Un PC per Sherlock Holmes

Il Comandante del Reparto Tecnologie Informatiche del Ris ci guida alla scoperta dell’Informatica forense: disciplina in continua evoluzione, che riveste un ruolo fondamentale nelle moderne tecniche d’indagine
Elementare, Watson, elementare… E Holmes tornò ad osservare quell’impronta ingrandita e distorta dalla lente; la pipa emise l’ennesimo sbuffo di fumo, nascondendo quasi la stanza in cui la calda poltrona di cuoio fronteggiava il caminetto, e la stilografica, caduta sicuramente durante la colluttazione, giaceva sul morbido tappeto.

Là, in un angolo, l’attizzatoio, ancora sporco di sangue, faceva bella mostra di sé tra i pezzi degli scacchi sparsi a terra. Un’altra nuvola di fumo riempì la stanza proprio mentre la pendola suonava la mezzanotte, poi si diradò, e... in quella stanza cominciarono a muoversi bianchi fantasmi, mentre improvvisi lampi di luce riflettevano ombre sinistre sulle pareti. Lentamente, la pinzetta prelevò il capello deponendolo nella bustina trasparente mentre, poco lontano, un tampone prelevava campioni di sangue e l’azzurro alone del luminol evidenziava tracce altrimenti invisibili ad occhio nudo.

Holmes, dal suo affascinante mondo di carta, osservava intanto con distacco quei suoi moderni discepoli che, non potendo contare sull’acume del bravo Watson, né sulla sua proverbiale perspicacia, si dedicavano alla raccolta di quanto sarebbe stato poi sottoposto a ogni tipo di accertamento di laboratorio da cui far scaturire non solo ipotesi, ma addirittura certezze.

I carabinieri del Reparto Investigazioni Scientifiche«Noi abbiamo terminato», disse il biologo. «Anche noi», aggiunse il chimico. «Noi cominciamo adesso», disse invece un altro avvicinandosi alla scrivania su cui campeggiava lui: il personal computer. Lì accanto, l’hard disk esterno da 500 Gb ronzava sommessamente, quasi stesse bisbigliando alla pen drive che gli faceva compagnia. Sul pianale di cristallo sfumato delle polveri argentate dei rilievi dattiloscopici – come ogni oggetto in quella stanza, del resto –, in una piccola rastrelliera, erano ordinatamente riposti cd e dvd dalle sobrie etichette che ne indicavano il contenuto.

Nel silenzio della stanza, un cellulare prese a suonare una canzoncina, incurante della sorte del suo proprietario che, fino a poco prima, giaceva in una pozza di sangue. Inutile dire che il portafogli della vittima era una vera e propria miniera di carte di credito, e il Black Berry prometteva chissà quali notizie…

Il bianco fantasma addetto all’informatica forense, per un attimo, solo per un attimo, si sentì smarrito, guardò con apprensione dalla finestra le telecamere di sorveglianza, di certo collegate ad un altro computer, poi iniziò il suo lavoro… Dallo scaffale della libreria, intanto, Sherlock Holmes lo guardava con curiosità crescente: cosa fossero tutte quelle “cose” strane, infatti, lui proprio non lo capiva!

Un’introduzione dal sentore romanzesco, ma non così lontana dalla realtà. Certo Sherlock Holmes avrebbe capito, o potuto comunque intuire (del resto non era forse il più grande investigatore di tutti i tempi?), e decisamente apprezzare, i moderni metodi di rilevazione delle impronte digitali, così come la raccolta di prove biologiche o chimiche. Di certo, però, anche lui sarebbe rimasto interdetto dinanzi a tutte quelle operazioni connesse all’ultima nata tra le scienze forensi: l’informatica.

Senza voler sminuire l’attività di dattiloscopisti, biologi, chimici o balistici, che anzi oggi più che mai sono chiamati a gestire sfide di altissimo livello, vorremmo qui far semplicemente notare come tutte le attività forensi più “antiche” nascano praticamente con l’investigazione. Forse chi svolse l’indagine per l’assassinio di Giulio Cesare non si preoccupò di rilevare impronte digitali (anche perché, mai come in quel caso, gli assassini erano noti), ma senza dubbio da Sherlock Holmes in poi, dalla lente di ingrandimento al microscopio elettronico o comparatore, le attività sono praticamente rimaste le stesse, pur nella crescente complessità delle “macchine” che quelle indagini consentono di svolgere con sempre maggior precisione e attendibilità.

L’informatica, poi, porta in sé il germe del continuo divenire, di un susseguirsi frenetico di innovazioni che rendono obsolete le conoscenze in tempi davvero irrisori. Ovvia conseguenza è che altrettanto accada per le indagini ad essa connesse: ognuna è di per sé una continua sfida, che parte ancor prima di iniziare l’accertamento, legata alla speranza che non si tratti dell’ennesimo nuovo modello di computer, telefonino o hard disk, che il sistema operativo sia noto o si riesca a “bucare” il muro di eventuali password o, ancora, che chi deteneva quell’apparato non fosse un tale esperto del campo da “blindare” il tutto.

Un esempio, per comprendere la complessità di quanto qui si sta trattando: in Italia circolano circa quattromila modelli di telefoni cellulari differenti, e quasi altrettanti sono i connettori che consentono il loro “accoppiamento” a un computer per leggerne il contenuto, o “semplicemente” per ricaricarne la batteria (per fortuna è intervenuto un accordo che, a breve, renderà unico almeno il collegamento all’alimentazione elettrica). E il trend (la tendenza) di crescita di tali apparati è esponenziale, così da proporre di volta in volta nuove e inaspettate sfide.

Sopra, nel nostro romanzesco incipit, si è voluto evidenziare come, in una sola stanza della nostra “casa del delitto”, fosse presente una mole ingente di apparecchiature elettroniche, su cui ricade la competenza dell’informatico forense. Possiamo dire anzi che è davvero difficile ipotizzare una “scena del crimine” nella quale non vi siano apparecchiature informatiche da esaminare: non parliamo infatti solo delle più appariscenti, come un pc o un hard disk esterno, ma anche di telefoni cellulari, carte di credito, sistemi di videosorveglianza.

Alla gran mole di apparati si deve poi sommare un’altra grande incognita con la quale l’informatico forense si scontra quotidianamente: i meandri cibernetici dei supporti informatici, in cui si può nascondere il dato utile alle indagini e a cui si aggiunge, problema nel problema, l’indagine su quel che non esiste più, ossia i file cancellati o sovrascritti. E questo tacendo dei sistemi di criptazione sempre più sofisticati o della nuova frontiera del mimetismo costituita dalle attività di steganografia, ovvero il “nascondere” un file all’interno di un altro, in modo che un’innocente Divina Commedia, come tale leggibile e fruibile dall’utente “onesto”, possa celare, per il “disonesto” in possesso di adeguati strumenti informatici, informazioni di tutt’altro tipo.

Attenzione, però: se già appare di non facile approccio l’analisi degli apparati e dei file che questi contengono, si deve tener presente anche che, onde garantire le tutele della difesa, ogni necessaria operazione deve essere eseguita così da non modificare in alcun modo il contenuto di quanto sottoposto ad esame, e ciò tenendo presente una fondamentale condizione: ogni operazione svolta, se non eseguita con conoscenze e strumenti dovuti, lascia comunque traccia di sé; una traccia che, in sede dibattimentale, potrebbe fornire appiglio per inficiare ogni prova che fosse scaturita.

E fin qui ci siamo ancora limitati al “semplice” esame di tutte quelle apparecchiature che fanno ormai parte della nostra vita quotidiana. Ma un altro mare magnum in cui anche l’informatica forense deve necessariamente navigare è quello costituito dalla Rete. Una vera miniera, per le indagini: saranno state inviate e-mail dalla vittima? Ne avrà ricevute? A quale provider era collegata? Quali siti ha visitato?

Insomma, se fino a ieri “informatica forense” poteva apparire all’utente medio (categoria cui apparteneva anche chi scrive, ancora non molto tempo fa) un’espressione degna del latinorum di manzoniana memoria, oggi, dopo la lettura di questo articolo, così non può più essere. Per quanto, in caso non bastasse quanto sin qui evidenziato, c’è da aggiungere almeno un’altra difficoltà relativa a tale branca di indagine.

Proprio la mancata conoscenza da parte di entità terze coinvolte nelle indagini – dalla forza investigativa territoriale alla Magistratura – dei meandri cibernetici e della complessità in cui l’informatica forense opera comporta infatti, con una certa frequenza, la proposizione di generiche domande per la ricerca di “elementi utili alle indagini”, là ove tale dizione appare di certo nebulosa per chi dell’indagine “sul campo” ha solo un vago sentore.

Anche in questo caso, un esempio può aiutare a chiarire il concetto. Se un Comando sta svolgendo un’indagine connessa ad abusi su minori, può chiedere che siano acquisite informazioni da computer in possesso del presunto colpevole; ma se, dall’esame, si ricavassero innocenti immagini di bimbi che giocano in un parco cittadino, queste potrebbero assolutamente non essere pertinenti all’indagine per l’informatico forense, ma esserlo per l’investigatore sul campo, che potrebbe riconoscere in quelle innocenti immagini una sorta di “campionario” dei minori su cui si stava appuntando l’attenzione dell’inquisito.

Di qui la necessità di giungere ad una “educazione” anche delle forze investigative territoriali, o della stessa Magistratura inquirente, cui l’informatico forense potrà fornire tutto il suo apporto di conoscenze e l’indispensabile competenza e preparazione specifica, in quel rapporto di sinergie investigative e tecniche che, sole, possono consentire un’indagine completa e portatrice di risultati concreti nel contrasto a fenomeni di certo gravissimi come, nell’esempio sopra riportato, la pedopornografia.

Tornando al nostro Sherlock Holmes, già spaesato dinanzi alle apparecchiature elettroniche, di certo il più celebre dei detective letterari troverebbe concrete difficoltà di comprensione anche nell’esaminare miserevoli pezzetti di plastica così lontani dalle sue sterline, ma che tuttavia sono ugualmente danaro, pur se “elettronico”. Carte di credito o bancomat sono oggi la nuova frontiera del furto o della truffa, e anche in questo campo l’informatica forense è sempre più impegnata, vuoi nel caso delle “clonazioni”, vuoi nei sofisticati metodi  utilizzati da quanti “operano” nel campo.

Chi penserebbe mai, ad esempio, che quella piccola banda magnetica che si trova sul nostro bancomat possa essere “catturata” come fosse un file sonoro? Già, perché in effetti è come un pezzetto del nastro di un vecchio registratore. Ricordate i “Geloso” della nostra infanzia? È proprio così che oggi vengono “catturati” alcuni dati. Per tutelarsi, allora, quando si eseguono operazioni, tutto sta nel porre in essere quelle minime precauzioni necessarie: assicurarsi che non ci sia nessuno, nei pressi dello sportello, in grado di leggere il nostro Pin; verificare, con una minima trazione verso l’alto, che la tastiera dell’Atm non venga via perché incollata su quella autentica preesistente; coprire la mano che digita il codice e verificare che, nei pressi della tastiera, non vi siano oggetti strani (che potrebbero contenere telecamere o macchine fotografiche) come, ad esempio, distributori di volantini pubblicitari.

In conclusione, consci di non aver dato risposte ma semmai di aver suscitato curiosità e desiderio di saperne di più, speriamo che d’ora in poi “informatica forense” non sia solo, per i lettori de Il Carabiniere, un vago concetto troppo spesso assimilato all’uso generico di un computer, ma una nuova frontiera investigativa, cui andrà riconosciuto un “rango” non dissimile da quello assegnato nel corso dei secoli a scienze come biologia, chimica o balistica.

E per non abusare ancora della bontà dei lettori, concludiamo con uno slogan, da investigatore ad investigatore: “Aiutateci ad aiutarvi”!