Il repertamento informatico: in cosa consiste e come si esegue - Cyber Security 360

LA GUIDA PRATICA

Il repertamento informatico: in cosa consiste e come si esegue

Il repertamento informatico rappresenta un contesto completamente nuovo per la polizia giudiziaria, un contesto che, per sua natura, presenta complessità e fragilità specifiche. Ecco di cosa si tratta e come eseguirlo su computer, smartphone e account cloud

02 Dic 2020
F
Alessandro Fiorenzi

Consulente Informatico Forense, CTS CLUSIT e Direttivo ONIF

Il repertamento è una fase estremamente importante e delicata delle operazioni di sopralluogo di Polizia Giudiziaria, in particolare quando queste portano all’esecuzione di un sequestro.

È una fase operativa ampiamente conosciuta e consolidata per quanto riguarda le fonti di prova tradizionali, quelle analogiche costituite da oggetti, liquidi e sostanze, ma è assolutamente non formalizzata per quanto riguarda le fonti di prova costituiti da dispositivi informatici come computer, smartphone, server, ma anche per quanto riguarda il repertamento di account di posta, di servizi cloud e di identità digitali.

Il repertamento informatico rappresenta quindi un contesto completamente nuovo per la polizia giudiziaria, un contesto che, per propria natura, presenta complessità e soprattutto fragilità specifiche.

Eseguire un repertamento informatico di un computer, di uno smartphone o di un account cloud significa necessariamente eseguire quei rilievi necessari per identificare il dispositivo e la sua collocazione, come qualsiasi altro oggetto, ma soprattutto raccogliere tutte quelle informazioni che saranno fondamentali per accedere al contenuto di informazione del dispositivo o dell’account.

Il repertamento informatico: in cosa consiste

Ordinariamente il repertamento consiste nell’identificare un oggetto presente sulla scena del crimine e la descrizione delle sue caratteristiche qualificanti in modo che il magistrato e gli inquirenti comprendano posizione, ruolo e potenzialità di quell’oggetto nel contesto.

Nel repertamento informatico si eseguono gli stessi passi del repertamento tradizionale, ma se ne aggiungono molti altri; per esempio per una chiavetta USB piuttosto che per un computer o uno smartphone si procede a prenderne i dati salienti: marca, modello, luogo in cui è rinvenuto (stanza A o B), nonché la posizione all’interno del luogo, lo stato di conservazione se integro o danneggiato, lo stato di funzionamento acceso o spento, magari anche attraverso rilievi fotografici che testimonino efficacemente quanto descritto nel verbale di repertamento/sequestro.

Le foto di repertamento dovrebbero riportare anche i dati GPS per collocarle realmente nei luoghi descritti: oggi ogni cellulare ha queste caratteristiche e anche alcune macchine fotografiche semi professionali.

Successivamente, trattandosi di reperti informatici, è inoltre necessario raccogliere ulteriori informazioni.

Il repertamento informatico: come si esegue

Vediamo come si traducono questi concetti nel repertamento di smartphone, computer e account cloud.

Il repertamento di uno smartphone

Le prime operazioni che dobbiamo mettere in atto quando viene sottoposto a sequestro e quindi repertato uno smartphone è di metterlo in modalità aero, ma anche disattivare il Bluetooth: alcuni dispositivi, infatti, lasciano attiva questa modalità di connessione nonostante la modalità aero.

Un’ultima operazione preliminare consiste nel rimuovere, a caldo, la/le SIM, ove questo non sia controindicato da particolari modelli di telefono.

Così facendo, si assicura l’integrità del dispositivo che non è più contattabile dall’esterno e quindi non può essere né alterato né resettato.

Completate queste operazioni preliminari è importante rilevare l’IMEI del telefono, un seriale univoco, utilizzando la sequenza *#06#, prendere nota perlomeno del codice di sblocco o del simbolo di sblocco del telefono e disattivare il riconoscimento biometrico, nonché prendere nota delle password di backup se sono utilizzate, ma potrebbe essere utile avere anche i codici di sblocco 2FA (doppia autenticazione) di WhatsApp o di altre applicazioni.

Il repertamento di un computer

Innanzitutto, dobbiamo distinguere se si tratta di un computer desktop, di un portatile o se abbiamo di fronte un sistema server; in questo caso è importante comprendere se si tratta di un server fisico o di un server virtuale e su quale infrastruttura si basa.

Una volta determinato il tipo di computer, si deve procedere a identificarlo univocamente, quindi con marca, modello e serial number, nonché a identificare il proprietario e gli utilizzatori con le relative utenze, password o PIN, ma anche la password del BIOS.

Su un computer fisico possiamo trovarci di fronte a diversi scenari per cui può essere utile aprire il case per verificare le memorie di massa installate, ma anche ogni sportello a partire dai vani per schede di memoria SD, ai lettori ottici o alle chiavette USB collegate o presenti in prossimità del computer.

Individuate le memorie di massa presenti, possiamo trovarci davanti a dischi o file protetti con sistemi di cifratura di cui è necessario avere contezza, come nel caso di software gestionali.

Nel caso di server o di sistemi virtuali spesso i dischi sono locali ma sono anche su sistemi Storage di cui è necessario prendere contezza sia in termini di dimensioni e formati sia di utenze di accesso e di amministrazione.

Ove i sistemi storage siano di tipo Enterprise non è tecnicamente né ipotizzabile né fattibile procedere a sequestro: in questi casi, è necessario fare eseguire al personale tecnico un dump della memoria e uno snapshot del contenuto in modo da avere una “fotografia” dello stato dei dati alla data della perquisizione o del sequestro.

Il repertamento di un account cloud

Un discorso ancora diverso riguarda il “sequestro” di account cloud.

Le virgolette sono d’obbligo perché normalmente quanto si parla di sequestro, il bene non è più nella disponibilità dell’indagato. Quando però si parla di sequestro di account cloud ad oggi non siamo in grado di inibire l’accesso a quell’account da parte dell’indagato o di chiunque altro, non esiste nessun obbligo, né alcuna procedura che permetta di comunicare e obbligare un service provider a bloccare un account sui suoi servizi.

Questo per quanto riguarda gli account retail, discorso diverso quando si parla di servizi cloud aziendali, come ad esempio la posta o servizi di network storage di Office 365 o delle Google Apps, ma anche altri numerosi servizi cloud per le imprese. In questi casi il PM può disporre l’obbligo per l’azienda a bloccare un certo numero di account o a sequestrare l’account della console di gestione.

Le altre problematiche che si presentano per il sequestro e successivamente per la copia forense sono spesso legate ai sistemi di autenticazione: oltre a comprendere correttamente quali siano i servizi da sequestrare, è imporrante acquisire tutte le informazioni utili al completamento dell’accesso all’account cloud, che si tratti di autenticazione con username e password o di un 2FA.

Dopodiché le sfide sono quelle tipiche dei contenuti presenti sui computer, potremmo avere in cloud file e cartelle protetti da sistemi di cifratura.

Ridurre a zero gli errori durante il repertamento informatico

È chiaro che la fase di repertamento, che è quella anche di maggiore collaborazione del soggetto sospetto è una fase cruciale in cui si devono ridurre a zero gli errori o le “dimenticanze”.

Chi si ritrova a fare un repertamento può non essere un consulente informatico forense, e comunque anche se lo è si trova uno scenario con diversi reperti, ognuno con le proprie caratteristiche, con un numero estremamente ampio di possibili scenari tecnologici.

Malgrado ogni attenzione, in queste condizioni è probabile dimenticarsi un dato: ma non prendere nota di altri elementi può precludere successivi accessi e analisi del dispositivo o dei dati.

Per questo motivo, sul sito Repertamento prove digitali sono state raccolte in delle checklist tutti i passaggi fondamentali per il repertamento di computer, smartphone, account cloud e wallet di cripto valute.

L’idea è quella di avere e mantenere aggiornate, con il contributo di tutti gli operatori del settore, delle liste di controlli e raccolta dati che siano di supporto a chiunque, Polizia Giudiziaria o ausiliario, si trovi a dover eseguire queste operazioni, per non trascurare né dimenticare nessun particolare fondamentale per le successive fasi.

Le liste sono in formato Excel, possono essere stampate e usate come brogliaccio per le operazioni di repertamento e sequestro, oppure possono essere usate online come verbale di repertamento. Da un tablet o un computer usando la cam si possono scattare fotografie e inserirle direttamente nel modulo/verbale di repertamento. Usandole online, inoltre, è possibile anche stampare e salvare come PDF il verbale di repertamento, o inviarlo per e-mail ad un indirizzo specifico.

Ad oggi sono attive le liste per “Smartphone, tablet, e tracker GPS”, “computer, server, ambienti virtuali”, “account cloud” e “cripto valute wallet hardware”, ma ne verranno aggiunte di nuove mantenendo aggiornate le attuali con il contributo della community che le sta già usando.

@RIPRODUZIONE RISERVATA

Articolo 1 di 2