La gestione delle prove digitali
Le prove digitali: il computer come oggetto di prova
Un esempio di Analisi Informatica Forense: recuperare centinaia di e-mails da un hard-disk un anno dopo che chi il suo utente ha lasciato la società dopo che il suo hard-disk è stato formattato dopo che il suo computer è stato utilizzato da un altro utente per un anno.
"Il miglior modo per rimuovere una e-mail da un hard-disk è quello di prenderlo violentemente a martellate e gettarlo in una fornace."
John Patzakis (responsabile Ufficio Legale Guidance Software, USA)
Oggi i personal computer hanno assunto una dimensione sempre più pervasiva all'interno delle nostre attività: l'informatica, unitamente alla telefonia, è diventata la piattaforma su cui svolgiamo la maggior parte delle nostre attività, sia di tipo lavorativo che sociale o privato e personale.
Strati sempre più ampi di popolazione utilizzano quindi un personal computer come strumento di lavoro o di produttività individuale tramite una molteplicità di applicazioni e funzionalità, come ad esempio programmi di contabilità per la gestione amministrativa, applicativi gestionali o videoscrittura o calcolo elettronico a supporto delle nostre attività lavorative, la posta elettronica come strumento di comunicazione o Internet come forma di ricerca e scambio informazioni.
In pochi anni il personal computer si è evoluto quindi da strumento di utilizzo professionale, dal costo elevato e riservato a gruppi ristretti di persone, ad elettrodomestico presente ed utilizzato in ogni casa e luogo di lavoro, influenzando e modificando radicalmente molte forme di attività lavorative e sociali.
Ogni personal computer è dotato di una unità di immagazzinamento dati, tipicamente un hard-disk, che non solo contiene i dati e le informazioni utilizzate correntemente dal suo utente, ma registra anche una molteplicità di dati relativi a tutte le operazioni che il suo possessore ha svolto nel corso della sua storia. Pochi ad esempio sanno che quando i dati vengono cancellati questi vengono effettivamente eliminati dal computer: in effetti tali dati possono essere riportati alla luce ed utilizzati anche molto tempo dopo le operazioni di cancellazione eseguite. Come pure ogni nostra navigazione in Internet lascia piccole tracce che possono servire a ricostruire i percorsi effettuati, i siti visitati, le e-mail inviate, i files ricevuti o scambiati e così via.
Per la sua pervasività, frequenza di utilizzo e capacità di immagazzinare dati e tracce del suo utilizzo, il personal computer in ambiti forensi è quindi considerato una fonte sempre più ricca di informazioni, indizi e prove, sempre più utilizzato come oggetto di prova o indagine all'interno di cause o processi penali e civili.
La gestione di prove digitali
Una prova digitale, o reperto elettronico, costituisce una informazione probante immagazzinata o trasmessa in formato digitale che una delle parti possono portare in giudizio durante un processo.
L'utilizzo di prove digitali nei tribunali è incrementato considerevolmente nel corso degli ultimi anni, da quando giudici e pubblici ministeri hanno permesso l'utilizzo di e-mail, fotografie digitali, transazioni elettroniche da sistemi ATM e POS, documenti di videoscrittura, rapporti di messaggistica online (instant messages e chat), archivi di programmi di contabilità, fogli elettronici, movimenti svolti su browsers Internet, archivi di database, contenuti di memorie digitali ed informatiche, copie di back-up di dati, stampe da computer, tracciamenti da sistemi GPS di localizzazione geografica, tracciati di varchi di accesso e porte elettroniche, files audio e video digitali. Per quanto espresso nel paragrafo precedente, tale utilizzo è destinato a crescere esponenzialmente nel prossimo futuro.
Come ogni altra tipologia di prova utilizzata in giudizio, le informazioni generate come risultanza di una indagine informatica forense devono rispondere agli standards di prove ammesse a giudizio definiti dalla Corte di Giustizia. Particolare cura deve essere pertanto posta nella gestione dei files ed archivi sospetti, tra cui manipolazioni che ne possano alterare lo stato originario e le problematiche derivanti dalla presenza di virus, danneggiamenti fisici ed elettromagnetici.
Affinché le prove non vengano rovinate o compromesse ci sono alcune regole fondamentali da seguire:
- manipolare la prova originale il meno possibile, effettuando subito una copia-immagine per evitare di alterne i dati
- stabilire ed organizzare una corretta e sicura forma di custodia della prova originale
- operare e manipolare solo la copia-immagine
- documentare ogni attività svolta
- non affidarsi troppo ad elementi pertinenti solo alla propria conoscenza personale
Se tali passi non vengono seguiti è possibile che i dati originari possano cambiare, alterarsi o rovinarsi, così che i risultati delle analisi vengano contestati o possano non essere ritenuti ammissibili in giudizio.
Anche se la Corte di Giustizia ha applicato a tali prove digitali le stesse regole di gestione delle documentazioni tradizionali, i Tribunali hanno notato diverse distinzioni importanti: rispetto alle prove tradizionali, le prove digitali tendono a produrre una grande mole di informazioni, sono più difficili da distruggere, sono facilmente alterabili, copiabili, potenzialmente più espressive e di disponibilità più immediata e presentano alcune caratteristiche peculiari. Inoltre, una prova digitale non è quasi mai in un formato leggibile: pertanto sono richiesti dei passaggi ulteriori affinché un documento digitale possa essere ammesso come prova.
Esula ovviamente dallo scopo del presente documento entrare nel merito del valore di una prova digitale all'interno di un giudizio, tema di grande interesse ed attualità su cui la giurisprudenza sta attivamente operando: in questa sede è importante sottolineare semplicemente come una corretta Analisi Informatica Forense deve poter essere replicabile, ovvero la ripetizione delle stesse operazioni svolte deve portare agli stessi risultati. Per ottenere questo il supporto oggetto di prova deve rimanere preservato ed inalterato mentre tutte le azioni svolte devono essere opportunamente documentate.
Come per ogni tipologia di prova, il proponente di una prova digitale deve provarne la relativa fondatezza, veridicità ed autenticità.
Procedure di Analisi Informatica Forense
Dallo studio ed applicazione delle migliori pratiche internazionali e dal confronto con altri consulenti ed esperti operanti in questo specifico settore, è stato redatto un protocollo di procedure per lo svolgimento di una Analisi Informatica Forense, di seguito riportato sinteticamente.
Per assicurarsi che il computer possa essere analizzato nella maniera più esaustiva possibile, preservandone lo stato originario, è stato redatto un protocollo di procedure. All'interno di ciascuna procedura è riportato il campo di azione personale, le competenze e la strumentazione che utilizzo.
Esame del luogo fisico
Fotografare la stanza, la posizione del computer ed accessori. Ricercare note, appunti che possano contenere passwords o istruzioni relative all'accesso a programmi. Mettere in sicurezza supporti rescrivibili come CD o DVD, o unità di memoria removibili come USB pendrive, lettori MP3 o schede di memoria flash.
Se il computer è acceso: ispezione del computer non invasiva e spegnimento
Se il computer è in funzione, ogni tipo di informazione che può essere ottenuta dall'esame delle applicazioni aperte al momento dovrebbe essere annotata. Se il computer è sospettato di essere utilizzato per effettuare comunicazioni illegali, come ad esempio pratiche terroristiche, non è detto che tutte le informazioni siano immagazzinate sull'hard-disk: se ci sono informazioni immagazzinate solamente sulla RAM del computer, queste si perderanno irrimediabilmente quando verrà spento.
L'ideale è poter ispezionare il computer acceso con uno strumento come lo Shadowdriver, un dispositivo che permette di interrogare ed analizzare i dati di un computer senza alterarne i contenuti e copiando le risultanze sul computer portatile dell'investigatore.
Svolte tali operazioni, procedere al suo spegnimento in modo da danneggiare o alterare i dati in memoria e sull'hard-disk il meno possibile. A seconda del sistema operativo utilizzato, vengono applicate diverse modalità di spegnimento.
Se il computer è invece spento, non si deve accenderlo.
Ispezione per eventuali trappole
Ispezionare il corpo macchina del computer alla ricerca di possibili trappole, meccanismi di intrusion detection o di autodistruzione (in caso di ispezioni in particolari ambienti criminali o sospetti, questo è molto importante).
Una volta verificato che si può aprire in sicurezza il computer, rimuovere la copertura esterna.
Documentazione della configurazione hardware
Effettuare una documentazione completa della configurazione hardware del computer incriminato. Effettuare fotografie ed un diagramma dell'intera configurazione del sistema. Annotare i modelli ed i numeri di serie dei singoli componenti del sistema. Per un utilizzo più diretto ed immediato dei reperti, è buona norma etichettare tutto.
Salvaguardia dei reperti
Rimuovere tutti i reperti in un posto sicuro, realizzando apposita documentazione e definizione della catena di custodia degli stessi.
Duplicazione degli hard-disks
L'analisi forense dei dati non deve essere mai svolta sullo stesso hardware: prima di procedere all'analisi dei dati è quindi necessario effettuare una loro duplicazione su un nuovo supporto, che verrà utilizzato per lo svolgimento delle analisi.
Per svolgere questa operazione non basta copiare i contenuti su un nuovo hard-disk: infatti è possibile che molte informazioni probanti siano contenute in parti accessorie o sezioni nascoste che non vengono copiate "tali quali" nel corso di un semplice processo di copiatura di files. Occorre quindi realizzare quella che viene comunemente chiamata una "copia-immagine" del disco, ovvero una specie di "fotocopia" del disco, bit per bit, in maniera di mantenere assolutamente inalterato l'originale (che rimane "oggetto di prova") ed avere una replica esatta ed identica su cui esercitare le dovute perizie ed indagini.
La copia di un hard-disk deve avvenire a livello dei singoli settori, realizzando quindi una copia bit-stream di tutte le parti dell'unità, e non come semplice duplicazione del filesystem.
Per realizzare una copia-immagine essendo certi di non alterare i contenuti originali del disco è necessario disporre di adeguata strumentazione specifica, capace di svolgere questa operazione. Lo strumento migliore è un dispositivo come l'HardCopy che realizza una copia esatta del disco originale in una modalità trasparente e non invasiva.
La realizzazione di una copia-immagine del disco permette quindi di rispondere ai seguenti tre principi fondamentali:
- non alterare in alcun modo il reperto oggetto di prova
- ottenere una completezza di informazioni
- avere informazioni e dati accurati
Se possibile, effettuare una doppia duplicazione, allo scopo di dimostrare, con l'utilizzo di opportuni algoritmi, che le copie realizzate sono immagini fedeli del disco incriminato, e successivamente per disporre di una copia da destinarsi alle proprie indagini ed una copia da fornire all'eventuale controparte.
Recupero dati in caso di disco non funzionante o non accessibile
Nel caso in cui il disco non funzioni, non è possibile accedere ai dati e quindi non è nemmeno possibile effettuare una loro copia-immagine.
Il disco può non funzionare a causa di avarie naturali o a seguito di manipolazioni più o meno consapevoli svolte dai suoi operatori.
In questo caso si deve effettuare una prima analisi con l'obiettivo di determinare le cause dell'avaria e le modalità operative per svolgere una azione di recupero dati dal disco stesso. I fattori di non funzionamento di un disco possono essere di natura logica, elettronica o meccanica, e possono essere indotti da molteplici cause. Le risultanze di tale analisi devono essere opportunamente documentate e validate dagli organi competenti prima di procedere alla fase successiva di recupero dati.
In caso di un disco non funzionante, è spesso ancora possibile recuperare i dati contenuti utilizzando specifiche tecnologie e strumentazioni. A seguito della precedente fase di diagnosi, si procede pertanto al recupero dati utilizzando l'adeguata strumentazione richiesta, che può comprendere l'utilizzo di specifici software di analisi, scansione e recupero dati nel caso di avarie logiche, la ricostruzione della piastra contenente l'elettronica del disco nel caso di avarie elettroniche, l'apertura fisica del supporto in camera sterile, la sostituzione del corpo motore, la ricostruzione o ricalibrazione del blocco delle testine nel caso di avarie meccaniche, o altre operazioni specifiche a seconda della natura dell'avaria riscontrata.
I dati recuperati verranno riversati su un nuovo supporto su cui procedere per le successive fasi di Analisi Forense.
Definizione del campo di analisi
La quantità di dati da analizzare è solitamente molto consistente: prima di procedere all'analisi dei dati è quindi opportuno definire il più possibile il campo di analisi.
Tale definizione deve avvenire con gli aventi titolarità sull'indagine o processo, scaturendo da indicazioni predefinite o da un confronto dialettico, e deve essere opportunamente documentata.
Una Analisi Forense sarà tanto più precisa ed efficace quanto lo saranno le domande a cui deve dare risposta. La definizione delle domande a cui dare risposta, e la definizione del quadro di contesto è essenziale e prodromica al lavoro di analisi vero e proprio.
Analisi dei dati
La determinazione del caso, del suo contesto e del campo di analisi definito in precedenza determinano la definizione della specifica strategia da seguire per un corretto svolgimento della analisi dei dati.
L'analisi dei dati segue ad ogni modo una serie di precise metodologie generali, che viene descritta più in dettaglio nel seguente capitolo "Analisi dei dati".
In questa fase è di fondamentale importanza seguire le appropriate procedure di analisi dei dati ed eseguendo al contempo una adeguata documentazione dei processi svolti e dei relativi passaggi.
Per fare questo occorre disporre di una serie di strumenti per la realizzazione della Analisi dei Dati e altrettanti strumenti per la generazione e stesura di reporting, chiamati CAATTS (acronimo di "Computer Aided Audit Tools and Tecniques" ).
Rendicontazione e rapporti
Le risultanze derivate dal processo di analisi vengono documentate tramite apposite relazioni scritte, fogli di calcolo elettronico, diagrammi di flusso, presentazioni di PowerPoint, o quant'altro possa essere adatto a descriverle.
Tale documentazione è di fondamentale importanza per corroborare le considerazioni e gli elementi emersi dall'analisi.
La realizzazione di tale documentazione in formato elettronico, con l'ausilio dei menzionati applicativi CAATTS, permette di
- Fornire informazioni anche sulle singole sezioni di analisi, man mano che vengono completate o realizzate, permettendo di effetture verifiche ed aggiustamenti nel campo di azione definito in precedenza
- Creare relazioni ipertestuali di più facile consultazione tra la reportistica ei materiali di indagine citati.
- Una miglior distribuzione dei materiali tra le parti coinvolte.
Analisi dei dati
Autenticazione matematica dei dati
Tramite specifici software, come ad esempio NTI CrcMD5 e DiskSig Pro, che utilizzano speciali algoritmi matematici, verificare e validare il fatto che l'unità su cui si opera è la copia esatta dell'oggetto di prova originale.
Documentazione dell'orologio di sistema.
I tempi e le date associate ai files possono svolgere un ruolo importante come prove. E' tuttavia importante verificare se l'orologio di sistema è correttamente settato o meno, tenendo quindi in considerazione le opportune variazioni. Anche questo compito viene svolto da software specifico.
Scansione del disco
Realizzazione tramite opportuni software specifici di una scansione completa del disco. Da questa scansione emerge una classificazione dei dati presenti sul disco che può essere riassunta nelle seguenti categorie principali.
- dati "visibili", ovvero accessibili in forma diretta dall'utente
- dati "nascosti", ovvero non accessibili in forma diretta dall'utente
- dati "cancellati", ovvero files che sono stati cancellati nel corso del tempo dall'utente ma che è stato possibile riportare alla luce
- dati "persi" o "rovinati", ovvero dati che per cause diverse possono essere andati perduti nel tempo e che è stato possibile riportare alla luce.
Tutti i dati possono essere riassunti in due principali categorie di files: files contenenti archivi di dati (come ad esempio gli indirizzi di posta elettronica, gli archivi di un programma di contabilità, files di testo come quelli fatti con Microsoft Word, immagini fotografiche digitali, etc.) e files di programmi (come ad esempio i files relativi al sistema operativo o ad un programma software come Microsoft Office).
Documentazione del filesystem
Realizzazione di una catalogazione di tutti i files riscontrati nel processo di Scansione
Di ogni file, riportarne la descrizione estesa, includendo il nome del file, la data di creazione e le date di modifica: come possibili elementi di prova, tutti queste informazioni possono essere rilevanti.
Criteri di analisi e ricerca
Ogni tipologia di file richiede di essere analizzata tramite strumenti specifici. Inoltre, data la grande quantità di dati da analizzare, per rendere l'attività più efficiente è opportuno definire una serie parole o frasi da utilizzarsi come chiavi di ricerca.
L'uso di questi strumenti permette di effettuare diverse tipologie di ricerca (per singola parola, ricerche booleane, per prossimità, etc.), permettendo una identificazione dei materiali di maggior interesse con grande precisione ed in tempi rapidi.
Oltre all'analisi dei dati "visibili", esistono alcune classi di files che costituiscono una preziosa raccolta di tracce ed informazioni relative all'intera vita operativa del computer coinvolto nell'operazione, come descritto nei seguenti paragrafi.
Lo Swap File di Windows
I files swap di Windows tracciano e documentano tutte le attività svolte dall'operatore sul computer in questione. Sono files che vengono creati dinamicamente man mano l'operatore svolge azioni sul proprio computer, e vengono solitamente cancellati ogniqualvolta il computer viene poi spento. Tuttavia tramite appositi strumenti tali files possono essere in buona misura riportati alla luce e/o ricostruiti.
Dallo Swap File è quindi possibile ricavare ad esempio dei patterns di testo associati alle attività svolte su Internet, permettendo quindi di ricostruire i percorsi effettuati in rete, la ricostruzione di messaggi o e-mail iviate da Internet (e non solo quindi dal programma di posta elettronica del computer) e molto altro ancora.
Il File Stack
Il File Stack è una area di immagazzinamento di dati di cui la maggior parte degli utenti non è consapevole. E' spesso la fonte di numerose "falle di sicurezza" ed è costituito da aggiunte di elementi derivati dalla memoria di sistema che il sistema assegna ai files di lavoro al termine delle sessioni di lavoro. Tali dati prelevati dalla memoria vengono immagazzinati alla fine dei files allocati, al di fuori della portata dell'utente. Anche il File Stack, come lo Swap File, è una sorgente spesso determinante di molteplici tracce ed informazioni dell'ambiente e dell'utilizzo dei dati presenti nel computer.
Analisi del Cestino e degli Spazi non Allocati (files cancellati)
La cancellazione fisica di un dato è un compito gravoso per un computer: le funzioni "cancella" che si trovano quindi in Windows, nel suoi programmi e in altri albienti operativi, non cancellano completamente i files in questione, ma semplicemente li rendono invisibili al sistema e considerano lo spazio su disco da loro occupato come "unallocated" ovvero "non assegnato" e quindi disponibile per essere sovrascritto da altri dati. I dati riportati alla luce con le adeguate strumentazioni permettono quindi di "tirar fuori dalla pattumiera" ed analizzare materiale spesso di grande interesse ai fini dell'analisi.
Files Info
Links
Files dello Spooler di Stampa
Files di Registro
Anche tutte queste categorie di files di sistema permette la raccolta di evidenze molto utili per la corretta interpretazione e ricostruzione della storia del computer e per il sostegno delle prove individuate.
Identificazione ed analisi di forme anomale e/o criptate
I dati possono anche essere stati immagazzinati utilizzando forme più o meno evolute di protezione dei dati tramite password, tramite criptazione o posizionamento in archivi o partizioni nascoste. Tali dati sfuggono alle forme di ricerca per parole chiave e devono quindi essere identificati ed analizzati manualmente.
Verifica delle funzionalità degli applicativi e della congruità dei dati
Questo permette di identificare se gli applicativi contengono ad esempio forme di criptazione o autodistruzione di dati, o se i dati riportati nelle tabelle di tabase sono congrui tra loro o mancanti di parti o informazioni.
Messaggi di posta elettronica
I messaggi di posta elettronica, o e-mail, sono diventati uno dei mezzi di comunicazione più utilizzati e sono spesso una sorgente primaria di prove. Tali messaggi possono essere stati spediti o ricevuti in una molteplicità di modi: tramite un programma dedicato (come ad esempio Microsoft Outlook), un browser Internet, siti o applicazioni adatti alla gestione di messaggi, o altro.
Attenzione particolare deve essere inoltre riposta nella disamina degli headers, ovvero delle intestazioni dei messaggi, capaci di fornire indicazioni importanti se non fondamentali ai fini dell'oggetto delle analisi.