzia di inalterabilità di questi ultimi, gli operatori preposti all'analisi dei dispositivi di archiviazione utilizzano determinate metodologie volte a garantire e provare l'esatta corrispondenza dei contenuti in qualsiasi momento dell'analisi. Per rendere possibile ciò occorre "congelare" il dato, ossia porre in essere gli accorgimenti tecnologici atti a impedire scritture (anche accidentali) di bit e a verificare che in un momento successivo i dati presenti siano gli stessi. Per adempiere a tali obblighi, oltre all'utilizzo di strumenti hardware o software che inibiscano qualsiasi scrittura sui dispositivi di archiviazione, vengono impiegati algoritmi di hash (solitamente MD5 o SHA1) allo scopo di generare una sorta di impronta digitale di ciascun file e/o dell'intero contenuto del dispositivo, permettendo quindi di verificarne l'integrità in qualsiasi momento successivo al sequestro.

Un write blocker portatile collegato a un hard disk

I dispositivi hardware che permettono di accedere al disco in modalità di sola lettura sono detti write blocker: tramite essi è possibile leggere i dati presenti nel dispositivo, estraendo quelli di interesse o procedendo alla copia forense. L'uso del write blocker richiede necessariamente un computer e la velocità di acquisizione dipende dalle prestazioni della macchina utilizzata per eseguire la copia.

Un'altra tipologia di dispositivo hardware è il copiatore il cui unico scopo è copiare bit per bit il disco "suspect" (oggetto di sequestro) su un altro disco, preservandone nello stesso tempo l'integrità così come avviene per il write blocker. I copiatori raggiungono velocità di acquisizione molto alte, toccando spesso i 5 GB al minuto e non richiedono l'ausilio di un computer per poter essere utilizzati.

Dal punto di vista software, un ottimo strumento che impedisce la scrittura (e quindi la modifica anche involontaria dei dati presenti sul dispositivo) è Linux: tramite il comando mount consente infatti di montare il dispositivo in sola lettura (opzione non disponibile invece nei sistemi Windows che quindi richiedono un write blocker per accedere al disco sorgente).

Un ulteriore problema, legato al recupero di prove digitali, è la RAM. Ogni informazione memorizzata unicamente in essa che non viene recuperata prima della spegnimento del computer, è potenzialmente persa. Il recupero di tali informazioni è un esempio di Analisi Live.

La RAM può essere però analizzata alla ricerca di contenuti anche dopo lo spegnimento della macchina; questo grazie al fatto che la carica memorizzata nelle celle impiega comunque un certo tempo a dissiparsi. La lunghezza di questo margine di tempo, quindi la possibilità di recuperare dati, cresce al calare della temperatura al quale la RAM è mantenuta e all'aumentare della tensione al quale erano soggette le celle. Esempi di temperature al quale una RAM sconnessa può venire mantenuta per un'analisi sono -60 °C. Tutto questo è ovviamente impossibile da fare in un'analisi sul campo.^[9]

Molti degli strumenti utilizzati per il recupero di dati volatili richiedono inoltre che il computer si trovi in un laboratorio forense; sia per mantenere legittime le prove, sia per facilitare il lavoro agli analisti. Se necessario, seguendo i principi dettati dalle norme, è possibile trasportare un sistema "live" e utilizzare strumenti per mantenerlo in tale stato. Tra questi strumenti si identificano i mouse jiggler, usati per evitare che un PC che non riceve input vada in stand-by (eventualmente bloccandosi) e gruppi di continuità da usare durante il trasporto ai laboratori.

Uno dei metodi preferiti per il recupero dei dati, tuttavia, è usare strumenti che permettono di trasferire la RAM su disco. Diversi file system possiedono il meccanismo del journaling che permette di mantenere una grande porzione dei dati RAM nel supporto di memorizzazione principale durante le operazioni; assemblando queste informazioni si può ricostruire ciò che era correntemente in RAM.^[10]

Il rapporto con la sicurezza informatica

Esiste una differenza tra informatica forense e la sicurezza informatica, seppure queste due aree di attività siano strettamente collegate. Si può pensare alla sicurezza informatica, da un lato, come elemento di ostacolo e dall'altro come fonte di strumenti e opportunità per l'informatica forense. Infatti la sicurezza informatica ha come proposito finale l'avvicinarsi alla realizzazione di sistemi il più possibile sicuri, ma qualora tale grado di sicurezza venisse elevato (ad esempio da parte del responsabile di un illecito), per definizione, dal sistema sarebbe più complicato estrarre il desiderato contenuto informativo.

L'acquisizione dei reperti informatici richiederà, in tal caso, la "violazione" del sistema oggetto dell'analisi, e in questo campo la stessa sicurezza informatica sarà d'aiuto, in quanto fonte di studi sulle tecniche di hacking (utili per realizzare l'accesso alle informazioni protette) e sulla loro applicazione pratica. Inoltre, le "best practice" di sicurezza definiscono molti requisiti sui sistemi che, se opportunamente applicati, potranno in un secondo momento rendere disponibili un gran numero di informazioni aggiuntive, utilizzabili nell'analisi forense.

Il "Digital forensic expert"

"Digital forensic expert", o "computer forensic expert" designa la figura professionale che presta la sua opera nell'ambito del contrasto al crimine informatico. Dal momento che non esiste una definizione univoca ricompresa nel concetto di "informatica forense", tale soggetto deve occuparsi di "preservare, identificare, studiare e analizzare i dati contenuti e memorizzati all'interno di qualsiasi supporto o dispositivo di memorizzazione. Le attività sono dirette non solo a tutte le categorie di computer, ma a qualsiasi attrezzatura elettronica con potenzialità di memorizzazione dei dati (ad esempio, cellulari, smartphone, sistemi di domotica, autoveicoli e tutto ciò che contiene dati memorizzati).

Le ipotesi principali di applicazione della scienza digitale forense possono essere riassunti come segue:^[11]

• Aiuto nel recuperare, analizzare e archiviare i materiali informatici o collegati in modo da aiutare gli investigatori a presentarlo come prova in tribunale.
• Formulazione di ipotesi circa il movente per il crimine e l'identità dell'autore principale.^[12]
• Lo sviluppo delle procedure sulla presunta scena del crimine per garantire che le prove digitali ottenute non erano danneggiate.
• Raccolta e copia dei dati: ripristino di file e partizioni cancellate da supporti digitali per il recupero e la verifica delle prove.^[13]
• Consente di identificare rapidamente le prove e di valutare il potenziale impatto dell'impatto dannoso sulla vittima.
• Creare un rapporto informativo in una perizia informatica che offra un resoconto completo del processo di indagine.^[14]
• Conservazione delle prove seguendo la catena di custodia.

Nel mondo

Italia

In Italia, la legge di riferimento che definisce come utilizzare a livello giuridico i risultati di un'attività di analisi forense in tribunale, è la legge 18 marzo 2008, n. 48, che ha ratificato la Convenzione del Consiglio d'Europa sulla criminalità informatica, stipulata a Budapest il 23 novembre 2001.

La norma prevede:

• sanzioni più pesanti per i reati informatici;
• norme di contrasto più efficace alla pedopornografia in rete;
• sanzioni anche a carico delle società;
• possibilità per le forze dell'ordine di chiedere al provider il congelamento dei dati telematici per sei mesi;
• maggiori tutele per i dati personali.^[15]