Energia e integrazione ICS sono i due settori industriali più colpiti dai cyberattacchi
26 Marzo 2018
Internet of Things: protocolli e criticità nella sicurezza di rete (Prima parte)
29 Marzo 2018

Il repertamento informatico dopo un decennio di applicazione della Legge 18 marzo 2008 n.48

Abbiamo festeggiato da poco il decimo compleanno della Legge 18 marzo 2008, n. 48 ed in un precedente articolo senza pretesa di completezza ho tentato di tratteggiare brevemente cosa è cambiato dalla sua entrata in vigore. In particolare ho cercato di far comprendere come sia sempre più avvertita e necessaria un’imponente e capillare diffusione di istruzione e cultura giuridico-informatica forense, diretta a tutti i protagonisti coinvolti e capace di preparare ufficiali ed agenti di polizia giudiziaria, consulenti, giudici e pubblici ministeri ad affrontare nell’ambito delle rispettive competenze con professionalità, efficienza ed attualità le sfide future della Digital Forensics. Dopo 10 anni di applicazione della norma, speravo, che si fosse sgomberato il campo da quel “si è sempre fatto così”, che in un mondo digitale in continua evoluzione e trasformazione, mal si adatta e concilia a scenari sempre nuovi e diversi tra loro.

E’ evidente come approcci, tecniche, soluzioni e strumenti qualche anno fa moderni ed efficienti oggi segnano il passo, mal si conciliano ed adattano, alla gestione dei “casi” che si prospettano quotidianamente alla platea sopra delineata.

Vorrei allora, in occasione di questa ricorrenza, tornare sul repertamento dei supporti informatici e lungi dal voler dare consigli, vorrei invece, che questa fosse l’occasione per rinverdire quell’azione (il repertamento) che mi piace definire la “genesi” di ogni indagine forense. Già perché senza un buon ed efficace repertamento la Chain of custody o catena di custodia parte con un anello debole, quasi spezzato e destinato a rompersi in occasione di quella delicata fase processuale che è il dibattimento.

Anzi ritengo che senza un buon repertamento, di fatto, la tanto decantata e giustamente valorizzata catena di custodia (chain of custody) non abbia neanche il suo inizio!

L’articolo pertanto non vuole insegnare niente a nessuno, ma vuole essere un momento di riflessione da parte di tutti al fine di rivalorizzare un momento della digital forensics spesso dato … ahimè … a torto per scontato. Vorrei davvero che la lettura servisse a far riflettere ciascuno, su abitudini, prassi, consuetudini e procedure e l’amara realtà dei fatti, sollecitando quindi tutti a porre maggior attenzione a questa importante fase.

Penso sia stata esperienza di molti l’aver affrontato in dibattimento problematiche legate al repertamento e alla catena di custodia spesso (quanto meno il primo) quasi mai dipendente dal consulente o esperto chiamato ad analizzare gli stessi, ma strettamente legato all’esperienza e preparazione di coloro che nella primissima fase si sono occupati del sequestro e repertazione dei supporti informatici, quasi sempre ufficiali ed agenti di polizia giudiziaria che pur affidandosi al buon senso ed esperienza non sempre sono riusciti a forgiare un primo e robusto anello di quella catena.

Accade purtroppo ancora spesso che arrivino nei laboratori e quindi nelle mani di esperti e consulenti, reperti:

A) privi di un dossier fotografico

Oggi tutti abbiamo in tasca un smartphone o per dirla in altre parole una macchina fotografica digitale, quando va male, oggi da 12 megapixel (viene un eccellente stampa in A3), tuttavia arrivano ancora sequestri non accompagnati da un dossier fotografico,  che al di là delle spesso infelici descrizioni, come vedremo nel prosieguo,  possa aiutare il consulente/esperto ad associare compiutamente la descrizione messa a verbale con il corrispondente reperto. Capita ancora molto spesso specie nei sequestri effettuati in ambito aziendale dove si trovano più reperti della spesse marca e modello, che la sola descrizione a verbale se non accompagnata da altri elementi rende difficile l’identificazione del reperto da parte del consulente. Oltre che alla carenza di informazioni ciò può dipendere anche da errori di trascrizione, dettatura e ortografia compiuti da verbalizzanti. La fotografia del reperto nel suo complesso e quando presenti dei suoi dati identificativi “esterni” targhette, marca e modello etc. possono aiutare molto nel risolvere detta problematica, anche se è preferibile etichettare i reperti con targhette adesive (fogli con intestazione del reparto operante) o con scotch carta attribuire loro un numero o lettera e poi fotografarli, per avere una “repertazione” più efficace ed immediata.

Tempo fa un consulente mi ha insegnato (questo è il termine esatto) ad usare quando presente una normale fotocopiatrice, per stampare già su un foglio A4 l’immagine del reperto, cosa che direte banale (e che viene difficile con server e “case” di PC) ma non ci avevo mai pensato, e fa risparmiare un sacco di tempo, cavi e stampa, soprattutto quando si tratta di semplici hard-disk, pen drive, cd-rom, DVD e altri piccoli oggetti che possono stare comodamente sul “vetro” della stampante.

Qualora si opti per il report fotografico sarà bene in termine alle operazioni comprimere tutte le foto in una cartella .zip, .rar etc. e calcolarne l’algoritmo di hash che andrà messo nel verbale si eviteranno così modifiche al dossier/report fotografico.

Si potrebbe pensare di poter filmare tutti i reperti ed anche le azioni effettuate sugli stessi. Qui tuttavia mi sento di richiamare ad un’attenta riflessione:

– sulla qualità di un video rispetto a foto che possono essere ingrandite molto di più permettendo di visualizzare elementi non sempre apprendibili da un video (seriali scritti molto in piccolo, in posizioni poco illuminate, etc.);

– sulle difficoltà ad avere “operatori” impegnati solo in detta operazione e capaci di non essere distratti da elementi che poi non andranno a costituire reperto, ovvero capaci di realizzare un video che non dovrà essere modificato, cancellato o tagliato in quanto contenente elementi estranei alla repertazione.

B) privi delle necessarie indicazioni utili ad identificarli.

Tornando alla descrizione dei reperti, nei verbali non è più possibile scrivere un PC, un portatile, una chiavetta, un telefono o altre indicazioni generiche che posso significare tante cose.  E’ necessario istruire gli addetti ai lavori su quel minimo di indicazioni che devono essere fornite per una completa e precisa identificazione del reperto.

In via indicativa ma non esaustiva, vorrei evidenziare la necessità di indicare almeno:

– una descrizione sommaria del reperto (forma, colore, tipologia di dispositivo[1])accompagnata ove rinvenibile da un numero di seriale, facendo attenzione come accade spesso a non indicare il product key che indica il prodotto o altri seriali “generici” e non univoci  (è come se si indicasse “FIAT 500” senza il numero di targa) o altri codici che potrebbero ingenerare confusione, anziché chiarezza, capita talvolta che i seriali siano mal interpretati (zero per O e viceversa) o vengano letti e dettati con errori. Soprattutto in ambito aziendali le forniture sono solitamente in serie e confondere una lettere o una cifra, può avere conseguenze, nella migliore delle ipotesi, imbarazzanti. Qualora poi si tratti di prodotti assemblati spesso privi di segni identificativi univoci , ci si dovrà necessariamente affidare ad una “repertazione” fotografica accompagnata da un supporto (foglio, post-it, scotch carta)  che attribuisca al reperto un numero o lettera identificativa che dovrà anche essere “autenticata” dalla parte attraverso la sottoscrizione dell’apposito verbale.

Un mondo a parte è rappresentato dagli smartphone. In rete si trovano validi supporti per giungere ad una sufficiente identificazione di marca e modello e per poterne rilevare l’IMEI, consiglio una volta individuata marca e modello di fare una “Googleata”, ricordando che non è sempre buona cosa digitare, togliere la batteria etc se non si sa bene cosa si stia facendo e perché. All’argomento andrebbero dedicati ampi spazi, soprattutto oggi che lo spegnimento di un dispositivo di tal tipo può essere “fatale” al prosieguo di un indagine;

– dove è stato precisamente rinvenuto il reperto e da chi viene solitamente utilizzato. Non sono indicazioni banali in quanto spesso risultano determinanti anche per le sorti processuali. Al di là degli “User” rinvenibili dal sistema (per capirci) occorre anche attraverso altri elementi ed indizi ricondurre l’utilizzo del reperto ad una o più persone nella maniera più precisa possibile. Non va poi sottovalutato come meglio sottolineato nel seguito che fotografare “lo stato delle cose” (posizione delle cose e loro stato) prima di procedere al repertamento e sequestro dei dispositivi, può risultare se non determinante, spesso, strategico. Ricordo che l’art. 357 c.p.p. lettera f) indica tra la documentazione della polizia giudiziaria: “atti, che descrivono fatti e situazioni, eventualmente compiuti sino a che il pubblico ministero non ha impartito le direttive per lo svolgimento delle indagini” (con espresso riferimento all’art. 348 c.p.p. – Assicurazione delle fonti di prova. Ritengo che il combinato disposto testé evidenziato permetta alla polizia giudiziaria di redigere un vero e proprio verbale dal quale emergano nel migliore dei modi tutti quegli elementi che possano a posteriori introdurre nel dibattimento una descrizione quanto mai precisa dello stato, posizione, caratteristiche ed utilizzatori dei reperti.

– lo stato del dispositivo (acceso/spento/non so) è un elemento fondamentale, oltre, a quanto appena segnalato, lo stato del dispositivo serve a “corroborare” le scelte effettuate sul posto dagli ufficiali/agenti di P.G., nel rispetto delle linee guida fissate dalla L.48/2008. Invero servirà di volta in volta attraverso lo “stato del dispositivo corroborare/giustificare le azioni tecniche intraprese, non esistendo per fortuna una regola generale che imponga lo spegnimento di un dispositivo o la sua accensione durante le operazioni di P.G. L’eventuale presenza di password invece, oltre ad essere indicata nel verbale, dovrebbe costituire elemento di attenzione e sollecitazione per gli investigatori che dovrebbero cercare di ottenerle ognuno secondo le proprie tecniche. Si vuole qui evidenziare che le molteplici tecniche finalizzate all’ottenimento delle password e credenziali fanno parte dell’esperienza e capacità dell’investigatore al pari delle capacità necessarie a condurre un interrogatorio. Il problema è che spesso presi da altre priorità non si pensa a quanto invece sia determinante e strategico soprattutto oggi, ottenere le necessarie credenziali in maniera rapida e diretta. Si fa molto, forse troppo affidamento sulla tecnologia (crack password, e direi anche sulla filmografia dove in pochi secondi si vede ottenere la password segreta), tralasciando forse troppo le tradizionali tecniche di indagine che comunque devono essere patrimonio del investigatore 4.0, soprattutto oggi dove la riservatezza e la privacy spingono i produttori ad adottare tecniche sofisticate a tutela di detti principi. Tutele che non sempre riescono ad essere superate se non dopo diverso tempo e studio dalla loro introduzione. Ecco perché allora come già sopra indicato un buon report fotografico (al di là del post-it sul monitor) ha aiutato molto se non nell’individuazione diretta delle password a tracciare un profilo del soggetto, predisponendo magari “librerie” di password ad hoc da tentare attraverso tecniche di “brute force” (titoli dei libri letti, frasi apparentemente senza senso appuntate qui e là, poster di film, squadre del cuore, foto di cani e gatti. etc. etc., fotografate sulla “crime scene” possono aiutare). Quest’ultimo aspetto è molto importante ed assume sempre maggior rilevanza oggi che i dispositivi risultano, dico meglio, protetti da sistemi difficilmente by-passabili o che a cagione degli algoritmi utilizzati per esempio AES256 richiederebbero tempi biblici per un crack- password[2]. Tale ultimo problema è talmente avvertito che l’interconnessione dei dispositivi consiglia oggi di acquisire tutti i dispositivi presenti, in particolari situazioni, al fine di tentare almeno attraverso uno di questi, di ottenere spunti, indizi o le vere e proprie password magari utili a sbloccarne altri.

– una descrizione analitica del reperto (eventuali danni, abrasioni, etc.) nonché degli eventuali accessori che lo accompagnano (cavi, alimentatori, trasformatori etc.) in tale ultimo caso è utile procedere anche ad una vera e propria “etichettatura”, degli stessi al fine di ricondurli al rispettivo reperto. Ricordo che collegare un dispositivo ad un alimentatore, trasformatore non suo può provocare seri danni. E che per taluni dispositivi non è così facile reperire accessori compatibili. Inoltre ma non ultimo i reperti vengono spesso consegnati “imballati” e sigillati al consulente o esperto e questi talvolta non ha modo di verificarne in dettaglio il contenuto, ritrovandosi solo dopo l’apertura del plico dinanzi a reperti danneggiati, abrasi, rotti senza che ciò sia stato fatto risultare al momento del repertamento.  Quest’ultimo punto che interesserà maggiormente la fase del cosiddetto “dissequestro” e restituzione dei reperti all’avente diritto, pur emergendo successivamente può essere talvolta momento di grande imbarazzo e di conseguenze anche gravi (richieste di risarcimento danni per danni provocati ai dispositivi).

C) impacchettati e trasportati senza idonee cautele.

– …. sono cose delicate! Seguite le indicazioni riportate alla lettera precedente, non va dimenticato che si tratta di cose delicate e particolari.  Delicate perché un hard disk a discapito dell’aspetto non è un blocco di ferro, una pen drive si può danneggiare irrimediabilmente soprattutto quelle che hanno l’aspetto di accattivanti gadget (vedi quelle a forma di carta credito o con connettori morbidi), un pc desktop all in one va trattato con più cura rispetto ad un case di un pc desktop tradizionale senza il relativo monitor, un tablet non è un tagliere per cetrioli, i dvd, cd, blue ray etc, sono fragili.

Particolari, perché alcuni dispositivi (su tutti gli smartphone e tablet in genere) richiedono specifiche  accortezze prima di essere repertati, l’argomento in questione è vasto e richiederebbe  uno spazio dedicato, qui mi limito a ricordare che qualora necessario se il dispositivo deve essere lasciato acceso andrà cautelato con apposite gabbie di Faraday che lo isolino da eventuali violazioni esterne o in assenza delle apposite scatole o gabbie posto in modalità “aereo” al fine di isolarlo dalla rete (sull’utilizzo della carta stagnola per pollo arrosto, non entro nel merito, sembrerebbe tuttavia che l’isolamento sia proporzionale agli strati, per cui attendo che arrivi qualche smartphone ben ..impacchettato.. in ogni caso per chi volesse approfondire il tema (http://www.gravita-zero.org/2013/06/snowden-mette-veramente-i-cellulari-in.html);

– anche allorquando si realizza una bit stream image del supporto “target” è bene adottare le dovute cautele anche nei confronti di dischi di destinanzione che contengono  quest’ultima. Accade spesso che incautamente la realizzazione della bit- stream image tenda a “sollevare” gli operatori da tutte quelle cautele, attenzioni e cure riservate ai reperti “originali”. Invero anche i supporti contenenti la bit-stream image assurgono a reperti veri e propri e sarebbe bene che gli stessi venissero custoditi, trasportati ed inseriti in una apposita chain of custody come qualsiasi altro reperto, al di là della loro “assunta” immodificabilità, identicità, autenticità garantite dal match dell’algoritmo di hash tra “sorgente” (reperto origine) e “destinazione” (disco contenente l’immagine forense .dd, .eo1, etc. del sorgente).

– spesso arrivano reperti impacchettati alla meno peggio con scatole di fortuna e spesso privi di imballo, un consiglio può essere quello di utilizzare quando rinvenibili, gli imballi originali o in loro assenza affidarsi a scatole corredate di idonee imbottiture, quando non si ha nulla a disposizione vanno bene anche le palle fatte con fogli di giornali, ma lasciando a ciascuno le proprie scelte e preferenze è importante che il reperto non “balli” troppo all’interno della scatola. Per gli hard disk a pochi centesimi è possibile acquistare apposite scatole in plastica che possono efficacemente proteggerli e possono anche essere facilmente sigillate e cautelate. Altro ottimo consiglio per quanto attiene le cautele da apporre al plico o scatola sta nel riporre la scatola o plico all’interno di sacchi di plastica capienti, quali quelli della spazzatura neri cd. da condominio che in assenza di altro materiale più idoneo e specifico permettono di racchiudere in un robusto sacco la scatola e cautelarla più facilmente magari attraverso appositi sigilli, posti all’apertura del sacco. Ad ogni buon conto al di là delle tecniche e materiali utilizzati è sempre importante ricordare e dare adeguata importanza all’apposizione dei sigilli, poiché soprattutto in caso di accertamenti differiti (es. sequestro di apparati sui quali si effettueranno accertamenti irripetibili ex art. 360 c.p.p., non essendo possibile sul posto e nell’immediatezza provvedervi), l’apposizione del suggello o sigillo costituirà per le parti interessate (anche la P.G.) un elemento fondamentale in quanto andrà ad attestare che dal sequestro alla data di effettuazione dell’accertamento il reperto non è stato nella disponibilità di alcuno. Sono cauto nell’uso dei termini non sbilanciandomi nel definire che il sigillo abbia impedito “modifiche” al reperto (lo so è una provocazione ma serve a riflettere). Dico meglio l’apposizione del sigillo certificherà che il reperto da allora è rimasto nella busta o scatola che sia, tuttavia non potrà certificare che lo stesso non abbia subito modifiche da quella data … (purtroppo riporto a titolo di esempio: smartphone sequestrati accesi ed in modalità “on line” (non aereo !) … per non parlare di reperti lasciati per lungo tempo in luoghi umidi e risultati all’apertura dei plichi, ossidati (soprattutto quelli che sono alimentati con pile, e tanti altri “aneddoti” sperando che siano rimasti tali, che lascio a ciascuno ricordare.)

E’ evidente come quelle sopra evidenziate siano solo alcune delle problematiche che possono frapporsi ad una adeguata e sufficiente gestione del reperto informatico. Ritengo che ognuno di noi possa portare oltre a quelle da me in sintesi tratteggiate le proprie esperienze ed i propri aneddoti (del resto chi non ne ha su questo tema?), vorrei tuttavia aggiungere a questa mia panoramica due auspici:

1) mi auspico che dopo 10 anni di applicazione della L. 48/2008 tutti gli attori coinvolti si sentano chiamati ad una maggiore responsabilità nell’affrontare le inarrestabili innovazioni tecnologiche che quotidianamente si presentano sulla scena della digital forensics. Sistemi, tecniche, consigli, trucchi adottati un tempo ed idonei per reperti come dischi fissi e PC desktop non solo segnano il passo ma possono risultare inefficaci nella repertazione di nuovi dispositivi (cito a mero titolo di esempio l’ IoT soprattutto per quanto concerne il mondo delle autovetture, quindi navigatori integrati, sistemi di rilevamento o ancora l’ IoT domestico allarmi, sistemi di rilevamento fumi, gas , lavatrici intelligenti, etc.). La soluzione non può che essere in un continuo aggiornamento da parte degli operatori (l’U.P.G. 4.0) volto quantomeno a colmare le elementari lacune che ancora oggi portano, purtroppo, alcuni a confondere la natura di alcuni reperti o a non saperli descrivere adeguatamente o a credere ancora che un “server” possa essere sequestrato con la facilità con cui ci si porta un PC desktop.

2) Auspico e spero che via sia sempre più una maggior interazione tra gli attori coinvolti volta a definire “insieme” tecniche ed elementi minimi del repertamento. Pur trovando spazio in tutti i libri dedicati alla digital forensics l’argomento viene spesso considerato patrimonio della sola polizia giudiziaria e degli avvocati (ovviamente ciascuno per la parte di rispettiva competenza…), mentre dovrebbe essere un tema trasversale a tutti dalla polizia giudiziaria fino agli organi giudicanti di un processo attraverso appunto tutti gli attori coinvolti. La speranza è quindi quella di vedere il “repertamento informatico” quale materia non solo dedicata a pochi e specializzati corpi o sezioni di polizia giudiziaria, ma esteso a tutti coloro che anche in ipotesi remota ma probabile possano venire a contatto con dispositivi informatici.

In sintesi è giunto il momento di leggere le modifiche apportate dalla L. 48/2008 nel loro pieno significato, ovvero che non si fa nessun riferimento nelle modifiche al codice penale e di procedura penale a reparti, corpi, personale specializzato o qualificato, quelle norme tracciate dal legislatore, in materia di perquisizione, ispezione e sequestro, quant’anche si sostanziano in linee guida devono essere patrimonio e cultura di ogni U.P.G., 4.0 o 0.0. che sia, così come lo deve essere il repertamento degli stessi che non può più essere affidato,  al solo buon senso degli operatori.

[1] Quanto alla tipologia di dispositivo consiglio di “googleare” come sappiamo tante cose utili attraverso “Google” consiglio di utilizzarlo anche per indicare marca e modello di un dispositivo in modo corretto. Inoltre dai motori di ricerca è possibile apprendere anche caratteristiche intrinseche del prodotto che potrebbero consigliare approfondimenti investigativi ( es. pensavo fosse un HD ma invece è un NAS,  non è una pen-drive ma un dongle .. etc.).

[2] Il riferimento è a tecnologie quali FileVault,  Bitlocker, Intel Identity Protection, HdLock Toshiba etc. etc. ovvero le varie tecnologie (hardware/software) che permettono la crittografia/criptazione/cifratura dei dischi.

A cura di: Pier Luca Toselli

Pier Luca Toselli

Ufficiale di polizia Giudiziaria con la qualifica di Computer Forensic e Data Analysis

Sono un ufficiale di polizia Giudiziaria che ha maturato un'esperienza ormai trentennale nel settore della sicurezza e delle investigazioni, con specifico riferimento negli ultimi 8 anni alla digital forensic per la quale ho conseguito la qualifica di Computer Forensic e Data Analysis . L'esperienza ha anche permesso di consolidare ed affinare una solida preparazione tecnico-giuridica sia nel settore delle investigazioni in genere sia in quello più prettamente informatico. Sono stato docente nell’ambito del Master Executive di II livello in Criminologia e Cyber Security – Modulo 7: Lotta al Crimine organizzato (Master Sida - Fondazione INUIT Tor Vergata).

Download PDF
Condividi sui Social Network:

ISCRIVITI ALLA NEWSLETTER DI ICT SECURITY MAGAZINE

Una volta al mese riceverai gratuitamente la rassegna dei migliori articoli di ICT Security Magazine

Rispettiamo totalmente la tua privacy, non cederemo i tuoi dati a nessuno e, soprattutto, non ti invieremo spam o continue offerte, ma solo email di aggiornamento.
Privacy Policy