Principali limiti e svantaggi delle attività forensi
L’informatica forense è una branca della scienza digitale forense legata alle prove acquisite da computer e altri dispositivi di memorizzazione digitale. Più nel dettaglio, l’informatica forense, talvolta chiamata computer forensics, è l’applicazione di tecniche investigative scientifiche ai crimini e agli attacchi digitali. È un aspetto cruciale a livello legislativo e di business nell’era di Internet e può essere un percorso di carriera gratificante e redditizio.
Tra le problematiche di carattere tecnico relative alle attività forensi che si presentano più di frequente all’attenzione di chi opera l’analisi di sistemi informatici è opportuno evidenziarne le più frequenti, che saranno esposte, per quanto possibile, con criteri cronologici, simulando una serie di eventi che tipicamente si presentano in successione, nel corso dell’attività in esame.
Presenza di password sul BlOS e necessità di superarle.
La difficoltà può essere spesso superata, specialmente nelle operazione che riguardano computers portatili, procurandosi, su siti internet dedicati, le password generiche (così dette di default, predefinite) che di solito il costruttore riserva per poter accedere al BIOS, quando opera per l’assistenza ai prodotti della sua azienda. In certe circostanze, però, si rende impossibile accedere al BIOS e pertanto si procede alla delicata operazione di smontaggio del disco rigido presente nel computer e di istallazione in un altro sistema dedicato all’analisi. In tal modo, la password sarà aggirata e sarà possibile accedere ai dati contenuti nel disco. In casi estremi è possibile rimuovere la batteria tampone, presente sulla scheda madre, che permette di conservare, a sistema spento, i dati presenti nel BIOS. Detta pratica deve essere, se possibile, evitata poiché, in tal caso però, insieme alla password, andranno persi i dati presenti nel BIOS, tra i quali i riferimenti cronologici del sistema.
Lunghezza delle operazioni di calcolo del checksum o hash (MD5 o SHA1) del supporto originale e della sua copia.
La possibilità di dar corso alla detta operazione va valutata di volta in volta, in relazione ai tempi dell’indagine ed alla necessità di utilizzare sistemi di garanzia di inalterabilità della prova alternativi a quelli tradizionali.
Difficoltà di visualizzare file dei più diversi formati.
Opportune ricerche sulla rete internet permettono spesso di reperire idonei programmi di visualizzazione. In alcuni casi, i file (proprietari) sono leggibili solo a mezzo dei programmi attraverso i quali sono stati creati, non essendo visualizzabili attraverso il programma utilizzato per l’analisi o altro visualizzatore. In tal caso, quando non è possibile disporre del programma originale, è opportuno uscire dal programma di analisi ed utilizzare una copia del disco in esame, per riavviare il sistema originale, di modo che il file sarà visualizzato dal programma che lo ha creato, se era presente nel sistema oggetto di analisi. In estrema ratio, è possibile aprire il file non intelligibile con un editor esadecimale (es. hexedit) che mostrerà bit per bit il contenuto del file.
Difficoltà di rilevare file e file-system crittografati e/o steganografati.
Fermo restando il problema di visualizzare i detti file, senza possedere la chiave di decodifica, è opportuno perlomeno dare atto della loro presenza, utilizzando idonei programmi (ad esempio stegdetect) atti a rilevare quelli steganografati. Per i file crittografati vi è unicamente la possibilità di operare per esclusione. Al fine di accedere al contenuto di files protetti da password è possibile utilizzare appositi programmi di vario genere. È però opportuno che l’uso di detti programmi sia specificatamente autorizzato dal Pubblico Ministero, analogamente a quanto avviene per la rimozione di ostacoli fissi in sede di perquisizione locale.
Difficoltà di procedere all’esame di nuovi supporti informatici.
Difficoltà di procedere all’esame di nuovi supporti informatici, come le console di videogiochi (es. Xbox della Microsoft, dotata di disco rigido), penne USB, lettori ibridi musicali e di dati, telefoni cellulari di nuova generazione, fotocamere digitali, “memory card” (schede di memoria), etc. etc. che possono essere utilizzati per immagazzinare informazioni digitali. Aldilà delle problematiche già esposte relative all’utilizzo di specifiche apparecchiature, per quel che riguarda i programmi, alcuni operatori della Polizia Postale e delle Comunicazioni, hanno approntato una metodologia efficace, basata principalmente sull’utilizzo di programmi “open source”, per l’acquisizione con atto ripetibile e la successiva analisi dei dati contenuti in questi nuovi supporti informatici.
Difficoltà analisi forensi quando si effettua l’esame di materiale sequestrato.
Particolari difficoltà nelle analisi forensi si possono talvolta incontrare quando si effettua l’esame di materiale sequestrato da altri Uffici di Polizia. La difficoltà più frequente consegue al fatto che gli hard disk sequestrati possono essere configurati in modo tale da rendere impossibile l’ estrapolazione delle evidenze informatiche in quanto, per rendere funzionanti tali supporti, è necessario che siano installati simultaneamente (configurazione RAID), su un computer dotato di un controller di disco rigido identico a quello installato nel computer dal quale i dati sono stati prelevati. Il problema può essere aggirato riproducendo la situazione originaria ed effettuando l’acquisizione delle fonti di prova tramite il software in dotazione. Nei casi sopraccitati è evidente che una maggiore collaborazione tra gli uffici interessati, fin dalla fase iniziale delle attività di polizia giudiziaria, eviterebbe all’origine il problema (una possibile soluzione è creare un simulatore di controller RAID).
Problematiche relative all’acquizione dei dati.
Problemi di non poco conto nella attività forensi si possono avere durante l’acquisizione di un disco rigido sequestrato effettuata con il programma ENCASE, poiché si possono verificare una lunga e vasta serie di errori, dovuti spesso allo stato deprecabile del supporto in osservazione. Solo avviando in modalità di sola lettura il predetto disco, con l’uso del sistema operativo GNU/Linux, è possibile acquisire la parte di dati utili alle indagini e visionarli successivamente con il programma ENCASE.
Problematiche durante un’analisi immediata in sede di perquisizione.
Ulteriori difficoltà, nelle attività forensi, possono emergere quando si interviene durante un’analisi immediata in sede di perquisizione, nei sistemi a computer spento. In tal caso occorre valutare, prima di tutto, i tempi operativi in relazione ai dati da ricercare e quindi si sceglie il software più idoneo a disposizione degli operatori (GNU/Linux, Encase, etc. etc):
- esame mediante avvio del computer a mezzo di sistema operativo GNU/Linux, residente su un floppy disk oppure CD-ROM ed uso della sola memoria RAM come area di lavoro e conseguente verifica del contenuto del disco fisso, con montaggio delle partizioni in sola lettura;
- esame mediante il programma Encase attraverso una connessione di rete o direttamente utilizzando un dispositivo write protect e conseguente utilizzo della funzione anteprima “preview” per verificare il contenuto del disco fisso (hard disk locale).
Difficoltà delle attività forensi legate all’analisi di sistemi live.
Le attività forensi trovano difficoltà anche nel caso dell’analisi di sistemi “live” cioè accesi; il problema fondamentale è l’eventuale mancanza di strumenti adeguati. In special modo sono necessarie apparecchiature per:
- la masterizzazione dei dati utili alle indagini, reperiti mediante l’ispezione sul posto;
- l’acquisizione diretta sul posto dei dischi rigidi contenenti elementi
Quando si interviene su dei sistemi live o accesi la procedura si complica, in quanto l’intervento deve garantire l’inalterabilità delle condizioni in cui si trova il sistema oggetto di indagine. In questi casi, è indispensabile utilizzare degli strumenti software previamente costruiti o validamente reperiti.
Non poche difficoltà si possono incontrare negli interventi presso le strutture pubbliche e private, il cui sistema informatico è costituito da apparecchiature complesse, spesso dotate di sistema operativo proprietario. L’organizzazione dei dati in tal caso è ordinariamente gestita da programmi non commerciali e progettati per funzionare solo su apposite piattaforme tecnologiche. Tali macchine, di norma, lavorano a ciclo continuo, per cui risulta improponibile procedere ad un eventuale spegnimento, che procurerebbe danni grandemente ulteriori, rispetto all’interesse perseguito. In detta situazione, l’unico modo per estrapolare i dati necessari per le indagini, è quello di servirsi dell’ausilio sia materiale sia tecnico degli amministratori del sistema, all’uopo nominati ausiliari di Polizia Giudiziaria, in base all’ex art. 348 c.p.p. comma 4, che risultano spesso gli unici in grado di gestire il complesso sistema informatico.
A seguito di interventi in occasione di rapine e truffe, per l’acquisizione delle immagini e dei filmati registrati dalle telecamere dei sistemi di sicurezza, notevoli difficoltà hanno riguardato la presenza di sistemi hardware e software di tipo proprietario, talché le immagini ed i filmati non sono facilmente acquisibili, anche perché ordinariamente i relativi sistemi non sono predisposti per il riversamento dei dati su supporti esterni. Le soluzioni adottate, per ridurre i tempi di utilizzo dei detti dati, possono essere le seguenti: in alcuni casi gli operatori di polizia possono effettuare una connessione di rete tra computer portatile e la macchina che gestisce il sistema di sicurezza, acquisendo l’intera registrazione; in altri casi la società, che gestisce l’impianto di sicurezza, può fornire il software idoneo a connettersi con il server dove sono contenute le registrazioni; in altri casi è invece possibile eseguire e acquisire la copia del disco contenuto nel server.
