DIGITAL FORENSICS

Analisi forense di evidenze informatiche: procedure operative nella gestione dei reati più comuni

L’analisi forense è l’applicazione di tecniche investigative nell’ambito di crimini o attacchi digitali. Ecco che ruolo gioca in questo ambito l’analista forense e le procedure operative da seguire nella gestione dei reati più comuni

26 Lug 2022
V
Michele Vitiello

Consulente informatico forense

L’analisi forense, chiamata anche “analisi forense digitale” è l’applicazione di tecniche investigative nell’ambito di crimini o attacchi digitali. L’analista forense di evidenze e dati digitali è una professione fondamentale nell’era di internet e delle tecnologie e può diventare un percorso di carriera molto soddisfacente.

Il principale scienziato forense presso DFIRLABS, Jason Jordaan, la definisce “l’identificazione, la conservazione, l’esame e l’analisi delle prove digitali, utilizzando un processo scientificamente accettato e convalidato e la presentazione finale di tali prove in tribunale“.

La perquisizione informatica: tecniche, norme e modalità operative

Il ruolo dell’analista informatico forense

L’analista forense è una figura versatile e poliedrica, deve essere istruita e conoscere i vari software di analisi per essere in grado di sfruttarli ed utilizzarli al meglio, al fine di rinvenire dati ed elementi di interesse.

È però opportuno affermare che non è indispensabile avere una formazione puramente informatica o strettamente tecnica per svolgere questa professione, ma è necessario effettuare aggiornamenti costanti con l’obiettivo di comprendere le funzionalità offerte dai sistemi.

In aggiunta, è fondamentale che la figura dell’analista forense abbia una buona conoscenza giuridica, quindi una seria consapevolezza della legge italiana permette di affrontare con maggior padronanza le analisi dei casi in cui ci si deve addentrare e, non di meno, è essenziale possedere un’ottima sensibilità a livello investigativo.

Lo spirito da criminalista deve essere correlato ad una spiccata empatia, questo perché quando un’analista svolge le sue osservazioni è bene che si ponga le seguenti domande: “Ma se fossi io, cosa farei? Dove salverei? Dove cercherei?”.

L’analista forense deve avere senza dubbio una buona abilità di scrittura in quanto, per redigere una relazione tecnica esplicativa di quanto visionato e rilevato, è necessaria una buona conoscenza della lingua italiana nonché una chiarezza espositiva che permetta di organizzare coerentemente gli elementi al fine di dare la giusta importanza a quanto emerso.

Organizzazione del lavoro

Per la figura dell’analista forense, la fase di organizzazione del lavoro è molto importante. È fondamentale essere consapevoli che la relazione stilata al termine delle analisi sarà poi visionata e letta da soggetti estranei al mondo della digital forensics, ma soprattutto dell’informatica, per questo motivo è necessario utilizzare una terminologia accessibile anche a coloro che si trovano esterni al panorama informatico.

Nel caso in cui fosse strettamente necessario utilizzare termini specifici e tecnici, lo scrivente potrà utilizzare l’opzione delle “note a piè di pagina” per descrivere concetti particolarmente difficili, arricchendo e completando il prodotto finale.

Di seguito vengono elencate alcune delle caratteristiche principali che deve avere un buon analista forense:

  1. capacità di suddividere con criterio le evidenze, organizzando al meglio tutti i dati rendendoli di semplice e veloce accesso;
  2. applicare per ciascuna categoria di dati i filtri adeguati, ottenendo una visione ampia e ordinata di quanto presente nelle copie forensi delle evidenze da analizzare;
  3. individuazione dell’arco temporale in cui i fatti sono avvenuti, stabilendo un periodo di utilizzo dell’evidenza, contestualizzandolo in relazione ai fatti accaduti. Stabilito ad esempio che un supporto è stato utilizzato prima o dopo gli eventi si deve segnalare, è probabile che emergano elementi non coerenti con il quesito, ma comunque di interesse giudiziario;
  4. spiegazione e chiarimento dei vari dubbi, vale a dire proporre una soluzione e un’ipotesi di come possano essere avvenute certe dinamiche e, in carenza di dati o cancellazione di elementi, è necessario avvertire e segnalarlo;
  5. un bravo analista forense non dovrebbe scendere nella soggettività né nel giudizio. È bene restare oggettivi durante la stesura della Relazione Tecnica, cercando di allontanarsi da qualsivoglia tipologia di parere o preconcetto.

Scrittura della relazione tecnica

La relazione tecnica rappresenta l’elaborato conclusivo della fase analitica, nella sezione iniziale è necessario indicare il committente, i quesiti posti e tutte le restanti informazioni che caratterizzano il procedimento.

All’interno della stessa vengono primariamente definite le varie operazioni di copia forense ed operazioni tecniche effettuate, rendendo note le eventuali problematiche emerse e le loro risoluzioni con la generazione dei valori Hash.

Successivamente, viene proposta una panoramica degli apparecchi oggetto di indagine, inserendo la repertazione fotografica in cui si mostrano i dispositivi analizzati, i loro seriali e accessori annessi.

In seguito ad aver inserito tutti le componenti descritte sopra, lo scrivente dovrà esporre la sezione centrale, ovvero quella di analisi e ricerca in cui rappresenterà quanto emerso dall’osservazione dei dati, delineando gli elementi di interesse rinvenuti.

Infine, al termine dell’elaborato, è necessario inserire il riversamento dati, ovvero citare quali supporti informatici contengono le copie forensi e i report da consegnare al committente, nonché le conclusioni rispetto a quanto rinvenuto. Queste ultime devono essere chiare e concise, né troppo lunghe o troppo corte, al fine di proporre al lettore una panoramica completa circa gli elementi di maggiore interesse emersi al termine della fase di analisi.

La scrittura della relazione tecnica viene spesso sottovalutata rispetto, ad esempio, alla fase di analisi, ma è assolutamente fondamentale in quando, se non redatta con chiarezza e semplicità, rischia di vanificare tutto il lavoro effettuato, in quanto rappresenta la chiusura del cerchio e la presentazione dei risultati.

Reati più comuni

Il ruolo dell’analista forense, come già accennato, è quello di una figura poliedrica, caratterizzata da un forte istinto investigativo ma che, al tempo stesso, deve essere dotata di una grande capacità di discernimento delle emozioni e perché no, di razionalità e cinismo. Questo perché, come avviene in ogni ambito relativo alla criminalità, spesso si devono fronteggiare reati pericolosi e talvolta poco piacevoli.

I reati più comuni rinvenibili all’interno di uno studio di informatica forense sono: frode, pedopornografia, omicidio, spaccio di stupefacenti, revenge porn.

Frode informatica

Dal punto di vista giuridico, la frode informatica è sancita dall’articolo 640[1] ter del Codice Penale e ricopre una vasta gamma di azioni fraudolente.

Quando bisogna relazionarsi ad un caso di frode informatica, solitamente viene fatto riferimento a truffe o alterazioni di sistemi informatici che portano all’acquisizione di dati in maniera completamente illecita. In questi casi, è necessario conoscere quali sono le categorie da visionare che potrebbero contenere elementi utili alle indagini, nello specifico:

  1. elementi multimediali (fotografie ed immagini di carte di credito, PostePay, bonifici, documenti bancari);
  2. messaggi e comunicazioni in cui si comprende la presenza di interazioni inerenti al reato;
  3. software che permettono la creazione di documenti falsi, identità fittizie.

Pedopornografia

La pedopornografia è un reato molto comune, negli ultimi anni lo sviluppo e l’incremento della tecnologia ne ha facilitato sempre più i canali di diffusione, i quali sono ogni giorno in continuo aumento.

A livello mondiale, infatti, il fenomeno della pedofilia e della pedopornografia ha dimensioni impressionanti, basti pensare che ogni anno quasi 18 milioni di bambini in Europa sono vittime di abuso sessuale e che, online, ogni 7 minuti una pagina web riesce a mostrare immagini di bambini abusati sessualmente.

A livello legislativo, la pedopornografia è regolamentata da tre articoli:

  1. articolo 600[2] ter del Codice penale che sancisce la detenzione del materiale pedopornografico;
  2. articolo 600[3] quater del Codice penale che sancisce la distribuzione del materiale pedopornografico;
  3. articolo 609[4] undecies del Codice penale che sancisce l’adescamento di minorenni.

Generalmente è il P.M. che ricerca condotte volte alla diffusione e ai tentativi di adescamento di minori.

Gli elementi da analizzare nei casi di pedopornografia sono:

  1. cronologia web e dati riconducibili al Dark Web;
  2. comunicazioni e messaggi online, soprattutto sui siti di incontri e social network;
  3. elementi multimediali quali foto e video.

In merito a casi di pedopornografia è necessario controllare, soprattutto sui Pc, la presenza della categoria “Peer to peer”, tecnologia spesso utilizzata per ricercare, scaricare e condividere materiale a contenuto pedopornografico.

La rete Peer to Peer (P2P) è una rete con una struttura differente da quella classica di tipo client/server. Infatti, in questa tipologia ogni utente funge sia da client sia da server in base a ciò che viene richiesto loro in un determinato momento, da qui deriva la denominazione “servent”.

Le reti P2P non vengono utilizzate solamente dalle piattaforme per il file sharing come Gnutella, eMule e Freenet, ma vengono utilizzate anche per comunicazione “Instant Messaging”, video conferenza e Voice over IP attraverso l’utilizzo di client come ad esempio “Skype”.

I client di file sharing sono piuttosto numerosi, nel caso specifico viene approfondito il software eMule, un client free open-source basato sulla struttura P2P. Attraverso questo client è possibile effettuare il download di un contenuto e allo stesso tempo renderlo disponibile in rete per altri utenti che desiderano scaricarlo, anche prima che il download sia terminato e completo.

Questo permette di poter creare delle catene di download in modo da diffondere i contenuti tra i vari nodi quasi in tempo reale. Ogni nodo, quindi, è in grado di effettuare delle richieste e di soddisfarne delle altre svolgendo a pieno le funzioni tipiche del client e dei server. Ogni nodo non solo effettua il download di contenuti, ma mette a disposizione di tutti gli altri utenti quelli che possiede, anche se sono in fase parziale di completamento.

Omicidio

Particolarmente delicati e importanti sono i reati di omicidio. Dal punto di vista giuridico che interessa il campo dell’informatica, tale reato è sanzionato dall’articolo 575[5] del Codice Penale.

Analizzando i dispositivi di soggetti accusati di aver commesso uno o più omicidi, è risultato che i dati di maggior interesse sono spesso più presenti all’interno degli smartphone, in quanto questi ultimi possono contenere dati di geolocalizzazione.

In questa circostanza è opportuno visionare:

  1. ricerche web, in cui è possibile rilevare elementi che portino a confermare il fatto commesso;
  2. messaggi e chat;
  3. elementi multimediali, quali fotografie di armi o video di appostamenti;
  4. geolocalizzazione o dati relativi alla salute.

Molto importante quest’ultima categoria, in quanto sono utilissimi per collocare una persona sulla scena del crimine in un determinato momento temporale, fornendo quindi una prova importantissima per il caso. Queste informazioni possono essere tratte da fonti diverse, come ad esempio le celle telefoniche o i dati GPS, oltre ai metadati di latitudine, longitudine ed altitudine legati ad elementi multimediali, come ad esempio le immagini.

Le informazioni legate ai dispositivi di monitoraggio fitness, come ad esempio Apple iHealth e Samsung Health, sono anch’essi molto importanti, permettono di registrare i passi effettuati e di conseguenza verificare i metri camminati, i piani di scale percorsi e la tipologia di attività fisica registrata, dati che possono essere integrati dalle informazioni captate da smartwatch, smartband e fitness tracker sincronizzati con gli smartphone.

Queste informazioni sono molto importanti per confutare o confermare eventuali dichiarazioni rilasciate delle parti in causa durante procedimenti giudiziari.

Spaccio di stupefacenti

Negli ultimi anni il consumo di sostanze stupefacenti, soprattutto tra i giovani, ha subito un aumento notevole. La tecnologia stessa ha facilitato la diffusione e la comunicazione tra venditore e cliente i quali, oggi più che mai, si servono di applicazioni quali Telegram ed e-commerce nel Dark web per acquistare e vendere droghe di ogni genere.

Dal punto di vista giuridico che interessa il campo dell’informatica, lo spaccio di sostanze stupefacenti è disciplinato dall’articolo 73[6]– Testo unico stupefacenti.

Gli elementi utili alle indagini sono:

  1. comunicazioni/messaggistica;
  2. registro chiamate;
  3. elementi multimediali raffiguranti droghe.

Sempre più spesso spacciatori ed acquirenti utilizzano sistemi di comunicazione non convenzionali, come ad esempio chat integrate all’interno di piattaforme di intrattenimento, come ad esempio messaggistica di utenti registrati su console quali Playstation e Xbox, oppure chat di applicazioni di videogiochi scaricati su smartphone e tablet.

Altro elemento a cui bisogna porre particolare attenzione riguarda il fenomeno della steganografia, ovvero modalità di comunicazione conosciute solo da mittente e destinatario, che camuffano il reale contenuto dei messaggi utilizzando termini che nulla hanno a che fare con il mondo dello spaccio, sostituendo ad esempio i grammi di droga con il numero di uova, ad esempio.

Revenge porn

Il fenomeno del revenge porn è un reato sempre più diffuso e prevede la diffusione illecita di fotografie e/o video intimi senza il consenso del protagonista delle stesse. La locuzione di origine anglosassone “revenge porn”, associa la parola “vendetta” (revenge) a quella di pornografia, lasciano subito intendere la portata del comportamento che la stessa sta ad indicare.

Gli elementi utili alle indagini sono:

  1. elementi multimediali, quindi immagini e video;
  2. ricerche web, quali profili fittizi su canali pornografici dove vengono caricati i contenuti;
  3. comunicazioni intercorse tramite applicazioni quali WhatsApp, Telegram e similari, oltre ai contenuti salvati sui social network.

I contenuti sono maggiormente diffusi tramite applicazioni di messaggistica istantanea o social media, ed è particolarmente difficile comprendere la rete di diffusione. Uno studio dell’anno 2020 sostiene che esistono almeno 2 vittime al giorno.

Dal punto di vista giuridico inerente al campo dell’informatica, il revenge porn è disciplinato dall’articolo 612 [7]ter del Codice penale. Fortunatamente negli ultimi anni è aumentata notevolmente la sensibilità sul tema, cercando quindi di allontanare qualsivoglia tipologia di giudizio in merito.

 

NOTE

  1. Chiunque, con artifizi o raggiri, inducendo taluno in errore, procura a sé o ad altri un ingiusto profitto con altrui danno, è punito con la reclusione da sei mesi a tre anni e con la multa da euro 51 a euro 1.032. La pena è della reclusione da uno a cinque anni e della multa da euro 309 a euro 1.549: 1) se il fatto è commesso a danno dello Stato o di un altro ente pubblico o dell’Unione europea o col pretesto di far esonerare taluno dal servizio militare; 2) se il fatto è commesso ingenerando nella persona offesa il timore di un pericolo immaginario o l’erroneo convincimento di dovere eseguire un ordine dell’Autorità [649]. Qui per saperne di più. 2-bis) se il fatto è commesso in presenza della circostanza di cui all’articolo 61, numero 5. Qui per saperne di più. Il delitto è punibile a querela della persona offesa, salvo che ricorra taluna delle circostanze previste dal capoverso precedente o la circostanza aggravante prevista dall’articolo 61, primo comma, numero 7.

  2. È punito con la reclusione da sei a dodici anni e con la multa da euro 24.000 a euro 240.000 chiunque: 1) utilizzando minori di anni diciotto, realizza esibizioni o spettacoli pornografici ovvero produce materiale pornografico;2) recluta o induce minori di anni diciotto a partecipare a esibizioni o spettacoli pornografici ovvero dai suddetti spettacoli trae altrimenti profitto. Alla stessa pena soggiace chi fa commercio del materiale pornografico di cui al primo comma. 3. Chiunque, al di fuori delle ipotesi di cui al primo e al secondo comma, con qualsiasi mezzo, anche per via telematica, distribuisce, divulga, diffonde o pubblicizza il materiale pornografico di cui al primo comma, ovvero distribuisce o divulga notizie o informazioni finalizzate all’adescamento o allo sfruttamento sessuale di minori degli anni diciotto, è punito con la reclusione da uno a cinque anni e con la multa da euro 2.582 a euro 51.645 4. Chiunque, al di fuori delle ipotesi di cui ai commi primo, secondo e terzo, offre o cede ad altri, anche a titolo gratuito, il materiale pornografico di cui al primo comma, è punito con la reclusione fino a tre anni e con la multa da euro 1.549 a euro 5.164. Nei casi previsti dal terzo e dal quarto comma la pena è aumentata in misura non eccedente i due terzi ove il materiale sia di ingente quantità.6. Salvo che il fatto costituisca più grave reato, chiunque assiste a esibizioni o spettacoli pornografici in cui siano coinvolti minori di anni diciotto è punito con la reclusione fino a tre anni e con la multa da euro 1.500 a euro 6.000 7. Ai fini di cui al presente articolo per pornografia minorile si intende ogni rappresentazione, con qualunque mezzo, di un minore degli anni diciotto coinvolto in attività sessuali esplicite, reali o simulate, o qualunque rappresentazione degli organi sessuali di un minore di anni diciotto per scopi sessuali.

  3. Chiunque, al di fuori delle ipotesi previste dall’articolo 600-ter, consapevolmente si procura o detiene materiale pornografico realizzato utilizzando minori degli anni diciotto, è punito con la reclusione fino a tre anni e con la multa non inferiore a euro 1.549. 2. La pena è aumentata in misura non eccedente i due terzi ove il materiale detenuto sia di ingente quantità. 3. Fuori dei casi di cui al primo comma, chiunque, mediante l’utilizzo della rete internet o di altre reti o mezzi di comunicazione, accede intenzionalmente e senza giustificato motivo a materiale pornografico realizzato utilizzando minori degli anni diciotto è punito con la reclusione fino a due anni e con la multa non inferiore a euro 1.000.

  4. Chiunque, allo scopo di commettere i reati di cui agli articoli 600, 600 bis, 600 ter e 600 quater, anche se relativi al materiale pornografico di cui all’articolo 600 quater 1, 600 quinquies, 609 bis, 609 quater, 609 quinquies e 609 octies, adesca un minore di anni sedici, è punito, se il fatto non costituisce più grave reato, con la reclusione da uno a tre anni. Per adescamento si intende qualsiasi atto volto a carpire la fiducia del minore attraverso artifici, lusinghe o minacce posti in essere anche mediante l’utilizzo della rete internet o di altre reti o mezzi di comunicazione. La pena è aumentata: 1) se il reato è commesso da più persone riunite; 2) se il reato è commesso da persona che fa parte di un’associazione per delinquere e al fine di agevolarne l’attività; 3) se dal fatto, a causa della reiterazione delle condotte, deriva al minore un pregiudizio grave; 4) se dal fatto deriva pericolo di vita per il minore.

  5. Chiunque cagiona la morte di un uomo è punito con la reclusione non inferiore ad anni ventuno.

  6. Chiunque, senza l’autorizzazione di cui all’art. 17, coltiva, produce, fabbrica, estrae, raffina, vende, offre o mette in vendita, cede, distribuisce, commercia, trasporta, procura ad altri, invia, passa o spedisce in transito, consegna per qualunque scopo sostanze stupefacenti o psicotrope di cui alla tabella I prevista dall’art. 14, è punito con la reclusione da sei a venti anni e con la multa da euro 26.000 a euro 260.000.

  7. Salvo che il fatto costituisca più grave reato, chiunque, dopo averli realizzati o sottratti, invia, consegna, cede, pubblica o diffonde immagini o video a contenuto sessualmente esplicito, destinati a rimanere privati, senza il consenso delle persone rappresentate, è punito con la reclusione da uno a sei anni e con la multa da euro 5.000 a euro 15.000. La stessa pena si applica a chi, avendo ricevuto o comunque acquisito le immagini o i video di cui al primo comma, li invia, consegna, cede, pubblica o diffonde senza il consenso delle persone rappresentate al fine di recare loro nocumento. La pena è aumentata se i fatti sono commessi dal coniuge, anche separato o divorziato, o da persona che è o è stata legata da relazione affettiva alla persona offesa ovvero se i fatti sono commessi attraverso strumenti informatici o telematici. La pena è aumentata da un terzo alla metà se i fatti sono commessi in danno di persona in condizione di inferiorità fisica o psichica o in danno di una donna in stato di gravidanza. Il delitto è punito a querela della persona offesa. Il termine per la proposizione della querela è di sei mesi. La remissione della querela può essere soltanto processuale. Si procede tuttavia d’ufficio nei casi di cui al quarto comma, nonché quando il fatto è connesso con altro delitto per il quale si deve procedere d’ufficio

@RIPRODUZIONE RISERVATA

Articolo 1 di 5