Ministero dell’Interno Polizia Postale e delle Comunicazioni Compartimento Polizia Postale e delle Comunicazioni per l’Umbria Facoltà di Giurisprudenza Perugia,26 marzo 2012 Ministero dell’Interno Polizia Postale e delle Comunicazioni L'evoluzione tecnologica ha reso indispensabile l'uso di Internet quale mezzo di scambio di informazioni, di accesso alle grandi banche dati, di esecuzione di transazioni e disposizioni finanziarie, di ideazione e creazione di nuove attività professionali. La rapida diffusione dell'uso di Internet ha ben presto messo in evidenza i punti di debolezza della Rete stessa, in particolar modo con riferimento alla sicurezza informatica. E' in questo scenario che nasce, con legge riforma dell'Amministrazione della Pubblica Sicurezza, la Polizia Postale e delle Comunicazioni, quale "specialità" della Polizia di Stato all'avanguardia nell'azione di prevenzione e contrasto della criminalità informatica e a garanzia dei valori costituzionali della segretezza della corrispondenza e della libertà di ogni forma di comunicazione. Ministero dell’Interno Polizia Postale e delle Comunicazioni Il principale sforzo operativo della Polizia Postale e delle Comunicazioni è nella direzione del continuo adeguamento della propria risposta alle nuove frontiere tecnologiche della delinquenza. La Polizia delle Comunicazioni è presente su tutto il territorio nazionale attraverso i 20 compartimenti,con competenza regionale, e le 80 sezioni con competenza provinciale, coordinati a livello centrale dal Servizio Polizia delle Comunicazioni. Ministero dell’Interno Polizia Postale e delle Comunicazioni Aree d'intervento Pedofilia on-line Protezione infrastrutture critiche Cyberterrorismo Copyright E-Commerce Hacking Collaborazione operativa con Forze di Polizia straniere Computer forensics Ministero dell’Interno Polizia Postale e delle Comunicazioni Computer Crime L’eccezionale e inarrestabile sviluppo, evoluzione ed espansione delle reti telematiche, in particolare della rete Internet, e la capillare diffusione delle apparecchiature informatiche ed elettroniche hanno comportato innegabilmente un aumento sia dei crimini informatici tuttavia il fenomeno appare sottovalutato poiché: la vittima non ha la cognizione dell’origine dell’evento lesivo né la consapevolezza dell’esistenza dell’evento stesso; il timore o preoccupazione di una pubblicità negativa, della perdita di prestigio, della reputazione o della credibilità. Ministero dell’Interno Polizia Postale e delle Comunicazioni Attività investigative condotte dalla Polizia Giudiziaria quando sono rivolte all’individuazione dell’autore di crimini informatici,cioè quei crimini contemplati e introdotti nel Codice Penale dalla legge 547/93 (in questo caso ci troviamo in presenza di reati informatici in senso stretto) quando i reati che si perseguono, pur essendo diversi da quelli sopra definiti “crimini informatici” in senso stretto, sono stati perpetrati a mezzo di sistemi informatici e/o telematici quando si utilizzano tecnologie informatiche telematiche nello svolgimento delle investigazioni. e/o Ministero dell’Interno Polizia Postale e delle Comunicazioni L’evidenza informatica Il dato informatico o evidenza informatica, è costituita da una serie di “bits” (ove, con il termine “singolo bit” - acronimo di binary unit, e cioè cifra che può assumere il valore zero o il valore uno - è indicata la componente elementare, che riduce a identità strutturale un testo, un suono, un'immagine o un filmato) risultanti ordinariamente dalla magnetizzazione o smagnetizzazione della superficie di un supporto (e comunque dalla variazione dello stato fisico della materia), e come tale può essere considerata immateriale. È proprio l’immaterialità del dato informatico, bene oggetto di tutela da parte dalla legge, che sta alla base delle difficoltà di applicazione di taluni strumenti processuali. Ministero dell’Interno Polizia Postale e delle Comunicazioni Mezzi di ricerca della prova perquisizione sequestro ispezione acquisizione intercettazione di comunicazioni informatiche o telematiche Ministero dell’Interno Polizia Postale e delle Comunicazioni Perquisizione È il mezzo di ricerca della prova preordinato al sequestro della stessa; la ricerca può essere omessa, se l’interessato ottempera all’invito di consegna. Consiste nell’attività diretta alla ricerca del corpo del reato e in genere delle cose pertinenti al reato, quelle cioè sulle quali o a mezzo delle quali fu commesso il reato, e quelle che ne costituiscono il profitto, il prezzo o il prodotto o un mezzo di prova. Recentemente è stata introdotta la cosiddetta perquisizione informatica art. 247 comma 1 bis c.p.p. , anche per l’eventuale arresto per pedo-pornografia. Ministero dell’Interno Polizia Postale e delle Comunicazioni Sequestro Il sequestro consiste nell’imposizione di un vincolo di indisponibilità sulle cose che ne sono oggetto o nel loro spossessamento. Il sequestro probatorio (artt.253- 265 c.p.p.), tende ad assicurare e assoggettare a custodia le fonti di prova. Ministero dell’Interno Polizia Postale e delle Comunicazioni Ispezione L’ispezione costituisce un mezzo di ricerca delle prove che ha per oggetto persone, luoghi o cose e viene disposta, con decreto motivato dal pubblico ministero, allo scopo di accertare (osservare, constatare e rilevare) le “tracce e gli altri effetti materiali del reato”. Ministero dell’Interno Polizia Postale e delle Comunicazioni Acquisizione Analogamente a quanto previsto per il sequestro, si ritiene che, ai sensi degli artt. 234 e segg. c.p.p., si possa procedere ad acquisizione anche dell’evidenza informatica, equiparata pertanto ai documenti di cui al titolo II, capo VII del codice di procedura penale, relativo ai mezzi di prova. Ministero dell’Interno Polizia Postale e delle Comunicazioni Intercettazione Un ulteriore mezzo di ricerca della prova sono le intercettazioni informatiche o telematiche regolate dagli artt. 266 bis e segg. c.p.p Ministero dell’Interno Polizia Postale e delle Comunicazioni Modalità di intervento descrizione particolareggiata del tipo di operazioni illecite accertate o presunte; assunzione di informazioni dettagliate dei luoghi da controllare; descrizione del sistema oggetto di indagine (hardware, software, applicazioni, sistemi di memorizzazione di dati); descrizione della tipologia e topologia dell’eventuale rete e di ogni altro mezzo e linea di comunicazione disponibile (LAN, WAN, ISP, fax, modem, telefono); individuazione dell’eventuale amministratore di sistema e/o della rete e delle figure professionali che lavorano nel settore tecnico, (nello specifico se appartengono all’organizzazione oppure se fanno parte di strutture esterne); individuazione delle persone che possono essere informate dei fatti. Ministero dell’Interno Polizia Postale e delle Comunicazioni Attività tecnica di assunzione della prova informatica Acquisizione Analisi Presentazione Ministero dell’Interno Polizia Postale e delle Comunicazioni Acquisizione dell’evidenza informatica Operazione propedeutica all’acquisizione delle evidenze informatiche è altresì la constatazione e la verifica delle connessioni del sistema in esame e dei dispositivi collegati. In fase di acquisizione è necessario «sigillare» in maniera informatica o semplicemente fisica i supporti da sottoporre ad analisi. Nel caso si proceda al sequestro dei soli Hard Disk è necessario effettuare la verifica della data ed orario di sistema dal bios. Ministero dell’Interno Polizia Postale e delle Comunicazioni Duplicazione dei supporti di memorizzazione L’operazione di duplicazione deve essere realizzata con l’impiego di programmi che consentono la riproduzione esatta e l’inalterabilità del contenuto dei supporti originali, con contestuale verifica dell’integrità e autenticità del contenuto stesso. Hardware LOGICUBE® modello Forensic DOSSIER ® Software Distribuzioni live (Software) Hardware e/o Software Encase AccessData FTK Ministero dell’Interno Polizia Postale e delle Comunicazioni Acquisizione dei dati volatili L’operazione di raccolta dei dati volatili, che spesso costituiscono importante elemento probatorio, non è facilmente standardizzabile in ragione delle numerose variabili da valutare e del consistente numero di strumenti utilizzabili. È opportuno sempre tenere in debita considerazione che lo spegnimento del sistema o un blocco dello stesso (crash) causerebbe la definitiva perdita dei dati volatili, residenti generalmente in porzioni di memoria non permanente. Ministero dell’Interno Polizia Postale e delle Comunicazioni Indagini e attività di Polizia Giudiziaria sui sistemi informatici modalità operative In relazione al fatto che il sistema sia o meno in funzione all’atto dell’ intervento, andrà calibrata sia la metodica di acquisizione delle prove, che l’analisi dei dati, che potranno essere effettuate direttamente sul posto o successivamente in laboratorio. Ministero dell’Interno Polizia Postale e delle Comunicazioni Sistema non in funzione Se il sistema non è in funzione e non è possibile eseguire l’analisi dei dati sul posto (per insufficienza di apparecchiature, per inadeguatezza dei luoghi, ecc.), sarà opportuno effettuarla presso laboratori opportunamente attrezzati e controllati, procedendo all’avvio e analisi del sistema. E’ però sempre importante considerare che, quando si procede nell’ambito di attività di polizia giudiziaria, la tempestività nell’acquisire le notizie sui fatti oggetto di indagine, è spesso determinante per il buon esito delle investigazioni Ministero dell’Interno Polizia Postale e delle Comunicazioni Sistema non in funzione con analisi sul posto Se il sistema non è in funzione, ma è possibile dare immediato corso all’analisi ripetibile ed alla eventuale acquisizione dei dati, per esigenze investigative o per procedere con ispezione, dopo aver verificato, come detto, lo stato delle connessioni e delle varie apparecchiature, si procederà ad accendere il sistema, evitando che l’operazione modifichi i dati già presenti Dopo aver disconnesso i supporti da analizzare, si procede avviando il sistema ed accedendo al BIOS. Dopo aver preso nota della data ed ora Per procedere all’analisi immediata, al fine di motivare il sequestro, per conseguire elementi utili al prosieguo delle indagini o semplicemente perché si procede ad ispezione, si potranno utilizzare le seguenti tecniche: Avviare la macchina da esaminare con un “live cd” Utilizzare EnCase(o software analoghi) in modalità protetta Ministero dell’Interno Polizia Postale e delle Comunicazioni Sistema in funzione con possibilità di spegnimento Nel caso in cui il sistema informatico in funzione possa essere disattivato e sequestrato, per effettuare un’analisi successiva, si procederà inizialmente alla raccolta dei dati volatili, in quanto operazione non ripetibile dopo lo spegnimento del sistema. Lo spegnimento adeguato di un sistema è una delle operazioni più delicate da intraprendere, dal momento che azioni non opportune potrebbero compromettere l’integrità dei dati in esso contenuti. Ministero dell’Interno Polizia Postale e delle Comunicazioni Sistema in funzione con impossibilità di spegnimento Nel caso in cui non sia possibile spegnere il sistema, in conseguenza per lo più della gravità del danno che ne deriverebbe (si pensi a sistemi informatici che gestiscono infrastrutture critiche o cicli produttivi di grandi aziende), le attività di analisi immediata non potranno avere il carattere della assoluta ripetibilità. In tal caso, si potrà solo procedere come ispezione urgente, ex artt. 364, 5° e 6° comma c.p.p. Tali operazioni andranno descritte nel relativo verbale, al quale si dovranno anche allegare i supporti informatici, sui quali saranno state memorizzate le informazioni rilevate ed i file acquisiti. Presupposti fondamentali degli accertamenti urgenti art. 354 c.p.p sono: •la possibilità di alterazione, modificazione o distruzione dell’oggetto dell’indagine; •l’impossibilità di intervento tempestivo da parte del pubblico ministero. Ministero dell’Interno Polizia Postale e delle Comunicazioni Analisi dell’evidenza informatica L’analisi dell’evidenza informatica si concretizza nell’estrarre, processare e interpretare ogni tipo di dato. che possa costituire un indizio per la prosecuzione delle indagini o sia fonte di prova ovvero possa essere rilevante ai fini delle investigazioni difensive. In via generale è possibile indicare alcuni metodi e tecniche diretti a conseguire lo scopo che ci si prefigge con l’attività di analisi. In relazione alla fattispecie concreta, di volta in volta, si dovranno utilizzare metodi di analisi non rigidamente legati alla seguente elencazione ma ad un principio di logica sussidiarietà Ministero dell’Interno Polizia Postale e delle Comunicazioni Verifica della data e dell’ora del sistema oggetto di analisi (dal BIOS) A tal proposito si tenga in debita considerazione che i riferimenti temporali dei file e delle cartelle, contenute nel sistema oggetto di analisi, siano rigidamente correlati alla data e all'ora riscontrate nel BIOS. Infatti, modificare le impostazioni di data ed ora del BIOS, è un operazione molto semplice, che può essere effettuata in qualsiasi momento e senza lasciare tracce. Ministero dell’Interno Polizia Postale e delle Comunicazioni La “timeline” riportano in modo dettagliato date e orari di ultima modifica, accesso e cambiamento dello status o creazione di file e cartelle, che potrebbero essere rilevanti. Ministero dell’Interno Polizia Postale e delle Comunicazioni Il “registro di sistema” (configurazione del sistema operativo Windows) Analisi degli utenti accreditati Ultimo spegnimento del sistema Ministero dell’Interno Polizia Postale e delle Comunicazioni Crittografia/ Steganografia File system crittografati File crittografati La crittografia dei file consente di impedire ad altri utenti l'accesso a dati particolarmente riservati. È possibile proteggere i file desiderati con una password in modo da potervi accedere in maniera esclusiva File steganografati steganografia a differenza di un algoritmo crittografico deve tenere conto della forma plausibile che i dati generati devono avere, affinché non destino sospetti. Steganografia LSB/rumore di fondo è la tipologia di steganografia più diffusa. Si basa sulla teoria secondo la quale l'aspetto di un'immagine digitale non cambia se i colori vengono modificati in modo impercettibile. Ogni pixel è rappresentato da un colore differente, cambiando il bit meno significativo di ogni pixel, il singolo colore non risulterà variato in modo significativo e il contenuto dell'immagine sarà preservato nonostante questa manipolazione. Ministero dell’Interno Polizia Postale e delle Comunicazioni Sistemi operativi e dei programmi applicativi individuare i file propri dei sistemi operativi e dei programmi applicativi in modo da selezionare, per differenza, i file degni di analisi, a mezzo di tecniche cosiddette di “hashing”, che confrontano i dati in esame con quelli, sicuramente autentici, presenti su un proprio archivio, evidenziando di converso quelli di cui è dubbia la legittimità; Forensic Tool Kit della AccessData – visualizzazione della schermata utilizzata per il confronto degli hash dei file presenti nel sistema in analisi con il proprio archivio di hash noti. Ministero dell’Interno Polizia Postale e delle Comunicazioni Individuare i file camuffati ad esempio è possibile rinominare un file contenente materiale illecito con un nome simile ad un file di sistema e posizionarlo, appunto, tra i file di sistema: C:\account_rubati.zip > C:\WinNT\system32\video32.dll le soluzioni più idonee per individuare tali camuffamenti sono l’utilizzo delle tecniche di hashing, oppure l’utilizzo del comando “file“ presente nei sistemi unix-like, il quale è in grado di riconoscere la maggiore parte dei file esistenti mediante l’analisi del loro header; Ministero dell’Interno Polizia Postale e delle Comunicazioni Ricercare e controllare ogni tipo di file immagine, video, audio, documenti, file compressi e l’estrazione della posta elettronica Ricerca dei files anche mediante l’utilizzo di script Ricerca dei files in base all’header degli stessi Ministero dell’Interno Polizia Postale e delle Comunicazioni Verificare la presenza di ADS C’è la concreta possibilità di utilizzare gli ADS (Alternate Data Stream) del file system NTFS per nascondere informazioni, dati o file, in modo assolutamente trasparente, per essere utilizzati in seguito. Alcuni strumenti per la verifica dell’esistenza degli ADS sono: crucialADS, lads Ministero dell’Interno Polizia Postale e delle Comunicazioni Estrapolare i file protetti da password in caso di mancata collaborazione da parte dell’indagato si tenterà di individuarle, utilizzando apposito software o hardware dove possibile (nel caso in cui la codifica sia stata effettuata tramite RSA, questa soluzione non si mostra alquanto applicabile) Ministero dell’Interno Polizia Postale e delle Comunicazioni Individuare programmi installati tra cui quelli di “file sharing” (che consentono la condivisione di dati in rete) e di “chat” (permettono a più utenti di comunicare in tempo reale sulla rete), verificando l’eventuale condivisione di cartelle attraverso i file di configurazione dei programmi stessi; Molto importante l’analisi della configurazione dei programmi per “file sharing” al fine di delineare la forma criminosa in relazione alla detenzione o diffusione di materiale pedopornografico Ministero dell’Interno Polizia Postale e delle Comunicazioni Individuare programmi o attività di backdoors e rootkit Backdoor, programmi finalizzati al controllo remoto di personal computers di persone ignare, in modo tale da far ricadere su altri la colpa di comportamenti illeciti Rootkit, programmi in grado di falsare le informazioni dei dati volatili contenuti in un sistema. Ministero dell’Interno Polizia Postale e delle Comunicazioni controllo delle cartelle Preferiti” e spool di stampa controllo delle cartelle “Preferiti” e dei relativi “links collegamenti”, “Dati Recenti”,“Cestino” e spool di stampa dei Sistemi Operativi. Ministero dell’Interno Polizia Postale e delle Comunicazioni controllo e verifica dei browser (attività web) Cache dei browser per esempio index.dat, cioè dei file temporanei di navigazione in Internet, presenti nei Sistemi Operativi, anche sotto nomi diversi (ricostruzione della cache del browser); Cookies analisi dei file “cookies”, che indicano tracce della navigazione sulle reti, in relazione a particolari siti filtraggio delle URL dei siti web visitati in base alla data, ora, titolo, contenuto Ministero dell’Interno Polizia Postale e delle Comunicazioni webmail / remote virtual disk/ configurazione di rete individuazione di attività di WEBMAIL o REMOTE VIRTUAL DISK (posta elettronica via web, dischi virtuali residenti in remoto), in quanto elementi utili per le indagini potrebbero risiedere su dischi remoti. verifica della configurazione di rete (Wi-fi/Eternet) Ministero dell’Interno Polizia Postale e delle Comunicazioni verifica dei file di “log” (registrazione di eventi e attività) generati dai programmi installati e dal Sistema Operativo interpretazione e rielaborazione dei file di log in modo da catalogare gli eventi in modo cronologico ricerca di correlazioni, in base alla data-ora, IP, utente, ecc., degli eventi risultanti dall’analisi dei file di log Contenuto della cartella /var/log, dove comunemente vengono registrati i file di log in un sistema Linux. Ministero dell’Interno Polizia Postale e delle Comunicazioni spazio non allocato L’elenco delle operazioni enunciate, che non è da ritenersi esaustivo, è comunque relativo ai dati che risultano in chiaro, ovvero che non sono stati cancellati e che quindi hanno un’allocazione ben definita all’interno del “file system” Per completezza di analisi devono essere effettuate anche ricerche su quella parte di dati, comunemente detto spazio non allocato, eliminati dall’utente o dal Sistema Operativo, che pur se non visibili, sono fisicamente presenti sui supporti magnetici in esame Visualizzazione con autopsy dei file cancellati in un supporto di memorizzazione Ministero dell’Interno Polizia Postale e delle Comunicazioni Ripristino del sistema Delle volte potrebbe essere conveniente, per eseguire un’analisi rigorosa e completa, ricreare lo stesso ambiente in cui si trovava il sistema oggetto di analisi, ripristinando cioè, dalla copia acquisita, il contenuto originale del supporto da analizzare su un altro disco rigido. In tal modo, quest’ultimo potrà essere collegato al sistema originale, oppure ad un ambiente simulato , per essere avviato in modo corretto al fine di verificare l’originaria finalità del software installato, ed eventualmente, di visualizzare i file creati con software proprietario, altrimenti non visionabili. Ministero dell’Interno Polizia Postale e delle Comunicazioni Presentazione del risultato Ultima in ordine di esposizione, ma non per questo meno importante delle altre, è la fase di presentazione dei risultati della ricerca. La presentazione deve essere tesa all’illustrazione dell’accertamento di determinati atti o fatti ed essere esposta in modo tale da essere pienamente comprensibile, anche da persone con scarse conoscenze informatiche. È necessario limitarsi a inserire nella relazione conclusiva solo gli elementi utili per l’investigazione. Ministero dell’Interno Polizia Postale e delle Comunicazioni Presentazione del risultato Ultima in ordine di esposizione, ma non per questo meno importante delle altre, è la fase di presentazione dei risultati della ricerca. La presentazione deve essere tesa all’illustrazione dell’accertamento di determinati atti o fatti ed essere esposta in modo tale da essere pienamente comprensibile, anche da persone con scarse conoscenze informatiche. È necessario limitarsi a inserire nella relazione conclusiva solo gli elementi utili per l’investigazione. Ministero dell’Interno Polizia Postale e delle Comunicazioni In modo sintetico, la relazione di presentazione dei risultati di ricerca sull’evidenza informatica dovrebbe contenere: il nominativo dell’operatore che ha eseguito l’analisi la data e l’ora di inizio e di temine dell’operazione di acquisizione dell’evidenza informatica. i dati dei supporti su cui la copia dell’evidenza informatica è stata riversata. il codice di validità (checksum o message digest, sia esso riferito all’algoritmo MD5 o SHA1) dell’evidenza informatica e delle copie speculari. la descrizione delle caratteristiche del sistema posto sotto analisi (hardware e software). Ministero dell’Interno Polizia Postale e delle Comunicazioni In modo sintetico, la relazione di presentazione dei risultati di ricerca sull’evidenza informatica dovrebbe contenere: la descrizione di tutte le operazioni effettuate sul supporto originale, che costituisce l’evidenza informatica. la descrizione delle operazioni di analisi e ricerca effettuate sulla copia dell’evidenza. l’elencazione e la descrizione delle caratteristiche dei programmi eventualmente utilizzati, con particolare riferimento a quelli impiegati per ricercare informazioni in zone non allocate del “file system”. la collocazione esatta (percorso logico o path) informazioni utili per le indagini (siano essi testi, immagini, video, suoni o programmi). Ministero dell’Interno Polizia Postale e delle Comunicazioni In modo sintetico, la relazione di presentazione dei risultati di ricerca sull’evidenza informatica dovrebbe contenere: la stampa, in caso sia possibile e necessario, dei dati rinvenuti. la registrazione possibilmente su supporto non alterabile, dei dati di interesse- Ministero dell’Interno Polizia Postale e delle Comunicazioni “Non c'è alcun ramo delle scienze investigative così poco praticato, eppure tanto importante, qual è l'arte d'interpretare le orme.” (Sherlock Holmes) “È un errore enorme teorizzare a vuoto. Senza accorgersene, si comincia a deformare i fatti per adattarli alle teorie, anziché il viceversa.” (Conan Doyle) Ministero dell’Interno Polizia Postale e delle Comunicazioni Strumentazioni Ministero dell’Interno Polizia Postale e delle Comunicazioni Software