Le basi della digital forensics nella circolare 1/2018 della Guardia di Finanza

A cura di:Paolo Dal Checco Ore

È ormai noto come, durante le attività d’indagine in ambito di contrasto all’evasione e alle frodi fiscali, le Forze dell’Ordine s’imbattano sempre più spesso nella documentazione digitale, che sta lentamente sostituendo quella cartacea. I controlli che un tempo portavano a produrre scatoloni di fotocopie, faldoni, carta e documenti da esaminare in Caserma ormai di frequente si concludono con l’acquisizione di molti dati salvati su CDROM o hard disk e pochi documenti cartacei.

È altrettanto noto che non esiste una metodologia ufficiale che descriva le procedure di acquisizione forense, basandosi ancora la digital forensics – almeno in Italia – su best practice, standard ISO, RFC e adeguamenti legislativi come la Legge 48 del 2008 che, ratificando la Convenzione di Budapest del 2001, ha introdotto alcuni requisiti formali che chi opera sul campo dovrebbe conoscere e rispettare.

Proprio per questa carenza di direttive ufficiali e metodologie di riferimento, assume ancora più valore il tentativo della Guardia di Finanza di formalizzare una guida per i Militari che descriva le procedure, strumenti e metodologie più adatti per le attività di acquisizione delle evidenze digitali.

Il 4 dicembre 2017 è stata infatti pubblicata sul sito della Guardia di Finanza la Circolare 1/2018 intitolata “Manuale operativo in materia di contrasto all’evasione e alle frodi fiscali”, una corposa guida che, suddivisa in quattro volumi, contiene indicazioni operative ad ampio spettro sulle attività di contrasto svolte dai Militari. Il documento – che totalizza ben 1.251 pagine sommando quelle dei quattro volumi – copre tutti gli aspetti di una verifica fiscale (logistici, giuridici, normativi, organizzativi, di competenza, etc…) ma uno in particolare emerge come elemento innovativo: la corretta modalità di acquisizione delle evidenze digitali, tramite tecniche e metodologie d’informatica forense.

Nel primo volume s’introduce, infatti, la figura del personale del Corpo in possesso della qualifica “CFDA” – Computer Forensics e Data Analysis – specializzato in attività di acquisizione e analisi di evidenze informatiche. Il ricorso a tale figura diventa strategico laddove si debba procedere alle attività di Polizia Giudiziaria e la competente Magistratura non abbia previamente nominato un consulente tecnico ex art. 359 c.p.p., oppure quando non è stato nominato un Ausiliario di Polizia Giudiziaria ex art. 348, comma 4, c.p.p.

Il secondo volume approfondisce in modo tecnicamente dettagliato – in particolare nel capitolo 2, paragrafo 2.c.5 e seguenti – la modalità con la quale deve avvenire la ricerca e l’estrazione di documenti informatici nel corso dell’accesso. Con riguardo al tema delle acquisizioni informatiche, si evidenzia il tema dell’autonomia che assume il “dato informatico” rispetto al “sistema informatico”, dovendosi considerare quest’ultimo come un “contenitore” rispetto al “contenuto”, espresso appunto dal dato informatico. Nella prassi investigativa, quindi, si distinguono i due casi nei quali l’acquisizione verta sul dato in sé oppure sul “contenitore” del dato. Nel primo caso, sono ormai consolidati diversi aspetti che permettono di “cristallizzare” l’evidenza acquisita, sia essa composta da file, email, traffico di rete o qualunque altro dato singolarmente identificabile. Nel secondo caso, entra in gioco il concetto di “bitstream image” o “copia forense”, una sorta di “clone” che riproduca l’evidenza digitale nella sua interezza al fine di preservarne l’integrità e l’identità alle condizioni in cui si trovava al momento del prelievo e consentire successive verifiche o accertamenti tecnici.

Nel documento si legge anche che, proprio per la particolarità della fase iniziale di valutazione e acquisizione delle evidenze digitali, il Comando Generale ha avviato iniziative volte alla definizione di specifici percorsi formativi per la preparazione dei cosiddetti first responder, cui saranno trasferite specifiche competenze proprio nella fase di acquisizione, in linea con le previsioni degli standard internazionali in materia (ISO/IEC 27037 – “Guidelines for identification, collection, acquisition, and preservation of digital evidence – Annex A”).

Nelle situazioni di maggiore complessità – continua il documento – si rende necessario prevedere il supporto di personale qualificato CFDA (Computer Forensics e Data Analysis), come ad esempio negli accessi rivolti a imprese appartenenti a gruppi multinazionali che potrebbero impiegare sistemi di comunicazione e di memorizzazione delle informazioni condivisi al proprio interno, così che l’estrazione informatica presso la singola entità in verifica potrebbe avere riverberi sulle altre consociate ovvero sul sistema nel suo complesso.

Per il recupero dei dati cancellati – cita sempre il documento – i Militari sono invitati a eseguire copie forensi dei dispositivi del contribuente, dai quali successivamente estrarre il materiale d’interesse, oltre che a ricercare le copie di sicurezza eseguite dal contribuente stesso (i cosiddetti “backup”) per poter ivi reperire informazioni eventualmente rimosse successivamente all’archiviazione. Spesso, infatti, ciò che non è possibile recuperare da un dispositivo, è invece recuperabile rintracciandone le copie di sicurezza eseguite dal proprietario stesso, archiviate ovviamente per fini diversi da quelli di un accertamento ma che, in tal caso, possono risultare una preziosa fonte d’informazione storica.

Nel caso di acquisizione d’immagini forensi dei dispositivi, il documento prescrive la copia dell’intero contenuto dei supporti di memoria (hard disk interni o esterni, USB drive, schede SD), precisando che i Militari devono avere cura di effettuare una copia forense degli stessi (bitstream image) utilizzando come formato lo standard EWF (Expert Witness Format, sviluppato dalla società Guidance) o simili (ad es. il formato open source AFF, ma ne esistono diversi).

Il livello di dettaglio del documento aumenta fino a citare l’importanza – per la digital forensics – dei “metadati” (ad es. data di creazione ed ultima modifica dei documenti) e degli “header” di posta elettronica (spesso strategici per poter capire se una mail è stata artefatta o è originale). Il tradizionale “copia & incolla” non è quindi sufficiente perché, oltre a non permettere l’acquisizione dei metadati, altera anche quelli presenti sul filesystem se non vengono adottate precauzioni nella lettura dei dati.

Proprio al fine di preservare il dato originale nella sua interezza – inclusi i metadati – il documento pone l’accento sulla necessità di utilizzare “specifici dispositivi (writeblocker, duplicatori) e/o applicativi (software di acquisizione forense), capaci di garantire l’integrità dell’evidenza acquisita”. Non vengono, giustamente, citati dispositivi o software di particolari marche o produttori, ma sappiamo che tra i più utilizzati, in Italia, vi sono i Tableau o i Falcon come hardware di copia forense e le distribuzioni DEFT e CAINE come software di acquisizione forense. Esistono poi software gratuiti come FTK Imager, ideali sia per copie forensi (previo utilizzo di sistemi di write blocking fisici o logici) sia per l’acquisizione in modalità filesystem di cartelle o risorse di rete.

Particolare importanza viene data alla “catena di custodia”, il documento che deve permettere a posteriori di verificare (ed eventualmente ripetere) le operazioni svolte dai Militari, che secondo il documento deve contenere: i nominativi dei militari operanti, la sede del contribuente e la data, i nominativi dell’eventuale personale tecnico messo a disposizione dal contribuente, l’elenco delle evidenze digitali acquisite, la tipologia delle evidenze digitali acquisite (incluso marca, modello, seriale, etc…), l’impronta hash di ciascuna evidenza e la funzione di calcolo utilizzata, gli eventuali passaggi di consegna dell’evidenza digitale (militare cedente, militare accettante), il luogo ove vengono custoditi i sistemi e/o i supporti informatici ovvero i dati digitali acquisiti nel corso dell’attività ispettiva.

Seguono alcune precisazioni sulle informazioni strategicamente rilevanti da ricercare durante gli accertamenti, come i back-up, che gli utenti fanno dei propri dati, gli artefatti (navigazione web, uso di software, etc…), i log applicativi (lo storico delle attività svolte dal sistema) e i software personalizzati (spesso utilizzati per gestire contabilità parallele). A questo proposito, il documento focalizza l’attenzione sulla necessità di ricercare eventuali sistemi di gestione remota o virtualizzazione dei dati. Non di rado capita, infatti, che le attività di gestione parallela di contabilità vengano svolte dagli evasori fiscali su dispositivi remoti raggiungibili tramite software di connessione remota come TeamViewer, Remote Desktop o VNC. Può persino capitare che i sistemi di gestione contabile “parallela” vengano memorizzati su macchine virtuali eventualmente archiviate su partizioni criptate o dischi di rete, nella speranza quindi che l’acquisizione del PC da parte dei Militari non porti all’apprensione di tali sistemi, proprio perché remoti o criptati.

Ricordiamo infatti che le tecniche di antiforensics, ormai note ai più, suggeriscono diversi metodi per rendere le attività d’indagine da parte degli esperti informatici sempre più complesse e i sistemi di virtualizzazione o accesso remoto sono tra quelli storicamente più utilizzati. Per questo motivo la fase d’ispezione e sequestro deve essere svolta con la dovuta attenzione, essendo diverse tecniche di anti-forensics efficaci fin dalla prima fase degli accertamenti. Allo stesso modo, durante le analisi, va sempre tenuto presente il potenziale rischio di artefazioni ai dati finalizzate proprio a rendere complesse se non impossibili le attività degli investigatori.

Dalla gestione remota al cloud il passo è breve: il manuale illustra l’importanza di verificare l’utilizzo di sistemi di cloud storage, potenzialmente utilizzati per archiviare contabilità parallele, evidenziando la necessità d’identificare, in tal caso, la postazione dalla quale vengono eseguiti gli accessi alla nuvola anche mediante analisi degli artefatti di sistema. L’identificazione della postazione sarà necessaria nel caso in cui si dovesse procedere all’acquisizione forense delle evidenze presenti nell’area remota.

Di rilevanza giuridica, più che tecnica, è infatti l’indicazione che fornisce il documento sulle modalità di accesso al cloud e acquisizione forense, nel caso in cui sia presente materiale di rilevo per le indagini. Se il verificato (cioè colui che verso il quale è diretto l’accertamento fiscale) collabora, fornendo l’accesso ai dati, si procede come indicato nei paragrafi precedenti “cristallizzando” l’evidenza spontaneamente consegnata dalla parte. Se il verificato non collabora, il documento illustra sostanzialmente due modalità operative: utilizzo delle sue credenziali per accedere all’area remota e acquisirne i contenuti (con particolare attenzione nel caso in cui tale area fosse privata e non aziendale) oppure utilizzo dei dispositivi (in particolare gli smartphone) del verificato per acquisire le credenziali o i “token” per accedere alle aree cloud, sempre ponendo attenzione al fatto che se tali aree non fossero riconducibili all’azienda potrebbe dimostrarsi necessaria l’autorizzazione dell’Autorità Giudiziaria.

Lo schema logico e operativo, sia nel caso di acquisizione da cloud sia nel caso di acquisizione da hard disk, smartphone o altri dispositivi digitali, non cambia e viene riassunto precisando che vale anche nel caso di acquisizione di singoli file prelevati dal filesystem. L’identificazione è il primo passo – che porta a valutare cosa sia d’interesse e cosa non lo sia – seguito dall’acquisizione che deve essere documentata nei verbali e accompagnata dai valori hash di quanto acquisito. L’acquisizione può essere svolta mediante appositi hardware o software o, nel caso di singoli file, anche mediante compattazione in archivio zip o 7zip, così da mantenere inalterati i metadati. I supporti di memorizzazione utilizzati per il salvataggio delle copie da mantenere agli atti dell’ufficio operante vanno – sempre secondo il documento – firmati in modo indelebile, dai partecipanti, incluso il verificato, precisando nella firma anche data e ora delle attività svolte, verificando anche se possibile se la data e l’ora dei sistemi acquisiti (es. dei PC o smartphone) coincide con la data e ora reale o vi è uno sfasamento.

In ultimo, il documento precisa che i reperti originali possono essere restituiti al proprietario, fatte salve le procedure da adottarsi in contesti di natura penale o caratterizzati da particolare sensibilità, al termine delle operazioni di verifica, a patto che la copia dei dati sia riuscita e che il verificato sia consapevole del fatto che tali supporti informatici devono essere conservati, al pari della documentazione contabile restituita al termine della verifica, fino alla definizione del contesto, con le modalità ritenute più idonee e, in ogni caso, in modo da scongiurare il loro deterioramento o perdita. Inoltre, nelle ipotesi in cui tali supporti informatici contengano dati sensibili riferiti a soggetti terzi, ne deve essere valutata la preventiva cancellazione sicura del contenuto.

Come si evince da questa breve descrizione delle pagine del manuale focalizzate sull’informatica forense, il livello di dettaglio raggiunto dal documento è ragguardevole e anche la precisione nel descrivere le metodologie, a tutela del cittadino che avrà quindi la possibilità di rivolgersi a un suo Consulente Tecnico di Parte in grado di verificare le operazioni svolte – eventualmente in contraddittorio – ed esercitare il diritto di difesa, sancito dalla Legge.

A cura di: Paolo Dal Checco

Profilo Autore
Paolo Dal Checco

Consulente Informatico Forense, socio CLUSIT e IISFA, tra i fondatori delle Associazioni ONIF
Paolo Dal Checco svolge attività di Consulenza Tecnica in ambito forense collaborando con Procure, Tribunali e Forze dell'Ordine oltre che con aziende, privati e Avvocati. Dopo la Laurea, durante il corso del Dottorato in Informatica, ha approfondito le problematiche di crittografia operando poi per alcuni anni dopo il conseguimento del titolo in ambito di sicurezza delle comunicazioni per un’azienda privata. Successivamente a questa esperienza, si è dedicato agli aspetti tecnici e giuridici dell’informatica forense, eseguendo attività di formazione e perizie informatiche in ambito d’indagine su cellulari, computer, audio, video, malware, reti, social.

Altri Articoli
Condividi sui Social Network:

Articoli simili

Smart Working e Cyber Security: difendere i dati aziendali e i propri dati personali

Smart Working e Cyber Security: difendere i dati aziendali e i propri dati personali

A cura di:Vincenzo Calabrò Ore Pubblicato il

Le restrizioni imposte in questi giorni dal Governo hanno spinto molte aziende, e la stessa Pubblica Amministrazione, a sposare velocemente il paradigma dello Smart Working generalizzato ed esteso per evitare il blocco delle attività e le relative conseguenze. La maggior parte delle soluzioni emergenziali adottate prevedono lo sfruttamento dei dispositivi e della connessione alla rete…

Il furto di oltre 340.000 records finanziari ai danni di BlueSnap è reale

Il furto di oltre 340.000 records finanziari ai danni di BlueSnap è reale

A cura di:Redazione Ore Pubblicato il

Rubati 324.000 records finanziari dal gateway di pagamento globale BlueSnap. Il sito nega ogni responsabilità. Bluesnap è un gateway di pagamento globale che permette ai gestori di siti internet di accettare pagamenti con carta di credito per la vendita di prodotti e servizi a terzi. Il 10 luglio scorso un profilo twitter, probabilmente appartenente ad un…

L’Ufficiale di P.G. 4.0: quali strumenti per le operazioni più comuni che coinvolgono dati digitali?

L’Ufficiale di P.G. 4.0: quali strumenti per le operazioni più comuni che coinvolgono dati digitali?

A cura di:Pier Luca Toselli Ore Pubblicato il

Da alcuni anni ho il privilegio di scrivere su questa rivista e durante l’emergenza COVID, che ci ha costretto a modificare diverse nostre abitudini, ho riletto i miei articoli pubblicati dal 2017 al mese di febbraio u.s.[1]. Tra questi mi hanno sollecitato nuove riflessioni e considerazioni – guarda caso – il primo e l’ultimo. Nel…

Container: cosa serve sapere

Container: cosa serve sapere

A cura di:Redazione Ore Pubblicato il

Si sta diffondendo rapidamente l’utilizzo dei container per la distribuzione delle applicazioni. Sia che si tratti di Kubernetes o Docker, gli strumenti open source oggi più diffusi sia per il deployment sia per le attività di orchestrazione, i container si rivelano utili per implementare gli elementi che compongono l’applicazione ed attivarli in ambienti cloud pubblici…

Sicurezza dei Sistemi (id)IoT

Sicurezza dei Sistemi (id)IoT

A cura di:Daniele Rigitano Ore Pubblicato il

Il fenomeno della domotica “fai da te” ultimamente sta prendendo sempre più piede. Ormai è alquanto facile trovare elettrodomestici o piccoli dispositivi di uso comune che permettono la connessione alla rete interna della propria abitazione in modo da poter svolgere alcuni compiti “da remoto”. Siamo partiti dalle Smart TV e dalle Smart Cam. Passando per…

La Cyber Security Istituzionale – EyePyramid e il cyberspionaggio nostrano

La Cyber Security Istituzionale – EyePyramid e il cyberspionaggio nostrano

A cura di:Edoardo Limone Ore Pubblicato il

A molti non sarà sfuggito lo scandalo provocato dalla vicenda Occhionero, i fratelli che hanno rubato dati e informazioni sensibili a politici e uomini di potere del panorama italiano. Allo stesso tempo, a circa metà gennaio, si sono rincorse alcune notizie circa l’intenzione del presidente degli Stati Uniti Donald Trump, di non utilizzare un cellulare…