Digital Forensics

Indagini di polizia, la corretta acquisizione dei file

A fronte della costante presenza dei dispositivi digitali nelle nostre vite, anche le forze di polizia sono tenute a essere preparate ad acquisire in maniera corretta i file digitali già dalla fase “embrionale” del procedimento, ovvero già fin dalla denuncia, per non inficiare le sorti delle indagini

30 Ago 2019
Pier Luca Toselli

Digital forensics presso Ministero


La pervasività degli strumenti digitali – dagli immancabili smartphone ai dispositivi indossabili per il fitness e agli strumenti elettromedicali – impone anche alle forze di polizia la necessità di formare il personale affinché prenda coscienza che oggi la cosiddetta Digital Forensics deve trovare applicazione già dalla fase “embrionale” del procedimento, ovvero già fin dalla denuncia.

Già da questa fase, infatti, gli appartenenti alle forze di polizia dovrebbero procedere all’acquisizione degli “elementi” digitali collegati alla denuncia con modalità tali da non vanificarne la loro affidabilità nelle conseguenti fasi investigative e procedimentali.

Una necessità di cui si discute nei convegni, ma che fatica a trovare una sua dimensione pratica nella gestione quotidiana delle attività di polizia.

Digital forensics e lavoro di polizia

Nei convegni dedicati a vario titolo alla Digital Forensics si sente dire che ormai non esiste indagine (civile, amministrativa, penale, tributaria) che in un modo o nell’altro, direttamente o indirettamente, non vada ad coinvolgere un qualche dispositivo digitale o non abbia a che fare con i dati nello stesso contenuti.

A oggi, pare non esista appartenente alle forze di polizia che nel corso del proprio lavoro non abbia avuto a che fare con un dispositivo digitale che “interessa” l’indagine assegnatagli. E non parliamo certo soltanto degli investigatori che accorrono sulla scena del crimine, bensì di quella moltitudine di carabinieri, finanzieri, poliziotti addetti a ricevere le quotidiane denunce dei cittadini: già, proprio quel momento spesso trascurato, ma che soprattutto oggi assurge a particolare e rinnovato interesse.

Se ci riallacciamo alle considerazioni introduttive, sulla pervasività degli strumenti digitali, sulla loro ormai costante presenza nelle nostre vite, ci viene “facile” comprendere come sia sempre più frequente il caso di questi cittadini che a documentazione e prova delle loro affermazioni, in un modo o nell’altro, direttamente o indirettamente, recano con sé un dispositivo digitale o si riferiscono specificatamente al suo contenuto; si pensi ad uno smartphone a documentazione di una chat compromettente oppure una email che dimostra un tentativo di Phising, o qualsiasi altro esempio che la vostra fervida fantasia vi sta suggerendo.

Sono ormai talmente tanti questi esempi, che ho preso a riferimento questi due solo perché in questo momento mi sembrano i più rappresentativi e diffusi, ma non esiste un numero chiuso di casi che vedano l’operatore di polizia fin dalla fase della “denuncia” alle prese con dispositivi digitali e files di varie tipologie.

Ritengo utile proporre a questo punto un esempio per far comprendere l’importanza del tema in trattazione.

Ufficio denunce 4.0

Anni fa mi occupavo ancora della cosiddetta “ricezione denunce” ed avendo sempre avuto una certa propensione alla digital forensics ricordo che in occasione delle denunce che in “qualche modo” venivano a coinvolgere una email mi premuravo di chiedere se al di là della stampa che tutti recavano al seguito (ritenendo erroneamente che quella fosse sufficiente ad avviare, chissà quale indagine), il denunciante fosse ancora in possesso della email sul proprio client di posta o se oltre alla mera stampa della email quasi del tutto insignificante (per lo sviluppo di indagini tecniche) il denunciante avesse provveduto anche alla stampa dell’header della email.

Ricordo ancora chiaramente come il denunciante e molti dei colleghi che allora mi circondavano, fossero ancora convinti, che con la mera stampa della email così come siamo abituati comunemente a visualizzarla attraverso il client email (mittente, destinatario, oggetto, data, ora, testo del messaggio), si poteva pervenire alla immediata identificazione del mittente.

WHITEPAPER
Sicurezza e strumenti digitali intelligenti: il nuovo volto dello Smart Working
Dematerializzazione
Network Security

Allora (ma poi le cose forse non sono molto cambiate) non tutti, conoscevano l’importanza degli header delle e-mail, per lo sviluppo di eventuali investigazioni informatiche da svilupparsi su quella specifica e-mail.

L’importanza dell’idonea acquisizione dei file digitali per le sorti delle indagini

Tralasciando le semplici, ed ormai alla portata di tutti, possibilità, di modificare, nascondere, dissimulare i dati contenuti nell’header in una email, ritenevo e ritengo tutt’ora che la conoscenza di che cosa sia l’header della mail, debba essere patrimonio di ogni appartenente alle forze di polizia chiamato a dover corredare una denuncia del contenuto di una email per qualsivoglia motivo.

Ma nonostante le mie “speranze” ancora oggi molti ne ignorano l’esistenza, e ne trascurano inconsapevolmente (spero!) un’accurata richiesta alla parte con la conseguenza che denunce pervenute all’attenzione di qualche Ufficio ad alta specializzazione tecnologica, non può poi intraprendere alcuna indagine tecnica perché magari nel frattempo la mail è stata cancellata dal client, o in ogni caso per svariati motivi diventa difficile se non complicato recuperare quell’header che avrebbe potuto invece fornire importanti e strategiche informazioni all’investigatore.

Ma possiamo anche giungere ad esempi più banali e di più diffusa ricorrenza, si pensi all’acquisizione di un mero file Office o di un file Jpeg o video che documenti il fatto in denuncia. E’ evidente come detto files assuma importanza determinante per le sorti della successiva indagine che l’organo di polizia dovrà intraprendere, si pensi per esempio ad una registrazione audio o a una foto Jpeg che rispettivamente contengono e ritraggono, un evento criminoso.

Fino a qualche anno fa si era soliti “masterizzare”, all’acquisizione detti files su CD o DVD rendendoli immodificabili, oggi sono cambiate le dimensioni dei files tanto che talvolta non è conveniente in termini di tempo e supporti procedere alla masterizzazione, si fa ricorso allora alle pen-drive Usb ormai alla portata di tutti e con capacità di decine o centinaia di GB e decisamente più economiche in termini di costo per byte e di realizzazione della copia. Tuttavia un loro uso “disinvolto” da parte dell’operatore di polizia in fase di acquisizione di elementi digitali a corredo di una denuncia, al di là della buona volontà a rimediare il supporto e fare le cose velocemente (il ché non è quasi mai consigliabile), potrebbe risolversi in una acquisizione inidonea/inefficace, finanche inutilizzabile da parte dell’operatore di polizia.

Invero il files in questione potrebbe nelle successive fasi “processuali” essere contestato dalla difesa a vario titolo, sia sul piano della sua “genuinità” quanto a file prodotto dal denunciante, sia sul piano della sua “autenticità” e “provenienza”.

In conclusione di questa parte, occorre quindi prendere coscienza che oggi la cosiddetta Digital Forensics deve trovare applicazione già dalla fase “embrionale” del procedimento, ovvero già fin dalla denuncia, già da questa fase occorre sensibilizzare gli appartenenti alle forze di polizia affinché procedano all’acquisizione degli “elementi” digitali collegati alla denuncia con modalità tali da non vanificarne la loro affidabilità nelle conseguenti fasi investigative e procedimentali.

Come sarebbe meglio procedere (precauzioni e best practice)

Al di là dell’acquisizione dell’header della email anche per i semplici file occorre dettare regole “best practices” che gli operatori di polizia dovranno adottare già dalle preliminari fasi di ricezione di una denuncia corredata da files.

Sarà sempre bene quando si ha a che fare con files che vengono allegati a prova di fatti e situazioni, (video, foto, documenti office etc. etc.) pretendere che si provveda ad assegnare a ciascuno di loro l’algoritmo di HASH. Tale operazione permetterà di assegnare una sorta di “sigillo” o firma digitale al file in questione, con la garanzia che attraverso il controllo dell’algoritmo di HASH sarà possibile dalla ricezione di quel file a tutte le fasi successive verificare che lo stesso abbia mantenuto inalterate le sue caratteristiche di genuinità, inalterabilità e autenticità. In sintesi acquisire alla denuncia un file senza assicurarlo attraverso la predetta procedura o altre comunque consigliabili (per esempio nel caso di più files si può procedere a raccogliere il materiale in una cartella e a seguito di compressione della stessa procedere al calcolo di un singolo HASH o ancora, procedere alla compressione di ogni singolo file e poi procedere al calcolo dell’algoritmo di HASH, in tal caso si assicura anche che all’eventuale apertura del file nulla possa essere modificato (si rende necessario per esempio nei casi dei files .pst del client di posta Outlook che se riaperti dall’applicazione potrebbero facilmente modificarsi anche involontariamente). Tuttavia non è questa la sede per descrivere ed elencare dette procedure, qui preme essenzialmente sensibilizzare (e spero di esserci riuscito) le coscienze affinché si utilizzi un diverso approccio al “digitale”.

Quali soluzioni

Nonostante i lodevoli sforzi da parte di alcuni Corpi di Polizia, quali ad esempio quelli posti in essere dalla Guardia di Finanza attraverso la circolare 1/2018 [1], e dalla Squadra Reati Informatici della Procura della Repubblica di Milano che ha diramato ad uso “interno” uno specifico “vademecum” proprio sulle modalità di acquisizione delle denunce a seconda delle diverse tipologie di reato informatico denunciato, vi è ancora molto da fare. Invero i tentativi posti in essere anche attraverso le pubblicazioni di più autorevoli autori (vedi i diversi manuali di polizia giudiziaria) manca a parere dello scrivente una rinnovata “cultura” che induca “tutti” gli appartenenti alle forze di polizia a riconsiderare e rivalutare questi aspetti, ed in particolare che oggi non esiste denuncia, reato, fatto scevro della presenza di un elemento “digitale”.

Le indicazioni sinora fornite sembrano ancora dirette a settori, specialità, compartimenti che si occupano in via prioritaria di specifici reati informatici o che quotidianamente (il riferimento è alla circolare della Guardia di Finanza) hanno a che fare con moli di documenti e dati digitali.

La diffusione di quelle che ormai dovrebbero essere “disposizioni comuni” è ancora relegata ad una diffusione per “passa-parola” o del tipo di “dico io come fare” senza un effettiva “diffusione capillare” che sulle premesse di questo articolo dovrebbe interessare ogni appartenente alle forze di polizia.

La soluzione probabilmente risiede in una “rinnovata cultura informatica” capace di superare il mero “nozionismo” dei corsi di formazione di base per i vari ruoli ed idonea a sollecitare nella coscienza di ciascun appartenente fame e sete di conoscenza, nella consapevolezza dell’oramai “tutto digitale”.

Solo così le poche ma fondamentali nozioni acquisite nei corsi di formazione potranno essere affinate anche da coloro che assegnati ad incarichi non direttamente correlati ai reati informatici, sapranno comunque affrontare l’acquisizione del materiale digitale a supporto delle denunce in modo professionale ed idoneo.

Ogni appartenente ed in particolar modo “anche” quelli addetti alla ricezione delle denunce non può oggi ignorare l’importanza strategica dell’algoritmo di HASH o ancora la fondamentale rilevanza dell’header della e-mail. Dette nozioni non possono essere patrimonio di coloro che hanno particolare sensibilità per motivi professionali o altro a questi temi ma devono essere patrimonio (come la conoscenza dei codici) di ciascun appartenete alle forze di polizia.

Ben vengano allora tutti coloro che attraverso queste pagine, corsi, seminari, giornate studio, si impegnano nel diffondere “questa-cultura” che ormai fa parte del nostro quotidiano.

E’ impensabile ed anacronistico assistere ancora oggi alla necessità di “dirottare” il cittadino verso uffici denunce ad alta specializzazione informatica, se ciò aveva un senso alla nascita dei reati informatici che richiedevano effettivamente specializzazioni non “comuni”, oggi nell’evidenza del tutto digitale occorre diffondere conoscenza e cultura in ciascun appartenente alle forze di polizia che in ogni momento può trovarsi a dover fronteggiare o meglio ricevere anche una mera denuncia per “truffa” che il comune cittadino ha documentato con un mp4 o mp3. Nella consapevolezza del “tutto digitale” ogni ufficio di polizia deve saper fronteggiare adeguatamente dette soluzioni, senza dover “rinviare” agli “informatici” operazioni che oggi sono al pari delle richiesta del codice fiscale a corredo dei dati anagrafici!

360digitalskill
Diventa un leader digitale: crea il percorso per te e il tuo team
Risorse Umane/Organizzazione
Smart working

@RIPRODUZIONE RISERVATA

Articoli correlati