Programma CYBER CRIME CONFERENCE – 12 Aprile 2016 – Roma
5 Aprile 2016
Operazione Blackfin
14 Aprile 2016

L’informatica nei reati NON informatici – La formazione permanente per gli operatori di polizia in materia di accertamenti informatici

Negli anni stiamo assistendo ad una crescita esponenziale delle indagini relative ai reati informatici, ma ancor più impressionante è l’aumento dell’informatica nei reati non informatici: in quest’epoca e in questa parte del mondo, la tecnologia è già così pervasiva da rendere improbabile la commissione di un reato (di qualsiasi reato) senza che in esso sia coinvolto a vario titolo un elemento di natura digitale, sia esso obiettivo, strumento o semplice “testimone” del reato.

I casi criminali che richiedono l’intervento di analisti esperti di digital forensics si estendono quindi a ogni tipo di delitto: anche l’ultimo degli spacciatori in strada ha in tasca un dispositivo digitale che conserva informazioni utili a fini di indagine o persino elementi probatori, come i contatti in rubrica o i messaggi scambiati, e anche il meno informatizzato dei criminali che commette il meno tecnologico dei reati può trovarsi immortalato nelle videoriprese, ovviamente digitali, di uno o più sistemi di videosorveglianza, che dovranno comunque essere sottoposti all’intervento di tecnici informatici specificamente competenti per l’estrazione dei dati e la loro analisi.

La quantità di dati digitali coinvolti in ogni indagine è quindi in vertiginoso aumento, e non servono doti di preveggenza per sapere che la tendenza proseguirà con crescita più esponenziale che lineare: lo sviluppo di tecnologie di storage rende disponibili sul mercato consumer dispositivi di memoria sempre più capienti, che gli utenti non tardano a riempire; al contempo anche il numero di dispositivi digitali “pro capite” è cresciuto e non si limita più a PC, notebook, pad, smartphone e book-reader, ma include già una serie di oggetti smart come occhiali, orologi, vestiti, elettrodomestici, automobili, apparati biomedicali o ad uso sportivo, sistemi di videosorveglianza ecc. che producono, conservano e trasmettono dati tra di loro e verso l’esterno. In più l’affermazione del paradigma cloud computing contribuisce a un’ulteriore incremento (e a una frammentaria dispersione geografica) della mole di dati esistenti.

È facile comprendere come, dal punto di vista delle indagini giudiziarie il fenomeno abbia un impatto impossibile da ignorare: raccogliere tutte le potenziali fonti di prova digitali, disperse su più fonti eterogenee, impone di saper operare con piena padronanza e cognizione di causa su tecnologie disparate.

È quindi divenuta imperativa per gli operatori di polizia la formazione permanente in materia di accertamenti informatici, che troppo spesso è lasciata alla libera iniziativa dell’operatore e rimane confinata nell’esperienza del singolo ufficio, mancando ad oggi un sistema di coordinamento interforze per lo scambio del know-how acquisito in fase di analisi: il proverbiale poliziotto del Commissariato di Voghera potrebbe trovarsi nella necessità di estrarre dati da un cellulare bloccato ed essere costretto a inventarsi faticosamente una procedura ad hoc senza sapere che un anno prima un carabiniere del RACIS di Roma o un agente dell’ufficio dello Sceriffo in una lontana contea dell’Oregon hanno affrontato lo stesso problema e hanno già elaborato una brillante soluzione, che però è andata oggettivamente dispersa per l’assenza di scambi nazionali e internazionali tra law enforcement. Il problema, ovviamente, non è tecnologico ma è del tutto umano: è l’assenza di modelli organizzativi improntati alla collaborazione che ostacola il diffondersi della conoscenza, mentre di certo non mancherebbero gli strumenti tecnologici in grado di trasferire, preservare e rendere accessibili le informazioni.

Con queste premesse, alla fine del 2013 la Squadra Reati Informatici della Procura di Milano ha predisposto una versione rinnovata del proprio sito www.pginformatica-mi.it, il cui accesso è strettamente riservato a Polizia Giudiziaria e Magistratura.

L’intento principale del sito è di confermarsi come punto di riferimento per la Polizia Giudiziaria che si trova nella necessità di dover operare accertamenti informatici, interfacciarsi con provider italiani ed esteri, svolgere indagini che coinvolgono apparati e infrastrutture informatiche e analizzare informazioni digitali.

La piattaforma adottata è stata scelta con lo scopo di veicolare formazione a distanza e incoraggiare forme collaborative di condivisione delle conoscenze e delle tecniche operative sviluppate nel settore.

All’interno del sito sono già stati implementati servizi come:

  • un repository per programmi, documentazione e modulistica;
  • una rubrica dei contatti presso ISP, istituti di credito, enti governativi, fornitori ecc.;
  • un wiki collaborativo, che costituisce il primo tentativo di compilare una knowledge base partecipata;
  • un forum di discussione;
  • un’area formativa per l’erogazione di corsi a distanza;
  • un calendario degli eventi che si svolgono in ambito nazionale;
  • una rassegna stampa quotidiana con le notizie di settore provenienti dall’Italia e dall’estero.

Il sito conta al momento quasi quattromila iscritti, appartenenti prevalentemente a Carabinieri, Polizia di Stato e Guardia di Finanza, ma con presenze significative anche di polizie locali e magistratura, per cui si può dire che abbia raccolto un discreto consenso, ma il traguardo è ancora lontano: i futuri sviluppi del sito sono infatti orientati a trasformarlo in una piattaforma nazionale di intelligence dedicata alla digital forensics, al fine di consentire una più efficace, efficiente e precisa disseminazione delle informazioni utili e rilevanti per gli operatori.

Un buon modello per una simile piattaforma dovrebbe articolarsi in quattro parti:

  1. Digital forensic investigation knowledge base
    Ogni indagine è diversa dalle altre, ma molte situazioni si somigliano e molti problemi tendono a riproporsi. Il primo modulo ha dunque lo scopo di conservare una traccia riutilizzabile della conoscenza che è stata acquisita con le esperienze pregresse. Registra quindi le informazioni che riguardano i metodi di indagine usati per affrontare e risolvere un caso, le modalità operative impiegate, i problemi sorti, le soluzioni ponderate, quelle intraprese e quelle scartate, gli errori e i successi.
  2. Expert system e best practice
    La conoscenza raccolta nella knowledge base può a questo punto essere impiegata per addestrare un sistema esperto al fine di fornire un supporto guidato alle scelte degli investigatori, attingendo anche al patrimonio delle best practice internazionali esistenti in materia. Un questionario interattivo può suggerire i possibili approcci e richiedere dei feedback agli operatori stessi, che in questo modo contribuiscono a raffinare la procedura.
  3. Tool index
    Il terzo modulo prevede la creazione di un catalogo degli strumenti di analisi disponibili per gli operatori. Ogni strumento dovrebbe essere censito e descritto con particolare riguardo ai suoi ambiti applicativi, alla disponibilità di certificazioni e documentazione tecnica del produttore e di terze parti, le forme in cui è disponibile per gli operatori e le condizioni di licenza, la documentazione relativa alla cronologia storica delle versioni e alla casistica di impiego, i contatti con produttori e distributori per l’acquisto, il noleggio, l’assistenza ecc. e non ultimo il feedback sull’utilizzo compilato con un sistema di ranking da parte di operatori qualificati.
  4. Case index
    Infine, il quarto modulo avrebbe il compito di censire i casi reali per i quali è utile tramandare la memoria storica dell’esperienza investigativa. La documentazione esistente deve essere organizzata mediante tecniche di text mining al fine di provvedere all’estrazione delle informazioni chiave, alla categorizzazione e al raggruppamento, all’individuazione degli argomenti e dei concetti, di modo da poter agevolmente individuare la documentazione relativa ai casi pregressi maggiormente pertinenti alle attuali necessità dell’operatore, che potrà così attingere a tutti i riferimenti utili per conoscere e studiare i precedenti disponibili.

A cura di Davide Gabrini, Squadra Reati Informatici, Procura della Repubblica di Milano

Articolo pubblicato sulla rivista ICT Security – Luglio/Agosto 2015

Download PDF
Condividi sui Social Network:

ISCRIVITI ALLA NEWSLETTER DI ICT SECURITY MAGAZINE

Una volta al mese riceverai gratuitamente la rassegna dei migliori articoli di ICT Security Magazine

Rispettiamo totalmente la tua privacy, non cederemo i tuoi dati a nessuno e, soprattutto, non ti invieremo spam o continue offerte, ma solo email di aggiornamento.
Privacy Policy