Tecniche di acquisizione delle evidenze digitali: copia bit a bit e funzione di hash

Procedendo secondo una linea cronologica, esaurite le operazioni del sopralluogo giudiziario – ovvero una volta individuate, identificate e raccolte le evidenze digitali – si apre la fase dell’acquisizione del materiale informatico rinvenuto e giudicato di interesse ai fini processuali.

L’acquisizione della evidenza digitale, che insieme ai passaggi della catena di custodia del dato acquisito rappresenta il momento di maggiore criticità del processo di digital forensics, può essere definita come il momento afferente alla fase di indagine dove viene eseguita l’esfiltrazione controllata della digital evidence dal sistema informatico perquisito/ispezionato e/o sottoposto a sequestro ai fini del suo trasferimento su altro supporto, mediante particolari tecniche di copiatura e con l’utilizzo di strumentazioni tali da garantirne
la completa integrità e genuinità.

Si è già accennato, trattando di sopralluogo giudiziario, agli accorgimenti operativi da adottare in caso di rinvenimento di dispositivi attivi, per i quali si dovrà ricorrere alla live forensics analysis e, in caso di rinvenimento di dispositivi spenti, sottoponibili ad acquisizione post mortem, nonché della differenza di modalità operative a seconda della natura del dispositivo da analizzare. Quale che sia lo stato di rinvenimento o la tipologia di sistema sul quale si agisce, il risultato delle attività di acquisizione non cambia, sostanziandosi in ogni caso nell’ottenimento della memoria da analizzare sotto forma della c.d. copia forense.

Più propriamente la copia forense, anche detta bit stream image o copia bit a bit, consiste nella copiatura integrale del contenuto digitale della memoria del sistema inquisito, che si esegue, per l’appunto, trascrivendo su un altro dispositivo ogni singolo bit presente al suo interno, compresi gli spazi vuoti tra files e gli elementi cancellati (ma non definitivamente eliminati) dal sistema, o loro frammenti. In buona sostanza, quindi, la copia forense è l’identica riproduzione, in perfetta clonazione, della memoria oggetto di indagine, che materialmente si utilizzerà per l’effettuazione dei successivi passaggi del procedimento di digital forensics.

Se correttamente eseguita e opportunamente documentata, anche mediante videoregistrazione, l’acquisizione in copia forense permette di mantenere intatti i dati contenuti nella memoria di origine, consentendo in un secondo momento di poter valutar e l’attendibilità dei dati estratti, anche al fine di verificare che sia avvenuto correttamente il trasferimento nel dispositivo di destinazione.

Sotto un altro aspetto, l’importanza della bit stream image si riflette poi nella fase di determinazione cronologica degli eventi, in quanto tale metodo di copiatura permette di mantenere inalterati anche i metadati relativi ai file acquisiti (come data e ora di salvataggio), permettendo di ricostruire con precisione la timeline delle operazioni condotte sul dispositivo originale. Ricostruzione cronologica che, tuttavia, potrebbe risultare inesatta in caso di applicazione di tecniche di anti forensics sul dispositivo sorgente atte a complicare o depistare le indagini, come ad esempio l’utilizzo di programmi di crittografia per cifrare i dati o l’attuazione di stratagemmi volti alla precostituzione del c.d. alibi informatico.

Dal punto di vista tecnico, la copia forense si ottiene mediante l’uso di particolari strumenti hardware con funzione di write blocking che, una volta collegati al sistema contenente i dati da acquisire, permettono la duplicazione dei dati in sicurezza all’interno della memoria di destinazione, oppure usando appositi software di estrazione dati installati sul dispositivo che si adopera per la manovra. È chiaro che nel caso in cui detti strumenti siano difettosi o settati non correttamente, la duplicazione potrebbe presentare delle difformità rispetto alla memoria sorgente, con conseguenti problemi in ordine all’attendibilità delle operazioni.

Occorre pertanto che in sede di esecuzione delle operazioni venga specificato con quale strumento si stia procedendo, in modo da poterne verificare – anche a posteriori – l’attendibilità.

Infine, per garantire l’integrità e l’identicità della copia forense e la conformità delle copie che si possono estrarre dalla medesima, è necessario apporvi la firma digitale mediante la c.d. funzione di hash.

Una volta ottenuta la copia forense, infatti, è necessario che la stessa non subisca alterazioni, così da mantenerne l’identicità all’originale. Per garantire tale identicità la copia va, per l’appunto, “firmata” mediante il calcolo della funzione di hash, che offre la possibilità di verificare l’integrità del documento per poterne stabilire la veridicità nelle successive fasi investigative e giudiziali, marchiandolo con un’impronta digitale individualizzante, in grado di dare completa certezza relativamente all’origine del reperto e all’integrità del suo contenuto.

La funzione di hash consiste in un calcolo matematico (o meglio un algoritmo) non invertibile, ossia è che opera in una sola direzione, che applicato al documento ne traduce il contenuto – inteso come testo di lunghezza arbitraria – riducendolo a una stringa di lunghezza fissa. Tale stringa, chiamata valore di hash e anche detta checksum crittografico o message digest, costituisce l’impronta digitale univoca che caratterizza il documento sottoposto al processo di hashing.

La creazione di tale stringa – che più semplicemente è costituita da una serie prefissata di bit frutto della traduzione mediante calcolo di hash del testo originale – permette di verificare che non vi siano state modifiche, anche accidentali, sul dato digitale che si analizza.

Per la verifica è sufficiente paragonare la stringa che si sta esaminando con quella del documento dalla quale è stata estratta copia: se le due stringhe risultano identiche significa che vi è altresì identicità del contenuto digitale sul quale sono state apposte, con conseguente certezza riguardo all’integrità.

Inoltre, la funzione di hash si rivela uno strumento efficace anche in chiave di semplificazione e riduzione temporale. Se infatti è possibile estrarre più copie forensi del dispositivo sorgente mediante bit stream image, è altrettanto vero che la lentezza di questo metodo comporta tempi non indifferenti e non previene il rischio cui la memoria da acquisire resta soggetta, consistente nella possibilità che possa subire alterazioni non volute, così portando alla creazione di copie forensi divergenti tra loro.

La funzione di hash in parte ovvia a queste problematiche, poiché, una volta calcolatone il valore sulla copia, sarà possibile procedere direttamente alla duplicazione della copia medesima, estraendo in buona sostanza ulteriori copie dalla copia. Per verificare la correttezza della copia, infatti, sarà sufficiente leggere in comparazione il valore di hash.

Articolo a cura di Francesco Lazzini

Profilo Autore

Laureato in giurisprudenza con successivo conseguimento dei master in Scienze Forensi (Criminologia-Investigazione-Security-Intelligence) e in Informatica giuridica, nuove tecnologie e diritto dell’informatica. Attività di studio postuniversitario focalizzata in materia di indagini con l’utilizzo del captatore informatico e digital forensics.

Condividi sui Social Network:

Articoli simili