articolo per luca forensics - Professor Giovanni Ziccardi

Capitolo
L’INGRESSO DELLA COMPUTER FORENSICS NEL SISTEMA
PROCESSUALPENALISTICO ITALIANO: ALCUNE CONSIDERAZIONI
INFORMATICO-GIURIDICHE
di Giovanni Ziccardi
SOMMARIO: 1. L’introduzione di alcune best practice delle investigazioni digitali nel
sistema processualpenalistico italiano. – 2. L’importanza dei concetti di «valore» e di
«resistenza». – 3. Il rischio di contaminazione della fonte di prova digitale. – 4. Le
procedure tipiche. – 5. Conclusioni.
1. L’introduzione di alcune best practice delle investigazioni digitali nel sistema
processualpenalistico italiano. – Il provvedimento di ratifica ed esecuzione,
nell’ordinamento italiano, della Convenzione del Consiglio d’Europa sulla criminalità
informatica di Budapest del 2001, con le correlate norme di adeguamento, ha
esplicitamente previsto, in sette diversi punti, alcune regole che, da tempo, sono
considerate delle best practice1 nel settore scientifico della computer forensics, la
scienza che studia le problematiche tecniche e giuridiche correlate alle investigazioni su
dati digitali2.
1
Si intende per best practice un comportamento, non necessariamente formalizzato in
documenti, codici o manuali, che viene considerato dalla comunità scientifica e dagli operatori
come un modo corretto, a volte il più corretto, per svolgere determinate operazioni tecniche.
2
Per un’introduzione generale, anche ai temi illustrati nella seconda parte di questo Articolo, sia
consentito il rinvio a L. LUPÀRIA, G. ZICCARDI, Investigazione penale e tecnologia informatica.
L’accertamento del reato tra progresso scientifico e garanzie fondamentali, Giuffrè, Milano,
2007. Si vedano anche D. D’AGOSTINI (a cura di), Diritto penale dell’informatica dai computer
crimes alla digital forensics, Experta Edizioni, Forlì, 2007, L. CHIRIZZI, Computer forensic il
reperimento della prova informatica, Laurus Robuffo, Roma, 2006, A. MONTI, Attendibilità dei
sistemi di computer forensic, in ICT Lex 10 febbraio 2003, in Internet all’indirizzo
http://www.ictlex.net), P. PERRI, La computer forensics, in G. ZICCARDI, Manuale Breve di
Informatica Giuridica, Giuffrè, Milano, 2006) e, in un senso più tecnico e divulgativo, A.
GHIRARDINI, G. FAGGIOLI, Computer Forensics, Apogeo, Milano, 2007. Nella letteratura
nordamericana si veda, con particolare riferimento alle indagini sulle reti telematiche, E.
CASEY, Network traffic ad a source of evidence: tool strenghts, weaknesses, and future needs,
in Digital Investigation, 2004, 1, pp. 28-43. Con riferimento al trattamento delle fonti di prova
nell’ambito della telefonia mobile si veda F. CASADEI, A. SAVOLDI, P. GUBIAN, Forensics and
SIM cards: an overview, International Journal of Digital Evidence, Fall 2005, Volume 5, Issue
1,
in
Internet
all’indirizzo
http://www.utica.edu/academic/institutes/ecii/publications/articles/EFE3EDD5-0AD1-608628804D3C49D798A0.pdf. Sulle corrette e innovative modalità di approccio d’oltreoceano a
questa disciplina si veda A. BRINSON, A. ROBINSON, M. ROGERS, A cyber forensics ontology:
creating a new approach to studying cyber forensics, in Digital Investigation 3S, 2006, pp. S37S43; J. ANASTASI, The New Forensics: Investigating Corporate Fraud and the Theft of
Intellectual Property, John Wiley & Sons, 2003; C. STEEL, Windows Forensics: The Field
Guide for Corporate Computer Investigations, Wiley Publishing, 2006; B. D. CARRIER, E. H.
SPAFFORD, Categories of digital investigation analysis techniques based on the computer
Prima di procedere all’analisi dei singoli punti, è opportuno premettere che il legislatore
italiano si è mantenuto, nelle definizioni e nella indicazione delle procedure
informatico-giuridiche da seguire, molto generico: non ha elencato, in dettaglio, la
metodologia, ma si è focalizzato, in maniera molto lata, su due aspetti più legati al
risultato finale che al metodo: la corretta procedura di copia di dati oggetto di indagine e
la integrità/non alterabilità del supporto utilizzato per effettuare detta copia.
Nonostante la genericità delle indicazioni, una simile introduzione, seppure molto light,
di alcuni principi di base della computer forensics nel codice di procedura penale
italiano costituisce sicuramente una novità interessante.
In questo breve studio introduttivo si tralasceranno le questioni processualpenalistiche,
già affrontate egregiamente in quest’Opera da esperti del settore, per affrontare invece
alcune questioni di base informatico-giuridiche correlate alla prassi delle investigazioni
digitali.
Il primo riferimento alle modalità migliori per conservare i dati e non alterarli è
riscontrabile nell’articolo 8 della legge, che ha modificato l’articolo 244 comma 2,
secondo periodo, del codice di procedura penale.
In particolare, sono state aggiunte le seguenti parole: «, anche in relazione a sistemi
informatici o telematici, adottando misure tecniche dirette ad assicurare la
conservazione dei dati originali e ad impedirne l’alterazione».
Il testo completo dell’articolo che apre la parte del codice dedicata ai mezzi di ricerca
della prova con l’importante istituto dell’ispezione è ora il seguente:
«Art. 244. Casi e forme delle ispezioni. 1. L’ispezione delle persone, dei luoghi e delle
cose è disposta con decreto motivato quando occorre accertare le tracce e gli altri effetti
materiali del reato. 2. Se il reato non ha lasciato tracce o effetti materiali, o se questi
sono scomparsi o sono stati cancellati o dispersi, alterati o rimossi, l’autorità giudiziaria
descrive lo stato attuale e, in quanto possibile, verifica quello preesistente, curando
anche di individuare modo, tempo e cause delle eventuali modificazioni. L’autorità
giudiziaria può disporre rilievi segnaletici, descrittivi e fotografici e ogni altra
history model, in Digital Investigation 3S (2006) S121-S130. G. MOHAY, A. ANDERSON, B.
COLLIE, O. DE VEL, R. MCKEMMISH, Computer and intrusion forensics, Artech House, BostonLondon, 2003; P. STEPHENSON, The right tools for the job, in Digital Investigation, 2004, 1, pp.
24-27; E. CASEY, Digital Evidence and Computer Crime. Forensic science, computers and the
Internet, Second Edition, Elsevier Academic Press, 2004; N. JONES, Training and accreditation
– who are the experts?, in Digital Investigation, 2004, 1, pp. 189-194; D. A. SCHMITKNECHT,
Building FBI computer forensics capacity: one lab at a time, in Digital Investigation, 2004, 1,
pp. 177-182; E. E. KENNEALLY, Digital logs – proof matters, in Digital Investigation, 2004, 1,
pp. 94-101; E. HUEBNER, D. BEM, C. KAI WEE, Data hiding in the NTFS file system, in Digital
Investigation, 3 (2006), pp. 211 – 226; C. VAUGHAN, Xbox security issues and forensic
recovery methodology (utilising Linux), in Digital Investigation, 2004, 1, pp. 165-172; M. G.
SOLOMON, D. BARRETT, N. BROOM, Computer forensics jumpstart, Sybex, San FranciscoLondon, 2005; S. HILLEY, Anti-forensics with a small army of exploits, in Digital Investigation,
4, 2007, pp. 13-15; E. CASEY, The need for knowledge sharing and standardization, in Digital
Investigation (2004), 1, pp. 1-2; P. SOMMER, The challenges of large computer evidence cases,
in Digital Investigation, 2004 (1) pp. 16-17; B. D. CARRIER, J. GRAND, A hardware-based
memory acquisition procedure for digital investigation, in Digital Investigation, 2004, 1, pp.
50-60. Infine, con riferimento all’approccio a tali tematiche da parte delle Forze dell’Ordine, si
veda M. MATTIUCCI, G. DELFINIS, Forensic Computing, in Rassegna dell’Arma dei
Carabinieri, Anno LIV, aprile/giugno 2006, n. 2-2006, p. 52.
operazione tecnica, anche in relazione a sistemi informatici o telematici, adottando
misure tecniche dirette ad assicurare la conservazione dei dati originali e ad impedirne
l’alterazione».
Due sono i punti che il legislatore affronta in questo primo articolo:
a) la necessità di misure tecniche che assicurino la conservazione dei dati originali e
b) l’adozione di procedure che non alterino i dati stessi.
I due aspetti, pur correlati, sono ben distinti.
In primo luogo, viene stabilita la «sacralità» della conservazione dei dati originali, sia in
vista di ulteriori analisi eventualmente necessarie in futuro sia, più semplicemente,
nell’ottica di garantire che, anche a distanza di mesi od anni, ci possa essere sempre la
possibilità, per le parti processuali, di riferirsi e di confrontarsi con dati originali.
La non alterabilità dei dati è un punto altrettanto importante: il legislatore evidenzia la
necessità di operare sempre su una copia dei dati (soprattutto con procedure di analisi
che possono risultare «invasive»), essendo il lavoro su copia, anche se non
esplicitamente indicato, il metodo più facile per non alterare l’originale.
Si noti, però, che la disposizione di non alterabilità vale anche per la procedura stessa di
copia: la copia su cui poi indagare deve essere effettuata con metodi che non alterino in
alcun modo i dati originari.
La seconda modifica integrativa, volta ad introdurre regole basilari di forensics nel
codice di procedura penale, riguarda l’articolo 247, dedicato alle perquisizioni, dove,
dopo il I comma, è inserito il seguente:
«1-bis. Quando vi è fondato motivo di ritenere che dati, informazioni, programmi
informatici o tracce comunque pertinenti al reato si trovino in un sistema informatico o
telematico, ancorchè protetto da misure di sicurezza, ne è disposta la perquisizione,
adottando misure tecniche dirette ad assicurare la conservazione dei dati originali e ad
impedirne l’alterazione».
Questa ipotesi prevede un intervento leggermente più invasivo da parte di eventuali
investigatori (si noti il riferimento alla possibilità di «aggirare» le misure di sicurezza) e
ribadisce la necessità di procedere secondo i due punti già commentati poco sopra. La
frase contenente le regole di base di forensics che era presente nell’articolo precedente è
riportata, inalterata, anche in questo articolo.
La modifica successiva, in tal senso, riguarda l’articolo 254, dedicato al sequestro di
corrispondenza, cui viene aggiunto un 254-bis del seguente tenore:
«Art. 254-bis – (Sequestro di dati informatici presso fornitori di servizi informatici,
telematici e di telecomunicazioni). – 1. L’autorità giudiziaria, quando dispone il
sequestro, presso i fornitori di servizi informatici, telematici o di telecomunicazioni, dei
dati da questi detenuti, compresi quelli di traffico o di ubicazione, può stabilire, per
esigenze legate alla regolare fornitura dei medesimi servizi, che la loro acquisizione
avvenga mediante copia di essi su adeguato supporto, con una procedura che assicuri la
conformità dei dati acquisiti a quelli originali e la loro immodificabilità. In questo caso
è, comunque, ordinato al fornitore dei servizi di conservare e proteggere adeguatamente
i dati originali».
In questo punto si trattano questioni differenti dalle due accennate poco sopra.
Di lunga data è il dibattito se sia preferibile sequestrare un computer o un insieme di
dati (procedura interpretata, in molti casi, come non corretta dal momento che
interrompe le funzionalità e la disponibilità di un servizio, a volte anche critico) o se,
data la malleabilità del dato digitale, sia sempre possibile effettuare una copia su un
supporto da portare poi in laboratorio per le analisi e lasciare funzionare il sistema
originario.
Nell’articolo de quo il legislatore sembra aver compreso di operare in un settore molto
delicato, quello dei fornitori di servizi informatici e di telecomunicazioni, e suggerisce
una procedura interessante, suddivisa in due fasi.
La prima fase permette agli investigatori, per esigenze legate alla regolare fornitura dei
servizi, di acquisire le fonti di prova digitale copiando i dati su adeguato supporto, con
una procedura che assicuri la conformità dei dati acquisiti a quelli originali e la loro
immodificabilità.
L’esigenza di conformità ai dati acquisiti è un primo step ineludibile (occorre la
certezza che la copia che viene effettuata sia uguale in ogni suo punto all’originale),
l’esigenza di garantire la inalterabilità nel tempo riguarda invece la garanzia del
processo di conservazione della fonte di prova stessa.
Dopo queste procedure e, presumibilmente, una volta che la copia dei dati esce dalla
disponibilità del fornitore e viene asportata dagli investigatori per le dovute analisi, è
comunque ordinato al fornitore dei servizi di conservare e proteggere adeguatamente i
dati originali, in vista, si pensa, di eventuali manomissioni o cancellazioni dolose o
accidentali degli stessi o anche, semplicemente, per permettere a distanza di tempo un
ulteriore raffronto con i dati originali.
Una modifica ha riguardato anche l’articolo 256, dedicato al dovere di esibizione e ai
segreti, con l’aggiunta della frase «nonché i dati, le informazioni e i programmi
informatici, anche mediante copia di essi su adeguato supporto».
Il nuovo riferimento alla possibilità di consegnare una copia è tipico del mondo digitale
e delle tecniche che oggi permettono di creare una copia uguale all’originale: si noti, nel
testo completo («Le persone indicate negli articoli 200 e 201 devono consegnare
immediatamente all’autorità giudiziaria, che ne faccia richiesta, gli atti e i documenti,
anche in originale se così è ordinato, nonché i dati, le informazioni e i programmi
informatici, anche mediante copia di essi su adeguato supporto) il contrasto tra la frase
«anche in originale» e l’«anche mediante copia» quando si parla di dati digitali. Il
supporto su cui si copiano di dati deve essere poi adeguato, non tanto con riferimento
alla capienza quanto, si presume, con riferimento alla sua affidabilità e durevolezza nel
tempo e alle modalità di copie e di certificazione seguite nella procedura.
L’articolo 259, in tema di custodia delle cose sequestrate, nel comma 2, è integrato a
sua volta con la frase:
«Quando si tratta di dati, di informazioni o di programmi informatici, la copia deve
essere realizzata su adeguati supporti, mediante procedura che assicuri la conformità
della copia all’originale e la sua immodificabilità; in tali casi, la custodia degli originali
può essere disposta anche in luoghi diversi dalla cancelleria o dalla segreteria».
Niente di nuovo anche in tali considerazioni: si focalizza ancora l’attenzione sulla
corretta procedura di realizzazione della copia, la sua conformità all’originale e la sua
immodificabilità.
All’articolo 352, in tema di perquisizioni, dopo il primo comma è inserito il seguente:
«1-bis. Nella flagranza del reato, ovvero nei casi di cui al comma 2 quando sussistono i
presupposti e le altre condizioni ivi previsti, gli ufficiali di polizia giudiziaria, adottando
misure tecniche dirette ad assicurare la conservazione dei dati originali e ad impedirne
l’alterazione, procedono altresì alla perquisizione di sistemi informatici o telematici,
ancorché protetti da misure di sicurezza, quando hanno fondato motivo di ritenere che
in questi si trovino occultati dati, informazioni, programmi informatici o tracce
comunque pertinenti al reato che possono essere cancellati o dispersi». Anche questo
articolo richiama la necessità di intervenire, anche in caso di urgenza, sempre con
metodi forensically sound, avendo attenzione alle modalità di conservazione e ad
impedire alterazioni.
Infine nell’articolo 354 comma due, in tema di accertamenti urgenti sulle cose e sulle
persone, dopo il primo periodo è inserito il seguente:
«In relazione ai dati, alle informazioni e ai programmi informatici o ai sistemi
informatici o telematici, gli ufficiali della polizia giudiziaria adottando, altresì, le misure
tecniche o impartiscono le prescrizioni necessarie ad assicurarne la conservazione e ad
impedirne l’alterazione e l’accesso e provvedono, ove possibile, alla loro immediata
duplicazione su adeguati supporti, mediante una procedura che assicuri la conformità
della copia all’originale e la sua immodificabilità». Anche in quest’ultimo intervento
normativo sono ripresi concetti già illustrati a commento degli articoli precedenti.
In via preliminare, e prima di analizzare in concreto quali siano le modalità che la
computer forensics ritiene corrette (non indicate, si è visto, dal legislatore), dalle sette
modifiche poco sopra illustrate si possono ricavare i seguenti principi guida:
a) adottare estrema cautela nel sequestrare computer o servizi informatici che
muovono servizi di telecomunicazione critici, e prediligere, se possibile, la
continuità aziendale effettuando copie su supporti adeguati e non interrompendo,
così, l’azione delle macchine e dei servizi;
b) prestare attenzione a non alterare i dati durante le operazioni di ricerca delle
fonti di prova;
c) quando si effettua una duplicazione, assicurarsi che siano garantite la conformità
della copia all’originale e la sua immodificabilità.
Corrette modalità di conservazione, procedure di duplicazione efficaci, garanzie di non
alterabilità e extrema ratio del sequestro di servizi sono, in conclusione, i quattro
principi della forensics introdotti nel nostro ordinamento.
2. L’importanza dei concetti di «valore» e di «resistenza». – Nel 2007, in un lavoro
introduttivo a queste tematiche, chi scrive si è permesso di impostare una definizione
informatico-giuridica di computer forensics basata sui concetti di valore dei dati e di
resistenza dei dati stessi a possibili alterazioni e contestazioni3.
In particolare, si suggeriva una definizione tecnica della materia nei seguenti termini:
per computer forensics s’intende quella scienza che studia il valore che un dato
correlato ad un sistema informatico o telematico può avere in un ambito sociale,
giuridico, o legale che dir si voglia.
Il concetto di valore, nel caso de quo e dal punto di vista esclusivamente tecnologico, si
intendeva come capacità di resistenza ad eventuali contestazioni e capacità di
convincimento del giudice, delle parti processuali o di altri soggetti (nel caso si ritenesse
che la forensics non presentasse solo un aspetto strettamente correlato all’ambito legal)
in ordine alla genuinità, non ripudiabilità, imputabilità e integrità del dato stesso e dei
fatti dallo stesso dimostrati.
3
Cfr. L. LUPÀRIA, G. ZICCARDI, Investigazione penale e tecnologia informatica.
L’accertamento del reato tra progresso scientifico e garanzie fondamentali, Giuffrè, Milano,
2007.
A parere di chi scrive, l’aspetto della resistenza informatica alle contestazioni, ovvero la
possibilità di provare con un buon grado di certezza in ogni momento che il dato
digitale sia integro, non ripudiabile, correlabile direttamente a un determinato soggetto e
che abbia valori di luogo e di tempo ben identificabili, non solo è da tempo diventato
l’aspetto centrale in un’analisi definitoria tecnologica della computer forensics, ma è
anche chiaramente individuabile nel ragionamento che il legislatore ha seguito in fase di
integrazione degli articoli del codice di procedura penale sopra illustrati.
Tali integrazioni, infatti, mirano a che:
a) ogni volta che viene effettuata una operazione di copia dei dati informatici, la copia
sia effettuata con modalità corrette affinché non si possa contestare, a distanza di tempo,
la non conformità della copia all’originale o l’avvenuta alterazione in itinere dei dati;
b) ogni attività degli investigatori deve seguire regole tecniche che riducano al minimo
la possibilità di contestazione delle attività su basi prettamente tecnico-informatiche. In
tal caso, si potrebbe dire che la normativa vuole suggerire modalità di acquisizione ed
analisi della prova che siano resistenti a particolari tipi di contestazione.
Le modalità descritte nell’azione di riforma, però, non sono semplici da seguire e in
alcuni casi (si pensi ad esempio alla presenza di server farm o serie di computer con un
quantitativo ingente di dati) richiedono competenze elevate, condizionate sia dalla
formazione di chi opera sia dalle risorse (intese come macchine per effettuare copie,
cavi, write blocker, software ad hoc a volte molto costosi, supporti vergini sufficienti a
contenere i dati) ad uso delle forze dell’ordine. In tal caso, assume rilevanza anche il
fattore soggettivo (chi dovrebbe operare secondo le indicazioni della legge).
Si pensi che negli Stati Uniti, proprio per focalizzare l’importanza non solo del criterio
oggettivo e metodologico (effettuare una copia correttamente) ma anche di quello
soggettivo (di cui nella nostra normativa non si fa menzione), condizionato dalle
effettive capacità di chi opera e dai mezzi utilizzabili, è da tempo stata fatta una
tripartizione per competenze che è di grande interesse.
Casey, noto studioso nordamericano, individua in numerose sue opere4 quelle che si
potrebbero definire come tre competenze ben specifiche, e nel suo pensiero ben distinte,
che richiederebbero diversi livelli di conoscenze e di formazione:
(1) digital crime scene technicians, ovvero soggetti che, dal momento che avrebbero il
compito di assicurare la prova sul luogo del delitto, dovrebbero avere una formazione di
base nella gestione della prova e nella sua documentazione così come nella
ricostruzione di un crimine, affinché possano localizzare tutte le fonti di prova
disponibili con sicurezza, certezza e metodologie corrette; questa categoria sembra
essere quella cui si riferisce espressamente la normativa italiana integrata con le regole
poco sopra esposte;
(2) digital evidence examiners: questi sarebbero soggetti che vantano competenze
documentate e formazione specifica in determinate aree che consentono loro di
processare senza errori particolari tipi di prove; questa seconda categoria sembra più
correlata, invece, ad una fase successiva rispetto a quella indicata nella normativa
processualpenalistica, da svolgersi quasi sempre in laboratorio;
(3) digital investigators: questi soggetti sono i responsabili, in generale, di tutto il
processo di investigazione, e dovrebbero avere una formazione generica, di base,
4
Cfr. E. CASEY, Digital Evidence and Computer Crime. Forensic science, computers and the
Internet, Second Edition, Elsevier Academic Press, 2004.
completa, ma senza la necessità, contestualmente, di certificazioni o training altamente
specialistici5. Compito di questi investigatori sarebbe anche quello di creare un quadro
completo generale, partendo dalle fonti e dai dati trovati dai first responders, da
presentare in un contesto legal.
Un secondo punto critico, secondo Casey6, riguarderebbe i metodi usati dagli
investigatori per assicurare l’affidabilità della prova digitale, e la possibilità che venga a
mancare un metodo sistematico che presenti la prova, al termine dell’iter investigativo,
come affidabile e che corrobori le conclusioni, magari in giudizio, correlate a quella
prova.
A tal fine Casey propone, nelle sue opere, una vera e propria certainty scale, scala, o
«graduatoria», di certezza riferita a ogni tipo di prova che aiuti anche a mettere in
evidenza le possibili fonti di errore e l’eventuale inaffidabilità intrinseca di un certo tipo
di prova.
Si noterà, invece, che la normativa italiana in commento «glissa» sul punto
dell’approfondimento del metodo e predilige la descrizione del risultato che si
vuole/dovrebbe ottenere: una fonte di prova, o una copia della stessa, affidabile, non
alterabile, e incontestabilmente «gemella» della fonte di prova originaria.
3. Il rischio di contaminazione della fonte di prova digitale. – Dalle parole usate dal
nostro legislatore negli articoli oggetto di analisi, si nota chiaramente come il timore di
una contaminazione della fonte di prova nella fase di individuazione ed acquisizione,
con contestuale debolezza della stessa e rischio di contestazione, sia costantemente al
centro dell’attenzione.
Noto è che la potenziale fonte di prova digitale può essere facilmente contaminata, e
come la gestione della fonte di prova digitale con strumenti di computer forensics sia
molto delicata, dal momento che presenta un ampio tasso di vulnerabilità agli errori.
Questa delicatezza congenita della prova digitale, tipica anche della prova tradizionale,
può comportare il danneggiamento o la modifica dell’area di prova.
La contaminazione può avvenire anche, e sovente avviene, per un cattivo uso degli
strumenti informatici o per una scarsa conoscenza del sistema e delle sue funzioni; a
puro titolo di esempio, fare il reboot della macchina compromessa cambia
immediatamente lo stato del sistema e può distruggere possibili tracce di un reato.
Il legislatore italiano sembra ora pienamente consapevole che la contaminazione di
alcune fonti di prove potrebbe rendere inutile tutto il lavoro di computer forensics: se la
prova viene contaminata, tutto il castello probatorio può risultare compromesso, in
quanto il trattamento della fonte di prova digitale è solitamente basato su un
procedimento step by step che corre su una linea del tempo caratterizzata dal fatto che
invalidare un singolo passo significa creare problemi con riferimento alla credibilità
dell’intero caso. Per affrontare al meglio questa caratteristica, occorre che
l’investigatore preservi l’integrità della prova in tutti gli strumenti informatici
sequestrati e nel materiale magnetico e ottico correlato.
Con riferimento al training del forenser e al dibattito in corso sulla effettiva specializzazione
di questi soggetti si veda, inter alia, N. JONES, Training and accreditation – who are the
experts?, in Digital Investigation, 2004, 1, pp. 189-194.
6 Cfr. E. CASEY, op. cit., pp. 2 ss
5
Il concetto di integrità, in questo caso, non si riferisce solo alle copie fisiche, a livello di
bit, delle informazioni, ma anche a tutte le strutture logiche (quali indici e directory)
utilizzate per memorizzare o per convertire i dati in informazioni leggibili, e il software
utilizzato per visionare questi elementi.
L’insieme di strumenti usati durante le investigazioni informatiche prende il nome,
solitamente, di toolkit e, in linea di principio, dovrebbe consentire all’investigatore di
gestire in maniera corretta sia la fase di «cattura» di immagini di dati presenti sulla
scena del crimine o, successivamente, in laboratorio, sia la successiva analisi accurata
delle risultanze. Il nostro legislatore, si è notato, è più attento alla fase di acquisizione, e
nulla dice sulle successive procedure di analisi che di solito sono effettuate nel chiuso di
un laboratorio. Questo «modo di legiferare» appare condivisibile: indicare nel codice
espressamente un modo tecnico o, addirittura, uno o più prodotti, da utilizzare per
effettuare tali operazioni avrebbe non solo vincolato troppo l’operatore ma avrebbe
costretto il legislatore ad operare una scelta tra tante procedure che, nella maggior parte,
si rivelano corrette.
Queste due fasi (acquisizione ed analisi) sono ben distinte, e solitamente vengono
utilizzati strumenti tecnologici diversi: la prima richiede tool che consentano di
effettuare un’immagine certa, verificata, non modificabile del dato originale, mentre la
seconda abbisogna di strumenti che permettano all’esperto di effettuare una precisa
analisi e ricostruzione dei fatti esposti da quei dati.
In realtà, i software più recenti permettono ulteriori funzionalità rispetto a quelle
essenziali sopra indicate: supportano, ad esempio, lo sviluppo di ipotesi investigative,
gestiscono, anche da un punto di vista documentale e organizzativo, l’intero processo
investigativo, consentendo una chiara e completa ricostruzione dei fatti, dimostrando
non solo che il dato da cui si è partiti è genuino, ma anche che tutta la procedura di
analisi è stata portata a buon fine correttamente.
Un problema ulteriore, con riferimento ai tool di forensics, è il dibattito se vi sia o meno
la necessità di dimostrare o spiegare, ad esempio davanti al Giudice, il motivo per cui
questi strumenti sono stati scelti e in che modo sono stati utilizzati.
In particolare, le necessità di spiegazione o di dimostrazione, con riferimento a un
processo investigativo basato sulla computer forensics, potrebbero riguardare i seguenti
aspetti:
(1) la collection, o raccolta. Bisognerebbe essere in grado di descrivere in ogni suo
aspetto il processo attraverso il quale la fonte di prova è stata raccolta, dimostrando
contestualmente che la procedura di acquisizione non ha in alcun modo alterato la fonte
di prova;
(2) la catena di custodia. Bisognerebbe dimostrare che, in una catena di eventi, la fonte
di prova non ha subito contaminazioni dopo che è stata raccolta e durante la procedura
di analisi;
(3) autenticazione. Bisognerebbe poter dimostrare in ogni momento che la fonte di
prova non è stata alterata in alcun modo rispetto allo stato che aveva nel computer
originario; tale risultato si raggiunge, solitamente, con la firma elettronica del file;
(4) recovery. Bisognerebbe sempre essere in grado di spiegare come i file cancellati e i
frammenti di file sono stati custoditi, che cosa contengono i file temporanei, di log e di
swap, e come le azioni di un potenziale criminale possano essere rivelate da tali
informazioni o correlate a questi dati;
(5) verificabilità. Bisognerebbe essere in grado di garantire che le conclusioni asserite
siano verificabili anche con un’analisi di una terza parte o che alcune procedure,
modalità operative o affermazioni rispondano a un determinato standard, o comunque
agevolmente riconosciute dalla comunità scientifica di riferimento.
4. Le procedure tipiche. – Da tempo gli operatori pratici di computer forensics hanno
sviluppato alcune procedure da utilizzare nell’analisi del computer: la fase iniziale può
consistere o nel sequestro del computer e nel trasporto dello stesso presso un laboratorio
di forensics per l’analisi, soprattutto quando l’analisi richiede molto tempo, oppure nella
copia in loco dei dati interessanti per l’analisi su hard disk o supporti di proprietà
dell’analista forense, opportunamente «bonificati» prima dell’uso.
Il dibattito se sequestrare o meno il materiale informatico e, in particolare, della
necessità di un sequestro delle apparecchiature che comporti anche un danno (ad
esempio il blocco del servizio) per il proprietario, o se gli operatori debbano provvedere
a fare «immagini» dei dati e lasciare i computer in loco perfettamente funzionanti, è
sempre di grande attualità, anche se il nostro legislatore, con l’articolo 254-bis, sembra
avere abbracciato un approccio molto cautelativo, volto ad impedire il down
generalizzato o non giustificato dei sistemi.
Il manuale del Dipartimento di Giustizia degli Stati Uniti d’America contenente le linee
guida in tema di search and seizure prevede, nel Chapter 2, che le circostanze possano
spesso richiedere che gli investigatori sequestrino i computer e analizzino il contenuto
off site, ovvero lontano dal luogo. Successivamente nel laboratorio di forensics viene
realizzata una bitstream o mirror image del disco fisso, un esatto duplicato non solo dei
file ma di ogni bit del disco fisso.
Uno dei principi fondamentali della procedura operativa di analisi, infatti, è che tale
lavoro venga sempre effettuato sulla copia, da parte dell’analista, per evitare che venga
danneggiato o alterato l’originale.
Sia chiaro che effettuare una copia immagine di un disco è ben differente dal copiare il
contenuto del disco su un altro supporto: la procedura di creazione dell’immagine copia
l’intero disco esattamente come è, con la stessa disposizione dei file, i pezzi di file, i file
danneggiati, i frammenti di file; tale immagine permette a un tecnico informatico di
ricreare o «montare» l’intero disco usato per lo storage e avere un disco identico
all’originale.
Al contrario la procedura di copia dei file, molto più semplice, copia le informazioni,
file per file, sul disco target.
Sia nella raccolta sia nel mantenimento delle prove è essenziale, quindi, tenere in
considerazione che deve esserci sempre un sistema, ad esempio l’uso di MD5 o di
tecniche di hash7, per garantire che le prove non vengano alterate nel corso
dell’indagine; la firma digitale deve essere ovviamente conservata in luogo diverso dal
file cui si riferisce
(a) copia di livello fisico, o bitstream copy, che consiste in una vera e propria immagine
fisica dell’unità;
Con riferimento all’hash in generale, e all’MD5 in particolare, si veda V. ROUSSEV, YIXIN
CHEN, TIMOTHY BOURG, GOLDEN G. RICHARD III, md5bloom: forensic filesystem hashing
revisited, in Digital Investigation, 3S (2006) pp. S82-S90.
7
(b) copia di basso livello del file system, o cluster copy, ovvero una copia vera e propria
del file system e del contenuto di una partizione logica e
(c) copia del file system, ovvero il backup di file e cartelle visibili su una partizione
logica. Tali tre modalità differenti di copia richiedono anche diverse strategie
investigative e modalità di analisi e di interpretazione dei dati.
5. Conclusioni. – Si è detto, nei paragrafi precedenti, che il nostro legislatore,
nell’introdurre alcuni principi di base della computer forensics nel codice di procedura
penale, è stato da un lato molto cauto, muovendosi in ambito assolutamente generale e
senza scendere nel dettaglio di metodologie anche ormai acquisite ma, dall’altro, ha
introdotto alcuni principi fondamentali che necessitavano di maggiore specificazione.
In un’ottica prettamente informatico-giuridica, appare molto interessante il principio di
cautela nel trattamento di sistemi informatici di proprietà di fornitori di servizi
telematici e di telecomunicazioni quando si effettua un sequestro di dati.
Come è noto, nel sequestrare un intero servizio o server (alcuni politici chiedono a
volte, a gran voce, di «sequestrare Internet» (sic!) non vengono sollevati solo problemi
economici (la perdita di lavoro e di denaro commisurata al tempo per il quale un
servizio non è utilizzabile) ma è anche concreto il rischio di violare diritti fondamentali
dell’individuo quali la libertà di impresa e di manifestazione del pensiero. L’attenzione
a mantenere la regolare fornitura del medesimi servizi apre a linee interpretative
moderne e più consone all’era tecnologica.
Il cenno, infine, alla possibilità di duplicare i dati oggetto di «attenzione» da parte degli
investigatori e alla garanzia tecnica della loro inalterabilità riprende correttamente, in
seno alla normativa, considerazioni già consolidate nell’ambito della forensics, pur
senza specificarle con riferimento alle modalità operative (anche se, si è detto, l’uso di
write blocker, di software ad hoc e di prassi tecnologiche condivise è ormai diffuso su
ampia scala).