Questo sito web utilizza cookie tecnici e, previo Suo consenso, cookie di profilazione, nostri e di terze parti. Chiudendo questo banner, scorrendo questa pagina o cliccando qualunque suo elemento acconsente all'uso dei cookie. Leggi la nostra Cookie Policy per esteso.OK

STRATEGIE

Digital forensics e indagine tradizionale, un matrimonio necessario (ma sottovalutato)

Ricerca e analisi dei dati contenuti nei dispositivi elettronici. Ma anche metodologia “classica” che tenga conto del contesto. Ecco perché serve che le due metodologie vadano a braccetto: solo così la “scena del crimine” potrà essere interpretata in modo corretto

28 Mar 2019

Pier Luca Toselli

Digital forensics presso Ministero


La digital forensics viene ormai considerata strategica nella soluzione di un caso criminale. Senza gestione dei dati le indagini risultano ormai incomplete o irrealizzabili. Ma attenzione: la metodologia “digitale” non esclude l’investigazione di tipo classico. I due tipi di approccio devono trovare un equilibrio per evitare che la scena del crimine rimanga insondabile.

Con il termine digital forensics intenderò, nel prosieguo, quella branca delle scienze forensi che si occupa della ricerca, individuazione, estrazione ed analisi dei dati rinvenuti in dispositivi digitali che vengono a trovarsi “implicati” in una scena del crimine.

Pur facendo molto C.S.I., con il termine “scena del crimine” mi riferirò a qualsiasi evento di criminalità informatica e non che veda per l’appunto il coinvolgimento a vario titolo di un dispositivo digitale.

Cercherò in questo articolo di evidenziare come oggi il necessario connubio tra indagine tradizionale e digital forensics, talvolta dato per scontato, non venga invece sempre adeguatamente considerato e valorizzato!

L’importanza della digital forensics

Possiamo affermare allora, senza temere smentita che non esiste, oggi, una scena del crimine che non veda il coinvolgimento in maniera diretta o indiretta di un dispositivo digitale. Il nostro corpo tende sempre più ad essere quotidianamente in contatto con tali dispositivi tanto che qualcuno tende ormai a definirli “appendici” del corpo stesso.

Ma ancor di più potremmo affermare che non esiste un momento della nostra giornata in cui un dispositivo digitale non si trovi ad interagire, ad essere (in maniera diretta o indiretta) utilizzato per quotidiani scopi ai quali ormai, mal volentieri sappiamo rinunciare (si pensi a smart toys, auto intelligenti, domotica, strumenti salvavita quali i pacemaker, ma ancora, allo smartphone dal quale ormai non ci separiamo più tanto che ormai vengono diagnosticate vere e propri sindromi legate al suo uso… o meno).

Se condividiamo il contesto appena descritto, allora comprendiamo immediatamente che le indagini digitali non solo diventano utili ma addirittura “necessarie” ed indispensabili allorquando in un dispositivo digitale si possono rinvenire prove, informazioni, indizi che possono aiutarci, concedetemi la sintesi, nella “soluzione” del caso[1].

A ciò si aggiunga poi la difficoltà insita nella “gestione” dei dati digitali per la loro particolare natura e caratteristiche di volatilità e fragilità (ove già, queste due, non aiutano certo nelle classiche operazioni di apprensione e sequestro… anzi!); è evidente a tutti come la complessità di certi dispositivi digitali sempre più accompagnati da una inarrestabile “miniaturizzazione” e sistemi a tutela della riservatezza dei dati ivi custoditi (criptazione del dato, etc.), si risolva in un aumento esponenziale delle difficoltà rimesse a coloro che si trovano a dover ricercare soluzioni per una loro “individuazione”, “raccolta”, “conservazione” ed “esportazione”, che ricordo dovrebbe sempre avvenire nel rispetto delle cosiddette “best practices”.

Ad ogni buon conto l’importanza “strategica” della digital forensics e delle indagini digitali non ha certo bisogno di essere ulteriormente enfatizzata essendo noto a tutti come, senza di questa, le indagini oggi vengano di fatto ad essere “incomplete” se non “irrealizzabili”.

Si pensi ad un’indagine che non prenda in considerazione i dispositivi digitali presenti sulla scena del crimine e ancora ad un’indagine per la quale non si riescono ad esportare ed analizzare i dati dal dispositivo digitale utilizzato per la perpetrazione appunto, del reato.

La svolta della Guardia di Finanza

Sull’importanza strategica della digital forensics mi viene in aiuto e conferma la circolare della Guardia di Finanza 1/2018[2] – Manuale Operativo in materia di contrasto all’evasione e alle frodi fiscali – la quale ha di fatto inserito la DF a pieno titolo nelle azioni che i militari del Corpo devono intraprendere e conoscere nel corso delle ordinarie attività di contrasto all’evasione e alle frodi fiscali.

L’importanza è ritenuta talmente “strategica” che il Corpo con lungimiranza, ha fin da subito individuato la presenza di due figure, il FIRST RESPONDERS e i CFDA che a vario titolo e con diverse competenze si occupano in prima persona di quella “gestione” del dato digitale ormai indispensabile in ogni ordine e grado del controllo ed eventuale, conseguente contenzioso. Quindi figure che si occupano dell’individuazione, esportazione (copia/clone), conservazione, analisi e presentazione del dato digitale. La volontà del Corpo di affiancare queste figure alle tradizionali (gli investigatori economico-finanziari) la dice lunga sull’attenzione posta al problema e all’encomiabile tentativo di una fattiva soluzione, nell’evidenza che ormai dette figure sono necessarie e solo in sinergia possono affrontare le nuove sfide della criminalità economica.

Ecco il quadro attuale

Si assiste tuttavia, talvolta, ad un esagerato affidamento sulla digital forensics a scapito delle indagini tradizionali. Mi spiego meglio.

Accade che, nella convinzione che ormai tutto è digitale, la presenza dell’esperto in questa materia sia di per sé sufficiente a risolvere l’indagine.

L’esperto DF viene visto quale persona dotata di poteri “magici”, un vero “guru” capace con la sola imposizione delle mani di individuare ed estrapolare da incredibili congegni i dati che risolvono il caso.

Al di là della battuta di spirito che spero non abbia offeso nessuno, la considerazione è che l’esperto DF, se non è supportato da una valida “equipe” (mai definizione fu più precisa: “Gruppo di persone che svolgono la stessa attività e hanno un fine comune”), non riuscirà ad esprimere al meglio le proprie competenze e capacità.

Cercherò con un esempio di enfatizzare questa mia considerazione. Poniamo il caso di una perquisizione locale per qualsivoglia reato, nell’ambito della quale l’organo requirente abbia contestualmente autorizzato anche la perquisizione informatica dei dispositivi digitali eventualmente (eventualmente è un eufemismo) rinvenuti.

Orbene, in tali casi accade sempre più spesso che la presenza dell’esperto DF viene vista come la soluzione a tutti i problemi, la sola sua presenza, rassicura al punto tale, che si tende a mettere in secondo piano, talvolta sottovalutare l’indagine tradizionale (in tal caso la perquisizione tradizionale “cassetto per cassetto”, nella convinzione che essendo ormai tutto “digitale” … ci penserà lui (il DF) a trovare le prove, indizi e quant’altro.

Purtroppo, o meglio per fortuna, le cose stanno diversamente, come dicevo prima: l’esperto DF oggi si trova a dover ricercare soluzioni che non possono prescindere da una perquisizione tradizionale e rimettere all’esperto DF il tutto non può che risolversi in un errore.

Richiamo l’attenzione su alcuni aspetti per i quali cercherò anche in poche righe di spiegarne i motivi.

L’individuazione dei dispositivi

Nella migliore delle ipotesi, un’équipe ben organizzata vede il DF quale “referente” per tutto ciò che è digitale, ma non dovrebbe mai giungere al punto di pretendere che tale soggetto debba anche pervenire all’individuazione di tutti i dispositivi di interesse.

Ciò in quanto:

  • spesso il DF è preso dalla ricerca di soluzioni per l’acquisizione di un dispositivo già ben individuato e circoscritto e non ha di fatto il tempo materiale e la concentrazione per rilevare all’interno dell’ambiente perquisito altri dispositivi di interesse;
  • spesso si tratta di CTU, personale esperto appartenente alla medesima FF.PP ma che non ha una conoscenza così precisa ed approfondita del caso tanto da permettergli quelle necessarie scelte operative (che si attagliano al caso concreto) sul piano dei dispositivi da prendere in considerazione. In merito evidenzio come oggi anche a livello di una semplice perquisizione di un appartamento sia “impraticabile“ e “pleonastico” quel “prendete tutto”! Oggi i dati spesso non sono neppure nel dispositivo rinvenuto (Cloud) e con l’avvento della domotica e dell’Internet Of Things, quel “prendete tutto” perde di ogni significato. Oggi l’attenzione tende comunque a concentrarsi solo su alcuni dispositivi essendo spesso impossibile prenderli tutti in considerazione o ancora procedere ad un loro sequestro indiscriminato in attesa di un loro successivo esame.
  • La miniaturizzazione e mimetizzazione di molti dispositivi richiede oggi ricerche accurate, dispendiose e precise che non possono essere rimesse al solo esperto che solo per tali attività vedrebbe tutto il suo tempo dedicato a ciò e non a quelle operazioni di più alta specializzazione per le quali interviene.

Ecco che allora il binomio indagine DF–tradizionale si esplica nell’ambito di un’attenta “équipe” attraverso un’analisi di contesto capace di individuare tra i tanti quei dispositivi presumibilmente “utili” ai fini dell’indagine in corso e a sottoporli all’esperto DF quale soggetto deputato a gestirli in termini di conservazione, non modificazione, acquisizione (copia/clone) etc.

L’analisi dei dati

Questo è forse l’aspetto più critico e che merita un maggior approfondimento. Estraniandoci per un attimo dalla fase più operativa (la perquisizione) giungiamo ora alla successiva analisi del dato. Fase delicata e che forse soffre più di altre della dicotomia tra DF e indagine tradizionale.

Qui più che altrove la DF viene erroneamente ritenuta la “soluzione” ad ogni problema, nella falsa convinzione che attraverso un “one-click” l’esperto DF sia capace di trovare “quella prova che risolve il caso”. Invero accade sempre più spesso che l’oggetto (prova, indizio etc. ) non sia specificatamente individuato. Un conto sarà rinvenire una specifica immagine fotografica, un file PDF, una determinata “frase” all’interno di un file, altro è analizzare un mole di dati alla ricerca di … “tracce inerenti/pertinenti i reati per cui si procede”; volendo qui significare che stabilire cosa sia inerente/pertinente o meno è tutt’altro che esercizio semplice, soprattutto quando a chi è deputata tale attività non ha una conoscenza approfondita del “caso”.

Per chi analizza, un dato potrebbe anche sembrare insignificante, mentre all’investigatore dedicato al caso potrebbe dire molto di più se non tutto! Le soluzioni finora adottate di fornire (mi sia concessa la sintesi) “in chiaro” in “formato leggibile” i dati acquisiti dall’esperto DF, segna notevolmente il passo, dinanzi a due ulteriori problematiche:

  1. le soluzioni consistono nel fornire una indicizzazione dei dati acquisiti e strumenti di ricerca che permettono l’individuazione di tipi di files a seconda della loro estensione e di parti di testo all’interno dei medesimi files. Tuttavia in merito occorre evidenziare come “fallibili” possono essere le ricerche per parole chiave, in quanto chi tende ad occultare o dissimulare qualcosa difficilmente si affida a termini che in qualche modo possono facilmente evidenziare attività criminose (per es. la parola nero ad evidenziare la cosiddetta doppia contabilità è ormai una chimera).
  2. spesso le due attività, quella svolta dall’esperto DF e quella di chi deve analizzare i dati, avvengono a distanza ed in momenti separati rendendo spesso difficile se non impossibile quell’azione di “escalation” intesa quale progressiva intensificazione di uno sforzo. Spesso nel corso dell’analisi vi sarebbe la necessità di approfondire un determinato dato attraverso appunto ricerche diverse e più approfondite che partono per l’appunto da quest’ultimo ma che sono indirizzate alla “scoperta” di altri dati o notizie. Tale azione è spesso vanificata o dalla mancanza dell’esperto DF che avrebbe le conoscenze e competenze necessarie ad approfondire un determinato aspetto o a contrario sono vanificate dalla mancanza dell’investigatore che è detentore di quel “quid pluris” suo esclusivo patrimonio in virtù di una maggior conoscenza del quadro complessivo dell’indagine.

In conclusione di tale aspetto deve venire a crearsi una vera e propria “sinapsi” tra l’esperto DF e l’investigatore, in assenza della quale, come tratteggiato sopra, la loro efficacia viene giocoforza limitata nonostante la potenzialità dei due strumenti (indagine tradizionale e digital forensics).

Il valore aggiunto dell’indagine tradizionale unita alla digital forensics

Va anche considerato come già in precedenza accennato che oggi la Digital Forensics da sola non è sufficiente alla soluzione di tutti i problemi, invero, soprattutto per quanto concerne l’utilizzo di password a tutela della riservatezza dei dati, va evidenziato come risulti ormai “ordinario” il ricorso alla cifratura dei volumi, tanto da poter riassumere, che oggi l’esito di un indagine è spesso in balia di una password. Già! Accade sempre più spesso che pur avendo a disposizione il dispositivo (contenitore dei dati), gli stessi risultino poi comunque inaccessibili in quanto protetti da password. A ciò si aggiunga che password complesse e standard di criptazione AES256 rendono sempre più difficili quelle operazioni di “brute-force” che un tempo potevano dare qualche soddisfazione in tempi accettabili. Senza entrare in tabelle e stime più o meno attendibili (molto dipende dall’hardware a disposizione oltre che dalla complessità della password) è noto a tutti come oggi i tempi necessari ad un brute-force su password di 9/10 caratteri alfanumerici, maiuscolo minuscolo e qualche carattere speciale… richieda più di qualche giorno… E comunque tempi non sempre a disposizione degli investigatori.

Ecco che allora l’indagine tradizionale soccorre ancora una volta la DF, fondamentalmente attraverso:

  • una buona ricognizione anche fotografica del luogo di rinvenimento dei dispositivi può talvolta aiutare nella predisposizione di librerie dedicate di parole che possono abbattere non poco i tempi necessari al brute-force (ricordo sempre ad esempio un caso in cui la password maggiormente utilizzata da un soggetto vedeva sempre la sua squadra del cuore e l’anno di fondazione seguita poi da qualche carattere speciale). In tal caso pervenire alla password utile a sbloccare quello che era un file-vault di un mac book pro non fu complicato, grazie alle ricognizioni fotografiche del luogo ove il soggetto utilizzava il proprio portatile che era di fatto “tempestato” di foto e gadget di una certa squadra di serie A. Ma non solo: spesso le cose sono più facili di quel sembrano: tanto che oggi consiglio sempre di consultare se non sottoporre a sequestro agende e quaderni rinvenute nei pressi di PC e postazioni di lavoro. Se è vero che oggi siamo tutti “in balia di una password” è altrettanto vero che molti non sono ancora così abituati ai password-manager e mantengono ancora un’anacronistica ma pur sempre presente predilezione per il cartaceo. Accade quindi tutt’ora di rinvenire agende e post-it capaci attraverso un’indagine tradizionale “leggi la carta” di superare barriere digitali talvolta non aggirabili.
  • Infine esiste anche un altro problema a parere di chi scrive superabile attraverso quella che potremmo definire “ingegneria investigativa”. Rammento che nel nostro ordinamento, contrariamente ad altri, manca un reato che punisca il reo che non voglia rilasciare dichiarare le proprie password. Anzi l’attuale ordinamento prevede in capo all’indagato ma anche alla persona sottoposta alle indagini, anche di mentire e pertanto non esistono obblighi né sanzioni in capo a chi rilascia false password o non le rilascia affatto. Tale situazione ha comportato nel tempo non poche difficoltà soprattutto sul piano delle “mobile forensics” ove a seguito di un innalzamento dei livelli di sicurezza da parte della maggior parte dei produttori si è giunti al punto che senza le password di sblocco, ben poche operazioni sono realizzabili. Su alcuni dispositivi risultano vane anche quelle tecniche cosiddette di “chip-off” che invece su alcuni modelli (sempre meno) permettono comunque di accedere alla memoria fisica del dispositivo. Orbene si comprende allora come anche la “password” di tali dispositivi assurge ormai ad elemento essenziale ed indispensabile per il loro esame. Ecco che allora quelle tradizionali tecniche di indagine, patrimonio e DNA di ogni investigatore, ovvero tutte quelle tecniche psicologiche e di convincimento possono aiutare o quantomeno sollecitare, indurre la controparte, a rivelare le password. Spesso la domanda a bruciapelo ed una rapida annotazione o altri stratagemmi possono risolvere problematiche di tal tipo[3].

Una “sinapsi” che s’ha da fare

Ritengo che oggi si debba prestare molta attenzione a mantenere sempre quell’indispensabile connubio tra le indagini tradizionali e la DF, sbilanciamenti a favore dell’una o dell’altra risultano se non dannose, sicuramente foriere di insufficienze sul piano investigativo.

Bisogna porre molta attenzione nel non confidare troppo per l’una o per l’altra tecnica, ma saper affinare quel giusto equilibrio che permette di esaltare le caratteristiche positive di entrambe, risolvendo quelle negative.

Vanno pertanto stigmatizzate quelle situazioni in cui la presenza dello specialista DF o dell’esperto investigatore, tendono a palesare “sicure” soluzioni da parte di uno o dell’altro. Solo la combinazione delle due “specialità” è capace di fronteggiare le sfide quotidiane e di preparare i nuovi investigatori a quelle future.

E’ necessario quindi partendo da quella definizione di “équipe” – affrontare oggi le indagini con un gruppo di persone che pur non svolgendo le medesime attività, siano però orientate ad un fine comune – che la futura “squadra investigativa” dovrà pertanto contenere al suo interno tutte le diverse professionalità necessarie amalgamate e coordinate tra loro. Solo così, solo attraverso l’esaltazione delle specialità, la loro amalgama e coordinamento si potrà allora ottenere il massimo in termine di investigazioni digitali e no, che mi corre l’obbligo di ricordare sempre più compenetrate e in commistione tra loro.

  1. Si pensi alla wearable forensics che si occupa di tutti quei dispositivi indossabili che monitorano le nostre attività, fisiche e non solo, capaci ormai di tracciare in una sorta di pedinamento elettronico continuo anche le nostri più intime attività e spostamenti (ricordo che tengono traccia del battito cardiaco e giustificare 130 bpm al minuto alla moglie quando il GPS vi individua in una stanza d’albergo …. Può essere dura!
  2. http://www.gdf.gov.it/documenti-e-pubblicazioni/circolari/circolare-1-2018-manuale-operativo-in-materia-di-contrasto-allevasione-e-alle-frodi-fisca
  3. Oltre all’assumere informazioni quali il nome del cane, dei figli, del coniuge etc, che spesso costituiscono la radice delle password che tendiamo a ricordare più facilmente, alcune semplici tecniche che possono apparire banali come quella di concedere una telefonata al soggetto facendo attenzione allo “smart-lock” utilizzato o ancora vedere mettendo semplicemente in controluce il dispositivo le tracce lasciate sullo schermo che possono indicare lo smart-lock utilizzato, rientrano nelle indagini “tradizionali” ma vengono spesso dimenticate o sottovalutate, credendo che l’esperto DF riuscirà a risolvere ogni problema.

@RIPRODUZIONE RISERVATA

Articolo 1 di 4