Resilienza cyber e continuità operativa: 7 domande di autovalutazione e 7 suggerimenti pratici per una Business Impact Analysis efficace
15 Novembre 2017
Daniele Matyas Tieghi – Intervista al Forum ICT Security 2017
20 Novembre 2017

Bit stream image, dell’intero supporto digitale: ieri, oggi e domani

In un articolo precedente ho delineato una mia idea, spero non utopica, di un ufficiale di polizia giudiziaria 4.0, figura come ho già detto imposta dal legislatore e contestualmente richiesta da un inarrestabile progresso tecnologico, che non permette più di affidarsi come un tempo a personale inesperto ed improvvisato.

Con un pizzico di nostalgia ricordo l’ufficiale di polizia 1.0 ovvero quei “pionieri” che si trovarono nel difficile compito di riconoscere, acquisire e conservare evidenze digitali, idonee ad essere introdotte quali prove in un processo. Spesso le tecniche erano lasciate più al buon senso o a qualche “illuminato” che in un modo o nell’altro riusciva a portare in dibattimento, quella che per il giudice, poteva definirsi, nel caso di specie, una prova integra, autentica, vera, non ripudiabile e completa.

Si potrebbe pensare allora che giunti all’ufficiale di polizia giudiziaria 4.0 molti dei problemi incontrati da quei pionieri siano stati in qualche modo risolti?

Indubbiamente, diversi interventi normativi hanno avuto il pregio di tratteggiare le caratteristiche minime che la cosiddetta “digital evidence” deve possedere, senza tuttavia blindare le procedure e le tecniche adottabili dagli operatori per addivenirvi, e quest’ultimo punto ritengo sia stata comunque una scelta arguta e vincente del nostro legislatore, il quale ha lasciato spazio alle innovazioni scientifiche e tecnologiche che potrebbero agevolare il lavoro degli addetti alla digital forensics, “latu sensu”.

Ad ogni buon conto, permangono al di là degli sforzi intrapresi da tutti gli attori coinvolti, diverse problematiche irrisolte e di non facile ed immediata soluzione, soprattutto quando si voglia contemperare un “giusto equilibrio”, tra i diritti di chi è sottoposto ad un procedimento penale e quelli di sicurezza ed investigazione; equilibrio costituzionalmente previsto e che purtroppo tende sempre a sbilanciarsi da una parte o dall’altra anche a cagione di un rapidissimo sviluppo tecnologico non sempre accompagnato da norme capaci di disciplinarne gli effetti.

Partiamo da un caso cosiddetto di scuola, una perquisizione informatica, in tali situazioni l’ufficiale di p.g. è munito di un decreto di perquisizione che nella migliore delle ipotesi indica in modo dettagliato uno specifico files da ricercare, si pensi ad una situazione nella quale l’ufficiale di p.g. viene chiamato a ricercare, nell’ambito dei diversi dispositivi digitali rinvenuti in un determinato luogo, uno specifico file concernente per esempio un disegno industriale coperto da segreto, inviato da un dipendente infedele ad un terzo. Altre volte il decreto di perquisizione non è così dettagliato, e spesso accade, faccia riferimento a non meglio precisati files riconducibili ai reati per cui si procede, ovvero l’oggetto della ricerca non è specificatamente indicato ed è lasciato all’ufficiale di polizia giudiziaria considerare operazione durante cosa sia pertinente, attinente o comunque riconducibile in qualche modo ai reati per cui si procede.

Non è questa la sede per discussioni dottrinali circa l’efficacia di un decreto così impostato, tuttavia è innegabile come talvolta l’oggetto ricercato attraverso la perquisizione sia spesso indeterminato nel senso che non vengono indicati specificatamente singoli files, ma attraverso la perquisizione si va alla ricerca di tutti quei files che in un modo o nell’altro al di là di costituire di per sé corpo del reato, sono comunque elementi utili al prosieguo delle indagini o prove cd. “indirette” di reati e fatti collegati o connessi a quest’ultimi, quelli che insomma mi piace definire “indizi”.

In tali ultimi casi è facile comprendere come nella ricerca di qualcosa di non dettagliatamente specificato (per esempio il file word del 01.01.2000; la mail da Tizio a Caio del 01.01.2000) le cose si complichino non poco in capo all’ufficiale di polizia giudiziaria che ha in mano un decreto indicate … file costituenti corpo del reato o file costituenti tracce pertinenti ai reati per cui si procede. Ecco che nell’ultima accezione si apre un mondo di files che in qualche modo potrebbero essere pertinenti ai reati per cui si procede. Mi sia concesso un esempio per non essere frainteso: procedimento penale per minacce via email. Orbene la mail contenente le minacce inviate da Tizio a Caio costituisce corpo del reato di minacce, ma assumono di certo rilevanza anche tutte quelle mail probabilmente non meglio identificate nel decreto (in quanto sconosciute) che comunque possono essere ritenute “pertinenti” ai reati per cui si procede, esempio uno o più email inviate da Tizio a Mevio nelle quali questi “prospetta” di minacciare in futuro Caio.

Ecco che allora in tali ultimi casi quando non è sufficiente o esaustiva una ricerca “sul posto” del corpo del reato e degli altri files pertinenti allo stesso, si deve ricorrere alla cosiddetta “bit stream image” dell’intero supporto digitale (lato sensu). Non potendosi “sul posto” esaurire compiutamente l’esame dello stesso.

Assistiamo ad un inarrestabile aumento delle prestazioni ed un contestuale ed esponenziale aumento dei volumi necessari alla memorizzazione dei dati (quasi non c’è ne fosse mai abbastanza), peraltro le più recenti “minacce” hanno spinto molti (anche se ancora pochi, per la mia esperienza) a dotarsi di sistemi di backup che rappresentano pur sempre una, ridondanza di dati, con un aumento quindi ulteriore ed esponenziale, dello spazio necessario a contenerli e conservarli. Ormai N.A.S. da diversi Tb sono presenti e necessari anche in piccoli uffici e, non è poi così raro riscontrarne la presenza anche presso abitazioni private, per la gestione dei file personali di famiglia.

Assistiamo anche, all’affacciarsi sulla “Crime scene” di nuovi dispositivi digitali, pensiamo per un attimo all’Iternet of Things, che già rappresenta una sfida sul piano della digital forensics. E che in un non lontano futuro potrebbe vedere l’ufficiale di p.g. 4.0. alle prese con un forno a microonde coinvolto in delitti di riciclaggio internazionale, a parte la battuta (sempre che lo sia), il tema è davvero interessante e sicuramente rivoluzionerà l’approccio e le tecniche di digital forensics. O ancora il mondo della “mobile device forensics” sempre più contraddistinto da strumenti che a cagione delle conseguenze insite nella loro agevole portabilità, vedono l’affacciarsi di sempre più nuove ed efficaci tecnologie (es. biometria, crittografia) capaci di tutelare sempre meglio i nostri dati …spesso molto personali.

Indipendentemente da ciò che ci riserverà il futuro, ancora oggi, le tecniche e gli strumenti per l’acquisizione della cosiddetta copia forense o “bit stream image dell’intero disco” segnano ancora il passo, anche solo nell’acquisizione dei più comuni dispositivi di memorizzazione con particolare riferimento ai dischi fissi o hard disk dei pc/notebook.

Le criticità sono da ricondursi essenzialmente al fatto che tali copie:

  • richiedono diverse ore, per l’acquisizione di volumi che ormai aumentano inarrestabilmente (sono già in commercio dischi da 12 e 14 terabyte); ore, che purtroppo non sempre si hanno a disposizione sulla scena del crimine, anche per motivi di sicurezza, praticità ed opportunità (quale aneddoto ricordo che stavo realizzando una bit stream image ed ero all’80% … quando qualche simpaticone inciampò nel filo … spegnendo il duplicatore hardware o ancora quella volta .. che guarda caso presero la luce e non avevamo un gruppo di continuità e per finire il classico … a cosa serve questo tasto? Click…. ). Si pensi alle difficoltà insite nella realizzazione di copie forensi di dispositivi complessivamente di decine di terabyte “on site” in luoghi angusti e non sicuri come spesso può accadere soprattutto nelle operazioni di polizia giudiziaria;
  • sono sempre più spesso ostacolate anche da altri fattori quali:
    • sistemi di criptazione evoluti dei supporti (ad esempio presenza di microchip TMP o di modelli particolari di HD dotati di Wipe Technology in Self_Encrypting);
    • dischi allo stato solido e fenomeno cd. “dell’auto-corrosione”;
    • difficoltà di accesso ed esportazione dei dati dai supporti di memorizzazione (necessità del ricorso alle tecniche di “Chip off”, HD non removibili, mancanza di adattatori, laptop unibody, etc.).

Ne consegue che ancora oggi chi è impegnato in operazioni che necessitano di acquisizioni di immagini “bit stream image” di interi dispositivi, non ha “vita facile” e spesso si trova anche impossibilitato per le ragioni su addotte, ad effettuare la copia forense sul posto.

Quante volte è poi capitato di dover risentire quel ritornello intonato da chi non è del mestiere (ed ha visto tutta la saga “Mission Impossible”) che recita … “ma quanto ci vuole ancora?” (in effetti nella filmografia degli ultimi tempi si vedono Tb trasferiti in pochi minuti … ma è un film! – La realtà è ben diversa!).

Ma torniamo, seriamente, al tema. In merito, mi hanno sempre affascinato tre aspetti, meritevoli a mio parere di un più approfondito dibattito, che andrebbe affrontato tra gli addetti ai lavori (tecnici, consulenti, magistrati, avvocati e forze dell’ordine) alla ricerca di soluzioni condivise e contemperanti gli inevitabili e contrapposti interessi in gioco:

  • il primo è il rischio di superamento del sequestro in letteratura meglio conosciuto come “overreaching seizure”. L’acquisizione di una copia bit a bit assicura agli investigatori la possibilità di analizzare il supporto in ogni suo bit, tuttavia è innegabile come tale modo di procedere, si risolva quasi sempre, nell’acquisizione di dati spesso estranei alle indagini e per i quali potrebbero anche mancare le necessarie autorizzazioni all’acquisizione. Pensiamo per un attimo a cosa accade allorquando realizziamo la copia forense di un intero HD, se il soggetto per esempio, ricorre all’utilizzo di un client di posta elettronica quale Outlook, sul disco potremo trovare il file .pst o .ost. Orbene l’acquisizione indiscriminata del file .pst o .ost si risolve nell’acquisizione di tutte le mail presenti in quel momento senza che le stesse siano state preventivamente sottoposte ad un vaglio di attinenza con l’oggetto del decreto di perquisizione e sequestro (e tralascio la problematica mail aperta, mail chiusa al quale ho già dedicato un altro articolo). Medesime considerazioni posso poi essere estese alle centinaia di migliaia di file, presenti su un HD, magari di un professionista che potrebbe avvalersi del segreto professionale relativamente a posizioni non riconducibili in alcun modo al tema di indagine.
  • il secondo, di contro parte dalla domanda.. ma tu riesci a fare la “preview” di un intero disco e a verificare se contiene ciò che cerchi in poco tempo? La risposta per quanto mi riguarda è quasi mai! E non ultimo non sto ad elencare a chi mi legge ed è del “mestiere” la differenza tra una copia logica ed una fisica (bit a bit) di un supporto. La seconda permette infatti di includere anche lo spazio non allocato e quindi i files cancellati, lo slack space e lo spazio libero che potrebbero in determinanti contesti investigativi rivelarsi strategici per il buon esito delle indagini. L’assunto è talmente evidente che diverse volte ha costituito la giustificazione all’effettuazione della cd. bit stream image, bastando addurre che sul posto e nell’immediatezza, era impossibile, in tempi ragionevoli, escludere che i files ricercati o parte degli stessi potessero trovarsi nello spazio non allocato in quanto cancellati e parzialmente sovrascritti.
  • il terzo, prende origine da motivi più pratici e di opportunità, in quanto vi sono casi in cui non si può prescindere dal ricorso ad un bit stream image sul posto, ovvero, quando il sequestro del disco per l’effettuazione della copia forense, successivamente, sia sconsigliato da vari motivi quali ad esempio, la necessità di tali supporti per la prosecuzione di attività sanitarie, industriali o professionali. In tali casi (qualcuno la chiama copia di cortesia) è opportuno realizzare sul posto un clone del supporto interessato ovvero acquisire una bit stream image dello stesso, permettendo così la prosecuzione delle attività (salvo il caso ovviamente in cui il disco stesso rappresenti “corpo del reato” es. contenuti pedopornografici, file relativi a marchi industriali contraffatti, file riconducibili alla pirateria informatica o meglio in tutti i casi in cui sia poi prevista per legge la confisca del supporto contenente i files stessi, o in tutti i casi in cui lasciare alla disponibilità della parte l’HD si risolverebbe di fatto in una prosecuzione dell’attività delittuosa).

Quanto al primo aspetto, ossia il cd. “overreaching seizure”, l’alternativa alla “bit stream image” sarebbe, per parte della dottrina, una ricerca “mirata” circa le sole mail/file attinenti l’oggetto del decreto ed una loro singola esportazione, nel rispetto delle “best practices”.

Tuttavia se quest’ultima soluzione dal punto di vista giuridico e degli interessi della parte destinataria del provvedimento di perquisizione e sequestro appare la più corretta; dal punto di vista investigativo presenta diverse ed incolmabili lacune : in primis la ricerca mirata su migliaia di email/files deve ricondursi a date ed oggetto diventando improbo procedere ad un esame del contenuto di ciascuno, in tempi accettabili; ed ancora qualsiasi ricerca per “parola chiave” presenta un elevato rischio di fallibilità in quanto chi vuole nascondere una contabilità parallela non chiama il file “black” , “scuro”, e tanto meno “nero” e chi invia minacce o richieste estorsive ricorre ad “oggetto” ben diverso dall’effettivo contenuto (mail con richieste estorsive “mascherate” sotto l’oggetto “Auguri di Buone Feste!”…… è solo un esempio!). Inoltre tale procedura non assicura in alcun modo di aver “ispezionato/controllato” molti altri settori del disco (lo spazio non allocato).

Circa il secondo aspetto, lo possiamo semplicemente leggere a contrario rispetto al primo; avremo modo attraverso la bit strem image di poter fare ricerche complete ma sicuramente avremo recato con noi migliaia di dati inutili o peggio non attinenti all’indagine, ricadendo nelle obiezioni mosse da parte della dottrina.

Circa il terzo, invece, va rilevato come oggi sia ampiamente aumentata la sensibilità da parte degli organi requirenti in tali contesti. Si cerca sempre più di evitare in estrema sintesi inutili disagi legati alla sottrazione (attraverso il sequestro) di hard disk definiti “strategici” per la prosecuzione delle attività aziendali, sanitarie ed industriali. Se un tempo il sequestro dell’intero pc senza se e senza ma era pratica ordinaria va riconosciuto che oggi vi è un aumentata attenzione ad evitare, quando possibile, di bloccare le summenzionate attività.

In ogni caso la cd, “copia forense” prende forza risultando l’unica soluzione capace di assicurare all’investigatore di poter svolgere “ex post” con attenzione ed efficienza quella “perquisizione” che nella realtà non è sempre effettuabile nell’immediatezza e sul posto.

Invero i dispositivi da esaminare posso essere costituiti da memorie di modeste dimensioni per le quali si può si procedere attraverso delle “preview” ad un vaglio circa la loro attinenza con l’oggetto del decreto di perquisizione, ma sempre più spesso ci si imbatte in dispositivi connaturati da elevate capacità di memorizzazione nei confronti dei quali la perquisizione “on site” è spesso irrealizzabile e per i quali si deve procedere al sequestro del supporto o alla realizzazione sul posto della “bit stream image”.

Nonostante gli sforzi di alcune aziende produttrici di hardware e software dedicato alle operazioni di clonazione/copia, le velocità effettive di acquisizione nella generalità dei casi, risultano ancora ben distanti da quelle “nominali” indicate ed ottenute in condizioni ideali (es. SSD to SSD di ultima generazione). Inoltre nella realtà operativa non è raro indipendentemente da tali hardware e software “performanti” imbattersi in dischi meccanici che di “performante” hanno ben poco, e vanno incontro al fenomeno del cosiddetto “collo di bottiglia” (sarà capitato a tutti!), che di fatto annulla le prestazioni dell’hardware e software quant’anche dedicati esclusivamente a tali scopi.

Si invocano allora “in materia” interventi tecnico/scientifici volti ad un ulteriore incremento delle velocità di clonazione/copia dei supporti (e lasciatemelo dire anche di calcolo dell’algoritmo di hash) ma anche, interventi legislativi volti a contemperare le contrapposte esigenze di tutela dei diritti della parte e dell’investigatore che tengano conto delle evoluzioni tecnologiche e delle nuove problematiche che queste recano sul piano della digital forensics, relativamente alla “bit stream image” che appare sempre più indispensabile per l’investigatore, ma si scontra anche inevitabilmente con diversi “diritti” della controparte.

A cura di: Pier Luca Toselli

Pier Luca Toselli

Ufficiale di polizia Giudiziaria con la qualifica di Computer Forensic e Data Analysis

Sono un ufficiale di polizia Giudiziaria che ha maturato un'esperienza ormai trentennale nel settore della sicurezza e delle investigazioni, con specifico riferimento negli ultimi 8 anni alla digital forensic per la quale ho conseguito la qualifica di Computer Forensic e Data Analysis . L'esperienza ha anche permesso di consolidare ed affinare una solida preparazione tecnico-giuridica sia nel settore delle investigazioni in genere sia in quello più prettamente informatico. Sono stato docente nell’ambito del Master Executive di II livello in Criminologia e Cyber Security – Modulo 7: Lotta al Crimine organizzato (Master Sida - Fondazione INUIT Tor Vergata).

Download PDF
Condividi sui Social Network:

ISCRIVITI ALLA NEWSLETTER DI ICT SECURITY MAGAZINE

Una volta al mese riceverai gratuitamente la rassegna dei migliori articoli di ICT Security Magazine

Rispettiamo totalmente la tua privacy, non cederemo i tuoi dati a nessuno e, soprattutto, non ti invieremo spam o continue offerte, ma solo email di aggiornamento.
Privacy Policy