Menu
Mostra menu

Capitano CC Marco Mattiucci

Investigazioni Tecniche: mezzi e problematiche

1. Introduzione

La Sezione Telematica del RIS di Roma è unica nel suo genere tra i Reparti Investigazione Scientifica dell’Arma dei Carabinieri presenti in Italia nelle città di Roma, Parma, Messina e Cagliari. Proprio tale peculiarità le conferisce competenza su tutto il territorio nazionale in relazione a quelle attività investigative inerenti l’informatica, la telematica ed in generale i sistemi elettronici digitali. A tale settore, pedissequamente a quanto stabilito dal Gruppo per il Crimine ad Alta Tecnologia del G8, ci si riferirà, in questo lavoro, con il termine specifico di Crimine ad Alta Tecnologia (High Tech Crimes).

2. Le investigazioni tecniche

La Sezione Telematica del RIS di RM analizza ordinariamente dei reperti digitali a seguito della richiesta dell’Arma Territoriale, della Magistratura e raramente di altre F.P. Gli esperti del repertamento dell’Arma territoriale prelevano i reperti digitali generalmente sulla scena del crimine per inviarli ai laboratori della Sezione.
Una prassi alternativa a quella evidenziata vede il personale tecnico della Sezione intervenire direttamente sulla scena del crimine assieme al personale repertatore al fine di supportarne l’attività quando questa divenisse di natura eccessivamente complessa dal punto di vista tecnico.
Eccezione alle citate procedure risulta ovviamente il fatto criminoso che avviene in ambiente virtuale (Internet). Può accadere che la Sezione stessa verifichi la presenza di un fatto illegale nella rete delle reti ed allora vengono prontamente interpellati gli investigatori della territoriale affinché si ristabilisca il normale flusso investigativo. Si può essere invece nella situazione in cui un utente comune individua il fatto-reato su Internet e ne da’ comunicazione all’Arma territoriale (situazione assimilabile alla consuetudine). Per finire si può verificare che la stessa territoriale individui il reato su Internet per poi attivare le indagini e chiedere il necessario supporto alla Sezione Telematica e/o a specialisti esterni (quando siano stati disposti dalla magistratura).
In definitiva l’investigazione tecnica nasce sempre a seguito o in parallelo all’investigazione tradizionale e ne resta supporto evitando di assurgere a elemento autosufficiente.

3.    Le aree di studio

Le aree di studio scientifico forense della Sezione sono molto aumentate negli ultimi 5 anni allargandosi dall’iniziale studio delle memorie di massa, che ad oggi è il settore più voluminoso ad Internet in diversi suoi aspetti fino a sofisticati e particolari sistemi elettronici.
Le seguenti categorizzazioni sono state fatte sulla base dell’esperienza e delle direttive e pubblicazioni internazionali nel settore:

3.1 L’analisi forense delle memorie di massa

Settore a cui ci si riferisce spesso con il termine Forensic Computing (FC) di cui  sono state date diverse definizioni ma le seguenti due possono raccogliere sicuramente i concetti fondamentali inerenti: “…il processo di: Identificazione, Conservazione, Analisi e Presentazione di ‘digital evidence’   in processo garantendone l’ammissibilità” [3] e/o “…la raccolta e l’analisi di dati secondo una prassi che ne garantisca la libertà da distorsioni e pregiudizi cercando di ricostruire dati ed azioni avvenuti nel passato all’interno del sistema informatico” [4]. In ogni caso, dato che le attività di FC tendono ad ottenere elementi atti a testimoniare un fatto accaduto-in o per-tramite-di un sistema informatico, la loro caratteristica principale è che intervengono sempre dopo il fatto stesso. Si noti che le due definizioni riportate tendono a completarsi e spiegarsi perché l’ammissibilità citata in [3], nella maggioranza degli ambiti legali è proprio la “libertà da distorsioni (volontarie/involontarie) e pregiudizi (di analisi)”  di cui in [4].
Il termine memorie di massa raccoglie le memorie digitali di qualsiasi natura e principio, da quelle elettroniche a quelle magnetiche fino alle ottiche. La FC deve quindi tener conto delle peculiarità fisiche di ciascuno di questi supporti digitali al fine di garantire un’analisi accurata, completa e ripetibile (che non alteri in nessun modo il contenuto). A tale scopo i fattori predominanti nella procedura di laboratorio sono la copia iniziale e gli strumenti di analisi della copia.
In [5] viene sottolineato che “…la speciale natura delle prove digitali richiede considerazioni aggiuntive ed alcuni cambiamenti rispetto le prove reali” ed in particolare il fatto che le informazioni memorizzate su un sistema digitale sono per loro natura indipendenti da quest’ultimo. In pratica, senza la necessaria e forzata caratterizzazione esterna (fisica), le prove digitali non sono associabili ad un apparato o ad un istante di tempo. Questo determina il fatto fondamentale che la differenziazione tra copia ed originale, quando si opera su memorie digitali ed in mancanza di specifiche direttive dell’operatore è impossibile. Ecco quindi un principio di indistinguibilità che ha condotto la preservazione dei dati utili (anche chiamata repertamento dei dati) ad essere un’attività equivalente alla copia degli stessi su supporti di memoria particolarmente affidabili (ottici e/o nastri magnetici con “blindatura”).
La caratterizzazione delle copie avviene includendo in esse informazioni ausiliarie come: data ed ora in cui avviene la copia, ID dell’operatore, commenti, ecc.. Tali elementi vengono sottoposti ad un processo di hashing assieme ai dati utili ed i valori calcolati rimangono definitivamente storicizzati in supporti ausiliari a quelli di destinazione della copia. A questo proposito, nel FC, si impiegano delle funzioni di hash standard come DIVA [6] (proprietario della ditta Computer forensics ltd) o MD5  [7] (standard open largamente impiegato da diversi prodotti di punta nel FC come EnCase, Ilook, ecc.). I valori di hash calcolati durante la copia sono utili per garantire due fatti essenziali:

  • data la possibilità di calcolare l’hash sia sui dati di partenza che su quelli copiati e fermo restando le proprietà di univocità degli algoritmi che implementano la funzione di hash, è possibile verificare l’aderenza “assoluta” della copia ai dati di partenza durante il processo di clonazione, impiegando tale metodo come un pesante (computazionalmente) e rigoroso sistema di controllo errore;
  • successivamente alla copia, la disponibilità del valore(i) di hash, consente di stabilire se la copia è ancora valida e se sono intervenute delle alterazioni (volontarie e/o involontarie).

Una nota molto importante deve poi essere riportata in relazione al tipo di copia dei dati di una memoria di massa o di una device digitale in genere. Si possono distinguere infatti almeno tre livelli di copia:

a. copia di livello fisico: o bitstream copy, in cui il contenuto dell’unità fisica viene letto sequenzialmente (la sequenza è stabilita dall’indirizzamento fisico, in genere gestito dal controller dell’unità di memoria) caricando la minima quantità di memoria di volta in volta indirizzabile (ad es. negli hard disk il settore fisico, nelle ROM il byte, ecc.) per poi registrarla nella stessa sequenza su di un comune file binario (immagine fisica dell’unità);

b. copia di basso livello del file system: o cluster-copy, in cui il contenuto di una partizione logica (strutturatasi a seguito di una formattazione correlata ad un preciso file system) viene letto sequenzialmente caricando la minima quantità di memoria che il file system consente di indirizzare di volta in volta (ad es. il cluster in FATxx) per poi registrarla nella stessa sequenza su di un comune file binario (immagine di basso livello del file system);
 
c. copia del file system: in cui parte o tutto il contenuto di alto livello di una partizione logica (strutturatasi a seguito di una formattazione correlata ad un preciso file system), ivi intendendo i contenuti di file e directory evidenti (non cancellati), viene sottoposto a backup su di un file (file di backup) di particolare formato (dipendente dal tool impiegato).


Il classico comando dd dei sistemi operativi Unix-like può ad esempio effettuare delle copie sia di tipo a. che b. mentre il tool software Ghost svolge copie di tipo c.. Il dd, per la semplicità di impiego e per la disponibilità del codice sorgente (es. in Linux) è divenuto un punto di riferimento anche nel dump di sistemi digitali come ad esempio le smart-card. Sfortunatamente non fornisce nessuna garanzia di tipo forense, nel senso che non effettua controlli di aderenza o calcoli di hash-function, ecc..
Si sottolinea, infine, che i citati livelli di copia non sono affatto equivalenti se lo scopo è individuare elementi probatori di tipo forense. In [10] si asserisce che “La persistenza dei dati è enorme. Contrariamente a quanto si possa pensare è molto difficile rimuovere dei dati da una memoria di massa, a prescindere dalla propria volontà…abbiamo impiegato un hard disk di discrete dimensioni per installare prima una copia di Windows, poi una di Solaris ed infine una di Linux ed il risultato è stato che con un opportuno software forense i file delle prime due installazioni erano facilmente recuperabili…”. La ricerca dei dati cancellati (generalmente ricchissimi di informazioni sull’attività svolta) è un elemento fondamentale dal punto di vista legale e le tre copie di cui sopra non permettono parimenti la citata analisi. In particolare la copia fisica a. mantiene tutte le informazioni possibili anche sul partizionamento (ad es. coesistenza di più sistemi operativi, ecc.), quella b. contiene sia i file cancellati che quelli evidenti ma non i dati sulle partizioni includendo una sola di esse, per finire la c. mantiene solo il contenuto di file e directory evidenti. Ovviamente a tali fattori si contrappongono la velocità di svolgimento della copia che aumenta da a. fino a c.. La scelta del tipo di copia da svolgere dipende quindi molto dal tipo di prova digitale che si intende ottenere e dal tempo che si ha a disposizione.

3.2 L’analisi forense dei sistemi di comunicazione senza fili

Primeggia, in questo settore, l’analisi forense dei cellulari nei diversi protocolli attualmente presenti: ETACS, GSM, GPRS, UMTS. Tale analisi si esplica attraverso l’esplorazione del contenuto dell’hardware del cellulare, SIM esclusa e poi della memoria del chip di quest’ultima. Mentre per il FC la consolidata esperienza permette di selezionare procedure e tool validati in migliaia di casi lo stesso non può dirsi per il mondo dei telefoni cellulari in cui metodi e strumenti sono diversi a seconda degli studi tecnici e delle garanzie che il laboratorio forense garantisce.
La Sezione Telematica tende, come prassi, a garantire la minima alterazione del contenuto delle memorie del cellulare disconnettendolo dalla rete mediante l’analisi in condizioni di assenza di segnale radio.
Eccezioni a questo tipo quasi-ideale di approccio purtroppo esistono, soprattutto in relazione a quando bisogna superare le protezioni (PIN) della SIM. Il fatto viene superato dal punto di vista legale mediante una specifica disposizione della magistratura ma il fatto tecnico che l’inserimento ad esempio del PUK per superare il PIN porta ad un’alterazione irreversibile della memoria della SIM.
Altri sistemi “senza-fili” oggetto dell’analisi forense possono essere le cosiddette LAN-wireless in cui risorse di ogni tipo vengono a condividersi attraverso segnali radio. Questo sub-settore è non solo rilevamente quanto nuovo dal punto di vista puramente forense per cui sono in studio specifiche soluzioni mediante sistemi sperimentali realizzati dalla Sezione Telematica stessa.
Assieme allo studio forense dei telefoni cellulari la Sezione Telematica ha poi affrontato il mondo delle intercettazioni e della radiolocalizzazione per le quali è stata referente tecnico in materia normativa a livello nazionale.

3.3 L’analisi forense delle reti di computer

La Sezione svolge anche investigazioni in relazione ai crimini che vengono perpetrati mediante l’ausilio della Rete delle reti o esclusivamente in ambito virtuale su Internet.
Internet non determina solo un nuovo strumento di ausilio ai crimini ma genera proprio nuove categorie di crimini per i quali a volte è difficile anche trovare delle risposte legali efficaci (talvolta inesistenti). A ciò va aggiunto che Internet è anche e soprattutto un nuovo mezzo di comunicazione e coordinamento tra le forze della criminalità organizzata e comune.
La Sezione Telematica si propone come strumento di ausilio per i Reparti Territoriali dell'Arma dei Carabinieri in questo delicato settore fornendo, una collaborazione continua che consente agli investigatori di rispondere a situazioni per le quali è necessaria una preparazione tecnica specifica.
Il trattamento dei casi investigativi avviene sia attraverso gli strumenti di laboratorio del RIS che mediante l'azione dei provider Internet (ISP) diretta da personale della stessa Sezione.
I casi maggiormente trattati riguardano: pedofilia, diffamazione, spionaggio industriale, terrorismo, frodi, ecc.. Di seguito alcuni generici riferimenti alle attività di indagine nel settore svolte dalla Sezione Telematica:

3.4.1 Remote control (controllo remoto)

L’uso sempre più frequente e massiccio della posta elettronica ha portato allo studio di sistemi software in grado di spostare tramite posta elettronica virus, cavalli di troia e programmi di controllo remoto nel destinatario senza che questo abbia la possibilità di filtrare i dati in ricezione.
In particolare i programmi di controllo remoto sono software originariamente pensati per il controllo ed il collaudo delle reti aziendali che permettevano all’amministratore di far svolgere ad un computer collegato tramite Internet o Intranet delle specifiche azioni senza che qualcuno lo manovrasse localmente. I programmi di controllo remoto possono avere scopi criminali rilevanti come, ad esempio, lo spionaggio industriale e l'intrusione.

3.4.2 Intrusion & Cracking

Per “intrusione” s'intende l’accesso a delle risorse informatiche negate all’utente richiedente. La protezione delle risorse avviene attraverso dei meccanismi di autorizzazione che tengono conto di diversi elementi:

  • password: parola chiave privata conosciuta dal possessore e talvolta dall’amministratore del sistema che finisce per identificare le azioni del primo;
  • priorità e livelli: l’utente può essere abilitato o meno a sfruttare certe categorie di risorse a seguito della sua posizione gerarchica e funzionale all’interno dell’organizzazione cui appartiene da cui vengono stabiliti livelli di appartenza e priorità degli stessi sulle risorse presenti;
  • tempi: certe risorse informatiche devono essere rese disponibili solo in determinati periodi di tempo (ad es. il classico lavoro d’ufficio 8.00-16.00) perché non è consono ai regolamenti dell’organizzazione sfruttarle in altri;
  • accesso fisico: se certe risorse non devono essere accedute di principio da una classe di utenti si fa in modo di renderle irraggiungibili fisicamente (nessun cavo di connessione) ma tale eventualità si è fatta sempre più remota causa la flessibilità di impiego di un sistema totalmente connesso.

Da tali vincoli di protezione scaturiscono studi su come aggirare i sistemi: ad esempio modificando l’orologio di riferimento della macchina protettrice delle risorse, oppure emulando l’identità di un utente abilitato dopo aver “ascoltato” in rete i messaggi di identificazione (sniffing), o ancora ingannando l’amministratore richiedendo via fax o telefono dati di identificazione fingendo di esserne i legittimi proprietari, ecc.
Le operazioni di intrusione su un sistema informatico protetto sono comunque una violazione di un’area privata in quanto internazionalmente una risorsa informatica la si ritiene privata ad una organizzazione se e solo se quest’ultima ha provveduto con ogni mezzo idoneo a proteggerla. Si noti che una informazione privata non protetta in Italia risulta comunque tutelata da una legge sulla privacy molto restrittiva ma nel resto del mondo ciò non è così comune.
Nelle operazioni di intrusione ha un ruolo fondamentale la procedura di “cracking”, ossia il sistema hardware/software per violare un meccanismo di protezione basato su password  oppure per individuare una password ed avere così l’accesso a delle risorse protette non proprie.

3.4.3 Comunicazioni illegali

Internet rimane prima di tutto un potente e flessibile mezzo di comunicazione multimediale e quindi la maggioranza dei reati attualmente perseguiti sulla rete delle reti è di tipo comunicazione non legale. Di seguito si andranno ad esaminare delle tipologie di riferimento per i reati di tale classe:

  • pedofilia e Pornografia su rete telematica: argomento di grande attualità in Italia e nel mondo che ha fatto di Internet quasi un mezzo di comunicazione demoniaco. La possibilità di inviare anonimamente informazioni di tipo pedofilo come foto, testi, contatti ecc. è ben nota alle organizzazioni criminali operanti che talvolta creano anche siti di riferimento in cui espongono le ragioni della loro attività di scambio ed i principi di libertà cui tali scambi sono basati;
  • diffamazione e minaccia: in genere tramite e-mail;
  • e-mail Bombing: la posta elettronica, da utente ad utente deve passare attraverso dei server di posta, computer dotati di poderose memorie di massa e specifici software in grado di mantenere e smistare i messaggi di posta elettronica. Esistono tecniche legate al protocollo di comunicazione della posta elettronica che consentono in poche ore di far arrivare migliaia di messaggi allo stesso server di posta da direzioni differenti fino a saturarne le capacità di gestione;
  • e-commerce frauds: le comunicazioni alla base delle transazioni economiche del commercio elettronico devono risultare estremamente sicure pena l’impossibilità di svolgere transazioni corrette. Le frodi in questo settore sono diverse e molto sofisticate, prendono in considerazione lo sniffing (ascolto in rete) e la simulazione di identità. In questo modo si possono, per esempio ottenere numeri di carte di credito o accollare le transazioni ad altri utenti.

3.5 L’analisi forense di sistemi elettronici

La Sezione Telematica del RIS di RM si occupa anche di analizzare una grande varietà di sistemi elettronici digitali non propriamente inquadrabili nelle categorie dei precedenti paragrafi. Si tratta spesso di moduli di difficile analisi per i quali la conoscenza procedurale deve essere studiata empiricamente o ricercata mediante collaborazioni esterne (università, ditte specializzate, ecc.).

Si riportano di seguito alcuni esempi:

  • sistemi di clonazione delle carte magnetiche: microtelecamere, microfoni, sistemi di trasmissione a media/corta distanza, lettori di bande magnetiche, ecc.. Il problema fondamentale è dimostrare l’operatività di questi strumenti evidenziandone il raggio d’azione e segnalando eventualmente nominativi e dati di utenti frodati. Diverse sono le frodi possibili ma quella più ricorrente in Italia è lo skimming, ossia la lettura e riproduzione di carte di credito magnetiche al fine di ottenere cloni rivendibili all’estero;
  • sistemi di clonazione delle smartcard: le smartcard, ossia le carte plastificate dotate di microprocessore (chip digitale con capacità di memoria ed elaborazione) costituiscono una nuova via di spostamento di denaro e dati all’interno di una società tecnologicamente avanzata. Ampio settore investigativo in fase di crescita, le “smartcard frauds” raggruppano tutte le frodi operabili mediante carte intelligenti (smartcard, molto diffuse nei paesi in cui la criminalità ha compiuto i maggiori passi avanti). Il campo di studio è molto ampio e si ricollega anche alle frodi tramite carte di credito su Internet;
  • agende elettroniche: campo di studio simile a quello della forensic computing da cui differisce a causa del particolare hardware che si va ad analizzare. Tali sistemi hanno protezioni elettroniche ed una complessità globale inferiori di qualità rispetto ai comuni personal computer. In tal senso, l’analisi ed il superamento delle protezioni (eliminazione delle password di protezione) possono essere compiute in maniera sistematica attraverso dei particolari strumenti hardware/software ad uso esclusivo delle polizie scientifiche;
  • sistemi di videocontrollo: i nuovi sistemi di ripresa adibiti al controllo nelle banche ed in altri luoghi pubblicci sono ormai quasi tutti digitali e quindi memorizzano sequenze video digitali su hard disk invece che su VHS o altri standard video analogici. Da questo punto di vista tali sistemi possono essere considerati come computer special-purpose (specializzati) e quindi devono essere analizzati con criteri riconducibili a quelli del forensic computing;
  • sistemi di innesco e di controllo delle armi: sistemi digitali spesso controllabili a distanza che consentono di attivare armi, meccanismi esplosivi, ecc.;
  • altro…

Questo settore, cui ci si riferisce quale electronic-forensics ha un volume di analisi tecniche limitato per quantità ma non per importanza e per impegno degli operatori di laboratorio in quanto ogni indagine tecnica sembra quasi essere un mondo a sé e difficilmente si arriva a riunirle in categorie di analisi.


3.6 L’analisi forense del software

Le attività della Sezione in questo particolare ed esteso settore hanno riguardato:

  • individuazione di software pirata;
  • analisi di video-game a livello di programmazione e firmware;
  • analisi di software di protezione al fine di aggirarne le difese;
  • Impiego di programmatori di EEPROM per l’alterazione delle memorie di smartcard.

4. Le statistiche

La Sezione impiega un database specializzato nel trattamento della documentazione inerente le indagini tecniche con gli attributi che le caratterizzano. Tale archivio elettronico consente di realizzare interessanti statistiche tra le quali:

Casi Investigativi Trattati Negli Anni

20002001200220032004
Nr. di casi3770119160202

Come si può vedere l’incremento del volume di lavoro della Sezione è palesemente evidente. A tale incremento corrisponde un notevole problema di aggiornamento del personale e della strumentazione tecnico-forense da impiegare per le analisi di laboratorio. Ciò soprattutto alla luce dell’enorme velocità di cambiamento e progresso dei sistemi informatici e telematici.
Risulta poi molto interessante vedere come si sono distribuiti i casi in relazione alle varie categorie di analisi forense:

LE ANALISI FORENSI

Settore20002001200220032004
Internet2%4%12%15%20%
FC45%75%61%75%70%
Mobile8%8%8%6%8%
Electronic45%13%19%4%2%

Come evidente le indagini tecniche su Internet, seppure limitate dato che la Sezione è nata principalmente per il forensic computing (settore ad oggi di punta nelle sue attività), sono andate incrementando percentualmente dal 2000 fino ad oggi mentre le analisi di sistemi elettronici speciali, pur essendo determinanti in casi di rilevanza nazionale sono numericamente andate scemando.
Bisogna poi tenere conto che di tutte le indagini tecniche più del 40% riguarda la pedopornografia. Anche tale percentuale è in continua ascesa dal 2000 fino ad oggi, con notevoli ripercussioni sul personale tecnico che, oltre ad avere una limitata preparazione nello specifico settore pedofilo, si è trovato ad operare in un argomento di difficile approccio umano che, secondo studio in corso, porterebbe a delle alterazioni nella personalità comunque da valutare periodicamente mediante test, colloqui, ecc..

5. Gli strumenti forensi

La Sezione Telematica svolge le sue attività di analisi forense basandosi su alcuni degli strumenti più diffusi e consolidati a livello nazionale ed europeo:

  • DIBS: (Disk Image Backup System) uno dei primi sistemi di repertamento ed analisi dei dati nel forensic computing ormai in disuso dato l’enorme sviluppo della capacità delle memorie di massa;
  • EnCase: software di repertamento dati ed analisi nel settore forensic computing impiegato da diversi anni dalla maggioranza delle FFPP al mondo;
  • Linux: sistema operativo Unix-like la cui apertura a livello di sorgente consente di customizzarlo facilmente anche a livello forense (come già fatto con il comando “dd” per il dump delle memorie di massa).
  • Una serie di software di cracking, decryption, sniffing, tracing, ecc. spesso artigianali o ricavato da alterazioni di software liberamente disponibili anche a livello di sorgente. Questi ultimi sono determinanti per alcune attività, soprattutto nelle Internet investigation ma non sono generalmente certificati né sono stati sottoposti ad una discreta casistica sperimentale.


6. Problematiche tecnico-investigative

Le investigazioni tecniche nel settore ad alta tecnologia nascondono diverse problematiche sia di natura tecnica che legale. Si riporta di seguito una carrellata di essi partendo da questioni comuni ad altre molto specifiche. Ciò al fine di sottolineare l’importanza di generare uno standard nel settore almeno a livello europeo.


6.1 Problematiche comuni

Al fine di garantire le parti processuali il procedimento di analisi tecnica dei reperti informatici/telematici deve rispondere ad uno standard di qualità totale ed in particolare bisogna ottenere certificazione ed accreditamento di:

  • strumenti di analisi;
  • procedure per l’impiego degli strumenti;
  • operatore che svolge le analisi;
  • strumenti per la creazione delle Relazioni Tecniche (reporting);
  • direttore di laboratorio responsabile per il reporting.
Data poi la citata velocità di evoluzione dello specifico settore vi è la necessità di un continuo aggiornamento degli:

- strumenti impiegati;
- conoscenze degli attori coinvolti.

Oltre a tali aspetti di garanzia bisogna poi stabilire delle metodologie ottimali di natura legale che consentano una effettiva investigazione a livello almeno europeo in relazione a crimini come quelli su Internet la cui natura transnazionale è fin troppo evidente e da anni impedisce di proseguire in un congruo numero di attività investigative.
Si arriva quindi alla problematica tecnica più evidente che è quella dell’incremento della capacità delle memorie di massa. Il processo di filtering che l’operatore si trova a dover applicare è sicuramente legato al suo acume investigativo ma la possibilità di tralasciare tracce importanti durante l’analisi di più di 10000 file (numero comune in un normale PC) diviene notevole. Ciò soprattutto considerando che le tipologie di file possono essere alterate mostrando un contenuto non rispondente alla realtà oppure si può far ricorso a crittazione, steganografia, ecc. che possono impedire con meccanismi, talvolta non superabili, la lettura dei dati.
Un’altra problematica di natura tecnica particolarmente sentita dagli operatori è relativa la loro possibilità di valutare correttamente il materiale in esame. Ad esempio il semplice fatto di stabilire se un’immagine porno vede coinvolto un minore o meno al suo interno non può essere delegata ad un tecnico informatico forense che poco dovrebbe in assoluto sapere su come valutare tale fatto (non è sua specifica competenza). Tale problema si estende ovviamente a tanti altri settori della criminalità in cui si richiede erroneamente all’operatore di laboratorio di selezionare i file/dati di interesse quando quest’ultimo potrebbe non averne la competenza specifica.
L’ultima problematica cui si accennerà comune a diversi laboratori forensi “high tech” in Europa e nel mondo è l’influenza psicologica che attività quali le indagini pedo sui sistemi digitali hanno sugli operatori. Negli ultimi anni si è sollevato in tal senso un allarme non indifferente che ha portato diversi Dipartimenti scientifici ad imporre un controllo periodico del personale coinvolto mediante test scritti, colloqui, ecc..

6.2 Problematiche tecniche specifiche

La Sezione Telematica ha incontrato una grande varietà di problemi tecnici specifici durante le analisi svolte negli ultimi 5 anni da cui se ne riportano alcuni di rilevanza che possono fungere da base per ulteriori studi e soprattutto da metro di confronto con le altre realtà europee:
  • decrittazione: indagini che dovrebbero durare solo alcuni giorni spesso si protraggono per settimane a causa del problema di aprire archivi e/o documenti protetti mediante meccanismi di crittazione.
    I tempi di decrittazione variano in funzione dell’algoritmo di cifratura impiegato, della quantità di informazioni presenti nell’archivio sottoposto alla procedura di “sfondamento” nonché della potenza di elaborazione disponibile.
    Il formato compresso con password .zip impiega, ad esempio, un algoritmo relativamente debole e risulta suscettibile ad ogni tipo di attacco sia esso a forza bruta, basato su dizionario, su maschera, di tipo plain text o tendente a recuperare direttamente le chiavi di criptazione a prescindere dalla password. Uno qualsiasi dei suddetti metodi consente l’accesso all’archivio in tempi ragionevoli con una percentuale di successo di circa il 95%.
    I formati .rar o .ace presentano delle difficoltà maggiori: l’algoritmo di cifratura che impiegano è nettamente più pesante di quello precedente e la loro intrinseca natura consente attacchi basati esclusivamente su forza bruta o dizionario, ovvero il tentativo di inserimento selettivo di password recuperate da un file di testo opportunamente preparato (dizionario) o generate mediante una combinazione progressiva di stringhe alfanumeriche. Tale metodo risulta dipendente ovviamente dalla dimensione dell’archivio e dal numero di file ivi presenti poiché ogni password generata o letta dal dizionario viene provata per ognuno dei file presenti in archivio. La velocità di decriptazione e quindi inversamente proporzionale al numero di file arrivando, in alcuni casi, ad attestarsi su un valore di 8-10 password al secondo usando un elaboratore basato su Pentium 4 a 3 GHz, valore che determina tempi di elaborazione improponibili per il recupero delle chiavi d’accesso.
    In tal caso si rende pertanto necessario sfruttare una potenza di calcolo maggiore di quella che può offrire un singolo elaboratore ad esempio mediante l’impiego di tools che supportino una decrittazione distribuita attraverso l’uso di un cluster di computer o, meglio ancora, di una intera rete di macchine.
    Si noti, a tale proposito che la realtà dell’impiego di network di PC per la decrittazione è una realtà emergente in Europa come sottolineato dal resoconto sulla conferenza sul Cyber Crime tenuta a L’Aia il 19 aprile 2004, e che coinvolge le varie unità High Tech Europee. In tale meeting si è proposto infatti di gettare le basi verso la costituzione di una rete privata virtuale a livello europeo gestita dall’Europol (EU HTC VPN – già attivo e, almeno in parte, funzionale) che potrebbe, tra le altre importanti funzioni, divenire ausilio agli investigatori tecnici forensi per la decrittazione dei file;
  • filtraggio delle informazioni: l’incremento della capacità delle memorie di massa ha fatto divenire critico un problema che fino ad alcuni anni fa era risolvibile dal tecnico forense con un minimo di arguzia ed esperienza. Si tratta del come filtrare le informazioni di interesse ai fini delle indagini da una memoria di massa digitale.

Esistono problematiche di filtraggio ad almeno due livelli ma se ne potrebbero individuare diversi altri. In particolare:

  • scelta delle informazioni evidenti: anche ammettendo che tutte le informazioni contenute in una memoria di massa siano evidenti (cosa affatto scontata), l’onere di selezionarle è divenuto sempre maggiore negli ultimi anni perché innanzitutto la selezione non è brutalmente tecnica ma deve basarsi su diversi fattori non informatici quali: la personalità e le capacità tecniche dell’utente, il tipo di reato, ecc.. Ad esempio quando l’operatore High Tech deve selezionare delle immagini pedo tra tante immagini porno al fine di presentarle alla magistratura effettua un’attività di natura medica o psicologica ma certamente non coinvolge la sua competenza informatica. In questo senso risultano importanti nuovi studi che si stanno sempre più affacciando nel settore della criminologia, come il profiling degli utenti di computer. Tale affascinante settore di natura prettamente psicologico dovrebbe affiancarsi al forensic computing in fase di analisi al fine di consentire selezioni giustificate ma soprattutto corrette e quindi utili all’incriminazione e/o al prosieguo delle indagini.Come esempio pratico, uno degli accertamenti tecnici informatici più ricorrenti è la ricerca, nelle memorie di massa di un PC posto in sequestro, di documenti contenenti immagini fotografiche di natura pedo-pornografica che quindi possano essere ricondotti ad un’attività delittuosa nell’ambito della pedofilia.In un tale contesto, l’accertamento tecnico condotto con un prodotto forense come EnCase consente di analizzare tutti i file contenenti immagini fotografiche al fine di evidenziare l’eventuale presenza di documenti di interesse per le indagini. Tuttavia l’enorme mole di immagini solitamente rinvenibili rende estremamente lunga e tediosa la fase di individuazione preliminare dei possibili file di interesse. Ciò è ancor più vero se si tiene conto del fatto che di norma la maggioranza dei file contenenti immagini (grafiche o fotografiche) è costituita da materiale grafico facente parte del software del sistema operativo o dei vari pacchetti applicativi installati dall’utente.L’esperienza acquisita nel corso dei numerosi accertamenti tecnici finora effettuati ha permesso di individuare dei criteri di selezione medianti i quali si può sensibilmente ridurre il numero dei file da analizzare.Un primo criterio è basato sul confronto dei valori Hash MD5 tra i file rinvenuti sulla memoria di massa e le librerie di Hash a disposizione del tecnico. In tal modo è subito possibile evidenziare l’appartenenza di determinati file a specifici pacchetti software, siano essi sistemi operativi o applicazioni varie. Ciò consente quindi di escludere una parte più o meno significativa di file dalla successiva analisi individuale. Questo stesso criterio, del resto, consente anche l’immediata identificazione di eventuali file contenenti immagini fotografiche di natura pedo-pornografica, qualora risulti positivo il match dei valori Hash MD5 di tali file con quelli disponibili in apposite librerie. Può quindi essere di estrema utilità la costituzione di una ricca libreria di Hash MD5, generati a partire dai file contenenti immagini pedo-pornografiche individuati nel corso degli stessi accertamenti tecnici condotti in precedenza.Un secondo criterio di selezione è poi basato sull’identificazione e successiva valutazione della risoluzione di ciascuna immagine grafica, con particolare attenzione ai file del formato JPEG i quali risultano di fatto quelli di gran lunga più utilizzati per la memorizzazione di immagini fotografiche. La valutazione della risoluzione delle singole immagini consente infatti di scartare dalla successiva analisi individuale tutte le immagini “troppo piccole”, ovvero non sufficientemente grandi in termini di risoluzione da poter essere di oggettivo interesse per le indagini. Tale criterio è stato messo in pratica mediante la scrittura di un’apposita script per EnCase (nelle sue versioni 3 e 4) che consente all’utente di specificare la risoluzione minima delle immagini JPEG da ricercare. I file così selezionati vengono segnalati tramite bookmark ed eventualmente estratti in un’apposita cartella. Della citata script sono state sviluppate due distinte versioni: la prima prende in considerazione i file JPEG rinvenuti da EnCase in area allocata e quindi mostrati in tabella; la seconda invece ricerca i file JPEG nell’intera area non allocata della memoria di massa in esame. Entrambe le versioni della script sviluppata consentono una riduzione in media del 60% del numero complessivo di file JPEG da destinare all’analisi visuale individuale;
  • scelta delle informazioni non evidenti: dalla crittazione al nascondere informazioni in file la cui estensione non corrisponde al contenuto fino a confondere piccoli file in cartelle enormi quali quelle del sistema operativo, ecc.. Si tratta di metodi molto fruibili che permettono di nascondere efficacemente le informazioni.Si ponga il caso, ad esempio, che l’investigatore stia cercando in un Hard Disk delle foto digitali. Per prima cosa si tenterà di isolare tutti i file che verosimilmente possano contenere tali immagini. L’individuazione sarà basata fondamentalmente sull’analisi dell’estensione del file, concentrando l’attenzione su specifici formati (jpg, bmp, tif, png, …) che comunemente sono destinati a contenere immagini. In questo modo, però, si escludono dalla ricerca quei file ai quali l’utente indiziato potrebbe aver modificato l’estensione, proprio al fine di sviare l’attenzione dell’investigatore dal contenuto particolarmente riservato.Per evitare tali circostanze, l’investigatore potrebbe allora avvalersi di strumenti software capaci di confrontare l’estensione con l’header di ciascun file, al fine di evidenziarne eventuali anomalie. L’header di un file, infatti, costituisce una sequenza di particolari valori (stringa di byte) posti all’inizio del file, che identificano (spesso univocamente, ma non sempre) la tipologia dei dati contenuti. Utilizzando questa tecnica si riduce notevolmente la possibilità che particolari file sfuggano all’attenzione dell’investigatore forense, tuttavia potrebbero ancora rimanere esclusi taluni file nei quali sia stato appositamente inserito un header anomalo ma compatibile con la nuova estensione opportunamente assegnata.A tal punto l’investigatore non dispone attualmente di collaudati strumenti di analisi, capaci di evidenziare la presenza di file così profondamente alterati. Per questo motivo ci si spinge verso altre metodologie di analisi del contenuto delle memorie di massa, che possano prescindere dall’esame dell’estensione e dell’header, come lo scanning statistico.La Sezione Telematica ha realizzato a tale scopo un software denominato “FileScanner”, operante in ambiente Windows, grazie al quale è possibile evidenziare graficamente alcune proprietà statistiche che utilmente possono essere prese in considerazione al fine di caratterizzare automaticamente il formato del file partendo dalla sua analisi binaria.

È importante sottolineare, per finire, che l’ambito del filtraggio delle informazioni non è solo importante nel forensic computing ma la sua prima apparizione ed il settore di punta in cui si evidenzia la sua necessità è ovviamente nella supervisione dei canali dati (ad es. il controllo delle dorsali). L’information filtering, in questo caso, fa sue diverse tecniche mutuate dal consolidato settore del data mining (o più limitatamente text mining) che si occupa di “estrarre automaticamente non note ma valide ed utili informazioni da grandi sorgenti di dati quali ad esempio database per poi poter impiegare in processi decisionali”[16].

  • Immagini virtuali: esistono almeno due tipologie di immagini digitali che possono essere utili nel settore delle indagini sul pedo-porno e che attualmente non possono essere considerate illegali in stretto riferimento allo specifico. La prima categoria racchiude le immagini ottenute come mistificazione di foto reali o composizione di parte di esse. La seconda quei disegni realizzati con strumenti generalmente software che richiamano situazioni pedo-porno o pedo-erotiche. La legge italiana, ad oggi, non consente di riferirsi a tali materiali come esplicitamente pedofili.
    Tali rappresentazioni, che tendono attualmente ad aggirare le norme vigenti, vanno comunque ad incrementare un mercato sempre crescente della pedo-pornografia, assemblando pezzi di corpi reali con parti disegnate o pezzi di veri e propri fumetti o cartoni animati.
    Le condotte mirate alla trattazione del materiale di cui sopra, se riconosciute tali, consentono in base alla normativa vigente una riduzione della pena di un terzo rispetto alle sanzioni per le immagini di minori reali.
    Un fenomeno molto diffuso fra i procacciatori di tale materiale, stante ai dati relativi alle analisi finora trattate da questa Sezione, consiste nella ricerca, scambio etc., di materiale dai contenuti pornografici e pedopornografici sia sottoforma di fumetti o cartoni animati realizzati con tali contenuti (vds Manga) sia sottoforma di ritocchi di fumetti esistenti ed innocenti, ove i protagonisti (spesso miti per i bambini) vengono raffigurati in atti sessuali (vds Simpson, Pokemon etc.).
    In data 7 novembre 2003 il Governo italiano, durante la riunione del Consiglio dei Ministri, ha approvato un disegno di legge per far fronte al preoccupante fenomeno della pornografia infantile e dello sfruttamento sessuale dei minori, mirata in particolar modo e quella realizzata e veicolata attraverso gli strumenti informatici.
    La proposta di legge, frutto del lavoro del Comitato Interministeriale di Coordinamento per la lotta alla Pedofilia (CICLOPE), e suddivisa in 19 articoli organizzati in due Capi: “Disposizioni in materia di lotta contro lo sfruttamento sessuale dei bambini e la pedo-pornografia” e “Norme contro la pornografia infantile a mezzo internet”, deriva dall’intenzione di:
    (1) superare rapidamente quelle che si sono rivelate nel tempo delle gravi lacune dell’impianto normativo, sostanziale e processuale, realizzato dalla legge n. 269 del 1998, intitolata "Norme contro lo sfruttamento della prostituzione, della pornografia, del turismo sessuale in danno di minori, quali nuove forme di riduzione in schiavitù", alla luce delle nuove tecnologie informatiche e dei nuovi mezzi di diffusione e commercializzazione del materiale pornografico realizzato attraverso lo sfruttamento di minori (vds programmi di file-sharing, diffusione a mezzo newsgroup con contenuti binari etc.);
    (2) adeguare sostanzialmente la disciplina processuale vigente al contenuto della Decisione quadro 2004/68/GAI del Consiglio Europeo, che induce gli Stati membri, tra le altre cose, ad incriminare anche la pornografia infantile c.d. “apparente” (anche se del problema delle immagini tipiche dei fumetti pedo-pornografici nulla è evidenziato direttamente).
  • Nuovi media digitali e nuovi aspetti investigativi: la Sezione Telematica incontra continuamente nuovi problemi in relazione all’analisi di dispositivi digitali di rinnovata concezione. Un tipico esempio è costituito dai dispositivi wireless.
    (1) Sono comunemente disponibili sul mercato dei prodotti che permettono di rendere di tipo wireless gli hard-disk e le informazioni in esso contenute. Vedasi il prodotto che l'Asus mette in vendita  ampliando ulteriormente la propria gamma nell’ambito delle soluzioni WLan, presentando il nuovo WL-HDD, un compatto dispositivo di memorizzazione unico nel suo genere. Si tratta di una nuova soluzione nata per rispondere alle esigenze di memorizzazione e condivisione dei dati anche attraverso un collegamento Wireless basato su protocollo IEEE 802.11g e compatibile con lo standard 802.11b. I problemi che si creano sono di natura sia tecnica che legale: (a) riuscire a trovare fisicamente i dispositivi durante l’intervento sulla scena del crimine, (b) avere la corrispondente autorizzazione formale della magistratura ad effettuate il sequestro (ad es. un WL-HDD può trovarsi in un domicilio adiacente ma comunque diverso da quello dell’intervento.
    (2) Con l'evoluzione di protocolli di comunicazione mobile quali ad esempio l'UMTS, che garantiscono un flusso dati paragonabile a quello degli ormai più comuni servizi su cavo, dispositivi portatili come i cellulari stanno divenendo sempre di più vere e proprie mini-workstation da tasca. Computer palmari o smartphone, che sino a pochi mesi fa consentivano esclusivamente di utilizzare servizi da organizer, attualmente integrano sistemi di comunicazione che spaziano dal BT al Wi-Fi, dal wap-gsm-gprs sino all'UMTS e utilizzano unità di memorizzazione che superano ormai le dimensioni del Gigabyte. In questo modo è possibile, oltre che a visualizzare immagini, riprodurre contenuti audio e video, prelevare o riversare in rete grandi quantità di dati senza aver necessariamente dover utilizzare un desktop o un notebook. Attraverso questi stessi dispositivi si possono effettuare riprese fotografiche o piccoli clip, utilizzando le camere ccd integrate, pronti per poter essere trasmessi in rete o attraverso i servizi di messaggistica avenzati come l'mms, il video-mms o l'e-mail. Tutto ciò porta a: (a) la difficoltà di monitoraggio del flusso dati tra questi sistemi che di fatto possono anche realizzare canali crittati “sicuri” e (b) difficoltà nel repertamento dei dati multimediali che contengono.

7. Conclusioni

Il Raggruppamento Carabinieri Investigazioni Scientifiche, con il presente progetto, si è proposto quanto segue:

  • aggiornare ed allineare le proprie conoscenze relative alle investigazioni su Internet nel settore specifico della pedo-pornografia;
  • incentivare, nell'ambito delle investigazioni telematiche, il ricorso a metodi e strumenti standard di investigazione tecnica al fine di fornire agli organi giudiziari referti inequivocabilmente interpretabili e sensibilizzare le competenti autorità nella direzione di realizzazione di uno standard per le analisi forensi High Tech in Europa;
  • agevolare le procedure di cooperazione internazionale, attraverso l'approfondito esame delle normative vigenti e della diretta conoscenza interpersonale tra i funzionari che si occupano del settore nell'ambito dei Paesi destinatari del progetto proponendo utili modifiche inerenti le direttive europee nel settore della pedo-pornografia;
  • ottenere documentazione valida da sottoporre all’attenzione di tutti i partecipanti la conferenza e dei reparti dell’Arma direttamente coinvolti nel contrasto al fenomeno pedo-pornografia su Internet.

La Sezione Telematica ha contribuito per l’aspetto tecnico/legale di stretta competenza provvedendo ad evidenziare sommariamente il proprio inquadramento operativo, i mezzi tecnici, le statistiche sulle indagini e le inevitabili problematiche affrontate e da affrontare nei prossimi anni per continuare la lotta alla criminalità nel settore Alta Tecnologia.

Cap. M. Mattiucci, Mar.Ord. R. Olivieri, Mar. Ord. A. Natale, Mar. Ord. G. Finizia, Mar. Ord. A. Turco, Car. Sc. L. Giampieri, Car. Sc. S. G. Monfreda del Raggruppamento Investigazioni Scientifiche CC di Roma - Sezione Telematica.



Bibliografia

  • [1]  Vlasti Broucek, Paul Turner (2001), “Forensic Computing: Developing a Conceptual Approach in the Era of Information Warfare”, School of Information Systems, University of Tasmania, Australia, Journal of Information Warfare.
  • [2] Vlasti Broucek, Paul Turner (2001), “Forensic Computing: Developing a Conceptual Approach for an emerging Academic Discipline”, School of Information Systems, University of Tasmania, Australia, 5th Australian Security Research Symposium.
  • [3] Mc Kemmish, R. (1999), “What is Forensic Computing”, Trends and Issues in Crime and Criminal Justice (118), Australian Institute of Criminology.
  • [4] Farmer D., Venema W. (2000), “Forensic Computer Analysis: an Introduction. Reconstructing past Events.”, Dr Dobb’s Journal, 29, 70-75.
  • [5] Bates J, (1997), “Fundamentals of computer forensics”, International Journal of Forensic Computing.
  • [6] Bates, J. (2001). “DIVA Computer Evidence (Digital Integrity Verification and Authentication)”, International Journal of Forensic Computing, 26 March 2001.
  • [7] R.Rivest (1992), RFC 1321 - “The MD5 message digest algorithm”, MIT laboratory for computer science and RSA Data Security, Inc., April 1992.
  • [8] Vlasti Broucek, Paul Turner (2002), “E-mail and WWW browsers: a forensic computing perspective on the need for improved user education for information systems security management”, School of Information Systems, University of Tasmania, Australia.
  • [9] Chet Hosmer (1998),“Time-lining Computer Evidence”, WetStone Technologies Inc.
  • [10] Farmer D. (2001), “Bring out your dead. The Ins and Out of Data recovery”, Dr Dobb’s Journal, 30(1).
  • [11] ACPO (2000), “Good Practice Guide for Computer Based Electronic Evidence”, The Association of Chief Police Officers (ACPO) Computer Crime Group.
  • [12] T. Sammes, B. Jenkinson (2000), “Forensic computing: a Practitioner’s guide”, Springer Publications.
  • [13] A.J. Marcella, R.S.Greenfield (2002), “Cyber Forensics: a field manual for collecting, examining and preserving evidence of computer crimes”, Auerbach Publications.
  • [14] M.M. Ferraro, E. Casey (2005), “Investigating Child Exploitation and Pornography”, Elsevier Academic Press.
  • [15] E. Casey (2004), “Digital Evidence & Computer Crime” 2° edition, Elsevier Academic Press.
  • [16] P. Cabena, P. Hadjinian, R. Stadler, J. Verhess, A. Zanasi (1997), “Discovering data mining: from concept to implementation” IBM Redbooks, Prentice Hall.