CyberSec (S01 E14): Gli incidenti informatici e la forensics
Indagare sugli incidenti informatici
Un incidente informatico può sempre capitare, è cosa nota. Che sia provocato o non voluto, basato sul dolo di un terzo che vuole attaccare i dati o, semplicemente, derivante da un malfunzionamento del sistema, può accadere in ogni momento. Sia a livello personale, sui nostri dispositivi più comuni (computer portatile o telefono), sia in azienda o in uno studio.
Spesso, in un contesto simile, diventa necessario valutare, post mortem, l’impatto dell’incidente e investigare sui dati raccolti soprattutto quando vi è un reato alla base (si pensi a casi di furto di dati, stalking, detenzione e diffusione di materiale illecito, furto di identità, diffamazione e reati simili).
La scienza che si occupa di tali temi è quella delle investigazioni digitali, o digital forensics.
Da decenni, ormai, sono stati elaborati numerosi principi che, pur con le necessarie personalizzazioni per i casi singoli, elencano i passi da fare per reagire in maniera corretta a fini del recupero, dell’analisi e della presentazione del dato. Sono regole pensate sia per il primo intervento delle forze dell’ordine sia per chi, ad esempio, si occupa di gestione della sicurezza all’interno di una struttura.
L’incidente informatico può riguardare innumerevoli aspetti e, per ogni aspetto, vi può essere un comportamento correlato.
Dalla distruzione accidentale del dato al furto di segreti industriali o di altri tipi di dati, dall’intercettazione di comunicazioni alla diffusione di un virus, da episodi di violazione della privacy a veri e propri sabotaggi portati da insider (ad esempio un dipendente infedele o scontento), sono tutti episodi che richiedono azioni ad hoc, specificamente indicate per quel caso.
È però possibile, per l’interprete, individuare alcuni punti che, in un certo senso, siano comuni a tutte le ipotesi sopra citate, e che possono fornire linee guida utili in tutti i casi.
Uno dei principi “sacri” e immutabili della computer forensics, di recente anche cristallizzato all’interno del nostro codice di procedura penale, è quello secondo cui ogni intervento sui dati e sui sistemi dovrebbe in ogni caso preservare i dati originali.
In sintesi: il dato digitale è, in determinati contesti investigativi, quanto di più fragile, mutevole e delicato vi possa essere. Il rischio di deteriorarlo è altissimo, con ovvi impatti su tutta l’attività di scoperta dei fatti.
Appare quindi inopportuno, tranne rare eccezioni, lavorare sull’originale e rischiare di cancellare per sempre fonti di prova che potrebbero tornare utili, più avanti, nel corso di un procedimento o di una indagine.
Tutti i manuali operativi suggeriscono, allora, di effettuare almeno due copie clone, o bit per bit, della fonte originale (ad esempio: un disco fisso di un computer), per porne una al sicuro in cassaforte (la quale, in realtà, data la natura del dato digitale, diventa un nuovo originale da cui fare eventualmente ulteriori copie) e per usare la seconda per tutte le operazioni di analisi, a volte anche distruttive, che l’esperto si senta di fare.
Il “non toccare” l’originale, ma il predisporre come prima azione una copia completa del supporto, è regola che si può perfezionare senza problemi, anche per i meno esperti, grazie all’ausilio di software o hardware appositi.
Vi sono strumenti, quali i write blocker, che, ad esempio, bloccano in scrittura – come suggerisce il nome – il dispositivo che si vuole copiare al fine di garantire che nessuna modifica sarà fatta o che, comunque, le modifiche saranno irrilevanti rispetto alla verità e coerenza dei dati/fonte di prova in esso contenuti.
Una volta acquisito il dato d’interesse per l’investigatore, il secondo passaggio, quello forse più interessante, è quello dell’analisi.
È il più interessante perché, mentre la fase di acquisizione citata poco sopra è più “meccanica” e poco creativa (spesso è sufficiente collegare due dischi tra loro e avviare un comando o premere un pulsante su una scatoletta), la fase di analisi è una vera e propria indagine sui dati al fine di scoprire fonti di prova o informazioni che l’investigatore si sta rappresentando.
Utile in questa fase non è solo l’analisi dei dati visibili ma anche l’analisi di dati contenuti in zone “periferiche” del supporto, in partizioni nascoste o cifrate e il tentativo di recupero di dati cancellati.
La ricerca di dati in chiaro a seguito dell’analisi può riguardare qualsiasi “zona” del disco o del sistema operativo. La cartella “home” o “utente”, dove si trovano i dati esplicitamente riferiti al soggetto su cui si sta indagando, ma anche i dati temporanei e la cache, la cronologia di navigazione, le aree con i profili di altri utenti, le cartelle condivise, i file di log con tutte le attività di sistema, i log delle conversazioni e delle chat, i file e registri di sistema che segnalano la connessione (anche se avvenuta in passato) di chiavette o di dischi esterni (per sapere, ad esempio, se alcuni dati di interesse siano anche – o solo - presenti su supporti esterni eventualmente nascosti), e così via.
L’analisi avviene, in molti casi, in maniera automatizzata (almeno nella prima fase) grazie a software appositi che, tra le migliaia di file ed e-mail oggi presenti su un computer o su un telefono, cercano già di estrarre informazioni interessanti per l’indagine. Può poi essere necessaria una “rifinitura manuale” per completare l’indagine.
La fase finale della computer forensics è l’esposizione di ciò che si è trovato sui supporti usando stile e termini che siano comprensibili nel contesto in cui il report deve essere presentato.
Se si tratta di un’indagine di forensics aziendale, si utilizzerà ad esempio un linguaggio comprensibile sia da parte degli amministratori sia da parte degli addetti alla sicurezza.
Se la destinazione del documento esito dell’indagine sarà, invece, un giudizio o un processo, vi sarà necessità di semplificare i concetti tecnici al fine di farli ben comprendere agli operatori di formazione giuridica.