Aspetti tecnici della raccolta e analisi dei dati: OSINT, ADINT e Digital Forensics
L’analisi dei dati rappresenta oggi il fulcro delle moderne strategie di intelligence digitale. Questo articolo fa parte di una serie di approfondimenti dedicati all’Open Source Intelligence (OSINT) e all’Advertising Intelligence (ADINT), esplorando le loro applicazioni innovative e gli impatti significativi in ambito industriale, civile e dell’intelligence europea.
Il presente contenuto esamina in dettaglio l’approccio OSINT, analizzando come l’utilizzo di fonti pubblicamente accessibili – dai social media agli archivi web – possa fornire informazioni cruciali per la sicurezza digitale. Viene inoltre presentato l’innovativo approccio ADINT, che sfrutta i dati del tracking pubblicitario per scopi investigativi, aprendo nuove frontiere nell’intelligence moderna.
L’approccio OSINT
Fonti pubbliche e social media
L’OSINT (Open Source Intelligence) si basa sull’analisi di dati provenienti da fonti pubblicamente accessibili. Come evidenziato da Yadav et al. (2023), l’utilizzo crescente di Internet e del World Wide Web ha portato ad una crescita esponenziale delle informazioni disponibili, con particolare rilevanza per i professionisti della cybersecurity. Le fonti OSINT includono principalmente archivi web, database pubblici, indirizzi e-mail e social network come Facebook, X, LinkedIn.
La rilevanza dell’OSINT è cresciuta significativamente negli ultimi anni, portando ad un dibattito sulle modalità di raccolta dei dati tra il settore militare, governativo e commerciale. Le sfide principali riguardano l’acquisizione di dati rilevanti, il loro sfruttamento e la loro successiva condivisione per soddisfare specifici requisiti di intelligence (Nouh et al., 2019).
I dati raccolti da piattaforme come X e Facebook includono immagini, video, post testuali e metadati, che possono essere analizzati per identificare pattern comportamentali o geolocalizzazioni. Ad esempio, l’uso di hashtag specifici su X (all’epoca Twitter) ha permesso agli analisti OSINT di seguire il movimento di manifestanti durante eventi come le proteste di Hong Kong del 2019 (Clarke & Knake, 2020). Tuttavia, l’analisi dei social media presenta sfide significative. Ad esempio, la grande quantità di dati disponibili può causare la cosiddetta “information overload”[1], mentre la presenza di fake news e bot richiede un’attenta verifica delle fonti. Strumenti come “Hoaxy”[2] e “Botometer”[3] sono stati sviluppati per affrontare queste problematiche, migliorando la capacità degli analisti di distinguere tra contenuti autentici e manipolati.
Hoaxy è uno strumento progettato per tracciare la diffusione di contenuti online, come notizie false o informazioni manipolate, attraverso i social network. Funziona analizzando le condivisioni e le interazioni relative a specifici articoli o argomenti, mostrando visivamente come si propagano nei social network (come ad esempio X). Questo strumento consente agli analisti di identificare i nodi principali, analizzare i percorsi di propagazione e infine di rilevare potenziali segnali di manipolazione (un esempio può essere quello di un’alta frequenza di condivisione in tempi molto brevi, che potrebbe indicare l’utilizzo di bot).
Botometer invece è uno strumento che valuta la probabilità che un account su X (ex Twitter) sia controllato da un bot anziché da un essere umano. Utilizza algoritmi di apprendimento automatico per analizzare diversi aspetti dell’attività di un account, tra cui i metadati, le caratteristiche linguistiche, la connettività e infine l’attività temporale. Inoltre, questo strumento assegna un punteggio che indica la probabilità che un account sia automatizzato e ciò è particolarmente utile per rilevare campagne di manipolazione che utilizzano reti di bot per amplificare contenuti specifici o distorcere il dibattito pubblico.
Tecniche di aggregazione
Le tecniche di aggregazione sono fondamentali per gestire l’enorme volume di dati disponibili attraverso l’OSINT. Come descritto da Vasilaras et al. (2024), l’efficacia degli strumenti OSINT dipende fortemente dalla loro capacità di automatizzare la raccolta e l’analisi dei dati e con l’aiuto di software specializzati è possibile estrarre informazioni da diverse fonti, inclusi metadati delle immagini (i sopracitati EXIF), dati di geolocalizzazione e informazioni sui dispositivi. Un aspetto cruciale evidenziato dalla ricerca è l’importanza della validazione delle fonti e della verifica dell’autenticità delle informazioni raccolte, e per questo motivo gli strumenti OSINT moderni integrano sempre più spesso funzionalità di machine learning e di IA per migliorare l’accuratezza dell’analisi e ridurre i falsi positivi.
Un esempio interessante di utilizzo di tecniche di aggregazione è stato descritto da Kaplan (2021), il quale ha mostrato come l’analisi incrociata di dati provenienti da social media e registri pubblici possa rivelare connessioni nascoste tra individui, reti criminali oppure imprese di vario tipo. Tuttavia, nonostante l’efficienza garantita dall’automazione, rimane essenziale l’intervento umano per garantire la contestualizzazione e l’interpretazione dei risultati.
Framework normativi e considerazioni etiche
L’utilizzo dell’OSINT nell’Unione Europea è soggetto ad un quadro normativo particolarmente stringente, con il GDPR che pone limiti significativi alla raccolta e all’analisi dei dati personali, anche se pubblicamente disponibili. A differenza degli Stati Uniti, dove l’approccio è generalmente più permissivo, l’UE richiede che qualsiasi attività di intelligence basata su fonti aperte rispetti i principi fondamentali di necessità e proporzionalità. La Direttiva (UE) 2016/680 fornisce ulteriori linee guida specifiche per le attività di law enforcement, stabilendo un equilibrio tra le esigenze investigative e la protezione dei diritti fondamentali. Questo approccio si differenzia significativamente da quello statunitense, dove il Fourth Amendment (quarto emendamento della Costituzione statunitense) offre protezioni più limitate per i dati condivisi pubblicamente.
Strumenti e metodologie avanzate
Gli strumenti OSINT moderni integrano sempre più frequentemente tecnologie di intelligenza artificiale e machine learning. Piattaforme come “IBM i2 Analyst’s Notebook” e “Palantir Gotham” e software come “Maltego”, “The Harvester” e “SpiderFoot” permettono di centralizzare informazioni provenienti da più fonti, creando una visione d’insieme coerente e facilmente consultabile. Questi strumenti automatizzano processi che altrimenti richiederebbero un impegno manuale significativo, come la raccolta di indirizzi e-mail, numeri di telefono e nomi di dominio. Dunque, le principali funzionalità di questi strumenti sono:
- Automatizzare la raccolta di informazioni da più fonti;
- Identificare pattern e correlazioni non evidenti;
- Generare visualizzazioni interattive delle reti di relazioni;
- Produrre report analitici dettagliati.
L’approccio ADINT
L’ADINT rappresenta un approccio innovativo all’intelligence, focalizzato sull’analisi dei dati raccolti attraverso il tracciamento pubblicitario. Originariamente concepito per finalità di marketing, questo metodo è stato adattato per scopi investigativi, sfruttando la mole di dati comportamentali generati dagli utenti durante la loro attività online.
Tracking pubblicitario e intelligence
Come dettagliato da Hayes e Cappa (2018), l’ADINT (Advertising Intelligence) rappresenta un approccio innovativo che sfrutta i dati generati dal tracking pubblicitario per scopi di intelligence. Gli autori evidenziano come gli sviluppi nell’IT abbiano portato ad una crescita significativa delle problematiche di sicurezza per le aziende, con circa l’80% dei dirigenti IT che nel 2011 riportava di essere stato oggetto di attacchi.
L’ADINT si basa su tecnologie come cookie, pixel di tracciamento[4] e identificatori di dispositivi mobili per monitorare le interazioni degli utenti. Questi strumenti permettono di raccogliere informazioni dettagliate su preferenze, interessi e comportamenti degli utenti, creando profili molto precisi.
Inferenza comportamentale
La ricerca di Hayes e Cappa (2018) ha dimostrato come l’ADINT possa essere utilizzato per identificare vulnerabilità significative nei sistemi di sicurezza aziendali. Gli autori hanno condotto uno studio su un’azienda operante nel settore delle infrastrutture critiche statunitensi, rivelando come grazie all’utilizzo dell’ADINT sia possibile:
- Profilare l’infrastruttura di rete di un’organizzazione;
- Identificare software e hardware in uso;
- Raccogliere informazioni sul personale IT chiave.
Questo tipo di informazioni può essere usato sia per scopi difensivi che offensivi, evidenziando l’importanza di una comprensione approfondita delle capacità e dei limiti dell’ADINT nel contesto della cybersecurity moderna.
Implicazioni per la privacy e la protezione dei dati
L’ADINT solleva questioni particolarmente delicate all’interno degli Stati membri dell’UE, dove il GDPR richiede un consenso esplicito per il tracciamento pubblicitario e limita significativamente l’uso secondario dei dati raccolti. La recente approvazione del Digital Services Act (DSA) e del Digital Markets Act (DMA) da parte del Parlamento europeo ha ulteriormente rafforzato questi vincoli, imponendo maggiore trasparenza e controllo sulle pratiche di tracciamento.
Ulteriori approfondimenti su Mobile e Network Forensics per l’analisi dei dati
Mobile Forensics
La mobile forensics è una disciplina in rapida crescita che si occupa dell’analisi dei dispositivi mobili come smartphone e tablet. Questi dispositivi contengono una quantità significativa di informazioni personali, come ad esempio la cronologia di navigazione, i registri di chiamate, i messaggi, le immagini e i dati GPS. Strumenti come “Cellebrite” e “Magnet AXIOM” permettono di recuperare questi dati anche in condizioni di accesso limitato, come nel caso di dispositivi protetti da password.
Un esempio pratico dell’uso della mobile forensics riguarda l’indagine sull’attentato di San Bernardino del 2015, in cui l’FBI ha utilizzato tecniche avanzate per sbloccare l’iPhone di uno degli autori della strage (Carrier, 2019). Questo episodio ha sollevato un acceso dibattito sull’equilibrio tra la sicurezza nazionale e la privacy dei cittadini.
Network Forensics
La network forensics si concentra sull’analisi del traffico di rete per identificare attività sospette o dannose. Tecniche come il “Deep Packet Inspection (DPI)”[5] e l’analisi dei log consentono di monitorare le comunicazioni digitali e di individuare anomalie che potrebbero indicare tentativi di intrusione o violazioni della sicurezza.
Strumenti come “Wireshark” e “Zeek” sono ampiamente utilizzati in questo campo, offrendo funzionalità avanzate per l’analisi dei pacchetti di dati e la rilevazione di pattern insoliti. Ad esempio, in ambito aziendale, la network forensics può essere impiegata per prevenire attacchi ransomware, monitorando i comportamenti anomali nelle reti interne (Miller, 2020).
Evoluzione delle tecniche forensi
Le tecniche di mobile e network forensics sono in continua evoluzione, spinte dalla necessità di tenere il passo con l’innovazione tecnologica e con le crescenti esigenze di sicurezza. Sia il 5G che l’Internet of Things (IoT) hanno trasformato il panorama dell’investigazione digitale, introducendo sfide senza precedenti e, contemporaneamente, nuove opportunità per gli investigatori.
Un’area di sviluppo chiave riguarda le tecniche avanzate di recupero dati, che consentono di estrarre informazioni critiche anche da dispositivi danneggiati o deliberatamente compromessi, utilizzando strumenti sofisticati che possono recuperare dati da memorie flash corrotte o dispositivi bloccati. Ciò è particolarmente utile in scenari di indagini penali o di sicurezza aziendale, dove l’accesso ai dati contenuti in un dispositivo può risultare essenziale per l’indagine.
Un altro fronte in espansione è rappresentato dall’analisi forense delle applicazioni cloud, divenuta centrale con la crescente migrazione di dati verso infrastrutture remote. La capacità di tracciare, analizzare e verificare le attività eseguite su piattaforme cloud richiede strumenti e competenze specializzate, che includono l’estrazione di log, l’analisi delle istantanee virtuali e il monitoraggio delle comunicazioni tra dispositivi e server remoti.
L’arrivo delle reti 5G ha introdotto ulteriori complessità nell’ambito delle indagini di rete data la maggiore velocità e la ridotta latenza di queste reti che, amplificando il flusso di dati, rendono di conseguenza più complesso il monitoraggio e l’analisi del traffico. Gli investigatori stanno sviluppando metodologie specifiche per esaminare le architetture di rete 5G, che includono funzionalità come il c.d. “slicing di rete”[6], per comprendere meglio come le risorse vengano utilizzate e distribuite.
Infine, il mondo dell’IoT presenta sfide uniche per la digital forensics. La proliferazione negli ultimi anni di dispositivi connessi, come sensori, elettrodomestici intelligenti e i c.d. “wearable” (smartwatch, smartband etc.), implica che un’ampia gamma di dati potenzialmente rilevanti sia distribuita in modo frammentato su molteplici sistemi. Gli investigatori devono affrontare problemi legati alla diversità delle piattaforme, alla mancanza di standardizzazione e alla volatilità dei dati, sviluppando dunque approcci specifici per l’acquisizione e l’analisi di questi dati.
Questi progressi tecnologici, se da un lato ampliano le capacità operative degli investigatori digitali, dall’altro sottolineano la necessità di competenze sempre più avanzate e di strumenti altamente specializzati per rispondere alle nuove sfide poste dall’evoluzione del panorama digitale.
Standard e certificazioni
Nell’Unione Europea gli standard ISO/IEC 27037:2012 e ISO/IEC 27042:2015 offrono linee guida che assicurano rigore metodologico e conformità alle normative vigenti, e rappresentano dunque pilastri fondamentali per la gestione delle prove digitali.
L’ISO/IEC 27037:2012 si concentra sugli aspetti operativi dell’identificazione, della raccolta, dell’acquisizione e infine della conservazione delle prove digitali, fornendo un framework per garantire che tali processi siano condotti in modo affidabile e documentato. L’aderenza a questo standard è fondamentale per preservare l’integrità e l’autenticità delle prove, fattori cruciali per la loro ammissibilità in un contesto legale.
L’ISO/IEC 27042:2015, invece, si concentra sull’analisi e la valutazione delle prove digitali, delineando metodologie per interpretare i dati raccolti e formulare conclusioni solide. Questo standard sottolinea l’importanza della documentazione dettagliata e della replicabilità delle analisi, che sono prerequisiti per garantire la trasparenza e la credibilità del processo investigativo.
Entrambi gli standard assumono particolare rilevanza nell’era del GDPR, poiché impongono che le prove digitali siano trattate nel rispetto dei diritti degli individui, tra cui il diritto alla privacy e alla protezione dei dati personali. Per esempio, durante la raccolta di dati da dispositivi o account personali, gli investigatori devono adottare misure per minimizzare l’acquisizione di informazioni non pertinenti, in linea con il principio di minimizzazione dei dati sancito dal GDPR. Allo stesso modo, la conservazione delle prove deve avvenire in ambienti sicuri e protetti, rispettando i requisiti di integrità e riservatezza previsti dalla normativa.
Questi standard sono quindi strumenti fondamentali per armonizzare le procedure investigative con le esigenze legali e normative, contribuendo di conseguenza a ridurre il rischio di contestazioni giudiziarie e a rafforzare la validità delle prove in ambito processuale. Inoltre, rappresentano una guida importante per professionisti della digital forensics, aiutandoli a navigare nelle complessità di un panorama tecnologico e giuridico in continua evoluzione.
Integrazione e sinergie tra approcci
Convergenza metodologica
L’integrazione tra OSINT, ADINT e tecniche forensi tradizionali sta creando nuove opportunità significative nel campo dell’investigazione digitale. La convergenza di questi approcci permette agli investigatori di sviluppare metodologie più robuste e affidabili, e la verifica incrociata delle informazioni provenienti da fonti diverse rappresenta uno dei principali vantaggi di questo approccio integrato. Difatti, quando un’informazione viene confermata attraverso molteplici fonti indipendenti, ciò permette di aumentare considerevolmente la sua affidabilità.
La ricostruzione dettagliata degli eventi rappresenta un altro ambito in cui la convergenza metodologica mostra la sua importanza, visto che l’integrazione di dati provenienti da fonti OSINT con informazioni estratte attraverso tecniche forensi permette di ricostruire sequenze di eventi con un livello di precisione precedentemente molto difficile da raggiungere. Ciò è particolarmente rilevante nelle indagini complesse che coinvolgono multiple giurisdizioni o si estendono su lunghi periodi. Inoltre, l’identificazione di connessioni non immediatamente evidenti tra diversi elementi probatori costituisce un ulteriore vantaggio dell’approccio integrato, visto che l’utilizzo di tecniche diverse può rivelare pattern e correlazioni che potrebbero sfuggire ad un’analisi condotta con un singolo approccio. Ciò risulta particolarmente utile nelle indagini su reti criminali complesse o su attività fraudolente sofisticate.
Sfide tecniche e operative
L’implementazione di un approccio integrato all’intelligence digitale comporta diverse sfide che richiedono particolare attenzione, e una delle questioni più pressanti riguarda la standardizzazione delle procedure, soprattutto negli stati membri dell’UE dove la conformità con il GDPR e altre normative sulla protezione dei dati deve essere garantita in ogni fase del processo investigativo.
La gestione di volumi crescenti di dati eterogenei costituisce una sfida tecnica considerevole e gli investigatori si trovano infatti a dover analizzare informazioni provenienti da molteplici fonti, ciascuna con le proprie caratteristiche e formati specifici. Ciò richiede lo sviluppo di competenze specialistiche e l’utilizzo di strumenti avanzati per l’analisi dei dati.
La formazione degli analisti rappresenta un ulteriore aspetto cruciale ed essi devono possedere competenze diversificate, dall’analisi forense tradizionale alle più recenti tecniche di OSINT e ADINT. La continua evoluzione delle tecnologie e delle metodologie richiede inoltre un aggiornamento costante delle competenze.
Prospettive future
Tendenze emergenti
Il futuro dell’intelligence digitale appare caratterizzato da una crescente integrazione dell’intelligenza artificiale nei processi investigativi e l’automazione di determinate attività analitiche permetterà agli investigatori di concentrarsi sugli aspetti più complessi e strategici delle indagini. Inoltre, l’analisi in tempo reale di grandi volumi di dati sta diventando sempre più importante, soprattutto in scenari che richiedono risposte rapide a minacce emergenti.
L’adozione di varie tecnologie per la validazione delle fonti offre nuove possibilità per garantire l’integrità e la tracciabilità delle informazioni raccolte, aspetto particolarmente rilevante nel contesto forense e investigativo. L’utilizzo di approcci basati sul “federated learning”[7] sta emergendo come soluzione promettente per la condivisione sicura dei dati tra diverse agenzie e organizzazioni, permettendo di sfruttare il potenziale di dataset distribuiti mantenendo al contempo elevati standard di sicurezza e privacy.
Sfide future
Le sfide che il settore dovrà affrontare nei prossimi anni sono molteplici e complesse. Il bilanciamento tra esigenze di sicurezza e tutela della privacy rappresenta una questione centrale, particolarmente sentita nel contesto europeo dove il quadro normativo sulla protezione dei dati è molto stringente.
Il contrasto alla disinformazione sta emergendo come una delle priorità più urgenti e a gestione del c.d. “information overload” continua a rappresentare una sfida significativa, nonostante i progressi nelle tecnologie di analisi automatizzata. La capacità di verificare l’autenticità delle informazioni e di identificare contenuti manipolati diventa sempre più cruciale in un contesto caratterizzato dalla proliferazione di fake news e deep fake. L’adattamento a nuove normative, infine, richiede una continua evoluzione delle metodologie e degli strumenti utilizzati soprattutto per quanto riguarda l’Unione Europea, dove il quadro normativo sulla protezione dei dati e sulla sicurezza digitale è in costante evoluzione.
La capacità di affrontare queste sfide in modo efficace determinerà in larga misura l’evoluzione futura del settore dell’intelligence digitale, con implicazioni significative per la sicurezza e la privacy dei cittadini europei.
L’articolo ha illustrato come OSINT e ADINT rappresentino pilastri fondamentali dell’intelligence digitale moderna, offrendo metodologie sofisticate per l’analisi di dati provenienti da fonti aperte e dal tracking pubblicitario. L’integrazione di questi approcci con le tecniche forensi tradizionali sta creando nuove opportunità nel campo dell’investigazione digitale, permettendo agli analisti di sviluppare metodologie più robuste e affidabili. Nel prossimo articolo della serie approfondiremo il tema legato alle agenzie di intelligence e il delicato equilibrio tra sicurezza e privacy.
Scarica gratuitamente il white paper completo di Sergiu Deaconu, “Open Source Intelligence e Advertising Intelligence: applicazioni e impatti in ambito industriale, civile e dell’intelligence europea”, per accedere ad un’analisi approfondita su come OSINT e ADINT stiano trasformando il settore dell’intelligence digitale.
Fonti:
[1]Condizione che si verifica quando la quantità di informazioni disponibili supera la capacità di un individuo o di un sistema di elaborarle in maniera efficace. Questo fenomeno può causare confusione, rallentare il processo decisionale e ridurre la capacità di identificare dati rilevanti, soprattutto in contesti ad alta complessità informativa.
[2] https://hoaxy.osome.iu.edu
[3]https://botometer.osome.iu.edu
[4] Sono immagini minuscole, spesso di dimensioni pari ad un singolo pixel, integrate nelle pagine web o nelle e-mail per raccogliere dati sull’attività degli utenti. Quando un utente visualizza il contenuto, il pixel viene caricato dal server, consentendo di monitorare comportamenti come l’apertura di e-mail, il tempo trascorso su una pagina e le interazioni effettuate. Sono strumenti comuni per analisi di marketing e campagne pubblicitarie;
[5]La DPI è una tecnica avanzata per l’analisi e la gestione del traffico di rete. Si tratta di una forma di filtraggio dei pacchetti che permette di individuare, identificare, classificare, reindirizzare o bloccare pacchetti contenenti dati o codici specifici, superando i limiti del filtraggio tradizionale, che si limita a esaminare solo gli header dei pacchetti.
[6]Questa è una tecnica utilizzata nelle reti 5G per creare più “slice” virtuali, ossia porzioni logiche della rete, ciascuna progettata per soddisfare requisiti specifici di prestazioni, latenza o capacità. Ogni slice opera come una rete indipendente, ottimizzata per applicazioni diverse, come IoT, streaming video o comunicazioni critiche, pur condividendo la stessa infrastruttura fisica.
[7]Si tratta di una metodologia di apprendimento automatico che consente di addestrare modelli su dati distribuiti direttamente sui dispositivi locali, senza trasferire i dati ad un server centrale. Questo approccio preserva la privacy dei dati e riduce il rischio di esposizione, condividendo solo aggiornamenti del modello anziché i dati grezzi.
Professionista con formazione multidisciplinare in economia, diritto e tecnologia, che unisce solide competenze accademiche a esperienza pratica nello sviluppo software. Attualmente opera come programmatore iOS e sviluppatore software, specializzandosi in Swift, C# e Python per lo sviluppo di applicazioni web e mobile e la progettazione di architetture software avanzate.
Ha conseguito una Laurea magistrale in 'European Economy and Business Law' presso l'Università degli Studi di Roma "Tor Vergata", focalizzandosi su economia digitale e diritto europeo, e ha completato un Master in 'Informatica giuridica, nuove tecnologie e diritto dell'informatica' presso l'Università "La Sapienza" di Roma. La sua ricerca post-lauream si è concentrata sulle implicazioni di Big Data, IoT e Intelligenza Artificiale in settori strategici quali agricoltura, industria e smart cities, nonché sull'analisi delle tecniche OSINT e ADINT in relazione a privacy e sicurezza nazionale.
Certificato in Project Design & Management a livello europeo e con competenze linguistiche avanzate in inglese (IELTS 7.5), combina capacità analitiche e di leadership con una profonda comprensione dell'intersezione tra tecnologia, diritto ed economia nell'era digitale.
