35 0 48MB
D
F
G
Darren R. Hayes
© Apogeo - IF - Idee editoriali Feltrinelli s.r.l. Socio Unico Giangiacomo Feltrinelli Editore s.r.l. ISBN ebook: 9788850319169
Authorized translation from the English language edition, entitled A Practical Guide to Digital Forensics Investigations, 2nd Edition by Darren Hayes, published by Pearson Education, Inc, publishing as Pearson, Copyright (c) 2021 by Pearson Education, Inc. All rights reserved. IF – Idee editoriali Feltrinelli srl, gli autori e qualunque persona o società coinvolta nella scrittura, nell’editing o nella produzione (chiamati collettivamente “Realizzatori”) di questo libro (“l’Opera”) non offrono alcuna garanzia sui risultati ottenuti da quest’Opera. Non viene fornita garanzia di qualsivoglia genere, espressa o implicita, in relazione all’Opera e al suo contenuto. L’Opera viene commercializzata COSÌ COM’È e SENZA GARANZIA. In nessun caso i Realizzatori saranno ritenuti responsabili per danni, compresi perdite di profitti, risparmi perduti o altri danni accidentali o consequenziali derivanti dall’Opera o dal suo contenuto. Il presente file può essere usato esclusivamente per finalità di carattere personale. Tutti i contenuti sono protetti dalla Legge sul diritto d’autore. Nomi e marchi citati nel testo sono generalmente depositati o registrati dalle rispettive case produttrici. L’edizione cartacea è in vendita nelle migliori librerie. ~ Sito web: www.apogeonline.com
Scopri le novità di Apogeo su Facebook Seguici su Twitter Collegati con noi su LinkedIn Guarda cosa stiamo facendo su Instagram Rimani aggiornato iscrivendoti alla nostra newsletter ~ Sai che ora facciamo anche CORSI? Dai un’occhiata al calendario.
Questo libro è dedicato a mia moglie Nalini e ai miei figli, Shay, Fiona, Aine e Nicolai. Dedico questo libro anche alle forze dell’ordine, ai primi soccorritori e ai nostri militari, che rischiano la loro vita per proteggere la nostra sicurezza.
Introduzione
Negli ultimi anni il campo della Digital Forensics è cresciuto e si è diversificato enormemente, per numerosi motivi. La diffusione di dispositivi IoT, di tecnologie indossabili (wearable) e di altre nuove tecnologie, come il 5G, è trattata in dettaglio nel Capitolo 13, perché l’incidenza sulla Digital Forensics sarà profonda. Quel capitolo inoltre esamina come le nuove tecnologie siano contribuendo a modificare le regole di comportamento e la sicurezza delle forze dell’ordine. Il capitolo analizza anche il campo, in rapida crescita, dell’analisi forense dei veicoli (Vehicle Forensics). Non c’è stata una riduzione, a livello globale, nel numero delle intrusioni nelle reti, perciò il bisogno di esperti di Digital Forensics per la risposta agli incidenti è più grande che mai. Di conseguenza il Capitolo 7 si concentra sullo sviluppo delle competenze per chi deve rispondere agli incidenti e sugli indicatori di compromissione. La Mobile Forensics è in continua evoluzione; i cambiamenti sono trattati in vari capitoli: il Capitolo 9 offre un’introduzione, ma spiega anche come sono cambiati i dispositivi Android e i metodi di esame. Il Capitolo 11 spiega come siano cambiate drasticamente le tecniche di analisi degli iPhone e mostra come un exploit, recentemente scoperto, consenta ora l’estrazione dell’intero file system. Le applicazioni (app) per il mobile salvano una quantità enorme di informazioni personali e praticamente ogni indagine oggi include almeno un dispositivo mobile. Perciò il Capitolo 10 presenta agli investigatori le tecniche forensi per
eseguire un esame sia statico sia dinamico delle app per mobile. Quello stesso capitolo spiega anche come da molte app di grande diffusione si possano ricavare informazioni in tempo reale. Tutti i capitoli sono stati ampiamente aggiornati per incorporare i molti cambiamenti nella tecnologia e le tecniche più recenti scoperte per ottenere prove digitali. Il libro non presuppone una conoscenza pregressa dell’argomento; l’ho scritto pensando sia agli studenti universitari sia agli investigatori forensi. Inoltre, anche altri professionisti possono trarre giovamento dalla lettura del libro: può essere utile per avvocati, contabili forensi, professionisti della sicurezza e altri, che hanno bisogno di comprendere come si raccolgano, si gestiscano e si presentino in tribunale le prove digitali. Il libro pone l’accento in particolare sui processi e la conformità alla legge, che sono parimenti importanti per le prove che possono essere raccolte. Il lettore deve anche sapere che un’ampia conoscenza della Computer Forensics può aprire vari tipi di carriera. Esaminatori ed esperti forensi lavorano per società di revisione dei conti, società di software, banche, forze dell’ordine, agenzie di intelligence e società di consulenza. Ogni grande azienda ha un team di risposta agli incidenti e molte hanno un team o un reparto di intelligence delle minacce. Questo libro sarà certamente utile a chi ha già intrapreso questa professione e anche a chi sta pensando di cambiare lavoro. La crescita dei social media e di dati e strumenti open source crea una grande quantità di informazioni per gli investigatori, e di questo si parlerà nel libro. Alcuni sono esperti di Mobile Forensics, altri di Network Forensics, altri ancora si specializzano nei personal computer, altri sono specializzati in Mac Forensics o nella retroingegnerizzazione di malware. Chi si laurea con un’esperienza di Computer Forensics ha davanti a sé buone prespettive e molti ambiti fra cui scegliere: il mercato del lavoro per loro rimarrà
robusto e per il futuro prevedibile saranno disponibili più posti di lavoro di quanti siano i laureati che possono aspirarvi. Questo libro è una guida pratica, non solo per le attività che presenta, ma anche per i numerosi casi di studio e le applicazioni pratiche di tecniche di Computer Forensics. I casi sono un modo molto efficace per dimostrare come siano stati utilizzati con successo, in indagini differenti, particolari tipi di prove digitali. Infine, questo libro fa spesso riferimento a strumenti professionali che possono essere costosi. Le istituzioni accademiche possono godere di sconti significativi, se acquistano questi prodotti. In queste pagine citeremo regolarmente molti strumenti gratuiti o a basso costo che possono essere efficaci quanto alcuni degli strumenti più costosi. Potete sicuramente creare un vostro programma o un vostro laboratorio mantenendo contenuti i costi.
Ringraziamenti Devo innanzitutto ringraziare mia moglie, Nalini, la mia migliore amica, per il suo sostegno e la sua pazienza. Le molte ore che si devono dedicare alla scrittura di un libro significano sacrifici per tutti in famiglia e i miei figli, Nicolai, Aine, Fiona e Shay, sono stati stupendi. I miei genitori, Annette e Ted, sono stati la mia guida per tutta la vita e sarò sempre in debito con loro.
Autore e revisori
L’autore Harren R. Hayes è uno dei maggiori esperti nel campo della Digital Forensics e della sicurezza informatica. È Director of Digital Forensics e Professore associato alla Pace University; è stato indicato come uno dei primi dieci docenti di Computer Forensics dai Forensics Colleges ed è stato selezionato come vincitore dello Homeland Security Investigations New York Private Sector Partnership Award per il 2020. Alla Pace University, Hayes ha sviluppato un percorso di Digital Forensics per il Bachelor of Science in Information Technology, oltre ad avere sviluppato i corsi post-laurea di Digital Forensics. Ha creato, e ora dirige, il Laboratorio di ricerca in Digital Forensics dell’università, dove dedica la maggior parte del suo tempo a lavorare con un team di studenti a sostegno delle forze dell’ordine e degli studenti dell’università. Nell’ambito delle sue ricerche e per promuovere questo campo scientifico, ha coltivato rapporti con la polizia di New York, la Procura distrettuale della contea di New York e della contea di Westchester, con la Homeland Security Investigations, la National Crime Agency e molte altre agenzie. Hayes non è solo un accademico, ma anche un professionista operativo. È stato investigatore in indagini civili e penali e spesso offre la sua consulenza per studi legali; è testimone esperto nella corte federale degli Stati Uniti.
A New York, lavora con varie scuole superiori pubbliche per lo sviluppo di un curriculum in Computer Forensics e cybersicurezza. Collabora a progetti internazionali di Computer Forensics e per quattro anni è stato esaminatore esterno per il MSc del programma di Forensic Computer and Cybercrime Investigation dello University College Dublin. Hayes è stato ospite di trasmissioni televisive su CNBC, Bloomberg Television, MSNBC e Fox News ed è stato citato da Associated Press, CNN, Wall Street Journal, The Guardian, The Irish Independent, Japan Times, Investor’s Business Daily, MarketWatch, Newsweek, SC Magazine, Silicon Valley Business Journal, USA Today, Washington Post e Wired News. Suoi articoli sono stati pubblicati da Homeland Security Today, USA Today e The Hill’s Congress Blog. È autore di numerosi articoli pubblicati su importanti riviste accademiche; è autore e revisore per Pearson Prentice Hall dal 2007.
I revisori tecnici Lorne Dannenbaum lavora nel campo della Digital Forensics dal 2004. È un analista esperto di Cybersecurity e ha lungamente lavorato nei settori della tecnologia dell’informazione e dei servizi. Esperto di Digital Forensics e di risposta agli incidenti, ha condotto l’esame di sistemi in merito a incidenti come intrusioni, protezione dalla perdita di dati, malware e frodi. Usa competenze come analisi della memoria, del file system e degli artefatti per condurre esami di Digital Forensics con vari strumenti. Aamir Lakhani è leading senior security strategist. Ha la responsabilità di fornire soluzioni di sicurezza IT a grandi aziende e organizzazioni governative. Crea strategie di sicurezza tecnica e dirige progetti di implementazione di sicurezza per aziende Fortune 500. Ha progettato misure di controdifesa offensiva per il Department of
Defense e agenzie di intelligence nazionali, anche per organizzazioni Global 100. Ha fornito assistenza alle organizzazioni per la salvaguardia di ambienti IT e fisici contro attacchi perpetrati da gruppi cybercriminali. È considerato un’autorità nel settore per la creazione di architetture di sicurezza dettagliate in ambienti di calcolo complessi. Fra le sue aree di competenza vi sono la cyberdifesa, le minacce alle applicazioni per il mobile, la gestione del malware, ricerche sulle Advanced Persistent Threat (APT), indagini sul movimento della dark security in Internet. Ha scritto e collaborato a numerosi libri ed è stato ospite di FOX Business News, della National Public Radio e di altre testate giornalistiche come esperto di cybersicurezza.
Il curatore dell’Appendice A Gabriele Faggioli, legale, è specializzato in contrattualistica informatica e telematica, in information & telecommunication law e negli aspetti legali della sicurezza informatica. È Amministratore Delegato di Digital 360 S.p.A. e di Partnerstinnovation S.r.l. e Presidente del CLUSIT (Associazione Italiana per la Sicurezza Informatica). È Adjunct Professor al MIP-Politecnico di Milano ed è Direttore Scientifico dell’Osservatorio Cybersecurity & Data Protection del Politecnico di Milano.
Capitolo 1
L’ambito della Digital Forensics
Obiettivi Di seguito i temi principali che verranno affrontati nel corso di questo capitolo. Definizione e importanza della Digital Forensics. I diversi tipi di prove digitali e come vengono utilizzati. Le competenze, il training e i corsi di studio necessari per diventare un investigatore di informatica forense. Le possibilità di lavoro nel campo della Computer Forensics. La storia della Computer Forensics. Gli enti che, negli Stati Uniti e a livello internazionale, sono coinvolti nelle indagini di Computer Forensics. L’espressione Digital Forensics indica il reperimento, l’analisi e l’uso di prove digitali in un’indagine civile o penale. La Digital Forensics (o Computer Forensics o informatica forense) non si limita ai computer come possibile fonte di prove; qualsiasi mezzo che possa memorizzare file digitali è una potenziale fonte di prove per un investigatore forense. La Digital Forensics coinvolge quindi l’esame di file digitali. La Digital Forensics è una scienza, perché scientifiche sono le pratiche accettate utilizzate per acquisire ed esaminare le prove e stabilirne l’ammissibilità in tribunale. Inoltre, nel corso degli anni, gli
strumenti utilizzati per reperire e analizzare prove digitali sono stati sottoposti a test scientifici. In effetti, il termine “forense” significa “adatto per l’attività giudiziaria”. Da questa definizione si deduce che le prove digitali utilizzate in un’indagine devono essere acquisite, trattate e analizzate in modo corretto dal punto di vista forense: “corretto” significa che, durante l’acquisizione delle prove digitali e lungo tutto l’arco del processo investigativo, le prove devono rimanere nel loro stato originale. Inoltre, è necessario che sia registrato e documentato, nella forma della “catena di custodia”, chiunque sia venuto in contatto con le prove. A volte la Computer Forensics produce prove incriminanti utilizzate in casi penali; queste sono quindi prove a carico (incriminanti). Prove digitali possono anche essere prodotte a discarico, cioè per dimostrare l’innocenza di un accusato.
Miti comuni sulla Computer Forensics Molti pensano che sicurezza informatica e Computer Forensics siano la stessa cosa, ma non è così. Questa è una delle tante convinzioni errate che circolano. La sicurezza informatica è proattiva e si concentra in particolare sulla protezione di sistemi informatici e dati sensibili, fra i quali possono rientrare proprietà intellettuali. La Computer Forensics è reattiva e la sua natura è investigativa, entra in gioco quando è possibile che sia stato commesso un crimine. Sicurezza e Computer Forensics si intersecano spesso nella risposta agli incidenti. Alcuni incidenti gravi, come la violazione di una rete, richiedono le competenze di un investigatore digitale forense, che cercherà di stabilire che cosa sia successo, quali danni siano stati provocati e, se possibile, identificherà chi abbia perpetrato quell’azione. Le competenze e le tecniche di Computer Forensics sono usate spesso per la raccolta di informazioni (intelligence), dove l’obiettivo può non
essere un’incriminazione (per esempio: si esamina un dispositivo mobile per stabilire se una nazione usi un’app per profilare gli individui). Inoltre, le tecniche di Digital Forensics sono usate spesso per monitorare e raccogliere informazioni sull’uso di servizi di social media da parte di gruppi terroristici noti o potenziali. I paragrafi che seguono presentano alcune delle idee errate che circolano intorno alla Computer Forensics.
Mito 1: Computer Forensics e sicurezza informatica sono la stessa cosa La sicurezza informatica è proattiva: mira a proteggere computer e dati da furti e da usi impropri. La Computer Forensics invece è reattiva e comporta la ricerca di prove digitali dopo che è stato commesso un crimine, per risolvere un caso e incriminare chi l’abbia commesso. La Computer Forensics può essere complementare alla sicurezza informatica, in particolare nel campo della risposta agli incidenti. Va notato però che la National Academy of Sciences ha classificato la Digital Forensics come un sottoinsieme della cybersecurity.
Mito 2: Computer Forensics è l’indagine sui computer Capitoli successivi di questo libro dimostreranno che qualsiasi dispositivo in grado di memorizzare file può essere oggetto di esame da parte degli investigatori forensi. Per esempio, la SIM card di un telefono cellulare non è un computer, ma può contenere prove digitali importanti.
Mito 3: la Computer Forensics è l’indagine su crimini informatici Una concezione erronea assai diffusa è che la Computer Forensics sia usata solo per risolvere crimini informatici, mentre in realtà è importante anche in indagini di omicidio, truffa, spionaggio industriale. Per esempio, il 16 aprile 2007 Seung-Hi Cho ha ucciso 32 persone e ne ha ferite molte altre nel campus del Virginia Polytechnic, poi si è suicidato. Gli investigatori forensi hanno esaminato il computer di Cho per ricostruire gli eventi che hanno portato al massacro. Hanno esaminato il suo account di email, [email protected] e la sua attività su eBay, sotto il nome di blazers5505. Gli investigatori di Computer Forensics hanno potuto stabilire con chi comunicava Cho e che cosa aveva cercato e acquistato online. Hanno anche esaminato il suo cellulare. Uno dei motivi della risposta rapida da parte degli esaminatori forensi è stata la necessità di stabilire se Cho avesse avuto dei complici. Quando gli agenti federali hanno perquisito gli uffici della Enron verso la fine del 2001, hanno scoperto che i dipendenti avevano distrutto un gran numero di documenti. Gli esaminatori forensi hanno dovuto recuperare prove dai dischi dei computer. È stato stimato che la quantità di dati digitali recuperati fosse equivalente a 10 volte le dimensioni della Biblioteca del Congresso.
Mito 4: la Computer Forensics è usata in realtà per riesumare file cancellati La finalità principale della Computer Forensics è recuperare e analizzare file con hardware e software di Computer Forensics e applicando una metodologia scientifica ammissibile in un tribunale. La Computer Forensics va ben oltre la capacità di riesumare file
cancellati; con gli strumenti opportuni si possono recuperare anche altri file non facilmente accessibili. Inoltre, gli strumenti della Computer Forensics hanno capacità di ricerca e filtraggio estremamente efficaci. Molti strumenti offrono capacità di identificazione delle password e di decrittazione: tra questi strumenti rientrano, per esempio, FTK di AccessData e il suo Password Recovery Toolkit (PRTK). Il principio di scambio di Locard Edmond Locard (1877-1966), criminologo dell’Università di Lione, ha sviluppato una teoria che va sotto il nome di Interscambio delle prove, la cui premessa è che, ogniqualvolta un criminale entra in contatto con il suo ambiente, si ha un trasferimento incrociato di prove: Dovunque passi, qualsiasi cosa tocchi, qualsiasi cosa lasci, anche inconsapevolmente, fungerà da testimonianza silenziosa contro di lui. Non solo le sue impronte digitali, o le impronte dei suoi passi, ma anche i suoi capelli, le fibre dei suoi vestiti, gli occhiali che rompe, i segni che lasciano i suoi attrezzi, la vernice che scalfisce, il sangue o lo sperma che deposita o raccoglie. Tutte queste cose e molte altre sono testimoni muti a suo carico. Queste sono prove che non dimenticano. Non si confondono per l’emozione del momento. Non sono assenti perché sono assenti testimoni umani. Si tratta di evidenze fattuali. Le prove fisiche non possono sbagliare, non possono giurare il falso, non possono essere totalmente assenti. Solo l’incapacità umana di trovarle, di studiarle e di comprenderle può diminuirne il valore”. Questa teoria vale anche per la Computer Forensics, dove l’investigatore deve essere consapevole di tutto l’ambiente con il quale il criminale può essere giunto in contatto. In altre parole, è importante che l’investigatore non si concentri solo su un laptop trovato in un appartamento, ma che pensi anche alle connessioni dal laptop, verso un router, verso dischi esterni e storage nel cloud. Anche chiavette USB o CD nell’abitazione possono contenere prove importanti. Nomi e password di login possono essere scritti su foglietti di carta che si trovano nell’appartamento e possono essere fondamentali per accedere al sistema del sospettato, ai suoi file o a servizi Internet come la posta elettronica. Anche un DVR, usato per registrare trasmissioni televisive, è un mezzo di archiviazione che può contenere prove importanti. Il software EnCase di opentext supporta l’imaging e l’analisi di file memorizzati su un DVR. EnCase è uno strumento di imaging a bitstream, che cioè produce una copia bit per bit dei supporti originali, compresi i file marcati per la cancellazione.
Tipi di prove forensi digitali recuperate Mediante tecniche di Computer Forensics si può recuperare praticamente ogni tipo di file, da quelli di sistema a quelli creati dagli utenti, per esempio fogli di calcolo. La sezione seguente elenca alcuni dei file più importanti che possono essere recuperati e utilizzati nelle indagini; molti si possono recuperare anche se l’utente ha cercato di cancellarli.
Posta elettronica (email) L’email è probabilmente il tipo più importante di evidenza digitale. È molto importante per vari motivi, fra cui i seguenti. Controllo, possesso, intenzioni. Catena degli eventi. Prevalenza. Inquinamento delle prove. Ammissibilità. Accessibilità.
Controllo, possesso, intenzioni Nella Computer Forensics, stabilire controllo, possesso e intenzione è fondamentale perché le prove siano incriminanti. A volte non c’è nulla di più personale dell’email, che può mostrare le intenzioni del sospettato e della vittima. Nel caso di Sharon Lopatka, uccisa da Robert Glass, l’email è stata la prova più importante nella causa per omicidio. Glass e Lopatka si sono scambiati molte email prima di incontrarsi nella Carolina del Nord, dove Glass ha torturato e strangolato Lopatka. Le email andavano a sostegno delle dichiarazioni inquietanti, secondo cui tortura e omicidio sarebbero stati consensuali.
In casi che coinvolgono il possesso di pornografia infantile, l’accusato di solito sostiene di non avere saputo che quelle immagini erano presenti sul suo computer. L’accusa deve dimostrare che l’imputato sapeva della loro esistenza e che erano immagini di minori. Le email possono spesso dimostrare che le immagini erano state condivise dall’imputato con altri pedofili. Questo contribuisce a dimostrare la colpevolezza dell’imputato e consente di incriminarlo per possesso di immagini pedopornografiche e per l’uso di un computer per distribuire immagini illegali. Per stabilire che un’immagine che si trova su un computer è lo stesso file di immagine che si trova su un altro computer, si può utilizzare un procedimento che va sotto il nome di MD5 hashing. Catena degli eventi La ricostruzione degli eventi che hanno portato a un crimine è un aspetto importante della presentazione di un caso. Spesso un file di email contiene una catena di conversazioni, svoltesi nell’arco di vari giorni, e comprende ore, date, mittente e ricevente. Questo può contribuire a stabilire una catena di eventi. Prevalenza La posta elettronica è molto importante perché la usiamo molto per comunicare, perciò è molto presente nelle attività sia personali che di lavoro. Nell’indagine sulla Enron, sono state acquisite e indagate decine di migliaia di email. È possibile che una società di revisione dei conti dotata di una unità di Computer Forensics abbia anche una unità distinta con un gruppo di analisti che passano le proprie giornate soltanto esaminando l’evidenza fornita dall’email. Inquinamento delle prove
L’inquinamento è l’occultamento, la distruzione, l’alterazione o la falsificazione delle prove ed è un reato grave. Nella causa Mattel contro MGA Entertainment, Inc., il giudice distrettuale Stephen Larson ha stabilito che la giuria poteva ascoltare la testimonianza della Mattel secondo cui l’ex dipendente Carter Bryant aveva usato un’applicazione, chiamata Evidence Eliminator, per inquinare le prove prima di consegnare il suo computer agli avvocati nel 2004. L’email è molto preziosa per gli investigatori perché, anche se l’accusato cerca di inquinarla sul proprio computer, rimane ancora accessibile da altre fonti. Per esempio, i messaggi si potrebbero trovare non solo sul computer del sospettato ma anche su quello del destinario. Inoltre è possibile emettere un mandato nei confronti di un servizio di posta elettronica perché consegni i file memorizzati sui suoi server. File di email si possono spesso acquisire anche da smartphone come gli iPhone e da altri dispositivi come un iPad o un MacBook. Ammissibilità Giudici e tribunali da anni accettano la posta elettronica come prova ammissibile. Cosa interessante, in un caso, Rombom et al. contro Weberman et al., il giudice ha accettato come prova le stampe dei messaggi di posta; il querelante ha testimoniato di aver ricevuto le email dall’accusato e di averle stampate. Accessibilità A differenza di molte altre fonti di evidenza, per l’accesso alla posta elettronica di un individuo non è necessariamente richiesto un mandato di perquisizione. Il Dipartimento di Giustizia degli Stati Uniti ha sostenuto che, dopo che un’email è stata aperta, non è più protetta dallo Stored Communications Act (SCA). Anche se un giudice ha già respinto la petizione per una perquisizione senza mandato, il governo ha
continuato a sostenere che quando l’email è nel cloud ha il diritto di accedervi liberamente. In base allo SCA, per le comunicazioni archiviate, come le email che risalgono a meno di 180 giorni prima, è necessario che le forze dell’ordine ottengano un mandato. Società come Yahoo!, Google e Microsoft hanno costituito un gruppo, denominato Electronic Frontier Foundation, per opporsi con forza ai tentativi del governo in questo campo. Alcuni analisti pensano però che la legge potrebbe cambiare a favore del governo. Comunque, quello che è chiaro è che l’email aziendale di un dipendente è proprietà del datore di lavoro. Un’azienda quindi può esaminare l’email di un dipendente senza il consenso di quest’ultimo. Nel 2009, nella causa Stengart contro Loving Care Agency, Inc., la Divisione d’Appello della Corte Superiore del New Jersey ha ribadito che un datore di lavoro può accedere all’email di un dipendente e leggerla senza il consenso del dipendente, se quest’ultimo usa la tecnologia dell’azienda per accedere alla posta elettronica. Perciò, avere accesso alle comunicazioni via email spesso è più facile che avere accesso ad altri metodi di comunicazione.
Immagini Esistono numerosi tipi di file di immagine. I formati più usati sono BMP (Windows bitmap), JPEG (Joint Photographic Experts Group), TIFF (Tagged Image File Format) e PNG (Portable Network Graphics). Le immagini sono particolarmente importanti nei casi di pedopornografia, sono anzi ancora più importanti oggi di quanto lo fossero 20 anni fa, perché le fotografie digitali presentano dettagli sul tipo di fotocamera utilizzata (dimostrando quindi il possesso) e spesso contentono dati GPS (Global Positioning System), che consentono di stabilire la posizione del dispositivo (per esempio, uno smartphone) e quando la fotografia è stata scattata. Questi metadati sono spesso
associati alle fotografie scattate con uno smartphone. In generale i metadati di file di una fotografia digitale permettono di identificare marca e modello della fotocamera utilizzata, che sono informazioni preziose per gli investigatori. I metadati (Figura 1.1) sono informazioni su un file e possono includere le date di creazione, modifica e ultimo accesso, e a volte i particolari sull’utente che ha creato il file.
Figura 1.1 Metadati di un file.
La maggior parte dei software di imaging e analisi forense, fra cui l’applicazione FTK di AccessData, offre un’interfaccia utente che può filtrare le immagini per tipo e separarle. Questi file sono raggruppati e comprendono anche file di immagine estratti da altri file. Se, per esempio, un’email o un documento di Microsoft Word contengono un’immagine, l’applicazione può estrarla e raggrupparla con altre immagini che ha trovato. Il software X-Ways Forensics e altri strumenti forensi consentono a un investigatore di filtrare tutte le immagini utilizzando come criterio una tonalità della pelle. Il risultato è che, dopo la ricerca, vengono presentate quasi esclusivamente immagini di persone. Le fotografie sono utilizzate da molti anni in tribunale, ma le immagini digitali oggi forniscono più informazioni delle immagini tradizionali su pellicola. Spesso, molti servizi online eliminano i metadati dalle fotografie digitali, perciò è possibile che un investigatore abbia bisogno di un mandato per ottenere le immagini che gli interessano nel formato originale (cioè complete di metadati). Nel Capitolo 10 parleremo più dettagliatamente dell’esame delle fotografie digitali.
Video Prove video si possono trovare su molti tipi diversi di dispositivi, fra cui computer, fotocamere digitali, telefoni cellulari. Oggi i video di sorveglianza sono salvati in genere su computer e perciò ricadono nel campo dell’informatica forense. I video di sorveglianza spesso sono utili nel caso di furti a banche e negozi, ma vengono usati anche per molti altri tipi di attività criminali. L’uso di skimmer ai bancomat ha reso possibili furti per milioni di dollari in tutto il mondo. Uno skimmer (Figura 1.2) è un dispositivo usato per catturare i dati memorizzati sulla banda magnetica di una carta
bancomat, di una carta di credito o di debito. I video di sorveglianza possono essere fondamentali per catturare questo tipo di criminali.
Figura 1.2 Dispositivo di skimming.
La televisione a circuito chiuso (CCTV, Closed-Circuit TeleVision) è l’uso di video trasmessi in una particolare sede. A Londra, per esempio, esistono oltre 600.000 videocamere CCTV, che sono state utilizzate per esempio nelle indagini su rapine ai danni di turisti e per casi di alto profilo come l’avvelenamento dell’ex spia russa Alexander Litvinenko nel 2006. Gli investigatori di Computer Forensics hanno a disposizione vari strumenti, fra cui alcuni che migliorano la qualità dei video da analizzare; altri creano fermi immagine personalizzabili in punti predeterminati di un video. Queste immagini sono preziose, perché possono essere incluse nei rapporti degli investigatori. Cosa ancora più importante, questi strumenti danno all’investigatore un metodo efficiente per identificare quando nel video compaiono evidenze incriminanti importanti, eliminando la necessità di guardare il video dall’inizio alla
fine. Inoltre, se i contenuti video sono scioccanti, l’investigatore non è costretto a guardarli per intero. In tribunale, infine, i materiali video possono essere le prove più convincenti per la formulazione di una sentenza.
Siti web visitati e ricerche in Internet È ancora viva, fra le forze dell’ordine, la discussione se si debba staccare la spina a un computer per conservare le evidenze nello stato originale o se un computer attivo debba rimanere acceso quando viene scoperto. Con i perfezionamenti delle tecniche crittografiche e la natura delle evidenze che si perdono se si toglie l’alimentazione, la maggior parte degli investigatori è convinta che un sistema attivo debba essere esaminato mentre è acceso. La cifratura è il processo per cui un testo in chiaro viene trasformato in un formato non leggibile, mediante l’applicazione di una formula matematica (un algoritmo). File che possono costituire evidenza e i dati relativi alle ricerche in Internet e ai siti web visitati sono più facilmente disponibili mentre il computer è acceso, poiché gran parte dell’attività corrente dell’utente, fra cui l’attività in Internet, è conservata in memoria ad accesso casuale (RAM, Random Access Memory). La RAM è chiamata anche memoria di breve termine o volatile, perché i suoi contenuti scompaiono quando viene tolta l’alimentazione. È importante sapere che, quando viene visitato un sito web, un computer client effettua una richiesta a un server web. Il client in effetti scarica un documento HTML e le relative risorse (come le immagini) dal sito web nella memoria del computer locale, come si vede nella Figura 1.3. La finalità principale di un server web è trasferire documenti HTML e le relative risorse in risposta alle richieste dei client. Si può pensare il client come un consumatore a cui il server fornisce un servizio. La maggior parte degli strumenti professionali di Computer Forensics possono creare effettivamente
un’immagine dei contenuti della RAM mentre il computer è acceso. Sono disponibili anche vari strumenti open source di analisi della RAM.
Figura 1.3 Comunicazioni fra un client e un server web.
Cellphone Forensics Il campo dell’analisi forense per i telefoni cellulari, o Mobile Forensics, sta crescendo esponenzialmente, poiché le capacità dei dispositivi mobili continuano ad ampliarsi. Un telefono cellulare può dire quali persone il sospettato conosca (contatti), i suoi appuntamenti (calendario), con chi abbia parlato (tabulati delle chiamate) e che cosa abbia detto (messaggi di testo). Altri dispositivi possono fornire anche evidenze sotto forma di immagini e video (fotocamera incorporata), sui luoghi visitati (GPS), sugli acquisti effettuati online e sui siti web visitati (smartphone abilitati a Internet). I telefoni cellulari sono usati spesso anche per tracciare i sospettati. Nel corso delle indagini sull’omicidio di Fred Jablin, il detective Coby Kelley ha ottenuto un mandato per la documentazione delle chiamate da cellulare della sospettata Piper Rountree. Poiché i ripetitori della telefonia cellulare tengono traccia del telefono di un utente mentre questi si sposta da una cella (un’area) all’altra, il detective è stato in
grado di rintracciare la sospettata a Richmond, in Virginia, mentre si dirigeva a est sulla I-64 in direzione dell’aeroporto di Norfolk. In seguito, il cellulare è stato individuato mentre trasmetteva da Baltimore nel Maryland. Dopo ulteriori indagini, è stato scoperto che la Rountree aveva acquistato un biglietto aereo da Baltimore al Texas sotto il nome della sorella. Piper Rountree sosteneva di non essersi mai mossa da Houston nel Texas, ma la documentazione delle attività del cellulare dimostrava il contrario, e questa prova è stata determinante per stabilire la sua colpevolezza. Trovate ulteriori informazioni sull’uso dei telefoni cellulari nelle indagini di Computer Forensics nel Capitolo 8.
IoT Forensics Negli ultimi anni sono stati fatti significativi passi avanti nei sistemi di intelligenza artificiale (AI) per la casa. Inoltre, questi dispositivi abilitati dall’AI possono essere controllati da smartphone e integrati con dispositivi domotici (termostati, dispositivi di sorveglianza, illuminazione). Conoscere questi nuovi ecosistemi e le tracce digitali che questi dispositivi salvano localmente o nel cloud è fondamentale per gli investigatori. Parleremo più estesamente di IoT Forensics nel Capitolo 13.
Quali competenze deve avere un investigatore forense? La Computer Forensics è un campo multidisciplinare, in cui sono richieste competenze in vari campi: informatica, diritto, procedura penale, matematica, scrittura, scienze forensi e linguistica.
Conoscenze di informatica Per quanto riguarda l’informatica, è importante avere una buona conoscenza dei sistemi operativi e dei file system associati. Fondamenta solide in questo ambito consentiranno all’investigatore di sapere dove sono conservati i file e di stabilirne il valore per l’accusa in un caso penale. La conoscenza dei sistemi operativi permette di capire come interagiscono fra loro software e hardware. Queste informazioni sono fondamentali per ricostruire le azioni di un utente su un computer. Per esempio, BitLocker, uno strumento di cifratura introdotto con le versioni Ultimate e Enterprise di Microsoft Windows Vista, consente di cifrare file, cartelle o intere unità disco. Se si toglie l’alimentazione a un computer su cui è attivato BitLocker, il processo crittografico si attiva. Un investigatore di Computer Forensics esperto che trovi questo sistema operativo (o uno più recente) su un computer acceso avrà ben chiari i potenziali rischi che lo spegnimento del computer potrebbe provocare. Individuare e recuperare i file che possono costituire evidenza non è sufficiente. Un esaminatore forense esperto deve avere grandi capacità investigative, che gli consentiranno di associare quelle evidenze a una persona specifica; l’esaminatore deve essere in grado di usare le evidenze digitali per dimostrare controllo, possesso e intenzione. Per esempio, un investigatore deve poter dimostrare che un sospettato aveva il controllo del computer quando i file sono stati salvati nella memoria. Un esempio di controllo, in questo scenario, è se l’utente ha utilizzato un nome utente e una password per accedere al computer. Il possesso è un altro fattore importante, quando si cerca di dimostrare la colpevolezza. L’investigatore deve poter dimostrare che il sospettato ha creato un file, o lo ha modificato o lo ha spedito per posta elettronica a qualcuno. Infine, l’intenzione in generale è fondamentale per perseguire un criminale. Nel caso della Computer Forensics, gli accusati
potrebbero sostenere di non aver avuto intenzione di visitare un particolare sito web o di avere scaricato certe immagini senza rendersene conto, ma di non averle mai guardate. Perciò l’investigatore di Computer Forensics, per poter dimostrare l’intenzione deve poter dimostrare che sia stato effettuato l’accesso a un determinato sito web varie volte, o magari che un’immagine è stata vista in più occasioni e quindi distribuita ad altri.
Conoscenze giuridiche La conoscenza della legge è estremamente importante, in particolare per quanto riguarda la Computer Forensics. Poter accedere al computer di un sospettato può essere la prima difficoltà che un investigatore deve affrontare. Se il computer del sospettato si trova nella sua abitazione, è fondamentale conoscere le disposizioni di legge in materia di perquisizione e sequestro (il Quarto Emendamento, negli Stati Uniti). Per per accedere al computer, l’investigatore deve convincere un giudice che è stato commesso un crimine e che esistono fondati motivi per ritenere che in un luogo particolare esistano prove fondamentali: le forze dell’ordine devono dimostrare un “fondato motivo” per effettuare la perquisizione.
Capacità di comunicazione Non si può sottovalutare l’importanza della scrittura nel campo della Computer Forensics. Alla fine, l’investigatore deve documentare il processo investigativo e quanto ha scoperto. Il rapporto inoltre deve essere scritto in maniera tale che quanti sono coinvolti nel caso e non possiedono le competenze tecniche dell’esaminatore forense possano comprendere ciò che è stato scoperto. Se il caso arriva in tribunale, l’investigatore forense potrebbe essere chiamato a testimoniare come
esperto. In quel caso dovrà comunicare efficacemente quanto ha scoperto a giudice e giuria, che hanno competenze limitate di informatica o di Computer Forensics.
Capacità linguistiche Le attività criminali oggi hanno una maggiore presenza internazionale, facilitata dalla diffusione di Internet. Con la crescita dei crimini informatici e l’adozione della tecnologia da parte dei terroristi internazionali, è cresciuto il bisogno di investigatori bilingui. Un investigatore di Computer Forensics bilingue ha perciò la possibilità di dare un contributo maggiore in determinate indagini.
Formazione continua Un investigatore di Computer Forensics dovrà continuare ad acquisire nuove competenze. Ci saranno sempre comunque competenze fondamentali ma difficili da misurare. La capacità di astrazione, o di pensare fuori dagli schemi, è determinante, perché ogni crimine è diverso dagli altri e la natura delle prove varia. Perciò gli investigatori di Computer Forensics dovranno sviluppare continuamente nuove tattiche e nuove soluzioni. Saper essere flessibili e apprendere continuamente nuove competenze è particolarmente importante anche vista la rapidità con cui cambiano le tecnologie, e con queste anche la natura dei crimini. Un altro aspetto intangibile è legato alla psicologia. Essere in grado di comprendere il criminale consente di capire meglio le azioni della persona e può consentire di trovare rapidamente le risposte nel corso di un’indagine. Per questo motivo abbiamo bisogno di esperti in grado di profilare serial killer e altri criminali.
Programmazione
Anche se non è necessario che un investigatore forense abbia profonde conoscenze di programmazione, qualche capacità in questo campo è molto utile. Più specificamente, la conoscenza di Linux può aiutare nell’esame dei server Linux, nella clonazione di un volume, nell’esame di dispositivi Android, nell’analisi delle app Android e delle reti; si può usare AppleScripts per lo scraping di siti web o per individuare a forza bruta i PIN su un computer Mac; Python può essere usato per lo scraping automatizzato di siti Web; gli EnScripts sono script personalizzabili utilizzati con EnCase; i cmdlet e gli script di PowerShell si possono usare per recuperare evidenze fondamentali da diversi sistemi operativi, fra cui anche Windows.
Riservatezza Infine, è fondamentale mantenere la riservatezza delle informazioni. Solo quanti devono sapere di un’indagine devono avere accesso alle informazioni; quanti meno sono, tanto meglio è. Se il sospettato scopre che sono in corso indagini, potrebbe fuggire o inquinare le prove, cioè cercare di nascondere, alterare o distruggere prove collegate alle indagini. Anche le fughe di notizie ai media sono fonte di preoccupazione, perché possono influire sulla percezione del caso da parte di chi è chiamato a decidere (sui membri della giuria, per esempio, negli ordinamenti in cui è una giuria a emettere un verdetto).
L’importanza della Digital Forensics L’importanza della Digital Forensics continua ad aumentare, perché una parte sempre più ampia della nostra vita passa attraverso la tecnologia. Informazioni sulla nostra vita vengono registrate sui nostri computer, sui telefoni cellulari e nel Word Wide Web, in particolare attraverso i siti di social networking. Facebook, per esempio, ha circa
due miliardi di utenti e offre agli investigatori una grande quantità di informazioni: fotografie, indizi sulle password, sulle possibili reti di amici e complici di un sospettato, per esempio. Agli investigatori criminali in genere è richiesta la ricostruzione degli eventi di un crimine e la tecnologia ha facilitato questo processo di ricostruzione. Gli spostamenti di un sospettato possono essere tracciati attraverso l’uso di abbonamenti collegati a una carta di credito, per esempio una MetroCard della metropolitana di New York, o attraverso il pagamento dei pedaggi ai caselli autostradali. Agli inizi del 2014, il pubblico ministero della Queens County a New York ha accusato un taxista, Rodolfo Sanchez, di furto aggravato, furto di servizio e possesso di proprietà rubata, perché il trasmettitore E-Z Pass (un tipo di telepass) e la relativa documentazione indicavano che aveva eluso il pagamento di molti pedaggi per i ponti e i tunnel della Metropolitan Transportation Authority (MTA). I movimenti di un sospettato possono essere tracciati anche attraverso l’uso del suo telefono cellulare.
Possibilità di lavoro Il Bureau of Labor Statistics degli Stati Uniti ha riconosciuto l’importanza di Computer Forensics e sicurezza: stima che, dal 2018 al 2028, i posti di lavoro nell’IT aumenteranno del 12%, il che per i soli Stati Uniti significa circa 546.200 nuovi posti di lavoro. Le nuove possibilità di occupazione saranno legate in parte all’aumento delle attività criminali su Internet, come furto di identità, spamming, molestie via email e download illegale di materiali protetti da copyright. Posti di lavoro nel campo della Computer Forensics esistono nelle forze dell’ordine a livello locale, statale, federale, internazionale, ma anche il settore privato offre molte possibilità per gli esaminatori forensi. La maggior parte delle società di revisione dei conti ha un
laboratorio di Computer Forensics, le più grandi ne hanno anche più di uno. Le grandi aziende spesso si avvalgono, per le loro indagini, dei servizi di una divisione di Computer Forensics delle società di revisione dei conti. Gran parte delle loro attività riguardano l’eDiscovery, ovvero il recupero di dati memorizzati digitalmente. La necessità del recupero di dati può derivare dall’esistenza di un contenzioso con un’altra azienda o dall’esigenza di soddisfare una richiesta di informazioni da parte di un ente di controllo (come la SEC, Securities and Exchange Commission, negli Stati Uniti o la CONSOB in Italia). I servizi di eDiscovery in genere sono collegati a cause civili. Esaminatori forensi esperti possono trovare lavoro anche in società private di investigazione. Queste società, come la CODEDETECTIVES LLC, vengono spesso consultate da persone coinvolte in cause civili, o da persone che stanno affrontando una causa di divorzio che comporta accordi contestati o accuse di infedeltà, in particolare quando non vi è accordo sulla custodia dei figli. Si potrebbe anche sostenere che la crescita della Mobile Forensics sia stata propiziata dalla richiesta di indagini da parte di persone che sospettavano un’infedeltà del coniuge. Con il crescere dell’importanza della Computer Forensics e con la diffusione di nuove tecnologie, nasce continuamente l’esigenza di nuove soluzioni software e hardware. Aziende di software e hardware come AccessData, opentext, Cellebrite e Paraben assumono persone competenti sia in campo informatico sia in campo investigativo. Alcuni grandi studi legali di tutto il mondo hanno assunto investigatori forensi o hanno fatto ricorso ai servizi di investigatori forensi. In molti casi, inoltre, esaminatori forensi sono stati chiamani a testimoniare in tribunale come esperti. Anche i sistemi finanziari di tutto il mondo si basano molto sulle comunicazioni elettroniche e sull’archiviazione digitale di informazioni sui conti dei clienti. Le frodi con carta di credito via Internet e altri casi
di frodi finanziarie hanno spinto gli istituti finanziari a sviluppare e investire nel campo della Computer Forensics per identificare e far condannare i colpevoli. Questa capacità fornisce agli istituti finanziari una maggiore conoscenza delle attività criminali, delle strategie e delle tattiche, per migliorare la sicurezza informatica. Altre organizzazioni che assumono investigatori forensi sono le agenzie del Dipartimento della Difesa, come l’Aeronautica, l’Esercito e la Marina. L’Internal Revenue Service (IRS) è una delle agenzie federali che da più tempo si interessa di Computer Forensics. Agenzie federali come Federal Bureau of Investigation (FBI), Department of Homeland Security (DHS), Immigration and Customs Enforcement (ICE), Drug Enforcement Agency (DEA) e il Secret Service hanno laboratori di Computer Forensics. Per l’FBI queste competenze sono fondamentali, per le indagini per esempio su crimini da “colletti bianchi” che comportano il riciclaggio di denaro o magari per le comunicazioni elettroniche di terroristi di Al-Qaida. Anche i Secret Service usano sempre più la Computer Forensics nelle loro indagini, per esempio sulle contraffazioni. Nell’ottobre 2001 l’allora presidente Bush ha firmato lo USA PATRIOT Act (H.R. 3162). Uno dei provvedimenti derivanti da questa legge è stata la creazione di una rete a livello nazionale di Electronic Crimes Task Force. La rete è costituita da forze dell’ordine a livello federale, statale e locale, oltre che da pubblici ministeri, accademici e rappresentanti delle industrie private. Questo gruppo ha la responsabilità di proteggere l’infrastruttura critica degli Stati Uniti. Le competenze degli esaminatori di Computer Forensics sono indispensabili anche per le indagini su attacchi a infrastrutture critiche, come il sistema finanziario e la rete elettrica. Posti per investigatori forensi sono disponibili anche in molti settori dell’economia, vista la sempre maggiore digitalizzazione delle
informazioni personali. Il furto di informazioni personali e gli attacchi alle infrastrutture critiche probabilmente aumenteranno, perciò ci sarà sempre più bisogno di competenze nel campo della Computer Forensics. Il raggio d’azione di questa disciplina si è tanto ampliato che hanno cominciato a emergere posizioni specializzate. Alcuni esaminatori sono specializzati nel prendere in carico dispositivi digitali e nel crearne immagini forensi, che poi vengono trasferite a un’altra area del laboratorio, dove vengono cercati i file collegati specificamente alle indagini in corso. In seguito, un altro team può avere la responsabilità di scrivere il rapporto e rendere disponibili le prove attraverso un sito web sicuro. Quest’ultima è la procedura definita di discovery, in cui sia l’accusa sia la difesa hanno accesso alle prove. La specializzazione del settore è evidente anche per quanto riguarda i diversi tipi di dispositivi. Nella Mobile Forensics, per esempio, gli investigatori si concentrano sulle prove fornite dai telefoni cellulari; altri si specializzano in Mac Forensics (computer Apple e dispositivi come iPad e iPod).
Storia della Digital Forensics La Computer Forensics è nata come ausilio nelle indagini sui crimini informatici. Negli anni Cinquanta, Sessanta e Settanta ci sono stati i phone phreaker, che usavano varie tecniche per fare telefonate in teleselezione e internazionali senza pagare. Steve Jobs e Steve Wozniak, i fondatori della Apple, a quanto pare avevano venduto un dispositivo che permetteva di fare telefonate senza pagare, sfruttando alcuni trucchi di telecomunicazione. I phone phreaker sono stati i primi hacker, da cui hanno preso ispirazione poi gli hacker informatici dagli anni Ottanta.
Anni Ottanta: l’arrivo del personal computer Anche se forme di criminalità informatica esistevano già da tempo, si è verificata una forte espansione a partire da quando è stato disponibile il personal computer (PC) negli anni Ottanta. La IBM ha favorito inizialmente lo sviluppo del PC, a partire dal 1981, con l’introduzione del PC 5150. In quel decennio era in concorrenza con altre aziende, come Atari, Commodore, Tandy e Apple. Quest’ultima ha avuto un grande successo in questo mercato negli anni Ottanta. Nel 1984 ha introdotto il Macintosh 128K, con un piccolo schermo in bianco e nero incorporato, seguito quello stesso anno dal Macintosh 512K Personal Computer, che permetteva l’uso di software di produttività come Microsoft Excel. Il Macintosh SE è stato uno dei PC più diffusi, dal lancio nel 1987. In quello stesso periodo sono emerse le prime “bacheche elettroniche”, che hanno facilitato le comunicazioni fra hacker. In seguito sono emersi gruppi di hacker come la Legion of Doom negli Stati Uniti. Nel 1983 il film War Games ha fatto conoscere a tutti l’idea dell’hacking con un personal computer per poter accedere ai computer del governo. Nel 1984 Eric Corley (con lo pseudonimo di Emmanuel Goldstein) ha iniziato a pubblicare 2600: The Hacker Quarterly, che ha facilitato lo scambio di idee fra hacker. Kevin Mitnick, uno dei primi, fu condannato nel 1989 per furto di firmware (software) alla DEC e di codici di accesso alla MCI. Dopo numerose violazioni di alto profilo, nel 1986 il Congresso degli Stati Uniti ha approvato il Computer Fraud and Abuse Act, in seguito modificato più volte. Federal Bureau of Investigation (FBI) Nel 1984, l’FBI ha istituito il Magnetic Media Program, in seguito noto con il nome di Computer Analysis and Response Team (CART). Il gruppo ha avuto la responsabilità della Computer Forensics. L’agente
speciale Michael Anderson della divisione indagini criminali dell’IRS è stato definito il “Padre della Computer Forensics”. National Center for Missing and Exploited Children (NCMEC) Nelle forze dell’ordine a livello locale, gli investigatori forensi spesso devono dedicare una grande quantità di tempo a casi di abuso su minori, specialmente quelli che coinvolgono il possesso e la distribuzione di pornografia infantile. Nel 1984, il Congresso degli Stati Uniti ha istituito il National Center for Missing and Exploited Children (NCMEC), che ha il compito di aiutare a individuare bambini scomparsi e a combattere lo sfruttamento (sessuale) dei minori: funge da centro per la documentazione di crimini contro i minori, in particolare sulle vittime di abuso e sfruttamento sessuale.
Anni Novanta: l’impatto di Internet Con la diffusione dei browser come Netscape, negli anni Novana l’accesso a Internet è diventato molto più facile: non era più necessario usare un’interfaccia a riga di comando per raggiungere le risorse in Internet, ma si poteva sfruttare un’interfaccia amichevole, addirittura esteticamente piacevole. I browser hanno favorito una migrazione di massa dei computer verso Internet. Altrettanto importante è stato il fatto che i computer, che in precedenza non comunicavano facilmente tra loro, a quel punto potevano comunicare con relativa semplicità, grazie all’adozione di un protocollo comune, l’HyperText Transfer Protocol (HTTP). Più o meno in quegli anni è stata creata la posta elettronica, anche se inizialmente era solo un metodo di comunicazione all’interno delle organizzazioni. Le aziende multinazionali potevano ridurre drasticamente i costi telefonici istituendo una rete di email. I nuovi usi della tecnologia per le comunicazioni hanno fatto sì che crescesse il
valore delle evidenze digitali. Nel 1993 si è svolta (a Quantico in Virginia) la prima International Conference on Computer Evidence. Dipartimento della Difesa (DoD) Nel 1998, la Defense Reform Initiative Directive #27 ha imposto all’U.S. Air Force la costituzione del Department of Defense Computer Forensics Laboratory, con responsabilità per le indagini di controspionaggio, criminali e di prove informatiche. Contemporaneamente è stato creato un programma di training in Computer Forensics, denominato Defense Computer Investigations Training Program. Questo programma è diventato poi un’accademia, accreditata dall’American Council of Education. È stato creato il Department of Defense Cyber Crime Center, o DC3, formato dall’accademia, dal laboratorio e dal 2002 anche dal Department of Defense Cyber Crime Institute (DCCI). Il DC3 si è associato con il Center for Telecommunications and Network Security (CTANS) dell’Università statale dell’Oklahoma per sviluppare e gestire il National Repository for Digital Forensic Intelligence (NRDFI), che in seguito ha sviluppato numerosi strumenti per le indagini forensi. U.S. Internal Revenue Service La fondazione dell’IRS (l’equivalente dell’Agenzia delle entrate per gli Stati Uniti) risale alla Guerra civile americana, quando il presidente Lincoln creò la carica di Commissioner of Internal Revenue. Oggi l’IRS è una divisione del Department of the Treasury. Con la progressiva diffusione dell’uso dei computer, è cresciuta anche la necessità di Computer Forensics nelle indagini dell’IRS. L’Electronic Crimes Program della Criminal Investigation Division dell’IRS (IRS-CID) ha finanziato Elliott Spencer per lo sviluppo di uno strumento di Computer Forensics denominato ILook. L’IRS-CID ha iniziato a usare ILook nel
2000 come ausilio nelle indagini finanziarie. Storicamente, la ILook Suite è a disposizione, gratuitamente, delle forze dell’ordine locali e statali. United States Secret Service (USSS) Molti pensano che lo United States Secret Service (USSS) abbia solo il compito di proteggere il Commander in Chief, ovvero il Presidente degli Stati Uniti. Questa agenzia federale però ha anche una storia relativamente lunga e importante nel campo della Computer Forensics, perché l’USSS ha agenti che in tutti gli Stati Uniti conducono indagini criminali, fra l’altro su crimini legati al riciclaggio e alla contraffazione di denaro. Nel Crime Bill del 1994, il Congresso ha affidato all’USSS anche il compito di applicare le proprie conoscenze in campo forense e tecnico alle indagini criminali collegate alla scomparsa e allo sfruttamento di minori. Il Servizio lavora quindi a stretto contatto con il NCMEC. Nel 1996, l’USSS ha costituito la New York Electronic Crimes Task Force (ECTF), un centro per la collaborazione nelle indagini sui crimini informatici. Nel 2001, lo USA PATRIOT Act ha dato mandato all’USSS di ampliare la New York Electronic Crimes Task Force (ECTF) e di costituire ECTF a livello nazionale. L’anno successivo, preso atto della mancanza di coordinamento fra le agenzie delle forze dell’ordine prima degli eventi dell’11 settembre 2001, è stato costituito il Department of Homeland Security (DHS), la cui responsabilità primaria è la protezione degli Stati Uniti da attacchi terroristici e la risposta efficace ai disastri naturali. Il Secret service quindi è diventato un’agenzia all’interno del DHS. Nell’aprile del 2003, il PROTECT Act (noto anche come Amber Alert Bill) ha dato pieno mandato all’USSS di gestire le indagini sugli abusi su minori, dotandolo a questo fine di maggiori finanziamenti e maggiori risorse. Nel 2007, l’agenzia ha
istituito il National Computer Forensics Institute (NCFI), una partnership fra USSS, DHS, la Alabama District Attorneys Association, lo stato dell’Alabama e la città di Hoover, Alabama. Il NCFI offre formazione nel campo della Computer Forensics a forze dell’ordine, pubblici ministeri e giudici. È dotato di aule tecnologiche, di un laboratorio di Computer Forensics e di un’aula di tribunale simulata. In realtà l’USSS in genere è meno coinvolto nei casi di sfruttamento di minori, dato che è maggiormente concentrato sui crimini finanziari. Nei casi di abuso su minori sono più coinvolti FBI, DHS-ICE e il Postal Inspector’s Service. La necessità di collaborazione a livello internazionale, in particolare con le forze dell’ordine in Europa, è diventata più impellente dopo l’11 settembre 2001. Per questo nel 2009 l’USSS ha costituito la prima European Electronic Crimes Task Force, con sede a Roma in Italia. L’anno successivo è stata costituita la Electronic Crimes Task Force del Regno Unito. Collaborazione internazionale La collaborazione internazionale nelle indagini è estremamente importante perché spesso il raggio d’azione della criminalità è molto esteso a livello geografico. I criminali usano spesso Internet per comunicare sia all’interno degli Stati Uniti, sia a livello internazionale. Nel 1995 è stata costituita la International Organization on Computer Evidence (IOCE). Questa organizzazione facilita lo scambio di informazioni fra le forze dell’ordine dei diversi paesi. Nel 1998, il G8 ha dato mandato all’IOCE di creare gli standard per la gestione delle prove digitali. INTERPOL
Per quanto riguarda la collaborazione internazionale, l’INTERPOL ha assunto un ruolo centrale nell’applicazione delle prove digitali alle indagini criminali. L’INTERPOL è l’organizzazione di polizia internazionale più grande del mondo: rappresenta 188 nazioni. Nel 1989 il General Secretariat è stato trasferito a Lione, in Francia. Nel 2004 è stato istituito un ufficio di collegamento dell’INTERPOL presso le Nazioni Unite e nel 2009 è stato nominato un rappresentante speciale all’Unione Europea a Bruxelles. L’Incident Response Team (IRT) dell’INTERPOL ha messo a disposizione le sue competenze di Computer Forensics in varie indagini internazionali di alto profilo. In un rapporto del 2008, su richiesta delle autorità colombiane, esaminatori forensi delle forze dell’ordine di Australia e Singapore hanno esaminato 609 GB di dati su otto laptop, due dischi esterni e tre chiavette USB. L’hardware e il software appartenevano alle Fuerzas Armadas Revolucionarias de Colombia (FARC), un’organizzazione terroristica antigovernativa della Colombia, ampiamente finanziata attraverso il controllo del traffico illegale di stupefacenti, in primo luogo traffico di cocaina. Gli investigatori colombiani hanno contattato l’INTERPOL per far esaminare i laptop sequestrati, perché investigatori imparziali potessero prendere visione delle prove digitali e confermare le affermazioni del governo, secondo le quali le prove digitali erano state gestite in modo corretto dal punto di vista forense. All’Assemblea generale dell’ICPO-INTERPOL del 2008 a San Pietroburgo in Russia, è stata approvata la costituzione di una Computer Forensics Analysis Unit dell’INTERPOL. questa unità fornisce formazione e assistenza nelle indagini di Computer Forensics ed è stata investita della responsabilità di sviluppare standard internazionali per la ricerca, il sequestro e l’indagine di prove elettroniche.
L’INTERPOL lavora da molti anni nella lotta ai crimini contro i minori. Come il NCMEC, dal 2001 ha costituito un database di minori vittime di abusi, sotto il nome di INTERPOL Child Abuse Image Database (ICAID). Nel 2009, l’ICAID è stato sostituito dall’International Child Sexual Exploitation image database (ICSE DB). Questo database è accessibile in tempo reale alle forze dell’ordine di tutto il mondo e incorpora un software di confronto delle immagini che permette di collegare vittime e luoghi. L’INTERPOL lavora anche con altre agenzie in tutto il mondo per combattere gli abusi su minori, fra gli altri con il COSPOL Internet Related Child Abuse Material Project (CIRCAMP) e la Virtual Global Taskforce. CIRCAMP è una rete europea che effettua il monitoraggio di Internet per identificare casi di sfruttamento di minori. La Virtual Global Taskforce ha le stesse finalità, ma è una rete globale di agenzie di polizia che combattono gli abusi su minori online. L’INTERPOL ha coordinato iniziative internazionali per la cattura di sospetti pedofili. Dopo che nel 2006 in Norvegia la polizia aveva effettuato una retata di predatori Internet, gli investigatori hanno scoperto un laptop contenente quasi 800 immagini orribili di ragazzi. Quasi 100 di quelle immagini mostravano un maschio bianco di mezza età che guardava mentre i ragazzi venivano abusati. Le autorità hanno chiesto l’assistenza dell’INTERPOL per identificare quel predatore sconosciuto. L’INTERPOL ha avviato una massiccia caccia all’uomo e ha chiesto aiuto al pubblico attraverso i media. Entro 48 ore dalla pubblicazione della richiesta di aiuto, l’INTERPOL e lo U.S. Immigration and Customs Enforcement (ICE) hanno arrestato Wayne Nelson Corliss, un sessantenne di Union, nel New Jersey. Regional Computer Forensics Laboratory
Nel 1999, è stato istituito a San Diego in California il primo Regional Computer Forensics Laboratory (RCFL). Nel 2000 è stato aperto il secondo RCFL negli Stati Uniti a Dallas, in Texas. Un RCFL è un laboratorio sponsorizzato dall’FBI, utilizzato per addestrare rappresentanti delle forze dell’ordine all’uso degli strumenti di Computer Forensics. I laboratori sono usati anche dalle diverse agenzie di polizia per collaborare nelle indagini criminali. Le agenzie più piccole spesso non hanno né le disponibilità finanziarie né le risorse per creare un laboratorio di Computer Forensics e gli RCFL danno la possibilità alle forze di polizia di distaccare una o due persone presso un laboratorio a fini di formazione o per lavorare alle loro indagini. Fra i crimini su cui si indaga vi sono terrorismo, pornografia infantile, furto o distruzione di proprietà intellettuale, crimini Internet, frodi su proprietà e frodi finanziarie. Al momento in cui scriviamo, esistono 14 RFCL negli Stati Uniti e 2 in Europa. Fusion center Creati nel 2003, i fusion center negli Stati Uniti sono punti centrali per la raccolta di intelligence a livello statale e locale, al fine di prevenire attacchi terroristici. Il progetto è un’iniziativa congiunta del Department of Homeland Security (DHS) e del Department of Justice (DOJ). Nel paese sono attivi oltre 70 centri, la cui posizione dovrebbe essere segreta, ma un gruppo, denominato Public Intelligence, ha rivelato la localizzazione della maggior parte di questi centri. Gli edifici non hanno insegne né un indirizzo civico, ma sono associati solo a una casella postale (P.O. Box). Per esempio, l’indirizzo del fusion center di West Trenton, New Jersey, è P.O. Box 7068. Le relazioni compilate dopo l’11 settembre indicavano la mancanza di condivisione delle informazioni fra agenzie governative (fra cui National Security Agency [NSA], Central Intelligence Agency [CIA] e
Federal Bureau of Investigation [FBI]) come uno dei fattori principali che avevano impedito di prevenire gli attacchi terroristici. Per esempio, Ziad Jarrah ha dirottato il Volo 93 della United Airlines l’11 settembre 2011, mandandolo poi a schiantarsi in Pennsylvania. Jarrah era stato fermato dalla polizia locale, per eccesso di velocità, il 9 settembre, ma l’agente che lo aveva fermato non disponeva delle informazioni che si sarebbero potute usare per tenerlo in stato di arresto e non sapeva che Jarrah era indagato dall’FBI. Le forze dell’ordine locali raccolgono informazioni e le convogliano verso i fusion center. Fra i tipi di informazioni raccolte vi sono video di sorveglianza, numeri di targa e segnalazioni di attività sospette (SAR, suspicious activity report). Fra queste ultime vi sono segnalazioni di individui che scattano fotografie di edifici governativi, che disegnano mappe o che tengono incontri di gruppo non usuali. I fusion center, a quanto si dice, conservano database di informazioni su quasi tutti gli americani, informazioni che comprendono numeri di cellulare non registrati, informazioni sulla patente di guida, richieste di risarcimento alle assicurazioni. I centri raccolgono informazioni anche da aziende di data mining relativamente sconosciute come la Entersect. Quest’ultima fornisce alle organizzazioni informazioni su potenziali dipendenti: fedina penale, cause, casi di bancarotta, istruzione, referenze di datori di lavoro. Fornisce alle forze dell’ordine anche un servizio denominato Entersect Police Online: in base a quanto riporta il sito web (entersect.net), può consentire l’accesso a miliardi di record online che coprono la maggior parte della popolazione degli Stati Uniti. I fusion center utilizzano anche altri fornitori commerciali di database. come Lexis-Nexis. Per la segretezza che li circonda e la quantità di informazioni personali raccolte, ci sono state molte controversie sui fusion center. Organizzazioni per i diritti civili, come la American Civil Liberties
Union (ACLU), hanno espresso contrarietà per lo zelo nella raccolta di informazioni personali e la mancanza di organi di controllo. Questi centri combinano personale aziendale e personale delle forze dell’ordine. C’è stato chi ha criticato il ruolo delle forze dell’ordine locali nel monitoraggio di attività sospette. Nel 2008, per esempio, la polizia dell’Amtrak [il sistema di trasporto ferroviario extraurbano degli Stati Uniti] ha arrestato alla Penn Station di New York Duane Kerzic, che era stato visto scattare una foto a un treno. È stato trattenuto ammanettato in cella, poi è emerso che in realtà voleva solo partecipare all’annuale concorso fotografico dell’Amtrak. Anche se il loro ruolo può essere classificato sotto la voce “antiterrorismo”, i fusion center hanno un ruolo fondamentale anche in alcune indagini di Computer Forensics. Offrono comunque una chiara indicazione del tipo di informazioni digitali che attualmente vengono raccolte e conservate.
Anni 2000: valute virtuali, IoT, crittografia ed effetto Edward Snowden Nel maggio 2010, Laszlo Hanyecz ha acquistato due pizze a Jacksonville per 10.000 Bitcoin (BTC). Il Bitcoin all’epoca valeva meno di 0,01 dollari. Dieci anni dopo, quei 10.000 BTC avrebbero avuto un valore pari a oltre 77 milioni di dollari. Anche se molti possessori di denaro virtuale sono persone rispettose della legge, queste valute senza dubbio hanno facilitato milioni di pagamenti a criminali. Particolarmente significativo è l’uso di criptovalute nei marketplace del Dark Web, fra cui Silk Road, AlphaBay, HonestCocaine e altri siti, dove le valute d’elezione per transazioni illecite sono state Bitcoin o Ethereum, dato l’anonimato che queste criptovalute offrono. Silk Road, gestito da Ross Ulbricht, era un marketplace del Dark Web, accessibile solo mediante il browser Tor.
Anche nonostante lo smantellamento effettivo di Silk Road, il suo successo nel facilitare transazioni anonime nel mondo delle droghe ha portato alla creazione di altri marketplace nel Dark Web, gestiti da operatori criminali. Sono emersi altri marketplace nel Dark Web e negli anni 2000 sono stati perseguiti molti dei loro creatori, amministratori e vendor. Ciononostante, è probabile che questi tipi di marketplace continuino a fiorire. Le criptovalute sono le valute ideali per i trafficanti di droga, poiché eliminano la necessità di trasferire contanti da un paese all’altro e riducono le tracce cartacee collegate alle transazioni effettuate attraverso gli istituti finanziari tradizionali. Come abbiamo già accennato, i dispositivi IoT e i dispositivi domotici abilitati dall’AI si sono rapidamente diffusi dopo il 2000. I dispositivi AI, come Alexa, o i sistemi di sorveglianza domestica, come The Ring, sono potenziali grandi fonti di ulteriori evidenze digitali. Gli anni 2000 hanno segnato anche un’epoca in cui la crittografia è diventata la norma, anziché una scelta per i consumatori. Più specificamente, la cifratura dei dischi, anziché un’opzione, è diventata l’impostazione predefinita. Questo è particolarmente evidente nel caso degli sviluppatori per smartphone (sia Android che iPhone). Inoltre, i miglioramenti con l’autenticazione a due fattori (2FA) hanno aumentato l’adozione di questo protocollo di sicurezza in aziende come Apple e Microsoft; sempre più spesso le aziende richiedono un’ulteriore autenticazione via email o sms quando si registrano nuovi dispositivi o nel caso in cui si acceda a un’applicazione da un dispositivo o da un luogo che non vengono riconosciuti. Queste evoluzioni nel campo della crittografia e dell’autenticazione pongono sfide enormi per gli investigatori di Digital Forensics. Nel maggio 2013, Edward Snowden ha improvvisamente lasciato la National Security Agency (NSA), portando con sé molti file segreti. Snowden ha reso pubbliche informazioni sul modo in cui grandi aziende
di tecnologia trasmettevano grandi quantità di dati alla NSA, al GCHQ (Government Communications Headquarters) e in generale a Five Eyes, a sostegno dei programmi di sorveglianza; Five Eyes è una partnership collaborativa fra agenzie di intelligence di Stati Uniti, Regno Unito, Canada, Australia e Nuova Zelanda. Si può pensare quello che si vuole delle azioni di Edward Snowden, ma certamente hanno inciso negativamente sulla capacità delle forze dell’ordine di raccogliere dati da servizi terzi, anche in presenza di un mandato o di un’ingiunzione. Per esempio, alcune aziende, come Twitter, ora hanno adottato la politica di informare i loro clienti se sono sottoposti a indagine, a meno che un giudice non lo proibisca espressamente. Sembra che altre aziende si siano affrettate ad adottare tecniche crittografiche su software e hardware per proteggere la privacy dei loro clienti dalla sorveglianza del governo e non semplicemente al fine di rafforzare la sicurezza.
Training e istruzione Esistono molti modi per diventare investigatori di Computer Forensics. Per molti il percorso è stato indiretto, attraverso le forze dell’ordine. Molti di questi professionisti hanno iniziato la loro carriera come agenti di polizia e poi sono riusciti a diventare investigatori. In seguito, le loro capacità in campo informatico, unite alla necessità di investigare su casi con prove digitali, hanno offerto loro la possibilità di diventare esaminatori forensi esperti. Il training formale in Computer Forensics è ancora un fenomeno relativamente recente.
Training presso le forze dell’ordine Come abbiamo notato in precedenza, le forze dell’ordine utilizzano i Regional Computer Forensic Laboratory (RCFL) per condividere
risorse, collaborare nelle indagini e migliorare le proprie competenze come investigatori di Computer Forensics. Gli RCFL offrono anche corsi formali per la preparazione di esaminatori RCFL e FBI CART. Il training prevede istruzione in merito ad acquisizione e gestione delle prove, ma anche sui sistemi operativi e i relativi file system. Il Computer Emergency Response Team (CERT) della Carnegie Mellon ha sviluppato vari strumenti di Computer Forensics esclusivamente per le forze dell’ordine. Il training su questi strumenti è fornito attraverso il Federal Virtual Training Environment (FedVTE) del CERT. Il Federal Law Enforcement Training Center (FLETC), con sede a Glynco, in Georgia, è un’organizzazione di training interagenzia per le forze dell’ordine che serve oltre 80 agenzie federali negli Stati Uniti. Uno dei programmi che offre è quello per Seized Computer Evidence Recovery Specialist (SCERS). Il FLETC offre anche corsi su argomenti come la Mac Forensics e la Network Forensics. Il National White Collar Crime Center (NW3C) è un’agenzia che fornisce training e supporto investigativo alle forze dell’ordine e ai pubblici ministeri. Organizza corsi per vari ambiti della Computer Forensics, fra cui analisi forense dei cellulari, indagini online, sistemi operativi, file system, acquisizione e gestione delle prove digitali. Uno dei più noti è il corso di Secure Techniques for Onsite Preview (STOP), rivolto a funzionari di sorveglianza per persone in libertà provvisoria, detective e agenti che eseguono controlli o visite domiciliari a sorpresa e devono poter controllare rapidamente un computer in modo corretto dal punto di vista forense. Per esempio, un agente di sorveglianza potrebbe aver bisogno di controllare se sul computer domestico di un molestatore sessuale in libertà vigilata siano presenti determinati tipi di immagini.
L’INTERPOL fornisce supporto investigativo in Computer Forensics per le forze dell’ordine a livello globale. Nell’aprile 2009, lo University College Dublin (UCD) e l’INTERPOL hanno avviato un’iniziativa di formazione per investigatori in e-crime. Questa iniziativa non solo offre formazione, ma facilita anche gli scambi accademici nel campo della Computer Forensics per rafforzare le competenze degli esaminatori forensi. Lo UCD organizza un prestigioso Master of Science in Forensic Computing and Cybercrime Investigation aperto esclusivamente alle forze dell’ordine di tutto il mondo. Un’altra organizzazione che ha la finalità di facilitare lo scambio di idee e pratiche nella Computer Forensics è la Computer Technology Investigators Network (CTIN), aperta a forze dell’ordine, professionisti di sicurezza aziendale e membri della comunità accademica. InfraGard, infine, è un’agenzia pubblica-privata dell’FBI che promuove lo scambio di informazioni fra i settori privato e pubblico su temi legati a terrorismo, intelligence e sicurezza. InfraGard ha costituito sezioni locali negli Stati Uniti; l’associazione è aperta a tutti i cittadini statunitensi; chi fa richiesta di adesione è sottoposto a un controllo dei precedenti da parte dell’FBI.
Formazione nelle scuole superiori Molte scuole superiori negli Stati Uniti hanno adottato un curriculum in Computer Forensics per gli studenti che hanno scelto un indirizzo giuridico e tecnologico. Un esempio è il Department of Education della città di New York, con il quale ho collaborato per oltre un decennio, al fine di creare un curriculum in Computer Forensics e cybersicurezza per studenti delle scuole superiori. Un curriculum di questo tipo è un ottimo modo per presentare agli studenti le complessità delle indagini che coinvolgono prove digitali.
Formazione universitaria Molte università hanno creato corsi di Computer Forensics nell’ambito di lauree di primo e secondo livello. Tre fra le prime istituzioni più prestigiose che hanno sviluppato corsi di laurea sono il Champlain College, la Purdue University e la Carnegie Mellon University. Le ultime due collaborano con le forze dell’ordine locali nel campo della Computer Forensics. Un altro corso di laurea in Computer Forensics degno di nota è offerto dalla Bloomsburg University. Indirizzi in Computer Forensics sono offerti anche da altre istituzioni accademiche, come la Pace University, che lavora a sua volta a stretto contatto con le forze dell’ordine.
Certificazioni professionali Una laurea in Computer Forensics, informatica o sistemi informativi può offrire una base solida di Computer Forensics. Se alla laurea si affianca qualche certificazione si acquisiscono maggiori competenze nel settore e si diventa candidati ancora più attraenti per un potenziale datore di lavoro. Questo perché molti corsi di certificazione sono tenuti da professionisti del settore e prevedono un training pratico nell’uso degli strumenti professionali. Le sezioni seguenti descrivono le certificazioni in Computer Forensics disponibili, che possono contribuire a legittimare le credenziali di un esaminatore forense. L’elenco però non è affatto esaustivo. Certificazioni professionali per il pubblico generale La International Association of Computer Investigative Specialists (IACIS) è un’organizzazione non profit che si dedica alla formazione del personale delle forze dell’ordine nel campo della Computer
Forensics. Una delle certificazioni più apprezzate nel settore è quella di Certified Forensic Computer Examiner (CFCE), offerta dall’IACIS. John Mellon è stato un membro attivo dell’ IACIS prima di fondare la International Society of Forensic Computer Examiners (ISFCE). Ha sviluppato il programma di certificazione per Certified Computer Examiner (CCE), a partire dal 2003. L’ISFCE ha quattro centri di test e offre proficiency test per l’American Society of Crime Laboratories Directors/Laboratory Accreditation Board (ASCLD/LAB), riconosciuta come il vertice delle certificazioni per laboratori forensi. L’ASCLD è una società professionale non profit di direttori di laboratori e manager di scienza forense che cerca di promuovere l’eccellenza nel campo della scienza forense, inclusa la Computer Forensics. Lo United States Secret Service e molti altri laboratori di Computer Forensics delle forze dell’ordine sono accreditati dall’ASCLD/LAB, il che dimostra il prestigio che accompagna questa certificazione. Sono disponibili per il pubblico generale molte altre certificazioni indipendenti. La certificazione Certified Computer Forensics Examiner (CCFE) è offerta dall’ Information Assurance Certification Review Board (IACRB). Per ottenere la certificazione CCFE, il candidato deve dimostrare di possedere conoscenze adeguate nei campi seguenti. Giurisprudenza, etica e problemi legali. Il processo investigativo. Strumenti della Computer Forensics. Recupero di prove da dischi fissi e loro integrità. Recupero e integrità di dispositivi digitali. Analisi forense di file system. Analisi e correlazione delle prove. Acquisizione di prove in sistemi basati su Windows. Analisi forense di reti e memorie volatili. Compilazione di rapporti.
La certificazione Certified Forensic Consultant (CFC), conferita dall’American College of Forensics Examiners International (ACFEI), si concentra sugli aspetti legali della Computer Forensics negli Stati Uniti. Il programma forma gli studenti negli ambiti seguenti. Il procedimento giudiziario. Regole federali sulle prove. Il processo di scoperta. Come prendere appunti. Ispezione del sito. Il rapporto scritto. La lettera d’incarico. Tipi di testimoni. Il rapporto del testimone esperto. Preparazione per una deposizione. Che cosa aspettarsi in caso di deposizione. Preparazione per una causa. Testimonianza in una causa. Che cosa portare in tribunale. Il lavoro della consulenza forense. L’ACFEI offre formazione e valutazione per la certificazione Certified Forensic Accountant (CrFA). Un contabile forense è una persona con una formazione nel campo della revisione dei conti, coinvolta nelle indagini finanziarie. Da quando è stato costituito nel 1989, il SANS (SysAdmin, Audit, Network, Security) Institute ha offerto formazione per i professionisti della sicurezza sia nel settore pubblico che in quello privato. Offre anche formazione in Computer Forensics e organizza un corso intitolato Computer Forensic Investigations and Incident Response. Questo corso prepara alla certificazione GIAC Certified Forensic Analyst (GCFA).
Fondata nel 1999, la Global Information Assurance Certification (GIAC) valuta le competenze dei professionisti della sicurezza. Certificazioni professionali per professionisti della sicurezza Sicurezza informatica e Computer Forensics sono due discipline diverse, ma complementari. Per questo molti esaminatori di Computer Forensics possiedono certificazioni nell’ambito della sicurezza. Sia i professionisti della sicurezza sia gli esperti di Computer Forensics possono essere coinvolti nella gestione di incidenti di sicurezza, per esempio intrusioni in reti. I professionisti della sicurezza possono fornire informazioni sul tipo di violazione che si è verificato e sull’estensione dell’attacco, mentre un esaminatore forense può spesso stabilire la traccia delle prove lasciate da chi ha compiuto l’attacco. Il programma Certified Security Incident Handler (CSIH) è un corso eccellente per un investigatore di Computer Forensics. Il programma è offerto dal CERT (Computer Emergency Response Team) ed è una divisione del Software Engineering Institute (SEI) presso la Carnegie Mellon University. SEI è un centro di ricerca e sviluppo finanziato a livello federale, sponsorizzato dal Department of Defense (DoD). Il CERT offre training per amministratori di rete e altro staff di supporto tecnico, in particolare sull’identificazione di minacce in atto e potenziali alle reti. Inoltre, il CERT addestra i professionisti della sicurezza su come gestire le violazioni della sicurenza. Il CERT ha un team forense di fama, che lavora a stretto contatto con le forze dell’ordine su progetti di ricerca relativi alle aree lasciate scoperte dagli strumenti commerciali per gli investigatori forensi. È abbastanza comune che un investigatore in Computer Forensics, in particolare nel settore privato, acquisisca la certificazione Certified Information Systems Security Professional (CISSP), offerta dall’International Information Systems Security Certification
Consortium (ISC)2. La certificazione CISSP è stata approvata formalmente dal DoD fra le sue categorie di Information Assurance Technical and Managerial. Questa certificazione, importante e molto apprezzata, si ottiene superando un esame che verte sul cosiddetto corpus di conoscenze comuni (Common Body of Knowledge, CBK), che copre i seguenti ambiti della sicurezza. Controllo degli accessi. Sicurezza dello sviluppo di applicazioni. Continuità aziendale e pianificazione del disaster recovery. Crittografia. Governance della sicurezza delle informazioni e gestione del rischio. Giurisprudenza, normativa, indagini e conformità. Sicurezza operativa. Sicurezza fisica. Architettura e progettazione della sicurezza. Sicurezza delle telecomunicazioni e delle reti. Per superare l’esame CISSP, il candidato deve ottenere un punteggio non inferiore a 700 (su un totale possibile di 1000) punti rispondendo a 250 domande a risposta multipla. Il candidato deve dimostrare di avere un’esperienza di almeno cinque anni in due o più fra i dieci ambiti. Viene sottoposto a un controllo dei precedenti penali e deve osservare il codice etico del CISSP. Una volta ottenuta la certificazione, un CISSP deve ottenere continuamente dei crediti professionali (CPE, Continuing Professional Credits) per mantenerla. Un’altra certificazione di sicurezza spesso ottenuta dagli esaminatori di Computer Forensics è quella di Certified Information Security Manager (CISM). Come quella di CISSP, anche questa è per professionisti della sicurezza, ma è diversa perché si rivolge a manager di sicurezza delle informazioni con esperienza nei settori seguenti.
Governance della sicurezza delle informazioni. Gestione del rischio delle informazioni. Sviluppo di un programma di sicurezza delle informazioni. Gestione di un programma di sicurezza delle informazioni. Gestione e risposta degli incidenti. Come per la CISSP, anche per la CISM è richiesta una formazione professionale permanente, per rimanere aggiornati sui problemi della gestione della sicurezza delle informazioni. Certificazioni professionali offerte da società di software di Digital Forensics La maggior parte delle aziende produttrici di software di Computer Forensics offre corsi di certificazione. Alcuni importanti produttori di software per l’imaging digitale forense sono Cellebrite/BlackBag, AccessData, opentext e X-Ways Forensics. BlackBag Technologies offre vari bootcamp forensi per Mac e Windows. Una delle sue certificazioni più diffuse è quella di BlackLight Certified Examiner (BCE). AccessData offre un AccessData Bootcamp e corsi di Windows Forensics, Mac Forensics, Internet Forensics e Mobile Forensics. La sua certificazione più nota è quella di AccessData Certified Examiner (ACE). L’esame valuta le competenze degli utenti per quanto riguarda FTK Imager, Registry Viewer e gli strumenti PRTK. Anche opentext offre training e valutazione per esaminatori di Computer Forensics. Uno studente che può dimostrare la propria conoscenza di EnCase può diventare EnCase Certified Examiner (EnCE).
X-Ways Forensics offre training e valutazione per lo strumento di imaging bit-stream X-Ways Forensics e per il prodotto WinHex. In genere, un istruttore di X-Ways tiene un corso di 5 giorni, in cui i primi due riguardano i file system, i successi si concentrano invece sugli strumenti forensi. Le certificazioni BCE, ACE ed EnCE, così come i corsi di X-Ways Forensics, sono aperti a professionisti sia del settore privato che di quello pubblico.
Riepilogo La Digital Forensics (o Computer Forensics) è l’uso di dati digitali per condurre indagini su crimini. È una disciplina scientifica e, come per ogni settore forense, richiede una stretta osservanza delle leggi. La Digital Forensics è stata utilizzata in molti tipi diversi di indagini criminali, ma può essere usata anche in procedimenti civili o nell’ambito di una risposta a una intrusione di rete. Un investigatore di Computer Forensics usa molti tipi diversi di hardware e software per estrarre e analizzare file, fra cui uno strumento di imaging bit-stream che produce una copia bit per bit dei dispositivi. Trovare prove spesso non è sufficiente: è importante stabilire anche controllo, possesso e intenzione del sospettato. Le prove digitali possono comprendere email, immagini, video, siti web visitati e ricerche in Internet. Un bravo investigatore di Computer Forensics deve possedere competenze in molti ambiti diversi, fra cui informatica, procedimenti penali, giurisprudenza, matematica, scrittura, scienza forense e linguistica. Queste competenze si possono acquisire in vari modi, per esempio con un training on-the-job (frequente fra le forze dell’ordine), corsi di laurea presso università o college, o corsi di certificazione. Quanti volessero intraprendere una carriera nella Computer Forensics
possono trovare molte occasioni nel settore privato come in quello pubblico. L’introduzione del personal computer negli anni Ottanta ha reso possibile la diffusione dell’informatica nelle case e ha anche provocato un aumento dei crimini in quache modo legati all’informatica. Le agenzie governative hanno iniziato a dedicare risorse alla Computer Forensics, a partire dalla costituzione del Computer Analysis and Response Team (CART) presso l’FBI. L’introduzione dei browser web negli anni Novanta ha stimolato una migrazione degli utenti dei personal computer verso Internet e l’ha resa una risorsa preziosa per il riperimento di informazioni sui sospettati e anche una fonte di prove incriminanti. Molte agenzie del Department of Homeland Security (DHS) usano la Computer Forensics. Per esempio, Internet ha facilitato la creazione di reti internazionali con intenti criminosi e l’INTERPOL ha ampiamente rafforzato le proprie capacità di Computer Forensics. Esistono già forme di collaborazione fra DHS e altri paesi, ma la necessità di queste collaborazioni continuerà ad aumentare, in particolare proprio nell’ambito della Computer Forensics. La Tabella 1.1 offre una breve panoramica storica sugli sviluppi della Computer Forensics e gli sviluppi tecnologici che hanno influito su questo campo. Tabella 1.1 Una breve storia della Computer Forensics e delle tappe principali dell’IT. Anno
Evento
1981 La IBM introduce il PC 5150. 1984 L’FBI istituisce il Magnetic Media Program, in seguito noto come CART. 1984 Viene fondato il National Center for Missing and Exploited Children (NCMEC). 1986 Lo USSS costituisce la Electronic Crimes Task Force (ECTF). 1986 Il Congresso degli USA approva il Computer Fraud and Abuse Act. 1993 Prima International Conference on Computer Evidence. 1994
Il Congresso aprova il Crime Bill e l’USSS inizia a lavorare sui crimini contro minori.
Anno
Evento
1994 Viene rilasciato Mosaic Netscape, primo browser web con interfaccia grafica. 1995 Viene costituita l’International Organization on Computer Evidence (IOCE). 1996 L’USSS fonda la New York Electronic Crimes Task Force (ECTF). 1998 Viene costituita l’Europol. 1999
A San Diego viene costituito il primo Regional Computer Forensics Laboratory (RCFL).
2000 La Criminal Investigation Division dell’IRS (IRS-CID) inizia a usare ILook. 2001 L’USA PATRIOT Act incarica l’USSS di costituire ECTF in tutti gli Stati Uniti. 2001 L’INTERPOL sviluppa un database di minori vittime di abusi (ICAID). 2002 Viene istituito il Department of Homeland Security (DHS). 2003 Viene approvato il PROTECT Act per combattere lo sfruttamento minorile. 2003 Vengono costituiti i fusion center. 2003 L’Europol costituisce lo European Cybercrime Centre (EC3) 2004 Viene costituito Facebook. 2007 Costituzione del National Computer Forensics Institute (NCFI). 2008
Viene approvata la formazione di una Computer Forensics Analysis Unit dell’INTERPOL.
2009 Viene costituita la prima ECTF europea (in Italia). 2009 Il Bitcoin Ledger inizia a registrare le transazioni. 2010 Viene costituita la seconda ECTF europea (nel Regno Unito). 2011 Entra in vigore il PATRIOT Sunsets Extension Act. 2013
Edward Snowden si rifugia in Russia dopo una fuga di dati classificati dalla NSA.
2015
La causa per The Silk Road si conclude con la condanna del suo creatore, Ross Ulbricht.
2015 Entra in vigore il Cybersecurity Information Sharing Act. 2016 Introduzione dell’Investigatory Powers Act nel Regno Unito. 2017 Apple introduce APFS con il sistema operativo iOS 10.3. 2018 Introduzione della General Data Protection Regulation (GDPR).
Glossario Algoritmo. L’insieme dei passi utilizzati per risolvere un problema.
BitLocker. Uno strumento crittografico introdotto con le edizioni Ultimate ed Enterprise di Microsoft Windows Vista, che consente la cifratura a livello di file, cartella o unità disco. Catena di custodia. Documentazione di tutte le persone che sono entrate in contatto con le prove, dalla loro acquisizione, alle indagini e fino alla presentazione in tribunale. CCTV (Closed-Circuit TeleVision, televisione a circuito chiuso). Video registrati e trasmessi in una sede particolare. Cifratura. Il processo di trasformazione di un testo in chiaro in un testo in formato non leggibile, mediante una formula matematica. Client. Un computer che richiede una risorsa da un computer server. Computer Analysis and Response Team (CART). Una unità dell’ FBI che ha la responsabilità di fornire supporto alle indagini che richiedono esami esperti di Computer Forensics. Computer Technology Investigators Network (CTIN). Un’organizzazione che facilita lo scambio di idee e pratiche nel campo della Computer Forensics. Contabile forense (forensic accountant). Una persona con una formazione nel campo della revisione dei conti coinvolta in indagini finanziarie. Digital Forensics. L’acquisizione, l’analisi e l’uso di prove digitali in indagini civili o penali. eDiscovery. Il recupero di dati memorizzati in formato digitale. Electronic Crimes Task Force (ECTF). Una rete di centri, diffusi in tutti gli Stati Uniti, che collaborano nelle indagini sui crimini informatici. Federal Law Enforcement Training Center (FLETC). Una organizzazione interagenzia delle forze dell’ordine a cui partecipano oltre 80 agenzie federali di tutti gli Stati Uniti.
Five Eyes. Una partnership di collaborazione fra agenzie di intelligence di Stati Uniti, Regno Unito, Canada, Australia e Nuova Zelanda. Forense. Che riguarda l’attività giudiziaria. GPS (Global Positioning System). Un dispositivo che riceve comunicazioni da satelliti orbitanti intorno alla Terra, per stabilire la posizione geografica. Imaging bit-stream, strumenti. Strumenti che producono una copia bit per bit di media originali, compresi i file marcati per la cancellazione. InfraGard. Un’agenzia pubblica-privata dell’FBI che promuove lo scambio di informazioni fra il settore privato e quello pubblico su questioni legate a terrorismo, intelligence e sicurezza. Inquinamento delle prove. Occultamento, distruzione, alterazione o falsificazione delle prove. INTERPOL. La maggiore organizzazione di polizia internazionale, che rappresenta 188 paesi membri. Metadati. Informazioni su un file, che possono includere le date di creazione, modifica e ultimo accesso, nonché l’identificativo dell’utente che lo ha creato. National Center for Missing and Exploited Children (NCMEC). Un’agenzia che ha il compito di contribuire all’individuazione di minori scomparsi e di combattere lo sfruttamento (sessuale) dei minori. National White Collar Crime Center (NW3C). Un’agenzia che fornisce formazione e supporto investigativo al personale delle forze dell’ordine e ai pubblici ministeri. Prove a carico. Prove incriminanti, spesso usate per condannare un criminale. Prove a discarico. Prove utilizzate per dimostrare l’innocenza di un accusato.
RAM (Random Access Memory, memoria ad accesso casuale). Chiamata spesso anche memoria a breve termine o memoria volatile, perché i suoi contenuti si cancellano quando viene tolta l’alimentazione al computer. L’attività e i processi correnti di un utente, compresa l’attività in Internet, sono memorizzati in RAM. Regional Computer Forensics Laboratory (RCFL). Un laboratorio sponsorizzato dall’FBI che addestra il personale delle forze dell’ordine all’uso di strumenti di Computer Forensics e collabora alle indagini criminali. Sicurezza informatica (computer security). Prevenzione di accessi non autorizzati a computer e alle relative risorse. Skimmer. Un dispositivo utilizzato per carpire informazioni memorizzate sulla banda magnetica di un bancomat, di una carta di credito o di debito. Web server. Un computer che invia documenti HTML e risorse correlate, in risposta alle richieste di un computer client.
Valutazione Domande a risposta aperta Come si può diventare investigatori di Computer Forensics? Che cos’è la Computer Forensics e come viene usata nelle indagini? Quali tipi di attività criminali vengono svolti nei marketplace del Dark Web, e perché hanno avuto tanto successo?
Domande a risposta multipla
1. Quale delle affermazioni seguenti definisce meglio la Computer Forensics? A. La Computer Forensics è l’uso di prove per risolvere crimini informatici. B. La Computer Forensics è l’uso di prove digitali per risolvere un crimine. C. La Computer Forensics è utilizzata solo per recuperare file cancellati da un computer. D. La Computer Forensics è usata solo per esaminare computer desktop e laptop. 2. Un modulo di catena di custodia è utilizzato per documentare che cosa? A. Gli agenti di polizia che arrestano e incarcerano un sospetto criminale. B. Una catena di lettere o email utilizzata in un’indagine. C. Tutti coloro che sono stati in contatto con le prove di un caso. D. Nessuna delle risposte precedenti. 3. Quali fra le cose seguenti possono avere valore probatorio per un esaminatore di Computer Forensics? A. B. C. D.
Una SIM card. Una Xbox. Una fotocamera digitale. Tutte le precedenti.
4. Quale fra le affermazioni seguenti descrive meglio uno strumento di imaging bit-stream? A. Uno strumento di imaging bit-stream produce una copia bit per bit dei contenuti del supporto originale.
B. Uno strumento di imaging bit-stream spesso consente all’esaminatore di recuperare file cancellati. C. Né A né B sono corrette. D. Sia A sia B sono corrette. 5. Quali fra i seguenti sono vantaggi delle prove basate su email? A. B. C. D.
Le prove in email di solito sono presenti in più luoghi. Si possono trovare più facilmente di altri tipi di prove. Sono state accettate come prove ammissibili in molti casi. Tutti i precedenti.
6. Quali fra le affermazioni seguenti sulle immagini fotografiche non sono vere? A. Le immagini possono fornire prove di dove sia stato il sospettato. B. Le immagini non si possono reperire facilmente utilizzando strumenti di imaging bit-stream come FTK. C. Un’immagine può identificare marca e modello della fotocamera digitale da cui è stata prodotta. D. Fondamentalmente oggi si usa un solo tipo di immagine digitale. 7. Quale dei termini seguenti descrive meglio l’occultamento, l’alterazione o la distruzione di prove legate a un’indagine? A. B. C. D.
Inquinamento delle prove. Manipolazione delle prove. Prove a carico. Prove a discarico.
8. Il Computer Analysis and Response Team (CART) è un’unità di quale agenzia del governo degli Stati Uniti? A. USSS
B. FBI C. CIA D. ICE 9. Quali fra le leggi seguenti ha istituito il Department of Homeland Security e ha incaricato lo United States Secret Service di costituire Electronic Crime Task Force a livello di tutti gli Stati Uniti? A. B. C. D.
Health Insurance Portability and Accountability Act. Children’s Online Privacy Protection Act. PROTECT Act. USA PATRIOT Act.
10. Quali fra le affermazioni seguenti sui Regional Computer Forensics Laboratory (RCFL) sono false? A. I RCFL possono essere usati dagli avvocati difensori in casi penali. B. La costituzione di RCFL è stata sponsorizzata dall’FBI. C. I RCFL non solo sono utilizzati per le indagini, ma forniscono anche formazione nel campo della Computer Forensics. D. Esistono RCFL sia negli Stati Uniti sia in Europa.
Completa le frasi 1. Un (una) __________ è un insieme di passi utilizzati per risolvere un problema. 2. La Computer __________ è l’uso di prove digitali in un’indagine criminale.
3. La __________ informatica è la prevenzione di accessi non autorizzati a computer e risorse associate. 4. Un accusato può dimostrare la propria innocenza con l’uso di prove __________. 5. Il procedimento di trasformazione di un testo in chiaro in un formato illeggibile con l’applicazione di una formula matematica si chiama __________. 6. L’organizzazione internazionale di polizia più grande del mondo si chiama __________. 7. La memoria volatile, a breve termine, i cui contenuti scompaiono quando viene tolata l’alimentazione a un computer, si chiama __________. 8. Un(o) __________ è un dispositivo utilizzato per estrarre le informazioni memorizzate nella banda magnetica di una carta bancomat o di una carta di credito di debito. 9. Un server __________ fornisce documenti HTML e le risorse relative, in risposta alle richieste di un computer client. 10. __________ è un’agenzia pubblica-privata dell’FBI, che promuove lo scambio di informazioni fra i settori privato e pubblico su questioni legate a terrorismo, intelligence e sicurezza.
Progetti Indagare su un crimine Siete investigatori di Computer Forensics in forza alla polizia locale e siete stati assegnati a un’indagine criminale. Il sospettato, Michael Murphy, lavorava come responsabile dello sviluppo di prodotto per una società di software. È stato interrogato in merito a una serie di costose telefonate internazionali. Un ulteriore esame dei tabulati telefonici ha
permesso di appurare che telefonava a una società di software concorrente, con sede in Cina e uffici anche negli Stati Uniti. Di fronte a queste evidenze, ha chiesto di parlare con un avvocato e non ha voluto dire altro. Il giorno dopo non si è presentato al lavoro. Il giorno successivo sono state contattate le autorità locali e Murphy è stato arrestato mentre saliva a bordo di un aereo diretto a Beijing con un biglietto di sola andata, due giorni dopo essere stato interrogato. All’aeroporto, gli agenti della polizia aeroportuale hanno trovato una borsa contenente vari CD, tre dischi rigidi SATA e cinque chiavette USB. Indicate in dettaglio i potenziali tipi di prove digitali di cui avrete bisogno per questa indagine. Ricerca sulle prospettive di impiego per investigatori di Computer Forensics Descrivete perché la domanda di esaminatori di Computer Forensics è destinata a crescere nei prossimi anni. Includete nella risposta statistiche relative all’aumento di determinati tipi di crimini. Ricerca sulle agenzie federali degli Stati Uniti Create un organigramma che specifichi tutte le agenzie federali degli Stati Uniti che sono coinvolte nella Computer Forensics. Partite dal Department of Homeland Security, poi inserite il nome di ciascuna agenzia e, ove è il caso, il nome della relativa unità di Computer Forensics. Silk Road Esaminate i resoconti giornalistici e gli atti del processo per Silk Road. Scrivete una relazione che indichi in dettaglio l’uso di prove
digitali da parte di FBI e DHS, che alla fine ha portato alla condanna di Ross Ulbricht.
Capitolo 2
Windows e il suo file system
Obiettivi Di seguito i temi principali che verranno affrontati nel corso di questo capitolo. Che cosa fa un sistema operativo. Le notazioni binaria, decimale ed esadecimale e come convertire dall’una all’altra. La struttura fisica di un disco rigido e come vengono memorizzati e recuperati i file. Il processo di boot. I file system di Windows. Le diverse caratteristiche di ciascun sistema operativo Windows e che cosa comportano per gli investigatori. Una buona conoscenza dei sistemi operativi è importante per poter diventare investigatori di Digital Forensics. Le prove digitali con cui gli investigatori lavorano sono file. L’organizzazione di questi file, i dati che contengono e la loro posizione variano a seconda del sistema operativo e del file system associato presenti sul computer o sul dispositivo digitale dell’indagato. Inoltre, il tipo di sistema operativo e di file system determina come si possano acquisire e analizzare le prove digitali, in termini di software e hardware forense. Un file system è una gerarchia di file con le relative directory.
In questo capitolo inizieremo chiarendo la fondamentale differenza concettuale fra memorizzazione logica e fisica, che è importante quando si discute di come tutti vediamo i file sui nostri computer, per esempio mediante File Explorer (Esplora file) su un PC rispetto a come i file sono effettivamente conservati fisicamente su un disco rigido. Un file su un computer è semplicemente una traccia fisica su un disco metallico, come vedremo più avanti nel capitolo. Gli informatici, perciò, rappresentano i dati presenti su un disco in vari modi: a volte in formato binario, in altri esadecimale o decimale. Vedremo questi diversi sistemi di numerazione nei particolari e vedremo anche come convertire da un sistema all’altro, il che è importante perché la maggior parte degli strumenti di analisi di Digital Forensics consente una visualizzazione “naturale” dei file, ma anche una visualizzazione in sistema esadecimale, che rivela molte più informazioni (per esempio l’intestazione del file, i metadati e altre informazioni utili). Conoscere bene i sistemi operativi è importante anche perché tipi diversi e versioni diverse dei sistemi operativi hanno caratteristiche diverse e la conoscenza di tali caratteristiche è di aiuto all’investigatore per sapere dove si possano trovare le prove più preziose e quali strumenti utilizzare per accedervi. Inoltre la maggior parte degli strumenti di imaging per la Digital Forensics offrono all’investigatore l’accesso a vari file del sistema operativo e l’esaminatore deve conoscerli ed essere in grado di spiegarli. Quando si analizzano le evidenze acquisite da una unità disco, il software di Digital Forensics visualizza i file associati al processo di boot (il processo di avvio, quando si dà alimentazione al computer). Un investigatore pertanto deve conoscere bene questi file. In effetti un investigatore deve conoscere bene sia i file di sistema sia i file dell’utente e deve essere in grado di rendere conto di eventuali modifiche che abbiano subito. L’avvocato della difesa, per esempio, potrebbe sostenere che determinate modifiche a un file siano avvenute
dopo che il sospettato aveva usato per l’ultima volta il computer, e l’investigatore deve poter spiegare quelle modifiche. Nel seguito del capitolo analizzeremo tutti i file system supportati dal sistema operativo Windows. Sono informazioni importanti, perché il tipo di file system incide sul valore delle prove e sulla capacità che ha l’investigatore di vedere quelle prove. Per esempio, i file FAT12 non sono cifrati, mentre i file NTFS possono avere una cifratura forte e potrebbero essere illeggibili. Ciononostante, un file FAT12 ha metadati meno utili di un file NTFS e in quest’ultimo file system è più probabile trovare backup dei file. Per tutti questi motivi, una buona conoscenza delle caratteristiche di ciascun file system è importante per l’investigatore. Un tema che incontreremo continuamente in questo libro è l’importanza di poter dimostrare che alla tastiera si trovava il sospettato e di ricostruire gli eventi che hanno portato a un reato. Il Registro di Windows tiene traccia di ogni tipo di cambiamento di configurazione al sistema, il che offre una grande quantità di informazioni, per esempio riguardo alle connessioni wireless e all’attività Internet dell’utente. Questo capitolo perciò analizzerà a fondo il Registro di Windows per vedere quali informazioni si possano ricavare in merito a un sospettato o a una vittima. Esamineremo poi i file system supportati dalla Microsoft. Il tipo di file system determina il modo in cui i file sono memorizzati e recuperati; definisce anche i limiti dimensionali che possono avere i file. Il valore probatorio di un file sarà diverso a seconda del tipo di file system, per molti motivi diversi. Per esempio, può variare la longevità di un file; la cancellazione di un file su un computer Macintosh è un processo diverso dalla cancellazione di un file su un personal computer con sistema operativo Windows e file system NTFS. I metadati, ovvero gli attributi di un file, sono spesso determinanti per associare un criminale alle prove, ma la natura di queste prove varia da un file system all’altro. La
cifratura è un’altra variabile ancora, e costituisce un problema sempre più complesso per gli esaminatori forensi, poiché i produttori continuano a migliorare la qualità della sicurezza dei loro file system. Un file system ha anche la responsabilità di determinare lo spazio di memoria allocato e non: lo spazio allocato è quell’area di un volume in cui sono memorizzati uno o più file. Quando si cancella un file su un personal computer, questo non viene cancellato fisicamente dal volume (disco), ma diventa spazio disponibile. Quando si cancella un file, rimane fisicamente memorizzato in un volume; quello spazio però a quel punto è disponibile e può essere sovrascritto. Lo spazio disponibile è lo spazio non allocato. Gli utenti possono fare ricorso a determinati strumenti per cancellare in modo sicuro un file, tuttavia esistono metodi di ricerca, che un esaminatore forense può utilizzare, per stabilire se sia stato utilizzato uno strumento di cancellazione sicura. Un esame degli Eventi di Windows aiuterà a stabilire se è stata installata un’applicazione. Lo spazio di memoria non allocato in generale può essere usato per creare una partizione primaria in un volume. Una partizione è una unità logica di memoria su un disco. Nella Digital Forensics, si incontra spesso questa distinzione fra spazi fisici e spazi logici, per quanto riguarda la memorizzazione dei file o i file recuperati da un computer o da qualche altro dispositivo di storage. Per un investigatore è quindi fondamentale conoscere questa differenza e saperla spiegare a persone che non hanno una formazione tecnica.
Memoria fisica e logica Avere ben chiara la differenza fra gli aspetti fisici e quelli logici dei file system è importante, perché i software di imaging per la Digital Forensics offrono una visualizzazione molto diversa dei dati conservati in un computer. Questi software sono chiamati anche software di imaging bit-stream, perché catturano ogni bit memorizzato sul disco di un
computer. A differenza di Esplora file di Microsoft Windows, il software forense di imaging mostra ogni file presente nella memoria del computer, compresi i file del sistema operativo. La distinzione fra fisico e logico può riguardare anche la differenza fra il modo in cui il sistema operativo fa riferimento alla posizione di un file e la posizione fisica di un settore su un disco, relativamente al supporto di memoria. La memoria fisica è trattata più dettagliatamente nel seguito del capitolo.
Memorizzazione di file Un investigatore deve sapere come sono conservati i file in un computer. Sapendolo, ci si rende conto che gli utenti non possono stabilire la posizione fisica in cui è conservato un file e pertanto non possono controllare la cancellazione di quel file da una unità disco. La registrazione e l’archiviazione dei file sono controllati in gran parte dal sistema operativo. Un byte è costituito da 8 bit ed è l’unità di memoria più piccola indirizzabile. Un settore in un disco magnetico è costituito da 512 byte, nei dischi ottici da 2048 byte. Unità disco più recenti possono avere settori delle dimensioni di 4096 byte. Di solito un disco possiede settori difettosi, che il software di Digital Forensics è in grado di identificare: questi settori sono aree del disco che non possono più essere utilizzate per memorizzare dati. I settori difettosi possono essere causati da virus, da record di boot corrotti, da danni fisici e da tutta una serie di altri problemi. Un cluster è una unità di memorizzazione logica su un disco rigido, costituita da più settori contigui. Quando viene partizionato un volume di disco, viene definito il numero dei settori in un cluster. Un cluster può contenere un solo settore (512 byte) o fino a 128 settori (65.536 byte). Le tracce sono sottili anelli concentrici, formati da settori in cui sono memorizzati dati. Gli strumenti di Digital Forensics
consentono all’investigatore di navigare facilmente fra i diversi settori dell’immagine di un disco, anche se un settore fa parte del sistema operativo. La Figura 2.1 mostra la struttura fisica di un disco rigido; va notato però che oggi sono diventati sempre più diffusi i dischi a stato solido (Solid State Drive, SSD).
Figura 2.1 La struttura fisica di una unità disco.
Poiché la maggior parte dei file è costituita da blocchi di 512 byte ciascuno, è importante tenere presente che quindi un file di 800 byte usa due settori di 512 byte su un disco magnetico. L’insieme dei byte che rimangono inutilizzati nell’ultimo settore di un file va sotto il nome di file slack o di slack space: conoscerlo è importante perché in quest’area possono essere nascosti dei dati. Nel nostro esempio di un file di 800 byte, la dimensione fisica del file sarà di 1024 byte (due settori), mentre le sue dimensioni logiche sono di 800 byte. Esplora file visualizza le dimensioni logiche del file, mentre quelle fisiche sono lo spazio su disco effettivamente utilizzato dal file. Le dimensioni logiche di un file sono la quantità di dati conservata in quel file. La Tabella 2.1 presenta la struttura fisica di un file di 800 byte. Per essere ancora più specifici:
RAM slack è lo spazio non utilizzato alla fine del file o settore logico, file slack si riferisce ai settori che restano alla fine del cluster. Tabella 2.1 Struttura fisica di un file di 800 byte. Settore 1
Settore 2
Dati del file
Dati del file
File slack
512 byte
288 byte
224 byte
Gli investigatori di Digital Forensics in genere passano la maggior parte del loro tempo a esaminare dischi rigidi. Un piatto è un disco circolare di alluminio, ceramica o vetro, che conserva i dati in forma magnetica. Una unità disco contiene uno o più piatti e i dati di solito possono essere memorizzati su entrambe le facce di ciascuno. Un perno, al centro del disco, è alimentato da un motore e mette in rotazione i piatti. Un braccio esplora il piatto in rotazione con un movimento ad arco. Questo braccio attuatore contiene una testina di lettura/scrittura che, quando si scrive su disco, modifica la magnetizzazione. In genere per ogni piatto esistono due testine di lettura/scrittura, una per ciascuna faccia. Braccio e testina restano a distanza di nanometri dal piatto, perciò i dischi rigidi devono essere maneggiati con grande attenzione; qualsiasi urto può rendere inutilizzabile la testina. L’esaminatore deve stare anche molto attento a che nessun dispositivo magnetico si avvicini al disco fisso. Un telefono cellulare, per esempio, contiene una batteria, la quale a sua volta contiene un magnete. A volte gli ospiti di un hotel disattivano la chiave magnetica della stanza riponendola nella stessa tasca in cui tengono il cellulare: la carica magnetica del telefono può corrompere i dati memorizzati sulla chiave. La Figura 2.2 mostra la struttura di un disco rigido.
Figura 2.2 La struttura di un disco rigido.
Un cilindro è l’insieme di tutte le tracce che hanno lo stesso numero sui vari piatti che costituiscono il disco rigido. Con l’espressione geometria del disco si intende la struttura di un disco rigido in termini di piatti, tracce e settori. La capacità di una unità disco può essere calcolata mediante la formula seguente: numero cilindri × numero testine × numero settori × numero di byte per settore
Un disco con 16.383 cilindri, 16 testine e 63 settori (512 byte per settore) avrà quindi la capacità: = 16.383 × 16 × 63 × 512 = 8.455.200.768 byte, ovvero 8 GB (8 gigabyte)
Un gigabyte quindi è pari a 109 byte. La Tabella 2.2 presenta i vari multipli del byte e le relative denominazioni. Tabella 2.2 Multipli del byte. Nome
Simbolo
Valore
Kilobyte
kB
103
Megabyte
MB
106
Gigabyte
GB
109
Terabyte
TB
1012
Petabyte
PB
1015
Exabyte
EB
1018
Paginazione La memoria virtuale è una caratteristica della maggior parte dei sistemi operativi, fra cui anche Windows. Quando si pensa alla memoria virtuale si pensa spesso alla RAM. Molti computer di produzione recente sono configurati con 4GB/8GB/16GB/32GB/64GB/128GB di RAM. In quanto a velocità ed efficienza, la RAM è nettamente superiore a una unità disco, ma è costosa e ha dimensioni relativamente minori. Quando sono in esecuzione contemporaneamente più applicazioni, queste possono avere bisogno di una quantità di RAM superiore a quella fisicamente disponibile; si rende necessaria perciò una soluzione per espandere la memoria virtuale. Il sistema operativo Windows facilita l’uso del disco rigido per estendere la funzionalità della RAM. Il file di paginazione (page file) è l’area sul disco rigido che conserva un’immagine della RAM. Pagefile.sys conserva i frame di dati che sono stati spostati dalla RAM al disco rigido. In pratica: come visualizzare le impostazioni per Pagefile.sys 1. Trovate un computer con Windows 10 che abbiate il permesso di utilizzare. 2. Premete i tasti Win+S (Win+I per l’edizione italiana), poi scrivete advanced (avanzate). Sotto Best match (Risultati della ricerca) comparirà View advanced system settings (Visualizza impostazioni di sistema avanzate), come si vede nella Figura 2.3. 3. Facendo clic su View advanced system settings si aprirà la finestra di dialogo System Properties (Proprietà del sistema), come si vede nella Figura 2.4. 4. Nella scheda Advanced (Avanzate) della finestra di dialogo System Properties, fate clic sul pulsante Settings (Impostazioni) nella sezione Performance (Prestazioni) per visualizzare le opzioni visibili nella Figura 2.5. 5. Nella finestra di dialogo Performance Options (Opzioni prestazioni), nella scheda Advanced (Avanzate), sotto Virtual memory (Memoria virtuale), notate l’indicazione Total paging file size (Dimensioni totali file di paging), come si vede nella Figura 2.6. È consigliabile non modificare in alcun modo Pagefile.sys e le sue impostazioni. I file di paginazione hanno estensione .SWP.
Figura 2.3 Ricerca delle impostazioni avanzate.
Figura 2.4 Finestra di dialogo System Properties (Proprietà del sistema).
Figura 2.5 Finestra di dialogo Performance Options (Opzioni prestazioni).
Figura 2.6 Finestra di dialogo Performance Options (Opzioni prestazioni) con le dimensioni del file di paginazione (paging file).
RAM, Pagefile.sys e qualunque tipo di memoria virtuale sono preziosi per gli investigatori, poiché possono contenere informazioni su processi in esecuzione, password e tracce lasciate dalla navigazione nel Web. Dato che l’esame della memoria “viva” è una parte fondamentale della risposta agli incidenti, parleremo più specificamente di RAM e Pagefile.sys nel Capitolo 7.
Sistemi di numerazione e conversioni Gli investigatori di Digital Forensics devono essere in grado di convertire fra sistemi di numerazione diversi, perché il software forense che utilizziamo presenta i dati di sistema e degli utenti in formati diversi; inoltre, alcuni file o dati su un computer sono in un formato binario e può presentarsi la necessità di convertire quei dati per poter interpretare le informazioni.
Conversione da binario a decimale Il binario è il sistema che i computer “comprendono”. Nel sistema binario esistono solo due valori: 1 (carica positiva) e 0 (carica negativa). Il sistema binario può essere convertito facilmente in decimale con una calcolatrice scientifica. Possiamo usare la Tabella 2.3 per convertire il numero binario 1011 1111. Tabella 2.3 Un esempio di conversione da binario a decimale. Binario
1
0
1
1
1
1
1
1
Base 2
27
26
25
24
23
22
21
20
Totale
128
64
32
16
8
4
2
1
= (1 × 128) + (0 × 64) + (1 × 32) + (1 × 16) + (1 × 8) + (1 × 4) + (1 × 2) + (1 × 1) = 128 + 0 + 32 + 16 + 8 + 4 + 2 + 1 = 191
Sistema esadecimale L’esadecimale è un altro sistema di numerazione che si può trovare in strumenti software forensi come FTK o X-Ways. A volte un investigatore può imbattersi in file binari su un computer e avrà bisogno di usare un editor esadecimale per leggere i contenuti, oppure potrà convertire il file in un formato ASCII. Alcuni file di configurazione, per esempio, sono in formato binario. Come abbiamo detto, il binario usa due simboli (0 e 1);
il decimale usa 10 simboli (le cifre da 0 a 9). L’esadecimale è un sistema di numerazione che usa 16 simboli (base 16), che sono le cifre da 0 a 9, più le lettere da A a F. È necessario comprendere il sistema esadecimale perché la maggior parte dei software di imaging per la Digital Forensics comprende un hex editor (editor esadecimale). Un hex editor consente all’esaminatore di vedere tutti i contenuti di un file; alcuni, come WinHex, consentono di manipolare valori esadecimali, il che può essere utile per rendere leggibili file altrimenti incomprensibili. La Tabella 2.4 illustra conversione da binario a decimale e esadecimale. Tabella 2.4 Tabella di conversione da binario a decimale e a esadecimale. Binario
Decimale
Esadecimale
0000
00
0
0001
01
1
0010
02
2
0011
03
3
0100
04
4
0101
05
5
0110
06
6
0111
07
7
1000
08
8
1001
09
9
1010
10
A
1011
11
B
1100
12
C
1101
13
D
1110
14
E
1111
15
F
Conversione da esadecimale a decimale
Ogni cifra di un valore esadecimale (hex) rappresenta 4 bit. Pertanto, 7DA2 rappresenta 2 byte (4 bit × 4 = 16 bit, ovvero 2 byte). Per distinguere i numeri esadecimali dai numeri in altri sistemi di notazione, li scriviamo con il prefisso 0x. Per convertire 0x7DA2 nel sistema decimale, possiamo usare la Tabella 2.5. Tabella 2.5 Conversione di 7DA2 in decimale. Es
7
Conversione
7
Base 16 Totale
D
A
2
13
10
2
16
16
16
160
4096
256
16
1
3
2
1
= (7 × 4096) + (13 × 256) + (10 × 16) + (2 × 1) = 28.672 + 3328 + 160 + 2 = 32.162
Conversione da esadecimale ad ASCII Sapere come convertire i codici esadecimali in ASCII (American Standard Code for Information Interchange) è ancora più importante che convertire l’esadecimale in decimale. La Tabella 7 mostra la conversione da esadecimale ad ASCII. Tabella 2.6 Tabella di conversione da esadecimale ad ASCII. ASCII
Hex
Simbolo
ASCII
Hex
Simbolo
ASCII
Hex
Simbolo
0
00
NUL
43
2B
+
86
56
V
1
01
SOH
44
2C
,
87
57
W
2
02
STX
45
2D
-
88
58
X
3
03
ETX
46
2E
.
89
59
Y
4
04
EOT
47
2F
/
90
5A
Z
5
05
ENQ
48
30
0
91
5B
[
6
06
ACK
49
31
1
92
5C
\
7
07
BEL
50
32
2
93
5D
]
8
08
BS
51
33
3
94
5E
^
9
09
TAB
52
34
4
95
5F
_
ASCII
Hex
Simbolo
ASCII
Hex
Simbolo
ASCII
Hex
Simbolo
10
0A
LF
53
35
5
96
60
`
11
0B
VT
54
36
6
97
61
a
12
0C
FF
55
37
7
98
62
b
13
0D
CR
56
38
8
99
63
c
14
0E
SO
57
39
9
100
64
d
15
0F
SI
58
3A
:
101
65
e
16
10
DLE
59
3B
;
102
66
f
17
11
DC1
60
3C
105
69
i
20
14
DC4
63
3F
?
106
6A
j
21
15
NAK
64
40
@
107
6B
k
22
16
SYN
65
41
A
108
6C
l
23
17
ETB
66
42
B
109
6D
m
24
18
CAN
67
43
C
110
6E
n
25
19
EM
68
44
D
111
6F
o
26
1A
SUB
69
45
E
112
70
p
27
1B
ESC
70
46
F
113
71
q
28
1C
FS
71
47
G
114
72
r
29
1D
GS
72
48
H
115
73
s
30
1E
RS
73
49
I
116
74
t
31
1F
US
74
4A
J
117
75
u
32
20
(space)
75
4B
K
118
76
v
33
21
!
76
4C
L
119
77
w
34
22
“
77
4D
M
120
78
x
35
23
#
78
4E
N
121
79
y
36
24
$
79
4F
O
122
7A
z
37
25
%
80
50
P
123
7B
{
38
26
&
81
51
Q
124
7C
|
39
27
‘
82
52
R
125
7D
}
40
28
(
83
53
S
126
7E
~
41
29
)
84
54
T
127
7F
ASCII 42
Hex
Simbolo
2A
*
ASCII 85
Hex 55
Simbolo
ASCII
Hex
Simbolo
U
Alcuni simboli nella Tabella 2.6 non sono intuitivi. Hex 10, per esempio, corrisponde al simbolo DLE (Data Link Escape). Data Link Escape è un carattere di controllo delle comunicazioni che specifica che il carattere successivo non è un dato ma un codice di controllo. Un carattere di controllo inizia, modifica o termina un’operazione e non è un simbolo scritto o stampabile. I primi 32 codici nella Tabella 2.6 sono caratteri di controllo. Un altro esempio nella Tabella 2.6 è il simbolo ACK (Hex: 06), che è un carattere di controllo delle trasmissioni e costituisce il riconoscimento (acknowledgment) della ricezione di una trasmissione. Online si trovano molti convertitori gratuiti da e in esadecimale. Vediamo nella Tabella 2.7 come si converte la stringa Hi there!. Tabella 2.7 Conversione di Hi there! in esadecimale. ASCII
H
i
Hex
48
69
20
t
h
e
r
e
!
74
68
65
72
65
21
In pratica: scaricare e usare un hex editor Sono disponibili molti hex editor e la maggior parte degli strumenti di Digital Forensics ne include uno. Hex Workshop è un hex editor creato e distribuito dalla BreakPoint Software. Lo si può scaricare gratuitamente da www.hexworkshop.com. Scaricate il software, quindi eseguite i passi seguenti. 1. Avviate l’applicazione Hex Workshop. 2. Fate clic su File e poi su Open. 3. Navigate fino a raggiungere i file di dati per questo libro e aprite il file Introduction to Operating Systems.doc. Il file si aprirà nella finestra dell’hex editor. 4. Utilizzando la barra di scorrimento, scorrete verso il basso fino a che non vedete l’area di presentazione del testo ASCII (Figura 2.7). 5. Scorrete fino in fondo al file: troverete l’indicazione del tipo di file e della versione, come nella Figura 2.8. Nell’hex editor, gli zero (00) indicano il file slack. 6. Uscite da Hex Workshop.
Figura 2.7 La presentazione del testo ASCII.
Figura 2.8 Il file slack.
Uso dell’esadecimale per identificare il tipo di file L’intestazione o header di un file ne identifica il tipo: è importante perché, se un sospettato cerca di nascondere un file modificandone l’estensione, probabilmente il file non si aprirà da Esplora file, ma gli strumenti forensi in genere lo potranno visualizzare anche se l’estensione di file è stata modificata manualmente. Il valore esadecimale per un particolare tipo di file in genere resta costante, come si può vedere nella Tabella 2.8. Tabella 2.8 Corrispondenza fra tipo di file e valore esadecimale. Tipo di file
Valore esadecimale
Valore ASCII
Excel (.xls)
D0 CF 11 E0
JPEG
FF D8 FF E1
JPEG
FF D8 FF E0
JFIF
JPEG
FF D8 FF FE
JFIF
PPT
D0 CF 11 E0
PDF
25 50 44 46
Word (.doc)
D0 CF 11 E0
ZIP
50 4B 03 04
%PDF PK
Unicode Spesso si incontrerà il termine Unicode e bisogna sapere che cosa indichi. Unicode è uno standard di codifica internazionale che supporta varie lingue e sistemi di scrittura di tutto il mondo. Unicode, per esempio, supporta l’alfabeto cirillico, usato nella lingua russa, e l’arabo. I computer odierni hanno una grande diffusione anche perché supportano forme di scrittura regionali. A ogni lettera, carattere o simbolo è assegnato un numero univoco. Unicode è utilizzato nei sistemi operativi e in taluni linguaggi di programmazione.
Sistemi operativi Un sistema operativo è un insieme di programmi utilizzati per controllare e gestire le risorse hardware e di sistema di un computer. I software forensi permettono di visualizzare molti file diversi del sistema operativo e gli investigatori devono quindi essere in grado di riconoscerli. Inoltre, attraverso l’esame del sistema operativo risultano spesso evidenti le interazioni dell’utente con il computer. Quando un utente accende il computer (processo di boot) o inserisce un CD, il sistema operativo registra questi eventi.
Il processo di boot Il kernel è il “nocciolo” del sistema operativo e ha il compito di consentire le comunicazioni fra applicazioni e dispositivi hardware, in particolare gestisce memoria e dischi. Quando viene avviato, il computer esegue il codice conservato nella ROM, il cosiddetto BIOS, ovvero Basic Input/Output System. Il BIOS avvia il sistema operativo riconoscendo e inizializzando i dispositivi di sistema, fra cui le unità disco, le unità CD-ROM, la tastiera, il mouse, la scheda video e altri dispositivi ancora. Questo processo, grazie al quale un piccolo pezzo di codice attiva altre parti del sistema operativo in fase di avvio, prende il nome di bootstrap. Le istruzioni per questo processo sono contenute in un chip ROM, ovvero di memoria a sola lettura (Read-Only Memory), che in genere non è modificabile. In alcuni personal computer il BIOS è stato sostituito dall’UEFI (Unified Extensible Firmware Interface), software che collega il firmware del computer al sistema operativo. Il processo di boot sui computer dotati di UEFI è diverso da quello del tradizionale BIOS. In molti casi, l’investigatore forense smonta il disco rigido, poi quel disco viene clonato (se ne crea un’immagine). È importante che
l’investigatore documenti anche le informazioni relative al sistema e alle sue specifiche: avvierà quindi il computer dopo aver rimosso il disco rigido, per impedire che questo venga in qualche modo modificato. L’utente potrebbe avere protetto il BIOS con una password, e questo potrebbe causare problemi all’investigatore. In Internet si trovano però alcune soluzioni per trattare con le password del BIOS. In pratica: visualizzazione del BIOS 1. Premete il pulsante di accensione per avviare il vostro computer. (Nel corso di un’indagine effettiva, dovrete avere già disconnesso il disco rigido e lo avrete smontato.) 2. Premete varie volte il tasto F2 sulla tastiera per impedire che avvenga il caricamento del BIOS. 3. Su qualche computer il tasto funzione che impedisce l’avvio del BIOS è F4. È possibile che ci sia anche qualche altro tasto per accedere al BIOS. 4. Usate il tasto freccia verso il basso per scorrere fino al BIOS. Confrontate ciò che appare sul vostro schermo con la Figura 2.9. Sullo schermo vedrete elencati i dispositivi di input/output e il modo in cui sono inizializzati. 5. Premete il pulsante di alimentazione per spegnere il computer.
Figura 2.9 Visualizzazione del BIOS.
Master Boot Record (MBR) Il primo settore di un disco rigido (Settore 0) è chiamato Master Boot Record. Il Master Boot Record (MBR) è coinvolto nel processo di boot e conserva informazioni sulle partizioni di disco, in particolare quante sono e dove si trovano. Un floppy disk non ha MBR perché il suo primo settore è quello di boot. Quando si avvia un computer e il BIOS lancia il processo di boot, va a esaminare sempre il Settore 0 per estrarne le istruzioni su come caricare il sistema operativo. Il MBR contiene la Master Partition Table, il Master Boot Code e la Disk Signature. La Master Partition Table (tabella principale delle partizioni) contiene le descrizioni delle partizioni del disco. Ha spazio per quattro partizioni solamente, quindi un disco può avere un massimo di quattro partizioni fisiche. Se un utente vuole creare una partizione ulteriore, questa deve essere una partizione logica con un collegamento a una partizione primaria (partizione fisica). Il BIOS usa il Master Boot Code per avviare il processo di boot. La Disk Signature (firma del disco) identifica il disco per il sistema operativo. Lo End of Sector Marker (marcatore di fine settore) è una struttura di due byte che indica la fine del MBR.
File system di Windows Windows è il nome di una serie di sistemi operativi a interfaccia grafica (GUI, Graphical User Interface), sviluppati dalla Microsoft. Questa GUI è stata introdotta nel 1985 in risposta al grande successo della GUI del Macintosh (Mac), in commercio dal 1984. Anche se la quota di mercato del macOS della Apple continua a crescere, Windows è ancora il sistema operativo dominante a livello mondiale. Microsoft Windows supporta solo cinque file system: NTFS, FAT64, FAT32, FAT16 e FAT12. FAT (File Allocation Table, tabella di allocazione dei file) è un file system sviluppato dalla Microsoft che
utilizza una tabella per memorizzare informazioni sulle posizioni in cui sono conservati i file, su quelle in cui è disponibile spazio libero e quelle in cui i file non possono essere memorizzati. Il sistema NTFS (New Technology File System) ha sostituito in seguito la FAT. NTFS è stato sviluppato dalla Microsoft e introdotto con Windows NT. NTFS è il file system principale di Windows dalla versione Windows 2000, ma sia Windows 2000 sia tutte le versioni successive di Windows supportano ancora anche FAT. FAT12 Il file system FAT12 è stato introdotto nel 1980 ed è il file system dei floppy disk. Inizialmente era stato sviluppato per i floppy da 5.25 pollici, ma poi è stato usato anche per quelli, più piccoli, da 1.44 MB. Praticamente ogni sistema operativo per personal computer continua a supportare ancora oggi FAT12. FAT16 Introdotto nel 1987, FAT16 è un file system a 16 bit sviluppato per l’uso con il sistema operativo MS-DOS. I nomi di file in FAT16 non possono essere più lunghi di otto caratteri, e le estensioni dei nomi di file sono lunghe tre caratteri. Questo file system supporta partizioni di disco con dimensioni massime di 2GB. FAT32 FAT32 è una versione a 32 bit che usa cluster di dimensioni minori, consentendo quindi un uso più efficiente dello spazio. Il sistema operativo determina le dimensioni dei cluster. Questo file system è stato introdotto con Windows 95 e consente file con dimensioni massime di 4GB.
FAT64 Il file system FAT64, o exFAT (Extended File Allocation Table), sviluppato sempre dalla Microsoft, è stato introdotto con i sistemi operativi Windows Vista Service Pack 1, Windows Embedded CE 6.0 e Windows 7. Sistemi operativi macOS, come Snow Leopard (10.6.5), possono riconoscere partizioni exFAT. Si tratta quindi di un file system comodo per il trasferimento di file da un personal computer con Windows a un Mac. Tuttavia questo file system non ha le funzioni di sicurezza o di journaling che si trovano invece in NTFS. FATX FATX è un file system sviluppato per l’uso sui dischi della Xbox, la console di videogiochi della Microsoft, e le memory card associate. Vale la pena citare anche questo file system perché ci sono stati investigatori digitali forensi che hanno trovato prove incriminanti in console video. Il file system FATX non può essere visualizzato in modo nativo su un PC Windows. NTFS (New Technology File System) NTFS è il più recente fra i file system sviluppati dalla Microsoft per i sistemi operativi Windows. A differenza di FAT, NTFS supporta funzioni avanzate di cifratura e compressione dei file. La compressione consente all’utente di ridurre il numero dei bit in un file, il che ne permette una trasmissione più veloce. NTFS inoltre supporta il set di caratteri Unicode a 16 bit per i nomi dei file e delle cartelle, il che lo rende più interessante a livello internazionale. I nomi di file e cartelle possono contenere anche spazi e caratteri stampabili (tranne “/\:|”?). In NTFS è stata rafforzata la sicurezza con l’introduzione di liste di controllo degli accessi (ACL, Access Control List), che sono elenchi di autorizzazioni associate con un file e le informazioni sugli utenti e i
programmi che possono accedere al file. Un esaminatore forense deve sapere chi ha accesso a determinati file. I file NTFS inoltre possono avere implicazioni negative per un investigatore, per la possibilità di cifratura. I file NTFS possono essere molto grandi, fino a dimensioni di 16 EB (16 × 10246 bytes). A differenza del precedente FAT32, NTFS usa anche il journaling. Journaling è una forma di “giornale di bordo” del file system che registra i cambiamenti apportati ai file. Il journal usa le tracce dei cambiamenti apportati ai file per ripristinarli velocemente e in modo efficiente quando si verifica un errore di sistema o una caduta di tensione. Il log NTFS, il cui nome di file è $LogFile, registra questi cambiamenti. NTFS mantiene un giornale dei cambiamenti con numeri sequenziali di aggiornamento (update sequence number, USN). Prima di Windows Vista, questa funzionalità non era disponibile per default. Ogni volta che si apporta un cambiamento a un file o a una directory in un volume, il file $UsnJrnl viene aggiornato con una descrizione del cambiamento e l’indicazione del file o della directory corrispondenti. Quindi, il journal NTFS può essere tremendamente importante per quanti, nel rispondere a un incidente, cercano di identificare cambiamenti apportati a file o directory in un volume. Quello che segue è un elenco dei tipi di cambiamenti che vengono registrati. Ora del cambiamento. Motivo del cambiamento. Nome del file o della directory. Attributi di file/directory. Numero di record MFT di file o directory. File record number della directory genitrice del file. ID di sicurezza. Update Sequence Number del record.
Informazioni sulla sorgente del cambiamento. Il file $UsnJrnl è usato anche per recuperare l’indicizzazione dopo un guasto al computer o all’unità disco. La posizione effettiva del giornale dei cambiamenti si può trovare in $Extend\$UsnJrnl, e le effettive voci del giornale possono essere recuperate dal flusso (stream) di dati alternativo $UsnJrnl:$J. Quando vengono aggiunti, cancellati o modificati un file o una directory NFTS, questi cambiamenti vengono inseriti in stream. NTFS ha introdotto nel file system anche flussi di dati alternativi (ADS, alternate data stream), è un insieme di attributi del file. NTFS ammette che i file abbiano più flussi di dati, visibili solo accedendo alla Master File Table. Per esempio, Esplora file di Windows presenta i dettagli del percorso logico di un file musicale in un file system. Il fornitore di quell’elemento mediale però può usare anche un flusso di dati aggiuntivo per aggiornare le informazioni sull’album da cui deriva quel file musicale o per associare il file musicale con altra musica scaricata dello stesso artista. Gli hacker possono usare i flussi di dati alternativi per nascondere dati, fra cui rootkit associati a virus. Pertanto è importante che gli investigatori conoscono gli ADS. La Tabella 2.9 presenta un riepilogo delle funzionalità dei sistemi di file Windows. Tabella 2.9 Confronto fra i file system Windows. File system
Lunghezza Anno di Dim Dim Access Alternate Cifratura massima intro- max max Control Data del file Journaling dei nomi di duzione file volumi List Stream system file
FAT12
1980
4 GB
255 B
32 MB
No
No
No
No
FAT16
1987
4 GB
255 B
2 GB
No
No
No
No
FAT32
1996
4 GB
255 B
2 TB o 8 TB o No 16 TB
No
No
No
FAT64
2006
16 EB
255 B
64 ZB
Sì
No
No
No
NTFS
1993
16 EB
255 B
8 PB (Win 10)
Sì
Sì
Sì
Sì
Master File Table In NTFS, la Master File Table (MFT) mantiene i metadati di file e cartelle, fra cui nome di file, data di creazione, posizione, dimensioni e autorizzazioni. Altre proprietà di file, come compressione o cifratura, si trovano nella MFT. La MFT traccia anche quando i file vengono cancellati e indica che lo spazio può essere riallocato. Ogni file/directory in un volume NTFS ha un suo record nella MFT, e le dimensioni di default per ciascuna di queste voci sono 1024 byte. L’intestazione della MFT rappresenta i primi 42 byte del record; i rimanenti byte sono dedicati agli attributi. Gli attributi possono essere residenti (memorizzati nel record MFT) o non residenti (memorizzati in cluster esterni). I timestamp (indicazioni di data e ora) sono parte importante dei metadati NTFS. È importante capire che questi timestamp possono essere manipolati o essere sbagliati. Perciò confermare le informazioni di data e ora è un protocollo da seguire sempre. A volte il malware può sovrascrivere i timestamp e questo crea un problema per un investigatore che debba ricostruire una cronologia dal PC di un sospettato. Il file $MFT però contiene due gruppi di timestamp per file/directory: Standard Information (SIA) e Filename Attribute (FNA). È possibile che sia stato modificato il SIA ma non lo FNA, perciò il confronto fra i due è importante per stabilire se sia stato apportato un cambiamento. La Tabella 2.10 specifica nomi di file, funzioni e posizioni del sistema NTFS. Tabella 2.10 File di sistema NTFS.
Posizione Nome di file
Funzione
0
$MFT
Contiene un record per ogni file e directory nel volume.
1
$MFTMirr
Un duplicato delle prime quattro voci della MFT.
2
$LogFile
Traccia cambiamenti nei metadati. Usato per ripristino di sistema.
3
$Volume
Contiene informazioni sul volume, comprese versione di file system ed etichetta di volume.
4
$AttrDef
Registra attributi di file e identificatori numerici.
5
$
La directory root.
6
$Bitmap
Indica quali cluster sono usati e quali sono liberi.
7
$Boot
Contiene il codice di bootstrap.
8
$BadClus
Elenca i cluster con errori e quindi non utilizzabili.
9
$Secure
Il database ACL.
10
$UpCase
Converte caratteri maiuscoli in Unicode minuscoli.
11
$Extend
Contiene estensioni opzionali, come $Quota o $Reparse.
12…23
Voci di estensione $MFT
In pratica: uso di FTK Imager FTK Imager è un programma di imaging bit-stream di Digital Forensics disponibile gratuitamente. 1. Trovate un personal computer su cui giri Microsoft Windows. 2. Andate all’URL https://accessdata.com/product-download e scaricate FTK Imager. Una volta scaricato, avviate il programma. 3. Fate clic su File e poi, dal menu che compare, fate clic su Add Evidence. 4. Nella successiva finestra di dialogo Select Source, verificate che sia selezionato Physical Drive e fate clic su Next. Un clic sulla freccia verso il basso visualizza le diverse unità fisiche di cui può essere creata un’immagine. 5. Con \\.\PHYSICALDRIVE0... selezionato, fate clic su Finish. Confrontate la vostra schermata con quella che compare nella Figura 2.10. Notate che all’Evidence Tree è stato aggiunto \\.\PHYSICALDRIVE0.
Figura 2.10 Aggiunta dell’unità disco all’Evidence Tree. 6. Fate clic su \\.\PHYSICALDRIVE0 (Figura 2.11) . La vostra schermata sarà leggermente diversa, a seconda del numero delle partizioni nel vostro sistema. 7. Fate clic su Partition 1 e poi confrontate la vostra schermata con la Figura 2.12. Notate che nell’hex editor è visualizzato il nome del file system (NTFS). 8. Nella prima riga dell’ hex editor, con il mouse evidenziate i valori 4E 54 46 53. Confrontate la vostra schermata con la Figura 2.13. Notate che sulla destra è evidenziato NTFS. 9. Utilizzando la Tabella 2.6, verificate che 4E 54 46 53 si traduce in NTFS. 10. Fate clic su Partition 1
, poi fate clic sulla directory [root].
Figura 2.11 Il pulsante di espansione.
Figura 2.12 È selezionata Partition 1.
Figura 2.13 NTFS evidenziato. 11. Nella File List, scorrete verso il basso per vedere tutti i file. Fate clic su $MFT, poi confrontate la vostra schermata con la Figura 2.14. Notate che l’hex editor visualizza FILE0 come prima voce in $MFT.
Figura 2.14 La Master File Table visualizzata nell’hex editor. 12. Esplorate alcuni degli altri file di sistema, poi uscite da FTK Imager.
File Prefetch
Introdotti con Windows XP, i file Prefetch contengono informazioni su un’applicazione (eseguibile), quante volte e quando è stata eseguita. L’obiettivo di Prefetch è migliorare le prestazioni nel processo di avvio delle applicazioni. Dal punto di vista forense, un investigatore può esaminare i file Prefetch per stabilire quali applicazioni sono state eseguite e quando. Per esempio, queste informazioni possono permettere di stabilire che è stato installato un determinato programma, eseguito poi per eliminare dal sistema prove incriminanti. La chiave del Registro di Windows per Prefetch si può trovare qui: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management\PrefetchParameters
I file Prefetch sono memorizzati in: /Windows/Prefetch
Un file Prefetch contiene il nome dell’eseguibile, il conteggio delle esecuzioni (il numero delle volte in cui il programma è stato eseguito), il percorso e il numero di serie del volume, le dimensioni del file Prefetch e i file e le directory associate con un particolare eseguibile. Questo è importante perché chi deve gestire la risposta a un incidente potrebbe vedere che un file noto è stato eseguito da una cartella temporanea invece che dalla cartella di sistema Windows riconosciuta. Un file Prefetch avrà estensione .pf. Il file Prefetch conterrà anche due diversi timestamp: (1) quello relativo all’ultima esecuzione dell’eseguibile e (2) l’indicazione di data e ora di creazione del volume in cui il file Prefetch è stato salvato. A partire da Windows 8, i file Prefetch possono conservare fino a un massimo di otto timestamp che indicano quando l’applicazione è stata eseguita. Esistono varie applicazioni che sono in grado di analizzare i file Prefetch, e fra queste AXIOM della Magnet Forensics e PECmd di Eric Zimmerman (uno strumento gratuito). La Figura 2.15 mostra alcuni esempi di file Prefetch su un PC.
Figura 2.15 File Prefetch.
File SuperFetch SuperFetch è stato introdotto con Windows Vista e lavora con il servizio di gestione della memoria per migliorare le prestazioni, riducendo il tempo necessario per lanciare un’applicazione. A differenza di Prefetch, SuperFetch analizza gli schemi d’uso della memoria da parte degli eseguibili nel corso del tempo, per ottimizzare le prestazioni. I dati di SuperFetch sono raccolti dal processo Service (\System32\Svchost.exe) e su un computer Windows si trovano in questa posizione: \System32\Sysmain.dll
I file sono conservati nella directory Prefetch e il nome di ciascun file inizia con il prefisso Ag e termina con un’estensione .db. Il formato dei file Prefetch è cambiato con l’introduzione di Windows 10. ShellBag Le informazioni di ShellBag mostrano le preferenze dell’utente per Esplora file: per esempio, sono informazioni su dove l’utente posiziona
la finestra di una cartella su un PC e sulle dimensioni che le attribuisce, nonché informazioni su quando le varie cartelle sono state visualizzate dall’utente. Le informazioni di ShellBag sono tracciate dal sistema operativo Windows a fini di ripristino ma, come si può immaginare, possono essere preziose per gli investigatori che possono dimostrare che un utente ha effettuato l’accesso a una particolare cartella in un determinato momento. Inoltre, le informazioni contenute nelle “chiavi” di ShellBag possono essere di aiuto nella risposta agli incidenti, perché forniscono informazioni storiche sui volumi a cui è stato effettuato l’accesso o che sono stati montati recentemente e sulle cartelle cancellate. Dato che le informazioni di ShellBag sono relative alle preferenze degli utenti, sono memorizzate in voci (key) all’interno del Registro di Windows. Se un indiziato sostiene di non essere stato consapevole dell’esistenza di fotografie illecite sul suo disco rigido, un esame delle informazioni di ShellBag può rivelare se abbia in realtà effettuato l’accesso a una specifica cartella. I dati di ShellBag si trovano in varie voci del Registro, ma le informazioni importanti si possono trovare nelle posizioni seguenti: HKEY_USERS\\Software\Microsoft\Windows\Shell HKEY_USERS\\Software\Microsoft\Windows\ShellNoRoam
ShimCache La ShimCache contiene una documentazione dei file binari che sono stati eseguiti su un sistema e inoltre traccia gli eseguibili che sono stati visti attraverso explorer.exe, senza essere eseguiti. Come si può immaginare, la ShimCache può fornire una grande quantità di informazioni utili per gli investigatori e per chi deve gestire la risposta agli incidenti. Su un computer Windows XP, la ShimCache conterrà al massimo 96 voci, mentre su una macchina Windows 7 le voci possibili
sono 1024. La cache conserva metadati dei file, fra cui possono essere presenti: percorso completo del file; dimensioni del file; Process Execution Flag (solo nelle versioni più recenti di Windows); ora dell’ultimo aggiornamento (ShimCache Last Updated); ora dell’ultima modifica (Last Modified) di $Standard_Information (SI). Per esaminare a fini forensi la ShimCache, si può creare un’immagine del file SYSTEM, che si trova in c:\windows\system32\config, oppure si può esportare il file del Registro. Nel caso di un computer con Windows XP, la struttura dei dati è conservata nella seguente chiave del Registro: HKLM\CurrentControlSet\Control\Session Manager\AppCompatibility\AppCompatCache
In sistemi Windows più recenti, i dati della ShimCache son conservati in: HKLM\SYSTEM\CurrentControlSet\Control\Session Manager\AppCompatCache\AppCompatCache
Nell’Application Compatibility Database (App-CompatCache), si possono trovare file Prefetch, che sono estremamente importanti per la risposta agli incidenti, in particolare in casi in cui sia coinvolto malware. Amcache.hve (\Windows\AppCompat\Programs\Amcache.hve) è un altro file del Registro che può fornire informazioni preziose a chi esamina malware nell’ambito della risposta a un incidente. Esistono parecchi strumenti per l’esame della ShimCache e sicuramente quello più noto è ShimCacheParser, sviluppato dalla Mandiant (ora FireEye). Quando un sistema viene spento, la struttura dei dati viene copiata in queste voci del Registro: HKLM\SYSTEM\CurrentControlSet\Control\Session Manager\AppCompatibility\AppCompatCache
oppure:
HKLM\SYSTEM\CurrentControlSet\Control\Session Manager\AppCompatCache\AppCompatCache)
ShimCacheParser è in grado di trovare i percorsi nel Registro e di inviare i contenuti in output a un file .csv.
Registro di Windows Il Registro (Registry) di Windows è un database gerarchico che conserva le informazioni sulla configurazione del sistema. Mantiene i file utilizzati per controllare hardware e software del sistema operativo e tiene traccia degli utenti del sistema. Per quanto riguarda le evidenze che si possono raccogliere in un’indagine, il Registro può fornire moltissime informazioni, fra cui le ricerche effettuate in Internet, i siti visitati, le password e l’attività dell’utente. Il Registro contiene due tipi di elementi: chiavi e valori. Le chiavi sono simili alle cartelle e si identificano facilmente osservando l’icona della cartella. La maggior parte delle chiavi contiene sottochiavi (o cartelle). Queste sottochiavi possono contenere più sottochiavi. Il Registro ha cinque hive fondamentali, ciascuno dei quali ha un ruolo importante. NOTA Non apportate alcuna modifica al Registro di Windows. Qualsiasi modifica può provocare problemi gravi, che possono richiedere addirittura la reinstallazione del sistema operativo. In pratica: esplorare il Registro di Windows Per questo esercizio, trovate un computer dotato di sistema operativo Windows XP, Window Vista, Windows 7, 8, 9 o 10. 1. Fate clic su Start, poi scrivete regedit. Se viene visualizzata la finestra di dialogo User Account Control (), fate clic su Yes (Sì). Confrontate la vostra schermata con quella della Figura 2.16. Sarà visualizzata la finestra di dialogo del Registry Editor. 2. Fate clic su File e poi su Exit.
Figura 2.16 Registry Editor.
Gli elementi del Registro sono raggruppati in cinque gruppi, denominati hive. Ne vediamo di seguito le caratteristiche. HKEY_CLASSES_ROOT (HKCR):
contiene le associazioni delle estensioni dei
nomi di file, per esempio .exe. In questo hive sono contenuti anche gli oggetti COM, i programmi Visual Basic e altri elementi di automazione. Il Component Object Model (COM) consente anche a chi non è un programmatore di redigere script per gestire i sistemi operativi Windows. HKEY_CURRENT_USER (HKCU): contiene il profilo dell’utente che ha accesso al sistema nel momento in cui il Registro viene visualizzato. Il profilo cambia ogni volta che l’utente si accredita al sistema. Un profilo utente include impostazioni del desktop, connessioni di rete,
stampanti e gruppi personali. Questo hive contiene pochissimi dati, ma funge da puntatore a HKEY_USERS. contiene informazioni sulle impostazioni del sistema, in particolare informazioni sull’hardware e il sistema operativo del computer. HKEY_USERS (HKU): contiene informazioni su tutti gli utenti registrati sul sistema. In questo hive sono presenti almeno tre chiavi. La prima è .DEFAULT, che contiene un profilo quando nessun utente si è accreditato. Esiste anche una chiave contenente il SID per l’utente locale corrente, che può avere una forma del tipo S-1-5-18. Esiste poi una chiave per l’utente corrente, il cui nome finisce con _Classes, per esempio HKEY_USERS\S-1-5-21-3794263289-4294853377-1685327589HKEY_LOCAL_MACHINE (HKLM):
.
1003_Classes
contiene informazioni relative all’hardware del sistema che non è necessario nel corso del processo di startup. In questo hive si trovano impostazioni dello schermo, risoluzioni dello schermo e font (tipi di caratteri). Si trovano in questo hive anche informazioni sul BIOS plug-and-play. HKEY_CURRENT_CONFIG (HKCC):
Il Registro è una fonte importante di informazioni per un investigatore, e le informazioni del profilo dell’utente sono preziose per collegare una particolare persona a una macchina.
I tipi di dati del Registro Il Registro utilizza diversi tipi di dati. La Figura 2.17 mostra due di questi tipi di dati. REG_SZ è una stringa di testo di lunghezza fissa. REG_DWORD sono dati rappresentati da un intero a 32 bit (4 byte).
Figura 2.17 Due dei tipi di dati del Registro.
FTK Registry Viewer Anche se le cinque chiavi primarie del Registro sono molto simili in tutte le versioni del sistema operativo Windows, varia la posizione delle singole chiavi in ciascun hive. Molti strumenti forensi consentono a un esaminatore di esportare, ricercare e visualizzare i contenuti del Registro. FTK di AccessData include uno strumento, denominato Registry Viewer, che consente all’utente di accedere al Protected Storage System Provider cifrato del Registro, che può contenere nomi utente e password, ricerche in Internet e dati dei moduli Internet.
Microsoft Office Microsoft Office richiede una licenza distinta rispetto a quella di Microsoft Windows. Tuttavia, lo si trova installato solitamente su un PC
Windows e spesso anche su computer Apple Mac (ma le funzionalità su un Mac sono leggermente diverse e per Mac non è disponibile Access). Microsoft Office contiene le applicazioni seguenti: Word; Excel; PowerPoint; Access; Outlook. I contenuti dei documenti creati dagli utenti possono essere importanti per l’investigare forense, ma i metadati dei file possono essere altrettanto importanti per dimostrare il possesso e per aiutare a ricreare una sequenza di eventi. Fra i metadati di Microsoft Office rientrano i seguenti: Titolo (può essere diverso dal nome del file); Oggetto (subject); Autore; Data creazione; Ultima modifica (data e ora dell’ultimo salvataggio del file); Ultimo accesso (data e ora dell’ultima volta in cui il file è stato aperto); Data ultima stampa (data e ora dell’ultima volta in cui il file è stato stampato); Autore ultimo salvataggio (chi ha salvato il file l’ultima volta); Numero revisione (numero di volte in cui il file è stato salvato); Tempo totale di modifica (numero di minuti di modifica da quando il file è stato creato); Statistiche (comprendono il numero dei caratteri e delle parole nel documento); Manager; Società;
Parole chiave; Commenti; Percorso (percorso del file o URL per il documento); Modello; Salva anteprima (viene salvata un’immagine della prima pagina del documento). Va notato che alcuni di questi metadati possono essere manipolati dall’utente, perciò, per un esame esaustivo, è necessario disporre anche di prove di conferma, come i dati del Windows Event Viewer.
Caratteristiche di Microsoft Windows La natura di alcune evidenze forensi cambia da una versione del sistema operativo all’altra. Un investigatore perciò deve avere chiare queste differenze e come possono incidere sulle sue indagini. Quando Microsoft ha introdotto Windows Vista, ha introdotto anche tutta una serie di modifiche.
Windows Vista Microsoft ha rilasciato Vista nel novembre 2006. Non è stata una delle versioni di Windows più apprezzate, considerati i suoi requisiti hardware: questo sistema operativo richiedeva molta RAM ma rispondeva ai comandi più lentamente del suo predecessore, Windows XP. Vista si differenziava drasticamente dalle versioni precedenti dei sistemi operativi Microsoft, per quanto riguarda la sicurezza e i file system. I passi avanti compiuti da Microsoft sul fronte della sicurezza hanno creato problemi per le forze dell’ordine e in generale per gli investigatori forensi. Vediamo nel seguito in particolare le caratteristiche
più importanti introdotte con questo sistema operativo e analizziamo le conseguenze che hanno avuto per gli investigatori forensi. Vista era disponibile in due versioni, a 32 oppure a 64 bit. La versione a 32 bit supportava un massimo di 4 GB di RAM, mentre la versione a 64 bit arrivava a supportarne un massimo di 128 GB. Quando si esamina un computer su cui è installato Vista, la prima partizione NTFS inizia dal settore 2048. In precedenza, la prima partizione NTFS iniziava dal settore 63. Microsoft non supporta più aggiornamenti di sicurezza per Windows Vista, ma è importante conoscere la lunga serie di cambiamenti implementati con questo sistema operativo; gli investigatori incontrano ancora versioni di Windows non più supportate dalla casa produttrice.
Deframmentazione in Vista Si chiama deframmentazione il processo grazie al quale si elimina la frammentazione in un file system, in modo che tutti i “pezzi” di un file (i blocchi da 512 byte che lo costituiscono) siano più vicini tra loro (contigui) e in tal modo si aumentano le dimensioni delle aree libere sul disco. I vari frammenti che costituiscono un file non sempre sono memorizzati in posizioni contigue su un disco; spesso, anzi, sono sparsi in posizioni fra loro distanti. Il processo di deframmentazione può migliorare le prestazioni del file system in lettura/scrittura. Il programma per la deframmentazione in Vista è diverso da quello di versioni precedenti di Windows. La cosa più importante è che in Vista la deframmentazione viene eseguita automaticamente una volta alla settimana. Sappiamo che la deframmentazione viene eseguita periodicamente anche nelle versioni precedenti di Windows, senza che l’utente se ne renda conto; in Vista può essere eseguita, se opportuno, anche manualmente. In ogni caso, opera sullo sfondo con una bassa
priorità e senza una visualizzazione grafica. La deframmentazione può essere eseguita anche da una riga di comando amministrativa. Perché questo è importante? Perché, con l’introduzione della deframmentazione automatica, gli investigatori forensi hanno a disposizione una quantità significativamente minore di dati utili per le indagini. In pratica: uso di Disk Defragmenter (Deframmenta e ottimizza unità) 1. Trovate un personal computer su cui sia installato Microsoft Windows Vista o una versione successiva. 2. Fate clic su Start e quindi, nella casella di ricerca, scrivete defrag. 3. Fra i programmi, fate clic su Disk Defragmenter (Deframmenta e ottimizza unità), poi confrontate la vostra schermata con quella della Figura 2.18. Nella finestra di dialogo compare un elenco delle unità disco presenti nel computer. Potete notare che per default è già stata impostato un piano per la deframmentazione. 4. Fate clic su Close (Chiudi).
Figura 2.18 Uso di Disk Defragmenter (Deframmenta e ottimizza unità).
L’Event Viewer (Visualizzatore eventi) in Vista Un investigatore che analizza la scena di un crimine deve ricreare gli eventi che hanno condotto al crimine. Inoltre l’investigatore deve dimostrare che sono avvenute determinate azioni, in particolare quelle che hanno coinvolto le vittime e i colpevoli. Lo stesso vale per un investigatore di Digital Forensics. Uno dei modi per ricostruire gli eventi è esaminare il log degli eventi. Un evento è una comunicazione fra le applicazioni o fra un programma e un utente. Event Viewer è un’applicazione Windows utilizzata per esaminare i log degli eventi. Fra gli eventi possono rientrare: l’autenticazione e il login di un utente, una
deframmentazione, una sessione di chat in un sistema di messaggistica istantanea, lo scaricamento di un’applicazione. In qualche caso, l’accusa ha utilizzato i log degli eventi per dimostrare che un sospettato aveva installato un’applicazione per eliminare voci del registro dei file o attività Internet, nel tentativo di eliminare possibili prove incriminanti dopo aver ricevuto una citazione. In pratica: uso di Event Viewer (Visualizzatore eventi) 1. Trovate un personal computer su cui siano installati Microsoft Windows Vista o una versione successiva. 2. Fate clic su Start e poi, nella casella di ricerca, scrivete event. 3. Fra i programmi, fate clic su Event Viewer (Visualizzatore eventi). Se è il caso, massimizzate la finestra di dialogo, poi confrontate quello che vedete con la Figura 2.19. Nella finestra di dialogo, notate le sezioni Overview (Panoramica) e Summary (Riepilogo eventi amministrativi) nella parte centrale della schermata. 4. Fate clic su File e uscite dall’applicazione.
Figura 2.19 Event Viewer (Visualizzatore eventi).
L’Event Viewer nei computer con Vista o una versione successiva di Windows è notevolmente diverso dalle versioni precedenti dell’applicazione. La GUI è cambiata e comprende un pannello di anteprima per un evento selezionato, sotto l’elenco degli eventi. I log degli eventi ora hanno estensione .evtx e sono in formato XML. XML (Extensible Markup Language) è un linguaggio standardizzato, compatibile con l’uso in Internet. Questi log degli eventi, che si trovano in C:\Windows\System32\winevt\Logs\, si possono vedere con il Windows Event Viewer. Se fate clic sul pulsante Start della vostra macchina Windows, basta che scriviate eventvwr per accedere all’applicazone. Poiché i log degli eventi in Vista sono basati su XML, un investigatore può semplificare le proprie ricerche al loro interno utilizzando XPath (XML Path Language), un potente linguaggio di interrogazione per le ricerche all’interno di documenti XML. Le interrogazioni XPath possono essere eseguite dall’interfaccia a riga di comando di Event Log o attraverso l’interfaccia utente di Event Viewer. Prima di Windows Vista, la registrazione degli eventi incontrava problemi quando l’Event Log cresceva di dimensioni. Nelle versioni più recenti di Windows sono disponibili una maggiore quantità di memoria e un maggiore numero di attributi, associati a ciascun log. Prima di Vista, erano disponibili due soli attributi per ciascun evento, cioè EventID e Category. Le versioni più recenti di Windows offrono invece gli attributi seguenti: event time, process ID, thread ID, computer name, il security identifier dell’utente, nonché le proprietà EventID, Level, Task, Opcode e Keywords. Come abbiamo detto nel Capitolo 1, poter associare un utente alle azioni compiute su un dato computer è particolarmente importante, per dimostrare il controllo. Il SID perciò è significativo, se a un sistema possono accedere più utenti, ciascuno con login e password propri. I log degli eventi esistono da Windows NT, ma la loro struttura ha subito cambiamenti significativi nelle versioni più recenti del sistema (SID)
operativo: è cambiata la struttura dei file, ma è cambiato anche il processo stesso di registrazione degli eventi. Per esempio, quando su una macchina con Windows XP viene modificato l’orologio di sistema, i log degli eventi non registrano la modifica. Se si esegue la stessa operazione con un personal computer su cui sia installata una versione di Windows da Vista in poi, l’Event Viewer nota i cambiamenti nel clock di sistema. È importante quindi tenere sempre presente che i sistemi operativi Windows hanno subito variazioni notevoli da una versione all’altra. I log degli eventi sono preziosi peraltro non solo dal lato client: possono fornire prove importanti anche sui server Windows. Windows Search Engine (indicizzazione) in Vista Il motore di ricerca di Windows e le sue funzionalità di indicizzazione sono cambiati con l’introduzione di Vista. L’indicizzazione era già una funzionalità di Windows da oltre un decennio; dalla versione Vista, però, l’indicizzazione è attivata per impostazione predefinita, il che non è invece nelle versioni precedenti. L’indicizzazione permette la ricerca di numerosi tipi di file e può individuare i file in base ai loro metadati, a testo che contengono, o file dentro file (per esempio: un allegato a un messaggio di posta elettronica). Le ricerche effettuate dall’utente possono essere salvate, il che può essere utile in seguito a un investigatore. Le impostazioni di default per l’indicizzazione in Windows Vista e versioni successive costituiscono un vantaggio per gli investigatori che vogliono stabilire possesso, controllo e intenzione di un indagato. ReadyBoost e memoria fisica in Vista ReadyBoost è uno strumento introdotto con Vista, che consente all’utente di estendere la memoria virtuale di un sistema con l’uso di una unità USB. Lo scopo di ReadyBoost è aumentare la velocità del
computer e dei suoi processi. Quando si collega una unità USB, viene visualizzata l’opzione ReadyBoost (Figura 2.20).
Figura 2.20 La finestra di dialogo AutoPlay.
Va notato che, se è stato attivato ReadyBoost, tutti i dati memorizzati sul dispositivo USB sono stati cifrati con la crittografia AES-128. Advanced Encryption Standard (AES) è uno standard per la crittografia, utilizzato dal governo degli Stati Uniti. ReadyBoost è una funzionalità di cui un esaminatore deve essere a conoscenza, in particolare perché in tempi recenti i dispositivi di memoria USB si sono diffusi moltissimo, al punto da essere usati come estensione della memoria volatile del sistema e a partire da Vista sono cambiate anche le dimensioni di file per una unità USB. Metadati dei file
Come abbiamo già detto, i metadati costituiscono evidenze digitali importanti. In Vista, quando viene aperto un file, non viene aggiornata la data dell’ultimo accesso, come era invece nelle versioni precedenti di Windows. Lo ricordiamo: le date sono una fonte significativa di informazioni per gli investigatori. Per esempio, non basta trovare immagini proibite nel computer di una persona accusata di abusi su minori: l’accusa deve poter dimostrare l’intenzione, con informazioni accurate relative alle date e alle ore di accesso a quei file. Volume Shadow Copy Service Volume Shadow Copy Service è un’infrastruttura di backup per i volumi, sviluppata da Microsoft per Windows XP e Windows Server 2003. Esistono due tipi di “copie ombra”: (1) una copia completa (un clone) del volume e (2) copie dei soli cambiamenti apportati al volume. Vengono create due immagini dei dati con il volume originale, che ha capacità di lettura/scrittura, e il volume copia ombra, che è a sola lettura. Modifiche a livello di blocco si trovano nella cartella System Volume Information. Più avanti nel libro indicheremo alcuni usi più pratici della Volume Shadow Copy (VSC), quando parleremo di Network Forensics e risposta agli incidenti, nel Capitolo 7. Hyberfil.sys Hiberfil.sys è un file che contiene una copia dei contenuti della RAM ed è salvato sul disco rigido del computer quando quest’ultimo va in modalità “ibernazione”. Poiché il file Hyberfil.sys è un’immagine che rispecchia i contenuti della RAM, le sue dimensioni sono in generale pari a quelle della RAM: quando il computer viene riavviato, i contenuti di Hiberfil.sys vengono ricaricati nella RAM. Va ricordato che la RAM può essere di grande importanza per un investigatore forense, perché spesso contiene le ricerche in Internet, una
cronologia dei siti web visitati e altre informazioni preziose. Questo file si trova nella directory radice dell’unità disco in cui è installato il sistema operativo. Riepilogo di Vista Windows Vista può essere considerato più problematico per le indgini che coinvolgono l’uso di prove digitali. I problemi che si incontrano sono principalmente conseguenza dei miglioramenti apportati alla cifratura, attraverso l’Encrypted File System (EFS), la BitLocker Drive Encryption con il Trusted Platform Module (TPM) e la cifratura della posta elettronica in Windows Mail. Sembra che la Microsoft abbia cercato di alleggerire per l’utente molte attività di gestione associate al sistema operativo, come il ripristino dei file e la deframmentazione. D’altra parte, shadow copy e funzioni di ripristino dei file sono utili per gli esaminatori; l’introduzione della deframmentazione automatica invece pone nuovi problemi per il recupero dei dati.
Windows 7 Anche Windows 7 non è più supportato da Microsoft, tuttavia è bene parlarne perché un investigatore può ancora incontrare questo sistema operativo. Windows 7 è stato rilasciato nel luglio 2009. La versione a 32 bit richiede un minimo di 1 GB di RAM, quella a 64 bit ne richiede invece almeno 2 GB. Per la maggior parte delle versioni a 32 bit di Windows 7, esiste un limite alla memoria fisica (RAM di 4 GB). I cambiamenti avvenuti in Windows 7 non sono tanto grandi quanto quelli emersi con Windows Vista, ma Microsoft comunque ha abbracciato cambiamenti dell’ambiente tecnico che si manifestano con il perfezionamento dell’autenticazione biometrica, il backup dei file, l’aumento della memoria rimovibile e la diffusione degli schermi sensibili al tatto. Si può dire che i maggiori problemi che pone Windows
7 sono il backup di file in rete, la cifratura dei dispositivi USB mediante BitLocker To Go e le capacità di gestione degli schermi sensibili al tatto. Per gli esaminatori digitali forensi sono importanti anche i cambiamenti apportati ai registri del sistema operativo, perché è variata la posizione di molti di questi file. Biometrica Nella Digital Forensics, collegare un sospettato alle prove incriminanti è un aspetto sempre problematico. L’investigatore deve essere in grado di dimostrare che il sospettato aveva il controllo di un computer quando sono avvenuti la creazione, l’accesso, la modifica o la cancellazione dei file. L’uso dell’autenticazione biometrica quando si accede a un sistema è un modo in cui si può collegare un sospettato a una serie di eventi e alle “tracce” digitali associate, lasciate dall’utente. L’autenticazione biometrica è diversa in Windows 7, con l’introduzione del Windows Biometric Framework (WBF). Precedenti versioni del sistema operativo Windows potevano lavorare con dispositivi a impronte digitali: il produttore doveva fornire i propri driver, i software development kit (SDK) e le applicazioni. Windows 7 offre un supporto nativo per i dispositivi biometrici basati su impronte digitali mediante WBF, che non era presente, invece, nel predecessore, Windows Vista. JumpList Introdotte con Windows 7, le JumpList sono una funzionalità della barra delle applicazioni di Windows che consente all’utente di accedere rapidamente a file o azioni di uso recente. Un utente può anche configurare le impostazioni delle JumpList in base alle proprie preferenze personali. Dal punto di vista forense, le JumpList possono essere analizzate e le evidenze che se ne ottengono possono essere usate
per stabilire come un individuo abbia interagito con i file di un sistema. I file JumpList si trovano in: \Users\\AppData\Roaming\Microsoft\Windows\Recent\
Quando un utente apre un’applicazione o un file, le informazioni su quell’attività si possono trovare in: \Users\\AppData\Roaming\Microsoft\Windows\Recent\AutomaticDestinations-ms
A ogni file è associato un ID di applicazione (AppID). Per esempio, l’AppID per Microsoft Office PowerPoint x64 è d00655d2aa12ff6d e a0d6b1b874c6e9d2 è l’AppID per il browser Tor 6.0.2. Quando un utente aggiunge un file alla barra delle applicazioni o al menu Start, il file può essere trovato in: \Users\\AppData\Roaming\Microsoft\Windows\Recent\CustomDestinations-ms
Centro backup e ripristino È ben documentato che strumenti di imaging bit-stream come Autopsy, FTK, EnCase e X-Ways possono recuperare file che siano stati marcati per la cancellazione. Se un file non può essere recuperato o può esserlo solo in parte, un investigatore digitale forense può ricorrere alla ricerca di copie di backup. È importante quindi conoscere i cambiamenti che sono stati apportati al backup e al ripristino dei file in Windows 7. Cosa di particolare importanza, questo sistema operativo supporta i backup in uno spazio di rete condiviso o in una unità esterna. Si può accedere al Windows Backup and Restore Center (Centro backup e ripristino, vedi la Figura 2.21) attraverso la funzione di ricerca del menu Start o attraverso il Control Panel (Pannello di controllo). Il Centro backup e ripristino indica l’unità selezionata per il backup, la memoria disponibile, lo spazio utilizzato da Windows Backup e se il backup sia al momento attivo. Si può vedere come sia articolato lo spazio utilizzato scegliendo la voce Manage Space (Gestisci spazio) dalla finestra principale di Backup and Restore (Backup e ripristino). La funzione di backup consente di accedere ai file marcati per la
cancellazione nella precedente immagine del sistema e mostra esattamente quanto spazio utilizzi ciascuno dei componenti di backup. Dopo il primo backup, lo strumento copia solo i bit modificati nei file. Questo strumento offre anche una valutazione generale dello spazio che deve essere disponibile per il backup.
Figura 2.21 Il Backup and Restore Center (Centro backup e ripristino).
Windows Vista ha sostituito il Windows NT Backup Wizard, orientato alle unità a nastro, con un nuovo sistema di backup ottimizzato per i dischi esterni; alcune edizioni comprendevano anche strumenti di disaster recovery. Il backup e ripristino di Vista, però, non possedeva alcune funzionalità, per esempio quella di creare un disco di ambiente di recupero da cui avviare il sistema. Il backup di file e cartelle, al di là del backup dell’immagine di sistema, veniva eseguito con programmi diversi. Gli utenti della versione Home Premium che volevano creare un
backup dell’immagine dovevano acquistare un programma di terze parti. Windows 7 ha perfezionato le funzionalità di backup sviluppate per Vista e ha risolto quelle mancanze. L’obiettivo di Microsoft con il backup e ripristino di Windows 7 era fornire servizi di creazione di un’immagine usabile e servizi di backup per utenti di dischi esterni, unità DVD e condivisioni di rete senza ricorrere a soluzioni di terzi. A differenza di Vista, Windows 7 usa una medesima operazione di backup sia per i file sia per l’immagine. Ogni edizione di Windows 7 include il supporto per il backup di file e immagine e, a differenza di Windows XP, Windows 7 offre il disaster recovery, senza richiedere prima la reinstallazione del sistema operativo. Il backup di Windows 7 è stato progettato in modo da sfruttare le funzionalità avanzate di NTFS, che è il file system utilizzato di default da Windows XP, Vista e Windows 7. Quando si usa come target del backup una unità formattata NTFS, si possono creare backup pianificati che registrano i cambiamenti all’immagine del sistema e quelli ai singoli file. Inoltre il backup di Windows 7 viene effettuato solo su unità formattate NTFS. Windows 7 non incorpora il Removable Storage Service (RSS) utilizzato da NTBackup, lo strumento di backup di Windows 2000 e XP. Tuttavia, se il backup non risiede su nastro o su supporti rimovibili, l’utente può copiare i file di NTBackup nel sistema Windows 7 ed eseguire NTBackup per ripristinare i file direttamente in Windows 7. Per gli investigatori digitali forensi è importante sapere come viene effettuato il backup dei file, perché i dispositivi collegati possono contenere prove importanti e le autorizzazioni per l’accesso ai server di backup. Un decreto di perquisizione dell’autorità giudiziaria può essere determinante. Punti di ripristino
I punti di ripristino sono una caratteristica dei sistemi Windows da vari anni. Tuttavia, Windows 7 ha introdotto qualche cambiamento. A differenza di Vista, Windows 7 offre alcune opzioni per configurare l’opzione System Restore. Per esempio, l’utente può impedire che System Restore (Figura 2.22) effettui il backup del Registro, così che i punti di ripristino non consumino troppo spazio disco. Questo ha conseguenze per gli investigatori forensi, perché i file di Registro spesso sono una fonte importante di dati per le indagini. Inoltre, l’utente può eliminare tutti i punti di ripristino premendo il tasto Canc, e questo può ridurre la quantità di dati a disposizione degli investigatori.
Figura 2.22 System Restore.
Backup in una rete
Un investigatore digitale forense deve ricordare che, oltre che su dispositivi esterni, il sistema può effettuare il backup su una rete. Le versioni Starter, Home Basic e Home Premium di Windows 7 consentono il backup solo su unità locali, mentre le edizioni Professional, Ultimate ed Enterprise consentono anche quello in rete. Bisogna quindi pensare che i processi di immagine e di analisi del sistema possono includere anche dispositivi esterni e una rete, il che inciderà sulla formulazione di un decreto di perquisizione. BitLocker To Go BitLocker, introdotto con Windows Vista, è stato sviluppato per cifrare file e cartelle o addirittura un’intera unità disco; BitLocker To Go è uno strumento più perfezionato che ha fatto la prima comparsa in Windows 7. Ciò che lo distingue dal predecessore è il fatto che cifra dispositivi di memoria USB. File scritti su dispositivi USB cifrati con AES possono essere decifrati in versioni precedenti di Windows (XP e Vista). XP e Vista consentono un accesso in sola lettura finché i file non sono copiati su un’altra unità. L’applicazione BitLocker To Go Reader (bitlockertogo.exe) consente all’investigatore di vedere i file da una unità USB con XP o Vista. Va tenuto presente che la semplice rimozione del dispositivo attiva la cifratura. Questo ha conseguenze importanti per gli esaminatori forensi, perché chi ha commesso un reato può avere usato BitLocker To Go non semplicemente per cifrare il disco fisso, ma avere cifrato anche la memoria rimovibile associata, con lo stesso algoritmo. Un utente che vuole cifrare una unità disco deve fornire una “password robusta” oppure usare una smart card. Windows 7 consente di salvare la chiave per il recupero in un file o di stamparla (il che è utile per l’investigatore). COFEE (Computer Online Forensic Evidence Extractor) è uno strumento sviluppato da Microsoft, disponibile solo per le forze
dell’ordine, per lavorare su sistemi che eseguono BitLocker. Secondo Microsoft, “questo strumento pienamente personalizzabile consente agli agenti sulla scena di eseguire oltre 150 comandi su un sistema attivo”. Inoltre “fornisce rapporti in un formato semplice per la successiva interpretazione da parte di esperti o come prova a supporto di successive indagini e di un’incriminazione”. COFEE è stato sviluppato anche per Windows 7 ed è utilizzato dalle forze dell’ordine per lavorare con un sistema che esegua BitLocker To Go. Lo svantaggio principale è che il sistema deve essere già acceso; lo strumento non funziona se il computer è stato spento. Stabilire il possesso di un dispositivo USB Stabilire il possesso di un dispositivo di memoria USB può essere fondamentale per un investigatore forense. Cosa interessante, questi dispositivi lasciano un timestamp e altri metadati, quando vengono collegati a un sistema con Windows 7. Fra i metadati vi sono il numero di serie univoco o il codice di identificazione assegnato al dispositivo e quando il dispositivo è stato connesso per l’ultima volta a un computer. Non tutti questi dispositivi però lasciano una “firma”; per quelli che la lasciano, le forze dell’ordine possono collegarne uno al computer del sospettato. Le informazioni sui dispositivi USB si trovano nella chiave HKEY_LOCAL_MACHINE\System\CurrentControllerSet\Enum\USB del Registro. La Figura 2.23 mostra i contenuti di questo hive. I contenuti di questa chiave del Registro si possono analizzare con un’utility freeware, USBDeview, creata dalla NirSoft (www.nirsoft.net). In generale un esaminatore può stabilire il produttore del dispositivo attraverso il vendor ID, un identificatore univoco con il numero seriale visualizzato con l’ID del prodotto, che identifica marca e modello del dispositivo. Lo strumento può fornire informazioni sull’ultima occasione in cui il dispositivo è stato collegato a un computer. La Figura 2.24
illustra i vari tipi di dispositivi USB precedentemente connessi a un computer, mediante l’applicazione USBDeview.
Figura 2.23 Informazioni su unità USB.
Figura 2.24 USBDeview.
Touchscreen computing in Windows 7 La domanda di capacità di elaborazione per sistemi con schermi tattili è molto forte e il numero dei dispositivi touchscreen continuerà a crescere: li troviamo ovunque, dagli smartphone agli iPhone. Nell’aprile 2007, il CEO di Microsoft Steve Ballmer aveva sostenuto: “Non c’è alcuna possibilità che l’iPhone ottenga una quota di mercato significativa”. Ha cambiato idea poi, e nel 2009 ha sostenuto “Crediamo nel touch”. Windows 7 in effetti avrebbe poi integrato la tecnologia touchscreen. In precedenza, i sistemi operativi touchscreen nel mercato dei personal computer erano associati solo ai tablet PC. Il sistema operativo Windows 7 supporta il touchscreen in modo nativo, consentendo all’utente, per esempio, di spostare e ridimensionare le finestre delle applicazioni utilizzando schermi tattili. L’utente ora ha la possibilità di usare una tastiera simulata a schermo per scrivere le chiavi di ricerca in Internet o gli URL, o addirittura per disegnare le lettere. Non c’è dubbio che le prove relative alle comunicazioni in Internet siano di estrema importanza per le indagini criminali, ma l’integrazione di nuove funzionalità touchscreen in Windows 7 ha conseguenze notevoli per gli esaminatori forensi. Un investigatore non riuscirà a utilizzare un tradizionale keystroke logger, che si basa sull’input da tastiera: gli strumenti di Digital Forensics saranno ovviamente in grado di tracciare i siti visitati, ma catturare le informazioni di login e password (spesso ottenute con un keystroke logger) può essere problematico. Due hacker famosi, Alexey Ivanov e Vasiliy Gorshkov, sono stati condannati grazie a prove ottenuti dall’FBI mediante un keystroke logger. L’utente può usare le dita o una penna per scrivere, il che significa che può essere necessario eseguire un’analisi
della calligrafia e cercare impronte digitali sullo schermo del computer per trovare ciò che serve per dimostrare il possesso del sistema. Sticky Notes (Note adesive) Sticky Notes o Note adesive (Figura 2.25) sono una funzionalità di Windows 7, presente nelle edizioni Home Premium, Professional e Ultimate.
Figura 2.25 Una Sticky Note (Nota adesiva).
Le Note adesive erano già disponibili in Vista, ma con Windows 7 hanno acquisito funzionalità più avanzate, fra cui la possibilità di formattare il testo, di ridimensionare e di sfogliare le note aperte. Se l’utente usa una penna o uno schermo touch, le Note adesive consentono l’input con questi dispositivi. Le Note adesive possono contenere informazioni importanti per un caso, ma, cosa ancora più importante, possono aiutare l’investigatore a collocare il sospettato di fronte al computer e a dimostrarne possesso e controllo. A maggior ragione poi se il sospettato ha utilizzato una penna per compilare una nota: un esperto di analisi calligrafica potrebbe fornire una testimonianza che affianchi
quella dell’esaminatore digitale forense. I file delle Note adesive hanno estensione .snt e, per default, sono salvate nella posizione seguente: C:\Users\YourName\AppData\Roaming\Microsoft\Sticky Note
Un file .snt può essere aperto in Microsoft Word. Per un esame forense, però, è disponibile uno strumento commerciale, Structured Storage Extractor. Analisi del Registro in Windows 7 Come abbiamo già detto, il Registry (Registro) di Windows è al centro del sistema operativo e può essere una fonte molto importante di prove per un investigatore forense: conserva infatti le impostazioni e le opzioni per tutto il sistema. Anche se, visto mediante il normale Registry Editor (regedit.exe), il Registro sembra essere un unico database, è di fatto una collezione di file fortemente integrati. Quello che segue è l’elenco degli hive del Registro con i relativi percorsi di file in Windows 7. HKLM\System File path: C:\Windows\System32\config\SYSTEM HKLM\SAM File path: C:\Windows\System32\config\SAM HKLM\Security File path: C:\Windows\System32\config\SECURITY HKLM\Software File path: C:\Windows\System32\config\SOFTWARE HKU\User SID File path: C:\Users\ \NTUSER.DAT HKU\Default File path: C:\Windows\System32\config\DEFAULT
Questo è invece il percorso di file di HKLM\Components*: C:\Windows\System32\config\COMPONENTS
Il percorso di file di Usrclass.dat* è: C:\Users\\AppData\Local\Microsoft\Windows\usrclass.dat
Come Vista, anche Windows 7 non registra automaticamente la data dell’ultimo accesso al volume NTFS. Microsoft ha disabilitato per default l’aggiornamento per ridurre il sovraccarico per le prestazioni, ma questo ha privato gli esaminatori di una fonte molto importante di prove. Il valore da cui dipende questa impostazione si trova nella posizione seguente: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\FileSystem>NtfsDisableLastAcces sUpdate
Percorsi del Registro e file corrispondenti in Windows 7 Stabilire la sequenza degli eventi e creare una cronologia dell’uso del sistema operativo è fondamentale per un’indagine di Digital Forensics. Le chiavi del registro contengono informazioni relative agli eventi e l’indicazione relativa di data/ora del sistema. Oltre a stabilire data/ora del sistema, le voci del Registro possono dare all’esaminatore anche la data dell’ultima modifica (LastWrite) per le singole chiavi. Anche se non viene registrato il timestamp per tutti i valori, può essere comunque utile sapere che una chiave è stata modificata, in particolare quando possiede un unico valore. Inoltre, il timestamp della chiave del Registro può essere confrontato con altri timestamp nel sistema. Event Viewer in Windows 7 Quando un computer con Windows 7 si spegne in modo inaspettato, viene creato automaticamente un evento, che poi passa alla categoria degli Errori. Se si esaminano i metadati del log dell’evento, si ottiene l’indicazione di quando il sistema è stato spento. Un ulteriore log di evento, con un nuovo Event ID, viene creato quando il sistema si riavvia; il sistema documenta che si è verificato uno spegnimento imprevisto, a causa di una possibile caduta dell’alimentazione. Questo evento crea un timestamp univoco per il pulsante di accensione. Quando vengono modificati data e ora del sistema, viene creato un log di evento, con la denominazione di Security State Change; vengono registrati anche data e ora precedenti e le nuove. Questi metadati sono conservati in formato XML e la GUI dell’Event Viewer offre la possibilità di vederne i contenuti o in formato XML o in un formato testuale amichevole. È importante sapere come vengono registrate le modifiche di data/ora, perché un avvocato può mettere in dubbio i metodi di ricostruzione degli
eventi di un esaminatore. Gli eventi cambiano da un sistema operativo all’altro, e lo stesso vale per i metadati dei file. Browser web La versione americana di Windows 7 conteneva anche Internet Explorer 8. Questo browser ha introdotto un nuovo modo di visualizzare le pagine HTML del Web. È importante notare che Internet Explorer 8 ha introdotto cambiamenti sostanziali, che costituiscono nuove difficoltà per gli investigatori forensi. InPrivate Browsing, una funzionalità di Windows Internet Explorer 8 (Figura 2.26), aiuta a proteggere i dati e la privacy impedendo che il browser memorizzi o conservi localmente la cronologia di navigazione, i file temporanei Internet, i dati dei moduli, cookie e nomi utente/password, in modo che non rimangano tracce della cronologia di navigazione o di ricerca. Tuttavia, anche nelle sessioni di InPrivate Browsing, i file salvati sul disco rigido e i siti web aggiunti ai Preferiti dell’utente vengono conservati. Le migliori possibilità di recuperare evidenze forensi relative a Internet si hanno sempre con un sistema attivo, perché i file Internet e le informazioni sulle ricerche spesso sono conservati in RAM, che è memoria volatile. InPrivate Browsing ha conseguenze per l’analisi forense, perché vanno perse molte informazioni importanti per appurare le attività online di un sospettato. L’attività Internet è particolarmente importante nei casi di pedopornografia e di frodi online. Una sessione di InPrivate Browsing in Internet Explorer 8 può essere avviata dal menu Safety (Sicurezza) selezionando Start InPrivate Browsing da una pagina New Tab (Nuova scheda). Si apre una nuova finestra di Internet Explorer 9 con l’indicatore della navigazione InPrivate visualizzato a sinistra della barra degli indirizzi. Il comportamento del browser cambia solo per la sessione InPrivate: se l’utente ha aperta la finestra standard, la cronologia del browser viene memorizzata normalmente, mentre non
viene registrata l’attività all’interno della finestra in modalità InPrivate. Altri browser concorrenti, come Firefox e Chrome, hanno modalità di navigazione anonima (o in incognito) analoghe.
Figura 2.26 Navigazione in incognito: InPrivate con Internet Explorer.
Nel cercare attività Internet, bisogna ricordare che non solo possono esserci molti utenti, ma anche che uno stesso utente può avere più browser, fra i quali anche Tor. Questo è risultato particolarmente evidente nelle indagini su Casey Anthony. Gli investigatori hanno recuperato 17 ricerche vaghe collegate a Internet Explorer, ma non oltre 1200 ricerche in Google effettuate con Firefox, fra cui ricerche su “foolproof suffication”. Gli avvocati della difesa sapevano delle prove nel browser Firefox e sono rimasti sorpresi che non siano mai venute alla luce durante il processo.
Raggruppamento di file Windows 7 ha introdotto funzionalità più avanzate di “raccolta”, che consentono agli utenti di vedere tutti i loro file in una stessa posizione logica, anche se sono distribuiti ovunque in un PC o anche in una rete. La Figura 2.27 mostra la Pictures Library (la raccolta Immagini). A una cartella aggiunta a una raccolta è collegato un indice, che permette una ricerca più rapida, e può essere particolarmente utile per gli investigatori, che possono usare FTK per esaminare qualsiasi file corrispondente a un particolare indice. Per esempio, un funzionario addetto alla libertà vigilata che faccia un controllo a sorpresa nell’abitazione di un molestatore sessuale in libertà vigilata può utilizzare questa funzionalità per vedere rapidamente i file di immagini, anche se questa non può essere considerata una perquisizione forense. L’indicizzazione è un prerequisito perché una cartella possa essere aggiunta a una libreria. Si possono esaminare le posizioni indicizzate per stabilire le abitudini dell’utente. Sono registrate nella seguente chiave del Registro: HKLM\Software\Microsoft\Windows Search\CrawlScopeManager\Windows\SystemIndex\WorkingSetRules
Figura 2.27 Pictures Library (raccolta Immagini).
Windows Federated Search Windows Search 4.0 è stata introdotta come aggiornamento di Windows Vista. Tuttavia, l’introduzione delle Raccolte ha esteso l’utilità di questa funzione di ricerca. Alle Raccolte si può accedere in base a diversi criteri di metadati incapsulati nei file. La Microsoft ha introdotto Windows Federated Search, che consente a un utente di interrogare fonti di dati esterne, fra cui database e contenuti del Web, se supportano la tecnologia OpenSearch. Esistono file connettori di Search per molti siti web e molti servizi come YouTube e Google Photos. Il campo più importante nel file è il tag , perché permette di visualizzare i siti
web ricercati da un sospettato. Un esaminatore di Digital Forensics deve sapere che un sospettato può avere recuperato informazioni da Internet senza aprire un browser web, utilizzando le funzioni di ricerca di Federated Search. Nel caso di Windows 7, l’esaminatore deve osservare questi file connettori con estensione *.osdx per le ricerche nel Web. Si può sostenere che in tal caso il sospettato non avesse intenzione di accedere a contenuti Web. Ecco un esempio del contenuto di un file connettore:
Search deviations on DeviantArt.com true http://backend.deviantart.com false
{8FAF9629-1980-46FF-8023-9DCEAB9C3EE3}
Windows 8.1 La prima cosa che si nota a proposito di Windows 8 e 8.1 è il cambiamento dell’interfaccia utente. Per default, si è portati alla schermata Start, che ha una serie di riquadri, ciascuno dei quali rappresenta un’applicazione, come si vede nella Figura 2.28.
Figura 2.28 La schermata Start di Windows 8.
Il desktop non è più il punto di partenza predefinito dopo l’avvio iniziale del computer. Si può comunque accedere rapidamente al desktop dalla schermata Start facendo un clic sul riquadro Desktop. Come si vede nella Figura 2.29, il cambiamento più evidente è che non esiste un pulsante Windows Start nell’angolo inferiore sinistro dello schermo. Per accedere ad applicazioni e programmi o per modificare le impostazioni del computer, bisogna usare la schermata Start. L’interfaccia di Windows su un PC è simile a quella di un tablet su cui sia installato Windows 8, che a sua volta è simile a quella di uno smartphone con Windows (e lo stesso vale per la Xbox One). Questi dispositivi creano un ecosistema Windows, mentre un account Windows Live può rendere omogenea, senza soluzione di continuità, l’esperienza dell’utente sui vari dispositivi. Si tratta di una strategia simile a quella che aveva già creato con successo la Apple.
Figura 2.29 Il desktop di Windows .
Nuove applicazioni Con Windows 8 sono arrivate nuove applicazioni standard. Mail consente all’utente di combinare tutti gli account email in un’unica app. Video è un’app che consente di vedere film sul PC o di riprodurli su un apparecchio televisivo. L’app People (Contatti) consente agli utenti di comunicare con i propri contatti via email, Twitter, Facebook e altri servizi. Altre app di Windows 8 sono Maps, Games, Food + Drink, Weather, Sports, Health + Fitness, Travel, News. Molti dei cambiamenti apportati a Windows 8 rispecchiano il maggiore supporto degli schermi sensibili al tocco. Raccolta di prove Il Recycle Bin (Cestino) non ha visto grandi cambiamenti, anche se l’interfaccia è cambiata un po’. I file cancellati si trovano nella cartella $Recycle.Bin. Se l’investigatore vuole trovare informazioni sui dispositivi
USB connessi, non molto è cambiato: queste informazioni si possono recuperare con il Registry Editor esaminando la chiave HKEY_CURRENT_CONFIG\System\CurrentControlSet\Enum\USB (Figura 2.30). È possibile anche usare l’applicazione USBDeview e altro software forense, per esempio EnCase, per recuperare queste informazioni.
Figura 2.30 La cronologia delle connessioni USB nel Registry Editor.
Sicurezza in Windows 8.1 Un cambiamento importante in Windows 8/8.1 è la Picture Password (password grafica). Questa funzionalità consente a un utente di scegliere una foto per bloccare il computer. Il computer poi può essere sbloccato con una serie di gesti sullo schermo. Per esempio, un utente può decidere di disegnare due cerchi su una parte specifica della foto.
Windows 10 Windows 10 è stato rilasciato il 29 luglio 2015 per l’uso con personal computer. Ha introdotto l’idea di app universali: le app sul PC hanno lo
stesso “look and feel” delle app su altri dispositivi abilitati a Windows, come tablet, smartphone, Xbox e Surface. Microsoft ha introdotto il supporto per il riconoscimento facciale e mediante impronte digitali con Windows 10, ma anche varie altre funzionalità, fra cui le Notifiche, il browser Edge e Cortana. Notifiche Il centro delle Notifiche (Notifications) in Windows 10 consente ai programmi di visualizzare messaggi, che possono offrire prove preziose all’investigatore. Questi messaggi si possono recuperare, in formato XML, dal file appd.dat. Il file si trova in: \Users\\AppData\Local\Microsoft\Windows\Notifications
Il browser Edge Edge è stato introdotto con Windows 10 in sostituzione di Internet Explorer. La Microsoft sostiene che consuma meno energia dei concorrenti come Firefox e blocca un maggior numero di siti web di phishing come Chrome. A differenza di Internet Explorer, dove i file di navigazione erano memorizzati in index dat, tutto ciò che si riferisce alla navigazione, associato a Windows 10, è memorizzato nel file WebCacheV01.dat. I file della cronologia di navigazione per Internet Explorer (IE) e per Edge si possono trovare in: \Users\\AppData\Local\Microsoft\Windows\WebCache\
Cortana Cortana è un assistente digitale personale introdotto con Windows 8.1 e poi integrato con il sistema operativo desktop Windows 10. Cortana può cercare file, assistere con promemoria del calendario o usare l’intelligenza artificiale per rispondere a domande.
Come si può immaginare, domande e ricerche eseguite dall’utente e facilitate da Cortana possono essere preziose per un investigatore che cerchi di dimostrare che uno specifico utente stava operando al PC. L’evidenza relativa alle ricerche di Cortana è memorizzata in un formato di database Extensible Storage Engine (ESE). I due file associati con Cortana, IndexedDB.edb e CortanaCoreDb.dat, si trovano in queste posizioni: \Users\\AppData\Local\Packages\Microsoft.Windows.Cortana_xxxx\ AppData\Indexed DB\ \Users\ \AppData\Local\Packages\Microsoft.Windows.Cortana_xxxx\LocalState\ESEData base_CortanaCoreInstance\
Il primo database contiene dati relativi a informazioni indicizzate da Cortana, mentre il secondo contiene dati relativi all’interazione fra Cortana e l’utente. Per quanto riguarda il secondo database, i valori di tempo sono in formato Google Chrome Value. DCode (da Digital Detective), è una utility che può essere di aiuto nel calcolare questi valori di data e ora. Il CortanaCoreDb.dat è il file più prezioso, perché può fornire contatti, promemoria, allegati, georiferimenti (longitudine/latitudine) e altre informazioni importanti.
Microsoft Office 365 In tempi recenti, Microsoft ha spinto i consumatori ad adottare più servizi basati su abbonamento, come Xbox Live, OneDrive, Skype e Microsoft 365. L’esigenza dei consumatori di poter accedere ai documenti Microsoft Office dai loro dispositivi mobili, insieme alla necessità di maggiore spazio di memoria nel cloud, ha incoraggiato molti consumatori ad abbonarsi a Microsoft 365 e ad accedere senza soluzione di continuità ai propri file da molti dispositivi diversi. Gli investigatori perciò devono fare conto sempre più spesso su mandati (o decreti) di richiesta a Microsoft per ottenere file basati sul cloud e sulle relative prove.
Riepilogo Un sistema operativo deve gestire le risorse di un computer, compreso l’hardware. È importante sapere come funziona un sistema operativo, perché gran parte delle interazioni fra un utente e un computer possono essere visualizzate attraverso i cambiamenti al sistema operativo. Un esaminatore digitale forense incontrerà anche molti tipi diversi di file system su computer e supporti di memoria. Ogni file system ha caratteristiche diverse per quanto riguarda dimensioni dei file, metadati, cifratura e autorizzazioni. Il tipo di evidenze, il loro peso, l’accessibilità e la posizione varieranno a seconda del tipo di sistema operativo e di file system installati sul computer di un sospettato. Gli strumenti professionali di Digital Forensics in genere comprendono la possibilità di visualizzare i file in formato esadecimale, perciò è importante che un esaminatore sappia leggere il codice esadecimale. Questi strumenti inoltre presentano una visualizzazione fisica dei file memorizzati su un disco rigido, perciò è utile conoscere la disposizione fisica di un disco. Il Registro di Windows può fornire un grande quantità di evidenze utili per un investigatore forense. Gran parte dell’attività dell’utente, come l’installazione di un’applicazione o il login al sistema, può essere valutata attraverso un esame dei registri. I registri sono particolarmente importanti quando più utenti usano un computer e bisogna distinguere l’attività di un utente da quella di un altro. Windows Vista ha introdotto molti cambiamenti degni di nota ed è stato un allontanamento drastico dalle versioni precedenti del sistema operativo. Da notare che con l’uso di XPath sono disponibili il formato di file XML per gli eventi di sistema e capacità di interrogazione robuste. A volte un investigatore farà affidamento sui backup di file per la ricerca di prove e Volume Shadow Copy in Vista significa che la natura dei backup di file è cambiata. La sfida maggiore per un esaminatore forense che incontra un sistema su cui è installato Vista è
BitLocker, uno strumento usato per cifrare a livello di file, cartella o unità disco. Windows 7 ha introdotto nuove funzionalità, che sicuramente incideranno sulle investigazioni. Il sistema operativo ora supporta in modo nativo l’autenticazione biometrica e consente l’uso di un monitor touchscreen senza necessità di scaricare driver aggiuntivi. Windows 7 consente a un utente di effettuare il backup dell’immagine del sistema e dei file su una rete, e questa funzionalità già fa sospettare quali siano i probemi che aspetteranno poi gli investigatori, per esempio il cloud computing. Microsoft 365 ha conseguenze importanti per gli investigatori: l’abbonamento che l’utente sottoscrive fa sì che lo stesso file possa trovarsi su più dispositivi. L’abbonamento comprende anche servizi cloud sotto la forma di OneDrive. Pertanto, anche senza un PC o senza il dispositivo mobile di un sospettato, si può presentare alla Microsoft un mandato per ottenere prove presenti nel cloud. L’introduzione di Windows 10 presenta sfide e problemi per gli investigatori. Con la maggiore diffusione delle tecniche biometriche per l’accesso a un PC (riconoscimento facciale, impronte digitali) in teoria un giudice potrebbe costringere un sospettato a sbloccare un dispositivo con l’opportuna proprietà biometrica. D’altra parte, la giurisprudenza indica che un sospettato non può essere costretto a inserire una password o un PIN (Quinto Emendamento, per gli Stati Uniti; autoincriminazione). Con l’introduzione dell’assistente personale Cortana, esiste una nuova fonte di potenziali prove.
Glossario ACL (Access Control List, lista di controllo degli accessi). Una lista di autorizzazioni associate a un file, che indicano in dettaglio a quali utenti e a quali programmi è consentito l’accesso al file.
ADS (Alternate Data Stream, flusso di dati alternativo). Un insieme di attributi di un file. Advanced Encryption Standard (AES). Uno standard di crittografia approvato e utilizzato dal governo degli Stati Uniti. Bad sector. Un’area di un disco che non può più essere utilizzata per conservare dati. Basic Input/Output System (BIOS). Insieme di istruzioni che avvia un sistema operativo riconoscendo e inizializzando i dispositivi del sistema, compresi dischi rigidi, unità CD-ROM, tastiera, mouse, scheda video e altri ancora. Binario. Il linguaggio che i computer sono in grado di comprendere, e che fa uso di due soli simboli, 0 e 1. Bit. Una unità minima di informazione, che può assumere due soli valori, 1 (carica positiva) e 0 (carica negativa). Bootstrap. Il processo di esecuzione di un piccolo pezzo di codice per attivare altre parti del sistema operativo durante il processo di avvio. Il codice del processo di bootstrap è contenuto in un chip di ROM (memoria a sola lettura). Braccio attuatore. Il componente di un disco rigido che contiene la testina di lettura/scrittura, la quale modifica la magnetizzazione del disco nelle operazioni di scrittura. Byte. L’unità minima indirizzabile in memoria, costituita da otto bit. Carattere di controllo. Un carattere che inizia, modifica o conclude un’operazione e non è un simbolo scritto o stampabile. Cilindro. L’insieme delle tracce con lo stesso numero di traccia su tutti i piatti che costituiscono un disco rigido. COFEE (Computer Online Forensic Evidence Extractor). Uno strumento, sviluppato da Microsoft e disponibile esclusivamente alle forze dell’ordine, per lavorare su sistemi su cui è attivo BitLocker. Cluster. Una unità logica di memorizzazione su un disco rigido, costituita da più settori contigui.
Component Object Model (COM). Consente anche ai non programmatori di redigere script per gestire i sistemi operativi Windows. Compressione di file. Un processo che consente all’utente di ridurre il numero dei bit che costituiscono un file, il che a sua volta consente una trasmissione più rapida del file. Cortana. Un assistente personale digitale, introdotto con Windows 8.1 e in seguito integrato nel sistema operativo desktop Windows 10. Data Link Escape. Un carattere di controllo per le comunicazioni, che specifica che il carattere successivo non rappresenta dati ed è invece un codice di controllo. Deframmentazione. Il processo che permette di eliminare la frammentazione in un file system, in modo che i blocchi da 512 k che costituiscono uno stesso file siano vicini fra loro; in questo modo si ingrandiscono anche le aree di spazio libero sul disco. Dimensioni fisiche di un file. Lo spazio effettivamente utilizzato da un file su disco. Dimensioni logiche di un file. La quantità di dati conservati in un file. End of Sector Marker. Una struttura costituita da due byte, che si trova alla fine del Master Boot Record (MBR). Esadecimale. Un sistema di numerazione in base 16, che utilizza 16 simboli, cioè le cifre da 0 a 9 e le lettere da A a F. Evento. Una comunicazione fra un’applicazione e un’altra applicazione o un utente su un computer. Event Viewer. Un’applicazione Windows utilizzata per visualizzare i log degli eventi. FAT (File Allocation Table). Un file system sviluppato da Microsoft che utilizza una tabella per conservare le informazioni di dove sono memorizzati i file, dove è disponibile spazio di memoria e dove i file non possono essere memorizzati.
FAT12. Introdotta nel 1980, è stata la prima versione della FAT. È il file system che si trova sui floppy disks FAT16. Un file system a 16 bit, sviluppato per il sistema operativo MS-DOS. FAT32. Una versione a 32 bit della FAT che utilizza cluster di minori dimensioni, consentendo così un’utilizzazione più efficiente dello spazio. FAT64. Un file system, chiamato anche exFAT (Extended File Allocation Table), sviluppato da Microsoft. FATX. Un file system sviluppato per il disco rigido della console di videogiochi Xbox di Microsoft, e per le schede di memoria associate. File slack. Indica i byte che rimangono inutilizzati nell’ultimo settore di un file. File system. Una gerarchia di file e directory. Firma del disco (disk signature). Identifica il disco per il sistema operativo. FTK Imager. Uno strumento professionale di imaging bit-stream per la Digital Forensics, disponibile gratuitamente. Geometria del disco. La struttura di un disco rigido in termini di piatti, tracce e settori. Hex editor. Applicazione che consente a un esaminatore forense di visualizzare i contenuti completi di un file. Journal. Tiene traccia dei cambiamenti apportati ai file per poterli ripristinare in modo veloce ed efficiente in caso di guasto al sistema o di caduta dell’alimentazione. Journaling. Una funzionalità del file system che svolge il compito di registrare in un journal le modifiche apportate ai file. JumpList. Una funzionalità della barra delle applicazioni di Windows, che permette all’utente di accedere rapidamente a file o azioni utilizzati di recente.
Kernel. È la parte centrale del sistema operativo, che gestisce le comunicazioni fra applicazioni e dispositivi hardware, in particolare gestisce la memoria e il disco. Master Boot Code. Codice utilizzato dal BIOS per iniziare il processo di boot. Master Boot Record (MBR). Conserva le informazioni sulle partizioni di un disco, in particolare sul loro numero e la loro posizione; è coinvolto nel processo di boot. Master File Table (MFT). In NTFS, mantiene i metadati di file e cartelle, fra cui nome di file, data di creazione, posizione, dimensioni e autorizzazioni per ciascun file e cartella. Master Partition Table. Contiene descrizioni delle partizioni di un disco rigido. Nibble. Una cifra di un valore esadecimale (hex), corrispondente a 4 bit. NTFS (New Technology File System). File system sviluppato da Microsoft e introdotto con Windows NT. Pagefile.sys. Conserva frame di dati che sono stati trasferiti dalla RAM al disco rigido. File di paginazione (page file). L’area del disco rigido in cui viene conservata un’immagine della RAM. Partizione. Un’unità logica di memorizzazione su un disco. Perno (spindle). Posto al centro del disco, è alimentato da un motore e determina il moto di rotazione dei piatti. Prefetch file. Contiene informazioni su un’applicazione (eseguibile): quante volte e quando è stata eseguita. ROM (Read-Only Memory, memoria a sola lettura). Memoria non volatile, che di solito non è modificabile e viene utilizzata durante il processo di boot. ReadyBoost. Uno strumento introdotto con Windows Vista, che consente all’utente di estendere la memoria virtuale del sistema con
l’uso di una unità USB. Settore. In un disco magnetico, rappresenta 512 byte; in un disco ottico, rappresenta 2048 byte. ShellBag. Contiene le informazioni relative alle preferenze di visualizzazione dell’utente per Windows Explorer (Esplora file). ShimCache. Porzione di memoria che contiene la documentazione dei binari che sono stati eseguiti su un sistema e traccia gli eseguibili che sono stati visualizzati attraverso explorer.exe ma non sono stati eseguiti. Sistema operativo. L’insieme dei programmi che controllano e gestiscono l’hardware di un computer e le risorse del sistema. Spazio di memoria allocato. L’area di un volume in cui sono conservati file. Spazio di memoria non allocato. Lo spazio di memoria disponibile per la registrazione. SuperFetch. Una funzionalità introdotta con Windows Vista, che lavora con il servizio di gestione della memoria per migliorare le prestazioni, riducendo il tempo necessario per lanciare un’applicazione. Tracce. Le sottili fasce concentriche in cui è suddiviso un disco, a loro volta suddivise in settori, in cui sono memorizzati i dati. Unicode. Standard internazionale di codifica, che supporta varie lingue e sistemi di scrittura di tutto il mondo. Unified Extensible Firmware Interface (UEFI). Software che collega il firmware di un computer con il sistema operativo. Volume Shadow Copy Service. Una infrastruttura di backup per i volumi, sviluppata da Microsoft per Windows XP e Windows Server 2003. Windows. Una serie di sistemi operativi con un’interfaccia utente grafica (GUI), sviluppati da Microsoft. Windows Registry. (Registro di Windows). Un database gerarchico che conserva le informazioni sulla configurazione del sistema.
XML (Extensible Markup Language). Un linguaggio standardizzato, compatibile con l’uso in Internet. XPath (XML Path Language). Un potente linguaggio di interrogazione utilizzato per le ricerche nei documenti XML.
Valutazione Domande a risposta aperta 1. Perché è importante conoscere il sistema esadecimale? 2. In che modo il tipo di sistema operativo incide sul lavoro di un esaminatore di Computer Forensics? 3. Supponiamo che siate coinvolti nella risposta a un incidente e che vogliate scoprire che cosa un hacker abbia modificato su un computer. Quali file esaminereste e quali strumenti forensi utilizzereste?
Domande a risposta multipla 1. Quali dei valori seguenti si trovano nel sistema binario? A. B. C. D.
0o1 0–9, A–F 0–9 A–F
2. Quali dei valori seguenti si trovano nel sistema esadecimale? A. B. C. D.
0o1 0–9, A–F 0–9 A–F
3. Quanti bit rappresenta un nibble? A. B. C. D.
2 4 8 16
4. Quale delle affermazioni seguenti descrive nel modo migliore un braccio attuatore in un disco fisso? A. È un’area del disco che non può più essere utilizzata per memorizzare dati. B. È un disco circolare di alluminio, ceramica o vetro su cui i dati vengono registrati con metodi magnetici. C. Si trova al centro del disco, è alimentato da un motore ed è utilizzato per mettere in rotazione i piatti. D. Contiene una testina di lettura/scrittura che nelle operazioni di scrittura modifica la magnetizzazione del disco. 5. Qual è il nome della memoria non volatile che in genere non può essere modificata ed è coinvolta nel processo di boot? A. B. C. D.
RAM. Memoria flash. Partizione. ROM.
6. Quali degli oggetti seguenti hanno attinenza con il disco rigido in cui sono memorizzati magneticamente i file? A. B. C. D.
Cilindro. Attuatore. Perno. Piatto.
7. Quale dei seguenti file system è stato sviluppato per la Xbox?
A. B. C. D.
FAT12. FAT16. FAT32. FATX.
8. Quale dei seguenti contiene le autorizzazioni associate ai file? A. B. C. D.
Journal. Alternate Data Stream. Access Control List. BIOS.
9. Quale delle risposte seguenti descrive meglio le informazioni contenute nella MFT? A. B. C. D.
Metadati di file e cartelle. Compressione e cifratura dei file. Autorizzazioni dei file. Tutte le precedenti.
10. Quale fra le seguenti funzionalità di Windows consente all’utente di estendere la memoria virtuale mediante un dispositivo di memoria rimovibile? A. B. C. D.
BitLocker. Volume Shadow Copy. ReadyBoost. Backup and Restore (Backup e ripristino).
Completa le frasi 1. Un __________ può avere solo due valori: 1 o 0. 2. __________ è il sistema di numerazione in base 16, che usa come simboli le cifre da 0 a 9 e le lettere da A a F.
3. Un __________ è formato da otto bit ed è l’unità minima indirizzabile di memoria. 4. Il Master Boot __________ è utilizzato dal BIOS per avviare il processo di boot. 5. Il termine__________ si riferisce alla struttura di un disco rigido in termini di piatti, tracce e settori. 6. Il file system __________ è stato introdotto nel 1980 come prima versione della FAT ed è il file system che si trova sui floppy disk. 7. Il/lo __________ usa i cambiamenti tracciati relativi ai file per un ripristino veloce ed efficiente dei file stessi, in caso di guasto del sistema o caduta dell’alimentazione. 8. Il__________ è un database gerarchico che conserva informazioni di configurazione del sistema, ed è costituito da due tipi di elementi, chiavi e valori. 9. Il/la __________ è il processo con cui si elimina la frammentazione di un file system, in modo che i blocchi (512 k) che costituiscono uno stesso file vengano a trovarsi vicini e in modo da aumentare le aree di spazio libero su un disco. 10. __________ è un’applicazione Windows usata per visualizzare i log degli eventi.
Progetti Creazione di una guida per navigare nel Registro Scegliete un sistema operativo Windows, poi create una “guida per l’investigatore” alla navigazione nel Registro per quel sistema. Evidenziate in una tabella quelle che vi sembrano le chiavi più importanti, su cui l’investigatore deve concentrarsi.
Spiegazione del processo di boot Descrivete in dettaglio il processo che avviene quando si preme il pulsante di alimentazione su un personal computer per avviare un sistema. Utilizzo dell’Event Viewer Trovate un computer su cui siano installati Windows XP o una versione successiva. Utilizzando l’Event Viewer, documentate gli eventi che si sono verificati, mettendovi nella prospettiva di un investigatore. Spiegazione della memorizzazione di file Spiegate il processo che avviene quando si salva un documento di Word delle dimensioni di 1500 byte. Includete nella spiegazione come il computer memorizza fisicamente il file e i particolari del modo in cui il sistema operativo tiene traccia del nuovo file creato. Presentazione di prove da dispositivi USB Scaricate il programma gratuito USBDeview su un computer con sistema operativo Windows. Eseguite l’applicazione per stabilire i tipi di dispositivi USB che sono stati collegati al computer. Presentate il vostro rapporto nella forma indicata dal vostro istruttore. Risposta agli incidenti Scrivete una “guida per l’investigatore” presentando le funzionalità e i registri di file di un sistema Windows che possono contenere prove relative a una intrusione di rete. Pensate a come un investigatore potrebbe appurare se sia stato usato malware nell’eseguire un attacco a un computer client.
Capitolo 3
Gestione dell’hardware dei computer
Obiettivi Di seguito i temi principali che verranno affrontati nel corso di questo capitolo. L’importanza di saper riconoscere i diversi tipi di hardware dei computer. Le varie interfacce di disco che un investigatore può incontrare. I tipi di dispositivi utilizzati in ambito forense per estrarre dati da differenti dispositivi di memoria. I vari tipi di supporti di memoria utilizzati e come le relative evidenze devono essere gestite e analizzate. L’uso dei supporti di memoria in indagini effettive. Chi aspira a diventare un investigatore di Computer Forensics deve conoscere l’hardware dei computer, per vari motivi. Il primo è che certi tipi di sistemi e di hardware supportano solo determinati tipi di software (sistema operativo, file system, applicazioni). Per esempio, è importante sapere che i computer Macintosh basati su processori Intel possono supportare il sistema operativo macOS e i relativi file system APFS o HFS+ e che gli stessi computer possono supportare un sistema operativo Windows e il relativo file system NTFS, se è in esecuzione Boot Camp. Quest’ultima è una utility inclusa in macOS che consente a
un utente di installare ed eseguire un sistema operativo Windows su un Mac con processore Intel. Conoscere bene la varietà dell’hardware per computer è necessario anche perché bisogna sapere come i sistemi possono essere connessi a dispositivi esterni come router o unità disco esterne. Questi dispositivi spesso possono contenere prove digitali ed è possibile che debbano essere esaminati (se un decreto di perquisizione lo permette). L’investigatore potrebbe anche trovarsi nella necessità di ricostruire il computer e i suoi dispositivi, quando ritorna in laboratorio. Hardware, sistemi operativi e applicazioni determinano anche il tipo di strumenti di Computer Forensics necessari per acquisire evidenze da un sistema. Per esempio, il software BlackLight può essere più adatto per creare un’immagine (una strategia che vedremo meglio più avanti nel corso del capitolo) di un MacBook Pro con sistema operativo macOS, mentre per ottenere un’immagine di un computer con Windows si dovrà usare EnCase di Guidance Software. Sapere che su un computer gira Windows può non essere sempre sufficiente, però, perché la versione del sistema operativo può influire sulla decisione dell’investigatore in merito al tipo di software forense da utilizzare. Inoltre, il tipo di indagine determina il valore dei diversi tipi di prove e guida l’investigatore nella scelta dello strumento forense più adatto. Per esempio, nel caso di un supposto molestatore sessuale, un investigatore può scegliere di usare X-Ways Forensics, che ha una funzionalità particolarmente efficace di filtraggio per ricercare nelle immagini le tonalità di colore della pelle. Realisticamente, però, molte stazioni di polizia locali semplicemente non avranno le risorse finanziarie per acquistare tutta la gamma degli strumenti forensi e quindi non potranno permettersi il lusso di scegliere lo strumento più adatto, senza contare che, se anche potessero permettersi l’acquisto di questi strumenti, non
avrebbero modo di sostenere l’onere finanziario del training per supportarne l’uso. Programmare correttamente un’indagine è fondamentale. Di questo fa parte sapere quali siano i diversi hardware, come dischi rigidi e altri dispositivi, in modo da poter acquistare le apparecchiature adatte. Come vedremo in questo capitolo, molte delle connessioni e dei relativi hardware forensi non sono acquistabili in qualsiasi negozio di elettronica; gran parte dell’hardware forense è specializzato e si trova solo presso un numero molto limitato di fornitori. Infine, anche il modo in cui l’hardware viene maneggiato nel corso di un’indagine ha implicazioni legali. Le prove devono essere acquisite e gestite nel rispetto di procedure operative standard, conformi alle leggi vigenti nella giurisdizione in cui si opera. In ultima istanza, il processo con cui si sono acquisite le prove è importante tanto quanto le prove stesse.
Unità disco Nel Capitolo 2 abbiamo esaminato i componenti di una unità disco di un computer e abbiamo visto come i file vengano fisicamente salvati e recuperati. Dobbiamo però analizzare ora i vari tipi di interfacce per le unità disco che un investigatore forense può incontrare nel corso della sua attività.
Small Computer System Interface (SCSI) Small Computer System Interface (SCSI) è un protocollo sia per la connessione fisica dei dispositivi, sia per il trasferimento dei dati. Fra i dispositivi SCSI vi sono unità disco, unità a nastro, scanner e unità CD. È importante tenere presente che il termine SCSI si riferisce anche a un protocollo di comando. Lo sviluppo del protocollo SCSI, iniziato alla
Shugart Associates, si deve in gran parte a Larry Boucher. SCSI è stato sviluppato come protocollo indipendente per i dispositivi, in grado quindi di consentire a un medesimo dispositivo di funzionare sia collegato a un PC, sia collegato a un Apple Macintosh. I dispositivi SCSI possono essere collegati anche a sistemi UNIX. I vantaggi dell’uso dello SCSI non si limitano alla compatibilità con i vari sistemi, ma comprendono anche una maggiore velocità di trasferimento dei dati e in particolare la possibilità di collegare più dispositivi SCSI in cascata a una singola porta SCSI. Indagini forensi che coinvolgono SCSI Dal punto di vista di un investigatore, è importante sapere che esistono ancora computer che utilizzano dispositivi con connettori SCSI (Figura 3.1). Pertanto, nel vostro laboratorio avrete bisogno di disporre di sistemi meno recenti per poter collegare questi dispositivi e dovrete pensare anche ai driver opportuni da installare. Le interfacce SCSI per i dischi rigidi oggi non sono molto diffuse. Esistono comunque ancora dispositivi di imaging forense utilizzabili con dischi SCSI. Per esempio, il RoadMASSter 3 Mobile Computer Forensics Data Acquisition and Analysis Lab è un sistema che supporta l’interfaccia SCSI.
Figura 3.1 Un connettore SCSI.
Integrated Drive Electronics (IDE) Integrated Drive Electronics (IDE) indica una interfaccia, un connettore è un’unità di controllo, basati in gran parte sugli standard del PC IBM, per dispositivi come dischi rigidi, unità nastro e unità ottiche. L’unità di controllo (o drive) è incorporata nell’unità disco. L’unità di controllo disco facilita le comunicazioni fra l’unità centrale di elaborazione (Central Processing Unit, CPU) e i dischi rigidi o altre unità disco (Figura 3.2).
Figura 3.2 L’interfaccia IDE su un disco rigido.
L’interfaccia IDE è stata sviluppata da Western Digital; le prime unità IDE sono state installate su computer Compaq nel 1986. Quella versione iniziale di IDE si può trovare indicata anche con il nome ATA/ATAPI (Advanced Technology Attachment with Packet Interface). IDE e EIDE a posteriori sono stati chiamati Parallel ATA o PATA. La Western Digital in seguito, nel 1994, ha introdotto l’Enhanced IDE (EIDE). I connettori IDE ed EIDE di norma hanno 40 pin (ma ne esistono anche versioni a 80 pin) e il cavo di solito è largo 3,5 pollici (Figura 3.3).
Figura 3.3 Connettore IDE a 40 pin.
Serial ATA (SATA) Serial ATA è un’interfaccia che connette dispositivi come dischi rigidi ad adattatori di bus host. SATA consente velocità di trasferimento dati superiori a Parallel ATA (PATA). L’interfaccia SATA è stata introdotta nel 2003 e ha sostituito in gran parte i dispositivi EIDE; in generale, è l’interfaccia per dischi più comune che un investigatore può incontrare, su desktop come su laptop, su un iMac o un MacBook. La Figura 3.4 mostra un cavo dati SATA per computer desktop, server e laptop. Un cavo di alimentazione SATA ha un connettore più largo, a 15 pin, che si distingue per i fili rossi e neri (Figura 3.5).
Figura 3.4 Un cavo dati SATA.
Figura 3.5 Un cavo di alimentazione SATA.
In qualche indagine si potranno incontrare connessioni eSATA: anche queste devono quindi far parte della cassetta degli attrezzi per la Computer Forensics. eSATA è una variante di SATA utilizzata per le unità esterne (Figura 3.6).
Figura 3.6 Un connettore eSATA.
Le unità disco SATA possono avere dimensioni diverse. La Figura 3.7, per esempio, mostra una unità da 1,8 pollici. Nei laptop Dell D420 e Dell 430 se ne possono trovare di più piccole ancora, fabbricate per Dell da Toshiba. Per un investigatore, è importante sapere che il cavo ZIF (Figura 3.8) e l’adattatore sono oggetti molto specializzati, di difficile reperimento.
Figura 3.7 Un disco rigido Hitachi da 1,8 pollici.
Figura 3.8 Cavi ZIF.
Clonazione di un disco PATA o SATA Esistono due processi, utilizzati dagli esaminatori forensi, per creare una copia bit per bit di una unità disco. Il clone di un disco è una copia esatta di un disco e può essere usato come un backup per un disco rigido, perché è avviabile esattamente come l’originale. Un’immagine di disco è un file o un gruppo di file che contiene copie bit per bit di un disco rigido ma non si può usare per avviare un computer o per altre operazioni. Anche i file immagine possono essere diversi, perché possono essere compressi, mentre i cloni non lo sono. Quando si effettua una clonazione, viene trasferita bit per bit una copia in un secondo disco di dimensioni almeno pari a quelle dell’unità di partenza. Un’altra differenza è che per visualizzare i contenuti di file immagine servono software specializzati, come EnCase, X-Ways o FTK. In generale, il software di visualizzazione delle immagini di disco è di sola lettura e non è possibile aggiungere file. Esistono però anche alcune applicazioni che consentono la modifica dei file immagine: un esempio è WinHex, che è prodotta dalla X-Ways Forensics.
Clonazione di dispositivi La clonazione di un disco è un processo più rapido della creazione di un’immagine del disco. La differenza, in termini di tempo, è sostanziale. Perciò se un esaminatore forense deve lavorare in incognito o magari deve ottenere una copia di un disco e lasciare il computer dove si trova, la clonazione è più pratica. In media, la clonazione di un disco SATA richiede meno di un’ora. Ovviamente, il tempo di clonazione dipende
dalle dimensioni del disco e dall’apparecchiatura usata per la clonazione. Un dispositivo per la clonazione forense utilizzato nelle indagini è il Disk Jockey PRO Forensic Edition (Figura 3.9). Il dispositivo è writeprotected (protetto dalla scrittura) e consente all’utente di copiare direttamente da un disco SATA o IDE a un altro disco SATA o IDE. Write-protected significa che può copiare ciò che è memorizzato nel disco senza scrivere sul disco o sul volume.
Figura 3.9 Disk Jockey PRO Forensic Edition.
Prima dell’indagine, tutti i dischi di arrivo devono essere “sterilizzati”. Disk Jockey PRO ha una funzione che esegue una cancellazione sicura in sette passaggi, approvata dal Department of Defense (DoD). Quando un nuovo disco viene tolto dalla confezione, deve essere cancellato in modo sicuro, perché un avvocato potrebbe interrogare in proposito un investigatore forense. Più avanti, quando parleremo di ammissibilità delle prove, sottolineeremo quanto sia
importante stabilire protocolli per la gestione e l’esame delle prove, sulla scena del crimine e nel laboratorio forense, in modo da istituire buone pratiche inattaccabili da potenziali obiezioni. Altri dispositivi, come WipeMASSter Hard Disk Sanitizer della Intelligent Computer Solutions, sono usati solo per cancellare in modo sicuro i dischi. Prima di iniziare un’indagine, è utile anche identificare, se possibile, le specifiche (marca e modello) della macchina di un sospettato. Così l’investigatore potrà effettuare una ricerca per conoscere meglio il computer su cui dovrà lavorare e capire come rimuovere il disco. Può sembrare solo una questione di buon senso, ma smontare un disco da un laptop Dell Inspiron 6400 per clonarlo è un’operazione molto diversa che smontare il disco da un Dell Latitude D430. Sono molto diversi anche gli strumenti necessari per clonarli. Il disco di un Dell Inspiron 6400 si smonta abbastanza facilmente, poi lo si può connettere a due cavi SATA, per i dati e l’alimentazione. Nel caso di un laptop Dell Latitude D430 (o D420), bisogna togliere la batteria; poi bisogna staccare dal disco un cavo sottile e rimuovere un rivestimento di gomma. Per connettere il disco SATA da 1,8 pollici al Disk Jockey PRO, sono necessari uno speciale cavo ZIF, un adattatore ZIF e un cavo di interfaccia IDE, come si vede nella Figura 3.10. Se possibile, è bene cercare di stabilire anche quale sia il sistema operativo del computer da esaminare.
Figura 3.10 Clonazione di un disco con Disk Jockey PRO Forensic Edition.
Una semplice ricerca in Internet su come rimuovere il disco di un Dell 430 permette di trovare una documentazione utile (con tanto di foto) che la Dell ha reso disponibile online. In effetti, la Dell ha una pagina web per la maggior parte dei suoi modelli, in cui si spiega come rimuovere il disco. Per altri computer, i produttori forniscono documentazione analoga. Rimuovere il disco da un iMac è un processo abbastanza complesso, che richiede alcuni strumenti particolari. Apple fornisce istruzioni esaustive sulla rimozione dei dischi dagli iMac e anche in YouTube si trovano video utili. Anche il sito ifixit.com offre consigli utili per smontare Mac e PC. Ciononostante, inizialmente dovete fare riferimento alle linee guida interne della vostra agenzia per l’hardware e alle guide sulle buone pratiche di altre agenzie. Negli Stati Uniti, per esempio, il National Institute of Justice mette a disposizione varie guide per le buone pratiche. Disk Jockey PRO ha sia una funzione Disk Copy sia una funzione di clonazione Disk Copy (HPA). Un investigatore deve prima cercare di
usare la funzione di clonazione, che crea una copia del disco che include l’Host Protected Area (HPA). L’Host Protected Area (HPA) è una regione del disco che spesso contiene codice associato al BIOS per il boot e il ripristino. Le case costruttrici usano l’HPA per favorire il processo di ripristino e questa funzionalità elimina la necessità di un CD di ripristino creato dall’utente. Un investigatore deve provare a creare una copia di quest’area perché si sa che alcuni criminali hanno nascosto prove incriminanti proprio in questa regione del disco. A volte Disk Jockey PRO non è in grado di riconoscere e copiare l’HPA. Se sul display LCD di Disk Jockey PRO compare un messaggio, l’investigatore deve usare la funzione Disk Copy al posto della Disk Copy (HPA). In pratica: procedure operative standard per Disk Jockey PRO Preparazione 1. Collegate il nuovo disco sul lato destro del Disk Jockey etichettato Destination Disk. 2. Premete il pulsante POWER/START. Con DATA ERASE DoD selezionato, premete il pulsante POWER/START. Registrate questa azione, con data e ora, nelle note dell’indagine. Questo processo può richiedere anche due ore, a seconda delle dimensioni del disco che dovete “sterilizzare”. >L’indagine> In un’indagine reale, a questo punto avrete della documentazione cartacea da compilare, in particolare un modulo per la catena di custodia (vedete in proposito il Capitolo 6). 1. Rimuovete il disco dal computer del sospettato. Scattate una fotografia del computer, del numero di serie del computer e del disco, facendo bene attenzione a che nella foto si veda chiaramente il numero di serie del disco. 2. Rimosso il disco, accendete il computer del sospettato, poi premete F2 o F4 per accedere al BIOS (qualche computer richiede un tasto funzione diverso o una diversa combinazione di tasti). Quindi dovete trascrivere le informazioni del BIOS dal computer sul modulo opportuno (vedete il Capitolo 6). L’informazione più importante da registrare è l’ora di sistema del computer. Dovete poi prendere nota dell’ora effettiva (magari ricorrendo a un cellulare con l’ora precisa). Annotate le eventuali differenze nel rapporto investigativo.
3. Collegate il disco del sospettato sul lato sinistro del Disk Jockey, dove vedete la scritta Source Disk. 4. Connettete il vostro nuovo disco sterilizzato (harvest drive) a destra, dove vedete la scritta Destination Disk. Scattate una fotografia del disco di harvest. Confrontate la vostra situazione con quella della Figura 3.11.
Figura 3.11 Configurazione dei dischi connessi a Disk Jockey PRO. NOTA Se l’avete a dis pos izione, è bene collocare un tappetino di gom m a s otto il Dis k Jockey e s otto i due dis chi, per elim inare ogni pos s ibilità di interferenza elettrom agnetica.
5. Premete il pulsante POWER/START. Ruotate in senso orario il selettore Mode finché non visualizza DISK COPY (HPA), poi premete il pulsante POWER/START; confrontate il vostro display con la Figura 3.12. Registrate questa azione, con data e ora, nelle vostre note investigative. (Se viene visualizzato un messaggio d’errore, ripetete il passo 5, ma questa volta selezionate DISK COPY e poi premete il pulsante POWER/START.) 6. Quando il processo di clonazione è completo, Disk Jockey PRO si spegne automaticamente. A quel punto dovete registrare nelle vostre note investigative data e ora del momento in cui il processo si è concluso. 7. Collegate il disco di raccolta a un blocco forense per la scrittura, che poi deve essere collegato alla porta USB del vostro laptop. Poi accedete al disco per verificare che sia stata effettivamente creata una copia del disco del sospettato.
Figura 3.12 Inizializzazione del processo di copia del disco.
Dispositivi alternativi per la copia L’ImageMASSter Solo IV Forensic è un dispositivo molto più costoso di Disk Jockey PRO, ma ha la possibilità di creare un’immagine di due dispositivi simultaneamente. L’investigatore può scegliere fra un file Linux DD o un file immagine E01. Dischi a stato solido (SSD) Un disco a stato solido (Solid State Drive, SSD; Figura 3.13) è un dispositivo di memoria non volatile che si può trovare nei computer. A differenza di quel che accade per i dischi magnetici, i file su un SSD sono conservati in chip di memoria in una configurazione stazionaria di transistor e non su piatti metallici. In altre parole, un SSD non ha parti in movimento: né testine di lettura/scrittura né dischi rotanti. Per lo più gli SSD sono dispositivi a memoria flash NAND. È importante conoscere queste unità, perché sono sempre più diffuse: si trovano nei Chromebook, nei MacBook Air/Pro e in molti personal computer di produzione recente.
Figura 3.13 Un disco a stato solido (SSD, Solid State Drive).
In un SSD di memorie flash NAND a livello singolo (SLC), ogni cella contiene 1 bit; nelle flash NAND multilivello (MLC), ogni cella contiene due o più bit. Un MLC ha una densità superiore, ma in genere ha un maggiore consumo energetico di un SLC. Esistono più di 80 produttori di SSD, mentre sono solo pochi i produttori di dischi magnetici. Sono numerosi i produttori di controller che impongono requisiti produttivi diversi per gli SSD. Questo complica la vita di un investigatore forense: un SSD di un certo produttore può avere controller diversi con firmware diversi. Il firmware proprietario associato con il controller incide su garbage collection, cache, livello di usura, cifratura, compressione, rilevamento dei blocchi inutilizzabili e altro ancora. Considerate questo elenco di produttori di controller per SSD: Marvell; Hyperstone;
SandForce; Indilix; Phison; STEC; Fusion-io; Intel; Samsung. Per molti versi, le unità SSD sono un’alternativa più efficiente ai dischi magnetici, poiché sono più efficienti nell’uso dell’energia, consentono maggiore velocità nel salvataggio e nel recupero dei file e hanno una maggiore resistenza ai fattori ambientali, fra cui calore e vibrazioni. Gli SSD hanno però un problema di usura, cioè con il tempo le aree del supporto possono diventare inutilizzabili; si cerca di ridurre al minimo questo problema con una tecnica che prende il nome di wearleveling, ovvero “livellamento dell’usura”, alternando continuamente le aree utilizzate per conservare i dati. Dal punto di vista della memorizzazione dei file, le unità SSD sono molto diverse dai dischi magnetici e non usano i tradizionali settori da 512 byte. Per la Computer Forensics, recuperare file cancellati su un SSD è molto più difficile, in conseguenza del processo di garbage collection (alla lettera, “raccolta della spazzatura”), un processo di gestione della memoria che elimina i file non utilizzati per rendere disponibile più spazio. La garbage collection è abbastanza imprevidibile per gli SSD ed è particolarmente problematica dal punto di vista di un’analisi forense. I file memorizzati in un SSD possono subire cambiamenti senza preavviso, nonostante tutto l’impegno che può dedicare un esaminatore forense. La garbage collection e altre funzioni automatiche associate a un SSD fanno sì che, se si crea in modo corretto dal punto di vista forense un hash per un disco e poi se ne genera un altro, sullo stesso
disco, i due hash possono non coincidere, cosa che non avviene invece con un disco magnetico. A differenza di quel che accade con un disco magnetico, in un SSD i dati devono essere cancellati, prima che si verifichi una scrittura. Le scritture sono eseguite in blocchi di grandi dimensioni con latenza elevata. Un’altra differenza è che il sistema operativo non tiene traccia della posizione fisica dei file: a questo pensa il File Translation Layer (FTL), che mette in corrispondenza un indirizzo di blocco logico con un indirizzo di blocco fisico. TRIM è una funzione del sistema operativo che dice allo SSD quali blocchi non sono più utilizzati, e questo consente migliori prestazioni in scrittura. TRIM viene eseguito subito dopo lo svuotamento del Cestino. Tuttavia, bisogna notare un paio di cose importanti. In primo luogo, sono state sviluppate tecniche per impedire l’esecuzione della funzione TRIM e della garbage collection, tecniche che si possono trovare nella letteratura accademica recente. In secondo luogo oggi esistono molti casi, nell’ambito della Digital Forensics, in cui una copia di un volume non è esattamente identica a un’altra, sulla base dei processi di verifica MD5 o SHA-1. Questo dipende in gran parte dall’introduzione di memorie flash NAND, che sono più volatili, negli smartphone e nei dischi. Dalla giurisprudenza risulta comunque che queste prove sono ancora ammissibili. Random Access Memory (RAM) La RAM (Random Access Memory, memoria ad accesso casuale) è memoria volatile utilizzata per i processi in esecuzione nel computer. La Figura 3.14 mostra un esempio di banco di memoria RAM. Quando si toglie l’alimentazione al computer, in genere i contenuti della RAM vengono cancellati. Se un sistema è acceso, però, i contenuti della RAM possono fornire a un esaminatore forense una grande quantità di informazioni, fra cui le ricerche in Internet, i siti web visitati, in
qualche caso addirittura le password. Esistono numerosi strumenti forensi, fra cui Volatility, che possono effettuare la cattura (acquisizione) dei contenuti della RAM.
Figura 3.14 Chip di RAM.
Redundant Array of Independent Disks (RAID) Con il nome di Redundant Array of Independent (o Inexpensive) Disks (RAID) si indica un gruppo di due o più dischi coordinati fra loro per dare performance migliori e garantire una maggiore affidabilità attraverso la ridondanza (Figura 3.13).
Figura 3.15 RAID.
Nel caso di un RAID, “affidabilità” significa tolleranza ai guasti: se un componente di un sistema, una unità disco, ha un guasto, il sistema continua a operare. Questo tipo di affidabilità vale l’investimento, per molti sistemi critici in un’organizzazione. Più recentemente le organizzazioni hanno installato RAID per aumentare la capacità di memoria. Anche se un RAID contiene più dischi, il sistema operativo lo
vede come un unico disco logico, mediante l’uso di controller hardware. Dal punto di vista della Computer Forensics, è importante sapere che a un computer possono essere connessi più dischi, e che tutti hanno un valore come prova. Per un investigatore è importante notare l’ordine in cui ciascun disco è stato aggiunto al RAID e quale adattatore è collegato a quale disco, perché questo può essere fonte di confusione.
Memoria rimovibile Oggi è raro che un investigatore semplicemente sequestri un laptop e poi analizzi solo il disco di quel computer. L’investigatore deve tener conto anche del gran numero di dispositivi di memoria rimovibili, molto diffusi oggi per il loro basso costo. È importante considerare tutte le potenziali unità di memoria, quando si stende un mandato e si effettua una perquisizione. Bisogna sapere come questi dispositivi siano collegati al computer, comprendere le evidenze e sapere quali tipi di file possono essere memorizzati in questi dispositivi. Più facile a dirsi che a farsi, dato che le memorie rimovibili sono diventate più piccole e più varie, con maggiori capacità wireless. Questa sezione presenta alcuni consigli utili su come trattare le memorie rimovibili.
FireWire FireWire è la versione di Apple della IEEE 1394, uno standard di interfaccia a bus seriale per trasferimenti di dati ad alta velocità (Figura 3.16).
Figura 3.16 Cavi FireWire.
FireWire consente velocità di trasferimento dati superiori alle connessioni USB, che raggiungono i 400 Mbps (megabit per secondo). FireWire 400 (1394-1995) può trasferire dati fra dispositivi a velocità di 100, 200 o 400 megabit per secondo full duplex, e i cavi possono raggiungere una lunghezza di 14,8 piedi (4,5 metri). FireWire 800 (1394b-2002) può trasferire dati a velocità di 782.432 megabit per secondo full duplex. Apple, a cui si deve in gran parte lo sviluppo di FireWire, ha lentamente eliminato questo protocollo a favore della sua interfaccia Thunderbolt. Nel Capitolo 11, vedremo quanto può essere utile FireWire per acquisire un’immagine forense da un Apple Mac con un Apple Mac.
Flash drive USB Come abbiamo notato nel Capitolo 2, ogni volta che un dispositivo viene connesso a un computer, nel File Registry di Windows vengono
registrate informazioni su quel dispositivo. La Figura 3.17 mostra esattamente dove vengono registrate nel Registro le connessioni dei dispositivi USB. Queste voci del Registro sono importanti per visualizzare una cronologia dei dispositivi connessi a un computer. Ogni dispositivo USB ha un numero seriale, che viene registrato nella sottochiave per quel Registro USB. Che si possa accedere ai file su un dispositivo USB non è cosa da dare per scontata, però, perché molti di questi dispositivi incorporano utility particolari. Per esempio, i dispositivi USB Ironkey usano la cifratura AES a 256 bit per proteggere i file sul dispositivo. Questi dispositivi proteggono l’utente e l’organizzazione dal furto di proprietà intellettuale. Dopo una serie di tentativi di accedere al dispositivo che non vanno a buon fine, il dispositivo si riformatta automaticamente. Il file system che si trova nei dispositivi di memoria flash USB di solito è una versione di FAT, un file system che la maggior parte dei computer riconosce, anche se il dispositivo può essere formattato in modo da supportare altri file system.
Figura 3.17 Registry Editor (Editor del Registro di sistema).
Dischi esterni In generale esistono due tipi di unità disco esterne: un disco alimentato da USB e una unità esterna che usa l’interfaccia USB per il trasferimento dei dati e un adattatore per l’alimentazione. All’interno dell’involucro, di solito un investigatore trova un disco Serial ATA. Questo è importante da sapere, perché se è limitato il tempo a disposizione per acquisire prove o il disco esterno non può essere portato via, è probabilmente consigliabile rimuovere il disco dal suo contenitore. In questo modo, si può usare un dispositivo di clonazione per effettuare una copia del disco esterno. Se il disco non è rimosso dal suo contenitore esterno, bisogna creare l’immagine del disco con un dispositivo di blocco della scrittura collegato a un laptop. L’unità esterna Western Digital della Figura 3.18 alloggia un disco da 2,5 pollici. Una porta mini USB è utilizzata sia per l’alimentazione sia per il trasferimento di dati a un computer.
Figura 3.18 Una unità disco esterna Western Digital (WD).
In qualche caso non è possibile usare un dispositivo di clonazione, perciò un investigatore deve sempre portare con sé un write blocker (e anche un write blocker USB). Per creare un’immagine del disco e validarla, un investigatore può portare FTK Imager Lite o un altro strumento di imaging su una USB. Creare un’immagine di un disco da 250 GB, con FTK Imager Lite, può richiedere molte ore, mentre clonare lo stesso disco può richiedere circa 40 minuti. Quando si clona o si crea l’immagine di un disco, è un protocollo appropriato collocare i dischi sorgente e destinazione su un tappetino di plastica antistatico, per evitare ogni interferenza elettromagnetica. I dischi devono essere sempre trasportati in borse antistatiche. I dischi esterni oggi sono usati principalmente per i backup o come estensione della memoria del computer. Un esaminatore deve essere consapevole che un disco esterno può contenere vari file system, compresi NTFS (Windows) e APFS (Mac). Cosa ancora più
importante, se il disco esterno è connesso a un PC con Windows 10 ed è attiva la cifratura BitLocker, scollegare l’unità dal computer può rendere problematico in seguito decrittare il disco. In altre parole: pensateci bene prima di rimuovere un disco esterno collegato a un sistema acceso. Ovviamente, le unità esterne possono anche essere dischi eSATA. Le unità più recenti possono avere installato software per il backup del disco, magari in un servizio nel cloud. È importante controllare tutte le utility installate sul disco del sospettato e prendere nota di quali software di backup e altre utility per l’integrità dei dati possano essere presenti in una partizione separata.
MultiMedia Card (MMC) Una MultiMedia Card (MMC) è un dispositivo di memoria che è stato sviluppato da Siemens AG e SanDisk per l’uso in apparecchi portatili come le fotocamere. Le MMC non sono più molto diffuse come un tempo, perché sono state sostituite dalle schede SD (Secure Digital). Una MMC ha dimensioni standard di 24 × 32 × 1,4 mm. Le MultiMedia Card sostituivano le schede SmartMedia, sviluppate da Toshiba nel 1995, e avevano una capacità di 16-128 MB. Come si può vedere nella Figura 3.19, una scheda SmartMedia ha un aspetto molto simile a una scheda SD.
Figure 3.19 SmartMedia card.
Schede Secure Digital (SD) Una scheda Secure Digital (SD) è un dispositivo sviluppato per l’uso in apparecchi portatili come le fotocamere. L’associazione che ha sviluppato le schede SD e fissato lo standard per questo tipo di dispositivo è una joint venture fra Matsushita Electrical Industrial Co., Ltd. (Panasonic), SanDisk Corporation e Toshiba Corporation. Le dimensioni standard per una scheda SD sono 24 × 32 × 2,1 mm (Figura 3.20). Queste schede standard sono state usate spesso nelle fotocamere e anche molti laptop sono dotati di un lettore di schede SD. Sono state poste in commercio anche schede SDHC (Secure Digital High Capacity) che possono arrivare a una capacità di 32 GB. Più recentemente, sono state realizzate schede SDXC (Secure Digital eXtended Capacity), con capacità di 64 GB e oltre. Ora sono disponibili anche schede Micro SDXC con la capacità di 1 TB. Le schede Secure Digital sono formattate con il file system FAT32.
Figure 3.20 Una scheda Secure Digital.
Alcune schede SD sono abilitate al Wi-Fi, grazie a utility preinstallate. Alcune di queste utility possono inviare automaticamente foto a un dispositivo mobile, caricare file sui social media, o addirittura su un servizio cloud. In genere, se una scheda SD è abilitata al WiFi, questo è indicato da un logo sulla scheda stessa, ma non sempre. L’investigatore deve tenere presente che la scheda potrebbe avere capacità WiFi. Se durante un’indagine vi imbattete in una scheda SD, il protocollo corretto da seguire è attivare il commutatore di protezione contro la scrittura (se è presente sulla scheda), per impedire che nella memoria venga scritto qualsiasi dato. Ovviamente, l’investigatore userà un write blocker prima di esaminare qualsiasi memoria rimovibile, come una SD.
Una scheda miniSD è larga 20 mm e lunga 21,5 mm. Il formato microSD è stato sviluppato da SanDisk. Una scheda microSD può essere utilizzata in un lettore di schede SD standard mediante un adattatore. Le schede microSD si possono trovare a volte nei telefoni cellulari, perciò possono essere una fonte preziosa di prove. Molti dispositivi per la creazione dell’immagine o la clonazione di qualità forense non sono in grado di leggere i contenuti di una microSD, che dovrà quindi essere rimossa per poterne creare un’immagine separatamente. Schede CompactFlash (CF) Le CompactFlash (Figura 3.21) sono schede di memoria sviluppate da SanDisk per dispositivi portatili come le fotocamere. Possono avere due dimensioni diverse: (a) le Type I sono di 43 × 36 × 3,3 mm, (b) le Type II sono di 43 × 36 × 5 mm. Oggi le CompactFlash non sono diffuse quanto le schede SD, ma hanno un sistema di memorizzazione dei file molto efficiente e possono raggiungere una capacità di 1 TB.
Figure 3.21 Una scheda CompactFlash.
Memory Stick Le Memory Stick (Figura 3.22) sono schede di memoria di formato proprietario della Sony, introdotte nel 1998. A differenza di molti altri produttori di memorie flash, Sony produceva molti dei dispositivi
elettronici che supportavano le sue schede di memoria (televisori, laptop, telefoni cellulari, fotocamere, videoregistratori, console di gioco, riproduttori di MP3 e altro ancora). La Memory Stick originale è stata sostituita dalla più capiente Memory Stick PRO nel 2003. Le schede della serie PRO utilizzavano come file system FAT12, FAT16 e FAT32. La Memory Stick Duo era una scheda di memoria più piccola, sviluppata per i dispositivi palmari. Sono state sviluppate anche altre versioni di Memory Stick per aumentarne la capacità di memoria e supportare il video ad alta definizione. La serie Memory Stick XC (Extended High Capacity) è stata realizzata da Sony e SanDisk. Queste schede di memoria possono arrivare alla capacità di 2 TB. La serie XC usa il file system exFAT (FAT64) e consente velocità di trasferimento dati che possono raggiungere fra i 160 e i 480 Mbps, a seconda del modello. La cosa importante da tenere presente, per gli investigatori, è che, se un sospettato possiede prodotti Sony, è possibile che in questi dispositivi siano presenti Memory Stick. Per esempio, un televisore Sony può avere inserita una scheda Memory Stick, che probabilmente contiene file caricati da un computer.
Figure 3.22 Memory Stick.
xD Picture Card Introdotte nel 2002, le xD (Extreme Digital) Picture Card erano state sviluppate da Olympus e Fujifilm per le fotocamere digitali e per alcuni registratori vocali. Queste schede di memoria sono state poi progressivamente abbandonate da Olympus e Fujifilm, a favore delle più diffuse schede SD. Hardware per la lettura di memorie flash Esistono vari metodi per esaminare in modo sicuro i contenuti delle schede di memoria flash. Uno strumento è lo UltraBlock Forensic Card Reader and Writer di Digital Intelligence (Figura 3.23). Questo dispositivo si collega a un computer mediante la porta USB (2.0 o 1.0) e può leggere questi supporti:
CompactFlash; MicroDrive; Memory Stick; Memory Stick PRO; Smart Media Card; xD Picture Card; Secure Digital Card (SD e SDHC); MultiMediaCard. Oltre a un write blocker USB, si può usare un normale lettore di memory card, per essere sicuri che i dati siano visualizzati in modo corretto dal punto di vista forense. Un write blocker è un dispositivo hardware che consente di leggere dati da un dispositivo, per esempio un disco rigido, senza scrivere su quel dispositivo. Un investigatore può collegare un lettore di media card a UltraBlock USB Write Blocker di Digital Intelligence, che sarà connesso a un computer, sul quale i contenuti della media card potranno essere visualizzati o acquisiti.
Figure 3.23 UltraBlock Forensic Card Reader and Writer. In pratica: leggere i contenuti di una scheda SD (Secure Digital) Se non avete a disposizione dispositivi di blocco contro la scrittura, potete usare un altro metodo, ma solo come ultima spiaggia. Trovate un laptop che abbia a bordo un lettore di schede Secure Digital, oppure un computer e un lettore di schede. Poi seguite questo procedimento. 1. Lanciate l’applicazione FTK Imager. 2. Sulla scheda Secure Digital, spostate il commutatore di protezione nella posizione di blocco (Lock), come si vede nella Figura 3.24. 3. Inserite la scheda SD nel lettore di schede. Se non usate un lettore separato, inserite semplicemente la SD nella fessura prevista per queste schede nel vostro computer. 4. Fate clic su File e poi su Add Evidence Item.
Figura 3.24 Una scheda Secure Digital con il blocco attivato. 5. Nella finestra di dialogo Select Source che viene presentata, selezionate l’opzione Physical Drive, fate clic su Next. 6. Fate clic sul menu a discesa, poi selezionate l’unità Secure Digital. 7. Fate clic su Finish. 8. Nell’albero delle evidenze, fate clic per espandere l’unità fisica fino a trovare la cartella con il nome DCIM. Questa è la cartella che conterrà le fotografie che avete scattato. Notate che il file system della scheda SD è FAT32. 9. Fate clic su File e poi su Exit.
Compact Disc (CD) Un Compact Disc (CD), o disco ottico, è un disco di policarbonato rivestito con uno o più strati metallici, utilizzato per memorizzare dati in forma digitale. Un CD di solito ha uno spessore di 1,2 mm e un peso di 15-20 grammi. In genere per la superficie metallica viene utilizzato l’alluminio. I dati sono scritti sul disco e letti dal disco mediante un
laser. Il laser che scrive i dati sul disco raggiunge una temperatura compresa fra i 500 e i 700 gradi. Poiché la scrittura avviene mediante laser, i CD non sono vulnerabili alle cariche elettromagnetiche. Le alte temperature del laser in scrittura provocano la fusione della lega metallica in un punto molto preciso, le cui proprietà di riflessione cambiano. I land sono le zone riflessive, i pit le zone che riflettono di meno la luce (e sono quelle non fuse dal laser). Le differenze di capacità riflettente delle superfici si traducono nei due valori binari (0, 1). I CD sono stati sviluppati inizialmente dalla Sony e dalla Philips per la registrazione e la riproduzione di file audio; in seguito sono stati sviluppati i CD-ROM per la registrazione di dati. Un CD-R consente la scrittura di dati per una sola volta, perciò per trattare questo tipo di CD in modo corretto dal punto di vista forense non è necessario un dispositivo di blocco contro la scrittura. Un CD-RW, invece, consente di scrivere dati più volte. Un CD standard oggi in genere ha una capacità di 700 MB. ISO 9660, introdotto nel 1988, è lo standard per i dischi ottici e il loro file system; è chiamato anche CDFS (Compact Disc File System), ed è stato creato in modo da supportare diversi sistemi operativi, come Windows e macOS. Altri file system che possono essere supportati dai CD sono Joliet, UDF, HSG, HFS e HFS+. Joliet ammette nomi di file più lunghi, che sono associati a versioni più recenti di Windows. Poiché su un CD possono esistere altri file system, è importante ricordare che un CD usato in un computer Windows può risultare non valido se sul disco risiede un file system HFS+. Questo significa che possono essere necessari strumenti specializzati per accedere ai file conservati su un CD. IsoBuster, per esempio, è uno strumento per il recupero di dati da CD, DVD e Blu-ray. CD/DVD Inspector di InfinaDyne è uno strumento specializzato per l’acquisizione forense di
file da CD e DVD. Va notato che sul disco rigido del computer di un sospettato, o su qualche altro dispositivo di memoria, può essere salvato un file .iso, che è un’immagine di un disco ottico. La International Standardization Organization (ISO), che ha sede a Ginevra, in Svizzera, ha creato questo standard per facilitare l’uso di CD su computer Windows, Macintosh e UNIX. I frame sono costituiti da 24 byte e sono l’unità di memoria più piccola in un CD-ROM. In un CD-ROM un settore è costituito da 98 frame (2352 byte). Compact Disc–Rewritable (CD-RW) Un CD-RW di solito può contenere meno dati di un CD (570 MB invece di 700 MB). Una traccia in un compact disc è un gruppo di settori che vengono scritti contemporaneamente. Una sessione è un gruppo di tracce registrate contemporaneamente. La Table of Contents (TOC) o indice registra la posizione dell’indirizzo di inizio, il numero della sessione e le informazioni sulla traccia (musica o video). Ogni sessione contiene una TOC. Se la TOC non può essere letta dal lettore di CD-ROM del computer, il disco non verrà riconosciuto. Una cancellazione totale di un CD-RW cancella tutti i dati, mentre una cancellazione rapida elimina solamente tutti i riferimenti alle tracce e alle sessioni, lasciando inalterati pit e land; il CD comunque non verrà riconosciuto, in conseguenza delll’eliminazione delle sessioni. CnW Recovery è uno strumento che può recuperare dal disco i dati, anche se è stato effettuato un processo di cancellazione rapida. Se è stata effettuata invece una cancellazione completa, i dati di un CD-RW non possono essere recuperati. Il caso: lo Stato del Connecticut contro John Kaminski Nel 2004, John Kaminski è stato interrogato dalla polizia di New Britain, in Connecticut, in seguito a una denuncia per abusi sessuali su una ragazza di 14 anni. Dopo aver ottenuto un mandato di perquisizione per l’abitazione di Kaminski, la polizia ha sequestrato il suo computer, la sua fotocamera digitale e una serie di
compact disc. È risultato subito chiaro che Kaminski aveva cancellato dal disco rigido del computer una quantità notevole di materiale, e aveva cancellato anche i CD che erano stati sequestrati. Il sospettato aveva effettuato una cancellazione rapida del disco CD-RW. In questo caso particolare, gli investigatori sono riusciti a creare un nuovo CD e a recuperare le prove dal CD-RW del sospettato. Hanno utilizzato CD Creator di Adaptec per avviare il processo di masterizzzazione e creare una nuova sessione sul lead-in (l’area per la TOC) del disco. Il processo di masterizzazione è stato poi interrotto subito dopo la creazione della TOC. Con la creazione di una nuova sessione, è stato poi possibile leggere i contenuti del CDRW. Ovviamente, non è stato condotto alcun esperimento direttamente sul disco del sospettato. Nel processo di ricostruzione è stata utilizzata una copia del disco. È importante sapere che, in questo come in molti altri casi, sono stati condotti molti test scientifici per essere sicuri che il processo di masterizzazione del CD finalizzato a rendere riconoscibili i dati del CD-RW non avesse modificato altri dati conservati sul disco. Condurre test per dimostrare che i risultati sono coerenti è estremamente importante, per essere sicuri che le prove non possano essere messe in dubbio dagli avvocati della difesa. Nel caso specifico, il CD-RW ricostruito conteneva sei video di Kaminski mentre abusava sessualmente e torturava tre minori che erano stati drogati. Messo di fronte a queste prove, Kaminski ha patteggiato ed è stato condannato a 50 anni di carcere.
DVD Un Digital Video (o Versatile) Disc (DVD) è un disco ottico con una grande capacità di memoria, sviluppato da Philips, Sony, Toshiba e Time Warner. Un DVD a faccia singola in generale ha una capacità di 4,7 GB. Altri formati di DVD hanno capacità anche superiori ai 17 GB di dati. Questa elevata capacità li rende ideali per i file video, che sono spesso molto grandi. Un lettore di DVD usa un laser rosso (da 650 nanometri [nm]) per leggere i dati dal disco. Blu-ray Disc Un Blu-ray Disc (BD) è un disco ottico a elevata capacità che può essere utilizzato per memorizzare video ad alta definizione. Un disco single-layer (a strato singolo) ha una capacità di 25 GB, mentre un
disco dual-layer (a doppio strato) può ospitare fino a 50 GB di dati. Esistono anche dischi 3D Blu-ray e i relativi lettori. Un aggiornamento del firmware della PlayStation 3 di Sony consente la riproduzione anche di 3D Blu-ray. Il nome di questo supporto deriva dal colore del laser (blu a 405 nanometri) utilizzato per la lettura dei dischi. La Bluray Disc Association (www.blu-raydisc.com) ha sviluppato e mantiene gli standard per questi dischi ottici. Dal punto di vista forense, i dischi Blu-ray hanno un valore limitato, perché sia i masterizzatori sia i dischi registrabili hanno costi proibitivi per il consumatore medio. È molto più probabile che un sospettato conservi i video su un disco rigido o che li masterizzi su un DVD. Esistono comunque differenti formati di dischi registrabili: un BD-R disc permette un’unica operazione di scrittura, mentre un BD-RE può essere utilizzato per più registrazioni. Aziende come Digital Forensics Systems producono dispositivi per la creazione di immagini di CD, DVD e BD e la loro analisi. Floppy disk I floppy disk sono stati sostituiti da altri supporti di memoria, ma non è escluso che un investigatore li possa ancora incontrare. Un floppy disk è un disco di plastica sottile e flessibile, alloggiato in un contenitore di plastica rigida. La registrazione dei dati è di tipo magnetico. Storicamente, questi dischetti sono stati prodotti in dimensioni diverse: 8 pollici (Figura 3.25), 5 pollici e 1/4, 3 pollici e 1/2 (Figura 3.26). Inizialmente, erano usati per memorizzare il sistema operativo; in seguito sono stati utilizzati per la memorizzazione di file qualsiasi. Il disco da 3 pollici e 1/2 è stato introdotto nel 1987 e la sua capacità andava dai 720 kB a 1,4 MB. Il lettore di floppy disk è stato un’invenzione di IBM, per scrivere e leggere dati su questi dischetti.
Figura 3.25 Un floppy disk da 8 pollici.
Figura 3.26 Un floppy disk da 3 pollici e 1/2.
I floppy disk sono stati completamente sostituiti da memorie flash, dischi ottici e dischi rigidi esterni. Se durante un’indagine un investigatore si imbatte in qualche floppy disk, nella maggior parte dei casi si tratterà di dischetti del formato da 1440 kB, compatibile con i PC. I floppy disk sono formattati con il file system FAT12. Tutti questi dischi hanno solo uno o due cluster. Si può creare un’immagine forense di un floppy disk con il seguente comando Linux: # dd if=/dev/fd0 of=/evidence/floppy1.img bs=512
In questo comando, /dev/fd0 indica l’unità a floppy disk; bs=512 specifica che la block size (bs), ovvero la dimensione dei blocchi, è di 512 byte.
Ovviamente, prima di inserire un dischetto, bisogna assicurarsi che sia protetto contro la scrittura. Bisogna poi effettuare una copia bit per bit e conservare il dischetto originale in un armadietto per le prove, lontano da ogni potenziale interferenza magnetica. Per vedere i file sul disco, si può usare il comando: # ls /dev/fd0
Il caso: il BTK Killer Fra il 1974 e il 1991, il BTK (bind, torture, kill, ovvero “lega, tortura, uccidi”) Killer ha ucciso dieci persone. Per molti anni la polizia non è riuscita a risalire all’identità del killer, poi nel 2004 sono stati inviati ai media locali lettere e pacchetti, alcuni dei quali contenevano oggetti appartenuti alle vittime. Una scatola di cereali contenente oggetti appartenenti a una vittima era stata lasciata sul pianale di un pickup nel parcheggio di uno Home Depot. Il proprietario del veicolo aveva buttato la scatola senza guardare che cosa contenesse. Quando il killer, ancora non identificato, ha chiesto ai media notizie del pacchetto, nessuno ne aveva alcuna notizia. Il killer è tornato nel parcheggio e ha recuperato la scatola dalla spazzatura, e questo è stato l’errore fatale, perché poi la polizia, esaminando i video delle telecamere di sorveglianza, ha potuto identificare il sospettato con una Jeep Cherokee nera nel parcheggio di Home Depot come la persona che aveva recuperato la scatola di cereali. Il BTK Killer ha poi chiesto alla polizia se fosse in grado di identificare il proprietario di un computer, se questi avesse inviato un floppy disk; la polizia ha risposto, dalle colonne del Wichita Eagle Newspaper, che sarebbe stato possibile. La polizia ha ricevuto poi un dischetto Memorex viola traslucido da 1.44 MB, che è stato analizzato con EnCase della Guidance Software. L’investigatore che seguiva il caso era Randy Stone, veterano di Desert Storm, allora trentanovenne, che faceva parte della Forensic Computer Crime Unit della polizia di Wichita: Stone ha condotto l’analisi del dischetto, sul quale ha trovato un file con il nome Test A.rtf. I metadati del documento identificavano come autore “Dennis” e davano anche l’indicazione “Wichita’s Christ Lutheran Church”. Una ricerca in Internet con le parole chiave “Lutheran Church Wichita Dennis” ha dato come risultato “Dennis Rader, Lutheran Deacon”. La polizia ha iniziato a sorvegliare Dennis Rader e ha scoperto una Jeep Cherokee di colore nero parcheggiata all’esterno della sua abitazione: era lo stesso veicolo identificato dai video di sorveglianza di Home Depot. La polizia ha potuto accedere al pap-test della figlia di Rader, attraverso la clinica medica dell’Università del Kansas, e il suo DNA corrispondeva al DNA trovato sotto le unghie di una delle vittime del BTK Killer.
Sono stati necessari molti anni per catturare il killer, per mancanza di prove e perché il profilo che era stato tracciato del serial killer non era stato d’aiuto: Rader era padre, era una guida Scout ed era presidente del Consiglio della Congregazione presso la Zion Lutheran Church. Le prove digitali sono state fondamentali per il caso. Rader è stato arrestato infine nel 2005 e nel giugno di quell’anno si è dichiarato colpevole ed è stato condannato a dieci ergastoli consecutivi per i dieci omicidi. Non è stato condannato a morte perché gli omicidi erano stati commessi prima dell’introduzione della pena di morte nel 1994. È stato recluso nel carcere di El Dorado.
Dischi Zip Un disco Zip è un supporto di memoria rimovibile, sviluppato da Iomega agli inizi degli anni Novanta. I dischi Zip in origine avevano una capacità di 100 MB, in seguito aumentata a 750 MB. Sono stati introdotti come alternativa di grande capacità ai floppy disk. I lettori di dischi Zip possono essere unità interne o esterne. Queste unità e i relativi dischi sono stati del tutto sostituiti dai CD e dai dispositivi di memoria flash, di dimensioni fisiche minori e di maggiore capacità. Nastro magnetico Il nastro magnetico è una sottile striscia con un rivestimento magnetico, utilizzata per memorizzare audio, video e dati. Poiché la registrazione dei dati è di tipo magnetico, un investigatore deve stare molto attento a tenere i nastri lontani da tutte le possibili sorgenti magnetiche. I nastri magnetici hanno una caratteristica peculiare: per la riproduzione e il recupero, i dati devono essere letti linearmente, cioè dall’inizio verso la fine del nastro. Questo fa sì che il processo di acquisizione di dati dal nastro richieda molto tempo. L’uso di nastri audio nelle indagini è molto meno importante oggi di quanto non fosse un tempo, e lo stesso vale per i nastri video usati nei videoregistratori (VCR).
Nastro magnetico (per i dati) La creazione di immagini e l’analisi forense dei nastri magnetici (Figura 3.27) utilizzati per la conservazione dei dati sui server sono problematiche. Esistono molti sistemi di server proprietari, il che rende impossibile una soluzione unica. Si può condurre un’analisi della superficie fisica mediante un processo complicato, denominato microscopia a forza magnetica, per scoprire dati cancellati o sovrascritti.
Figura 3.27 Nastro magnetico per la memorizzazione di dati.
In generale, sul nastro magnetico i dati sono registrati a blocchi. Si può accedere ai dati a livello di blocco con il comando dd. Nelle indagini di Digital Forensics, dd è un comando UNIX che produce un’immagine grezza di un supporto di memoria, come un disco rigido o
un nastro magnetico, in modo corretto dal punto di vista forense. Il comando fa sì che l’immagine venga copiata su un disco rigido, che rende possibili funzioni di ricerca migliori. Un nastro magnetico non ha un file system gerarchico, perché i dati sono memorizzati sequenzialmente, o in partizioni del nastro. Nel caso dei nastri magnetici, le partizioni consentono agli utenti di raggruppare i file in “tape directory”, Se un settore è usato solo parzialmente da un file, il resto del settore viene chiamato memory slack, buffer slack o RAM slack. Come nei dischi rigidi, il file slack nei nastri magnetici può contenere residui di dati di file precedenti.
Riepilogo Gli investigatori di Computer Forensics devono conoscere bene l’ampia varietà di dispositivi digitali in cui possono imbattersi su una scena del crimine, perché ciascun dispositivo deve essere trattato in modo diverso e gli investigatori devono avere a disposizione e aggiornare differenti cavi di alimentazione e di dati. Inoltre a ciascun tipo di dispositivo sono associati tipi di prove diversi, ed è necessario adottare una metodologia diversa per ciascun dispositivo, al fine di identificare e acquisire prove. Le unità a disco rigido sono una fonte primaria di prove per gli investigatori. Esistono tipi diversi di dischi rigidi, che si distinguono principalmente per i controller (unità di controllo) e le connessioni. Esistono dischi SCSI (Small Computer System Interface) e dischi IDE (Integrated Drive Electronic), ma i più diffusi oggi sono i Serial ATA (SATA). Quando si vuole ottenere una copia rapida di un disco rigido si procede alla sua clonazione, anziché creare un’immagine. In tempi recenti hanno cominciato a diffondersi i dischi a stato solido (SSD), che costituiscono una sfida significativa per gli investigatori, data la loro natura instabile, rispetto ai tradizionali dischi rigidi. Un investigatore
può imbattersi anche in computer dotati di più dischi, in una configurazione che va sotto il nome di RAID (Redundant Array of Independent Disks). Le “chiavette” USB e altri tipi di memorie flash hanno un’importanza sempre crescente, perché il loro costo continua a diminuire, mentre aumenta la loro capacità di memoria. La cosa interessante è che, quando questi dispositivi USB vengono collegati a un computer, lasciano una traccia digitale nel Registro dei computer con Windows, che gli investigatori possono esaminare. Questa traccia digitale è disponibile spesso anche nei sistemi Mac e UNIX. Ancora più importante, però, è diventato lo spazio di archiviazione nel cloud.
Glossario Blu-ray Disc (BD). Un disco ottico di elevata capacità che può essere utilizzato per memorizzare video ad alta definizione. Boot Camp. Una utility presente nel sistema operativo macOS che consente a un utente di installare un sistema operativo Windows su un Mac con processore Intel. Clonazione di un disco. Creazione di una copia esatta di un disco rigido, che può essere usata come sostituto del disco originale, perché è avviabile (bootable) come l’originale. Compact Disc (CD). Un disco in policarbonato rivestito da uno o più strati metallici, utilizzato per memorizzare dati in formato digitale. CompactFlash. Una scheda di memoria sviluppata inizialmente da SanDisk per l’uso con dispositivi portatili come le fotocamere digitali. Controller (o unità di controllo) di disco. Facilita la comunicazione fra l’unità centrale di elaborazione (CPU) di un computer e i dischi rigidi (o altre unità disco). dd. Un comando UNIX che produce un’immagine grezza dei dati di un supporto di memoria, per esempio un disco rigido o un nastro
magnetico, in modo corretto dal punto di vista forense. Digital Versatile Disc (DVD). Un disco ottico con una grande capacità, sviluppato da Philips, Sony, Toshiba e Time Warner. eSATA. Una variante dello standard SATA utilizzata per le unità esterne. Fault tolerance (tolleranza ai guasti). La capacità di un sistema di continuare a funzionare anche se uno dei suoi componenti, per esempio una unità disco, incorre in un guasto. File Translation Layer (FTL). Mette in corrispondenza un indirizzo logico di blocco con un indirizzo fisico di blocco. FireWire. La versione Apple della IEEE 1394, uno standard di interfaccia a bus seriale per trasferimenti di dati ad alta velocità. Floppy disk. Un sottile disco di plastica flessibile per la memorizzazione di dati, alloggiato in una custodia di plastica rigida. Frame. L’unità minima di memoria su un CD, pari a 24 byte. Garbage collection. Un processo di gestione della memoria che effettua la rimozione dei file non utilizzati per rendere disponibile una maggiore quantità di memoria. Host Protected Area (HPA). La regione di un disco rigido che spesso contiene codice associato con il BIOS per l’avvio del sistema e a fini di ripristino. Immagine di disco. Un file o un gruppo di file che contengono le copie bit per bit di un disco rigido ma non possono essere usati per l’avvio del computer o per altre operazioni. Integrated Drive Electronics (IDE). Un’interfaccia, basata in gran parte sugli standard del PC IBM, per dispositivi come unità disco, unità a nastro e unità ottiche. Land. Le superfici riflettenti su un CD, che vengono fuse da un laser. Memory Stick. Una scheda di memoria di formato proprietario di Sony, introdotta nel 1998.
MultiMedia Card. Scheda di memoria sviluppata da Siemens AG e SanDisk per l’uso in dispositivi portatili come le fotocamere. Nastro magnetico. Una sottile striscia di plastica con un rivestimento magnetico, utilizzata per la memorizzazione di audio, video e dati. Pit. Le superfici meno riflettenti di un CD che non sono state fuse dal laser. RAID (Redundant Array of Independent Disks). Due o più dischi usati in modo coordinato per dare prestazioni migliori e una maggiore affidabilità, grazie alla ridondanza. Random Access Memory (RAM, memoria ad accesso casuale). Memoria volatile utilizzata per i processi in esecuzione su un computer. Secure Digital, scheda. Un dispositivo di memoria per dati, sviluppato per l’uso in apparecchi elettronici come le fotocamere digitali. Serial ATA. Un’interfaccia che collega dispositivi come le unità disco a un adattatore a bus host. Sessione (su un CD). Un gruppo di tracce registrate contemporaneamente. Small Computer System Interface (SCSI). Un protocollo per la connessione fisica di dispositivi e per il trasferimento di dati. Solid State Drive (SSD). Un dispositivo di memoria non volatile, di tipo elettronico e non magnetico, che si trova nei computer. Table of Contents (TOC). Nei CD è un indice, la registrazione della posizione dell’indirizzo iniziale, del numero di sessione, delle informazioni sulle tracce (musica o video). Traccia (su un CD). Un gruppo di settori che vengono scritti contemporaneamente. TRIM. Una funzione del sistema operativo che dice a una unità SSD quali blocchi non sono più in uso, per consentire prestazioni più elevate
in scrittura. Wear-leveling. È il “livellamento dell’usura”, il processo di distribuzione dei dati negli SSD per evitare il più possibile l’usura. Write-blocker. Un dispositivo fisico che impedisce le operazioni di scrittura su un disco, permettendone la lettura in modo sicuro. xD (Extreme Digital) Picture Card. Un dispositivo di memoria sviluppato da Olympus e Fujifilm per le fotocamere digitali e per alcuni registratori vocali. Zip disk. Un supporto di memoria rimovibile, sviluppato da Iomega nei primi anni Novanta.
Valutazione Domande a risposta aperta 1. In quali circostanze un investigatore di Computer Forensics deve condurre un’indagine in loco anziché portare un computer in laboratorio per l’analisi? 2. Quali sono le sfide principali che gli investigatori devono affrontare, quando si imbattono in memorie rimovibili?
Domande a risposta multipla 1. Quale degli oggetti seguenti facilita le comunicazioni fra la CPU di un computer e i dischi rigidi? A. B. C. D.
Braccio attuatore. Chip di ROM, Controller di disco. FireWire.
2. Quale delle seguenti affermazioni è vera, a proposito di un clone di disco? A. B. C. D.
È una copia avviabile (bootable). Può essere usato come backup di un disco rigido. Né A né B sono vere. Entrambe A e B sono vere.
3. Quali delle seguenti affermazioni è vera, a proposito delle unità SSD? A. B. C. D.
Non hanno parti in movimento. I file sono memorizzati su piatti metallici. Si tratta di memoria volatile. Nessuna delle affermazioni precedenti è vera.
4. Quale fra le seguenti è memoria volatile, utilizzata per i processi in esecuzione su un computer? A. B. C. D.
RAM. ROM. Unità disco. Flash.
5. Quale degli acronimi seguenti indica una struttura costituita da due o più dischi coordinati fra loro, per ottenere prestazioni migliori e una maggiore affidabilità grazie alla ridondanza? A. B. C. D.
RAM. SCSI. IDE. RAID.
6. FireWire si basa su quale degli standard seguenti? A. 802.11.
B. ANSI N42. C. IEEE 1394. D. ISO 9660. 7. Quale delle seguenti schede di memoria è più probabile trovare in apparecchi elettronici Sony? A. B. C. D.
Secure Digital Card. CompactFlash. MultiMedia Card. Memory Stick.
8. Quale termine identifica le superfici riflettenti di un CD “fuse” da un laser? A. B. C. D.
Land. Pit. Specchi. Crateri.
9. Quale fra i seguenti è un tipo di disco ottico a elevata capacità che può essere utilizzato per memorizzare video ad alta definizione? A. B. C. D.
CD. DVD. BD. VCD.
10. Quale fra i seguenti è un comando UNIX che produce un’immagine grezza dei dati di un supporto di memoria come un disco rigido o un nastro magnetico, in modo corretto dal punto di vista forense? A. B. C.
aa bb cc
D.
dd
Completa le frasi 1. Boot __________ è una utility inclusa con Mac OS X 10.6 (Snow Leopard) che consente di installare un sistema operativo Windows su un Mac con processore Intel. 2. Integrated Drive __________ è un’interfaccia, connettore e controller per dischi ampiamente basata sugli standard del PC IBM per dispositivi come unità disco, a nastro e ottiche. 3. __________ ATA è un’interfaccia che connette dispositivi come i dischi rigidi ad adattatori a bus host. 4. Una __________ è un file o un gruppo di file che contengono copie bit per bit di un disco rigido ma non si possono usare per avviare un computer o per altre operazioni. 5. La Host __________ Area è una regione di un disco rigido che spesso contiene codice associato con il BIOS per l’avvio e a fini di ripristino. 6. La __________ collection è un processo di gestione della memoria che comporta l’eliminazione di file non utilizzati per rendere disponibile una maggiore quantità di memoria 7. Fault __________ significa che, se in un sistema si guasta un componente, per esempio un disco rigido, il sistema continuerà ugualmente a funzionare. 8. Un __________ è uno strumento fisico che consente di leggere i dati da un dispositivo come un disco rigido, ma impedisce ogni operazione di scrittura su quel dispositivo. 9. Le aree meno riflettenti di un CD, che non sono state fuse dal laser, si chiamano __________.
10. Un __________ disk è un sottile disco di plastica flessibile, alloggiato in una custodia di plastica rigida.
Progetti Lavorare con un sistema dual-boot Trovate un computer Apple Mac con doppio sistema operativo o installate Boot Camp e Microsoft Windows su un Mac su cui al momento sia in esecuzione macOS. Create procedure operative standard per aiutare gli investigatori forensi a stabilire se su un Mac sono installati più sistemi operativi e stabilite come acquisire prove digitali da questo tipo di macchina. Identificare i cambiamenti nell’hardware del computer Scrivete un saggio che analizzi come è probabile che cambino nei prossimi cinque anni hardware e memorie dei computer. Immaginate come dovranno cambiare le pratiche forensi per adattarsi al cambiamento tecnologico. Identificare l’uso di RAID In che modo un investigatore può stabilire se un computer usa un RAID? Come deve essere esaminato in modo corretto dal punto di vista forense un RAID? Lavorare con la memoria volatile La RAM può fornire una grande quantità di prove. Quali strumenti forensi si possono usare per avere un’immagine della RAM? Ci sono problemi nell’uso della RAM come fonte di prove in un’indagine?
Spiegare la memoria flash USB Spiegate la costituzione fisica di una unità flash USB. Includete nella vostra spiegazione il modo in cui i file sono memorizzati e organizzati in questo tipo di dispositivi.
Bibliografia James Wardell, G. Stevenson Smith, “Recovering Erased Digital Evidence from CD-RW Discs in a Child Exploitation Investigation”, International Journal of Digital Forensics & Incident Response, 5 (1-2), 2008.
Capitolo 4
Acquisire prove in un laboratorio di Computer Forensics
Obiettivi Di seguito i temi principali che verranno affrontati nel corso di questo capitolo. I requisiti di un laboratorio certificato di Computer Forensics. Buone pratiche per gestire ed elaborare le prove in un laboratorio di Computer Forensics. Strutturare un laboratorio di Computer Forensics. Requisiti hardware e software per un laboratorio di Computer Forensics. Buone pratiche per l’acquisizione, la gestione e l’analisi di prove digitali. Metodi per le indagini su frodi finanziarie. Come usare comandi UNIX per cercare informazioni di particolare interesse nei file. Il processo mediante il quale un investigatore acquisisce le prove è importante quanto le prove stesse. Ricordate che il termine forense significa “che riguarda l’attività giudiziaria”: le prove possono essere accettate in tribunale solo se sono state ottenute legalmente (grazie a un mandato di perquisizione emesso da un magistrato o da un giudice). Quando si maneggiano le prove, è necessario redigere un’opportuna
documentazione, in particolare quella sulla catena di custodia. Inoltre, poiché quella forense è una scienza, il processo mediante il quale si acquisiscono le prove deve essere riproducibile e dare i medesimi risultati. Come abbiamo osservato già in precedenza, la maggiore volatilità dei nuovi supporti di memoria fa sì che alcuni risultati possano cambiare. È importante, comunque, tenere presente che i dati o file creati dall’utente è probabile rimangano immutati. Inoltre, nel Capitolo 8, vedremo che gli sviluppi nel campo della crittografia dei dispositivi mobili hanno spinto gli investigatori a usare tecniche più invasive per esaminare questi apparecchi. Fra queste tecniche rientra quella chip-off, che rende inutilizzabile il dispositivo e che in generale non è ripetibile per il medesimo dispositivo.
Requisiti per un laboratorio La creazione di un laboratorio di Computer Forensics, con tutte le apparecchiature necessarie, è fondamentale per l’acquisizione, la gestione e l’analisi delle prove. Vi sono anche considerazioni di gestione da tenere presenti. Anche se possono esistere differenze notevoli fra un laboratorio di Computer Forensics e l’altro, esistono comunque molti elementi simili nei requisiti base e nelle linee guida. Questi requisiti garantiscono che siano rispettati determinati standard, per ciò che riguarda le apparecchiature utilizzate, e che siano osservati gli standard del settore per l’uso di quelle apparecchiature. Molti campi collegati all’informatica sono ricchi di standard che ci possono guidare. Esistono però pratiche standard nella Computer Forensics, valutate e certificate da un organismo indipendente, la American Society of Crime Laboratory Directors.
American Society of Crime Laboratory Directors (ASCLD) La ASCLD è un’organizzazione non profit che fornisce un insieme di linee guida e di standard per i laboratori forensi. Non solo promuove l’eccellenza nelle pratiche forensi, ma favorisce anche l’innovazione nella comunità degli operatori forensi. L’ASCLD non è un organismo di accreditamento e non va confusa con l’ASCLD/LAB. Maggiori informazioni si possono trovare sul sito web dell’organizzazione, ascld.org.
American Society of Crime Laboratory Directors/Lab Accreditation Board (ASCLD/LAB) Quando è stato creato nel 1981, l’ASCLD/LAB era un comitato, all’interno dell’ASCLD; dal 1982, però, accredita i laboratori. Nel 1984, è diventato un ente non profit separato, con il proprio consiglio d’amministrazione. Attualmente certifica i laboratori per gli enti federali, statali e locali, nonché alcuni laboratori con sede al di fuori degli Stati Uniti. Il processo di certificazione dei laboratori di criminalistica forense include anche i laboratori di Computer Forensics. In quanto ente imparziale, l’ASCLD/LAB mira a mantenere determinati standard per i laboratori, fra cui standard che governano il comportamento e le pratiche dei dipendenti dei laboratori e dei loro manager. In altre parole, quanti lavorano in un laboratorio forense devono tenere sempre presente la legge e rispettare continuamente pratiche scientifiche corrette. Inoltre, l’ASCLD/LAB promuove anche un codice etico per personale e dirigenti dei laboratori.
Linee guida dell’ASCLD/LAB per pratiche gestionali di laboratori forensi I manager di un laboratorio devono comportarsi con integrità e creare un ambiente di fiducia e onestà. Un laboratorio forense deve anche avere controllli di qualità e massimizzare l’uso delle risorse in modo efficiente, per sbrigare in modo efficace tutto il carico di lavoro. Un manager di laboratorio ha anche la responsabilità di garantire la salute e il benessere di quanti lavorano nel laboratorio, nonché quella di mantenere la sicurezza del laboratorio, in particolare per quanto riguarda gli accessi. Deve assicurarsi di assumere personale altamente motivato e deve incoraggiare la ricerca e la formazione continua, incluse le certificazioni dello staff. Quello che segue è un elenco che riassume le pratiche di gestione di un laboratorio appropriate, come specificato dall’ASCLD/LAB (https://www.ascld.org/wpcontent/uploads/2018/07/Guidelines-for-Forensic-Laboratory-Management-Practices-
).
2018.pdf
Competenza manageriale Integrità Qualità Efficienza Produttività Rispetto delle aspettative organizzative Salute e benessere Sicurezza Sistemi informativi gestionali Qualifiche Training Mantenimento della competenza dei dipendenti Sviluppo dello staff
Ambiente Comunicazioni Supervisione Fiscalità Conflitti di interesse Risposta a bisogni pubblici Assunzione di staff professionale Raccomandazioni e referenze Conformità legale Responsabilità fiscale Accountability Disclosure e discovery Qualità del lavoro Accreditamento Organizzazioni di pari Ricerca Etica Molti enti delle forze dell’ordine cercano di ottenere la certificazione ASCLD/LAB, ma la maggior parte non la raggiunge mai. Non sempre può essere necessario ottenere questa certificazione, ma le agenzie devono comunque cercare di rispettare i molti principi delineati dall’ASCLD/LAB, fra cui osservare le buone pratiche e i protocolli del settore, conservare una documentazione appropriata e curare la formazione continua del personale di laboratorio.
ISO/IEC 17025:2017 La norma ISO/IEC 17025:2017 riguarda i “Requisiti generali per la competenza dei laboratori di prova e taratura”. Questi standard internazionali possono valere per qualsiasi tipo di laboratorio che
svolga attività di taratura e prova, e fra questi possono rientrare anche i laboratori di Digital Forensics. Costituita nel 1946, la International Organization for Standardization (ISO) è un’organizzazione non governativa indipendente, di cui fanno parte 162 organismi nazionali. L’ISO offre una guida per molti standard nel campo della tecnologia, dalle certificazioni agli standard hardware e software. Per esempio, la norma ISO 9660 riguarda il Compact Disc File System (CDFS) e l’hardware per i produttori di dischi ottici: è questo che garantisce che un CD acquistato in Irlanda possa essere letto con un lettore di CD in Canada. La norma ISO/IE 17025 può essere adottata insieme con l’ASCLD/LAB. La versione rilasciata nel 2017 sostituisce le linee guida precedenti, pubblicate nel 2005. La versione più recente mette maggiormente l’accento sulla tecnologia dell’informazione (uso di sistemi informatici, risultati elettronici e reporting). Gli standard fissati nella norma ISO/IEC 17025:2017 sono stati adottati in primo luogo dai tradizionali laboratori scientifici (di biologia, chimica, medici ecc.), in teoria questi standard possono essere adottati da un laboratorio di Digital Forensics.
Scientific Working Group on Digital Evidence (SWGDE) Lo Scientific Working Group on Digital Evidence (SWGDE) è un comitato il cui compito è condividere standard di ricerca e impostazione per gli investigatori che lavorano con prove digitali e multimediali. Il gruppo è stato costituito nel 1998 e ha iniziato a collaborare con l’ASCLD/LAB nel 2000: nel 2003, poi, il campo delle prove digitali è stato aggiunto al programma di accreditamento dell’ASCLD/LAB.
Agenti delle forze dell’ordine federali, statali e locali, che non hanno alcun interesse commerciale, possono aderire come membri regolari; istruttori e rappresentanti del settore privato possono essere membri associati. Lo SWDGE è una risorsa eccellente per le ricerche di Computer Forensics su temi che vanno dalle indagini che coinvolgono più sistemi operativi alle buone pratiche per l’esame dei telefoni cellulari (www.swgde.org). Lo SWGDE è un’organizzazione molto rispettata e indica le buone pratiche per gli esami di Computer Forensics, la raccolta di prove digitali, l’autenticazione delle immagini e molto altro. Le sue pubblicazioni vengono aggiornate continuamente per tenere conto degli sviluppi più recenti della tecnologia. Per esempio, con il drastico aumento della cifratura completa dei dischi dei computer, lo SWGDE sottolinea l’importanza della creazione di immagini forensi dei sistemi in funzione, in particolare della memoria volatile (principalmente RAM).
Laboratori di Computer Forensics del settore privato Nel settore privato esistono laboratori di Computer Forensics per molti motivi. A volte il laboratorio nasce per vendere servizi di consulenza; grandi organizzazioni creano laboratori per indagare sulle frodi interne o su quelle di cui sono vittima i loro clienti. Le banche e le società che emettono carte di credito hanno spesso operatori interni di Computer Forensics. Tutte le principali società di revisione dei conti hanno sofisticati laboratori di Computer Forensics, utilizzati principalmente a supporto di indagini richieste dai loro clienti, che nella maggior parte dei casi non sono indagini criminali ma di eDiscovery. L’eDiscovery è l’acquisizione di dati elettronici ai fini di
cause civili. Per esempio, quando un’azienda ne cita in giudizio un’altra, il querelante può richiedere determinate informazioni conservate in forma elettronica (ESI, electronically stored information). Il querelante è la parte che intenta la causa. Fra le informazioni conservate in forma elettronica vi possono essere email, documenti Word, fogli di calcolo, database, o qualsiasi altro tipo di informazione digitale. In base alla legge Sarbanes-Oxley, le aziende quotate devono conservare tutte le informazioni elettroniche per un periodo di tempo specifico, che dipende dal tipo di documento e dal settore. Le aziende statunitensi che gestiscono dati personali per cittadini europei devono osservare anche le regole di conservazione dei dati previsti dal Regolamento Generale per la protezione dei dati personali (General Data Protection Regulation, GDPR) dell’Unione Europea. A volte la Securities and Exchange Commission (SEC) emette una 10-days notice a una società quotata: è un’ingiunzione per cui l’azienda deve produrre determinati documenti, pertinenti per un’indagine, entro dieci giorni. Per molte aziende, che possono avere decine di migliaia di dischi, trovare specifiche informazioni storiche può essere complicato, per la limitazione delle loro risorse IT e i limiti di tempo imposti; in questi casi ricorrono ai servizi di società di revisione dei conti, in modo da recuperare rapidamente le informazioni richieste dagli investigatori della SEC. L’eDiscovery in generale richiede le competenze di investigatori di Computer Forensics, di personale IT e di avvocati aziendali. Il personale IT in generale si coordina con gli investigatori forensi per stabilire dove si trovino le prove (server o computer dei dipendenti) e gli investigatori forensi garantiscono che tutte le prove vengano acquisite in modo scientificamente corretto e possano poi essere ammissibili in tribunale. Gli avvocati stabiliscono il valore delle prove
estratte. In breve, il personale IT dell’azienda funge da collegamento fra gli esaminatori forensi e i legali dell’azienda. Nelle grandi società di revisione dei conti, i reparti di Computer Forensics sono costituiti da molti laboratori diversi. Anche se esistono differenze fra un’azienda e l’altra, quella che segue è una panoramica dei diversi tipi di laboratori. Possono essere diverse, in base al settore in cui lavorano, anche le competenze che possiedono i membri dello staff.
Laboratorio di acquisizione delle prove Un laboratorio di acquisizione delle prove ha la responsabilità di estrarre le prove da dischi rigidi, unità flash e altri dispositivi di memoria, per creare file immagine forensi di sola lettura. Il personale del laboratorio deve conoscere bene i software di imaging come FTK, EnCase e X-Ways. Inoltre, dovrà spesso violare password utilizzando strumenti come il Password Recovery Toolkit (PRTK) della AccessData, magari con l’aggiunta di tabelle arcobaleno (rainbow table). Le tabelle arcobaleno sono hash di password utilizzati per un attacco basato su dizionario a un file o anche a un volume. È possibile che debbano essere decrittati file, cartelle e interi dischi e unità disco dei laptop, le memorie flash rimovibili e le unità disco esterne usano spesso uno strumento di cifratura come Credant, perciò un esaminatore forense avrà bisogno di una chiave per decifrarli. Spesso la decrittazione è pressoché impossibile, o totalmente impossibile, se un sospettato ha utilizzato la crittografia PGP (Pretty Good Privacy) o ha attivato la cifratura di tutto il disco con FileVault o FileVault2 su un Mac.
Laboratorio di preparazione delle email
Si può dire che la posta elettronica offra il tipo di prove più importanti recuperabili da un computer. Le email spesso rivelano i pensieri più intimi e le informazioni più incriminanti. Data la grande importanza delle email nelle indagini, alcune unità di Computer Forensics hanno un laboratorio dedicato specificamente all’email, dove il personale analizza i file di posta elettronica per renderne più facile l’esame da parte degli avvocati coinvolti nel caso.
Controllo dell’inventario A volte un’indagine coinvolge migliaia di dischi rigidi e altri supporti di memoria. Le fonti possono anche essere molto diverse: nastri magnetici, dischi rigidi, dischi Zip, chiavette USB. Perciò è fondamentale avere una gestione e un controllo accurati di questi supporti. Spesso esiste un laboratorio che si occupa della gestione e della conservazione delle prove. Grandi indagini sulle aziende creano enormi quantità di dati che possono costituire evidenze probatorie. Per esempio, il collasso della Enron, a causa degli illeciti dell’azienda, ha reso necessario l’impiego di molti esaminatori forensi, che hanno dovuto passare al setaccio migliaia di email e altri dati digitali. L’indagine ha prodotto 31 terabyte di dati (1 terabyte è pari a 1012 byte), l’equivalente di 15 biblioteche universitarie. Per questa sola indagine è stata prodotta più carta di quella presente nella Biblioteca del Congresso.
Sistemi di gestione delle informazioni di laboratorio L’uso di un prodotto commerciale può ridurre il tempo necessario per sviluppare un sistema di gestione del caso e può essere necessario se non sono disponibili sviluppatori di sistema (o non possono essere previsti, per ragioni di budget). Lima Forensic Case Management di
IntaForensics è una possibilità, per un laboratorio di Digital Forensics. Anche l’ASCLD/LAB fornisce indicazioni sulla gestione. Ciononostante, se sono disponibili sviluppatori IT, è consigliabile lo sviluppo di un sistema di gestione delle informazioni personalizzato, perché le esigenze di ciascun laboratorio sono molto diverse da quelle di tutti gli altri. Per esempio, le esigenze di un laboratorio di eDiscovery sono molto diverse da quelle di un laboratorio di criminologia ad alta tecnologia dell’ufficio di un procuratore distrettuale. Quest’ultimo, se particolarmente grande, può avere un sistema di pianificazione degli incontri fra pubblici ministeri ed esaminatori forensi. Il laboratorio può anche disporre di un’area speciale per l’esame delle prove, in modo che un pubblico ministero non debba entrare nel laboratorio. Nel caso di laboratori di maggiori dimensioni, un sistema di gestione delle informazioni è fondamentale perché i casi possano essere gestiti nel modo più opportuno e possano essere definite le priorità. Inoltre, un sistema di gestione delle informazioni deve avere un sistema di reporting esteso, in modo da generare metriche dei casi e da aiutare il management a stabilire come giustificare l’acquisto di strumenti forensi e di programmi di training.
Web hosting Una volta estratte, analizzate e organizzate in un formato leggibile, le prove devono essere messe a disposizione degli avvocati. Spesso il semplice invio delle prove via email non è possibile, perciò l’unità di Computer Forensics o la società di consulenza devono fornire un servizio di Web hosting, così che le persone autorizzate possano accedere alle prove relative a un’indagine attraverso un sito web sicuro. Nell’ordinamento statunitense, prende il nome di discovery il periodo precedente le udienze in tribunale, in cui ciascuna delle parti coinvolte nella causa può richiedere l’esibizione delle prove in
possesso dell’altra parte, Il Web hosting può costituire un modo sicuro ed efficace per presentare le prove agli avvocati dell’accusa e della difesa. Ovviamente, fra le prove da mettere a disposizione non ci sono solo quelle informatiche, ma anche le deposizioni o gli avvisi di comparizione. Le competenze tecniche del personale assegnato a questo ambito della Computer Forensics sono sicuramente diverse da quelle richieste in altre aree. Sono necessari progettisti di siti web (almeno nella fase iniziale) per creare il sito e sviluppatori web per organizzare le informazioni; serve anche personale esperto di progettazione, sviluppo e gestione di database, per creare un database che non solo permetta di effettuare ricerche fra le prove e di generare report, ma consenta anche l’accesso alle informazioni in modo sicuro. È necessario inoltre personale per caricare e mantenere continuamente le prove online per le diverse indagini.
Requisiti per un laboratorio di Computer Forensics I laboratori di Computer Forensics possono essere molto diversi fra loro, ma esistono alcuni standard e requisiti che tutti devono soddisfare. Questa sezione tratta il layout di base, le apparecchiature e gli standard a cui deve conformarsi un laboratorio.
Layout del laboratorio Il layout di un laboratorio dipenderà dalle esigenze investigative, dal numero delle persone coinvolte nelle indagini e dalle risorse disponibili. La Figura 4.1 presenta la piantina di un laboratorio di Computer Forensics relativamente piccolo.
Figura 4.1 Un laboratorio di Computer Forensics di piccole dimensioni.
Stazioni di lavoro In un laboratorio di Computer Forensics le stazioni di lavoro servono agli investigatori per acquisire prove sotto forma di file immagine a sola lettura. Vista la diffusione di questi computer, ora è più frequente trovare stazioni di lavoro Apple Macintosh. Tutte le stazioni di lavoro devono essere protette da password e idealmente dovrebbero richiedere l’autenticazione biometrica per l’accesso. Tutti i file del caso devono essere protetti da password. Molti strumenti forensi, per
esempio FTK, richiedono un buon processore, molta RAM e molto spazio di memoria di massa, per le indicizzazioni e la gestione del necessario database. Quando si acquista una stazione di lavoro con il miglior processore possibile, servono almeno 32 GB di RAM e almeno 2 TB di spazio su disco. Il processo di imaging di un disco fisso oggi richiede molto tempo, perciò avere a disposizione un sistema potente aumenterà la produttività degli esaminatori. Una potenziale soluzione, che è scalabile, è la stazione di lavoro FRED (Forensic Recovery of Evidence Device), prodotta da Digital Intelligence. Si tratta di sistemi potenti, con una caratteristica molto comoda: i dischi possono essere estratti e scambiati grazie a una serie di alloggiamenti accessibili dalla parte frontale di questi computer. Banco di lavoro Un banco di lavoro serve per la preparazione dell’hardware per le analisi investigative. Quando si clona un dispositivo, bisogna aprire la carrozzeria del computer per smontare l’unità disco. Nell’area dove vengono clonati i dischi devono essere disponibili tappetini di gomma per essere sicuri che l’elettricità statica delle superfici metalliche non interferisca con i dischi esaminati. Se si deve aprire un Apple iMac per recuperare il disco rigido, è necessario avere a disposizione molto spazio, per poter smontare in sicurezza lo schermo (senza danneggiarlo). L’area di lavoro deve essere bene illuminata, non solo per lavorare in sicurezza con le prove, ma anche per poterle fotografare. Banco di lavoro per l’esame di dispositivi mobili Di solito, ogni indagine oggi coinvolge almeno uno smartphone. Dato che per la maggior parte di questi apparecchi la cifratura di tutto il disco è diventata la regola, si rendono necessarie tecniche più invasive,
che comportano l’apertura del dispositivo. È importante perciò avere un banco di lavoro su cui gli investigatori possano smontare questi dispositivi ed effettuare saldature con l’aiuto di un microscopio. Nel Capitolo 8 analizzeremo queste tecniche invasive, come JTAG, chip-off e ISP. La Tabella 4.1 elenca alcune apparecchiature che è bene prendere in considerazione per un banco di lavoro per l’esame di dispositivi mobili. Tabella 4.1 Hardware e software per un banco di lavoro per l’esame di dispositivi mobili. Hardware per la Mobile Forensics
Software per la Mobile Forensics (Android e iOS)
Cellebrite UFED Touch2
Cellebrite Physical Analyzer
GreyKey (sblocca gli iPhone – disponibile solo per le forze dell’ordine)
Oxygen Forensics
MFC Dongle (per qualche iPhone)
BlackLight (iOS e macOS), BlackBag
RIFF Box 2 (JTAG telefoni usa e getta o per l’esame di Windows phone) ORT Box (esame JTAG di telefoni usa e getta) ZRT3 (www.fernico.com/ZRT3.aspx) (esame manuale di telefoni usa e getta) Ramsay Box STE6000 (gabbia di Faraday) Paraben Stronghold Bags (Faraday)
Unità di memoria per il kit da campo Se lo spazio lo consente, un laboratorio di criminologia tecnologico deve mantenere un kit o un banco di lavoro da campo. Molti investigatori forensi sono anche agenti delle forze dell’ordine ed è possibile che debbano eseguire mandati e raccogliere prove in situ in qualità di Crime Scene Investigator (CSI). Hardware e software necessari per una scena del crimine saranno spesso diversi da quelli usati in laboratorio: l’investigatore ha spesso bisogno di eseguire un triage e questo può comprendere la creazione dell’immagine di un
sistema attivo. La Tabella 4.2 presenta un elenco di hardware e software che un CSI può portare con sé nell’esecuzione di un mandato. Tabella 4.2 Hardware, software e strumenti vari per il kit da campo. Hardware
Software
Vari
Moduli (catena di Unità disco sterilizzate (almeno custodia, consenso, Dongle X-Ways e disco 4 unità, con un duplicato per fogli di lavoro per SSD USB portatile con ciascuna capacità, per server/HDD/computer installato X-Ways Forensics esempio 2 × 2 TB e 2 × 4 TB. ecc.) Flash drive USB di grande Sempre meglio abbondare) Sacchetti per le prove capacità (128/256 GB) con Un laptop potente (per testare Kit IFIXIT strumenti di cattura della le immagini dei dischi e Cacciavite con punte RAM come DUMPIT, Magnet potenzialmente per raccogliere intercambiabili RAM Capture ecc. prove sulla rete, per esempio Flash Flash drive di grande F-Response) Fotocamera (o capacità (128/256 GB) con Cellebrite UFED (si trova smartphone) FTK Imager Light, Magnet sempre qualche cellulare Attrezzo Encrypted Disk Detector, quando si esegue un mandato multifunzione Web Page Saver di perquisizione) Leatherman Dongle F-Response Borse a gabbia di Faraday Pennarelli permanenti (https://www.fHD USB esterno formattato Kit di emergenza per response.com) FAT32 (almeno 2 × 2 TB, per la asciugatura di Mouse Jiggler (input fittizio raccolta di video da CCTV e cellulare bagnato del mouse) DVR) Penne Foglietti adesivi
Gabbie di Faraday Stanze e contenitori attrezzati a gabbia di Faraday sono sempre più frequenti nei laboratori di criminologia tecnologici, vista la diffusione esponenziale degli smartphone. Una gabbia di Faraday consente a un investigatore di condurre l’analisi di un dispositivo mobile senza doversi preoccupare che il dispositivo si colleghi a una rete. Un investigatore può temere non solo che una connessione di rete possa modificare lo stato del dispositivo e i suoi file, ma anche e soprattutto che il sospettato possa inviare da remoto al suo dispositivo un comando di cancellazione che elimini ogni possibile prova. Questa preoccupazione vale in modo particolare per gli iPhone e per i computer MacBook.
Armadietto delle prove Un armadietto delle prove è un armadio metallico con scomparti che possono essere sigillati separatamente. Questi armadi sono fatti spesso di acciaio con lucchetti a prova di manomissione. Per la porta va usata una serratura di sicurezza, come una serratura Simplex, abbinata ad altre misure di sicurezza fisica. La Figura 4.2 mostra la porta di un archivio delle prove e la Figura 4.3 mostra prove digitali conservate nell’archivio, nei relativi contenitori.
Figura 4.2 Archivio per le prove.
Figura 4.3 Prove digitali.
Armadietti Quando si programma la realizzazione di un laboratorio di Computer Forensics, bisogna prevedere almeno due armadietti di grandi dimensioni. Uno servirà per conservare i materiali di consultazione:
manuali, riviste professionali, raccoglitori con articoli, manuali d’istruzione. I materiali di consultazione comprenderanno anche le procedure operative del laboratorio, testi giuridici e procedure operative standard per le indagini. Un secondo armadietto servirà per le apparecchiature forensi. Hardware Bisogna preventivare l’acquisto di vari dispositivi fisici per il laboratorio; i più importanti sono indicati nelle sezioni seguenti. Dispositivi di clonazione Ogni laboratorio di Computer Forensics deve disporre di un duplicatore di disco (dispositivo di clonazione) per la clonazione dei dischi, sulla scena del crimine o in laboratorio. Esistono molti tipi diversi di duplicatori che in generale offrono anche una funzionalità per la “sterilizzazione” del disco di raccolta, un processo importante da eseguire quando ci si prepara per un’indagine. Quando si acquista un duplicatore, bisogna però verificare che sia un dispositivo adatto per l’uso forense. I clonatori di fascia più alta consentono di creare più copie simultaneamente e vale la pena fare questo investimento, se il laboratorio gestisce grandi quantità di dischi da analizzare. I clonatori in genere supportano il collegamento a dischi sia SATA sia IDE. Write blocker Come abbiamo già detto nel Capitolo 3, un write blocker è un dispositivo hardware di blocco della scrittura, che cioè consente di leggere da un dispositivo, come un disco, senza potervi scrivere. In generale un kit comprenderà vari write blocker differenti, adattatori e cavi di alimentazione, per consentire la connessione a dispositivi eSATA, SATA (Figura 4.5), IDE, Serial Attached SCSI, USB (Figura
4.7) e FireWire (Figura 4.6). Il laboratorio deve avere anche un lettore di schede con blocco della scrittura (Figura 4.8) per schede Secure Digital, xD, Memory Stick ecc., nonché adattatore e cavi per unità a dischi ZIF, da usare per creare un’immagine o clonare dischi ZIF da 1,8 pollici, prodotti da Toshiba, Samsung e Hitachi. Questi tipi di dischi si possono trovare per esempio nei laptop Dell Latitude D420 e D430. Quando si dispongono l’adattatore e il cavo ZIF fra l’unità disco ZIF da 1,8 pollici del sospettato e la connessione IDE, spesso la clonazione non riesce, perciò bisogna essere preparati a creare un’immagine dell’unità attraverso la connessione USB sul laptop (con un write blocker ovviamente). Se non si riesce a clonare il disco o a crearne un’immagine, anche questo deve essere incluso nelle note dell’investigatore.
Figura 4.4 Adattatore per dischi IDE da 2,5 pollici.
Figura 4.5 Write blocker UltraBlock SATA/IDE.
Figura 4.6 Write blocker UltraBlock FireWire 800 e USB 2.0 SCSI bridge.
Figura 4.7 Write blocker UltraBlock USB.
Figura 4.8 Un lettore di schede UltraBlock adatto per le indagini forensi.
Lettori di SIM Card I telefoni cellulari che usano la rete di comunicazione Global System for Mobile (GSM) contengono una scheda Subscriber Identity Module (SIM), che dovrà essere esaminata in modo corretto mediante un lettore di SIM card (Figura 4.9). Trovate maggiori informazioni in proposito nel Capitolo 8.
Figura 4.9 Un lettore di SIM card.
Dischi di raccolta I dischi di raccolta (harvest drive) sono dischi rigidi sui quali vengono travasate le prove acquisite dal disco del sospettato. Un laboratorio di Computer Forensics spesso usa ogni anno migliaia di dischi SATA. Nella maggior parte dei casi, devono essere realizzate due copie di ciascuno dei dischi da esaminare. Lo stesso tipo di dischi SATA può essere usato per clonare i dischi sia di computer Macintosh (Mac) sia di personal computer (PC), non importa se desktop o laptop. Come abbiamo già detto, i dischi di raccolta devono essere “sterilizzati” (tutti gli eventuali contenuti, cioè, devono essere cancellati) quando vengono acquistati. Naturalmente, bisogna acquistare dischi di dimensioni diverse e un investigatore deve avere sempre a disposizione dischi con le capacità commercialmente disponibili per essere sicuro di poter stare al passo con le tecnologie più recenti. Un
investigatore poi deve sempre portare dischi in più, in un’indagine, perché il processo di clonazione può fallire ed è possibile che non ci sia il tempo di sterilizzare nuovamente il disco di raccolta per poter riavviare correttamente l’acquisizione. Del bagaglio di un investigatore devono far parte anche unità disco alimentate via USB (Figura 4.10), perché può accadere che la clonazione diretta da disco a disco non sia possibile.
Figura 4.10 Unità disco alimentata via USB.
Toolkit Ogni esaminatore di Computer Forensics deve avere un toolkit (una borsa degli attrezzi) per computer simile a quella che si vede nella Figura 4.11. Gli strumenti saranno principalmente cacciavite per smontare i dischi dai desktop, dai laptop e dai contenitori che racchiudono i dischi esterni. Del toolkit devono far parte anche altri strumenti, fra cui per esempio cesoie per tagliare fermacavi e pinze per tenere fermi o piegare fili e altri oggetti.
Figura 4.11 Un toolkit.
Torce a pila A volte l’investigatore avrà bisogno di una buona torcia, per i luoghi in cui l’illuminazione sia scarsa o inadeguata. A volte poi un sospettato è possibile che provi a nascondere dispositivi digitali e che per trovarli una torcia si riveli particolarmente utile. Fotocamere digitali Gli appunti dell’investigatore sono fondamentali per documentare efficacemente un’indagine e lo è anche fotografare i dispositivi che vengono sequestrati. L’investigatore deve fotografare le posizioni in cui i dispositivi si trovano; deve fotografare e documentare con precisione anche la configurazione dei dispositivi e il modo in cui sono connessi.
Questo è importante, perché è possibile che l’investigatore debba ricostruire il modo in cui vari dispositivi erano connessi, specialmente nel caso di una configurazione non usuale, che non gli sia familiare. Quando scatta fotografie di un sistema, l’investigatore deve fotografare il computer, gli alloggiamenti dei dischi (CD/DVD ecc.), le porte (seriali, USB ecc.) e il numero di serie del computer. Il formato del numero di serie può variare: a volte prima del numero compare la scritta “S/N”, sui computer Dell il numero di serie è chiamato “Service Tag”. Quando si rimuove il pannello di un desktop che permette l’accesso ai dischi, bisogna verificare se i dischi sono più di uno e l’investigatore deve fotografarli prima di rimuoverli e appuntarsi l’ordine in cui erano disposti i singoli dischi. Ciascun disco va distinto in base al numero di serie. I dischi vanno fotografati singolarmente e l’investigatore deve verificare che in ogni fotografia il numero di serie sia ben visibile. Infine, è sempre importante portare batterie di ricambio per la fotocamera digitale. Buste per la raccolta delle prove Esistono buste per la raccolta delle prove (Figura 4.12) di forme e dimensioni diverse, ma tutte servono allo stesso scopo: evitare che le prove vengano inquinate e registrare la catena di custodia. Questo significa che una busta per la raccolta delle prove avrà un dispositivo antimanomissione, come una striscia adesiva per la chiusura, in modo che non sia possibile accedere di nascosto alle prove. Le buste in polietilene antistatico proteggono i dispositivi elettronici dall’elettricità statica e un esaminatore forense deve averle sempre con sé quando si reca sulla scena di un crimine.
Figura 4.12 Buste per la raccolta delle prove.
Etichette per le prove Gli alloggiamenti dei dischi devono essere sigillati con un’etichetta per le prove e i computer devono essere avvolti nel nastro per essere sicuri che le prove non vengano inquinate.
Software Un laboratorio di Computer Forensics deve acquistare e scaricare diversi tipi di software. Deve avere computer con sistemi operativi Windows e Mac, le licenze per Microsoft Office e altre applicazioni che possono essere necessarie per vedere i contenuti dei file. Il laboratorio avrà bisogno non solo di strumenti di imaging bit stream, ma anche di software per violare password, un programma MD5 per la verifica delle prove, software antivirus e software per macchine virtuali. L’elenco che segue mostra quanto siano ampi i requisiti software per un laboratorio di Computer Forensics. Vedremo nel Capitolo 8 i requisiti per un laboratorio di Mobile Forensics. Software di Computer Forensics e di imaging bit-stream Per un laboratorio di Computer Forensics si possono prendere in considerazione molti strumenti di imaging forense; l’ideale è una combinazione di più strumenti, perché ciascuno ha i propri punti di forza, per esempio nel riconoscimento delle partizioni, nel tipo e numero di file che recupera, nel filtraggio o nella decrittazione. L’uso di strumenti diversi sullo stesso disco spesso permette di recuperare quantità diverse di prove; è buona pratica usare più strumenti e prendere nota delle differenze negli appunti per l’indagine. Per molti degli strumenti di cui parliamo qui è possibile una prova di 30 giorni, il che rende più facile stabilire quali siano i più adatti. I prezzi variano molto, ma spesso i produttori praticano sconti alle forze dell’ordine, alle agenzie governative e alle istituzioni accademiche. I vari strumenti presentano anche funzionalità diverse; alcune aziende, come opentext, creano anche programmi personalizzati per i loro clienti. Quello che segue è un elenco delle aree in cui gli strumenti di Computer Forensics possono avere caratteristiche diverse, da prendere
in considerazione in vista di un acquisto. File system supportati. Violazione di password e decrittazione. Requisiti dell’hardware per poter eseguire lo strumento. Costo. Supporto (il supporto al cliente può comprendere assistenza nell’installazione del software, configurazione dell’hardware, possibilità di ottenere aggiunte personalizzate e anche la disponibilità di un perito in grado di rendere testimonianza in tribunale). Filtraggio dei file. Backup dei file delle prove. GUI (interfaccia utente). Funzionalità di reporting. Sicurezza dei file delle prove. Ci sono organizzazioni che acquistano uno strumento, come EnCase o FTK, in modo da poter avere a disposizione un perito fornito dal produttore, nell’eventualità che sia necessaria una testimonianza in tribunale. Gli strumenti forensi che sono stati accettati nel corso di procedimenti giudiziari sono chiaramente da preferire per un’indagine. Ripetiamolo, perché è importante: spesso ci saranno differenze nel livello delle evidenze acquisite da ciascuno strumento, perciò è bene usare più strumenti quando si raccolgono e si analizzano dispositivi e prove. Quello che segue è un elenco di strumenti di imaging e analisi forense che si possono prendere in considerazione per un laboratorio di Digital Forensics. The Sleuth Kit (TSK) e Autopsy.The Sleuth Kit è uno strumento open source di Computer Forensics, costituito da una serie di strumenti da riga di comando. Consente a un investigatore di
esaminare file system e il volume di un’unità disco. Supporta i file system NTFS, FAT, exFAT, YAFFS2, UFS 1, UFS 2, Ext2, Ext3, Ext4, Ext2FS, Ext3FS, HFS e ISO 9660 e permette di analizzare immagini dd grezze. Autopsy è un’interfaccia utente grafica che si usa con The Sleuth Kit. Questi strumenti si possono usare in sistemi Windows o UNIX. Ulteriori informazioni si possono trovare all’URL www.sleuthkit.org. ILook.La suite ILook Investigator è stata sviluppata da Elliot Spencer in collaborazione con lo IRS Criminal Investigation Electronic Crimes Program. Ulteriori informazioni su questo strumento si trovano all’URL www.ilook-forensics.org. DriveSpy.Questo strumento forense fornisce informazioni dettagliate su un disco rigido, fra cui: partizioni DOS non DOS, slack space, spazio allocato e non allocato e molto altro ancora. Lo strumento registra quando i file sono stati aggiunti o cancellati da una posizione. Cosa ancora più importante, consente all’investigatore di creare un duplicato forense da disco a disco. L’aspetto negativo è che usa un’interfaccia DOS a riga di comando, invece di un’interfaccia grafica amichevole. X-Ways Forensics. È uno strumento di imaging forense molto apprezzato. Supporta numerosi file system (FAT12, FAT16, FAT32, exFAT, TFAT, NTFS, Ext2, Ext3, Ext4, Next3, CDFS/ISO9660/Joliet, UDF). Ha una funzionalità particolarmente efficace di filtraggio dei file, importante quando si devono analizzare centinaia di migliaia di file. WinHex. Come X-Ways Forensics, anche questo software è prodotto da X-Ways Software Technology AG. Non è uno strumento forense perché ha funzioni di scrittura. A volte i file recuperati da uno strumento forense non possono essere visualizzati nel loro formato naturale perché il file è danneggiato o
è stato marcato per la cancellazione: in questi casi WinHex è di aiuto, con un hex editor che permette all’utente di rendere i file leggibili. In altre parole, la modifica di un file con un hex editor può rendere visibile un file altrimenti illeggibile. F-Response. È uno strumento usato con sistemi attivi, per condurre un’acquisizione forense, eseguire il recupero dei dati o l’eDiscovery su una rete IP. Permette di ottenere un’immagine completa del disco, di eseguire una cattura della RAM o di estrarre dati dal cloud. PALADIN. Prodotta da SUMURI, è una distribuzione Linux (Ubuntu) open-source. Si usa per il triage e per esaminare sistemi Mac, Windows, Android e Linux. PALADIN è una suite di strumenti forensi di cui fa parte Autopsy, della Basis Technology. Mobilyze.Prodotto da BlackBag Technologies, questo strumento è usato per il triage su dispositivi mobili iOS e Android. Nel gennaio 2020, BlackBag Technologies è stata acquisita da Cellebrite. AXIOM. Prodotto da Magnet Forensics, è uno strumento usato per il recupero e l’analisi di evidenze digitali da computer, smartphone, dispositivi IoT e servizi cloud. FTK. Forensic Toolkit (FTK) è un software di imaging bit-stream e di analisi prodotto da AccessData. L’uso di questo software è stato ben documentato in molti dibattimenti, fra gli altri nel processo per omicidio a Scott Peterson. È disponibile anche una versione gratuita di questo software, FTK Imager, che può essere scaricata su una memoria flash USB o masterizzata su CD. Questo strumento consente di creare un’immagine forense di un dispositivo di memoria e di vedere i contenuti del file system mediante un hex editor incorporato, ma non ha molte altre capacità. La versione completa di FTK non è gratuita, ma ha molte altre
funzionalità, fra cui estese capacità di reporting, decrittazione dei file e file carving. Quest’ultimo è il processo che permette di identificare un file in base a determinate caratteristiche, come header o footer di file, diverse dall’estensione del file o dai suoi metadati. Per esempio, un sospettato potrebbe cercare di nascondere agli investigatori delle immagini, modificando l’estensione dei file da .jpg a .dll. Nel condurre una perquisizione con Esplora file, non sarà possibile trovare il file e anche il tentativo di apertura del file non avrà successo, perché l’associazione fra il file e l’applicazione pertinente è stata eliminata. Il file però, nel nostro esempio, è ancora un’immagine. L’intestazione (header) del file non sarà cambiata. Un file JPEG in genere mostra l’indicazione “JFIF” nella propria intestazione, che in un hex editor compare come 4A 46 49 46. Strumenti come FTK possono identificare il vero tipo del file e classificarlo come un’immagine. L’opzione di file carving inoltre estrae i file incorporati in altri file. Per esempio, un’immagine inviata come allegato a una email può essere vista con FTK nell’email e anche come immagine elencata con altre immagini sotto quella categoria. FTK facilita anche l’indicizzazione del disco, il processo che prende categorie di file, per esempio le email, e crea un elenco delle parole che si trovano in ciascun file. Queste parole possono essere utilizzare per le ricerche o per violare password. Come si può immaginare, la funzione di indicizzazione fa sì che l’investigatore non debba spendere tempo prezioso in ricerche per parola chiave aprendo un file alla volta. In pratica: creare l’immagine di una memoria USB con FTK Imager 1. Scaricate e aprite l’applicazione FTK Imager. 2. Trovate una chiavetta USB già usata e collegatela al computer. È meglio se la capacità della chiavetta non è molto grande: ricavare l’immagine di una
chiavetta di 2 GB richiede molto meno tempo di quella di una chiavetta da 32 GB. 3. Fate clic su File, poi nel menu fate clic su Add Evidence Item (Figura 4.13).
Figura 4.13 È stata selezionata dal menu File la voce Add Evidence Item. 4. Si aprirà la finestra di dialogo Select Source; verificate che sia selezionata l’opzione Physical Drive, come nella Figura 4.14, poi fate clic su Next. 5. Fate clic sul menu a discesa e selezionate la chiavetta USB, come nella Figura 4.15 (la riconoscerete osservando le dimensioni).
Figura 4.14 È stato selezionato Physical Drive.
Figura 4.15 È stata selezionata la chiavetta USB. 6. Fate clic su Finish. 7. Nella finestra Evidence Tree, fate clic sull’icona di espansione, poi confrontate quello che vedete sullo schermo con la Figura 4.16.
Figura 4.16 L’interfaccia utente di FTK Imager. 8. Fate clic per espandere ulteriormente disco e cartelle. Potete anche fare un doppio clic su una cartella per aprirla. Se sulla chiavetta avete cancellato file o cartelle, verranno visualizzati con accanto una X in colore rosso (Figura 4.17).
Figura 4.17 In FTK Imager l’icona dei file cancellati porta sovrascritta una X in rosso.
9. Fate un clic per selezionare un file. Fate clic su Mode, poi su Hex. Confrontate quello che appare sul vostro schermo con la Figura 4.18. Notate che il tipo di file selezionato è indicato come .xml. 10. Fate clic su File e poi su Exit.
Figura 4.18 Nel pannello in basso a destra l’editor di FTK Imager indica che il file selezionato è di tipo xml.
La versione a pagamento di FTK contiene anche uno strumento denominato Password Recovery Toolkit (PRTK), che può recuperare password dalle applicazioni; le password poi possono essere utilizzate per accedere a file, cartelle e unità protette da una password dell’utente. FTK offre anche uno strumento basato su Windows per esaminare computer Macintosh. AccessData organizza corsi di formazione in varie sedi negli Stati Uniti e a livello internazionale, nonché online. Dà anche la possibilità di certificarsi nell’uso dello strumento: completando un proficiency test si può diventare AccessData Certified Examiner (ACE).
EnCase.Questo software forense è stato sviluppato da Guidance Software (oggi opentext) ed è paragonabile a FTK in termini di funzionalità, reputazione e testimonianze esperte. I clienti possono richiedere a opentext la creazione di programmi aggiuntivi speciali. EnScript è un linguaggio di programmazione, sviluppato dalla opentext, che consente agli utenti di EnCase di creare proprie funzionalità personalizzate in EnCase. Esistono molti siti web in cui gli utenti di EnCase mettono gratuitamente a disposizione degli altri utenti gli EnScript che hanno realizzato. Quando ancora si chiamava Guidance Software, l’organizzazione che ha prodotto EnCase ha creato anche un proprio tipo di file, E01, un formato per l’immagine forense di un disco. Anche molti concorrenti offrono come opzione nei propri prodotti l’uso di questo formato. I tre formati di file principali per i file immagine forensi sono E01, AD1 (AccessData) e dd (o RAW). Gli esaminatori di Computer Forensics a volte usano anche il formato di file SMART, un formato per file immagine di disco (compressi o meno). L’Advanced Forensics Format (AFF) è un formato open source, sviluppato da Simson Garfinkel e supportato da Autopsy e dal software forense The Sleuth Kit. Esistono molti altri formati forensi di file immagine di disco che possono essere utilizzati dagli investigatori forensi.opentext vende anche uno strumento denominato EnCase Enterprise, che può essere usato dalle aziende per indagini relative a reti, indagini su reti interne di computer e gestione di incidenti che hanno coinvolto attacchi alla rete dall’esterno dell’organizzazione. EnCase Enterprise consente di ottenere da remoto l’immagine di computer host, server, smartphone e tablet su una rete. Il software facilita anche la creazione simultanea dell’immagine di più dischi.
Mac Marshal. Sviluppato dalla ATC-NY, Mac Marshal è un software di imaging forense per macOS. Mac Marshal Forensic Edition è usato su una stazione di lavoro Mac per recuperare evidenze da macchine Mac. Il software attualmente è disponibile gratuitamente per le forze dell’ordine negli Stati Uniti; al di fuori degli Stati Uniti può essere acquistato dalle forze dell’ordine e da agenzie del settore privato. BlackLight. Questo strumento, prodotto da BlackBag Technologies, è disponibile al pubblico in generale. è usato per l’imaging di computer Apple Macintosh, iPhone e iPad. Più specificamente, questo strumento può effettuare immagini di computer dotati di sistemi operativi macOS. Può essere utilizzato anche per analizzare dispositivi Windows e Android. Nel Capitolo 8 vedremo specificamente l’hardware e il software necessari per l’esame forense di telefoni cellulari. Software per macchine virtuali A volte gli investigatori devono usare, nel corso di un’indagine, software di macchina virtuale, se pensano che sulla macchina di un sospettato possa essere presente malware. Una macchina virtuale è un computer in cui è in esecuzione software che consente di lanciare un sistema operativo, o più sistemi operativi, senza che su quel computer venga apportata alcuna modifica. In altre parole, quando l’utente termina una sessione di macchina virtuale, la configurazione del computer è identica a come era prima della sessione. Se una persona usa software di macchina virtuale per perpetrare attività criminali, questo rende difficile il lavoro dell’esaminatore di Computer Forensics, perché sul computer che ha usato rimangono poche o nessuna traccia di quelle attività.
VMware è un software di virtualizzazione che un investigatore può usare per la retroingegnerizzazione di malware: è l’ideale per esaminare malware, perché le impostazioni del computer dell’investigatore non verranno toccate. L’esame del codice del malware è utile perché quel codice può essere confrontato con quello di altro malware, per stabilire se eventuale malware trovato sui computer delle vittime è stato scritto dallo stesso hacker.Inoltre, nel codice del virus può essere incluso l’indirizzo IP del computer dell’hacker, usato per inviare comandi e prendere il controllo (Command & Control, C&C), perciò la retroingegnerizzazione del malware può risultare estremamente utile per la soluzione di un crimine. Molti programmi malware, però, possono individuare la presenza di una macchina virtuale e, nel caso, non vengono eseguiti. Antivirus Quando si appresta a esaminare la macchina di un sospettato, un esaminatore deve sempre pensare che su quella macchina potrebbero essere presenti virus. Avere sul proprio computer un software antivirus in esecuzione aiuterà a ridurre la minaccia del malware. Software per violare password (password cracking) Un esaminatore di Computer Forensics incontra regolarmente computer protetti da password: il sistema nel suo complesso può richiedere una password per consentire l’accesso a desktop, file e cartelle. Può essere necessaria anche una password distinta per l’accesso come amministratore, che consente determinate operazioni in più, per esempio l’installazione di software. Un computer può avere anche una password diversa per il firmware, cioè per quei programmi che controllano dispositivi elettronici come unità disco, console di gioco o telefoni mobili. Con la proliferazione
delle password, quindi, è necessario avere un software efficace di password cracking, cioè di attacco e violazione delle password. Come abbiamo osservato in precedenza, la versione a pagamento di FTK di AccessData è dotata di uno strumento che prende il nome di Password Recovery Toolkit (PRTK). Molte agenzie delle forze dell’ordine acquistano tabelle arcobaleno che contengono migliaia o addirittura milioni di valori hash diversi, che vengono usati per attaccare le password. Altri strumenti di password cracking degni di nota sono John the Ripper e Cain and Abel. John the Ripper è uno strumento gratuito che lavora con Windows, UNIX e molti altri sistemi operativi. Anche lo strumento Cain and Abel è gratuito e può essere eseguito in Windows per condurre attacchi a forza bruta, basati su dizionario e di crittanalisi. Un attacco a forza bruta verifica tutte le chiavi possibili per decrittare i dati. Un attacco basato su dizionario usa una lista predeterminata di parole per decrittare dati o autenticare un utente. La crittanalisi cerca di sfruttare i punti deboli dei protocolli e degli algoritmi crittografici per violare un sistema o ottenere l’accesso ai dati. Passware ed ElcomSoft sono altre aziende che hanno realizzato strumenti commerciali di password cracking molto diffusi. È importante notare, però, che a volte il software di password cracking non è necessario, perché gli investigatori dispongono di tecniche per aggirare il sistema delle password o per individuare un file contenente le password del sistema. Photo Forensics L’importanza delle fotografie per le indagini è chiara, perché sono molto diffuse e spesso molto personali. Si stima che ogni mese su Facebook vengano caricati 6 miliardi di fotografie. Le fotografie possono essere usate in tutti i tipi di indagini, ma di sicuro sono di estrema importanza nei casi di abuso su minori, come prove a carico di
un sospettato. Le fotografie sono molto importanti anche in casi che riguardano proprietà intellettuali e problemi di copyright. Il Capitolo 10, “Photograph Forensics”, presenta informazioni più dettagliate su questo tema. Formati dei file fotografici JPEG è il più diffuso fra i formati di file per le immagini fotografiche ed è supportato dalla maggior parte dei sistemi e dei dispositivi che possono scattare foto. Ne esistono però anche molti altri. Sui siti web si possono trovare i formati JPEG, GIF e PNG. Le fotocamere usano i formati JPEG e RAW. Esiste anche il formato Adobe Digital Negative (DNG) e anche Microsoft ha un suo formato BMP proprietario. Tutte queste immagini sono immagini grafiche raster basate su pixel. I file di foto a volte sono compressi. Esistono due tipi di compressione: (i) la compressione lossy (con perdita di informazioni) in cui le immagini sono rese meno pesanti scendendo a qualche compromesso sulla qualità e con perdita di dati e (ii) la compressione lossless (senza perdita di informazioni) in cui dal file vengono eliminati dati non necessari, senza che vadano persi i dati originali. Il formato JPEG usa una compressione con perdita. Metadati delle fotografie Come abbiamo già osservato, i dati EXIF (Figura 4.19) sono i metadati che si trovano abbinati alle immagini e possono contenere la data e l’ora dello scatto, marca e modello della fotocamera e una miniatura dell’immagine. I dati EXIF possono contenere anche le coordinate geografiche (longitudine e latitudine) del luogo in cui la foto è stata scattata e, a volte, anche il numero di serie della fotocamera. L’utente ovviamente può anche aggiungere una descrizione personalizzata dell’immagine.
Figura 4.19 Un esempio di dati EXIF.
Prove fotografiche La maggior parte degli strumenti forensi di imaging, come FTK, EnCase e X-Ways, può trovare in modo efficiente le immagini fotografiche e presentarle in una categoria distinta. La maggior parte delle immagini fotografiche si trova estraendole da altri file in cui sono incorporate, per esempio email. I file delle fotografie ormai sono diventati così grandi che spesso sono frammentati in un disco e, quando si verifica la frammentazione, ricostruire le immagini può essere problematico. Se un frammento è stato sovrascritto, la ricostruzione è praticametne impossibile, a differenza di quel che accade per molti altri tipi di file. Adroit Forensics Adroit Forensics è uno strumento forense per le foto, sviluppato e distribuito da Digital Assembly. Utilizza un procedimento, denominato SmartCarving, che consente all’investigatore di ricostruire una fotografia quando i frammenti del file si trovano in settori non contigui del disco. Questo strumento può anche classificare le fotografie per data e per fotocamera. Si possono applicare filtri per individuare le tonalità della pelle e, più specificamente, volti di minori. Requisiti energetici
Gli investigatori di Computer Forensics, per svolgere il loro lavoro, hanno bisogno di più elettricità rispetto all’impiegato medio, perché possono clonare o sterilizzare unità disco e nel contempo usare una stazione di lavoro per creare l’immagine di un disco e un’altra per costruire gli archivi del caso. Inoltre, alcuni software di imaging forense, per poter essere eseguiti al meglio, richiedono l’uso di un processore quad core con molta RAM. Una stazione di lavoro FRED avrà un consumo di elettricità ancora superiore: consumerà da sola più energia di una stazione di lavoro media. Stazioni di lavoro dotate di molti processori grafici (GPU, Graphics Processing Unit) o che sono dedicate all’attacco alle password consumano molta energia, principalmente per i sistemi di raffreddamento che si rendono necessari. Le immagini di dischi di grandi dimensioni poi vengono spesso create nel corso della notte, per il tempo che è richiesto da questo tipo di processo, quindi anche i carichi sono distribuiti in modo diverso nell’arco della giornata. Molte organizzazioni che creano laboratori di Computer Forensics non si rendono conto che i consumi energetici sono molto diversi da quelli di altri reparti: può essere necessario l’intervento di un elettricista specializzato per sostituire i contatori e le connessioni, in considerazione del maggiore consumo. I laboratori devono essere dotati anche di un gruppo di continuità (UPS, Uninterruptible Power Supply), un alimentatore a batteria che continui a erogare elettricità anche in caso di caduta dell’alimentazione di rete. Alcuni UPS per computer sono progettati in modo da lanciare un backup immediatamente, se si verifica una caduta dell’alimentazione di rete. Sicurezza del laboratorio I consumi energetici più elevati di un laboratorio di Computer Forensics creano un maggiore rischio di incendi. All’interno e all’esterno del laboratorio devono essere collocati, in punti strategici,
estintori a secco. Un estintore ABC è probabilmente il più adatto per un laboratorio. Un estintore di questo tipo usa una soluzione chimica estinguente di polvere di fosfato monoammonio e di solfato di ammonio ed è adatto per gli incidenti di origine elettrica. Il nome deriva da fatto che può essere usato negli incendi di classe A (combustibili standard), B (liquidi infiammabili) e C (apparecchiature elettriche). Secondo gli standard della National Fire Protection Association (NFPA) degli Stati Uniti, gli estintori ricaricabili vanno ricaricati ogni 10 anni, quelli a perdere devono essere sostituiti ogni 12 anni. In tutto il laboratorio devono essere installati rilevatori di fumo, che vanno poi controllati ogni sei mesi. Per la salute e il benessere di chi lavora nel laboratorio devono essere presi in considerazione anche gli aspetti ergonomici. Alcuni oggetti che è bene acquistare, per le stazioni di lavoro degli esaminatori forensi sono: poltrona ergonomica Aeron (Herman Miller); schermi antiriflesso; tastiera regolabile; appoggiapolsi.
Budget Realizzare un laboratorio criminologico di Computer Forensics pienamente funzionale è costoso: per molte forze di polizia locali il costo è proibitivo. Per questo negli Stati Uniti è diventata tanto importante la crescita dei Regional Computer Forensics Laboratory (RCFL), gestiti dall’FBI e dotati di personale fornito dalle forze dell’ordine locali. Per fare un esempio, l’apertura di un RCFL nella contea di Orange, in California, nel gennaio 2011 è costata 7 milioni di dollari.
I costi di impianto per un laboratorio di Computer Forensics sono elevati, ma anche i costi di manutenzione sono molto elevati. Al di là degli stipendi del personale, bisogna tenere conto dei costi delle licenze del software. Bisogna includere nei preventivi anche i costi della formazione continua del personale. Un investigatore forense, nel corso delle indagini criminali, userà un numero molto elevato di dischi (harvest drive), inoltre è necessario acquistare continuamente nuovi dispositivi elettronici e sottoporli a test con software forense. Per esempio, è necessario acquistare le nuove versioni di iPhone, iPad, Samsung Galaxy e altri dispositivi, che poi vanno testati prima che in laboratorio arrivi qualche dispositivo del genere da esaminare per un’indagine. I test benchmark comportano il test scientifico degli strumenti su dispositivi diversi per determinare l’efficacia di quegli strumenti forensi. Un metodo efficace per stilare i budget per un laboratorio di Computer Forensics consiste nel conservare molti appunti su ciascuna indagine. I punti principali da documentare sono i seguenti. Categoria dei crimini. Per esempio: furto di identità, pedopornografia, omicidio. Ore dedicate alle indagini. Il tempo richiesto per le indagini sulla scena del crimine, le ore di lavoro in laboratorio e il tempo per la redazione dei rapporti. Risorse utilizzate. Il software per recuperare le prove e l’hardware utilizzato per conservare le prove, per esempio unità disco di raccolta e spazio su server. Dispositivi dei sospettati. I dettagli sui tipi di dispositivi sequestrati ed esaminati. Queste informazioni sono necessarie per giustificare l’acquisto di software e hardware forense e i canoni di manutenzione.
Gestione del laboratorio L’American Society of Crime Laboratory Directors Laboratory Accreditation Board (ASCLD/LAB) fornisce molte indicazioni sulle buone pratiche per la gestione di un laboratorio forense. Molti considerano la certificazione ASCLD/LAB come il massimo dell’approvazione per un laboratorio. La maggior parte dei laboratori non si certificherà mai ASCLD/LAB, ma molti rispettano i principi che ha definito. Alcuni manager di laboratori forensi sono convinti che l’ottenimento di questa certificazione sia vantaggioso, in quanto rafforza la loro posizione in tribunale, qualificandoli come esperti che seguono protocolli adeguati. Per questi motivi, nelle sezioni che seguono presenteremo quindi alcuni dei principi guida dell’ASCLD/LAB. Accesso al laboratorio Limitare l’accesso a un laboratorio di Computer Forensics è estremamente importante: è un aspetto che deve essere preso in considerazione nel piano di sicurezza fisica. Idealmente, solo quanti maneggiano le prove e gestiscono il laboratorio dovrebbero avere accesso alla stanza o all’edificio in cui sono conservate le apparecchiature e le prove. L’accesso al laboratorio può essere controllato con i metodi seguenti. Tesserino di identificazione con fotografia. Autenticazione biometrica. Guardie di sicurezza. Televisione a circuito chiuso (CCTV). Tastierino con codice di accesso. Per impedire gli accessi non autorizzati, si devono prendere anche altre precauzioni. I dirigenti del laboratorio possono condurre un
controllo dei precedenti, con l’aiuto dell’ufficio risorse umane, per assicurarsi che nel passato dei dipendenti non ci sia nulla, per esempio una fedina sporca, che impedisca l’assunzione nel laboratorio. Naturalmente, anche per il dirigente di laboratorio deve essere eseguito un controllo dei precedenti, prima di assegnare al laboratorio qualsiasi dipendente. Purtroppo, molti non continuano a tenere sotto controllo le attività dei dipendenti del laboratorio dopo l’assunzione. Accesso ai dati Nel prendere misure per l’accesso al laboratorio, è fondamentale tener conto anche dell’accesso ai dati e alle prove. Controlli molto rigorosi devono stabilire chi abbia accesso a certe stazioni di lavoro e chi abbia accesso a particolari casi per cui sono in corso le indagini. Alcuni software forensi, come FTK di AccessData, hanno mezzi efficaci per proteggere con password la documentazione dei casi e possono consentire a un investigatore di vedere solo determinati file pertinenti a un’indagine. L’accesso ai file varia, perché sia un investigatore sia il suo supervisore possono avere bisogno di accedere a un caso. Inoltre, possono avere bisogno di accedervi anche i pubblici ministeri e, su richiesta, gli avvocati della difesa. Sotto la voce “accesso ai dati” va considerato anche l’accesso alle stanze dei server dove si effettua il backup delle prove. È fondamentale limitare l’accesso dei dipendenti a questi server. Un laboratorio di Digital Forensics deve mantenere un server per i backup in situ. Il dirigente di un laboratorio, però, deve prendere in considerazione uno storage sicuro nel cloud per l’archiviazione delle prove di vecchi casi. In un’organizzazione l’accesso ai dati può avvenire anche attraverso connessioni Wi-Fi (Wireless Fidelity). Idealmente, in un laboratorio di Computer Forensics non dovrebbe essere consentita l’accessibilità wireless, ma il Wi-Fi dovrà essere usato periodicamente per gli
aggiornamenti e le patch del software. L’eliminazione della connettività wireless non deve essere limitata all’accesso a Internet: bisogna impedire l’accesso ad altre frequenze radio, fra cui quelle dei cellulari. I disturbatori di frequenza (jammer) sono dispositivi che rendono impossibili le connessioni fra telefoni cellulari. La Federal Communications Commission (FCC) negli Stati Uniti recentemente ha messo in guardia molte organizzazioni sull’uso illegale di disturbatori di segnale e alcuni laboratori di Computer Forensics hanno smesso di usarli. L’alternativa oggi è l’uso di gabbie di Faraday per una maggiore sicurezza degli esami. Sicurezza fisica Per quanto riguarda la sicurezza fisica, non ci devono essere aperture nelle pareti: le pareti devono raggiungere il soffitto. Se c’è un controsoffitto, bisogna verificare che le pareti del laboratorio arrivino fino al vero soffitto, in modo che non ci sia possibilità di accesso da una stanza adiacente. Il laboratorio non deve avere finestre, perché sono un potenziale punto di accesso. Verifica degli accessi al laboratorio È necessario un metodo per tenere traccia di quanti accedono al laboratorio di Computer Forensics; preferibilmente, andrebbe installato un sistema che registri automaticamente chi entri nel laboratorio, se possibile registrando automaticamente l’ingresso quando una persona usa il badge identificativo per entrare nel laboratorio. Questo sistema di registrazione dovrebbe essere abbinato a un sistema di sorveglianza CCTV. Come minimo dovrebbe esserci, all’ingresso, un registro in cui personale e visitatori debbano firmare all’ingresso e all’uscita dal laboratorio, con data e ora. La Figura 4.20 mostra un esempio di foglio da registro delle firme.
Figura 4.20 Un esempio di libro delle firme per gli ingressi a un laboratorio forense.
Posizione di un laboratorio Un laboratorio di Computer Forensics deve essere situato in un’area sicura, controllata continuamente. Spesso viene collocato nel piano interrato dell’edificio: se è così, bisogna fare in modo che lo spazio sia fresco e non umido. Bisogna anche prevedere la scalabilità dei server: bisogna effettuare il backup dei file delle prove ogni sera sui server del laboratorio e con il tempo dovranno essere aggiunti nuovi server, per i quali ci sarà bisogno di spazio. Se possibile, bisognerebbe avere un sito di backup, nel caso sia necessario evacuare il laboratorio di Computer Forensics. Bisogna prevedere questo sito di riserva nel piano di Disaster Recovery dell’organizzazione. L’11 settembre, prove preziose acquisite dalle forze dell’ordine e conservate nel World Trade Center, nell’ambito di indagini in corso, sono andate distrutte.
Estrazione di evidenze da un dispositivo Gli investigatori usano tre metodi principali per estrarre evidenze da un dispositivo. Il primo metodo comporta l’uso di un dispositivo fisico, per esempio un duplicatore forense di disco Talon. Il secondo metodo comporta l’uso di software commerciale, come FTK o EnCase. Il terzo metodo, infine, comporta l’uso di un’interfaccia a riga di comando per eseguire comandi Linux sia per acquisire evidenze, sia per effettuare ricerche all’interno delle evidenze e filtrarle. Talon e altri strumenti professionali, come EnCase, sono costosi, perciò nella prossima sezione analizzeremo l’utility dd. che è uno strumento gratuito e ammesso in tribunale.
Utilizzo dell’utility dd è una utility UNIX a riga di comando utilizzata per copiare dati da una sorgente a una destinazione. Dal punto di vista della Computer Forensics, dd è importante perché è un formato di file accettato per l’imaging forense e per la sua versatilità: può infatti essere usato per creare l’immagine di dati molto specifici, l’utente può verificare le immagini mediante l’algoritmo MD5 e le immagini possono essere ricavate da un computer specifico su una rete e poi inviate a una posizione in rete. Il formato base di un comando dd è: dd
dd if= of= bs=
In questo esempio, if è l’abbreviazione di input file e of l’abbreviazione di output file. La byte size spesso è impostata a 512 byte, ma può variare in funzione del file system con cui si lavora e della rapidità con cui si vogliono copiare i dati sorgente. Come abbiamo già notato, il disco di destinazione deve essere sterilizzato prima dell’acquisizione dei dati. Si può usare dd per pulire
in modo corretto dal punto di vista forense un disco, con il comando seguente: dd if=/dev/zero of=/dev/
Nell’esempio, dev sta per device. Quando viene eseguito il comando, sul disco verranno scritti tutti zero. Il comando seguente conferma che il drive ora contiene solo zeri: dd if=/dev/sda | hexdump -C | head
Nell’esempio, sda si riferisce al disco, che è la sorgente dei dati che si vogliono copiare. Ecco un elenco di altri dispositivi da cui può accadere di dover copiare: CD-ROM; fd0: floppy disk; sdb1: volume USB. sr0:
Il comando seguente creerebbe quindi una copia del file sorgente: dd if=/dev/ of=/dev/ bs=512 conv=noerror
In questa espressione si usa conv=noerror per saltare i blocchi contenenti bad data. Un grande vantaggio dell’uso dell’utility dd è la possibilità di creare un’immagine di un file su una rete. In UNIX, si può usare l’utility netcat per copiare file su una rete. Usiamo il comando nc, che avvia netcat. Quella che segue è la struttura dd per una rete: dd if (input file) | nc (NetCat)
Ecco un esempio di comando netcat: dd if=/dev/hda bs=512 | nc 192.166.2.1 8888
dove 192.166.2.1 è l’indirizzo IP del computer target e 8888 è un numero di porta arbitrario che useremo per trasmettere il file. È possibile anche effettuare l’imaging remoto di un disco su una rete con SSH, che può impedire lo sniffing da parte di terzi
(https://www.linode.com/docs/migrate-to-linode/disk-images/copying-a-disk-imageover-ssh/).
Utilizzo di GREP (Global Regular Expressions Print) Molti strumenti di Computer Forensics sono diventati oggi molto user-friendly: il loro uso può essere comodo, ma affidarsi troppo a questi strumenti può far sì che l’investigatore non si renda più conto della scienza che sta alla loro base, il che diventa problematico quando un investigatore è chiamato a testimoniare come perito e deve spiegare come funzionano. Inoltre, se si ha una migliore comprensione di concetti come Global Regular Expressions Print (GREP) e si conoscono i comandi Linux, si ottiene un maggiore controllo sulla conduzione delle indagini e si diventa più competenti. La maggior parte degli strumenti di imaging della Computer Forensics dispone di funzionalità avanzate di ricerca, una delle quali è GREP. Global Regular Expressions Print (GREP) è un potente insieme di espressioni UNIX che si usano per il pattern matching. Quando si usa GREP, ogni riga di un file viene copiata in un buffer, confrontata con una stringa (o espressione) di ricerca, poi, se esiste una corrispondenza (match), il risultato viene inviato in output sullo schermo. GREP si può usare non solo per le ricerche all’interno dei file, ma anche per effettuare ricerche nell’output di un programma. GREP consente a un investigatore di ricercare termini chiave o numeri, all’interno dei file delle prove, utilizzando espressioni specializzate. Curiosamente, pochissimi testi di Computer Forensics parlano di GREP, anche se questa potente funzione di ricerca si può trovare in strumenti forensi come EnCase. GREP offre ottime funzionalità di ricerca dalla riga di comando. Quello che segue è un elenco di comandi utilizzati in GREP.
non stampa la parola chiave, ma indica il numero di volte in cui appare la parola chiave. -f cerca una parola chiave in un file particolare. c
non distingue fra maiuscole e minuscole nel termine di ricerca. -l invia in output i nomi di file delle corrispondenze. -n fornisce i dettagli delle righe del file che contengono una corrispondenza. -v visualizza le righe che non contengono la parola chiave. -x invia in output solo le corrispondenze esatte. $ si usa per effettuare ricerche nelle righe che finiscono con un determinato carattere. -i
Supponiamo che un file test.txt contenga i dati seguenti: Secluded Sector Sect Sects $ect
Una semplice espressione GREP cerca in ogni riga del file test.txt se contiene la stringa Sect: # grep "Sect" test.txt
Poi stampa su schermo il risultato: Sector Sect Sects
Per sapere in quali righe del file sono state trovate le corrispondenze, si usa il comando: # grep -n "Sect" test.txt
Sullo schermo verrà stampato il risultato: 2:Sector 3:Sect 4:Sects
Per individuare una corrispondenza esatta, si usa il comando: # grep -x "sect" test.txt
Sullo schermo viene stampato il risultato: Sullo schermo non viene stampato nulla, perché Sect che compare nel file non costituisce una corrispondenza esatta per sect. Per trovare parole che terminano con la lettera r, si usa l’espressione seguente: # grep "r$" test.txt
Sullo schermo viene stampato il risultato: Sector
Extended Global Regular Expressions Print (EGREP) consente l’uso di ulteriori operatori che non sono contemplati da GREP. Queste sono le ulteriori notazioni EGREP: Unione/or | Kleene star * Kleene plus + Può comparire oppure no ? L’uso di ? significa che il carattere precedente può comparire o meno nella parola chiave. Prendiamo questo esempio: # grep "Sects?" test.txt
Viene stampato sullo schermo questo risultato: Sect Sects
In EGREP, il simbolo | è chiamato pipe. Sulla tastiera italiana di un PC, questo simbolo si ottiene premendo il tasto Maiusc e il primo tasto a sinistra della fila superiore di tasti (quello che senza il tasto delle maiuscole dà la barra retroversa). Un pipe funge da operatore di disgiunzione (or). Ecco un esempio di espressione EGREP che usa un pipe: # egrep "Sect|Sects" test.txt
Il risultato stampato sullo schermo sarà:
Sect Sects
Il risultato quindi è identico a quello dell’esempio precedente: bisogna ricordare che GREP ed EGREP spesso offrono espressioni diverse che danno lo stesso output. Infine, esiste Fast Global Regular Expressions Print (FGREP), una utility di ricerca UNIX che non usa espressioni regolari, ma interpreta i caratteri alla lettera e perciò è più veloce di GREP. Consideriamo questa espressione FGREP: # fgrep "$ect" test.txt
Sullo schermo verrà stampato questo risultato: $ect
Ora possiamo dare un’occhiata a un esempio più pratico di come un investigatore possa usare GREP. Supponiamo che un detective abbia ricevuto una “soffiata” a proposito di un documento Word sulla macchina di un sospettato. Il file si chiama bank.docx. L’investigatore non conosce il nome del file, né i suoi contenuti, ma noi sì e sono i seguenti. Dave, Here's the stolen credit card details that I told you about. Have fun! J-Man
1. James Colgan Card# 6011-0001-0001-0001-0001 CVV: 444 Expiration: 12/14 Telephone: (212) 555-0879 SS# 123-45-6789 2. Francis Bolger Card# 53690001000100010001 CVV: 444
Expiration: 0113 Telephone: 6095551111
Un informatore ha detto all’investigatore che il sospettato aveva effettuato l’accesso al documento Word (.docx) in uno degli ultimi tre giorni. La seguente espressione GREP permette di trovare tutti i documenti Word a cui è stato fatto un accesso negli ultimi tre giorni: # find . -name '*.docx' -atime -3
dove: viene aggiunto automaticamente in UNIX e indica che l’utente è il root user; find è la funzione di ricerca in FGREP; . dice che la ricerca va effettuata su tutti i file; -name dice che la ricerca è sul nome del file; * è la Kleene star e significa che prima dell’estensione di file può #
comparire qualsiasi cosa; .docx indica l’estensione del nome del file che si sta cercando; -atime si riferisce al tempo di accesso; -3
in questo caso è il numero dei giorni di cui risalire all’indietro.
Se l’investigatore avesse saputo quale era la data approssimata di ultima modifica, avrebbe potuto usare l’opzione -mtime (data di modifica) al posto di -atime (data di accesso). Quelle che seguono sono alcune altre espressioni GREP che possono essere utili agli investigatori. Città, stato, codice postale (per gli USA): '[a-zA-Z]*, [A-Z][A-Z][0-9][0-9][0-9][0-9][0-9]'
Indirizzo email: '[a-z0-9\.]*@[a-z0-9\.]*\.[a-z][a-z][a-z]+'
Il simbolo + indica che alla fine dell’indirizzo email potrebbero esserci due o tre lettere.
L’espressione GREP seguente troverà un indirizzo IP: Indirizzo IP: '[0-9]*\.[0-9]*\.[0-9]*\.[0-9]*'
Questa espressione regolare è per gli indirizzi IPv4. Il simbolo * indica che va considerato un numero di cifre qualsiasi comprese fra 0 e 9. Il simbolo \. indica invece che il carattere successivo sarà un punto. Gli strumenti FTK ed EnCase hanno le proprie versioni di GREP, perciò conoscere i comandi GREP che abbiamo presentato può essere molto utile. Frodi finanziarie L’indagine criminale di cui abbiamo parlato prima riguardava una frode finanziaria; più specificamente, un furto di carta di credito. Prima di continuare le ricerche con GREP sul file presentato, è bene avere chiare alcune informazioni di base sulle carte di credito, in modo da rendere più efficienti le ricerche. Inoltre, le frodi con carte di credito sono un problema enorme nel mondo occidentale. Esistono gruppi diversi di carte bancarie e di credito. Alcune carte, come American Express, MasterCard e Visa, vegono emesse attraverso le banche e possono avere la forma di carte di credito, di debito o prepagate. Altre carte, come la Discover, sono emesse direttamente al cliente senza l’intermediazione di una banca. La Capital One fa categoria a sé, perché si tratta di una banca che emette le proprie carte di credito. Quando si cercano su un compuer numeri di carta di credito, è utile sapere come funziona il sistema di numerazione. La prima cifra del numero identificativo di una carta di credito indica la categoria (Major Industry Identifier, MII) a cui appartiene l’emittente. La Tabella 4.3 mostra alcune categorie di emittenti e il corrispondente identificativo. Tabella 4.3 Alcune categorie identificate dalla prima cifra del numero di una carta di credito.
MII
Categoria
Emittente
3
Viaggi e intrattenimento
American Express, Diner’s Club
4
Bancari e finanziari
Visa
5
Bancari e finanziari
MasterCard
6
Merchandising e bancari
Discover
Le prime sei cifre del numero di una carta di credito costituiscono lo Issuer Identification Number (IIN), che indica l’istituto che ha emesso la carta. Il numero identificativo di una carta può essere lungo da 12 a 19 cifre. La Tabella 4.4 presenta lo IIN di alcuni fra i principali istituti che emettono carte. Tabella 4.4 Matrice degli IIN (Issuer Identification Number). Emittente
Intervallo di IIN
Numero di cifre
American Express
34, 37
15
Discover Card*
6011, 6440-6599
16
MasterCard
51-54
16
Visa
4
16
* La Diner’s Club International opera sulla rete Discover.
Sulla base delle informazioni presenti nelle matrici precedenti e dei dati nel file bank.docx, è chiaro che la carta che appartiene a James Colgan è una carta Discover, menre Francis Bolger possiede una MasterCard. Si tratta di un’informazione utile, perché, se volessimo cercare in un computer una MasterCard, sappiamo che le prime due cifre devono essere comprese fra 51 e 54 e che il numero identificativo della carta di credito è lungo in tutto 16 cifre. Una semplice ricerca GREP del numero di una carta di credito a 20 cifre (una carta sicuramente non esistente nella realtà: ci serve solo come esempio), con cinque gruppi di quattro cifre separati da trattini, potrebbe essere scritta in questo modo: # grep "[[:digit:]]\{4\}-[[:digit:]]\{4\}-[[:digit:]]\{4\}-[[:digit:]\{4\}[[:digit:]]\{4\}" bank.docx
Risultato/i: 6011-0001-0001-0001-0001
Dal file bank.docx possiamo vedere che il numero della carta di credito di Bolger è stato scritto senza trattini. Quindi, per trovare il numero sia nella forma con i trattini, sia in quella senza, si può usare un comando EGREP: # egrep "[[:digit:]]\{4\}-?[[:digit:]]\{4\}-?[[:digit:]]\{4\}-?[[:digit:]\{4\}-? [[:digit:]]\{4\}" bank.docx
Il simbolo ? indica che va considerata una corrispondenza positiva se si incontra il numero sia con i trattini, sia senza. Risultato/i: 53690001000100010001 e 6011-0001-0001-0001-0001 La seguente ricerca GREP in bank.docx trova i numeri di 20 cifre senza trattini: # grep "[[:digit:]]\{20\}" bank.docx
Risultato/i: 53690001000100010001 Il comando GREP seguente trova numeri di carta di credito che iniziano con un 4, un 5 o un 6. In altre parole, si otterrebbe una corrispondenza con le carte Visa, MasterCard o Discover, ma non con le American Express, perché in quel caso il numero dovrebbe iniziare con un 3. # egrep "[[:digit:]][456]\{3\}-?[[:digit:]]\{4\}-?[[:digit:]]\{4\}-?[[:digit:]\ {4\}-?[[:digit:]]\{4\}" bank.docx
Risultato/i: 53690001000100010001 e 6011-0001-0001-0001-0001 Eseguendo questa espressione sul file bank.docx entrambe le carte darebbero una corrispondenza e verrebbero visualizzate sullo schermo. [456] in GREP è l’equivalente dell’enumerazione {4,5,6}. Il file bank.docx contiene anche dei numeri telefonici, che potrebbero risultare interessanti. La seguente espressione GREP effettua una ricerca di numeri a 10 cifre senza spazi (presumibilmente numeri telefonici): # grep “^[0-9][0-9][0-9][0-9][0-9][0-9][0-9][0-9][0-9][0-9]$”
Risultato: 6095551111
È importante notare che, come nel caso di Word, i documenti di Microsoft Office sono in realtà un insieme di file. Pertanto bisogna eseguire un altro programma prima di poter eseguire una ricerca GREP. Analogamente, non si può eseguire una ricerca GREP su un intero disco, anche se FTK ed EnCase rendono più facile il processo di ricerca GREP. Un investigatore di Computer Forensics non deve sottovalutare l'importanza di conoscere Linux. L’importanza di una conoscenza di Linux diventa ancora più evidente quando si parla di indagini forensi su dispositivi Android, come vedremo nel Capitolo 8. Esistono molte splendide risorse, disponibili online, fra cui quella per il Bash Shell Scripting che si può trovare all’URL http://www.tldp.org/LDP/abs/html/. Frodi con assegni Un altro tipo di indagini importanti sono quelle sulle frodi con assegni. Un investigatore potrebbe effettuare una ricerca GREP per individuare codici ABA (American Bankers Association), numeri che si trovano sugli assegni e indicano come questo strumento finanziario debba essere instradato nel sistema bancario. Le prime due cifre del codice ABA corrispondono a una Federal Reserve Bank. La Tabella 4.5 elenca queste banche. Tabella 4.5 Codici ABA delle Federal Reserve Bank. Prime due cifre dell’ABA
Federal Reserve Bank
01
Boston
02
New York
03
Filadelfia
04
Cleveland
05
Richmond
06
Atlanta
07
Chicago
08
St. Louis
Prime due cifre dell’ABA
Federal Reserve Bank
09
Minneapolis
10
Kansas City
11
Dallas
126
San Francisco
Un investigatore può stabilire rapidamente la banca e l’agenzia su cui è stato emesso un assegno consultando siti come il Bank Routing Numbers (routingnumber.aba.com). Si possono usare le ricerche GREP e EGREP per qualsiasi stringa alfanumerica: si possono cercare indirizzi IP, codici fiscali, indirizzi email, file di immagini e molto altro ancora.
Skimmer Uno skimmer è un dispositivo elettronico utilizzato per catturare i dati conservati nella banda magnetica di una carta di credito, di debito o prepagata. Questi dispositivi vengono spesso esaminati in un laboratorio di Computer Forensics. La loro diffusione ha raggiunto proporzioni epidemiche: sono usati dai ladri di identità in tutto il mondo. In genere sono alimentati a batteria e, anche se sono illegali negli Stati Uniti, possono essere acquistati in Canada e anche in Internet. Per un ampio report sulle frodi attuate con skimmer, si può vedere www.accaglobal.com/content/dam/acca/global/PDF-technical/otherPDFs/skimming-surface.pdf. I criminali usano vari tipi di skimmer. Un parassita è uno skimmer da POS. Nel 2011 i Michael’s Stores hanno scoperto che nei loro terminali POS (point-of-sale) erano stati installati degli skimmer e hanno finito per sostituire 7200 terminali. Ne esistono di vari tipi: con un tipo, il terminale viene compromesso; con ul altro, viene installato un terminale fittizio. Questo secondo tipo cattura semplicemente i dati della carta di
credito o di debito del cliente ma non funziona come sistema di pagamento. Alcuni skimmer sono fatti in casa. L’ultimo tipo è un kit “fai da te” (DIY, do-it-yourself) che si usa per modificare un POS esistente. Questi kit DIY possono funzionare con terminali prodotti da VeriFone, Ingenico, Xyrun e TechTrex. Gli skimmer POS possono avere installata una scheda Bluetooth, che consente al criminale di scaricare i dati dei clienti dal POS con un computer o un cellulare, via Bluetooth. Il criminale in questo modo ha anche il vantaggio di poter acquisire i dati via wireless senza farsi notare. Normalmente il dispositivo ha un finto tastierino, sottile come un foglio di carta, che viene collocato sotto il tastierino reale del POS e viene utilizzato per catturare i PIN. Un ATM skimmer è usato per catturare i dati dalla banda magnetica che si trova sulle carte di credito o sulle carte Bancomat. Lo sportello per il prelievo ha un frontale falso per catturare questi dati (Figure 4.21 e 4.22); in altre parole, viene installato un falso lettore di carte sopra quello reale. Poi viene nascosta una minuscola videocamera, vicino allo sportello, per catturare il PIN. La videocamera a volte è nascosta in una falsa cassetta portadepliant applicata allo sportello o è collocata in qualche altro punto, per esempio come un falso rilevatore di fumo. A volte, al posto dell’uso di una videocamera, può essere aggiunto un falso tastierino per il PIN.
Figura 4.21 Falso lettore di carte Bancomat che viene sovrapposto al lettore regolare.
Figura 4.22 Retro del falso lettore di carte Bancomat con lo skimmer.
La banda magnetica è stata creata nel 1960 da IBM. I dati sono memorizzati in particelle di ferro magnetizzate. Gli skimmer sono vietati negli Stati Uniti, mentre non lo sono gli apparecchi per la
codifica delle bande magnetiche, che consentono il trasferimento di dati sulla banda di una carta di plastica (Figura 4.23).
Figura 4.23 Dispositivo per la codifica di bande magnetiche.
Esistono tecnici/programmatori che hanno le capacità per produrre carte di credito che appaiono legittime e funzionano esattamente come le originali. Un programmatore in genere scarica le informazioni della carta del cliente dallo skimmer, collegandolo a un computer. I dati vengono acquisiti attraverso una porta del computer oppure connettendo i pin a una EEPROM. Molti skimmer sono protetti da password e perciò, per superare questa protezione, può essere necessaria la collaborazione del sospettato. Cosa interessante, a volte questi dispositivi sono protetti da password o contengono dati cifrati non per eludere le ricerche delle forze dell’ordine, ma per impedire che qualche associato possa estrarre e usare i dati rubati delle carte di credito. Dopo che lui stesso o i suoi associati hanno recuperato gli skimmer, il criminale con competenze tecnologiche può scaricare i dati e quindi creare carte di credito false utilizzando una stampante speciale, a partire da carte di plastica anonime. Poi usa un codificatore di banda magnetica per aggiungere alle carte i dati dei clienti. Una volta preparate le carte di credito, queste vengono affidate a un gruppo di
“shopper”, che effettuano acquisti con le carte false. I prodotti acquistati possono poi finire venduti su siti web come eBay. Lo United States Secret Service e l’FBI sono molto impegnati in indagini sugli skimmer negli Stati Uniti. Queste indagini in genere godono della cooperazione degli istituti finanziari colpiti e dell’assistenza delle forze di polizia locali. Esiste software per esaminare questi skimmer, in particolare Exeba-COMM Law Enforcement Version, che possono analizzare e decodificare, in modo corretto dal punto di vista forense, gli skimmer e i dati che sono stati ottenuti con questi dispositivi. Vista la grande diffusione di questi apparecchi, sono stati adottati provvedimenti specifici. Il Codice penale dello stato di New York ora comprende una norma relativa al possesso illecito di un dispositivo skimmer.
Steganografia La steganografia è il processo con cui, all’interno di un file, si nascondono dati come un’immagine o un altro file. I dati nascosti possono essere in chiaro o cifrati. È problematico identificare un file che contenga dati nascosti e spesso l’indizio che porta alla scoperta sono le dimensioni del file, significativamente maggiori del normale. Si chiama steganalisi il processo con cui si riconosce se un file contiene dati nascosti e si estraggono tali dati. Strumenti di steganalisi, utilizzati per il rilevamento di dati nascosti, sono stegdetect, StegSpy e Stego Watch. Anche l’estrazione dei dati nascosti è difficile, perché in generale per poterla effettuare è necessario avere la stessa applicazione utilizzata per nascondere le informazioni. Esistono numerosi strumenti di steganografia, fra i quali, per esempio:
Hide and Seek; JPEG-JSTEG; Pretty Good Envelope; StegoDos; Stegano Wav; PGP Stealth; StegHide. Pochissimi investigatori hanno incontrato la steganografia, anche se non è chiaro se sia perché non hanno mai cercato dati nascosti all’interno dei file; è opportuno comunque tenere presente anche questa possibilità. La steganografia può essere usata per includere, in file all’apparenza innocui, messaggi segreti fra estremisti oppure codici venduti per l’uso illegale di licenze software.
Riepilogo Lo sviluppo e la manutenzione di un laboratorio di Computer Forensics hanno un ruolo fondamentale sia nella scoperta di prove sia nella loro analisi in modi che siano ammissibili in tribunale. L’American Society of Crime Laboratory Directors/Lab Accreditation Board (ASCLD/LAB) è un’organizzazione non profit indipendente, che pubblica linee guida per la gestione dei laboratori e certifica i laboratori. ISO/IEC 17025:2017 è il documento che precisa i “Requisiti generali per la competenza dei laboratori di prova e taratura”, che possono essere applicati anche a un laboratorio di Digital Forensics. Un laboratorio di Computer Forensics deve disporre di apparecchiature per l’uso sul campo e apparecchiature per l’uso in sede. L’enorme varietà di dispositivi digitali, in particolare di dispositivi mobili, fa sì che hardware e software utilizzati per
l’acquisizione delle prove debbano essere sempre più potenti e il costo di queste soluzioni è aumentato nel corso degli anni. La definizione di un budget è importante per la creazione e il mantenimento di un laboratorio di Computer Forensics. Bisogna tener conto dei consumi energetici, dei problemi di salute e sicurezza e della gestione generale. Un laboratorio di Computer Forensics non è utilizzato solo per indagini criminali. Nel settore privato, questi laboratori sono usati per l’eDiscovery e spesso per cause civili. Tutte le grandi società di revisione dei conti hanno un laboratorio di Computer Forensics e forniscono servizi di eDiscovery ai loro clienti. La Photo Forensics è importante perché le immagini fotografiche possono fornire informazioni su dove il sospettato si è trovato in un particolare momento. L’importanza delle fotografie si può valutare da quanto sono onnipresenti nel Web, in particolare sui social network. Le fotografie sono particolarmente importanti nei casi di abuso su minori. Il Capitolo 10 esamina in profondità il tema della Photo Forensics. Oggi sono disponibili molti strumenti di Computer Forensics, ma non tutti sono costosi. dd è una utility UNIX a riga di comando che può creare l’immagine di un disco (anche da remoto, su una rete) in modo corretto dal punto di vista forense. Global Regular Expressions Print (GREP) è un insieme di espressioni UNIX utilizzato per cercare parole o schemi di simboli, come i numeri delle carte di credito o i codici fiscali. Gli skimmer sono dispositivi utilizzati per estrarre dati personali o finanziari dalla banda magnetica di carte di credito, di debito o prepagate. Le forze dell’ordine sono spesso chiamate a esaminare e recuperare prove da questi dispositivi in un laboratorio di Computer Forensics. Infine, anche se la steganografia non è molto utilizzata, un investigatore deve sempre tenere presente la possibilità che un
sospettato abbia nascosto dati all’interno di un file.
Glossario ABA (American Bankers Association), numero. Un numero, su un assegno, che indica come deve essere instradato nel sistema bancario questo strumento finanziario. ABC, estintori. Un estintore per incendi che usa una soluzione di fosfato monoammonio e solfato di ammonio, adatto per gli incendi di origine elettrica. Advanced Forensics Format (AFF). Un formato di file open source sviluppato da Simson Garfinkel e supportato dai software forensi Autopsy e The Sleuth Kit. Armadietto delle prove. Un armadio metallico con scomparti separati che possono essere sigillati individualmente. ASCLD (American Society of Crime Laboratory Directors). Una organizzazione non profit che pubblica un insieme di linee guida e di standard per i laboratori forensi. ASCLD/LAB (American Society of Crime Laboratory Directors/Lab Accreditation Board). Un’organizzazione che accredita laboratori di criminologia, inizialmente un comitato nell’ambito dell’ ASCLD. ATM skimmer. Un dispositivo utilizzato per catturare dati dalla banda magnetica sulle carte di credito o le carte Bancomat. Banco di lavoro (workbench). Una superficie di lavoro utilizzata per preparare i dispositivi fisici in vista di un’analisi investigativa. Buste per la raccolta delle prove in polietilene antistatico. Buste progettate in modo da proteggere i dispositivi elettronici dall’elettricità statica. Codificatore di banda magnetica (magstripe encoder). Un dispositivo utilizzato per trasferire dati su una carta di plastica con una
banda magnetica. Crittanalisi. Il processo che cerca di sfruttare i punti deboli nei protocolli e negli algoritmi crittografici per violare un sistema o ottenere l’accesso a dati. Dizionario, attacco basato su. Un tipo di attacco che comporta l’uso di un elenco prestabilito di parole, per decrittare dati o autenticare un utente. Discovery. La fase che porta a un processo, durante la quale ciascuna parte coinvolta in un dibattimento civile può richiedere le prove dalla controparte. Disturbatore di frequenze telefoniche (jammer). Un dispositivo che impedisce le comunicazioni fra telefoni cellulari. E01. Un formato di file immagine di disco, sviluppato da Guidance Software. eDiscovery. La ricerca di dati elettronici ai fini di un processo. EGREP (Extended Global Regular Expressions Print). Consente l’uso di ulteriori operatori, che non sono ammessi in GREP. Electronically Stored Information (ESI). Informazioni memorizzate in formato digitale: email, documenti Word, fogli di calcolo, database e ogni altro tipo di informazione in formato digitale. EnScript. Un linguaggio di programmazione sviluppato da Guidance Software che consente agli utenti di EnCase di creare proprie funzioni e funzionalità personalizzate in EnCase. FGREP (Fast Global Regular Expressions Print). Una utility di ricerca UNIX che non usa espressioni regolari ma interpreta i caratteri alla lettera ed è perciò più veloce di GREP. File carving. Il processo di identificazione di un file in base a determinate caratteristiche, come l’header o il footer del file, anziché in base all’estensione del nome del file o ai metadati.
Firmware. Programmi che controllano dispositivi elettronici come unità disco, console di gioco o telefoni mobili. Forza bruta, attacco a. Un attacco che comporta la verifica di tutte le possibili chiavi per decrittare dati. Grafica raster. Immagini basate su pixel. GREP (Global Regular Expressions Print). Un potente insieme di espressioni UNIX utilizzate per il pattern matching. Gruppo di continuità (Uninterruptible Power Supply). Un alimentatore contenente una batteria, che mantiene l’alimentazione ai dispositivi collegati, anche in caso di caduta dell’alimentazione di rete. IIN (Issuer Identification Number). Le prime sei cifre del numero di una carta di credito, che identificano l’istituto che l’ha emessa. Lossless, compressione. Un processo di compressione dei file, che elimina dal file dati non necessari, senza perdita delle informazioni originali. Lossy, compressione. Un processo che riduce le dimensioni di un file di un’immagine, con qualche compromesso sulla qualità e la perdita di dati. Macchina virtuale. Un computer che esegue software che consente l’installazione e l’esecuzione di uno o più sistemi operativi, senza che vengano apportate modifiche al computer dell’utente. MII (Major Industry Identifier). La prima cifra del numero di una carta di credito. Parassita. Uno skimmer per POS (point-of-sale). Querelante. La persona che sporge querela contro qualcuno da cui si ritiene offesa o danneggiata. SMART. Formato di file immagine (compressa o non compressa) di disco, adatto per l’uso forense, sviluppato dalla ASRData. SWGDE (Scientific Working Group on Digital Evidence). Un comitato che ha il mandato di condividere le ricerche e definire gli
standard per gli investigatori che lavorano con prove digitali e multimediali. Steganalisi. Il processo di identificazione dell’uso di steganografia in un file e di estrazione dei dati nascosti. Steganografia. Il processo con cui si nascondono, all’interno di un file, dati diversi, come un’immagine o un messaggio. Tabelle arcobaleno. Hash di password usati per un attacco a dizionario a un file o anche a un volume.
Valutazione Domande a risposta aperta 1. Spiegate il processo in base al quale pianifichereste, creereste e manterreste un efficace laboratorio di Computer Forensics. 2. Come si può usare GREP nelle indagini di Computer Forensics? 3. Elencate dettagliatamente il tipo di apparecchiature che un esaminatore di Computer Forensics delle forze dell’ordine deve portare con sé su una scena del crimine. 4. Perché gli skimmer sono diventati un problema enorme in tutto il mondo?
Domande a risposta multipla 1. Quali fra i seguenti tipi di estintori sono adatti per gli incendi di origine elettrica? A. AFF. B. FAC. C. DBA.
D. ABC. 2. Quale dei seguenti codici indica le informazioni di routing per un’agenzia bancaria (per gli Stati Uniti)? A. B. C. D.
ABC. AFF. ABA. ESI.
3. Quale utility di ricerca UNIX non usa espressioni regolari, ma interpreta i caratteri alla lettera ed è perciò più veloce di GREP? A. B. C. D.
FGREP. GREP. EGREP. XGREP.
4. Quale delle espressioni seguenti descrive al meglio l’uso di una lista prestabilita di parole per decrittare dati o autenticare un utente? A. B. C. D.
Attacco basato su dizionario. Attacco a forza bruta. EGREP. Crittanalisi.
5. Quale dei formati seguenti è il formato di file di immagini di disco di qualità forense, sviluppato dalla Guidance Software? A. AFF. B. dd. C. AD1. D. E01.
6. Quale dei formati seguenti è il formato di file di immagini di disco di qualità forense Expert Witness, sviluppato dalla ASRData? A. B. C. D.
AFF. E01. SMART. RAW.
7. Quale dei termini seguenti descrive nel modo migliore quali tipi di informazioni possano includere le ESI (electronically stored information)? A. B. C. D.
Email. Fogli di calcolo. Database. Tutti i precedenti.
8. Quale fra le organizzazioni seguenti è un’organizzazione indipendente che pubblica linee guida per i laboratori forensi ed eroga certificazione per i laboratori? A. B. C. D.
ASCLD. ASCLD/LAB. ESI. SWGDE.
9. Quale dei seguenti termini indica le prime sei cifre del numero di una carta di credito? A. B. C. D.
Issuer Identification Number. Major Industry Identifier. Electronically Stored Information. Sequential Identification Number.
10. Quale dei seguenti non è un formato forense per le immagini di file?
A. dd. B. E01. C. SMART. D. UPS.
Completa le frasi 1. Il formato di file open source sviluppato da Simson Garfinkel e supportato dai software Forensics Autopsy e The Sleuth Kit si chiama __________ Forensics Format. 2. Uno __________ è un dispositivo che si usa per catturare dati dalla banda magnetica sulle carte di credito o le carte Bancomat. 3. Un __________ è un dispositivo che impedisce le comunicazioni fra telefoni cellulari bloccando tutti i segnali radio. 4. Il linguaggio di programmazione sviluppato dalla Guidance Software, che consente agli utenti di EnCase di creare proprie funzioni e funzionalità personalizzate in EnCase si chiama __________. 5. File __________ è il processo di identificazione di un file in base a determinate caratteristiche, come header o footer, anziché in base all’estensione del file o ai metadati. 6. Quando da una fotografia si eliminano dati non necessari, il procedimento è chiamato compressione __________. 7. Un/una __________ è un computer che esegue software che consente l’installazione e l’esecuzione di uno o più sistemi operativi, senza che vengano apportate modifiche al computer dell’utente. 8. Un/una __________ è un alimentatore che contiene una batteria e che mantiene l’alimentazione ai dispositivi collegati in caso di una
caduta dell’alimentazione di rete. 9. Un/una __________ è uno skimmer POS. 10. Un/una __________ è un armadio con scomparti separati che possono essere sigillati individualmente.
Progetti Progettare il migliore dei laboratori Vi è stato assegnato il compito di progettare un laboratorio di Computer Forensics per una unità locale delle forze dell’ordine. Immaginate di avere a disposizione 1 milione di dollari per realizzare il nuovo laboratorio. Create una piantina grafica del laboratorio e, sulla base di quello che avete appreso in questo capitolo, stilate un elenco di tutto quello che vorreste acquistare (software, hardware ecc.) per il laboratorio. Creare un piano per un laboratorio forense Utilizzando sia le pubblicazioni del NIST sia le linee guida dell’ASCLD/LAB relative alle buone pratiche nella Computer Forensics, create un piano per un nuovo laboratorio di Computer Forensics. Assicuratevi di includere concetti importanti come sicurezza fisica, auditing, strumenti di test, gestione e formazione continua.
Capitolo 5
Indagini online
Obiettivi Di seguito i temi principali che verranno affrontati nel corso di questo capitolo. Come raccogliere dati personali su un sospettato da varie fonti online. Database disponibili alle forze dell’ordine per creare il profilo di un sospettato. Tipologie di crimini online e modalità di conduzione di indagini criminali online. Come acquisire da Internet comunicazioni, video, immagini e altri contenuti da inserire in un rapporto investigativo. Quando chiedo ai miei studenti come pensano che si possa condurre un’indagine online e cercare informazioni personali su un individuo, in genere rispondono che userebbero il motore di ricerca di Google. Se però si cercano informazioni semplicemente con Google, si otterranno molti risultati non mirati: un investigatore dovrebbe passare ore a spulciarli per trovare le informazioni personali specifiche che gli potrebbero interessare. In questo capitolo vedremo come trovare informazioni mirate su un individuo, come comunicare nascostamente con un sospettato online e, infine, come documentare in modo esaustivo ciò che è stato scoperto e le comunicazioni.
Quando si pensa alle indagini online, di solito viene subito in mente l’idea di agenti sotto copertura che interagiscono online con i sospettati, ma bisogna ricordare che anche le aziende conducono continuamente indagini online, in particolare quando vogliono sapere di più su una persona che hanno intenzione di assumere. Inoltre, si verificano molti incidenti che coinvolgono dipendenti che pubblicano online commenti provocatori nei confronti dei loro datori di lavoro. Oggi le aziende stanno molto più attente a controllare ciò che i loro dipendenti pubblicano su blog e social media. In effetti, molte hanno riscritto le loro norme per l’uso di Internet in conseguenza dei commenti che i loro dipendenti pubblicano online. Dawnmarie Souza, per esempio, è stata licenziata dalla American Medical Response a causa di commenti spregiativi a proposito di un collega, pubblicati su Facebook. Il National Labor Relations Board (NLRB) e Souza si sono opposti e la vertenza è finita in tribunale. Per il NLRB e per Souza era stato violato il diritto costituzionale di libertà di parola, in particolare perché Souza aveva pubblicato i suoi commenti dal proprio computer di casa, fuori dall’orario di lavoro. Il NLRB ha sostenuto che le norme per l’uso di Internet e dei social media adottate dall’azienda violavano i diritti dei dipendenti. Alla fine c’è stato un accordo fra azienda e Souza e l’azienda ha modificato le proprie norme per l’uso dei blog e di Internet, eliminando la proibizione per i dipendenti di pubblicare online le proprie opinioni personali sull’azienda. In un altro esempio, alla Scuola superiore di Mesa Verde in California, Donny Tobolski è stato sospeso per aver pubblicato sul proprio account Facebook commenti pesanti su un insegnante. Il ragazzo aveva scritto che l’insegnante di biologia era un “ciccione che dovrebbe smettere di mangiare fast food, ed è uno stronzo”. La American Civil Liberties Union (ACLU) ha sostenuto che la scuola aveva violato i diritti costituzionali statali e federali dello studente,
nonché il California Education Code (il codice che comprende tutte le leggi della California che riguardano le scuole pubbliche). In questo capitolo elencheremo molte risorse online, alcune gratuite e alcune invece disponibili solo come servizi a pagamento, per creare un profilo online mentre si indaga su attività criminali. A volte questo profilo fittizio online viene definito un sockpuppet (letteralmente, un “fantoccio fatto con un calzino”). In questo capitolo descriveremo anche database che vengono usati regolarmente dalle agenzie internazionali, federali, statali e locali per raccogliere e condividere informazioni sul pubblico in generale. NOTA Tutte le risorse online citate nel capitolo sono state verificate al momento in cui questo libro è stato scritto, ma ovviamente i siti web possono cambiare senza preavviso.
Lavorare “sotto copertura” Una indagine sotto copertura è il processo di acquisizione di informazioni senza che l’individuo o il sospettato conoscano la vera identità dell’investigatore. Prima di interagire in qualsiasi modo con un sospettato, un investigatore eseguirà una ricognizione generale di quella persona. Questa ricerca di fondo comporta la costruzione di un profilo del sospettato, che comprenderà vari tipi di dati personali di cui parleremo in questo capitolo e anche un profilo del suo comportamento. È importante che l’investigatore conduca questa ricognizione in incognito. Dato che nel Web si trova una quantità crescente di dati personali, su atteggiamenti personali, comunicazioni e comportamenti in genere, la ricognizione online è diventata estremamente importante. Internet inoltre ha facilitato la crescita di certi tipi di attività criminali. Per un criminale, è più facile indurre una persona a comunicare i dati della propria carta di credito online che non rubarle il portafoglio. I
pedofili gravitano intorno a Internet perché hanno scoperto che è più facile trovare persone simili a loro online e addirittura usano Internet come strumento per pianificare le proprie attività. Internet però offre dei vantaggi anche per gli investigatori sotto copertura; in una chat online è relativamente facile convincere un pedofilo che un agente di 40 anni è in realtà una ragazzina quattordicenne. Durante la fase di ricognizione, un investigatore può avere accesso all’account email o ai gruppi del sospettato, oppure può raccogliere informazioni dai social network, se la legge lo consente. Effettuato un controllo di base del sospettato, può iniziare la fase di sorveglianza. Gli agenti possono iniziare a controllare la residenza del sospettato, i suoi movimenti, la routine quotidiana e in generale a costruire un profilo del suo comportamento. Analogamente, online terranno sotto controllo le sue attività nelle chat e nei gruppi di utenti. Durante questa fase, l’investigatore può pianificare come gli agenti debbano registrare le attività del sospettato, compresi video e audio, e decidere se dovranno essere richiesti mandati e potrà pianificare come debba avvenire l’interazione fra l’agente e il sospettato. La fase successiva di un’indagine comporta un monitoraggio e una registrazione più formali delle attività del sospettato. Questa fase del processo investigativo può includere operazioni autorizzate da mandati approvati dal tribunale (mandati di perquisizione o intercettazioni telefoniche). L’ultima fase dell’indagine è progettata in modo da cogliere il criminale nell’atto di commettere un reato o di pianificarlo. Un agente può presentarsi come un complice o, nel caso di un’indagine su abusi su minori, l’investigatore può fingersi un bambino o una bambina e parlare con il sospettato. Internet ora rende più facile questa fase, perché non c’è bisogno di usare un minore come “esca” per catturare il sospettato. In molti casi, questi è convinto di essere riuscito a indurre un bambino a
incontrarlo, magari in un parcheggio, mentre in realtà è stata la polizia ad attirarlo in una trappola.
Generazione di un’identità Quando lavora sotto copertura, un investigatore spesso deve creare un sockpuppet, cioè una falsa identità online per interagire con la persona o le persone a cui è interessato. È possibile che debba creare un account Gmail o Yahoo! e il processo di verifica richiederà un account email consolidato e un numero di telefono. ProtonMail (protonmail.com) e Tutanota (tutanota.com) sono servizi che consentono di creare account email “a perdere” per la verifica. Analizzeremo più in dettaglio le email a perdere nella prossima sezione. Blur (abine.com) è uno strumento che consente di occultare le informazioni della propria email. Si possono anche creare account di posta da usare nel Dark Web, mediante servizi come Mail2Tor (mail2tor.com) o Secmail Tor. Per la verifica via SMS, per i nuovi account online, si possono usare servizi gratuiti come TextNow (textnow.com) o Talkatone (talkatone.com), oppure si può utilizzare un telefono usa e getta. A volte un investigatore dovrà usare in un’indagine Bitcoin e dovrà assicurarsi che l’indirizzo Bitcoin non sia rintracciabile (o almeno lo sia difficilmente). In questo caso, Bitcoin Laundry (bitcoin-laundry.com) può essere una buona soluzione, se approvata dalla vostra organizzazione. Un’altra possibilità è un Bitcoin ATM: questi sportelli si possono individuare con Coin ATM Radar (coinatmradar.com). Un’altra possibilità ancora è l’uso di una carta di debito prepagata, per la quale non è necessario fornire un nome e un indirizzo. Una carta Visa OneVanilla prepagata (onevanilla.com) può essere una soluzione adeguata. La carta Visa poi può essere collegata a un account PayPal, se è il caso.
Se interagite online con un sospettato, è importante che la vostra identità rimanga segreta e che il vostro computer sia protetto contro il malware. Per questo potete prendere in considerazione l’uso di un servizio VPN. Algo VPN (github.com/trailofbits/algo) consente di creare un proprio servizio VPN. Esistono anche servizi VPN a pagamento, come NordVPN (nordvpn.com) e RSocks (rsocks.net). Potete anche prendere in considerazione il browser Tor (www.torproject.org) con il sistema operativo Tails (tails.boum.org) per rimanere anonimi online. In realtà, non è difficile creare un’identità di copertura. Esiste comunque un servizio che consente di generare rapidamente una falsa identità. Fake Name Generator (www.fakenamegenerator.com) è un servizio online gratuito che consente all’utente di generare un’identità ad hoc (Figura 5.1). Il servizio consente di scegliere il genere (maschio/femmina), il tipo di nome o name set (americano, cinese, ispanico ecc.) e il paese (Australia, Italia, Stati Uniti ecc.). Una volta impostati questi tre criteri, vengono generati un nome, un indirizzo, un indirizzo email, un numero telefonico, un numero di carta di credito, un numero di Social Security (o di carta d’identità, per l’Italia), peso, altezza e altri dati personali (compreso il gruppo sanguigno). Ovviamente, l’investigatore può decidere di costruirsi un’identità di copertura per un tipo particolare di indagini, magari per fingersi una ragazzina nelle chat online con un sospetto pedofilo. Un problema per gli investigatori sotto copertura è l’uso di fotografie per creare l’identità fittizia. Il sito web thispersondoesnotexist.com crea foto realistiche di persone, generate al computer.
Figura 5.1 Risultati del sito web Fake Name Generator.
Generazione di un account email Quando si lavora in incognito, può essere necessario creare un account temporaneo di posta elettronica per avviare un nuovo servizio che verrà utilizzato nel corso di un’indagine. Per esempio, quando si crea un nuovo account Gmail è richiesto un indirizzo email per validare l’utente dell’account. Esistono numerosi servizi di email usa e getta che consentono all’utente di creare un account di posta ad hoc con una casella di posta. Una volta chiuso il browser, l’account email viene cancellato. Gli account Gmail sono particolarmente utili nelle indagini sotto copertura, perché Google nasconde l’indirizzo IP di origine nelle intestazioni delle email.
GuerrillaMail (www.guerrillamail.com) consente a un utente di creare un indirizzo di posta elettronica, che non richiede alcun tipo di registrazione (Figura 5.2). L’indirizzo temporaneo di posta non avrà l’estensione @guerrillamail.com e rimarrà attivo per 60 minuti.
Figura 5.2 Il sito web Guerrilla Mail.
Un altro servizio, mail expire (www.metafilter.com), consente all’utente di creare un account email usa e getta, che può essere impostato in modo da rimanere attivo per un periodo massimo di tre mesi (Figura 5.3). A differenza di Guerrilla Mail, però, mail expire richiede la registrazione e l’inserimento di un indirizzo email esistente. Va notato che alcuni servizi bloccano, come metodi di verifica, alcuni account di posta elettronica usa e getta. Un altro servizio di posta elettronica usa e getta che non richiede alcun tipo di registrazione è Mailinator (mailinator.com; Figura 5.4). Un aspetto interessante di questo servizio è la possibilità di scegliere il proprio user name. Per esempio, si potrebbe scegliere come indirizzo di posta elettronica [email protected].
Figura 5.3 Il sito web mail expire.
Figura 5.4 Il sito web Mailinator.
Tutti questi servizi vengono pubblicizzati come utili a quanti desiderano evitare lo spam, ma costituiscono per gli investigatori un
mezzo efficace per utilizzare servizi senza fornire informazioni genuine di identificazione personale. In breve, un investigatore può creare un profilo fittizio per un’indagine in incognito.Si può creare, con il profilo fittizio, un account di posta Gmail o di altro tipo. L’email richiesta dal processo di registrazione di Gmail sarà un’email usa e getta creata “al volo” da un servizio come Mailinator. Quando nella casella di posta di Mailinator compare l’email di conferma, l’investigatore può fare un clic sul link di conferma per concludere la creazione dell’account Gmail.
Mascheramento dell’identità Gli investigatori hanno molti metodi a disposizione per restare anonimi online. Bluffmycall.com è un servizio che consente all’utente di (1) modificare a piacere l’ID del chiamante, (2) modificare la propria voce, o (3) registrare le chiamate (Figura 5.5). SpoofCard (www.spoofcard.com) è un servizio simile, altrettanto diffuso.
Figura 5.5 Il sito web Bluffmycall.com.
Spy Dialer (www.spydialer.com) è un servizio online gratuito che consente a un utente di contattare un numero telefonico per sentire chi risponde, senza identificare il numero del chiamante (Figura 5.6). Il servizio può essere fruito anche mediante una app scaricabile su smartphone.
Figura 5.6 Il sito web SpyDialer.com.
Le forze dell’ordine possono usare il servizio LEAP (Local Number Portability Enhanced Analytical Platform) per rintracciare i criminali che cercano di sfuggire alle indagini cambiando gestore telefonico (vedi lawenforcement.numberportability.com per maggiori informazioni). È possibile anche trovare il nome dell’operatore associato a un dato numero telefonico eseguendo una ricerca inversa con FoneFinder (fonefinder.net). Poi si può usare Neustar (www.home.neustar) per vedere se l’utente di un dato numero telefonico lo ha trasferito sotto un altro gestore. È importante notare che le forze dell’ordine hanno bisogno di un mandato di intercettazione telefonica per poter registrare le conversazioni telefoniche. Nei diversi stati degli Stati Uniti vi sono differenze nell’ammissibilità come prova di una conversazione
telefonica: nello stato di New York, per esempio, basta il consenso alla registrazione di una sola parte, mentre in California deve esserci il consenso di entrambe le parti. Nello stato di New York, l’intercettazione di una chiamata telefonica senza il consenso o l’autorizzazione di un giudice è considerata un reato, ma si può registrare una chiamata con il consenso di una sola delle parti che sono coinvolte nella conversazione, mentre in altri stati è necessario il consenso di tutte le parti. Questo è stato ben chiarito nel 1999, quando Linda Tripp è stata incriminata per intercettazione illegale in base alla legge del Maryland, per aver registrato le dichiarazioni di Monica Lewinsky a proposito della sua relazione con il presidente Clinton. In quel caso, ogni violazione comportava una condanna a un massimo di cinque anni di carcere o una multa di 10.000 dollari, o entrambe. L’identità di un utente, più specificamente il suo indirizzo IP, possono essere mascherati con l’utilizzo di un proxy online: l’utente usa un altro computer (il proxy) per comunicare con un terzo, con il risultato che il terzo non può riconoscere l’indirizzo IP della sorgente della comunicazione. Servizi di proxy online sono, fra gli altri, VIP Socks (vip72.com), Megaproxy (megaproxy.com; Figura 5.7), Ion di Anonymizer (anonymizer.com), The Cloak (the-cloak.com). Nel caso dell’account email di Sarah Palin violato nel 2008, David Kernell, con l’identificativo “Rubico”, ha utilizzato un servizio proxy, ma gli investigatori sono stati in grado di identificare rapidamente l’indirizzo IP di origine. Kernell ha anche lasciato il proprio indirizzo di posta elettronica ([email protected]) dopo aver postato le email di Sarah Palin su 4chan, un sito web per la pubblicazione in forma anonima di informazioni, fra cui anche dati riservati rubati. I criminali usano spesso questi anonimizzatori (proxy online) per le loro attività illecite online. Molti dei computer utilizzati come proxy, inoltre, sono utilizzati senza il consenso dei loro utenti e fanno parte di
una botnet. Perciò questi servizi di proxy e i loro server in genere operano al di fuori degli Stati Uniti, in particolare in paesi (come la Russia o l’Ucraina) nei quali gli Stati Uniti hanno poca influenza sul piano legale. Spesso gli investigatori degli Stati Uniti incontrano difficoltà anche ad accedere ai dati di server che si trovano nell’Unione Europea, perché le leggi sulla privacy dell’UE possono rendere impossibile un’indagine.
Figura 5.7 Il sito web Megaproxy.
Indagini nel Dark Web Il World Wide Web (WWW), chiamato a volte anche “Clear Web”, è facile da usare con i tradizionali browser come Safari, Edge o Firefox, perché i siti web “regolari” sono indicizzati e quindi ricercabili con motori di ricerca come Bing e Google. Esiste però anche una parte non indicizzata del Web: è il cosiddetto “Dark Web”. Il Dark Web è una rete cifrata che utilizza l’Internet pubblica. Tra le varie reti che si sovrappongono a quella pubblica vi è la Tor Routing.
Tor in origine è stato sviluppato nell’ambito di un progetto di comunicazioni sicure dello U.S. Naval Research Laboratory, come strumento per proteggere e rendere anonimo il traffico, facendo passare attraverso una serie di strati di ripetitori cifrati. Il Dark Web è nascosto grazie a una rete peer-to-peer (P2P). Ai siti del Dark Web si accede principalmente con il browser Tor, un browser che protegge l’anonimato dell’utente e può essere importante per quanti cercano di evitare la censura, garantire la propria privacy, o per i criminali che cercano di nascondere la propria identità. Secondo il sito web del Tor Project, “Tor è un software libero e una rete aperta che vi aiuta a difendervi dall’analisi del traffico, una forma di sorveglianza della rete che minaccia la libertà personale e la privacy, le attività di business e le relazioni confidenziali e la sicurezza dello stato”. Il successo del Dark Web può essere attribuito ai timori relativi alla privacy, in particolare dopo il caso Snowden.
OSINT Framework Una risorsa molto efficace per raccogliere informazioni open source (OSINT, Open Source Intelligence) è OSINT Framework (osintframework.com). Questo sito web, per esempio, può aiutare un investigatore a effettuare ricerche di siti nel Dark Web. La Figura 5.8 mostra il tipo di risorse online disponibili, relative al Dark Web.
Figura 5.8 OSINT Framework.
Tor Tor è un software open source, gratuito, e una rete aperta che consente a un utente di navigare in Internet in anonimato. Un utente può scaricare il Tor Browser Bundle, che consente di effettuare una navigazione mediante proxy, passando attraverso molti computer host sulla rete Tor, in tutto il mondo, restando anonimo. Tor consente agli utenti anche di pubblicare siti web senza rivelarne la posizione, disponibili solamente agli utenti di Tor e non ricercabili mediante
browser tradizionali come Edge. Molti di questi siti sono gestiti da criminali. Tor costituisce un problema per gli investigatori, perché sulla rete Tor le identità degli utenti sono nascoste ed esistono molti siti web la cui posizione è nascosta. Inoltre, i proprietari di siti che conducono attività criminali le possono svolgere con molti utenti sconosciuti. Tor può essere anche un terreno di coltura per il malware. Silk Road è un esempio di sito del Dark Web: aveva quasi un milione di utenti registrati ed era stato fondato da Ross Ulbricht, noto anche come Dread Pirate Roberts, nel 2011. Il sito facilitava le transazioni illegali: commercio di stupefacenti come LSD, cocaina, eroina e altro ancora. Per rafforzare ulteriormente l’anonimato, le transazioni venivano effettuate in Bitcoin. Nell’arco di due anni e mezzo, attraverso il sito sono avvenute transazioni per 9,5 milioni di Bitcoin (pari a 1,3 miliardi di dollari) e le commissioni di Silk Road ammontavano a 85 milioni di dollari. Anche se è difficile, o addirittura impossibile, determinare le identità degli utenti online, quando viene sequestrato il computer di uno di questi utenti, le forze dell’ordine possono raccogliere qualche prova della sua attività in Tor. Se il computer del sospettato è acceso, una parte dell’attività del browser Tor può essere recuperata dalla RAM o dal file hiberfil.sys, che è una copia della RAM memorizzata sul disco quando il computer passa nella modalità “ibernazione” (per un PC). Se si esegue una ricerca GREP, si può usare l’espressione seguente per trovare siti Tor, il cui nome ha estensione .onion: http.{5,100}\.onion
Se l’utente usava Tor abbinato a Tails, il compito diventa davvero problematico. Tails (che sta per TheAmnesicIncognitoLiveSystem) è un sistema operativo che garantisce l’anonimato, mediante sessioni
virtualizzate con Tor. Può essere eseguito da chiavetta USB, scheda SD o DVD praticamente su qualsiasi computer. Tor è solo un tipo di Darknet. Un altro è I2P, che vedremo ora.
Invisible Internet Project Invisible Internet Project (I2P) è un altro strumento disponibile per le comunicazioni sicure e la navigazione Internet in anonimato. Questa rete utilizza la crittografia a chiave pubblica/privata e, come per Tor, le posizioni dei siti web non sono visibili. Sul computer di un sospettato, il file router.config contiene alcune informazioni sulla connettività I2P dell’utente. L’investigatore può cercare nel computer anche file con un’estensione .i2p.
Freenet Disponibile dal 2000, Freenet è una rete peer-to-peer (P2P). È un deposito di dati in rete, in cui gli utenti della rete possono archiviare file in formato cifrato sul computer di altri membri della rete. L’utente deve essere disposto a dedicare alla comunità P2P un minimo di 256 MB: quanto più spazio mette a disposizione, tanto più veloce la sua connessione sulla rete (almeno in teoria). Esistono due modalità di condivisione e comunicazione: “Opennet”, in cui l’utente viene connesso automaticamente con un altro host sulla rete, e “Darknet”, dove l’utente seleziona manualmente, all’interno della rete, un host specifico di cui si fida. Come nel caso di Tor, l’obiettivo è garantire l’anonimato e proteggere la libertà di parola; come nel caso di Tor, anche Freenet però attrae i pedofili che vogliono condividere immagini e video di minori abusati.
SecureDrop Anche se spesso associamo Tor e altri servizi di proxy con gli hacker o i criminali, vi sono situazioni in cui questi servizi sono di grande utilità. Per esempio, un giornalista che lavori con un informatore (un whistleblower) all’interno di una grande azienda o con un dissidente politico può avere bisogno di mantenere l’anonimato, per proteggere la propria vita o per evitare ritorsioni o censure. Ovviamente, l’attività dei whistleblower può essere molto controversa, come si è visto nei casi di Edward Snowden e Chelsea Manning. SecureDrop è un sistema open source, finanziato dalla Freedom of the Press Foundation, che consente di comunicare in modo anonimo con i giornalisti e di inviare loro, in forma anonima, documenti.
Marketplace del Dark Web Un’indagine sui marketplace del Dark Web inizia in genere con una ricerca nel World Wide Web. Una risorsa utile per trovare questi marketplace è TheDarkWebLInks (thedarkweblinks.com); si possono usare anche siti web come pastebin.com. Un utente può, per esempio, effettuare la ricerca seguente: site:pastebin.com ".onion" "hidden wiki"
Si può anche limitare la ricerca, per esempio, alla settimana precedente. Si può effettuare lo scraping dei siti del Dark Web con Python o AppleScript, per poi poterli analizzare. Dato che nella maggior parte dei casi ciò che viene offerto sono narcotici, l’investigatore deve avere un dizionario dei nomi che vengono attribuiti a ciascuna droga, o deve magari crearsene uno. Per esempio, questi sono alcuni dei nomi con cui si indica il fentanil:
Apache; China Girl; Goodfellas; Jackpot; Tango and Cash; TNT.
Silk Road La notorietà del Dark Web è aumentata, in tempi recenti, per la crescita esponenziale dei suoi marketplace, dopo l’ascesa (2011) e la caduta (2013) di Silk Road. Quest’ultimo era un marketplace del Dark Web che permetteva ai venditori (spesso criminali) di vendere ai consumatori in modo anonimo stupefacenti, documenti contraffatti e altri prodotti illegali, utilizzando Bitcoin come criptovaluta d’elezione per tutte le transazioni. Bitcoin offre a chi vende e a chi acquista nel Dark Web uno strato di sicurezza in più, perché non lascia praticamente alcuna traccia cartacea. Il marketplace, che ha goduto di un successo straordinario, era stato progettato ed era gestito da Ross Ulbricht, fino a che non è stato arrestato e il sito Silk Road è stato smantellato da FBI (Federal Bureau of Investigation) e HSI (Homeland Security Investigations). Questo famigerato marketplace aveva ottenuto un grande successo perché offriva una scelta enorme di stupefacenti e oppioidi, fra cui anche nuove sostanze psicoattive. Molti consumatori erano soddisfatti per la professionalità del “supporto ai clienti” e perché si sentivano al sicuro nell’effettuare i loro acquisti. Da allora si sono diffusi altri marketplace e vari studi hanno analizzato l’evoluzione del numero di venditori e dei volumi di vendita nei marketplace del Dark Web: la maggior parte di questi marketplace si è ampliata costantemente,
PlayPen Nel 2015, l’FBI ha smantellato il sito web PlayPen, che operava nel Dark Web e aveva distribuito immagini sessualmente esplicite di minori ai suoi oltre 200.000 iscritti. Secondo il sito web dell’FBI, sono stati perseguiti 25 produttori di pornografia infantile negli USA, sono stati perseguite 51 persone con l’accusa di abusi su minori, sono stati identificati o salvati 55 minori vittima di abusi negli USA e molti di più a livello internazionale. Lo smantellamento della rete ha portato anche a 350 arresti negli USA e a 548 arresti a livello internazionale. Il caso è stato controverso, però, perché a quanto pare l’FBI ha avuto il controllo del server PlayPen per due settimane, mentre identificava i suoi abbonati. Sembra che nel corso di quelle due settimane l’FBI abbia installato malware o una “NIT” (network investigative technique, una “tecnica investigativa di rete”) sui computer che visitavano il sito PlayPen, al fine di cercare di identificarli. Il Procuratore federale Annette Hayes ha scritto, nella motivazione dell’archiviazione, che il governo è stato costretto a prendere una decisione, o rivelare quale fosse la NIT segreta o lasciar cadere il caso, e alla fine il Department of Justice ha scelto di lasciar cadere il caso, per non rivelare la tecnica messa in atto. Operation Bayonet Nel 2017, un’operazione congiunta, a livello internazionale, a cui hanno partecipato HSI, FBI ed Europol, ha portato alla chiusura di due fra i più famigerati marketplace del Dark Web, AlphaBay e Hansa. L’operazione ha portato all’arresto di Alexandre Cazes, un canadese di 26 anni, che si presume sia stato il fondatore di AlphaBay; Cazes però non è mai comparso in tribunale perché è stato trovato morto nella sua cella, vari giorni dopo l’arresto in Thailandia. Nel momento in cui è stato chiuso, il sito aveva circa 400.000 utenti e circa 369.000 oggetti
in vendita. Secondo una citazione del governo, Cazes aveva utilizzato il proprio account personale di posta elettronica ([email protected]) quando aveva contattato alcuni utenti del sito. Gli investigatori hanno trovato su un computer anche una documentazione dei ricavi di Cazes, che erano pari a 23 milioni di dollari. Nel caso di Hansa, la polizia olandese ha ricevuto informazioni da ricercatori di sicurezza che avevano scoperto una versione di sviluppo del marketplace; la polizia in seguito ha scoperto i log di vecchie chat IRC in cui erano indicati esplicitamente nomi e indirizzi degli amministratori del sito Hansa.
Valute virtuali Una moneta a corso legale (o moneta fiat) è una valuta legale che è emessa e riconosciuta da uno o più governi: il dollaro americano e l’euro sono esempi di monete a corso legale. Esistono letteralmente centinaia di valute virtuali nel mondo: in effetti, si potrebbe dire che la maggior parte delle transazioni sono virtuali perché molti usano carte di credito e sistemi di pagamento mobile per la maggior parte delle transazioni finanziarie. Un elemento comparso recentemente in questo panorama è l’introduzione delle criptovalute: valuta non sostenuta da uno stato viene spedita da un computer o da un dispositivo a un altro utente e il pagamento viene trasferito solo una volta che viene risolto un algoritmo (un calcolo matematico). Questo calcolo matematico è eseguito da un mediatore, chiamato miner (minatore). In seguito, un registro pubblico delle transazioni, in teoria, garantisce l’integrità della transazione. Non tutte le monete virtuali però sono criptovalute. Per esempio, Second Life, un mondo virtuale, consente ai suoi utenti di acquistare edifici e oggetti da altri utenti con i dollari Linden. Esistono molti altri sistemi di pagamento virtuale, come WebMoney, PerfectMoney, Yandex e SolidTrust Pay, per citarne solo alcuni.
CoinMarketCap (coinmarketcap.com) è un sito web che pubblica la capitalizzazione di mercato e il tasso di cambio delle diverse criptovalute. Le valute virtuali sono sottoposte a un regime fiscale diverso a seconda delle giurisdizioni. Per esempio, l’Internal Revenue Service (IRS) degli Stati Uniti definisce le norme relative alle valute virtuali nella sua Notice 2014-21. Anche chi facilita il trasferimento di criptovalute attraverso il processo di mining ha obblighi di dichiarazione fiscale. Questi obblighi sono elencati dalla Financial Crimes Enforcement Network (FinCEN) del Department of the Treasury nella norma FIN-2014-R001 (www.fincen.gov/sites/default/files/administrative_ruling/FIN-2014-R001.pdf). Per esempio, un miner di Bitcoin negli Stati Uniti è considerato un servizio finanziario (money services business, MSB). Conoscere queste norme può essere importante quando si persegue qualcuno negli Stati Uniti.
Bitcoin Bitcoin è una criptovaluta, cioè una valuta virtuale decentrata, peerto-peer, inventata da Satoshi Nakamoto, uno pseudonimo di cui non si conosce la vera identità. Satoshi significa “saggezza” o “ragione” e Nakamoto significa “fonte centrale”. Qualcuno sostiene che quello del Bitcoin sia un concetto libertario, dato che il sistema è decentrato e non dipende da un governo. Le criptovalute, come il Bitcoin, non sono illegali negli Stati Uniti, anche se a volte sono utilizzate per scopi illeciti, dato il loro intrinseco anonimato. Il Bitcoin può essere utilizzato per acquistare voli, prenotare hotel, ordinare la pizza e acquistare molti altri prodotti in tutto il mondo. Quando chi possiede dei Bitcoin li invia a un’altra persona, la valuta viene inviata da un wallet (portafoglio) Bitcoin a un altro wallet Bitcoin su un computer o un dispositivo intelligente. Un wallet conserva
la valuta Bitcoin di un utente. Esistono molti wallet Bitcoin fra i quali si può scegliere e tutti possono essere cifrati e protetti da password. Il wallet spesso usa il sistema crittografico SHA-256-bit con doppia chiave, pubblica e privata. La chiave pubblica è pubblicata in blockchain.info. L’indirizzo del wallet di solito è lungo 34 caratteri alfanumerici. I pagamenti possono essere effettuati anche mediante un codice QR, che può essere usato anche per acquistare o vendere Bitcoin in speciali ATM Bitcoin. Un investigatore normalmente cercherà il file wallet.dat sul computer o lo smartphone del sospettato per trovare il wallet Bitcoin. WalletExplorer.com è un sito web che può essere usato per cercare indirizzi Bitcoin, ID di wallet e altri identificatori. Un miner risolverà un problema matematico prima di inoltrare la valuta Bitcoin al destinatario e in cambio riceverà una piccola percentuale. Il mining di Bitcoin richiede una grande potenza di calcolo, e le grandi aziende stanno cercando di affrontare il problema di qualche miner che usa le loro reti per le attività con i Bitcoin. Blockchain (blockchain.info) è un registro elettronico pubblico che tiene traccia di tutte le transazioni (o “blocchi”) Bitcoin. Chiunque può vedere questi blocchi in tempo reale, ma stabilire chi sia responsabile di ciascuna transazione è problematico, senza sapere data e ora di una transazione e senza conoscere l’identità delle persone. Inoltre ogni blocco può essere una combinazione di più transazioni. Per complicare ulteriormente le cose, un criminale può usare un Bitcoin tumbler, un servizio che “mescola” transazioni Bitcoin rendendo ancora più difficile collegare i Bitcoin a una specifica transazione in Blockchain. Per questo Bitcoin è la valuta d’elezione dei criminali nei mercati del Dark Web. Molti venditori che agiscono in questi mercati convertono rapidamente i Bitcoin che ricevono in altre criptovalute, come Monero, Ethereum o Dash. Un criminale può scambiare Bitcoin con Monero
perché quest’ultima criptovaluta non ha un registro pubblico, perciò l’esame di queste transazioni è ancora più complesso. Il Genesis Block è stato il primo blocco nella Blockchain. È stato creato non prima del 3 gennaio 2009 e questo blocco non può essere usato di nuovo.
Venmo e Vicemo Esistono molti servizi di pagamento peer-to-peer. Venmo (venmo.com) è un servizio che consente agli utenti di inviare denaro ad altre persone, di effettuare depositi su una banca o addirittura di fare acquisti. Vicemo (vicemo.com) è un sito web che elenca utenti che presumibilmente acquistano stupefacenti, alcol e sesso su Venmo. Anche se devono essere verificate le effettive transazioni, Vicemo è un’altra fonte potenziale di intelligence open source per le forze dell’ordine.
Prove da siti web Il contenuto dei siti web cambia continuamente e a volte, non appena un investigatore di Computer Forensics viene coinvolto in un’indagine online, il sito web che gli interessa ha già subito qualche variazione.
Archivi dei siti web Una cosa interessante è l’esistenza di un sito web che consente agli utenti di vedere come si presentava un sito web in un particolare momento del passato. Nel sito archive.org, l’utente può accedere all’utility WayBackMachine (Figura 5.9), inserire un URL ed eseguire una ricerca per vedere istantanee storiche del relativo sito web.
Figura 5.9 Vista storica del sito www.apple.com (il 19 agosto 2004) con WayBackMachine.
Statistiche sui siti web A volte un investigatore ha bisogno di trovare statistiche relative a un particolare sito web. Netcraft (news.netcraft.com) offre un’ampia serie di statistiche sui siti web, fra cui indirizzo IP, per quanto tempo il sito è stato attivo, l’indirizzo di posta del proprietario del dominio, il sistema operativo del web server e molte altre statistiche che possono risultare utili (Figura 5.10).
Figura 5.10 Statistiche del sito www.pace.edu presenti in Netcraft.
The Pirate Bay The Pirate Bay (thepirate-bay.org) è un sito web che sostiene di essere il più grande fra i tracciatori BitTorrent del mondo. BitTorrent è un protocollo di condivisione di file che facilita la diffusione di file di grandi dimensioni. Il sito è noto per la condivisione di informazioni confidenziali trafugate, come i dati sensibili rubati dal gruppo hacktivista AntiSecurity (o “AntiSec”) alla Booz Allen Hamilton, che è un appaltatore di sicurezza di alto profilo per il governo. Il gruppo ha caricato sette file contenenti 90.000 email e password militari rubate. Alexa Alexa (www.alexa.com/siteinfo) è un altro sito web che mette a disposizione molte statistiche su vari siti web (Figura 5.11).
Figura 5.11 Il sito web Alexa.
Ricerche di base su un sospettato La ricerca online di informazioni personali può avere caratteristiche molto diverse, a seconda di ciò di cui ha bisogno l’investigatore. In queste ricerche possono essere d’aiuto numero risorse online, per recuperare informazioni di varia natura: informazioni personali; interessi personali e appartenenza a gruppi di utenti; contributi forniti a blog; presenza nei social network; reti professionali; documenti pubblici; posizione geografica.
Ricerca di informazioni personali Molti siti web forniscono informazioni di base sulle persone, come indirizzo e numero telefonico. La maggior parte di questi siti ottiene ricavi vendendo all’utente informazioni più ampie sotto forma di servizi “premium”, che possono offrire informazioni anche sul patrimonio delle persone. I datori di lavoro a volte usano i servizi dei siti web che elenchiamo di seguito, e anche gli investigatori vi fanno ricorso. È importante notare che le ricerche per nome in genere forniscono più risultati, alcuni dei quali sono doppioni della stessa persona, legati a vecchi indirizzi. Zaba Search Zaba Search (www.zabasearch.com) consente di condurre una ricerca in base a un numero di telefono cellulare (Figura 5.12). Il servizio è gratuito e presenta anche una mappa di Google Earth della posizione della persona.
Figura 5.12 Zaba Search.
US SEARCH US SEARCH (www.ussearch.com) è un’altra risorsa online per la ricerca di informazioni personali (Figura 5.13). Fra i risultati, quando possibile, c’è anche un elenco di relazioni. Il valore del sito è limitato, se non si accede ai servizi a pagamento.
Figura 5.13 Il sito web US SEARCH.
Searchbug SearchBug (www.searchbug.com) è un servizio gratuito che consente l’invio di messaggi di testo a un telefono cellulare (Figura 5.14).
Figura 5.14 Searchbug.
Skipease Skipease (www.skipease.com) consente all’utente di inserire il codice di avviamento postale e un nome per effettuare una ricerca su una persona negli Stati Uniti. Fra i risultati compaiono informazioni ulteriori ricavate da siti sponsorizzati (Figura 5.15).
Figura 5.15 Skipease.
Spokeo Spokeo (www.spokeo.com) consente la ricerca di persone (Figura 5.16). I singoli possono chiedere che le loro informazioni vengano eliminate dal motore di ricerca del sito. Spokeo può aiutare a verificare l’iscrizione a siti di social networking (ma a pagamento).
Figura 5.16 Il sito Spokeo.
pipl Il sito pipl (www.pipl.com) fornisce altri dati personali, compresi quelli di siti come Been Verified o White Pages (Figura 5.17).
Figura 5.17 Il sito pipl.
Online si trovano molti altri fornitori di dati personali, fra i quali per esempio PeopleFinders (peoplefinders.com) e Intelius (www.intelius.com), ma la maggior parte di questi siti offre una quantità molto limitata di informazioni, a meno che non si sia disposti a pagare per usufruire dei loro servizi premium.
Interessi personali e gruppi di utenti Nel giugno 2009, la polizia svizzera ha annunciato di avere identificato una rete di pornografia infantile in Internet che si estendeva su 78 paesi e coinvolgeva oltre 2000 indirizzi IP. Aveva ricevuto dall’INTERPOL indicazioni in merito a un sedicente sito di musica hiphop che in realtà era utilizzato per distribuire video di abusi su minori. L’indagine ha condotto a molti arresti e molte condanne. Internet facilita continuamente la diffusione di materiali illeciti, fra cui in particolare video e immagini di minori. I pedofili si trovano anche in gruppi di
utenti, dove condividono immagini e idee su come adescare minori. Cosa ancora più importante, quando si individua un gruppo di utenti di questo genere, le forze dell’ordine possono smantellare un’intera rete di pedofili, perché questo tipo di predatori tende a intessere rapporti con altre persone con i loro medesimi interessi. Molte di queste reti di pedofili si presentano sotto la forma di un servizio legittimo, per mascherare le proprie attività clandestine. In un caso, polizia e FBI hanno scoperto un sito web che fingeva di fornire aiuto a minori vittime di abusi ma era in realtà utilizzato per adescarli. Al-Qaeda ha usato in modo efficace Internet, e i gruppi di utenti in particolare, per diffondere il proprio messaggio d’odio e reclutare nuovi membri. Le forze dell’ordine visitano spesso questi gruppi di utenti per stabilire chi sia opportuno tenere sotto controllo e accertare se vi siano pericoli imminenti per la comunità in generale. Nel 2011 è stato sostenuto che 10.000 gruppi jihaidisti usavano vBulletin, una piattaforma per le discussioni di gruppo. Oggi, questi gruppi jihaidisti e molti gruppi paramilitari di destra diffondono la loro propaganda attraverso migliaia di canali in Telegram. Telegram è un’applicazione che consente ai suoi utenti di comunicare su un canale come gruppo, attraverso cellulare o attraverso un browser web, e può essere usata anche per inviare messaggi direttamente a singole persone. Si è molto diffusa fra i gruppi estremisti grazie alle sue robuste tecniche proprietarie di crittografia e al fatto che l’azienda non facilita le indagini delle forze dell’ordine. SocialNet e OIMonitor, di ShadowDragon (shadowdragon.io), sono strumenti che possono essere utilizzati per copiare dati da Telegram. I gruppi di utenti sono in generale un’ottima fonte di dati personali, quando si vuole profilare il comportamento di un individuo. Esistono molte altre risorse eccellenti che possono rendere più rapido il lavoro di un investigatore. Il sito di gestione di social media
HootSuite (hootsuite.com) è un sistema di integrazione che raccoglie informazioni da molti siti di social media e costituisce uno strumento prezioso per gli investigatori (Figura 5.18). Social Searcher (social-searcher.com) è un altro sito web utile per la ricerca di account di social media, che usano identificatori come nomi utente. Un altro sito con caratteristiche simili è knowem? (knowem.com).
Figura 5.18 Il sito HootSuite.
Ricerca di beni rubati Internet ha reso più facili ai ladri trarre un profitto dai propri reati, ma ha reso più facile anche la ricerca di beni rubati. SearchTempest (www.searchtempest.com) è un sito che permette di effettuare ricerche negli annunci di molti altri siti, fra cui anche eBay e Amazon. Ovviamente, gli investigatori devono controllare eBay e Craigslist direttamente. La ricerca di oggetti rubati in questi siti è molto impegnativa, ma può essere efficace quando si tratta di oggetti unici. LeadsOnline (leadsonline.com) è un servizio per le forze dell’ordine, per eBay e altri rivenditori, che mette a disposizione un database
ricercabile di beni rubati. A volte un investigatore può voler mantenere una sorveglianza online per le attività di un sospettato, in base anche a un numero di telefono o un indirizzo email associati a quella persona. Monster Crawler (www.monstercrawler.com), Search.com e Google Alerts (www.google.it/alerts) sono strumenti efficaci per effettuare ricerche su più motori di ricerca e per ricevere avvisi su quando viene rilevata online qualche attività da parte di un sospettato. È possibile anche usare i feed RSS di eBay per ricevere avvisi in merito ad attività collegate a determinati numeri telefonici. Questo è particolarmente importante quando si cerca di identificare trafficanti di droga. Gli investigatori possono usare anche parole chiave speciali per individuare utenti e spacciatori di sostanze stupefacenti, con termini del gergo come 420YNOT, PIFF, MJ. Quando le ricerche riguardano l’attività di gang, parole chiave utili per le indagini possono essere termini come blood, crip e cokeboys. Instant Messaging (IM) La messaggistica istantanea si è trasformata, in tempi recenti: non si tratta più solo di messaggi di testo, ma anche di video, VoIP e videocomunicazioni. Molti computer hanno già integrata una webcam e la velocità di trasferimento dei dati è aumentata drasticamente grazie alla diffusione delle comunicazioni a banda larga, cosicché le comunicazioni video sono diventate più agevoli. Applicazioni come Skype, FaceTime e Google Hangouts perciò si sono sempre più diffuse. Internet Relay Chat (IRC) è uno strumento text-to-talk per comunicare con altri online e il suo nome è diventato sinonimo di messaggistica istantanea. IRC si può usare per comunicare a due o per discorrere con un gruppo di persone contemporaneamente in una chat room; può essere usato anche per condividere file. Il protocollo IRC può essere usato da malintenzionati anche per inviare comandi a un
altro computer, trasformandolo in un computer zombie. Spesso il malware inviato a utenti IRC è associato alla porta 6667. Mibbit è un sito (Figura 5.19) che mette a disposizione un motore di ricerca per gruppi di chat. Il sito effettua il monitoraggio di oltre 6000 reti IRC e le ricerche possono essere effettuate su queste reti in base a categorie.
Figura 5.19 Il sito Mibbit.
IRC è estremamente importante per le forze dell’ordine, perché molti criminali la usano per comunicare con altri criminali, con cocospiratori o potenziali vittime. Terroristi, pedofili, ladri di carte di credito e cyberbulli frequentano regolarmente le chat room. Dal punto di vista della Computer Forensics, la fonte di informazioni più importante sono i server IRC, ancora più dei computer che usano il servizio. Gli investigatori però devono agire molto rapidamente, perché le società che gestiscono i server non mantengono molto a lungo i registri delle chat degli utenti: in molti casi, al massimo per sette giorni.
L’importanza delle prove ottenute dalla messaggistica istantanea si può vedere nel caso di cyberbullismo ai danni di Ryan Halligan. Il 7 ottobre 2007, questo studente di scuola media si è suicidato dopo essere stato bullizzato online. Halligan e i suoi amici avevano conversato utilizzando AIM (AOL Instant Messenger). Le conversazioni sono state involontariamente registrate e archiviate perché Halligan aveva installato DeadAIM (un programma freeware, creato da JDennis, per disabilitare le pubblicità e permettere la navigazione a schede). Il padre di Ryan ha scoperto le cartelle archiviate che DeadAIM aveva creato sul computer di Ryan e che contenevano le trascrizioni di conversazioni in AIM, da cui è emerso che una ragazza di nome Ashley aveva finto di essere interessata a Ryan ma poi lo aveva definito un perdente. Aveva finto che Ryan le piacesse per potergli estrarre informazioni e poi condividerle e metterlo in imbarazzo di fronte ai suoi amici. Un problema che gli investigatori devono affrontare quando esaminano i registri delle chat è l’uso dello slang e degli acronimi. La Tabella 5.1 elenca alcuni acronimi in inglese usati spesso nella messaggistica istantanea e negli SMS da cellulare. Ho ovviamento scelto di non inserire nella tabella molti acronimi che, diciamo così, sarebbe stato poco elegante stampare nel libro, ma li potete trovare facilmente online. Tabella 5.1 Acronimi inglesi di uso comune nella messaggistica istantanea. Acronimo
Significato
BF
Best friend/boyfriend
BFF
Best friends forever
BG
Be good
CUL8R
See you later
def
Definitely
GF
Girlfriends
GGN
Gotta go now
Acronimo
Significato
huh
What?
K
OK
KPC
Keeping parents clueless
LOL
Laughing out loud
MOS
Mom over shoulder
NP
No problem
OMG
Oh my God
peeps
People
PIR
Parent in room
PLZ
Please
POMS
Parent over my shoulder
pron
Pornography
PRW
Parents are watching
pw
Password
r
Are
R U there?
Are you there?
RBTL
Read between the lines
RN
Right now
S2U
Same to you
sec
Wait a second
shhh
Quiet
srsly
Seriously
sup
What is up?
SWF
Single white female
TOM
Tomorrow
TOY
Thinking of you
TTFN
Tata for now
W8
Wait
WD
Well done!
XLNT
Excellent
XOXO
Hugs and kisses
XTC
Ecstasy
NOTA Urban Dictionary (www.urbandictionary.com) è un’ottima risorsa per gli acronimi e per i termini che i giovani usano oggi quando comunicano sui social media.
Prove dalla messaggistica istantanea Strumenti forensi come FTK consentono all’utente di cercare registri delle chat nel computer di un sospettato. Applicazioni di messaggistica istantanea diverse memorizzano i registri in posizioni diverse su un computer: nel Registro, nelle cartelle AppData, nella cartella Programmi e a volte anche in Documenti e Impostazioni. I protocolli principali per la messaggistica istantanea sono IRC, ICQ e XMPP. Chi ha condotto attacchi ha preso di mira Internet Relay Chat (IRC) perché non usa connessioni cifrate. Storicamente IRC era usata da AOL, anche se ora usa OSCAR (Open System for Communication in Realtime). ICQ è stato sviluppato inizialmente da Mirabilis ma poi è stato acquistato da AOL, che poi lo ha venduto al Mail.ru Group nel 2010. Extensible Messaging and Presence Protocol (XMPP), noto in precedenza con il nome di Jabber, è un protocollo di messaggistica istantanea basato su XML che era stato sviluppato dalla comunità open source. Discord, che ha oltre 250 milioni di utenti in tutto il mondo, è un altro servizio di messaggistica che vale la pena citare. Un esame del database SQLite associato genera una grande quantità di evidenze, fra cui anche fotografie e chat. Anche Slack è una piattaforma importante di messaggistica, utilizzata principalmente negli ambienti di lavoro, dove è molto diffusa. AIM Phoenix Sono disponibili molti tipi di applicazioni di messaggistica istantanea. Ciò che complica il lavoro di un investigatore di Computer
Forensics è che variano anche i formati dei file. I messaggi AIM sono conservati in un formato HTML, mentre altri servizi li salvano come testo in chiaro. Per default, i messaggi AIM non vengono salvati automaticamente. Questi file possono essere riconosciuti in base all’estensione del nome di file .aim. AIM aveva la quota di mercato più ampia nella messaggistica istantanea nel Nord America. Skype I messaggi di testo di Skype invece vengono salvati per default. Purtroppo, però, i file di Skype non sono facilmente leggibili. Si possono riconoscere per l’estensione del nome di file, che è .dbb. SkypeLogView è un’applicazione freeware che può leggere file di log Skype. Questi file includono messaggi di chat, chiamate in ingresso e in uscita e trasferimenti di file. Esistono anche molti altri strumenti, fra cui Skyperious e SkypeBrowser. Molte applicazioni Skype, come Skype Recorder, possono registrare automaticamente le conversazioni audio, il che è utile perché, se un agente sotto copertura deve comunicare con un sospettato con Skype può registrare la conversazione. In un computer Windows, la posizione dei file di log Skype dipende dalla versione del sistema operativo, ma questa è una buona posizione per iniziare le ricerche: :\Documents and Settings\[Username]\AppData\Roaming\Skype\[Skype Username].
In Windows 10, i log delle chat Skype si trovano qui: %localappdata%\Packages\Microsoft.SkypeApp_*\LocalState\\skype.db
Su un Mac, si può accedere a questi log in questa posizione: ~/Library/Application Support/Skype//main.db
Google Hangouts Google Hangouts, un tempo denominato GoogleTalk, ha conquistato una quota di mercato crescente, come alternativa a Skype, perché è
fornito in bundle con molti dispositivi dotati di sistema operativo Android, fra cui anche i tablet. Android è un sistema operativo, di proprietà di Google, che è stato sviluppato per i dispositivi mobili, come i cellulari e i tablet. Le evidenze di Google Hangouts si possono trovare nel file Hangouts.json, i cui contenuti possono essere visualizzati con un convertitore JSON. JSONBuddy è uno strumento che un investigatore forense può prendere in considerazione. Google Takeout è uno strumento, prodotto da Google Data Liberation Front, che consente agli utenti delle applicazioni Google di esportare i loro dati in un file di archivio per poterli rivedere e analizzare. Anche questo è uno strumento a cui gli investigatori possono affidarsi. Gruppi Usenet Che un investigatore cerchi un pedofilo o un sospetto terrorista, i gruppi usenet sono un buon posto da cui iniziare. Binsearch è un sito web (Figura 5.20) che può aiutare un investigatore a individuare gruppi o persone particolari in usenet. Una usenet è una bacheca di discussione distribuita online che consente agli utenti di pubblicare messaggi e leggere quanto è stato postato. Le usenet, chiamate a volte anche newsgroup, hanno fatto la loro comparsa nel 1980 e sono simili a a sistemi di bulletin board o a forum Internet. I gruppi usenet sono famosi perché attraggono pedofili, dissidenti politici, terroristi e altri, perché non esiste un server host centrale, quindi ciascuno può configurare un server web per i propri scopi.
Figura 5.20 Binsearch.
Google Groups Un altro modo per cercare un sospettato su una usenet passa attraverso Google Groups (Figura 5.21). Questo sito web consente agli utenti di effettuare ricerche negli archivi di milioni di messaggi usenet nell’arco di anni.
Figura 5.21 Google Groups.
Blog Tenere sotto controllo i blog e attraverso questi raccogliere informazioni su un sospettato è importante. Esistono in particolare certi tipi di blog che attirano determinati tipi di criminali. I pedofili usano blog e chat room per entrare in rapporto con altre persone simili e anche i terroristi frequentano i blog e condividono il loro odio e la dedizione a una particolare causa con altri che la pensano come loro. Dopo gli attentati a Utoya, in Norvegia, nel luglio del 2011, la polizia ha effettuato una ricerca nei blog per scoprire se l’attentatore, Anders Behring Breivik, avesse pubblicato qualcosa. È normale che la polizia cerchi fra i blog quando è stato commesso un crimine grave, in particolare dopo un attentato, per capire le motivazioni e, cosa ancora più importante, per stabilire se l’attentatore aveva complici. Per cercare fra i blog, si può usare Blog Search Engine (www.blogsearchengine.org, Figura 5.22).
Figura 5.22 Blog Search Engine.
I militanti jihaidisti, in particolare di Al-Qaeda e dello Stato islamico (IS) hanno utilizzato i blog per reclutare e motivare potenziali seguaci. Samir Khan, per esempio, è stato un blogger radicale vicino ad Al-Qaeda che ha pubblicato molto sul suo blog quando era studente in
un college di Charlotte, nel North Carolina. In seguito è stato ucciso, insieme con il famigerato leader di Al-Quaeda Anwar al-Awlaki, in un attacco condotto dagli Stati Uniti con un drone in Yemen. Social network La grande diffusione dei social network fa sì che siano una straordinaria fonte di informazioni per gli investigatori. L’accesso a siti come Facebook è ormai onnipresente; inoltre, gli utenti possono scattare foto con i loro smartphone (come un Samsung Galaxy) e caricarle in questi social network nel giro di pochi secondi. Anche chi possiede un tablet o un iPad può facilmente pubblicare commenti e caricare immagini. Dati di geolocalizzazione Dati di geolocalizzazione sono disponibili da siti come Facebook, Twitter e Foursquare: gli utenti di questi servizi forniscono, volontariamente o senza saperlo, una grande quantità di informazioni sui luoghi in cui si trovano. Il rilevamento della posizione geografica, per esempio, spesso è attivato su dispositivi come l’iPhone, anche se oggi non lo è più per default. Anche gli smartphone con il sistema operativo Android sono in grado di catturare dati sulla posizione geografica. Le fotografie scattate con certe fotocamere, e anche quelle scattate con smartphone come l’iPhone, contengono un tag di geolocalizzazione, se questo servizio è attivato. Un tag di geolocalizzazione fa parte dei metadati dell’immagine e indica latitudine e longitudine del luogo in cui l’immagine è stata ottenuta. Dati di geolocalizzazione possono essere associati a molte applicazioni, fra cui Instagram, YouTube, Facebook e Twitter. È possibile ottenere un mandato perché MapQuest riveli l’indirizzo IP associato alle ricerche sul suo sito.
I tag e i dati di geolocalizzazione possono aiutare le forze dell’ordine a individuare la posizione di persone sospettate e di criminali condannati, ma anche i criminali possono usare i dati geografici per capire dove si trovano altre persone, per molestarle o per compiere un furto nella loro abitazione. Per esempio, un utente che invia messaggi in Twitter o effettua il check-in con Facebook nei luoghi in cui va può rendere semplice a un criminale scoprire quali siano i suoi percorsi abituali e stabilire se in un dato momento si trovi o meno nella propria abitazione. Siti come Please Rob Me (pleaserobme.com) usano i dati dei social network per stabilire dove è stata una persona e dove si trova in un dato momento. Anche il geofencing, che permette di emettere un’ingiunzione a Google per stabilire quali utenti si siano trovati in un’area specifica, è una fonte estremamente importante di informazioni di geolocalizzazione, che possono restringere il numero dei sospettati. Creepy (geocreepy.com) consente a un investigatore di stabilire la posizione di un utente sulla base di dati di geolocalizzazione ricavati da Twitter, Facebook e altri social network. Questo strumento è ancora disponibile, ma non è più manutenuto e da tempo non offre aggiornamenti. Facebook Facebook ha oltre 2,6 miliardi di utenti attivi, molti dei quali accedono ai propri profili da dispositivi mobili. Facebook è stato usato dai criminali che compiono furti di identità per profilare le loro vittime, dagli investigatori per individuare e catturare criminali in fuga e persino dalle vittime, che pubblicano foto di intrusi nelle loro case (ma anche dai ladri per individuare le abitazioni da svaligiare, grazie a quanti pubblicano aggiornamenti di stato del tipo “sono in vacanza”). Facebook può essere usato come motore di ricerca di profili e contenuti degli utenti. Si può condurre una ricerca in Facebook con
espressioni del tipo “Foto di persone che vivono a…” o “Persone che vivono a e amano le droghe”. Le fotografie, come abbiamo già detto, contengono informazioni di geolocalizzazione, perciò un investigatore può stabilire dove sia stata scattata una foto: recentemente, sono stati catturati dei latitanti grazie alle fotografie che avevano pubblicato su Facebook e alle relative informazioni di geolocalizzazione, che hanno condotto la polizia fino al luogo in cui si nascondevano. Facebook oggi elimina i dati di geolocalizzazione dalle immagini caricate dagli utenti, prima di renderle disponibili online, ma mantiene una documentazione di quei dati. In generale le forze dell’ordine, sulla scorta di un opportuno mandato, sono in grado di avere accesso a quei dati. Su Facebook esistono anche migliaia di gruppi. Le forze dell’ordine ne fanno uso, in particolare in Canada: si può trovare in Facebook un gruppo Canada’s Most Wanted Criminals, dedicato a far conoscere al pubblico i criminali ricercati. La Royal Canadian Mounted Police (RCMP) usa ampiamente Facebook per divulgare le proprie iniziative e informare il pubblico. La RCMP della Prince Edward Island (PEI), la più piccola delle province canadesi, ha utilizzato Facebook per tracciare i luoghi in cui i ragazzi tengono le feste e prevenire il consumo di alcolici e la guida in stato di ebbrezza. La PEI RCMP gestisce anche un profilo Facebook di AMBER Alert per facilitare la localizzazione rapida di bambini rapiti. AMBER è l’acronimo di America’s Missing: Broadcasting Emergency Response, ma il nome è anche in ricordo di Amber Hagerman, una bambina di nove anni rapita e uccisa in Texas nel 1996. Incidentalmente, un’organizzazione che si chiama Wireless AMBER Alerts consente agli utenti di iscriversi e collaborare alla ricerca di minori scomparsi (https://amberalert.ojp.gov/resources/wireless-emergencyalert). L’FBI ha sviluppato anche l’app Child ID, su cui genitori e tutori
possono registrare informazioni sui loro figli, per inviarle rapidamente alle forze dell’ordine in caso di emergenza. Anche l’FBI ha usato Facebook per cercare di catturare criminali ricercati e ha addirittura sviluppato un’applicazione per iPhone, FBI Wanted. Ha usato Facebook, Twitter e YouTube per coinvolgere il pubblico nella ricerca di criminali ricercati. Qualche credito va attribuito ai social media per la cattura di James “Whitey” Bulger, il mafioso di Boston, latitante per 16 anni: l’FBI ha pubblicato un video su YouTube, per individuare la compagna di Bulger, Catherine Greig (Figura 5.23).
Figura 5.23 Video dell’FBI YouTube di Catherine Greig (compagna di James Bulger).
Twitter Twitter può essere un’ottima risorsa per ricostruire gli eventi che hanno condotto a un crimine o a un certo comportamento da parte di un criminale. Gli utenti possono “twittare” dove si trovano e che cosa stanno facendo. Alcuni account Twitter sono stati usati anche per
vanificare l’attività delle forze dell’ordine: in California, gli automobilisti usavano Twitter per avvertire gli altri guidatori sulla posizione di posti di controllo. L’URL twitter.com/explore consente a un investigatore di scoprire quali utenti stanno parlando di un tema particolare in Twitter. Una ricerca può essere molto specifica e ristretta a una posizione geografica, per esempio: “near:boston lego”. Esistono vari strumenti di Twitter analytics che usano le API di Twitter. Una Application Programming Interface (API) è un insieme di definizioni e protocolli che semplificano l’interazione con un’applicazione o un programma, senza che sia necessario sapere quale sia il funzionamento interno di quell’applicazione. Foller.me è uno strumento eccellente per la Twitter analytics: mostra i dettagli delle connessioni di un utente, gli argomenti, gli URL e anche il modo in cui ha inviato i propri tweet (per esempio: lo ha fatto utilizzando un iPad). Presenta informazioni sugli utenti, quando hanno iniziato a frequentare Twitter, quali tipi di argomenti discutono, il numero di tweet e retweet. Il sito followerwonk.com consente a un utente di accedere al proprio account Twitter e di analizzare i propri follower, scoprendo dove si trovano e quando twittano. Un altro strumento, TweetDeck (tweetdeck.twitter.com), facilita il tracciamento degli account Twitter in tempo reale. MySpace MySpace è un social network molto simile a Facebook, ma con un numero di utenti molto inferiore. Un utente può creare un profilo e “fare amicizia” con singoli e gruppi. Gli utenti sono tendenzialmente più giovani di quelli di Facebook e la musica è uno degli interessi principali degli iscritti.
Reti professionali Spesso gli investigatori, per creare il profilo di un sospettato o catturare un criminale, ricorrono ai social network, ma trascurano erroneamente quelli di tipo professionale. LinkedIn Oltre 460 milioni di professionisti usano LinkedIn (www.linkedin.com; Figura 5.24) e con ricerche in questo sito si possono ottenere informazioni sulla rete di amici e sui contatti professionali di un utente. Si possono stabilire anche gli interessi, sulla base dei gruppi e delle organizzazioni di cui sono membri. LinkedIn facilita anche l’uso di altri social network come Twitter: un utente può collegare un account LinkedIn a uno Twitter e postare tweet da LinkedIn. Quando si cercano profili utente, è importante ricordare che un utente può identificare chi ha visto il suo profilo: meglio quindi effettuare le ricerche attraverso Google e usare un profilo sockpuppet.
Figura 5.24 LinkedIn.
Anche i siti seguenti possono fornire informazioni sui professionisti e sulle organizzazioni a cui sono associati: Xing (www.xing.com); Spoke (www.spoke.com); D&B Hoovers (www.dnb.com).
Pubblici archivi Molti pubblici archivi contenenti informazioni personali sono disponibili sul Web. Alcuni sono relativi ai precedenti legali e sono indicati qui di seguito. BRB Publications, Inc.
BRB Publications (www.brbpub.com; Figura 5.25) fornisce, a pagamento, informazioni sulle persone (negli Stati Uniti) e sui loro precedenti, come reati penali, bancarotta, ipoteche, documentazione sui beni immobili, proprietà di attività economiche.
Figura 5.25 Il sito web di BRB Publications.
Utilizzo di indirizzi IP Un indirizzo IP (Internet Protocol) identifica in modo univoco un host in Internet ed è un numero a 32 bit nel caso dell’Internet Protocol Version 4 (IPv4) o di 128 bit nel caso di IPv6. Nel Capitolo 7 parleremo degli indirizzi IP più in dettaglio. L’host può essere un computer client, un server web o anche una risorsa condivisa, come una stampante. Per fortuna, non è necessario ricordare i numeri associati a un indirizzo IP. Siti come WebToolHub.com consentono di inserire un indirizzo IP in formato testuale e convertirlo nel valore numerico corrispondente (e viceversa).
Un indirizzo IP dinamico è un indirizzo IP assegnato da un Internet Service Provider (ISP) ogni volta che uno dei suoi client si collega a Internet; un indirizzo IP invece è statico se un ISP lo assegna per un periodo di tempo o in modo permanente. Numerosi siti forniscono agli investigatori informazioni sulla posizione di un sospettato o anche di una vittima, per esempio: American Registry for Internet Numbers (www.arin.net); IP Chicken (www.ipchicken.com); MaxMind (www.maxmind.com); Geo Data Tool (www.geodatatool.com); WhatIsMyIPAddress (whatismyipaddress.com). Un altro strumento, con capacità più estese rispetto ad alcuni dei siti elencati sopra, è CentralOps.net. Questo sito fornisce una grande quantità di informazioni sui domini. Ricerche mediante metadati Fingerprinting Organizations with Collected Archives (FOCA), della Eleven Paths (www.elevenpaths.com), è uno strumento che usa i metadati nascosti nei documenti per individuare documenti simili nel Web. Può essere usato per identificare documenti che sono stati fatti trapelare all’esterno di un’azienda o di un’organizzazione e per identificare i siti web in cui si trovano. Questo strumento di analisi dei link è molto efficace per la ricerca in tutta Internet di documenti con metadati simili (per esempio, con lo stesso autore). Individuare la posizione di un sospettato Creepy (www.geocreepy.com) è uno strumento gratuito che si integra con la Application Programming Interface (API) di social media come Twitter. Può essere usato per avere una traccia di dove sia stata una
persona in base a quanto ha pubblicato sui social media, quando sul suo dispositivo mobile era attivata la funzione di localizzazione. Router Forensics Come abbiamo già detto, è di grande aiuto trovare un sistema attivo e recuperare prove dal computer mentre è ancora in funzione: si parla in questo caso di Live Forensics o di Triage Forensics. In genere da un sistema acceso si possono avere informazioni su un maggior numero di attività, poiché gli investigatori possono recuperare i contenuti della RAM. Lo stesso vale per i router, ma purtroppo molti investigatori si concentrano sul computer e trascurano le potenziali prove che può fornire un router, Le password di default dei router si possono trovare online in siti come RouterPasswords.com. Le forze dell’ordine possono accedere al router di un sospettato con un mandato di perquisizione oppure per consenso e possono documentare le impostazioni stampando le singole pagine su PDF (magari usando uno strumento come CutePDF, reperibile all’URL cutepdf.com) oppure con catture dello schermo. Accesso a informazioni personali da parte delle forze dell’ordine Un’inchiesta sugli eventi dell’11 settembre 2001 ha individuato una lacuna informativa nella raccolta di intelligence, che, se colmata, avrebbe potuto prevenire gli attacchi terroristici. In altre parole, le agenzie di intelligence e le forze dell’ordine non condividevano informazioni sulle persone tenute sotto osservazione e sui sospettati. Dopo gli attacchi dell’11 settembre, è stato costituito negli Stati Uniti il Department of Homeland Security (DHS). Il sistema non è perfetto, ma ora le agenzie locali, statali e federali hanno un migliore accesso alle informazioni, con meno burocrazia.
Forze dell’ordine locali Ciascuna autorità locale gestisce propri database dei criminali noti. A New York esiste un centro per queste informazioni, il Real Time Crime Center (RTCC), un data warehouse utilizzato dagli oltre 35.000 agenti della polizia di New York per tracciare e arrestare criminali noti e sospettati. I database conservano fedina penale, denunce di reato, arresti e telefonate ai numeri d’emergenza 911 e 311. Gli agenti di polizia registrano anche i soprannomi e i tatuaggi degli arrestati e conservano queste informazioni nel loro database allo RTCC. L’agenzia ha sviluppato anche un raffinato sistema di informazione geografica (GIS, Geographic Information System), che comprende immagini da satellite, per aiutare gli agenti a individuare rapidamente e catturare i sospettati. Scambi di informazioni fra agenzie federali, statali e locali In tutti gli Stati Uniti i fusion center si basano su database governativi e su repository di dati commerciali per raccogliere e recuperare informazioni personali. Entersect è un data broker commerciale che in un’occasione ha sostenuto di possedere miliardi di record su praticamente tutti i cittadini americani e che ha fornito questi documenti personali ai fusion center. Come abbiamo già osservato, questi centri sono un’iniziativa congiunta del Department of Homeland Security (DHS) e del Department of Justice (DOJ). Il DHS ha la responsabilità dello Homeland Security Information Network State and Local Intelligence Community Interest (HSIN-SLIC), utilizzato per distribuire informazioni sensibili ma non segrete fra autorità federali, statali e locali. La Homeland Security Data Network (HSDN) è una rete sviluppata dalla Northrup Grumman, che contiene informazioni top secret, riservate e non riservate. I fusion center possono fare affidamento anche sulle informazioni raccolte dal National
Counterterrorism Center (NCTC), un’agenzia governativa che fa parte dell’ Office of the Director of National Intelligence (ODNI) e raccoglie informazioni top secret relative alle attività antiterrorismo. La missione primaria dei fusion center è facilitare la raccolta e la distribuzione delle informazioni ai livelli federale, statale e locale delle forze dell’ordine, a fini di prevenzione dei reati e di una più rapida soluzione dei casi, ove sia stato commesso qualche reato. Un Terrorism Liaison Officer (TLO), dipendente di un fusion center, ha come responsabilità principale facilitare e coordinare la condivisione di informazioni fra molte agenzie. Questa funzione comporta il coordinamento dei sistemi di gestione della documentazione (Record Management Systems, RMS), che sono database locali, molto diffusi a livello delle forze dell’ordine locali. Tutte le forze dell’ordine, a tutti i livelli, hanno accesso anche ad altri database, come quello del Department of Motor Vehicles (DMV), che fornisce informazioni sulle infrazioni al codice della strada e altre informazioni personali. Servizi TLO online sono disponibili gratuitamente per le forze dell’ordine, dietro pagamento anche agli investigatori del settore privato. Anche aziende come Jiffy Lube raccolgono e gestiscono grandi quantità di informazioni personali. Fondato nel 1967, il National Crime Information Center (NCIC) è un database criminale di estrema importanza, utilizzato dalle forze dell’ordine di tutti gli Stati Uniti per catturare latitanti, recuperare beni rubati, identificare terroristi e ritrovare persone scomparse. Secondo l’FBI, alla fine del 2015 il NCIC conteneva oltre 12 milioni di record attivi, con una media di transazioni attive di 12,6 milioni ogni giorno. Il database può essere utilizzato per identificare un molestatore sessuale, trovare un membro di una gang o scoprire se un’arma sequestrata è stata rubata. Durante un controllo di routine sulle strade, la polizia può accedere al NCIC per stabilire se sono stati spiccati mandati contro
l’automobilista o se il veicolo risulta rubato. Per gli investigatori di Digital Forensics sono importanti i dispositivi elettronici rubati, come computer, tablet e smartphone, che si possono spesso trovare nel database NCIC. Altre agenzie governative hanno reti proprietarie con database ricercabili, come la FBINET sicura dell’FBI. Threat And Local Observation Notice (TALON) è un database sicuro per l’antiterrorismo gestito dall’U.S.Air Force dopo gli attacchi dell’11 settembre. Database internazionali L’INTERPOL è l’agenzia più grande a livello internazionale che raccoglie e distribuisce informazioni su criminali noti e sospettati. Mantiene database internazionali su tutto, dagli oggetti d’arte rubati ai sospetti terroristi, ai documenti di viaggio smarriti ai minori vittima di abusi. MIND/FIND (Fixed Interpol Network Database and Mobile INTERPOL Network Database) sono database online e offline mantenuti dall’INTERPOL per il controllo di persone e documenti al passaggio da uno stato all’altro. Accesso ai dati personali nell’Unione Europea L’Unione Europea (UE) ha adottato leggi sulla privacy che hanno ridotto drasticamente la quantità di dati personali che le aziende possono conservare e mettere a disposizione di terzi, a differenza di quanto avviene negli Stati Uniti, dove le leggi sulla privacy sono molto meno rigide per quanto riguarda raccolta e archiviazione di dati personali. Sono in corso iniziative per migliorare lo scambio di dati personali fra Stati Uniti e UE, ma esistono differenze importanti nella raccolta di informazioni, dai dati sui passeggeri delle linee aeree fino alle informazioni sulla registrazione negli hotel, e queste differenze possono ostacolare molto il lavoro di indagini collaborative
internazionali. Le leggi europee sulla privacy online, in particolare la General Data Protection Regulation (GDPR), hanno ridotto la quantità di informazioni personali raccolta e questo limita l’ambito delle evidenze disponibili per gli investigatori. Nel luglio 2020, la Corte di giustizia dell’UE ha invalidato il cosiddetto Privacy Shield (scudo UEUSA sulla privacy), in base al quale le società statunitensi potevano trasferire dati personali dall’Europa, in quanto ritenuto inidoneo a garantire una protezione equivalente a quella europea.
Crimini online Internet è una risorsa molto efficace per i ladri, che sono facilitati nell’ottenere informazioni personali e condurre i propri attacchi. I criminali possono trovare nuovi modi di mascherare la propria identità, di svolgere azioni di “ingegneria sociale” e di truffare persone e aziende. I furti di identità e le frodi con carte di credito sono aumentati a livelli senza precedenti proprio in conseguenza della diffusione di Internet.
Furto di identità Per la raccolta di informazioni personali, un criminale può usare un gran numero di siti web, come abbiamo visto, per stabilire il numero di telefono, l’indirizzo, il patrimonio di qualcuno, semplicemente pagando per una ricerca in profondità. Può anche vedere la residenza di una persona (usando un sito come Zillow, www.zillow.com) e formulare rapidamente un piano per compiere un furto in quella casa, se necessario ricorrendo anche all’uso di Google Earth. Oggi gli hacker non devono nemmeno impegnarsi molto per scoprire la password di un utente, ma possono semplicemente reinizializzarla rispondendo a una domanda di sicurezza del fornitore del servizio di
posta elettronica. Fra le domande tipiche, per esempio, ci sono quelle che chiedono quale sia la città in cui si è nati o il nome di un animale domestico. Le risposte a queste domande si trovano spesso nel profilo della persona su Facebook o su qualche altro social media. L’account email in Yahoo! di Sarah Palin, allora governatrice dell’Alaska, è stato violato e in seguito le sue email personali sono state divulgate online. A quanto pare, la violazione del suo account non ha richiesto grandi capacità tecniche: l’hacker ha reimpostato la password utilizzando la data di nascita di Palin, il suo codice di avviamento postale e le informazioni su dove aveva conosciuto il marito, tutte informazioni facilmente reperibili mediante ricerche in Google. L’autenticazione a due fattori (2FA) ha contribuito a ridurre alcune di queste vulnerabilità: per esempio, per poter reimpostare una password, bisogna disporre del codice di autorizzazione, inviato via SMS allo smartphone dell’utente. Spesso per ottenere le informazioni che permettono di accedere agli account di un utente, per esempio quello dell’online banking e quello dell’email, i criminali ricorrono ai keystroke logger (programmi che registrano i tasti premuti sulla tastiera dall’utente), ma anche le forze dell’ordine possono usare gli stessi programmi per catturare criminali. Un esempio è la cattura di Alexey Ivanov e Vasily Gorshkov, due hacker che avevano utilizzato le loro competenze per dedicarsi all’estorsione. L’FBI li ha potuti arrestare, alla fine, grazie all’uso di un keystroke logger. Nel Capitolo 12 questo caso è presentato più in dettaglio.
Numeri di carte di credito in vendita Il furto di carte di credito è un problema enorme in tutto il mondo e la sua diffusione è dovuta in gran parte proprio a Internet. In certe aree, la criminalità non frequenta più le strade ma il Web. Basta scrivere la parola “fullz” in qualsiasi motore di ricerca e si può vedere un elenco di siti web che vendono numeri di carte di credito rubate, compreso il
numero CVV che molti sono convinti fornisca agli utenti una adeguata sicurezza. Il numero di una carta di credito può costare anche solo un dollaro e mezzo. Molti numeri di carta di credito sono stati rubati grazie a malware come Zeus, un virus “cavallo di Troia”, che usava un keystroke logger per rubare informazioni su conti bancari e carte di credito.
Cartelle mediche elettroniche Nell’agosto del 2014, Community Health Systems, che è stata per un certo periodo la più grande società statunitense per la fornitura di servizi ospedalieri, ha denunciato il furto di 4,5 milioni di cartelle mediche. Secondo Mandiant (oggi FireEye), i responsabili del furto erano hacker cinesi. Lo Health Information Technology for Economic and Clinical Health Act (HITECH Act), nell’ambito dell’American Recovery and Reinvestment Act, ha reso obbligatorio il passaggio dalle cartelle cartacee a quelle elettroniche e, anche se inteso a migliorare l’efficienza nel settore sanitario, con il passaggio di grandi quantità di documenti al formato digitale e con la loro archiviazione in rete ha spianato la strada agli hacker. Il provvedimento imponeva lo spostamento di tutta la documentazione medica a un formato elettronico entro il gennaio 2015. Il costo dell’adeguamento è stato di miliardi di dollari ma, purtroppo, spesso il rispetto della scadenza è avvenuto a scapito della sicurezza informatica. La crescita di questo tipo di reati è stata fenomenale, per un motivo molto chiaro: mentre un numero di carta di credito o della Sicurezza sociale si vendono a poco più di un dollaro, la documentazione elettronica di un paziente può fruttare 20 dollari o più, sul mercato nero, perché contiene molte più informazioni di identificazione personale, che i criminali possono usare per un’intera serie di attività fraudolente.
Contraffazioni e indagini di controproliferazione Molti tipi di indagini possono richiedere l’esame di informazioni sulle spedizioni: per esempio, quelle sul traffico di prodotti contraffatti e le investigazioni di contropoliferazione (counter-proliferation investigations, CPI). Queste ultime sono le indagini volte a prevenire l’esportazione di armi e tecnologie proprietarie verso nazioni estere o gruppi terroristici. Port Examiner (portexaminer.com) è una risorsa online che consente a un investigatore di esaminare la documentazione delle dogane degli Stati Uniti. VesselFinder (vesselfinder.com) consente di tracciare le navi da trasporto merci pressoché in tutto il globo. MarineTraffic (marinetraffic.com) consente di rintracciare natanti in servizio attivo e non più in servizio in tutto il mondo. Si possono poi usare Google Street View e Google Earth per visualizzare i porti mercantili e i depositi nelle zone portuali. Nelle indagini su beni contraffatti in vendita online, molti siti web non autorizzati usano fotografie e immagini dei prodotti reali ricavate dai siti legittimi. Esistono siti, come TinEye (tineye.com), che possono effettuare una ricerca sulle immagini, per appurare in quali altri siti web compaiano.
Cyberbullismo Il cyberbullismo continua a essere un problema in tutto il mondo e ha ricevuto molta attenzione da parte dei media, specialmente per casi di alto profilo come quelli di Ryan Halligan, Phoebe Prince, Megan Meier e Tyler Clementi (vedi il Capitolo 12). Gli investigatori devono basarsi molto su prove digitali ottenute da fonti online, dal computer della vittima, da quelli dei sospettati e dai fornitori di servizi Web. Purtroppo, in molte giurisdizioni le leggi non sono state aggiornate tenendo conto di questo fenomeno.
Social network Come abbiamo già detto in questo capitolo, forze dell’ordine, aziende e criminali possono usare i social network per trovare informazioni sulle persone, ma i social network hanno offerto ampie occasioni anche per lo svolgimento di attività criminali. Facebook, per esempio, è stato utilizzato per lanciare app di phishing. Un esempio è l’invio di una notifica fraudolenta a proposito di un commento al post di un utente. Il link presente nella notifica può poi portare a un sito di phishing. Un altro caso illustra i problemi legati ai social network. Recentemente, una società di promozione per i college universitari ha pubblicato su Facebook falsi profili di studenti di scuola superiore. I profili presentavano uno studente di scuola superiore che voleva entrare in contatto con altri studenti allo stesso livello scolastico. I profili erano stati creati da una società di marketing, in modo da usare i collegamenti per promuovere i college agli studenti degli ultimi anni delle scuole superiori. Il Department of Defense degli Stati Uniti è stato molto incerto se permettere o meno al personale militare di accedere ai social network. Da un lato, questi possono contribuire a mantenere alto il morale dei militari, consentendo a quanti si trovano all’estero di mantenere i contatti con la famiglia e gli amici; dall’altro, le comunicazioni sui social media possono anche far trapelare segreti militari. In Israele, un’incursione militare è stata annullata dopo che un soldato israeliano aveva pubblicato su Facebook informazioni su quell’operazione. Si è parlato molto anche di Twitter: nel 2010, gli account Twitter di ministri del governo britannico sono stati violati. Analogamente, durante il conflitto tra Russia e Georgia per l’Ossezia nel 2008, sono stati violati vari account Twitter e il sito web del presidente georgiano
è stato fatto oggetto di un attacco di tipo Distributed Denial-of.Service (DDoS). Le attività criminali online non sono più semplicemente motivate dal denaro o dal desiderio di mostrare la propria abilità. In tempi recenti hanno cominciato a diffondersi la propaganda del terrorismo a sfondo religioso a opera di gruppi come Al-Qaeda e lo Stato islamico, e le iniziative di hacktivisti come Anonymous, AntiSec e LulzSec. Junaid Hussein, un hacker di origini britanniche, è salito ai massimi livelli gerarchici dello Stato islamico e ha condotto un attacco informatico globale che ha compromesso l’identità di personale militare degli Stati Uniti.
Cattura di comunicazioni online Gli investigatori di Computer Forensics devono spesso catturare contenuti online o in tempo reale o retroattivamente. I contenuti catturati online possono essere pagine HTML, l’indirizzo IP di un computer in Internet, messaggi vocali, video e di messaggistica istantanea. Uno degli strumenti più adatti per la cattura di contenuti e comunicazioni online è AXIOM. Sviluppato da Magnet Forensics, AXIOM è uno strumento molto diffuso fra gli investigatori perché acquisisce, in modo corretto dal punto di vista forense, artefatti Internet da computer e dispositivi intelligenti. Può analizzare in modo efficace i dati dei cookie, i siti web visitati e i file temporanei di Internet.
Cattura dello schermo Esistono molti software di cattura dello schermo. Sia su PC che su Apple Mac, catturare ciò che è visibile sullo schermo è relativamente
semplice. Nel caso dei PC, esiste il tasto Print Screen (Stamp); su un Mac, il procedimento è un po’ più complesso. In pratica: cattura dello schermo su Mac Il procedimento per catturare un’intera schermata su Mac è il seguente. 1. Aprite il browser web sul vostro Mac. 2. Tenendo premuti insieme il tasto Apple e il tasto Maiusc, premete il tasto 3, poi rilasciate i tre tasti. 3. Andate alla scrivania: ci troverete l’immagine dello schermo catturata. Il procedimento per catturare una porzione dello schermo è invece questo. 1. Aprite il browser web sul vostro Mac. 2. Tenendo premuti insieme il tasto Apple e il tasto Maiusc, premete il tasto 4, poi rilasciate i tre tasti. Verrà visualizzato un cursore a forma di croce. 3. Trascinate il cursore in modo da selezionare l’area dello schermo che volete catturare; quando avete selezionato l’area desiderata, rilasciate il mouse. 4. Andate alla scrivania: ci troverete l’immagine dello schermo catturata. Infine, ecco il procedimento per catturare la finestra di un’applicazione. 1. Aprite un’applicazione sul vostro Mac. 2. Tenendo premuti insieme il tasto Apple e il tasto Maiusc, premete il tasto 3, poi rilasciate i tre tasti. Verrà visualizzato un cursore a forma di croce. 3. Premete una volta la barra spaziatrice: comparirà l’icona di una fotocamera. 4. Fate clic sulla finestra dell’applicazione che volete catturare. 5. Andate alla scrivania: ci troverete l’immagine dello schermo catturata.
Windows 10 ora include lo Strumento di cattura (o Snipping Tool), che permette di catturare facilmente un’intera schermata, una finestra particolare o una porzione qualsiasi dello schermo. Per trovarlo, basta inserire nella casella di ricerca di Windows snip (o stru): nell’elenco dei programmi lo Strumento di cattura sarà il primo a comparire e basta premere il tasto Invio per aprire l’applicazione.
Utilizzo del video Gli investigatori incontrano spesso contenuti video su Internet ed è importante avere a disposizione uno strumento che possa catturarli.
Oggi gli investigatori non hanno più bisogno di scorrere i video per intero per comprenderne i contenuti, specialmente se il video è particolarmente esplicito e sconvolgente. Autopsy Video Triage consente di vedere fermi immagine in miniatura invece di effettuare lo streaming del video. L’investigatore può prestabilire gli intervalli per la creazione delle miniature, con il vantaggio ulteriore che queste immagini possono essere semplicemente copiate nel rapporto, invece di dover creare DVD del video per gli avvocati della difesa e dell’accusa. SaveVid.org è un altro strumento per la cattura di video online da YouTube e altri siti, in vari formati di file video. Real Player è disponibile gratuitamente da real.com e si distingue per la semplicità d’uso. Quando si guarda un video, non c’è bisogno di aprire l’applicazione: si porta il mouse nell’angolo superiore destro della finestra, dove si trova il pulsante Download This Video. Esistono anche vari altri strumenti per la registrazione dei video, fra cui WM Recorder (wmrecorder.com).
Visualizzazione dei cookie Un cookie è un file di testo, inviato da un server web a un client a fini di identificazione e autenticazione. Un cookie persistente è un file di testo che identifica un utente Internet, che viene inviato al browser e quindi conservato sul computer client fino alla data discadenza (memorizzata nel cookie stesso). In linea di massima, i cookie sono usati per tenere traccia dei siti web visitati dall’utente e sono quindi spyware. I cookie comunque non sono malware. Un cookie di sessione è un file di testo inviato a un browser, memorizzato nel computer e usato per identificare e autenticare un utente; viene eliminato alla chiusura del browser. Le banche online usano cookie di sessione per autenticare gli utenti durante una sessione, quando vengono effettuate richieste, per impedire attacchi del tipo man-in-the-middle. Se un
hacker tenta di prendere il controllo di una sessione online, il server web dovrebbe sapere che l’intruso finge di essere l’utente legittimo, perché non ha un cookie inviato dalla banca. È un po’ come per certe fiere: quando un utente paga per l’ingresso, riceve un braccialetto verde, l’equivalente di un cookie. Se un adolescente cerca di acquistare una birra e ha invece un braccialetto giallo, il venditore gliela negherà. L’adolescente equivale all’hacker, il venditore al server web. Un altro tipo ancora di cookie è il flash cookie, chiamato anche Local Shared Object (LSO), che memorizza dati sul sistema dell’utente ed è emesso da siti web che eseguono Adobe Flash. Questi cookie possono essere usati per tracciare un utente online. Microsoft Edge conserva i cookie in modo casuale in varie cartelle, nel tentativo di ostacolare gli hacker. Gli esaminatori che lavorano con sistemi dotati di Windows Vista, 7, 8 o 10 possono trovare cookie in \Users\\AppData\Roaming\Microsoft\Windows\Cookies\
Il file di testo del cookie identifica chiaramente i siti web che l’utente ha visitato, come si vede in questo esempio: __qca P0-170859135-1366509561547 livefyre.com/ 2147484752 559795968 30403767 3611057200 30293555 * __utma 218713990.303107170.1366509562.1366509562.1366509562.1 livefyre.com/ 2147484752 3363037824 30440406 3612307241 30293555 * __utmb 218713990.1.10.1366509562 livefyre.com/ 2147484752 130586240 30293560 3612307241 30293555*__utmz 218713990.1366509562.1.1.utmcsr=msn.foxsports.com|utmccn= (referral)|utmcmd=referral|utmcct=/nhl/story/new-york-islanders-beat-floridapanthers-041613 livefyre.com/ 2147484752 2471084672 30330268 3612307241 30293555*
Nel tentativo di migliorare ulteriormente la sicurezza del sistema, Internet Explorer 9.0.2 assegnava a caso un nome alfanumerico al file di ciascun cookie. I contenuti dei cookie restavano identici, ma gli investigatori non potevano più associare il nome del file del cookie ai siti web.
Utilizzo del Registro di Windows
Un investigatore può stabilire quali siti siano stati visitati da un utente accedendo al Registro (Registry) di Windows. Questa posizione mostra i siti visitati: HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\TypedURLs
Da qui, l’investigatore può esportare i registri come file di testo e poi aprire le voci con un’applicazione come Blocco note. Ovviamente, anche altre applicazioni, come Registry Viewer della AccessData, offrono il modo di accedere alle informazioni del Registro. Una cronologia dei siti web visitati può essere recuperata anche da un file nascosto che si chiama index.dat ed è un insieme di file creati da Microsoft Internet Explorer, con i siti visitati e le ricerche in Internet. Il file include anche i cookie e la cache salvati sul computer dell’utente. Il file in effetti contiene una grande quantità di informazioni sulla cronologia Internet e, per buona fortuna degli investigatori, è collegato all’utente che ha effettuato il login; l’utente ha pochissimo controllo sul modo in cui il file memorizza le informazioni. Secondo quanto scrive il sito web di Microsoft, questo file non aumenta mai di dimensioni, anche quando l’utente cancella la cronologia Internet e svuota la cache del browser, e non viene mai cancellato. Il database index.dat non è leggibile senza un programma speciale. Il riquadro seguente presenta un’applicazione gratuita che consente di visualizzare i contenuti di index.dat. In pratica: visualizzazione dei contenuti di index.dat (per PC con Internet Explorer) 1. Scaricate
Index.dat
Viewer
dal
sito
https://www.pointstone.com/products/index.dat-Viewer/.
2. Nella cartella in cui avete scaricato l’applicazione, fate clic su Index.dat Viewer. Comparirà un elenco dei siti web visitati. 3. Uscite da Index.dat Viewer. Se usate il browser Edge, invece, provate a usare WebCacheV01.dat Internet History Decoder. (Scaricatelo da:
https://www.guidancesoftware.com/app/webcachev01.dat-internet-historydecoder.)
Il browser Edge Microsoft Edge è stato introdotto con Windows 10 in sostituzione di Internet Explorer. Il nuovo browser, sostiene Microsoft, consuma meno energia dei concorrenti come Firefox e blocca più siti di phishing dei concorrenti come Chrome. Il file WebCacheV01.dat contiene le informazioni sulla navigazione web con Edge. La cronologia di Internet Explorer (IE) e Edge, in un computer Windows 10, si può trovare in: \Users\\AppData\Local\Microsoft\Windows\WebCache
Riepilogo La diffusione dei social network ha messo a disposizione degli investigatori una grande quantità di informazioni utili per il loro lavoro: pedofili e altri criminali usano Internet come risorsa per condurre le loro attività, perciò è importante che un investigatore sappia quali sono i gruppi di utenti che frequentano e anche quali sono le risorse online che possono mascherare l’identità dell’investigatore mentre lavora sotto copertura. I contenuti della RAM del computer di un sospettato possono essere una fonte preziosa di prove per rintracciare l’attività Internet di un individuo, ma possono esistere altre fonti. Per esempio, il file index.dat è un database di file che documentano i siti web e le singole visite; su un computer Windows 10 il file corrispondente è WebCacheV01.dat. Anche il Registro di Windows può fornire informazioni preziose sull’attività Internet di un utente. Alcuni servizi di comunicazione, come Skype, salvano i messaggi di testo di default sul computer dell’utente. Yahoo! Messenger archivia i messaggi sul computer dell’utente utilizzando un
semplice algoritmo di cifratura. Per un investigatore è importante conoscere bene quali impronte lascino le applicazioni di messaggistica istantanea e quali siano gli strumenti disponibili per visualizzare quei file. Con la diffusione di Internet, sono aumentati anche i crimini online. Fra le attività criminali online vi sono il possesso e la distribuzione di immagini di sfruttamento di minori, furti di identità, vendita di carte di credito rubate, cyberbullismo e truffe via social network. Per le indagini online l’investigatore deve acquisire prove digitali da molte fonti diverse, fra cui computer (delle vittime e dei sospettati), dispositivi mobili, siti web (documenti HTML), log dei server web, indirizzi IP, immagini digitali e contenuti audio e video.
Glossario AMBER. Acronimo di America’s Missing: Broadcasting Emergency Response, anche se il nome è in ricordo di Amber Hagerman, una ragazzina di nove anni rapita e uccisa in Texas. È un sistema di allerta nazionale in caso di sospetto rapimento di minore. Android. Un sistema operativo di proprietà di Google, sviluppato per l’uso in dispositivi mobili come telefoni cellulari e tablet. Application Programming Interface (API). Un’interfaccia che facilita l’interazione fra due applicazioni o programmi. Bitcoin. Una criptovaluta virtuale, decentralizzata e peer-to-peer. Bitcoin miner. Applica un algoritmo prima di inoltrare la valuta Bitcoin al destinatario. Bitcoin tumbler. Un servizio usato per mescolare le transazioni Bitcoin e rendere più difficile collegare i Bitcoin a una transazione specifica nella Blockchain. Bitcoin wallet. Conserva i Bitcoin di un utente.
BitTorrent. Un protocollo di condivisione file che facilita la distribuzione di file di grandi dimensioni. Blockchain. Un registro elettronico pubblico che tiene traccia di tutte le transazioni (o blocchi) Bitcoin. Controproliferazione. Tutte le iniziative rivolte a impedire l’esportazione di armi e tecnologie proprietarie a nazioni estere o a gruppi di terroristi. Cookie. Un file di testo inviato da un server web a un computer client, a fini di identificazione e autenticazione. Cookie di sessione. Un file di testo inviato a un browser e memorizzato in un computer per identificare e autenticare un utente Internet. Viene eliminato quando il browser viene chiuso. Cookie persistente. Un file di testo che identifica un utente Internet, inviato al browser e conservato sul computer client fino a che non raggiunge la sua data di scadenza (conservata nel cookie stesso). DeadAIM. Un programma freeware creato da JDennis per disattivare le pubblicità e consentire la navigazione a schede. Extensible Messaging and Presence Protocol (XMPP). Chiamato in precedenza Jabber, è un protocollo di messaggistica istantanea basato su XML, sviluppato dalla comunità open source. Moneta a corso legale. Valuta sostenuta da uno o più governi. Flash cookie. Chiamato anche Local Shared Object (LSO). Conserva dati sul sistema di un utente e viene inviato da siti web su cui è in esecuzione Adobe Flash. Questi cookie possono essere usati per tracciare un utente online. Genesis Block. Il primo blocco nella blockchain. Geotag. Metadati di immagini digitali, che contengono la latitudine e la longitudine della posizione geografica in cui la foto è stata scattata. Homeland Security Data Network (HSDN). Una rete sviluppata dalla Northrup Grumman che contiene informazioni top secret, riservate
e non riservate. Homeland Security Information Network State and Local Intelligence Community Interest (HSIN-SLIC). Una rete usata per diffondere informazioni delicate ma non riservate fra autorità federali, statali e locali. Indagini sotto copertura. Indagini condotte per acquisire informazioni su un individuo o un sospettato, senza che questi conosca la vera identità dell’investigatore. Index.dat. Un insieme di file generati da Microsoft Internet Explorer, che contiene informazioni sui siti web visitati e le ricerche in Internet. Indirizzo IP (Internet Protocol). Un numero a 32 o 128 bit che identifica univocamente un host in Internet. Indirizzo IP dinamico. Un indirizzo IP assegnato da un Internet Service Provider (ISP) ogni volta che uno dei suoi client si collega a Internet. Internet Relay Chat (IRC). Uno strumento talk-to-text per comunicare online. MIND/FIND (Fixed INTERPOL Network Database and Mobile Interpol Network Database). Database online e offline mantenuti dall’INTERPOL per il controllo di persone e documenti al passaggio da uno stato all’altro. National Counterterrorism Center (NCTC). Una agenzia governativa che fa parte dell’ Office of the Director of National Intelligence (ODNI) e ha il compito di raccogliere informazioni top secret relative all’antiterrorismo. National Crime Information Center (NCIC). Un database criminale estremamente importante, utilizzato dalle forze dell’ordine di tutti gli Stati Uniti per catturare latitanti, recuperare beni rubati, identificare terroristi e ritrovare persone scomparse.
Online proxy. Un computer usato per mascherare l’identità di un utente, in modo che una terza parte non possa riconoscere l’indirizzo IP da cui hanno origine le comunicazioni. Real Time Crime Center (RTCC). Un data warehouse sviluppato e usato dagli oltre 35.000 agenti della polizia di New York per rintracciare e catturare criminali noti e sospettati. Record management systems (RMS). Database locali che si trovano spesso al livello locale delle forze dell’ordine. Tails. Un sistema operativo che fornisce anonimato all’utente, attraverso sessioni virtualizzate con Tor. Terrorism Liaison Officer (TLO). Una persona impiegata da un fusion center, la cui responsabilità primaria è facilitare e coordinare la condivisione di informazioni fra molte agenzie. Threat And Local Observation Notice (TALON). Un database sicuro per l’antiterrorismo gestito dall’U.S. Air Force dopo gli attacchi dell’11 settembre. Tor. Software open source e una rete aperta che consente a un utente di navigare in Internet mantenendo l’anonimato. Usenet. Una bacheca di discussione distribuita che consente agli utenti di pubblicare e leggere messaggi. WebCacheV01.dat. Un file che contiene informazioni sulla navigazione Web con Microsoft Edge Zeus. Un virus del tipo “cavallo di Troia”, che usa un keystroke logger per rubare informazioni bancarie e delle carte di credito.
Valutazione Domande a risposta aperta
1. In questo capitolo, avete visto che esistono molte risorse online in grado di aiutare gli investigatori nella raccolta di informazioni personali su un sospettato. Viceversa, l’abbondanza di informazioni personali disponibili online può fornire ai criminali informazioni che possono aiutarli per compiere furti di identità, furti e altri reati gravi. Alcuni paesi hanno cercato di assicurare una maggiore protezione ai consumatori e di limitare la quantità di informazioni personali disponibili online. Esiste una protezione sufficiente per i consumatori e le loro informazioni personali? 2. Immaginate di essere un detective, a cui è stato chiesto di indagare su un sito web sospettato di vendere software contraffatto di Microsoft e Adobe. Che cosa fareste per scoprire informazioni sul sito e documentare il contenuto e le statistiche del sito per il vostro rapporto investigativo? 3. Per gli investigatori è utile avere accesso a geotag e altre informazioni di geolocalizzazione per individuare e catturare sospettati e criminali condannati. Viceversa, la disponibilità di queste informazioni mette molte persone comuni a rischio di essere molestate o derubate. Una maggiore consapevolezza da parte del pubblico sarebbe più importante delle evidenze digitali che possono essere a disposizione degli investigatori?
Domande a risposta multipla 1. Quale dei seguenti può essere usato per condividere file di grandi dimensioni con altri utenti Internet? A. BitTorrent. B. XOR. C. TALON.
D. Zeus. 2. Di che cosa è acronimo IRC? A. B. C. D.
Internet Recipient Chat. Instant Response Communication. Internet Response Communication. Internet Relay Chat.
3. Jabber è il vecchio nome di un protocollo di messaggistica istantanea, che oggi invece come è chiamato? A. B. C. D.
DeadAIM. iChat. XMPP. XML.
4. Quale dei seguenti è un sistema operativo sviluppato da Google per l’uso su dispositivi mobili? A. B. C. D.
Linux. Android. iOS. Windows.
5. Quale dei seguenti contiene informazioni su longitudine e latitudine del luogo in cui è stata scattata una fotografia? A. B. C. D.
Geotag. LatLongTag. Metatag. Cookie.
6. Di che cosa è acronimo AMBER? A. Alert Motorists Broadcast Emergency Relay. B. America’s Missing: Broadcast Electronic Relay.
C. Automatic Monitoring: Broadcasting Emergency Response. D. America’s Missing: Broadcasting Emergency Response. 7. Qual è il nome dell’identificatore univoco che viene assegnato da un fornitore di servizi Internet (Internet Service Provider, ISP) ogni volta che uno dei suoi client si collega a Internet? A. B. C. D.
Cookie di sessione. Cookie persistente. Indirizzo IP dinamico. Router.
8. Quale dei seguenti è il nome del virus cavallo di Troia che usa un keystroke logger per rubare informazioni bancarie o sulle carte di credito? A. B. C. D.
Poseidon. Zeus. Apollo. Hermes.
9. Quale dei seguenti potrebbe essere considerato spyware? A. B. C. D.
Cookie persistente. Cookie di sessione Cache. Indirizzo IP dinamico.
10. Quale dei seguenti è il nome di un file che contiene una cronologia dei siti web visitati con il browser Microsoft Edge su un personal computer Windows 10? A. B. C. D.
WebCacheV01.dat. IE.dat. Index.dat. WebCache.dat.
Completa le frasi 1. Un/una __________ è il processo utilizzato per acquisire informazioni su un individuo o un sospetto senza che questi sappia la vera identità dell’investigatore. 2. __________ (acronimo di theamnesicincognitolivesystem) è un sistema operativo live che fornisce l’anonimato all’utente, utilizzando sessioni virtualizzate con Tor. 3. Un/una __________ è una valuta legale sostenuta da uno o più governi. 4. Chiamato anche newsgroup, un/uno __________ è una bacheca di discussione distribuita online che consente agli utenti di pubblicare e leggere messaggi. 5. Il Real Time __________ è un data warehouse sviluppato e usato dagli oltre 35.000 agenti della Polizia di New York per individuare e catturare criminali noti e sospettati. 6. La __________ Security Data Network è una rete sviluppata da Northrup Grumman che contiene informazioni top secret, riservate e non riservate. 7. Un __________ cookie, chiamato anche Local Shared Object (LSO), memorizza dati sul sistema dell’utente e viene inviato da siti web su cui è in esecuzione Adobe Flash. 8. Una __________ Programming Interface è un’interfaccia che facilita le interazioni tra applicazioni. 9. Un __________ è un numero a 32 o 128 bit che identifica in modo univoco un host in Internet. 10. Un/una __________ è un file di testo inviato a un browser, conservato su un computer usato per identificare e autenticare un
utente Internet; viene eliminato quando viene chiuso il browser dell’utente.
Progetti Svolgere un’indagine criminale Siete un investigatore di Computer Forensics in forza alla polizia locale, incaricato di indagare su un caso di furto d’identità. Il sospettato ha costruito un sito web che all’apparenza è un blog di tecnologia, ma gli utenti fidati possono effettuare il login a un’area sicura del sito, in cui acquistare numeri di carte di credito rubati. Spiegate come condurreste la vostra indagine: come profilereste il sospettato, come lavorereste sotto copertura e come acquisireste prove incriminanti online. Eseguire ricognizioni online Usate le risorse online elencate in questo capitolo per verificare l’accuratezza delle informazioni esistenti su di voi. Indicate i dettagli del tipo di informazioni che trovate. Non dovete fornire dettagli personali; semplicemente elencate il tipo di informazioni disponibili. Non dovete acquistare servizi a pagamento per svolgere l’esercizio. Scrivere un saggio su Silk Road Nel caso contro Ross Ulbricht gli investigatori hanno utilizzato una combinazione di tecniche investigative tradizionali e di prove digitali. Scrivete un saggio, analizzando l’uso delle prove digitali in questo caso. Indagare su un incidente locale
Immaginatevi diretti verso casa una sera: le strade vicino alla vostra abitazione sono bloccate dalle forze dell’ordine e dai soccorsi. Non ci sono informazioni dai media, dalla radio o dalla televisione, su quello che è successo o sta succedendo. Scrivete un saggio su come usereste OSINT per (1) stabilire la via e/o l’edificio in cui l’incidente è avvenuto e (2) identificare di quale natura sia l’emergenza. Scrivere un saggio sulla privacy online Nel corso degli anni, i legislatori degli Stati Uniti hanno avuto difficoltà a introdurre leggi che proteggano la privacy degli utenti di Internet. Le rivelazioni sulle pratiche di raccolta dei dati da parte di Cambridge Analytica sugli utenti di Facebook hanno provocato costernazione e molti hanno ripensato a possibili leggi sulla privacy. Qualcuno ha sostenuto che l’Unione Europea e altri paesi considerano più seriamente degli Stati Uniti la tutela della privacy online. Scrivete un saggio che confronti la tutela della privacy degli utenti Internet negli Stati Uniti a confronto con quella dell’Unione Europea e di altri paesi. Includete riferimenti a leggi in discussione o già approvate, in particolare la General Data Protection Regulation (GDPR).
Capitolo 6
Documentare l’indagine
Obiettivi Di seguito i temi principali che verranno affrontati nel corso di questo capitolo. Come ottenere evidenze da un fornitore di servizi. Come documentare una scena del crimine. Il procedimento per acquisire prove. Come documentare e gestire le prove. Strumenti forensi per documentare un’indagine. Scrittura dei rapporti. Il ruolo del testimone esperto. Procedure operative standard. Scrivere un rapporto dettagliato ed esaustivo sulle indagini può essere determinante per l’istruzione di un processo. Il rapporto deve essere sufficientemente dettagliato da reggere alle obiezioni della difesa (compresa quella che non siano stati seguiti correttamente i protocolli), ai problemi sollevati dai media (secondo cui determinati aspetti non sarebbero stati esaminati con sufficiente cura) o al timore che siano stati trascurati determinati file importanti. Il rapporto deve essere chiaro: anche una persona priva di conoscenze tecniche deve essere in grado di comprendere i concetti importanti e il valore delle prove presentate. In questo capitolo vedremo come ottenere dati da
terze parti, come documentare correttamente la scena del crimine, come recuperare file da vari dispositivi e analizzeremo le implicazioni. Daremo anche delle indicazioni sul ruolo che hanno, nel corso del dibattimento, il rapporto dell’esaminatore e l’esperto chiamato a testimoniare.
Ottenere evidenze da un fornitore di servizi Secondo un’indagine della CTIA (ctia.org), ogni anno vengono spediti migliaia di miliardi di messaggi testuali; nel 2017 l’85 per cento delle fotografie è stato scattato da uno smartphone e l’89 per cento delle persone ha sempre il proprio smartphone a portata di mano. Con l’introduzione del 5G, l’uso degli smartphone potrà solo continuare a crescere. Non sorprende dunque che le società di telecomunicazioni non conservino a lungo i messaggi testuali (SMS) o multimediali (MMS), dati i costi elevati dell’archiviazione di enormi quantità di dati: i dati vengono conservati solo per qualche giorno. Le norme sulla conservazione dei dati variano da azienda ad azienda. Il Department of Justice fornisce alle forze dell’ordine linee guida sulle norme di conservazione per ciascuna società di telecomunicazioni e per ciascun tipo di comunicazione (SMS, MMS, email ecc.). Le forze dell’ordine hanno bisogno di solito di un paio di giorni per ottenere un mandato o un’ingiunzione per ottenere le comunicazioni elettroniche di un sospettato, ma possono richiedere che le comunicazioni relative a un sospettato vengano conservate, in attesa dell’approvazione di un mandato o di un’ingiunzione. Il Titolo 18 del Codice degli Stati Uniti riguarda i crimini federali e le procedure criminali: la sezione 2703, Required Disclosure of Customer Communications or Records, fa
parte dello Stored Communications Act (SCA), a sua volta parte dello Electronic Communications Privacy Act (ECPA) del 1986. Aziende come Facebook, Google e Verizon sono soggette alle leggi federali, compresi ECPA e SCA; il che significa che debbono rispettare le richieste governative di informazioni, approvate dal tribunale. Ogni azienda fornisce indicazioni specifiche su come le forze dell’ordine devono richiedere la documentazione relativa a una particolare persona. Nel momento in cui scrivo, il procedimento per ottenere queste informazioni dalla Apple può essere ricavato da www.apple.com/legal/privacy/law-enforcement-guidelines-us.pdf. La Apple e alcune altre aziende hanno reso pubblico il numero delle richieste governative per queste informazioni, con una suddivisione per paese e per tipo di richiesta, compresa la percentuale di approvazione (www.apple.com/legal/transparency/us.html). Un preservation order (ordine di conservazione) è la richiesta, fatta a un fornitore di servizi, di mantenere la documentazione relativa a un sospettato. Le linee guida per ottenere un ordine di conservazione sono incorporate nel Codice degli Stati Uniti, Titolo 18, sezione 2793(f). 1. In general – A provider of wire or electronic communication services or a remote computing service, upon the request of a governmental entity, shall take all necessary steps to preserve records and other evidence in its possession pending the issuance of a court order or other process. [In generale – Un fornitore di servizi di comunicazione via cavo o elettronica, a richiesta di un’ente governativo, prenderà tutte le misure necessarie per conservare la documentazione e altre prove in suo possesso, in attesa dell’emissione di un ordine del tribunale o di altro provvedimento.] 2. Period of retention – Records referred to in paragraph (1) shall be retained for a period of 90 days, which shall be extended for an
additional 90-day period upon a renewed request by the governmental entity. [Periodo di conservazione – La documentazione di cui al paragrafo (1) verrà conservata per un periodo di 90 giorni, che potrà essere esteso di altri 90 giorni, dietro rinnovo della richiesta da parte dell’ente governativo.] In sintesi, le forze dell’ordine possono richiedere che le comunicazioni siano conservate per 90 giorni, poi possono fare un’ulteriore richiesta di prolungare il periodo di altri 90 giorni. In questo modo le forze dell’ordine hanno quasi sei mesi di tempo per ottenere un mandato firmato da un giudice o da un magistrato. Gli investigatori devono ricordare, però, di ingiungere al fornitore di servizi di non informare il sospettato della richiesta effettuata, altrimenti il sospettato è probabile venga a sapere che quelle informazioni verranno condivise con le forze dell’ordine. Molto è cambiato dopo il caso di Edward Snowden, perché molti fornitori di servizi come Twitter hanno deciso di informare gli utenti dell’esistenza di indagini in corso su di loro. Oggi quindi è molto più probabile che un investigatore chieda al giudice di richiedere che il fornitore di servizi non informi il sospettato delle indagini in corso.
Documentare una scena del crimine Secondo le direttive del Department of Justice degli Stati Uniti, contenute nel documento Electronic Crime Scene Investigation: A Guide for First Responders, un investigatore deve mettere al sicuro la scena del crimine, garantire la sicurezza delle persone presenti e proteggere potenziali prove. La protezione delle prove digitali è un fenomeno relativamente nuovo per molti investigatori della scena del crimine. A differenza di altre prove, quelle digitali non possono semplicemente essere messe in una busta o in una scatola. Una carta
microSD, per esempio, è più piccola dell’unghia di un dito di un adulto, ed è facile che non venga notata; togliere la corrente a un computer cancellerà informazioni determinanti, come password e attività in Internet, dalla memoria volatile e può addirittura attivare la cifratura del computer e dei dispositivi associati. Ipoteticamente, un sospettato potrebbe impostare un dispositivo vigilante (“dispositivo dell’uomo morto”) con una connessione Ethernet, in modo che il sistema diventi inutilizzabile quando il cavo viene staccato dalla presa di corrente, oppure il sospettato potrebbe lanciare un attacco da remoto al computer e azzerare tutti i contenuti della memoria di massa, oppure cifrarli. Il problema della possibilità di controllare i dispositivi da remoto va sempre tenuto presente. Un sospettato, per esempio, potrebbe cancellare da remoto un dispositivo come un iPhone, il che vanificherebbe da subito ogni indagine. A volte i sospettati nascondono espressamente i dispositivi di rete: i router possono essere nascosti dietro pareti, nei soffitti e nel sottotetto. Bisogna tener conto anche di altri aspetti importanti, come conservare cariche le batterie di un dispositivo dopo il sequestro. Gli investigatori della scena del crimine, quindi, devono attendere un esaminatore di Computer Forensics prima di rimuovere le prove. Un esaminatore di Computer Forensics deve sempre fotografare e documentare tutto ciò che trova sulla scena di un crimine. Particolarmente importante, a questo punto, è fotografare i collegamenti fra i diversi dispositivi. Questi collegamenti possono essere abbastanza complessi e fotografarli aiutera poi l’esaminatore, una volta tornato in laboratorio, a ricostruire come i dispositivi erano configurati e collegati. Una rete domestica può essere composta da così tanti oggetti, fra dispositivi connessi, cavi e adattatori, che creare un elenco delle prove rinvenute su una scena del crimine diventa determinante. La Figura 6.1 è un esempio di lista delle prove.
Figure 6.1 Lista delle prove.
Nel documentare la scena del crimine, la guida Electronic Crime Scene Investigation – A Guide for First Responders nota anche che l’investigatore deve documentare sia prove relative a dispositivi digitali sia prove convenzionali. In fin dei conti, un esaminatore di Computer Forensics può essere molto interessato anche a prove non digitali: quando sequestra un computer può sequestrare anche altri dispositivi digitali, cavi, adattatori e le confezioni di questi oggetti, insieme con i relativi manuali. Si possono trovare anche Post-it su cui potrebbero essere annotate password importanti. Va anche notato che alcune persone indossano le chiavette USB come se fossero gioielli oppure possono mascherarle da giocattoli.
Sequestro delle prove
Trovare prove incriminanti su un computer o un dispositivo non ha alcun valore, se non vengono seguite le procedure operative standard. Questi protocolli devono essere seguiti rigorosamente, dalla scena del crimine al laboratorio forense e infine al tribunale. Gli avvocati della difesa spesso dedicano molto tempo a interrogare gli investigatori sulle azioni che hanno compiuto, anziché concentrarsi sulle effettive prove digitali. Esistono molte possibilità per apprendere quali siano le buone pratiche per le indagini sulla scena del crimine, il sequestro delle prove, l’estrazione, l’analisi e il reporting delle prove. Per fortuna sono disponibili varie guide alle buone pratiche: alcune risalgono ad anni addietro, ma i principi di base sono ancora validi. Quelli che seguono sono alcuni esempi. U.S. Department of Justice, Forensic Examination of Digital Evidence: A Guide for Law Enforcement. U.S. Department of Justice, Electronic Crime Scene Investigation: A Guide for First Responders. Massachusetts Digital Evidence Consortium, Digital Evidence Guide for First Responders. United States Secret Service, Best Practices for Seizing Electronic Evidence. Association of Chief Police Officers (ACPO), Good Practice Guide. Department of Homeland Security (DHS), Cybersecurity Engineering: A Guide to Securing Networks for Wi-Fi.
Esame della scena del crimine Gli investigatori della scena del crimine devono portare con sé un blocco per appunti e prendere abbondanti appunti su tutte le apparecchiature che trovano. Devono anche informare i primi
intervenuti sulla scena in merito a che cosa fare se si imbattono in prove digitali. Se un computer è acceso, non deve essere spento. Se il monitor mostra qualche attività, per esempio un messaggio istantaneo, va fotografato. In nessun caso un agente di polizia o un investigatore devono esaminare prove sulla scena del crimine; in particolare, non devono guardare video o esaminare foto. I primi intervenuti devono aspettare che l’esaminatore di Digital Forensics analizzi le prove in laboratorio. Ovviamente, possono presentarsi circostanze attenuanti, per esempio dopo un sequestro o davanti a una minaccia terroristica, in cui la tempestività è essenziale. Computer, dischi e altri dispositivi digitali devono essere etichettati con informazioni di identificazione, come marca, modello, numero di serie e investigatore responsabile. Una identificazione corretta aiuta a registrare in modo accurato le prove nella stazione di polizia o nel laboratorio di criminologia e facilita un controllo efficiente. Anche se si stanno diffondendo sempre più i dischi a stato solido, la maggior parte dei dischi sono ancora di tipo SATA, in cui i file sono registrati magneticamente su piatti metallici, perciò si devono usare buste antistatiche per conservare i dispositivi informatici ed evitare qualsiasi tipo di contaminazione delle prove. I computer vanno avvolti in nastro per le prove, così da essere sicuri che solo un tecnico di laboratorio possa accedervi. Agli alloggiamenti dei dischi e ai vassoi estraibili per CD va applicato nastro bianco, su cui va apposta la firma dell’investigatore della scena del crimine.
Apparecchiature per l’investigatore della scena del crimine Le apparecchiature che deve portare con sé un investigatore della scena del crimine (CSI) specializzato in Computer Forensics sono
diverse da quelle dell’investigatore tradizionale. Ecco un elenco di apparecchiature e strumenti per un CSI di Computer Forensics: blocco per appunti; laptop (dotato di software forense); dispositivo di accesso wireless (per esempio, dispositivo MiFi); fotocamera; batterie di ricambio per la fotocamera; SD card di ricambio per la fotocamera; chiavetta USB sterilizzata; flash; set di strumenti per computer; chiavetta USB con strumenti forensi per la Live Forensics (triage); dischi sterilizzati; write blocker; buste antistatiche; buste antimanomissione per smartphone e tablet; gabbia di Faraday; nastro per le prove; etichette per gli alloggiamenti dei dischi. Altre apparecchiature possono essere un kit da campo per la creazione onsite di un’immagine di disco o un kit per smartphone e tablet. Se un computer è ancora acceso, è consigliabile che l’investigatore effettui un triage e crei un’immagine della RAM e possibilmente anche del disco. Può darsi che sia attivata la cifratura per il disco, perciò è consigliabile creare un’immagine del volume prima che il sistema venga spento. La RAM può contenere moltissime informazioni utili, fra cui anche password dell’utente, attività Internet, processi in esecuzione e altro ancora, perciò un investigatore può portare con sé uno strumento come Magnet RAM Capture per un PC o MacQuisition per un MacBook, per catturare i contenuti della RAM.
Documentazione delle prove Sono disponibili strumenti open source per creare l’immagine di un disco, ma uno dei motivi per utilizzare un prodotto commerciale come BlackLight sono le ampie funzionalità di reporting. Questi strumenti consentono di etichettare i file delle prove e di aggiungerli a un rapporto, in modo che avvocati della difesa e giuria non debbano spulciare fra migliaia di file; inoltre consentono all’investigatore di aggiungere appunti ai file etichettati, catturare schermate e registrare altri passi intrapresi durante l’esame. In breve, gli strumenti forensi commerciali offrono maggiori funzionalità per analizzare dischi, memoria e file immagine. La Figura 6.2 mostra un armadio con prove digitali.
Figure 6.2 Prove digitali etichettate.
Compilazione di un modulo per la catena di custodia Quando si maneggiano le prove e si documenta un’indagine, bisogna sempre immaginare che le prove finiranno in tribunale e vanno quindi maneggiate nel rispetto della legge. Le prove devono essere ottenute
legalmente grazie a un ordine del tribunale, a un’ingiunzione o a un mandato di perquisizione, oppure con il consenso del proprietario. Un’ingiunzione (subpoena) è un tipo di ordine del tribunale, che impone a una persona di testimoniare in tribunale. Un ordine in genere è emesso da un giudice. Un mandato deve essere basato su un fondato motivo, come previsto dal Quarto emendamento. Questi parametri cambiano per i datori di lavoro che ottengono prove relative a un dipendente sospettato. Dopo l’acquisizione delle prove, l’investigatore deve disporre di un mobulo per la catena di custodia, che deve essere debitamente compilato. Gli avvocati della difesa esamineranno molto accuratamente il modulo della catena di custodia e cercheranno di trovarvi qualche errore, in modo da rendere inammissibili le prove. Gli errori possono essere più frequenti con le prove digitali che con ogni altro tipo di prova, come un’arma o un vestito. Per esempio, se si fanno due copie del disco di un sospettato, ci sono più dischi di cui bisogna dar conto nella catena di custodia. Nel nostro esempio, nel modulo della catena di custodia devono essere indicate le due copie del disco del sospettato, ed entrambe poi sono affidate all’investigatore per condurre i suoi esami. Si può pensare quando diventi complesso il modulo se l’esaminatore crea l’immagine di un RAID con cinque dischi e crea due copie di ciascun disco. In una situazione del genere, bisogna che nel modulo della catena di custodia siano indicati i passaggi di un totale di 15 dischi diversi. L’esaminatore deve anche fotografare il modo in cui sono configurati i dischi, prima di smontarli dal computer, in modo che possano essere riassemblati correttamente in seguito. Dover ricombinare tutte le immagini dei dischi del sistema RAID, ottenute con modalità corrette dal punto di vista forense, utilizzando uno strumento come RAID Recovery, non fa che aumentare il livello di complessità dell’esame.
Figure 6.3 Modulo per la catena di custodia.
Compilazione di un foglio di lavoro per computer Un investigatore deve compilare un foglio di lavoro distinto per ogni computer analizzato. Nel foglio di lavoro vanno trascritti i dettagli seguenti: sospettato e/o tutore; numero di caso; data; luogo; investigatore; marca; modello; numero di serie; CPU; RAM; versione del BIOS;
sequenza di boot del BIOS; sistema operativo; unità disco (CD/CD-RW ecc.); data e ora di sistema del BIOS; data e ora effettive; porte (USB, USB-C, IEEE 1394 FireWire ecc.). Come per tutte le prove fisiche, ogni oggetto va fotografato, poi va fotografato da vicino il numero di serie. Queste immagini possono essere aggiunte al rapporto dell’investigatore. Nella Figura 6.4 si vede un esempio del tipo di immagine che può essere utilizzato.
Figure 6.4 Fotografia di un computer sequestrato come prova.
Compilazione di un foglio di lavoro per disco rigido
Va compilato un foglio di lavoro distinto per ciascun disco analizzato. Ricordate che alcuni sistemi, come i RAID, sono costituiti da più dischi. Sul foglio di lavoro vanno registrati i dettagli seguenti: sospettato e/o tutore; numero di caso; data; luogo; investigatore; marca; modello; numero di serie; tipo di disco (SATA, PATA, SCSI ecc.); capacità. Il modulo deve contenere anche note relative al processo di acquisizione forense (creazione di immagine o clonazione). Queste note devono descrivere l’hardware (per esempio, Logicube Forensic Dossier) o il software (per esempio, Raptor) utilizzati nel processo di acquisizione. L’investigatore deve fornire dettagli anche in merito al disco di destinazione, e cioè: data e ora di inizio e fine dell’acquisizione; verifica dell’acquisizione (sì/no) sterilizzato (sì/no) marca; modello; numero di serie. L’investigatore deve prendere nota di qualsiasi messaggio di errore che l’hardware o il software forensi visualizzano ed eventualmente se sia stato necessario riavviare il processo. Come sempre, l’investigatore deve indicare specificamente le versioni dell’hardware e del software
utilizzati per l’analisi. Se clona un disco, deve provare per prima cosa a includere l’HPA (Host Protected Area); se viene visualizzato un errore, il processo deve continuare senza copiare i contenuti dell’HPA. Se crea l’immagine di un disco, l’investigatorre deve annotare se durante l’esame sono state usate compressione o cifratura.
Compilazione di un foglio di lavoro per server Un investigatore deve compilare un foglio di lavoro distinto per ogni server analizzato. Sul foglio di lavoro devono essere annotati i particolari seguenti: sospettato e/o tutore; numero di caso; data; luogo; investigatore; marca; modello; numero di serie; CPU; RAM; BIOS; sequenza di boot del BIOS; sistema operativo; dischi: – numero; – tipo; – dimensioni; data e ora del sistema; data e ora effettive;
stato del sistema (acceso/spento); metodo di spegnimento (hard/soft/lasciato acceso); cavi; backup. mappatura dei dischi; tipo di server (file/email/web/DNS/backup/virtualizzato/altro); protocollo (TCP/IP o VPN ecc.) dominio; indirizzo/indirizzi IP del dominio; DNS; indirizzo IP del gateway; password; logging: – abilitato (sì/no); – tipi di log; staff IT consultato: – nome; – posizione; – indirizzo email; – telefono; immagine verificata (sì/no). A volte è possibile che un investigatore non abbia accesso diretto a un computer host su una rete, ma abbia la possibilità (e il permesso) di accedervi da remoto. Se ne ha avuto l’autorizzazione, un investigatore può effettivamente creare un’immagine del disco di un sospettato da remoto mediante uno strumento di rete che si chiama netcat (comando nc). Ovviamente l’investigatore deve conoscere l’indirizzo IP del computer host. Un altro strumento utile è netstat (network statistics), uno strumento da riga di comando che permette di vedere le connessioni di rete, le
statistiche sui protocolli e altre informazioni preziose. Ovviamente l’investigatore deve tenere presente che il sospettato potrebbe essere in ascolto sulla rete, in particolare se per caso fosse un amministratore di sistemi.
Strumenti per documentare un’indagine Come abbiamo già detto in questo capitolo, gli strumenti professionali di Computer Forensics dispongono anche di una funzionalità per la stesura dei rapporti. Un investigatore, comunque, può anche usare semplicemente Microsoft Word e poi creare un PDF del documento. Alcuni degli strumenti elencati qui di seguito possono essere scaricati online; esistono anche altre app acquistabili attraverso Google Play o dall’App Store di Apple.
FragView FragView consente una visualizzazione rapida di file HTML, immagini JPG e flash file. Lo strumento può essere ottenuto da Simple Carver (www.simplecarver.com).
App utili per mobile Google Play e l’App Store di Apple offrono molte applicazioni, gratuite e a pagamento, che possono aiutare un investigatore di Computer Forensics sul campo e in laboratorio. Quella che segue è una selezione di app, ma è importante controllare continuamente se esistono nuove applicazioni utili. Network Analyzer
Sia gli investigatori di Computer Forensics sia i professionisti della sicurezza possono usare Network Analyzer. Questa app è disponibile per iPhone e iPad dall’App Store. Quando è attivata, l’app può effettuare una scansione alla ricerca di connessioni Wi-Fi e, per ciascun punto di accesso, l’investigatore può stabilire nome e indirizzo IP di tutti i dispositivi connessi. L’app mette a disposizione anche strumenti come traceroute (con dati di geolocalizzazione) e ping. Di questo software esistono una versione gratuita e una a pagamento. Potete trovare maggiori informazioni all’URL techet.net/netanalyzer. System Status L’app System Status, disponibile da https://techet.net/sysstat, fornisce informazioni approfondite su un iPhone o un iPad, fra cui uso della CPU, batteria, memoria, connessioni di rete e tabelle di instradamento. Dal punto di vista forense, fornisce un elenco dei processi in esecuzione, che è utile perché sul cellulare del sospettato o della vittima potrebbero essere in esecuzione processi in modalità stealth, il che significa che non appare alcuna icona dell’app installata. The Cop App The Cop App è stata progettata per gli investigatori delle forze dell’ordine, per catturare informazioni sul campo. Può creare un rapporto dell’investigazione, facilitare gli appunti, scattare foto e registrare audio (fino a 60 secondi). Il rapporto poi viene caricato online in un formato HTML facilmente convertibile in PDF. Trovate maggiori informazioni all’URL www.thecopapp.com. Lock and Code L’app Lock and Code, prodotta da The International Association of Computer Investigative Specialists, è una guida di consultazione per il
tecnico di laboratorio di Digital Forensics. È una risorsa utile per indicare i settori su un disco rigido, compreso il sistema operativo, e mappa le voci del Registro su PC Windows. Offre anche una guida sull’acquisizione di prove per chi interviene per primo sulla scena e deve eseguire un triage in loco. Trovate maggiori informazioni all’URL www.lockandcode.com. Digital Forensics Reference L’app Digital Forensics Reference si può trovare in Google Play ed è una guida di consultazione per gli investigatori di Computer Forensics e i professionisti della risposta agli incidenti. La guida tratta vari sistemi operativi, fra cui Windows, Android, Mac e iOS. Federal Rules of Civil Procedure (FRCP) L’app FRCP, della Tekk Innovations, è una guida di consultazione utile per le norme federali di procedura civile (per gli Stati Uniti). Ovviamente, tutti gli investigatori devono conoscere la legge e le norme relative ai procedimenti giudiziari. Federal Rules of Evidence L’app Federal Rules of Evidence, della Tekk Innovations, è un’utile guida di consultazione per le norme federali relative alle prove, derivata dall’appendice al Titolo 28 del Codice degli Stati Uniti. Questa app e le norme sono utili agli investigatori per sapere quali prove siano ammissibili in tribunale e le regole per condurre un procedimento federale.
Stesura di rapporti
La finalità del rapporto di un investigatore di Computer Forensics è specificare quanto ha scoperto, non fornire un’opinione o convincere una giuria della colpevolezza di un sospettato. Il rapporto è una enunciazione di fatti, sarà il tribunale poi a dover decidere in merito alla colpevolezza o meno dell’accusato. Un investigatore deve non solo presentare quanto ha scoperto ma indicare con tutti i dettagli i processi dell’indagine, che devono includere sempre anche gli eventuali errori commessi o i casi in cui un esame è fallito. Registrazione dell’uso di strumenti forensi Come abbiamo già detto, durante l’indagine su supporti digitali, un investigatore deve usare più strumenti. I tecnici di laboratorio devono avere sottoposto a test di calibrazione tutti gli strumenti forensi e l’investigatore deve sapere tutto ciò che hanno scoperto, compresi i tassi di errore noti. A questo proposito l’investigatore deve annotare le limitazioni dell’esame, per esempio le aree dei supporti di memoria che sono risultate illeggibili, che possono essere settori negativi su un disco rigido, blocchi non accessibili, file che non è stato possibile aprire, o altri dati non accessibili. Essere proattivi può evitare domande imbarazzanti da parte degli avvocati della difesa.
Fusi orari e ora legale Ovviamente, date e ore sono di estrema importanza. L’investigatore deve sempre annotare l’ora corrente e la fonte da cui è ricavata (per esempio, iPhone 11, servizio cellulare fornito da Verizon, ora impostata automaticamente in base alla localizzazione). Devono essere annotate le ore di sistema per tutti i dispositivi esaminati, confrontate anche con l’ora dell’investigatore. Il sito web timeanddate.com può essere di aiuto per i formati di data e ora quando si lavora in fusi orari diversi e può rispondere ad altre domande importanti. Per esempio, si può verificare l’ora corrente in un altro stato o in un’altra nazione, oppure una data futura.
Ora legale L’orario in Irlanda è di cinque ore più avanti rispetto a quello di New York, ma ci sono eccezioni; la variazione di un’ora dovuta all’ora legale e le successive correzioni non scattano nello stesso fine settimana. L’ora legale (o Daylight Saving Time, DST) è la pratica di spostare di un’ora avanti l’orario in primavera e poi riportarlo indietro di un’ora in autunno. Negli Stati Uniti, l’ora legale è diventata legge federale nel 1966, ma uno stato può decidere di non osservarla. L’ora legale è adottata principalmente in Europa e negli Stati Uniti, ed è una delle pratiche più problematiche per gli investigatori, quando devono sincronizzare gli orari di computer e dispositivi diversi a livello internazionale o fra vari stati degli USA. La diffusione del cloud computing fa sì che i server siano ancora più dispersi; una stessa organizzazione è probabile che abbia server in fusi orari diversi. Se poi un incidente si verifica in un fine settimana in cui avviene il passaggio da ora solare a ora legale, stabilire la sincronizzazione dei tempi diventa ancora più difficile. Mountain Standard Time (MST) Il Mountain Standard Time (MST) è un fuso orario degli Stati Uniti di cui fanno parte Arizona, Utah, Colorado, New Mexico, Wyoming, Idaho e Montana. MST è di sette ore posteriore a UTC. L’Arizona non adotta l’ora legale e rimane in MST. Perciò, nel periodo dell’ora legale, l’ora in Arizona è la stessa che in California, ma in altri momenti dell’anno l’Arizona è un’ora avanti rispetto alla California e ad altri stati del Pacific Standard Time (PST). Per rendere lo scenario ancora più interessante, va ricordato che la Nazione Navajo, nell’Arizona settentrionale, adotta l’ora legale. Può sembrare un dettaglio di poco conto se si considera il quadro più generale, ma, anche se un’indagine non coinvolge un nativo americano, alcuni server
si trovano in queste aree. L’ora legale non è adottata neanche alle Hawaii, alle Samoa americane, a Guam, a Portorico e nelle Virgin Islands. Coordinated Universal Time (UTC) Il Coordinated Universal Time (UTC) è uno standard internazionale per la definizione dell’ora, basato sulla longitudine, che usa un formato di orologio a 24 ore. Si calcola a partire dalla longitudine di 0 gradi, che passa per l’Osservatorio reale di Greenwich in Inghilterra. UTC usa un orologio atomico per mantenere l’accuratezza e tener conto dei secondi intercalari. Un secondo intercalare (in inglese, leap second) è una correzione che compensa le differenze fra la rotazione della Terra e il tempo registrato dai nostri dispositivi quotidiani (orologi, computer ecc.). Il Leap Second Bug è il possibile disturbo nel comportamento dei computer in occasione dell’aggiunta di un secondo intercalare agli orologi atomici per mantenere il rapporto con la rotazione terrestre. Esistono 24 fusi orari, tracciati a partire da Greenwich, e ciascuno corrisponde a un’ora. Tempo medio di Greenwich Il tempo medio di Greenwich (Greenwich Mean Time, GMT) è l’ora registrata a 0 gradi di longitudine. Tutti i fusi orari del mondo sono coordinati con questo tempo. GMT non riconosce l’ora legale. UTC è importante per gli investigatori perché l’orologio di sistema di un computer è basato su UTC. Quando creano un nuovo file dell’indagine, i professionisti della Computer Forensics di solito chiedono all’investigatore di decidere in base a quale fuso orario sincronizzare i file delle prove. UTC e GMT coincidono, ma, a differenza del tempo medio di Greenwich, UTC non corrisponde a un fuso orario ma a una scala temporale atomica utilizzata in campo informatico.
Creazione di un rapporto comprensibile Ogni dettaglio nel rapporto deve essere preciso dal punto di vista tecnico, ma il rapporto deve anche essere comprensibile, così che anche persone con limitate conoscenze tecniche possano capire che cosa ha fatto l’investigatore e che cosa è stato scoperto. Gli informatici parlano un linguaggio diverso, con i loro colleghi, esattamente come accade per medici e avvocati. Il rapporto quindi non deve contenere acronimi, a meno che non vengano spiegati in precedenza nel rapporto stesso (per esempio, anziché NIST, si deve usare National Institute of Standards and Technology) e non si devono usare abbreviazioni (come app al posto di applicazioni) o termini tecnici senza darne una spiegazione. Per esempio, anziché dire “abbiamo fatto un hash del disco”, si può dire “Abbiamo usato un algoritmo MD5 per creare un codice alfanumerico, cioè un hash, che identifica in modo univoco il disco di quel computer. Creare un hash MD5 è un’operazione standard per gli investigatori di Computer Forensics, per essere sicuri che la copia su cui lavorano non sia stata modificata rispetto al supporto originale sequestrato dal computer del sospettato”. Si può anche includere una sezione distinta per le definizioni tecniche. Se avete condotto un’indagine prudente e attenta e pubblicate i fatti relativi al caso, non dovreste avere nulla di cui preoccuparvi. Ricordate che avete il dovere di essere imparziali, corretti nei confronti dell’accusa come della difesa. Non deve esistere alcuna ambiguità in quanto viene affermato nel rapporto. Chiedete a qualcun altro di rileggerlo per verificare l’accuratezza e possibili incoerenze, per identificare punti confusi e stabilire se una persona che non abbia una formazione tecnica possa comprenderlo. Alla fine, in teoria, il vostro rapporto dovrebbe essere abbastanza dettagliato perché qualcuno, sulla sua scorta, possa ricreare la medesima analisi e recuperare gli stessi risultati.
Uso di rappresentazioni grafiche Una rappresentazione grafica spesso è molto più efficace della parola scritta: quello che si dice spesso, che un’immagine vale più di mille parole, in fondo è vero. Per esempio, un foglio di calcolo con i tabulati delle chiamate è molto meno efficace di un grafico che mostri un’immagine del sospettato e linee di collegamento verso i contatti con cui ha comunicato più spesso, fra i quali possono esservi eventuali complici o la vittima. Anche una cronologia grafica degli eventi è più efficace di un semplice elenco. Analogamente, il grafico degli amici nella rete Facebook è più comprensibile di un elenco di amici. Inoltre, con l’uso di mappe è possibile ricavare dai metadati di un file i movimenti di un sospettato, compresa la sua presenza sulla scena di un crimine. Molti strumenti di analisi dei ripetitori cellulari offrono questo tipo di funzionalità di mappatura per l’attività dei telefoni cellulari. Strutturazione del rapporto I rapporti investigativi possono essere diversi, ma un buon modo di strutturarli è questo: copertina; indice; executive summary; biografia; obiettivi dell’indagine; metodologia; supporti elettronici esaminati; risultati dell’esame; dettagli dell’indagine collegati al caso; allegati/appendici; conclusioni; glossario.
La copertina Sulla copertina devono comparire almeno queste informazioni: titolo del rapporto; autore; reparto e organizzazione; numero dell’indagine; data del rapporto. Sulla copertina possono essere riportati anche firma e data di ciascuna delle persone coinvolte nell’indagine. L’indice Un rapporto bene organizzato deve comprendere un indice che faciliti gli avvocati, dell’accusa e della difesa, così come gli eventuali esperti chiamati a testimoniare, a esaminare e consultare il rapporto. L’executive summary La sezione dell’executive summary deve fornire una panoramica dello scopo dell’esame e di quanto l’investigatore ha scoperto. Nelle forze dell’ordine si ha spesso una divisione dei compiti, in particolare nei laboratori di Computer Forensics più grandi. Questo significa che un agente conduce le indagini, un altro svolge l’analisi forense. Nel rapporto andrà incluso il lavoro di ciascuno, che deve essere bene individuato. La biografia Va inclusa una breve biografia dell’investigatore, che metta in evidenza tutte le esperienze pertinenti: lauree, certificazioni, corsi di Digital Forensics frequentati. Va indicato anche un numero
approssimativo di ore di training pertinente seguite. L’investigatore deve anche specificare la propria esperienza investigativa e professionale, per esempio per quanti anni ha lavorato nel suo reparto. Alla fine, questa sezione deve spiegare perché l’investigatore era un esperto adatto a condurre l’indagine e a esaminare le evidenze relative al caso. Gli obiettivi dell’indagine Questa è una sezione facoltativa, perché l’estensore del rapporto può avere già spiegato nell’executive summary i motivi per condurre l’indagine. Per impostare il rapporto, chi lo stende può spiegare i motivi dell’indagine e la portata del mandato, il che poi aiuterà a spiegare i tipi di dispositivi e supporti esaminati e le aree della memoria di lavoro e di massa analizzate. Per esempio, file di immagini e video saranno importanti per un caso di sospetta pedofilia, mentre le email possono essere particolarmente importanti in un’indagine di spionaggio industriale e le informazioni bancarie possono esserlo per un’indagine per appropriazione indebita. La metodologia La metodologia può essere trattata in una sezione a sé oppure nel seguito del rapporto. La sezione della metodologia spiega la scienza alla base dell’esame: deve spiegare l’impostazione seguita dall’esaminatore forense, il che può includere le motivazioni per la scelta del software o dell’hardware utilizzato. L’investigatore può anche fare riferimento a pratiche standard per gli esami di Computer Forensics applicati nell’indagine, che possono essere specifici del laboratorio, mutuati dal Department of Justice, o essere raccomandazioni del NIST. Codifica predittiva
La codifica predittiva è una metodologia scientifica utilizzata per trovare parole chiave, schemi o contenuti rilevanti in un computer. Per esempio, in un caso di eDiscovery, un esaminatore forense può eseguire ricerche relative a una diputa contrattuale, che possono includere una ricerca per parola chiave su nomi di aziende o personale coinvolto nelle negoziazioni contrattuali. Quando si indaga su una frode, si può eseguire una ricerca di schemi di numeri che possono rappresentare numeri di carta di credito, numeri di Social Security, o numeri di instradamento ABA. Come per tutti gli strumenti usati in un esame, l’investigatore deve spiegare l’uso di questa metodologia. Inoltre, in aula, può essere richiesto all’investigatore di mostrare come funzioni lo strumento, di discutere i test di calibrazione completati prima dell’uso dello strumento in un esame effettivo, e di spiegare gli insiemi di dati campione utilizzati nel test iniziali dello strumento.
I supporti elettronici analizzati Anche queste informazioni potrebbero essere inserite in un’altra sezione del rapporto, anziché in una sezione ad hoc. È importante, comunque, descrivere in dettaglio i supporti esaminati, in quali relazioni fossero con altri supporti e quali relazioni sussistano fra questi oggetti e il sospettato. Consideriamo un esempio. Un esame dei file property list sul computer del sospettato indicava che altri dispositivi erano stati sincronizzati al suo MacBook. I file property list sono file di configurazione che elencano le modifiche apportate alla configurazione di un computer. Quando al computer si collegano, con un cavo USB, un iPhone, un iPod o qualche altro dispositivo, in genere nel computer vengono registrati il tipo di dispositivo e un numero di serie che lo identifica in modo univoco. Queste informazioni hanno portato l’investigatore a richiedere un mandato di perquisizione per l’iPhone del sospettato, che in seguito è stato sequestrato, il 17 maggio 2020. Poi l’iPhone del sospettato è stato esaminato. […] I dettagli relativi all’iPhone del sospettato trovati nei file property list hanno poi condotto l’esaminatore ad analizzare i file di backup sul MacBook del sospettato. Il file di backup si trovava in…
Bisogna indicare chiaramente e dettagliatamente date e ore di ogni passo intrapreso nel corso dell’esame. I risultati Come abbiamo già osservato, il rapporto deve essere molto chiaro in merito a quanto è stato scoperto, relativamente alla natura dell’indagine
e nell’ambito di tutti i mandati di perquisizione. Tutti i termini tecnici devono essere spiegati chiaramente. È importante che l’investigatore esponga i fatti ed eviti le interpretazioni: queste spettano agli avvocati e, eventualmente, alla giuria. Vediamo un esempio di formulazione scorretta, a confronto con una esposizione appropriata. 1. Scorretta: John Doe ha scaricato migliaia di immagini di minori abusati. 2. Corretta: È stata condotta un’analisi del disco rigido rimosso dal computer Dell, Model E6400, Service Tag 4X39P5. Questo computer è stato sequestrato dall’abitazione di John Doe, 123 River Road, Sterling City, New York 10028. Su tale computer erano state scaricate in totale 578.239 immagini di bambini. John Doe, nella dichiarazione resa alla polizia in data 27 luglio 2020, ha sostenuto di essere l’unico utente di quel computer nella sua abitazione. Nel corso dell’analisi, si è scoperto, dall’esame del Registro di Windows, che sul computer era stato configurato un unico utente. L’esaminatore ha scoperto su questo computer Dell anche un login e una password.
I dettagli dell’indagine relativi al caso Questa non è necessariamente una sezione separata, ma è importante elencare le prove non digitali a sostegno dell’indagine: per esempio, dichiarazioni del sospettato e di testimoni. Gli allegati/le appendici Gli allegati possono essere fotografie degli oggetti sequestrati, schermate catturate dal computer, fotografie etichettate, email stampate e altri file. Le appendici possono comprendere modulistica, come l’elenco delle prove e i mandati di perquisizione.
Il glossario Inserire un ampio glossario alla fine (o all’inizio) del rapporto è una buona pratica. Gli avvocati della difesa lamentano spesso di essere svantaggiati, per mancanza di risorse nelle proprie indagini, rispetto a quelle disponibili alle forze dell’ordine. Assistendo e cooperando con gli avvocati della difesa e includendo nel rapporto un glossario, note a piè di pagina e altre risorse utili, si possono ridurre queste lamentele di disparità.
Testimonianza di esperti in tribunale Quando si devono spiegare le prove da un punto di vista scientifico, è fondamentale che accusa e difesa abbiano a disposizione un esperto in grado di verificare in aula la validità di un reperto o di spiegare un concetto scientifico.
Il testimone esperto Un testimone esperto (perito) può creare un rapporto investigativo o rivedere i risultati di un rapporto investigativo e quindi interpretare quei risultati in base alla sua specializzazione per istruzione, training e conoscenza. L’esperto di solito viene assunto come consulente da un avvocato. Alla fine, un avvocato può chiamare a deporre l’esperto per screditare o confutare i risultati del rapporto o per evidenziare l’importanza di prove a carico emerse in un rapporto. In aula, il ruolo dell’esperto che testimonia è dare informazioni alla giuria. Sia l’accusa, sia la difesa possono assumere propri esperti e convocarli come testimoni. Ovviamente, qualsiasi esperto chiamato a testimoniare sarà quasi certamente controinterrogato. Il ruolo dell’esperto in una causa (presso un tribunale federale) è descritto anche nelle Federal Rules of Evidence. La FRE 704, Opinion
on an Ultimate Issue, stabilisce quanto segue. 1. In General—Not Automatically Objectionable. An opinion is not objectionable just because it embraces an ultimate issue. [In generale – Non automaticamente contestabile. Un parere non è contestabile solo perché accoglie una tesi decidiva]. 2. Exception—In a criminal case, an expert witness must not state an opinion about whether the defendant did or did not have a mental state or condition that constitutes an element of the crime charged or of a defense. Those matters are for the trier of fact alone [Eccezione – In un procedimento penale, un testimone esperto non deve esprimere un parere sul fatto che l’imputato fosse o non fosse in uno stato mentale o in una condizione che costituisca un elemento del crimine di cui sia stato accusato su cui si basa la difesa. Questi aspetti sono di pertinenza esclusivamente dell’organo giudicante]. La regola dice chiaramente che un esperto, anche se non può esprimere un giudizio su un accusato, può fornire pareri basati sui fatti.
Gli obiettivi del testimone esperto Il testimone esperto deve istruire la giuria e articolare concetti complessi in informazioni significative. Per esempio, si può spiegare un algoritmo utilizzando la metafora della ricetta di una torta, con un elenco di passi da compiere per arrivare a un determinato risultato. Le metafore possono effettivamente favorire la comprensione. L’esperto deve anche persuadere e in questo può aiutare l’introduzione di concetti importanti. L’esperto deve mirare a imprimere nelle menti dei giurati concetti fondamentali, mediante la ripetizione di quei concetti. NOTA Un testimone comune testimonia della propria esperienza personale e di ciò di cui è a conoscenza e non può esprimere un parere.
Preparazione di un testimone esperto per il processo Nella maggior parte dei casi, il testimone esperto deve preparare un rapporto scritto, come indicato nella Rule 26(2)(B), Disclosure of Expert Testimony in the Federal Rules of Civil Procedure: 1. Testimoni che devono esibire un rapporto scritto. A meno che sia stato stabilito o ordinato diversamente dalla corte, questa comunicazione deve essere accompagnata da un rapporto scritto – preparato e firmato dal testimone – se il testimone è tenuto o assunto specificamente per fornire una testimonianza esperta nel caso o una persona fra i cui doveri, come dipendente della parte, rientra regolarmente il fornire una testimonianza esperta. Il rapporto deve contenere: 1. una dichiarazione completa di tutti i pareri che il testimone esprimerà e le basi e i motivi di tali pareri; 2. i fatti o i dati considerati dal testimone per formarsi tali pareri, 3. qualunque allegato che verrà utilizzato per riassumere o sostenere tali pareri; 4. le qualifiche del testimone, compreso un elenco di tutte le pubblicazioni firmate nei dieci anni precedenti; 5. un elenco di tutti gli altri casi in cui, nel corso dei quattro anni precedenti, il testimone ha testimoniato come esperto in giudizio o mediante deposizione; e 6. una dichiarazione del compenso pattuito per lo studio e la testimonianza.
Il testimone esperto deve essere sicuro che il proprio curriculum vitae sia aggiornato e deve rinfrescarsi la memoria sui contenuti di quel documento. Per esempio, se foste un testimone esperto, dovreste essere in grado di descrivere una testimonianza resa dieci anni fa e spiegare qualsiasi interruzione nella cronologia del vostro impiego. Se avete indicato l’appartenenza a qualche organizzazione, dovete conoscerne lo statuto e il codice etico e spiegare perché ne siete membri. Dovete rinfrescarvi la memoria sul vostro training, perché un buon avvocato della difesa spesso interroga gli esperti sul loro training relativo agli strumenti forensi e calcola quante ore di training hanno seguito e quante ore di esperienza hanno avuto in laboratorio. Anche se rispondete con sicurezza e in modo corretto, le vostre risposte potrebbero essere usate per sostenere che la difesa è stata svantaggiata perché non ha potuto utilizzare risorse e competenze esperte pari a quelle dell’accusa. Se fungerete da testimoni esperti, l’avvocato del cliente vi aiuterà a prepararvi per la testimonianza esperta. Un testimone esperto può portare con sé una serie di oggetti che possono aiutare a spiegare concetti importanti. Ovviamente, tutti questi oggetti devono essere autorizzati in anticipo dall’avvocato del cliente. Preparate un fascicolo bene organizzato di appunti da portare con voi, che possiate consultare rapidamente. Se vi viene fatta una domanda non vorrete sembrare disorganizzati, ma è perfettamente accettabile chiedere di poter consultare i vostri appunti per rispondere. Prima che entriate in aula, il pubblico ministero deve essere in possesso delle cose seguenti: il vostro curriculum vitae; le autorizzazioni per tutte le perquisizioni effettuate; il modulo della catena di custodia; il rapporto investigativo; gli appunti.
Consigli per un testimone esperto per l’accusa A un testimone esperto può essere posta una domanda ipotetica. Quando si risponde a domande del genere, la risposta deve sempre essere basata sui fatti. Un esperto deve evitare di andare oltre la risposta alla domanda e non fornire spontaneamente informazioni ulteriori. L’esperto non deve lasciarsi trascinare al di fuori del proprio campo di competenza: potrebbe essere un tentativo della difesa di screditare la competenza dell’esperto, metterlo a disagio e in condizioni di avere meno fiducia in sé stesso. L’esperto deve tenere un atteggiamento cortese con tutti in tribunale, ma in particolare con lo stenografo del tribunale e con il giudice. Non deve mai parlare mentre sta parlando qualcun altro. Deve rivolgersi al giudice con l’espressione “Vostro Onore”, non “Signora” o “Signore”. Quando risponde a una domanda, deve essere chiaro su chi ha fatto che cosa e quando. Deve evitare parole restrittive come “probabilmente”. Deve avere la tranquillità di dire “Non lo so, questo è al di fuori del mio campo di competenza”. Quando riassume concetti fondamentali, deve assicurarsi di includere fatti importanti derivati dalle evidenze. Deve essere molto chiaro anche sulle unità di misura: per esempio, parlando di RAM, specificare “8 GB di RAM”. Deve prestare attenzione anche ai fusi orari, su cui gli avvocati si concentrano sempre più spesso.
Riepilogo Per poter documentare efficacemente un’indagine, gli investigatori della scena del crimine e i tecnici di laboratorio devono prendere molti appunti sia sulle loro azioni sia su ciò che scoprono. La correttezza delle procedure con cui si maneggiano, si conservano e si esaminano le prove è importante quanto le prove trovate. Sulla scena del crimine, è vitale prendere appunti dettagliati e fotografare tutti i dispositivi digitali e le loro connessioni. Un investigatore può usare anche altri mezzi per ottenere evidenze, per esempio richiedendo documentazione a fornitori di servizi terzi. Un ordine di conservazione è un documento che vincola legalmente un provider a conservare i dati relativi a uno dei suoi clienti, che poi verranno rilasciati non appena il provider riceve un mandato o un’ingiunzione. Quando vengono acquisite prove da un
sospettato o da una scena del crimine, è essenziale documentare tutte le persone che hanno avuto la custodia di quelle prove, mediante un modulo della catena di custodia. Compilare questo modulo può diventare complicato, nel caso delle prove digitali: può succedere, per esempio, che un investigatore debba lavorare con un RAID costituito da cinque dischi e la norma è creare due copie di ciascun disco. Uno dei motivi per cui gli investigatori pagano una licenza per poter usare strumenti più avanzati di Computer Forensics è costituito dalle funzionalità di stesura dei rapporti. Anche strumenti gratuiti però possono essere di aiuto nel documentare le indagini: per esempio, CaseNotes, FragView e VideoTriage. L’effettivo rapporto investigativo deve indicare anche il raggio d’azione dell’indagine. Per esempio, se il caso comporta indagini su un medico, un giudice può consentire agli investigatori di esaminare solo determinate parti di un disco, per evitare che possano accedere alle cartelle cliniche dei pazienti. L’investigatore deve anche indicare la metodologia scientifica o l’approccio utilizzato durante l’indagine. Questa parte del rapporto specifica i metodi di esame che sono pratiche accettate in questo campo della scienza. Un esempio è la codifica predittiva. L’esaminatore forense deve stare molto attento a tener conto delle differenze di data e ora associate con i metadati dei file. La sincronizzazione è complicata dall’ora legale. UTC (Coordinated Universal Time), basato sulla longitudine, è lo standard internazionale per gli orari, ed è l’ora su cui si basano i sistemi informatici. I servizi di un testimone esperto possono essere richiesti dal tribunale, dal cliente, da un pubblico ministero, dall’accusato o magari dal querelante, in caso di procedimento civile. Un testimone esperto è diverso da un testimone comune, perché l’esperto può esprimere un parere basato sui fatti.
Un testimone esperto deve presentare un curriculum vitae aggiornato e deve essere in grado di spiegare ogni voce che compare in quel documento, compreso il codice etico delle organizzazioni di cui fa parte. Gli avvocati della parte avversa possono usare molte tattiche per screditare le qualifiche e la testimonianza degli esperti. In ultima istanza, un rapporto ben scritto e un esperto qualificato, che comprenda a pieno i risultati presentati nel rapporto, dovrebbero essere in grado di superare qualsiasi controinterrogatorio.
Glossario Codifica predittiva. Una metodologia scientifica utilizzata per trovare parole chiave, schemi o contenuti rilevanti su un computer. Coordinated Universal Time (UTC). Uno standard internazionale per l’indicazione dell’ora, basato sulla longitudine. Usa un formato di orologio a 24 ore. Greenwich Mean Time (GMT). L’ora registrata a 0 gradi di longitudine. Tutti gli altri fusi orari del mondo sono coordinati con questo fuso orario. Leap second bug. Problemi che possono presentarsi in un computer in conseguenza di un secondo intercalare (leap second) che viene aggiunto agli orologi atomici per mantenere la corrispondenza con il moto rotario della Terra. Mountain Standard Time (MST). Un fuso orario negli Stati Uniti in cui rientrano Arizona, Utah, Colorado, New Mexico, Wyoming, Idaho e Montana. Ora legale (Daylight Saving Time, DST). Spostamento dell’ora in avanti, in primavera, poi riportata alla normalità in autunno. Ordine di conservazione. La richiesta, inviata a un fornitore di servizi, di conservare la documentazione relativa a un sospettato.
Secondo intercalare (leap second). Un secondo aggiunto agli orologi per compensare le differenze fra la rotazione della Terra e l’ora registrata dai nostri dispositivi di tutti i giorni. Testimone comune. Una persona che rende testimonianza in tribunale in merito alle proprie esperienze e a ciò che conosce e non può esprimere un parere. Testimone esperto. Una persona che crea un rapporto investigativo o riesamina i risultati di un rapporto investigativo e fornisce un’interpretazione di quei risultati in base a studi specifici, al suo training e alle conoscenze acquisite.
Valutazione Domande a risposta aperta 1. Spiegate perché differenze temporali possono portare a una conclusione positiva o negativa di un procedimento per l’accusa. 2. Se a un vostro amico venisse chiesto di rendere una testimonianza come esperto, quali consigli gli dareste, per prepararsi nel modo migliore al processo? 3. Elencate tutti i moduli necessari per acquisire prove dall’abitazione di un sospettato. 4. Discutete perché spesso i moduli della catena di custodia non sono compilati in modo accurato.
Domande a risposta multipla 1. Quale fuso orario negli Stati Uniti comprende Arizona, Utah, Colorado, New Mexico, Wyoming, Idaho e Montana?
A. B. C. D.
Mountain Standard Time. Pacific Standard Time. Central Time Zone. Greenwich Mean Time.
2. Quale dei seguenti è il tempo standard per i sistemi informatici? A. B. C. D.
Greenwich Mean Time. Mountain Standard Time. Eastern Standard Time. Universal Time Coordinated.
3. Quale delle seguenti è una richiesta a un fornitore di servizi perché conservi la documentazione relativa a un sospettato ed è valido per 90 giorni, ma può poi essere esteso di altri 90 giorni? A. B. C. D.
Catena di custodia. Ordine di conservazione. Ingiunzione. Mandato.
4. Quale fra le seguenti è una metodologia scientifica utilizzata per trovare parole chiave, schemi o contenuti rilevanti su un computer? A. B. C. D.
Programmazione Java. Codifica analitica. Ricerca per parole chiave. Codifica predittiva.
5. Quale delle espressioni seguenti indica la pratica di avanzamento dell’orario di un’ora in primavera, riportato poi all’ora solare in autunno? A. Avanzamento di un secondo intercalare. B. Ora legale.
C. British Standard Time D. Mountain Standard Time 6. Quale dei tipi seguenti di testimoni rende testimonianza sull’esperienza personale e in base alle proprie conoscenze, ma non può esprimere un parere? A. B. C. D.
Testimone esperto. Testimone comune. Testimone di carattere. Testimone giudiziario.
7. Quale dei tipi seguenti di testimoni rende testimonianza sull’esperienza personale e in base alle proprie conoscenze e può esprimere un parere basata sui fatti? A. B. C. D.
Testimone esperto. Testimone comune. Testimone di carattere. Testimone giudiziario.
8. Che cosa viene aggiunto agli orologi per rimediare alla mancata corrispondenza fra rotazione della Terra e ora registrata dai nostri dispositivi comuni? A. B. C. D.
Secondo incrementale. Salto di secondo. Secondo di anno bisestile. Secondo intercalare.
9. Quale fra le seguenti è l’ora registrata a 0 gradi di longitudine, rispetto alla quale vengono coordinati tutti gli altri fusi orari del mondo? A. British Standard Time. B. Mountain Standard Time.
C. Greenwich Mean Time. D. Universal Time Coordinated. 10. Quale fra i seguenti si riferisce a possibili disturbi di un computer che possono verificarsi in conseguenza dell’aggiunta di un secondo intercalare agli orologi atomici, per ristabilire il coordinamento con la rotazione della Terra? A. B. C. D.
Leap second bug. Bomba logica. Worm. Rootkit.
Completa le frasi 1. La __________ è una metodologia scientifica, utilizzata per trovare parole chiave, schemi o contenuti rilevanti su un computer. 2. L’ora registrata a 0 gradi di longitudine si chiama __________ Mean Time. 3. La pratica di spostare avanti di un’ora gli orologi in primavera e poi riportarli indietro di un’ora in autunno si chiama __________. 4. Un __________ testimonia solo in base all’esperienza personale e a ciò che conosce. 5. Agli orologi si aggiunge un secondo __________ per rimediare alle incoerenze fra la rotazione della Terra e l’ora registrata dai nostri dispositivi quotidiani. 6. Un __________ può creare un rapporto investigativo o rivedere i risultati di un rapporto investigativo e fornisce un’interpretazione di quei risultati sulla base dei suoi studi specialisti, del suo training e delle sue conoscenze.
7. __________ Standard Time è il fuso orario negli Stati Uniti che comprende Arizona, Utah, Colorado, New Mexico, Wyoming, Idaho e Montana. 8. I comportamenti anomali di un computer che possono verificarsi in conseguenza dell’aggiunta di un secondo intercalare agli orologi atomici per riallinearli con la rotazione della Terra prendono il nome di leap second __________. 9. Universal Time __________ è uno standard internazionale per le ore che si basa sulla longitudine e usa un formato a 24 ore. 10. Un/una __________ è la richiesta, da parte delle forze dell’ordine, formulata a un fornitore di servizi, perché conservi la documentazione di un sospettato, in attesa di un’ingiunzione o di un mandato.
Progetti Condurre un’indagine onsite Siete stati chiamati nell’abitazione di un sospetto trafficante di droga. Lì siete stati informati della presenza di un computer Microsoft Surface e di un telefono Samsung Galaxy S20. Indicate i passi che intraprendereste nel possibile esame in loco di questi dispositivi. Dovete annotare come documentare e maneggiare correttamente questi dispositivi sulla base delle linee guida pubblicate per le forze dell’ordine. Descrivete quale altro hardware, presente nell’abitazione, potrebbe avere valore probatorio per l’investigatore. Descrivete anche quale tipo di apparecchiature dovreste portare con voi nell’abitazione del sospettato. Scrivere un rapporto
Sulla base della descrizione dell’indagine nel progetto precedente, definite la struttura del rapporto investigativo che scriverete. Descrivete la metodologia (approccio scientifico) utilizzata per l’esame. Includete altre fonti di prove che potreste dover richiedere e descrivete come le richiedereste (suggerimento: fornitori di servizi). Dato che esaminerete un computer Microsoft Surface e un telefono Samsung Galaxy S20, citate gli strumenti che potreste usare durante l’esame in laboratorio. Vi è stato anche chiesto, nell’ambito dell’indagine, di cercare determinate parole chiave che si riferiscano ad attività legate al traffico di droga da parte del sospettato e numeri di Social Security rubati che potrebbero essere conservati nel computer. Sincronizzare i tempi Sulla base della descrizione delle indagini nei due progetti precedenti, si è scoperto che il sospettato aveva compiuto una serie di viaggi a partire dalla sua abitazione di New York. 1. 2. 3. 4.
Destinazione: Rio de Janeiro, Brasile Data: 25-31 agosto 2020 Destinazione: Phoenix, Arizona Data: 24-29 ottobre 2020 Destinazione: Dublino, Irlanda Data: 2-10 gennaio 2021 Destinazione: Durban, Sudafrica Data: 11-19 maggio 2021
Spiegate come sincronizzereste queste date nel rapporto.
Capitolo 7
Network Forensics e risposta agli incidenti
Obiettivi Di seguito i temi principali che verranno affrontati nel corso di questo capitolo. L’importanza della Network Forensics. Dispositivi hardware che contengono log di rete preziosi per un esaminatore forense. IPv4 e IPv6. Il modello OSI. Errori che si commettono quando si compiono indagini sulle reti. Artefatti di Windows. Minacce persistenti avanzate: autori, vettori d’attacco, indicatori di compromissione. Come condurre le indagini su una intrusione in una rete. La Network Forensics è estremamente importante, ma pochi la conoscono. Questo campo dell’analisi forense è importante per l’aumento esplosivo del numero delle violazioni di reti. La sola violazione della Sony PlayStation nel 2011 si stima sia costata all’azienda 170 milioni di dollari: sono stati compromessi oltre 100 milioni di record dei clienti. L’attacco a ransomware NotPetya nel 2017 è costato alla Merck almeno 1,3 miliardi di dollari. Negli Stati Uniti si
è fatto affidamento sul personale di sicurezza e su quello informatico generico per la gestione di questi incidenti, ma la posta in gioco è molto alta, in termini di perdite finanziare e di cattiva pubblicità, perciò è fondamentale che le organizzazioni investano di più in investigatori forensi interni che abbiano le competenze legali e tecniche per gestire in modo adeguato queste violazioni, visto in particolare il rischio di cause civili. La scarsa diffusione delle competenze nell’ambito della comunità nasce dal fatto che gli esaminatori forensi si concentrano, durante le indagini, sui computer e i dispositivi client e ottengono evidenze lato server da vari tipi di fornitori di servizi. Per esempio, quando è necessario esaminare i messaggi di posta elettronica di Hotmail, è necessario solo un ordine del tribunale per ottenere la documentazione. Il metodo con cui vengono recuperate le evidenze è irrilevante. Inoltre, la prevalenza degli attacchi APT (Advanced Persistent Threat, attacchi mirati e continuativi su grande scala) fa sì che ci sia sempre più bisogno di esaminatori di Network Forensics, che devono conoscere tipi differenti di file system, sistemi operativi ed evidenze. Nell’acronimo APT la “A” sta per “Advanced” e sta a indicare che questi attacchi alle reti sono molto sofisticati e richiedono risorse rilevanti, tanto che si suppone siano supportati da governi nazionali, come quello della Cina. Il buon andamento di economie che, come quella statunitense, si basano sulle informazioni digitali, dipenderà dall’esistenza di investigatori competenti di Network Forensics, ben preparati, alle dipendenze del governo e delle aziende. Le università che conducono ricerche per il Department of Defense e altre agenzie governative, così come i grandi studi legali che maneggiano grandi quantità di proprietà intellettuali duranti i casi civili, sono obiettivi primari per gli attaccanti sponsorizzati dai governi. Più recenti sono le notizie della
compromissione di MSP (Managed Service Provider) per cercare di accedere alle reti relative. Un MSP in genere fornisce alle organizzazioni servizi di infrastruttura IT, per esempio spazio di archiviazione nel cloud. Infine, non bisogna pensare che la Network Forensics riguardi solamente le organizzazioni: anche le reti domestiche sono diventate molto importanti. Per esempio, basta pensare a un “ambiente Apple”, che può essere costituito da un computer Mac, un iPad, Apple TV, HomePod e iCloud. È possibile che un router domestico venga compromesso, in modo che l’attaccante abbia a disposizione un dispositivo dal quale effettuare lo sniffing del traffico e modificare il DNS (Domain Name System). Per trattate in profondità il tema della Network Forensics non basterebbe un manuale; questo capitolo presenta solo una panoramica dei suoi campi principali e dei concetti fondamentali. NOTA Un investigatore di Network Forensics deve conoscere l’infrastruttura delle reti, sotto il profilo hardware e software, per sapere dove possono trovarsi le evidenze che lo interessano.
Gli strumenti Gli approcci fondamentali alla Network Forensics sono due: (1) cattura e analisi in tempo reale; (2) analisi retroattiva dei dati catturati. Sono necessarie grandi risorse per poter eseguire un’analisi in tempo reale: servono memorie di massa molto grandi, molta capacità di calcolo e molta RAM. Per quanto riguarda i requisiti di memoria di massa, si può usare un sistema RAID (Redundant Array of Independent Disks). La soluzione ottimale è un sistema RAID 0, che garantisce molto spazio, prestazioni elevate e bassa ridondanza. Kali Linux è uno strumento Linux open source utilizzato spesso per la cattura di pacchetti
in tempo reale; esistono però anche molti altri strumenti di Network Forensics e di analisi, anche se molti sono piuttosto costosi da acquistare e mantenere. Fra questi strumenti vi sono: EnCase Endpoint Investigator; RSA NetWitness; Kibana; Carbon Black; Splunk. Funzionano bene anche questi strumenti open source: tcpdump; WinDump; Xplico; Wireshark; Kismet; TCPflow; Ettercap; Traceroute; TCPtraceroute; NGREP; WGET; CURL. Gli sniffer di pacchetti si usano per catturare pacchetti di dati da reti wireless o cablate; Wireshark e tcpdump sono esempi di sniffer di pacchetti. La scheda di rete (Network Interface Card, NIC) risponde solo ai pacchetti inviati al suo indirizzo MAC, ma uno sniffer mette la NIC in modalità promiscua, nella quale può ascoltare le comunicazioni trasmesse sulla rete, indipendentemente dal destinatario. Gli sniffer di pacchetti sono usati dagli investigatori di Network Forensics insieme
con gli analizzatori di protocollo, che permettono di analizzare e interpretare il traffico sulla rete.
Dispositivi di rete È fondamentale sapere quali siano i dispositivi con capacità di logging e che perciò possono contenere evidenze storiche utili alle indagini. Gli investigatori devono annotare tutti i diversi orari di sistema per ciascun server o dispositivo di rete. I dati possono essere instradati attraverso vari server di rete, ciascuno dei quali può avere un timestamp diverso dagli altri, e questo è un aspetto a cui possono appigliarsi gli avvocati della difesa. Hanno capacità di logging tutti i dispositivi seguenti: server proxy; server web; server DHCP; server SMTP; server DNS; router; switch; hub; IDS; firewall.
Server proxy Un server proxy è un computer che inoltra una richiesta, avanzata da un client, a un server. È una cosa importante da conoscere, perché un sospettato potrebbe usare il computer di un altro utente (o anche più computer) come intermediario per richiedere informazioni da un server.
Gli investigatori, quindi, potrebbero sequestrare un server web su cui si trovano fotografie illecite di minori, ma le richieste da client per scaricare pagine o immagini potrebbero provenire dall’indirizzo IP di persone del tutto ignare, il cui computer è stato compromesso dagli hacker. Squid è un servizio di caching proxy che può essere utilizzato per migliorare le prestazioni di un server web: può conservare in cache (una memoria veloce) le richieste più comuni e anche le ricerche di DNS, nel Web e nella rete. La cache web è interessante per gli investigatori forensi perché può fornire informazioni preziose sull’attività Internet, attraverso le richieste a un server web. La maggior parte dei proxy sono proxy web. Tutto il traffico che passa dalle porte 80, 8080, 80443 o 443 deve passare attraverso un proxy web.
Server web Un server web ospita documenti HTML e le relative risorse mediali, e le “serve” ai client quando gliene fanno richiesta. In altre parole, quando scrivete un URL nel browser e poi premete Invio, al server web viene inviato un pacchetto di dati che contiene il vostro indirizzo IP. Dal server, la pagina web relativa (file HTML e file mediali associati) viene inviata al vostro computer e salvata nella cache. Per esempio, se visitate la pagina Facebook di un amico, scaricate la pagina del suo profilo in HTML e tutte le foto o i video (file mediali) incorporati in quella pagina. Un investigatore forense può analizzare le richieste dei client consultando i log del server web. Esaminando i file di log su un server web, si possono ottenere varie informazioni: data e ora; indirizzo IP sorgente; codice sorgente HTTP;
risorsa richiesta. In un computer Linux vi sono varie cartelle che possono risultare interessanti per un investigatore forense, fra cui le seguenti. : contiene file di configurazione del sistema e altri tipi di file. /etc/passwd: file di configurazione che contiene informazioni sull’utente locale. In questo file si possono trovare le informazioni di login dell’utente. Il file usa la cifratura DES (Data Encryption Standard). /etc/group: contiene informazioni sul gruppo dell’utente. /etc/shadow: qui si possono trovare gli hash di nome utente e password. Il file può essere letto solo dall’utente root. /home: qui vengono create tutte le directory home dell’utente. /etc
: registra la cronologia di tutti i comandi eseguiti nel
/.bash_history
file. /etc/ssh
e /.ssh: contengono le chiavi privata e pubblica per l’host.
: contiene i log di vari servizi in esecuzione. Nel caso di un server web può trattarsi di Apache (un software open source molto diffuso per i server web) o SSH (un protocollo crittografico di rete per le comunicazioni sicure). /var/www: in questa cartella Apache conserva file e sottodirectory /var/log
del server web. /var/www/html: conserva i contenuti di un sito web gestito con Apache.
Uniform Resource Identifier (URI) Uno Uniform Resource Identifier (URI) permette di individuare una risorsa in Internet. Il tipo più comune di URI è l’Uniform Resource Locator (URL), che è formato da:
protocollo di trasmissione (in genere HyperText Transfer Protocol, HTTP); un segno di due punti (:); due barre (//); il nome di dominio, che si traduce in un indirizzo IP; la risorsa, cioè il documento HTML o file, per esempio un file .jpg.
Browser web Dal lato client, si usa un browser web per visualizzare i documenti HTML (HyperText Markup Language). Prima che venissero introdotti i browser, per caricare e scaricare file dai server web si usava il File Transfer Protocol (FTP), oggi usato invece principalmente per il caricamento sicuro di file su server web. Il browser viene usato (1) in combinazione con un server DNS per risolvere indirizzi DNS, (2) per inviare richieste HTTP, (3) per scaricare risorse e (4) per visualizzare i contenuti dei file con i Browser Help Object (BHO). Questi ultimi sono utilizzati per aggiungere funzionalità al browser: l’oggetto si avvia ogni volta che l’utente apre il browser. Per esempio, un Adobe BHO consente agli utenti di vedere documenti PDF dentro la finestra del browser. Un BHO è leggermente diverso da un plug-in, perché è specifico per Internet Explorer (IE) e Microsoft mette a disposizione un’interfaccia e linee guida per gli sviluppatori che vogliono creare uno di questi oggetti. Microsoft Edge non supporta invece le tecnologie ActiveX e BHO. HyperText Transfer Protocol (HTTP) HyperText Transfer Protocol (HTTP) è uno standard per le richieste e le risposte fra client e server. Contiene metodi usati per le richieste
client-server. I seguenti sono indicati come metodi “sicuri”. : recupera la risorsa nell’URI richiesto. HEAD: simile a GET, ma non include il corpo del file richiesto. Può GET
essere usato per testare un collegamento ipertestuale. OPTIONS: richiede informazioni sulle opzioni disponibili nelle comunicazioni che coinvolgono l’ URI. Alcuni metodi client possono essere dannosi per un server, in particolare i seguenti. : chiede a un server di accettare un oggetto (che potrebbe
POST
essere un file) incluso nella richiesta. PUT: richiede l’aggiunta di un oggetto in un URI specificato. DELETE: cancella una specifica risorsa. : può essere usato per consentire comunicazioni Transport Layer Security (TLS) e anche per creare un tunnel HTTP che aggiri i firewall e i sistemi di rilevamento delle intrusioni.. TRACE: fa sì che una richiesta inviata da un client venga rimandata al CONNECT
client dal server. Usato normalmente a fini diagnostici, può anche servire a ingannare un server, in modo che invii una richiesta TRACE a un altro sito. In HTTP, i codici di stato informano il client sullo stato di una richiesta o del server. Per esempio, a volte si inserisce nel browser un URL e il browser presenta un codice di errore “404”, il che significa che non ha trovato la risorsa richiesta (il sito web), probabilmente a causa di qualche errore di battitura nello scrivere l’URL, o magari perché quella risorsa è stata spostata. Un errore 404 può voler dire che il server non vuole comunicare il motivo per cui una risorsa non è stata trovata. Quelli che seguono sono altri codici di stato HTTP per gli errori del client.
400: richiesta malformata. 401: non autorizzato. 403: proibito. 405: metodo non consentito. 406: non accettabile. 407: richiesta autenticazione del proxy. 408: tempo scaduto per la richiesta. 409: conflitto. 410: sparito. Quelli che seguono sono invece alcuni esempi di codici di stato HTTP dal lato server. 500: errore interno del server. 501: non implementato. 502: gateway non funzionante. 503: servizio non disponibile. 504: tempo scaduto per il gateway. 505: versione di HTTP non supportata.
Linguaggi di scripting È importante sapere come funzionano sui siti web i linguaggi di scripting. Nella maggior parte dei casi, gli script realizzati con questi linguaggi hanno finalità legittime, come controllare se un client ha installata una certa applicazione (plug-in) per poter vedere contenuti incorporati, per esempio Audacity per un file audio. Uno script però può anche servire a intenti malevoli, oppure può essere usato dalle forze dell’ordine per identificare su una rete un sospettato che usa un servizio proxy. Un investigatore può essere chiamato a spiegare come sono stati eseguiti su una pagina web script lanciati dal computer del
sospettato o come il sospettato controllasse un server web con contenuti maligni o illeciti. Uno script può essere eseguito o sul lato client o sul lato server. Script in linguaggi come JavaScript (il più diffuso), JScript o VB Script vengono incorporati in pagine HTML per realizzare elementi dinamici e interazione. Per esempio, in JavaScript si può creare un convertitore di valute o di temperature interattivo, che cioè chieda un numero e poi lo converta, presentando il risultato al client (utente). Ovviamente, alcuni script possono essere eseguiti lato server. I linguaggi utilizzati sono: Python; PHP (.php); PERL (.pl); Java; Ruby; ColdFusion Markup Language (.cfml); Active Server Pages (.asp/.aspx/asp.net).
Server DHCP Dynamic Host Configuration Protocol (DHCP) è uno standard che consente a un server di assegnare dinamicamente indirizzi IP e configurazioni agli host su una rete. L’indirizzamento dinamico significa che un nuovo client può connettersi a una rete senza possedere un indirizzo IP preassegnato. Il server DHCP assegna un indirizzo IP univoco e, quando il client lascia la rete, quell’indirizzo si libera e può essere utilizzato per un nuovo host. Grazie a DHCP un amministratore di rete non deve assegnare manualmente indirizzi IP e tenere traccia dei client che li usano, ma può lasciare che questo compito sia svolto automaticamente da un software client DHCP. Un ISP può usare DHCP
per consentire ai suoi clienti di accedere alle proprie reti. Analogamente, in una rete domestica, un router broadband usa DHCP per aggiungere client alla propria rete: possono essere un PC, una smart TV, un tablet o uno smartphone. Come minimo, un server DHCP fornisce un indirizzo IP, una maschera di sottorete e un gateway di default. Una maschera di sottorete (subnet mask) facilita la comunicazione fra reti separate. Un indirizzo IP è formato da due parti: una indica la rete, l’altra l’indirizzo dell’host. Una maschera di sottorete separa l’indirizzo IP nelle due parti, rete e indirizzo di host. Vedremo più in dettaglio il subnetting nel seguito del capitolo. Il gateway di default è il nodo sulla rete che funge da host (router) di inoltro verso altre reti. Per esempio, nel caso di una rete domestica, il gateway di default può essere il router broadband. Un router mantiene una tabella ARP (Address Resolution Protocol), basata su richieste e risposte ARP. Quando in Internet viene inviato un pacchetto, questo viene spedito all’indirizzo MAC dell’interfaccia router che è il gateway di default. ARP collega un indirizzo IP statico a un indirizzo MAC nella tabella ARP di un dispositivo. DHCP, invece, assegna sempre lo stesso indirizzo IP a un dispositivo. ARP viene utilizzato per ottenere indirizzi MAC da un indirizzo IP, principalmente in una LAN (Local Area Network). La tabella di instradamento contiene queste informazioni: indirizzi IP della rete di destinazione; indirizzo IP del gateway di destinazione; interfaccia corrispondente. Quando il router riceve un pacchetto, controlla l’indirizzo IP della rete di destinazione nella tabella di instradamento. Se il pacchetto è destinato a una rete connessa direttamente al router, dalla tabella ARP ottiene l’indirizzo MAC di destinazione. Gli indirizzi MAC (Livello 2 del modello OSI) vengono messi in corrispondenza con gli indirizzi IP
(Livello 3) mediante ARP. Le risposte ARP sono conservate in cache sugli host che appartengono alla LAN. La cache ARP può essere esaminata in un sistema Windows per esaminare le corrispondenze fra indirizzi MAC-IP mediante il comando seguente: arp -a
Potete vedere l’attività del servizio DHCP sul vostro personal computer lanciando l’applicazione Event Viewer (Visualizzatore eventi). Come si può vedere nella Figura 7.1, ogni volta che DHCP si avvia e si ferma viene creato un evento.
Figure 7.1 Windows Event Viewer: DHCP.
DHCP è un protocollo client/server che fornisce a un host IP un indirizzo IP e altre informazioni di configurazione, per esempio una maschera di sottorete o un gateway di default. Alle apparecchiature di rete, fra cui router, firewall e server, vengono assegnati indirizzi IP statici, mentre agli host, compresi tablet e smartphone, in genere viene assegnato un indirizzo IP dinamico. Un esame dei log DHCP permetterà di vedere gli indirizzi MAC dei dispositivi che si sono connessi a un router. Se un’organizzazione usa un
server DHCP, i log con gli idirizzi MAC possono essere molto lunghi. Il DHCP può essere gestito da un router o da un server; si può riuscire a identificare un server DHCP monitorando il traffico sulle porte 67 e 68. Esistono vari attacchi noti a DHCP, fra cui DHCP poisoning e DHCP starvation. È importante sapere che si possono trovare prove di questo tipo di spoofing nei log DHCP. Un attaccante può assumere le vesti di un utente legittimo e l’investigatore deve sempre tenere presente anche questa possibilità. Nei log DHCP si possono trovare i messaggi elencati nella Tabella 7.1. Tabella 7.1 Messaggi DHCP e loro significato. (Fonte: https://www.ietf.org/rfc/rfc2131.txt) Messaggio
Uso
DHCPDISCOVER
Trasmesso da client per individuare i server disponibili.
DHCPOFFER
Dal server al client in risposta a DHCPDISCOVER con offerta di parametri di configurazione.
DHCPREQUEST
Messaggio da client a server che (a) richiede i parametri offerti da un server e implicitamente rifiuta quelli offerti da tutti gli altri, o (b) conferma la correttezza dell’indirizzo assegnato in precedenza, dopo, per esempio, un riavvio del sistema, oppure (c) estende il lease per un particolare indirizzo di rete.
DHCPACK
Da server a client con parametri di configurazione, fra cui l’indirizzo di rete impegnato.
DHCPNAK
Da server a client per indicare che l’indirizzo di rete del client non è corretto (per esempio, il cient si è spostato in una nuova sottorete) o che il lease del client è scaduto.
DHCPDECLINE
Da client a server per indicare che l’indirizzo di rete è già in uso.
DHCPRELEASE
Da client a server per lasciare libero l’indirizzo di rete e cancellare il tempo di lease rimanente.
DHCPINFORM
Da client a server, per chiedere solo parametri di configurazione locale; il client ha già un indirizzo di rete configurato esternamente.
Log DHCP Un server DHCP registrerà nel proprio log le informazioni seguenti:
avvio; chiusura; lease DHCP; assegnazioni DHCP; richieste DHCP. Su un server DHCP Linux, i lease sono memorizzati nel file dhcpd.leases, che si può trovare in questa posizione: /var/lib/dhcp/dhcpd.leases
Il file di configurazione è dhcpd.conf, si può trovare nella directory /etc/ e fornisce queste informazioni: tempo medio di lease; tempo massimo di lease; logging Syslog (Syslog è utilizzato dai dispositivi di rete per inviare messaggi di evento a un server di logging); intervallo degli indirizzi assegnati dinamicamente.
Hub Uno hub è un dispositivo fisico di rete che trasmette pacchetti di dati a tutti i dispositivi su una rete, indipendentemente dal loro indirizzo MAC. Uno hub è un dispositivo del Livello 1 (modello OSI).
Switch Uno switch di rete è un dispositivo fisico intelligente che connette altri dispositivi su una rete. Può essere chiamato anche switching hub, bridging hub o MAC bridge. La differenza fra uno hub e uno switch è che quest’ultimo inoltra i pacchetti solo al dispositivo di destinazione su una rete. Uno switch di rete opera al livello Collegamento dati (Livello 2 del modello OSI), ma alcuni switch possono operare anche
al livello di Rete (livello 3 del modello OSI). La Content Addressable Memory (CAM) è un tipo di memoria utilizzato dagli switch Cisco; un investigatore può individuare una tabella di indirizzi CAM ed eventualmente analizzarla.
Server SMTP Un server Simple Mail Transport Protocol (SMTP) è un server utilizzato per inviare posta elettronica a un client. L’email poi viene instradata a un altro server SMTP o a un altro email server. Per esempio, se si usa Microsoft Outlook per inviare una email, l’applicazione comunica a un server SMTP gli indirizzi di posta elettronica di mittente e destinatario, nonché il corpo del messaggio. Quando si invia una email a un altro dominio (per esempio, da Hotmail a Yahoo!), il server SMTP comunica con un server DNS e richiede l’indirizzo IP del server SMTP. Il DNS quindi risponde con l’indirizzo (o gli indirizzi) IP dei server SMTP gestiti da Yahoo! (per rimanere allo stesso esempio). I server SMTP comunicano fra loro mediante comandi semplici, come HELO (introduzione), MAIL FROM: (specifica il mittente), RCPT TO: (specifica il destinatario), QUIT (chiude la sessione), HELP (chiede aiuto), VRFY (verifica l’indirizzo) e DATA (A, Da, Oggetto, Corpo del messaggio). Internet Message Access Protocol (IMAP) consente all’utente di accedere all’email da quasi tutti i dispositivi abilitati a Internet. Con IMAP, l’email dell’utente è memorizzata in un email server e, quando il messaggio è richiesto, viene scaricato solo temporaneamente sul dispositivo dell’utente. Post Office Protocol (POP) è un diverso standard per la posta elettronica per il quale la posta è conservata sul dispositivo dell’utente e non sul server. Alcuni servizi, come Gmail, possono essere impostati come servizi POP o IMAP dall’utente.
Posta elettronica (email) L’analisi della posta elettronica richiede qualche conoscenza di Network Forensics. Quello che segue è un campione di email che analizzeremo dal punto di vista forense. Le parti significative sono spiegate dopo l’esempio. 1) Received: (qmail 29610 invoked by uid 30297); 27 Jul 2013 19:13:41 -0000 2) Received: from unknown (HELO p3plibsmtp01-05.prod.phx3.secureserver.net) [ic:ccc] ([10.6.12.128]) 3) (envelope-sender ) 4) by p3plsmtp10-06.prod.phx3.secureserver.net (qmail-1.03) with SMTP 5) for ; 27 Jul 2013 19:13:41 -0000 6) Received: from co1outboundpool.messaging.microsoft.com ([216.32.180.188]) 16) Received: from mail22-co1-R.bigfish.com (10.243.78.243) by 17) CO1EHSOBE025.bigfish.com (10.243.66.88) with Microsoft SMTP Server id 22) X-Forefront-Antispam-Report: CIP:198.105.43.6;KIP:(null);UIP:(null);IPV:NLI;H: exchnycsmtp1.pace.edu;RD:none;EFVD:NLI 55) MIME-Version: 1.0 58) X-FOPE-CONNECTOR: Id%0$Dn%*$RO%0$TLS%0$FQDN%$TlsDn% 63) Hello 64) Dr. Sherlock Holmes | [email protected] | Dir= 65) Assistant Professor | The Moors | (212) 555-1234= 66) | Fax (212) 555-1234 | Pace University, 163 William Street, New = 67) York, NY 10038 68) Visit Us Online: http://www.pace.edu/pace/seidenberg/ 72) 73) 81) 10pt;”>Hello
136) 137)
Riga 1: è l’inizio dell’intestazione (header) dell’email. qmail è il software di posta elettronica che gira in UNIX. L’email comprende ID univoci che devono corrispondere agli ID nei log del server. Riga 2: indica l’indirizzo IP del server destinatario, che è: p3plibsmtp01-05.prod.phx3.secureserver.net
Quando inizia una comunicazione, il client usa il comando HELO con il server SMTP. Riga 3: è il mittente dell’email. Riga 4: ancora una volta, indica il nome del server che riceve l’email per il destinatario e mostra che nella trasmissione di questa email è utilizzato il protocollo di messaggistica SMTP.
Riga 5: qui si vede l’indirizzo di posta elettronica del destinatario, nonché la data e l’ora di ricezione del messaggio. Riga 6: è visualizzato l’indirizzo IP 216.32.180.188, con il nome di dominio co1ehsobe005.messaging.microsoft.com. Se nella casella degli indirizzi del browser si inserisce 216.32.180.188.ipaddress.com, si può vedere che il server appartiene alla Microsoft e che si trova a Chesterfield, nel Missouri. Righe 16–17: si possono vedere vari riferimenti a BigFish.com, che è un Microsoft Exchange Server. Lo si può verificare andando al sito http://who.is/whois/bigfish.com/. Si può pertanto dire che il mittente dell’email usa Microsoft Exchange (Outlook). Riga 22: si può vedere che l’email è stata esaminata da Microsoft Forefront (un servizio cloud che protegge le aziende da virus, spam e tentativi di phishing). Si può anche vedere che l’email è stata inviata da un email server presso pace.edu (exchnycsmtp1.pace.edu), che corrisponde più avanti al nome del mittente, [email protected], riportato nella riga 41. Questo è importante, perché appare che questa email non ha subito spoofing da parte del mittente. Riga 55: si può vedere l’indicazione MIME. Multipurpose Internet Mail Extensions (MIME) è un protocollo di posta elettronica che estende i set di caratteri oltre l’ASCII e supporta gli allegati. Riga 58: questa riga include un riferimento a FOPE-CONNECTOR. Microsoft Forefront Online Protection for Exchange (FOPE) possiede connettori per funzionalità avanzate di posta elettronica. Righe 63–68: queste righe contengono il corpo del messaggio. Righe 72–137: queste righe mostrano il corpo del messaggio in un formato HTML. Se il mittente avesse inviato il messaggio in puro testo, questo codice HTML non sarebbe stato generato.
Va notato che l’intestazione (header) di una email può essere alterata da un attacco di spoofing (che è in sostanza una falsificazione dell’identità). DomainKeys Identified Mail (DKIM) è uno strumento che si usa per autenticare i messaggi: verifica che il mittente e il dominio specificati nell’email siano effettivamente quelli che l’hanno inviata.
Server DNS Il Domain Name System (DNS) è un sistema per l’attribuzione di nomi a computer e altri dispositivi collegati a Internet. Una funzione del DNS è convertire i nomi di dominio in indirizzi IP. Per esempio l’indirizzo IP del nome di dominio www.pace.edu è in realtà 198.105.44.27 (IPv4), ma noi usiamo i nomi perché è molto più facile ricordarli quando navighiamo in Internet. Un server DNS (detto anche nameserver o server di nomi) indirizza un client o all’azienda a cui è stato registrato un dominio o all’azienda che ne ospita il sito web. File di zona contengono le impostazioni DNS del dominio. DNS gestisce diversi tipi di record. Un record “A” primario è chiamato “@” e controlla che cosa fa il vostro nome di dominio quando un client visita il vostro sito web. Un record “A” fornisce la corrispondenza fra nomi di host e indirizzi IPv4. I CNAME indirizzano i vostri sottodomini a un server diverso. I record “AAAA” forniscono le corrispondenze fra nomi di host e indirizzi IPv6. I record “MX” sono record di scambio di mail, utilizzati per stabilire la priorità dei server email per un dominio. I record “PTR” risolvono un indirizzo IP in un nome di dominio, l’operazione opposta a quella che viene effettuata quando un client fa una richiesta al server (il nome di dominio viene risolto in quel caso in un indirizzo IP). Il DNS viene a volte definito un protocollo query-response (interrogazione-risposta). In generale, un client invia una richiesta con
un singolo pacchetto UDP e il server risponde con un singolo pacchetto UDP. Nel caso di sistemi di maggiori dimensioni, il server può rispondere via TCP. Come si può vedere nella Figura 7.2, Windows Event Viewer registra i servizi di risoluzione di nomi del DNS.
Figura 7.2 Windows Event Viewer: servizio di risoluzione DNS.
Il file hosts Il file hosts è un file di testo che nei sistemi Windows mette in corrispondenza nomi di host e indirizzi IP: è un file del sistema operativo. Il nome di un host può essere messo in corrispondenza con indirizzi sia IPv4 sia IPv6. La risoluzione del nome di dominio può quindi essere effettuata sul lato host. A volte un amministratore di sistema può modificare questo file e le corrispondenze IP. Purtroppo, si sa che anche gli hacker compromettono questo file per reindirizzare i computer client. Nel caso di un PC Windows (con Windows XP o versione successiva), il file si può trovare in questa posizione:
%SystemRoot%\System32\drivers\etc\hosts
Nel caso di un Apple Macintosh, si può trovare un file analogo in questa posizione: /private/etc/hosts
I domini DNS formano una struttura gerarchica, in cima alla quale vi sono i nodi radice (root). Subito al di sotto vi sono i nodi “dominio di massimo livello”, per esempio .com, .net, .org. Un dominio di massimo livello contiene “nodi di dominio”, chiamati anche “zone”, per esempio google.com. All’interno di ogni dominio possono esistere “sottodomini”, per esempio accounts.google.com. I server DNS sono chiamati anche “nameserver” e indirizzano un client all’azienda che controlla le impostazioni DNS, che spesso è l’azienda a cui è stato registrato il nome di dominio. I file di zona sono file che contengono tutte le impostazioni DNS di un dominio. Un record indirizzerà il dominio o sottodominio a un server specifico. Esiste sempre un record primario A, chiamato “@”, che controlla quali azioni il nome di dominio compie quando viene visitato da un client. I CNAME indirizzano i sottodomini a un diverso server.
Protocollo DNS Il DNS, come abbiamo detto, viene a volte definito un protocollo query-response.Il client normalmente invia una richiesta con un singolo pacchetto UDP e la risposta del server in genere è contenuta in un singolo pacchetto UDP. UDP è un protocollo del Livello 3. Se la risposta del server ha dimensioni tali da non poter essere contenuta in un singolo pacchetto, può essere inviata attraverso una connessione TCP. Un esempio è il caso in cui venga effettuata la richiesta per un record AXFR, definito anche “trasferimento di zona”. Questa interrogazione è sostanzialmente una richiesta inviata dal client per avere informazioni su un particolare dominio. Spesso però il DNS sulla
porta TCP 53 viene bloccato dall’amministratore, per evitare che vengano divulgate informazioni DNS a potenziali hacker.
Internet Corporation for Assigned Names and Numbers (ICANN) ICANN è un’organizzazione non profit che ha la responsabilità di mantenere database relativi ai namespace in Internet.
Traceroute Traceroute è uno strumento utilizzato per tracciare il percorso di pacchetti IP da un sistema a un altro. Traceroute può essere utilizzato per la diagnosi di problemi che si presentino nella trasmissione di pacchetti IP.
Router Un router è un dispositivo fisico che connette una rete a una o più altre reti e indirizza i pacchetti di dati da un nodo a un altro. Il router ispeziona ciascun pacchetto, poi lo inoltra sulla base dell’indirizzo IP che contiene. DHCP è un protocollo client/server che fornisce a un host IP un indirizzo IP e altre informazioni di configurazione, per esempio una maschera di sottorete o un gateway di default. Gli indirizzi IP statici sono assegnati ad apparecchiature di rete come router, firewall e server. Ai computer host, fra cui anche tablet e smartphone, viene assegnato in genere un indirizzo IP dinamico. Secure Data Transmission Secure Data Transmission (trasmissione di dati sicura) è il processo di invio di dati su un canale sicuro: la sicurezza del canale è garantita
attraverso l’uso della crittografia. Nelle reti wireless la trasmissione sicura di dati è facilitata dal protocollo Wi-Fi Protected Access (WPA/WPA2/WPA3), mentre le trasmissioni basate sul Web spesso fanno affidamento su Transport Layer Security (TLS). Quando si naviga nel Web, si può stabilire se si usa TLS perché un sito web avrà l’indicazione https all’inizio dell’URL. La finalità della trasmissione di dati sicura è impedire che qualcuno possa “origliare” e che dati confidenziali possano finire nelle mani degli hacker. Cifratura Pretty Good Privacy (PGP) PGP è un programma di crittografia che viene utilizzato per la trasmissione sicura di email e per la cifratura di file, directory e dischi. È il programma di crittografia più utilizzato in tutto il mondo. Phil Zimmermann ha creato il programma PGP nel 1991 e lo ha reso liberamente disponibile a tutti. PGP è si è ampiamente diffuso anche al di fuori degli USA. Dato che PGP usa un algoritmo di cifratura RSA, la RSA Data Security ha fatto causa a Pretty Good Privacy per violazione di brevetto (vedi https://cryptome.org/jya/rsavpgp.htm). Lo United States Customs Service (la dogana degli Stati Uniti) ha poi avviato un’indagine penale nei confronti di Zimmermann, per violazione dell’Arms Export Control Act (la legge sul controllo delle esportazioni di armi), definendo il software crittografico “munizioni”. Così Zimmerman è stato indagato per “traffico d’armi” ed è stato arrestato all’aeroporto Dulles di Washington dagli agenti della dogana americana. Per sua fortuna, stava entrando negli Stati Uniti; se fosse stato in procinto di lasciare il paese con file cifrati con PGP, avrebbe potuto essere arrestato con l’accusa federale di esportazione di armi senza autorizzazione. Le accuse contro Zimmermann poi sono cadute, e non è mai stato incriminato.
In seguito Zimmermann ha iniziato a lavorare per la Silent Circle, l’azienda che ha creato il Blacphone (smartphone cifrato). Come funziona PGP? PGP combina il sistema crittografico simmetrico e quello asimmetrico (a chiave pubblica). Il messaggio viene prima cifrato con la tecnica della chiave simmetrica. Questa è una chiave di sessione utilizzata una sola volta, che viene inviata al destinatario nel corso della trasmissione; il messaggio è cifrato anche con la chiave pubblica del destinatario. Il ricevente può decifrare la chiave simmetrica (di sessione) solamente mediante la propria chiave privata. PGP usa anche una firma digitale, applicando algoritmi RSA o DSA per garantire l’autenticazione del messaggio. Permette anche il controllo dell’integrità, per verificare che il messaggio non sia stato modificato durante la trasmissione; se il messaggio venisse alterato, il destinatario non sarebbe in grado di decifrarlo. PGP e il Dark Web PGP è di particolare interesse per gli investigatori perché è ampiamente utilizzato per le comunicazioni sicure via email fra i marketplace del Dark Web e i loro clienti: PGP in quel caso viene usata per impedire che le forze dell’ordine possano intercettare i messaggi. I venditori di questi marketplace rendono la loro chiave PGP pubblica disponibile su marketplace del Dark Web come Hansa, Honest Cocaine e AlphaBay. Kleopatra è uno strumento, disponibile da OpenPGP, che può estrarre l’indirizzo email utilizzato per generare una chiave PGP, mediante la chiave PGP pubblica. Come è fatta una chiave PGP?
La Figura 7.3 mostra un esempio, da un vendor di marketplace nel Dark Web.
Figure 7.3 Un esempio di chiave PGP.
OpenPGP I problemi di brevetti legati all’uso della cifratura RSA hanno continuato a essere motivo di attrito e per questo la PGP Inc. ha preso contatti con l’IETF e ha proposto un nuovo standard, che si chiama OpenPGP. Ora esiste un OpenPGP Working Group, che fa capo all’IETF. IPv4 Attualmente la maggior parte del traffico in Internet usa IPv4. Internet Protocol version 4 (IPv4) è la quarta versione del protocollo per la trasmissione di dati senza connessione su reti a commutazione di
pacchetto. Un pacchetto è un blocco di dati trasmessi su una rete. Nel caso di Internet, questi pacchetti sono trasmessi in sequenza e tutti hanno dimensioni e struttura identiche. Un pacchetto IP (un blocco di dati inviati in Internet) contiene una sezione di intestazione (header) e una sezione di dati. Una intestazione IPv4 ha 14 campi, come si vede nella Figura 7.4.
Figure 7.4 Una intestazione (header) IPv4.
Version: la versione (un valore di 4 bit indica che è IPv4). Internet Header Length (IHL): la lunghezza dell’intestazione. Differentiated Services Code Point (DSCP): il codice Differentiated Services (DiffServ) per lo streaming di dati in tempo reale. Explicit Congestion Notification (ECN): una funzionalità facoltativa, che permette di notificare se vi è congestione sulla rete. Total Length: un campo di 16 bit che indica le dimensioni del pacchetto (intestazione e dati). Identification: un identificatore univoco. Flags: identifica in modo univoco i frammenti. Fragment Offset: un valore a 13 bit che specifca l’offset di un frammento. Time To Live (TTL): la durata della vita potenziale di un datagramma. Un router riduce di una unità questo numero ed elimina il pacchetto quando il TTL diventa uguale a 0.
Protocol: il protocollo utilizzato nella parte dati del datagramma IP, come definito dallo IANA. Header Checksum: somma di controllo, utilizzata per il controllo degli errori dal router. Source IP Address: l’indirizzo IP del mittente. Destination IP Address: l’indirizzo IP del destinatario. Options: usato raramente, può contenere dati dell’IHL. IPv4 usa indirizzi a 32 bit, di solito rappresentati come quattro ottetti in notazione decimale puntata: nell’esempio precedente di www.pace.edu, è un indirizzo IPv4. Un indirizzo IPv4 si suddivide in due parti: rete e host. L’host si riferisce a un dispositivo specifico su una rete. Per esempio, un dispositivo potrebbe essere un computer, un fax o una stampante. Lo IANA (Internet Assigned Numbers Authority) è l’organizzazione che ha la responsabilità di assegnare gli indirizzi IP (iana.org). Lo IANA assegna blocchi di indirizzi IP ai Regional Internet Registry (RIR), che a loro volta assegnano gli indirizzi IP nella loro regione: 198.105.44.27
AfriNic (Africa); APNIC (Asia Pacifico); ARIN (America settentrionale); LACNIC (America latina e Caraibi); RIPE (Europa).
Subnet mask (maschera di sottorete) Il subnetting consente a un amministratore di creare più reti (logiche) all’interno di una rete di Classe A, B o C. La maschera di sottorete o subnet mask viene utilizzata dal TCP/IP per individuare un host specifico su una sottorete. Alla fine, il compito della maschera di sottorete è stabilire dove finisce la parte “rete” di un indirizzo e dove
inizia invece l’indirizzo del singolo dispositivo. Un indirizzo IP è costituito da 32 bit, che si possono dividere in quattro ottetti (1 ottetto = 8 bit). Il valore di ciascun ottetto è compreso fra 0 e 255 decimale, ovvero fra 00000000 e 11111111 (in binario). Nel primo esempio che segue, convertiamo un ottetto i cui bit sono tutti 1. 1
1
1
1
1
1
1
1
2
2
2
4
2
2
2
2
20
128
64
32
16
8
4
2
1
7
6
5
3
2
1
128 + 64 + 32 + 16 + 8 + 4 + 2 + 1 = 255
Ecco invece un esempio in cui non tutti i bit sono 1. Come si può vedere, si usa sempre la stessa formula e si moltiplica il valore binario (riga superiore) per il valore nella terza riga (128, 64, …). 0
1
0
0
0
0
1
0
27
26
25
24
23
22
21
20
128
64
32
16
8
4
2
1
64 + 2 = 66
Reti di Classe A Nel caso di una rete di Classe A, che ha un intervallo di indirizzi fra 1.0.0.0 e 127.255.255.255, il primo ottetto individua la rete. Gli ottetti 2, 3 e 4 (24 bit) possono essere suddivisi dal responsabile della rete fra sottoreti e host. Una rete di Classe A dispone di indirizzi per 16.777.216 host. Reti di Classe B Nel caso di una rete di Classe B, che ha un intervallo di indirizzi fra 128.0.0.0 e 191.255.255.255, i primi due ottetti individuano la rete. Gli ottetti 3 e 4 (16 bit) sono quindi a disposizione del responsabile della rete, che può suddividerli fra sottoreti e host.
Una rete di Classe B dispone di indirizzi per un massimo di 65.534 host. Reti di Classe C Nel caso di una rete di Classe C, che ha un intervallo di indirizzi fra 192.0.0.0 e 223.255.255.255, la rete è individuata dai primi tre ottetti. Il responsabile della rete ha quindi a disposizione solo l’ottetto 4 (8 bit) da suddividere fra sottoreti e host. Una rete di classe C ha indirizzi per un massimo di 256 host. Maschere di rete Le maschere di default sono le seguenti: Classe A: 255.0.0.0 (11111111.00000000.00000000.00000000 in binario) Classe B: 255.255.0.0 Classe C: 255.255.255.0 Un esempio di rete di Classe A senza sottorete è 8.20.15.1 255.0.0.0: 8.20.15.1 = 00001000.00010100.00001111.00000001 255.0.0.0 = 11111111.00000000.00000000.00000000
L’id di rete (8) è in grassetto, mentre gli ottetti rimanenti (in corsivo) rappresentano l’id dell’host (20.15.1). Nella Tabella 7.2, la prima colonna indica la classe della rete, la seconda l’intervallo di indirizzi IP corrispondente. Per esempio, un indirizzo IP del tipo 101.x.x.x è un indirizzo di Classe A. Riparleremo della “maschera” nella terza colonna fra breve, ma sostanzialmente significa che una rete di Classe A può assegnare molti più indirizzi IP, rispetto a una rete di Classe B o C. La quarta colonna indica il numero massimo possibile di host per ciascuna classe di indirizzi IP. Nelle reti di Classe C, per esempio,
dove può essere usato solo l’ultimo ottetto per gli indirizzi degli host, il numero massimo di host è 256. Tabella 7.2 Classi di indirizzi IP in IPv4. Classe
Intervallo IP
Maschera
Indirizzi in ciascuna rete
A
1–127
R.H.H.H
16.777.216
B
128–191
R.R.H.H
65.536
C
192–223
R.R.R.H
256
D
224–239
Multicasting
E
240–255
Sperimentale
R = Rete, H = Host
Dato che lo IANA ha esaurito gli indirizzi IP assegnabili, è importante usare un sistema denominato NAT, Network Address Translation, che consente a più dispositivi in una rete di condividere un singolo indirizzo IP (vedi RFC 1631). Un dispositivo, per esempio un router, può quindi usare un indirizzo IP che rappresenta anche tutta una serie di altri dispositivi di rete. Un computer che si trova in una rete interna può usare indirizzi IP privati nell’intervallo fra 10.0.0.0 e 10.255.255.255 e in alcuni altri intervalli. Mediante il processo NAT, il router può trasformare il proprio indirizzo IP privato in un indirizzo IP pubblico. Il router genera anche un numero di porta sorgente. NAT funziona un po’ come qualcuno che chiama il numero del centralino di un’azienda, chiede di parlare con un dipendente particolare e viene quindi trasferito a quella persona. All’inizio, gli indirizzi IP sono stati assegnati in modo non omogeneo, perché ad alcune aziende sono stati assegnati indirizzi di Classe A o B, che non vengono utilizzati al massimo delle loro potenzialità. Negli anni Novanta gli indirizzi di Classe A sono stati assegnati a organizzazioni come General Electric, IBM, Ford Motor Company e il Department of Defense (DoD). In realtà, davvero la Ford
ha bisogno di oltre 16 milioni di indirizzi univoci per la propria rete? Probabilmente no. Indirizzi IP riservati Alcuni indirizzi IP non possono essere usati per identificare i computer su una rete, per esempio quelli della forma 127.x.x.x, (127.0.0.1 = localhost). Non possono essere utilizzati neanche gli indirizzi IP in cui la parte dell’host sia formata da tutti 1 in binario, per esempio 255.255.255.255 (questi sono gli indirizzi di broadcast). Analogamente, non sono utilizzabili gli indirizzi IP in cui la parte relativa alla rete è formata da tutti 0, per esempio 0.0.0.0. Alcuni indirizzi IP sono privati e non possono essere utilizzati in Internet. Gli intervalli in questione sono i seguenti: 10.0.0.0–10.255.255.255 172.16.0.0–172.31.255.255 192.168.0.0–192.168.255.255 169.254.0.0–169.254.255.255
Questi indirizzi possono essere usati solamente in una rete interna. Il terzo di questi gruppi di indirizzi IP è utilizzato dalle reti commerciali e domestiche e può essere usato quando non è disponibile un server DHCP. Il quarto gruppo è usato da varie organizzazioni, fra cui Microsoft, Apple e Linux, che hanno propri schemi (diversi fra loro) per l’uso degli indirizzi IP. APIPA (Automatic Private IP Addressing) è lo schema utilizzato da Microsoft Windows e consente a DHCP di autoconfigurare un proprio indirizzo IP e una maschera di sottorete quando non è disponibie un server DHCP. Calcolo di una maschera di sottorete IP Proviamo a stabilire la classe della rete per un indirizzo IPv4.
1. Determinare la classe (A, B o C) della rete A. Classe A: l’indirizzo IP inizia con un numero compreso fra 1 e 126 1.0.0.0 - 126.255.255.255 B. Classe B: l’indirizzo IP inizia con un numero compreso fra 128 e 191 128.0.0.0 - 191.255.255.255 C. Classe C: IP l’indirizzo IP inizia con un numero compreso fra 192 e 223 192.0.0.0 - 223.255.255.255 2. Usiamo Ireland.com come esempio. Con mxtoolbox.com possiamo stabilire che l’indirizzo IP è 193.120.44.197. Possiamo stabilire che è un indirizzo di Classe C (inizia con 193). 3. La maschera di sottorete in formato binario è:11111111111111111111111100000000 4. Per renderla più leggibile, separiamo la stringa binaria in gruppi di 8 bit:11111111.11111111.11111111.00000000 5. Il numero binario 11111111 corrisponde a 255 in decimale. 6. Il numero binario 00000000 corrisponde a 0 in decimale. Quindi 11111111.11111111.11111111.00000000 può essere rappresentato come 255.255.255.0. 7. Per un indirizzo IP di Classe C, la maschera di sottorete standard sarà 255.255.255.0.
Come trovare la maschera di sottorete in un computer Windows 1. Andate alla finestra Run (Esegui), premendo il tasto Windows + R. 2. Scrivete cmd per aprire il prompt dei comandi. 3. Scrivete il comando ipconfig/all e premete Invio.
Indirizzi MAC (Media Access Control) Un indirizzo MAC è un identificatore univoco a 48 bit (6 byte) per i dispositivi abilitati alla rete. Tali dispositivi operano al livello Collegamento dati (Livello 2). Rientrano fra questi dispositivi router, PC, smartphone, stampanti. L’indirizzo MAC di solito è stampato sul retro o sul fondo di ciascun dispositivo e ha una forma come questa: BC:9E:EF:88:6E:0F. Nel caso di un PC con Windows 10 l’indirizzo MAC si può trovare nel modo seguente. 1. Fate clic sul pulsante Start. 2. Nella casella di ricerca, scrivete cmd e selezionate l’app Command Prompt (Prompt dei comandi). 3. Quando compare il prompt, scrivete ipconfig/all. 4. Copiate il Physical Address (Indirizzo fisico, cioè l’indirizzo MAC) dalla sezione relativa alla scheda di rete (Wireless LAN Adapter Local Area Connection nella Figura 7.5). 5. Chiudete la finestra del Prompt dei comandi.
Figure 7.5 Ricerca dell’indirizzo MAC in un PC Windows 10.
Nel caso di un Apple Macintosh, l’indirizzo MAC si trova nel modo seguente. 1. Dal menu Mela, selezionate System Preferences (Preferenze di sistema). 2. In System Preferences (Preferenze di sistema), dal menu View (Visualizza), selezionate Network (Rete).
3. Nella parte sinistra della finestra Network (Rete), fate clic sul nome della vostra connessione (per esempio,Wi-Fi, AirPort, Ethernet, Built-in Ethernet). 4. Fate clic su Advanced (Avanzate), poi sulla scheda Hardware, Ethernet o AirPort. L’indirizzo è la stringa di lettere e numeri che segue MAC Address:, Ethernet ID: o AirPort ID:. Nel caso di un iPhone, l’indirizzo MAC si trova nel modo seguente. 1. 2. 3. 4.
Fate clic su Impostazioni. Fate clic su Generali. Fate clic su Info. Quello che compare sotto la voce Indirizzo Wi-Fi è l’indirizzo MAC.
Notate che l’indirizzo Bluetooth è diverso dall’indirizzo Wi-Fi (MAC) per una sola lettera. Quindi, se avete l’uno, potete determinare l’altro. IPv6 IPv6 è la versione più recente del protocollo IP e, come IPv4, è stata sviluppata dall’Internet Engineering Task Force (IETF), visto il numero limitato di indirizzi IP possibile con IPv4 (4.294.967.296 indirizzi). L’Internet Assigned Numbers Authority (IANA) ha la responsabilità dell’assegnazione degli indirizzi IP a livello globale. Ogni dispositivo connesso a Internet deve avere un indirizzo IP. IPv6 è uno schema a 128 bit, perciò consente 2128 indirizzi diversi. Quello che è 198.105.44.27 in IPv4 viene convertito in 2002:C669:2C1B:0:0:0:0:0 in IPv6. Come si può vedere dall’esempio, un indirizzo IPv6 ha otto gruppi di quattro cifre esadecimali; il separatore fra i gruppi è un segno di due punti.
NetFlow è uno strumento utile per gli investigatori di Network Forensics perché può catturare transazioni per il traffico di rete IP. Cisco ha sviluppato questo strumento nel 1996, ma funziona con tutti i router e gli switch compatibili. NetFlow versione 9 è diventato la base per uno standard dell’IETF, chiamato Internet Protocol Flow Information eXport (IPFIX). NetFlow è particolarmente utile per la risposta agli incidenti, perché potenzialmente può catturare tutta l’attività di connessione fra nodi su una rete. Questa attività di rete viene poi inoltrata a un collettore, un server che cattura, elabora e salva queste transazioni. I dati memorizzati comprendono IP di origine e destinazione, porte di origine e destinazione, protocollo IP utilizzato e tipo di servizio, ma non il contenuto dei pacchetti. NetFlow è utile quando non è possibile la cattura dei pacchetti completi.
IDS Un sistema di rilevamento delle intrusioni (Intrusion Detection System, IDS) è hardware o software utilizzato per controllare il traffico di rete e individuare attività pericolose. Un IDS può inviare un avviso quando rileva attività sospette e fornisce informazioni dettagliate con capacità di reporting professionali. In genere si tratta di sistemi sofisticati, che possono avvisare gli amministratori di rete della presenza di qualcosa di anomalo rispetto alla normale attività, anziché essere semplicemente preprogrammati. Un IDS può operare o in modo euristico o in base a “firme” predeterminate e questo è importante, perché le anomalie sono diverse da rete a rete. Per esempio, la trasmissione di dati da un ufficio governativo negli Stati Uniti verso la Cina può far partire un avviso, mentre traffico Internet fra un’università statunitense e Beijing può essere cosa di tutti i giorni. L’IDS tiene sotto controllo il traffico di rete sia in ingresso che in uscita.
Naturalmente l’IDS, con i suoi log e i suoi report, è uno dei primi elementi che un esaminatore di Network Forensics analizza. L’efficacia di un IDS o di un sistema di prevenzione delle intrusioni (Intrusion Prevention System, IPS) viene ridotta dalla cifratura, perché il sistema non è in grado di ispezionare pacchetti cifrati. In questi casi possono essere molto preziosi i log degli strumenti di monitoraggio della rete. FireEye fornisce uno di questi strumenti, che verifica l’eventuale presenza di malware. Purtroppo, nel caso dei magazzini Target, gli avvisi inviati da FireEye sono stati largamente ignorati e il furto di dati di milioni di clienti è proseguito anche dopo che erano state inviate le notifiche all’azienda. Esistono molti tipi diversi di IDS, che funzionano in modi diversi: sistemi di rilevamento delle intrusioni di rete (Network Intrusion Detection System, NIDS); sistemi di rilevamento delle intrusioni di nodi di rete (Network Node Intrusion Detection System, NNIDS); sistemi di rilevamento delle intrusioni basati su host (Host-based Intrusion Detection System, HIDS); sistemi di prevenzione delle intrusioni (Intrusion Prevention System, IPS).
Network Intrusion Detection System (NIDS) Un NIDS opera in modalità promiscua, il che significa che un adattatore di rete può catturare e leggere tutti i pacchetti di dati su una particolare rete. Un NIDS viene usato per monitorare il traffico su una sottorete, confrontando il traffico di rete con i tipi di attacchi noti. Se viene identificato un attacco, viene avvisato l’amministratore di rete. Network Node Intrusion Detection System (NNIDS)
Un NNIDS viene utilizzato per monitorare il traffico fra una rete e un host. Potrebbe essere utilizzato, per esempio, per monitorare il traffico collegato a una VPN. Host-based Intrusion Detection System (HIDS) Un HIDS opera prendendo un’istantanea di un sistema in un particolare istante e poi confrontandola con un’istantanea precedente, per stabilire se siano stati modificati o cancellati file essenziali per il funzionamento del sistema. Spesso gli HIDS sono collocati nei sistemi critici per monitorare i cambiamenti. Intrusion Prevention System (IPS) Un IPS è uno strumento di sicurezza di rete collocato in comunicazione diretta fra origine e destinazione per individuare gli attacchi. A differenza degli IDS, che sono passivi, un IPS intraprende automaticamente delle azioni quando viene scoperta una minaccia: oltre ad avvisare l’amministratore della rete, può lasciar cadere pacchetti pericolosi, bloccare il traffico o reinizializzare una connessione.
Firewall Un firewall (letteralmente una “parete tagliafuoco”) è un meccanismo software o hardware utilizzato per ispezionare pacchetti di dati su una rete e stabilire, in base a un insieme di regole, se sia consentito il loro passaggio. Le regole possono essere fissate dall’amministratore di rete, che per esempio potrebbe proibire il traffico in ingresso proveniente da indirizzi IP della Cina e quello in uscita verso gli stessi indirizzi. Si sa che hacker cinesi sono riusciti ad aggirare questo tipo di controlli utilizzando i Gruppi di Google e altri indirizzi IP statunitensi per il comando e controllo, in modo da poter accedere a una rete senza essere
segnalati dal firewall. L’amministratore della rete deve aggiungere, come siti web bloccati dal firewall, anche i siti di malware noti, i cui indirizzi vengono resi pubblici su siti come www.malwaredomainlist.com, e sono disponibili anche attraverso le forze dell’ordine (quelle federali negli Stati Uniti). Un firewall può eseguire un’ispezione dettagliata al Livello 4 (TCP e ICMP); alcuni possono ispezionare i dati a Livello 7, comprese le richieste FTP e DNS. A volte un firewall viene utilizzato per implementare una rete privata virtuale (Virtual Private Network, VPN). Una delle prime cose che un hacker può provare a fare è modificare le impostazioni del firewall, così da poter inviare e ricevere dati senza interruzioni. Un esaminatore di Network Forensics controllerà se siano state modificate le regole del firewall. Un firewall può essere incorporato in un sistema operativo oppure può essere parte di un router di rete. Esistono diversi tipi di firewall: firewall proxy; firewall a filtraggio stateful dei pacchetti (stateful inspection firewall); Unified Threat Management (UTM); Next-Generation FireWall (NGFW). Un firewall proxy è un server e funge da intermediario tra un utente e una connessione Internet. I firewall stateless controllano il traffico e lasciano passare i pacchetti sulla base degli indirizzi di origine e destinazione o di altri valori predeterminati. Un filtro di firewall stateless spesso viene chiamato access control list, lista di controllo degli accessi. Un firewall stateful controlla i flussi di traffico end-toend. Questi firewall possono supportare la sicurezza IP o funzioni IPsec, compresi cifratura e tunnel. I firewall stateful in genere sono più efficaci nell’individuare le comunicazioni non autorizzate. UTM (Unified Threat Management) offre più strati di sicurezza e fra le sue
funzionalità rientrano il filtraggio di contenuti, il filtraggio Web e l’antivirus. I dispositivi UTM possono essere dispositivi fisici di rete, strumenti virtuali o servizi cloud. Nella gestione delle minacce possono rientrare il rilevamento e la prevenzione delle intrusioni. Per esempio, gli UTM possono individuare un attacco sulla base delle firme del malware e di altre anomalie. Gli UTM supportano anche funzionalità di rete privata virtuale (VPN). Per quanto riguarda il filtraggio del Web rispetto ai contenuti, alcuni UTM possono effettuare la scansione dei siti web per identificare vulnerabilità che potrebbero essere dannose per il computer che effettua le richieste. NGFW sono firewall di terza generazione, che uniscono caratteristiche di firewall tradizionali con altre applicazioni di sicurezza, fra cui l’ispezione in profondità dei pacchetti, che è un IPS. Un NGFW ha capacità che vanno oltre quelle di un firewall stateful: può bloccare applicazioni ad alto rischio, quindi può individuare e bloccare attacchi alla rete, sulla base di protocollo, porta e livelli di applicazione. Può eseguire un’ispezione completa dei pacchetti, controllando sia la firma sia il payload dei pacchetti, per individuare anomalie o addirittura malware. Prove ricavate da firewall Un investigatore può ricavare da un firewall le informazioni seguenti. Liste di controllo degli accessi (ACL): consentono di stabilire il traffico consentito e quello bloccato. Log dei pacchetti: comprendono indirizzo di origine e destinazione, timestamp, dimensioni dei pacchetti e protocolli. Contenuti dei dati, se il firewall è di Livello 7.
Porte
Una porta è un canale di comunicazione specifico per un processo o un’applicazione in esecuzione su un computer. Le porte sono estremamente importanti per gli investigatori di Network Forensics perché quelle che di solito non sono usate da un sistema ma risultano essere state attive possono indicare una compromissione. Il numero delle porte nei log di sistema inoltre indica il tipo di applicazione che era in esecuzione. Esistono in totale 65.535 porte; quello che segue è l’elenco di quelle di uso comune. 20 e 21: File Transfer Protocol (FTP). 22: Secure Shell (SSH). 23: Servizio di login remoto Telnet. 25: Simple Mail Transfer Protocol (SMTP). 53: Servizio Domain Name System (DNS) . 80: Hypertext Transfer Protocol (HTTP), usato nel World Wide Web. 110: Post Office Protocol (POP3). 143: Internet Message Access Protocol (IMAP). 443: HTTP Secure (HTTPS). La porta 80 in genere è quella più usata dai client, perché è associata con l’attività Internet dell’utente. La maggior parte dei sistemi di webmail usa SSL e la porta 443.
Il modello OSI Il modello Open Systems Interconnection (OSI) è un modello utilizzato per definire come vengono trasmessi i dati in Internet. Questo standard è stato introdotto nel 1984 dalla International Organization for Standardization (ISO). Il modello OSI individua sette livelli (o layer) nelle comunicazioni Internet (altri modelli ne prevedono un numero minore). È importante avere ben chiari i diversi livelli di
comunicazione (Figura 7.6), perché un esaminatore forense può trovarsi a dover spiegare in tribunale come possa essere sicuro, per esempio, che un’email ricevuta dalla vittima provenisse realmente dall’imputato. Per questo dovrà spiegare le informazioni dell’intestazione di un’email e spiegare come quel messaggio sia stato instradato attraverso differenti dispositivi hardware. Posso spedirvi un’email, ma come potete dimostrare che quell’email è stata veramente inviata da me?
Figure 7.6 Il modello OSI.
Il livello fisico Il livello fisico (Livello 1) definisce l’hardware ovvero il supporto attraverso il quale vengono trasmessi i dati e l’energia necessaria per la trasmissione, in genere sotto forma di impulsi elettrici (0 e 1, passa/non passa corrente). Dispositivi fisici possono essere: cavi coassiali;
fibra ottica; cavi Ethernet; schede di rete (Network Interface Card, NIC).
Il livello del collegamento dati Address Resolution Protocol (ARP) è un metodo mediante il quale il livello di rete (Livello 3) è collegato al livello del collegamento dati (Livello 2). Quando usate Internet dalla vostra rete domestica, ogni richiesta che viene inviata comprende un indirizzo IP per la vostra rete. Quando il server web risponde e spedisce un messaggio di ritorno a quell’indirizzo IP, il router deve instradarlo fino al dispositivo appropriato su quella rete mediante ARP (cioè instradando il messaggio verso l’indirizzo MAC dello specifico dispositivo che ha richiesto le informazioni). In una LAN sono usati due indirizzi, un indirizzo MAC e uno IP. Al livello del collegamento dati, gli indirizzi MAC sono utilizzati per individuare un computer di destinazione in una tabella denominata cache ARP. Un indirizzo MAC è memorizzato nella scheda di rete. Le applicazioni usano invece un indirizzo IP per trovare un computer di destinazione. Un router mantiene una tabella ARP, basata sulle richieste e risposte ARP. Quando in Internet viene inviato un pacchetto, questo viene inviato all’indirizzo MAC dell’interfaccia router che è il gateway di default. ARP collega un IP statico a un indirizzo MAC nella tabella ARP del dispositivo. DHCP invece assegna sempre lo stesso indirizzo IP a un dispositivo. Si usa ARP per ottenere l’indirizzo MAC da quello IP, principalmente nelle LAN. La tabella di instradamento contiene: gli indirizzi IP della rete di destinazione;
indirizzo IP del gateway di destinazione; interfaccia corrispondente. Quando il router riceve un pacchetto, controlla l’indirizzo IP della rete di destinazione nella tabella di instradamento. Se il pacchetto è destinato a una rete connessa direttamente al router, l’indirizzo MAC della destinazione viene ottenuto dalla tabella ARP. Gli indirizzi MAC del Livello 2 sono messi in corrispondenza con gli indirizzi IP del Livello 3 mediante ARP. Le risposte ARP sono conservate in cache sugli host che costituiscono la LAN. Su un sistema Windows è possibile interrogare la cache ARP per identificare le corrispondenze fra indirizzi MAC e IP, mediante il comando arp –a.
Il livello di rete Il livello di rete (Livello 3) definisce le comunicazioni fra reti e prende decisioni in merito al percorso fisico che deve seguire la trasmissione. Al livello di rete, gli indirizzi logici vengono tradotti in indirizzi fisici. A questo livello vengono prese decisioni sui frame di instradamento fra reti e sulla frammentazione dei frame. I router operano a questo livello. Un router è un dispositivo fisico con una piastra madre, una unità di elaborazione centrale (CPU) e porte di input/output. Può avere anche una memoria, che contiene configurazioni di avvio, sistema operativo e tabelle di instradamento. Una tabella di instradamento (routing table) contiene informazioni sulla rete e costituisce il metodo più efficace per indirizzare i pacchetti su quella rete.
Il livello del trasporto Transmission Control Protocol (TCP) è uno standard di comunicazione utilizzato per Internet. Si trova al livello del trasporto
(Livello 4) ed è utilizzato per la consegna affidabile di dati attraverso una connessione di rete. Servizi come il World Wide Web (WWW), l’email e FTP usano questo protocollo di comunicazione. Applicazioni che richiedono comunicazioni più rapide e possono accettare qualche compromesso in tema di controllo degli errori usano lo User Datagram Protocol (UDP). VoIP e video usano spesso UDP per la sua velocità e perché non succede normalmente nulla di grave se un pacchetto di dati scompare o non rispetta l’ordine corretto. TCP, invece, è più rigoroso ed effettua il controllo degli errori per garantire che tutti i pacchetti di dati vengano spediti nell’ordine corretto. NOTA Lo User Datagram Protocol (UDP) è un protocollo di comunicazione “senza connessione” (connectionless) con funzionalità di recupero dei pacchetti limitate e che si colloca al livello del trasporto.
La three-way handshake (SYN–SYN–ACK) di TCP TCP usa un handshake (letteralmente, una “stretta di mano”) a tre messaggi (three-way), definito anche SYN–SYN–ACK, per impostare una connessione TCP/IP (una connessione in Internet). 1. L’host A invia un pacchetto di sincronizzazione (SYN) TCP all’host B. 2. L’host B poi invia un messaggio Synchronize-Acknowledge (SYN– ACK), in cui cioè accusa ricevuta della sincronizzazione, all’host A. 3. In risposta, l’host A invia un Acknowledgment (ACK), cioè un cenno di riscontro, all’host B. 4. Quando l’host B riceve l’ACK, la connessione tramite socket TCP è stabilita. Un’altra comunicazione a tre messaggi è utilizzata per chiudere la connessione TCP, quando la comunicazione termina. I protocolli
seguenti usano tutti TCP, e quindi la three-way handshake: FTP; HTTP; HTTPS; SMTP; IMAP; SSH; POP3; Telnet.
TCP Retransmission TCP Retransmission è un processo utilizzato per la correzione degli errori nei pacchetti di dati TCP. Se il ricevente appura che si è verificato un errore (attraverso l’utilizzo dei valori di controllo) e di conseguenza non trasmette un segnale “ACK” al mittente, quest’ultimo provvede a ritrasmettere il pacchetto. Quando il ricevente stabilisce che durante la trasmissione non sono intervenuti errori, viene inviato al mittente un messaggio “ACK”. La ritrasmissione avviene anche se il pacchetto è andato perso durante la trasmissione; anche in questo caso, ovviamente, il destinatario non può restituire un “ACK”. Attacco SYN Flood Si verifica un attacco SYN flood (a “inondazione” di SYN) quando un hacker invia a un server una serie di richieste SYN a un ritmo tanto rapido che il server non è in grado di gestirle tutte e finisce così per diventare inutilizzabile. Troppo impegnato a tentare di rispondere alle richieste dell’hacker, il server finisce per non riuscire più a rispondere
al traffico legittimo. Questo è uno di quei tipi di attacchi che si definiscono Denial of Service (cioè di “negazione di servizio”). L’importanza del TCP Perché ci interessa tanto il TCP? Nella Network Forensics, gran parte del lavoro consiste nell’analisi di pacchetti di dati. Quando si effettua il monitoraggio del traffico di rete, si può usare uno sniffer per analizzare i pacchetti di dati TCP/IP. La maggior parte degli sniffer di pacchetti operano al Livello 2 (Collegamento dati) o al Livello 3 (Rete) del modello OSI. Una intestazione TCP/IP include porta e indirizzo IP dell’origine e porta e indirizzo IP della destinazione. Per esempio, poter stabilire l’indirizzo IP può permetterci di sapere se è avvenuta una comunicazione con un server in Cina. Il numero di porta può dirci quale tipo di servizio sia stato usato. Per esempio, Internet Relay Chat (IRC) usa il protocollo TCP e opera sulla porta 6667. IRC però è stato usato dai bot herder (hacker malintenzionati) a fini di comando e controllo (cioè trasformano il computer della vittima in uno “zombie” e lo usano per spedire il proprio spam). Si può usare lo strumento Ngrep (github.com/jpr5/ngrep) per visualizzare i log IRC. Per riassumere: molti esaminatori di Network Forensics usano strumenti TCP per analizzare i pacchetti di dati che viaggiano nelle reti, per vedere chi comunica sulla rete, quali servizi usa e, in ultima istanza, quali attività illecite conduce.
Il livello di sessione Il livello di sessione (Livello 5) è quello responsabile dell’avvio, del mantenimento e della terminazione dei processi su sistemi diversi.
Il livello di presentazione Il livello di presentazione (Livello 6) prepara i dati per il livello dell’applicazione e ha la responsabilità della conversione, della compressione e della cifratura dei dati.
Il livello di applicazione Il livello di applicazione (Livello 7) può essere considerato quello più vicino all’utente finale e interagisce con le applicazioni. Fra le
funzionalità che si collocano a questo livello vi sono l’email (SMTP), l’accesso a file remoti, l’accesso a stampanti remote, File Transfer Protocol (FTP), HyperText Transfer Protocol (HTTP) e la gestione della rete. Il caso: quando la Network Forensics sbaglia Le forze dell’ordine dispongono di risorse limitate, per quanto riguarda la Computer Forensics; purtroppo sono ancora più scarsi gli esaminatori di Network Forensics, perciò non sorprende che ogni tanto venga commesso qualche errore. Prendiamo, per esempio, un caso di errore di identità. Il 7 marzo 2011, alle 6.20 del mattino, un cittadino di Buffalo, New York, è stato svegliato da sette agenti armati che avevano appena fatto irruzione dalla porta sul retro. Gli agenti dell’Immigration and Customs Enforcement (ICE) a quanto pare hanno urlato “Giù! A terra”” e hanno spinto il sospettato giù dalle scale. Poi gli è stato consentito di mettersi in piedi e di vestirsi in bagno. Gli agenti avevano appena catturato un pedofilo incallito, o almeno così pensavano. Si è poi scoperto che l’indirizzo IP del vero pedofilo, identificato in un sito peer-topeer, era in realtà un “indirizzo IP sporco”: il colpevole aveva sequestrato una connessione wireless non sicura. Gli investigatori possono trovare l’indirizzo IP di un sospettato online e poi contattare l’ISP per confermare a chi corrisponda. L’indirizzo IP però è semplicemente l’identificatore univoco di un router, non dei molti dispositivi wireless (computer) che usano quel router. Chiunque si trovi nelle vicinanze perciò può agganciarsi a una connessione Wi-Fi non protetta e scaricare o caricare ciò che vuole senza che il legittimo proprietario lo sappia. In quel caso gli agenti alla fine hanno potuto esaminare i computer e i dispositivi presenti nell’abitazione e si sono resi conto rapidamente di non avere catturato la persona sospettata. L’esame dei log DHCP sul computer collegato al router poteva indicare quali dispositivi fossero collegati alla connessione wireless in ogni dato momento. Molti punti di accesso hanno router integrati, perciò i log DHCP sono presenti nel router stesso. Un punto di accesso autonomo può anche includere una tabella che elenca i dispositivi collegati. Questo caso può sembrare incredibile, ma non sono così rari i casi in cui la polizia abbia arrestato la persona sbagliata per un indirizzo IP “sporco”. Il procuratore William Hochul e l’agente speciale dell’ICE responsabile, Lev Kubiak, si sono poi scusati con la persona innocente ingiustamente arrestata. Gli agenti poi hanno arrestato un vicino, che è stato accusato di distribuzione di materiale pedopornografico.
Esistono vari strumenti che possono aiutare un investigatore ad acquisire informazioni sui punti di accesso wireless in un’area. NetAnalyzer, disponibile per iPhone, per esempio, può identificare i punti di accesso più vicini e l’investigatore può stabilire rapidamente quanti dispositivi sono connessi a ciascun punto. NetAnalyzer fornisce non solo l’indirizzo MAC del dispositivo, ma anche il nome che è stato assegnato al dispositivo e quale sia l’azienda produttrice. Il dispositivo potrebbe essere un laptop, magari un Samsung Galaxy S20, una Xbox One, un Roku o una fotocamera: sostanzialmente, qualsiasi dispositivo abilitato al Wi-Fi. Questo tipo di analisi Wi-Fi va condotto prima di richiedere un mandato d’arresto (il che non è avvenuto nel caso appena visto). Se si individua un segnale wireless aperto, bisogna tenerne conto. Anche se una rete wireless non è protetta, comunque, c’è ancora fondato motivo per credere che le prove del reato siano all’interno delle apparecchiature di rete di quell’abitazione o di quel luogo. Alcuni criminali addirittura lasciano intenzionalmente non protette le loro reti per poter avere motivo plausibile di negare ogni responsabilità. In sintesi: l’identificazione di un indirizzo IP che si può far risalire a un’abitazione specifica non è sufficiente da sola a dimostrare che la persona che si trova in quell’abitazione sia responsabile del reato.
Introduzione a VoIP (Voice over Internet Protocol) Recentemente le applicazioni per la comunicazione in mobilità hanno avuto uno sviluppo enorme e di conseguenza le indagini che devono prendere in considerazione le comunicazioni VoIP hanno un’importanza crescente.
Voice over Internet Protocol (VoIP) è un protocollo per la conversione di segnali audio (per esempio, voce) in segnali di dati digitali che possono essere trasmessi via Internet. Una tradizionale linea telefonica fissa usa invece un segnale analogico. Le chiamate VoIP sono possibili con un accesso Internet a banda larga e sono facilitate dai dispositivi abilitati (desktop, laptop, smartphone). Se la chiamata è diretta a un apparecchio telefonico tradizionale, il segnale verrà convertito nuovamente in un segnale analogico. VoIP è un’alternativa al tradizionale sistema telefonico a commutazione. Operano con VoIP standard aperti come SIP, ma anche applicazioni proprietarie come, per esempio, Skype e Google Talk.
Svantaggi di VoIP Non tutti i servizi VoIP si connettono direttamente ai servizi di emergenza e identificare il chiamante può essere problematico. VoIP non funziona in caso di blackout, a meno che non si disponga di un backup a batteria. L’ID del chiamante può essere facilmente vittima di spoofing e il protocollo ha reso possibile la diffusione delle robocall, le “chiamate robotiche” che utilizzano un sistema di composizione automatico per diffondere messaggi preregistrati. La Federal Trade Commission (FTC) negli Stati Uniti ha avviato oltre 100 cause contro più di 600 aziende, responsabili di miliardi di robocall. La FTC ha aperto anche molte gare per individuare e bloccare queste chiamate.
PBX (Private Branch Exchange) Un PBX (Private Branch Exchange) è il centralino telefonico, il sistema che all’interno di un’organizzazione smista le conversazioni telefoniche fra gli utenti all’interno dell’organizzazione attraverso le linee telefoniche locali e con l’esterno, attraverso un numero limitato di
linee esterne. Il motivo principale per l’uso di un PBX è legato ai costi: costa meno condividere alcune linee telefoniche, anziché avere una linea per ciascun dipendente. Il PBX è di proprietà dell’organizzazione e da questa è gestito. Esistono tipi diversi di PBX. Per esempio, esiste il PBX tradizionale a cui si collegano i doppini in rame per le linee telefoniche fisse. Questo tipo di PBX consente la trasmissione di segnali analogici e digitali. Esiste anche un sistema PBX basato sul cloud. Un IP-PBX è un PBX con Internet Protocol, che usa segnali telefonici digitali, anziché le linee fisse analogiche. I telefoni sono collegati da cavi Ethernet invece che dalle tradizionali linee telefoniche. Frodi via PBX Le frodi via PBX spesso avvengono in questo modo: i criminali creano servizi di chiamata a pagamento, poi riescono a violare il sistema di un’azienda e usano le sue linee telefoniche per chiamare quei servizi, accumulando così decine di migliaia di dollari (o di euro), spesso durante il fine settimana, quando gli uffici sono vuoti. Come fanno questi criminali ad avere accesso a un sistema telefonico? Se si chiama il numero telefonico di un ufficio a tarda sera o nel fine settimana, la chiamata viene in genere trasferita a una segreteria telefonica. Alcuni sistemi consentono ai dipendenti di accedere in remoto alla propria segreteria vocale con l’uso di un PIN. A volte il PIN di default è impostato alle ultime quattro cifre del numero di telefono. Certi sistemi telefonici danno la possibilità all’utente di inoltrare le chiamate a un altro numero. Se un criminale ottiene l’accesso alla segreteria vocale, può usare l’opzione di inoltro per inoltrare le chiamate a un servizio a pagamento, “pay per minute”, di proprietà del criminale stesso. Qualsiasi chiamata a quel numero telefonico aziendale perciò viene inoltrata al servizio a pagamento e di
conseguenza l’azienda si trova da pagare in bolletta cifre astronomiche. Gli addebiti vengono notati solo il lunedì, quando i dipendenti tornano in ufficio. La maggior parte dei telefoni VoIP non ha intelligenza, perciò per funzionare ha bisogno di un altro sistema, cioè un PBX. Quando qualcuno attiva il telefono, questo contatta un PBX per avere assistenza; il PBX dice al telefono di inviare un tono di chiamata (che è quello che viene inviato quando si preme il pulsante di un numero). Quanto l’utente preme un numero, il telefono invia un’altra richiesta al PBX. Il PBX in genere risponde con l’istruzione di inviare un altro tono. Si va avanti così finché l’utente non preme abbastanza numeri perché il PBX possa inoltrare la chiamata. Il PBX però può essere fin troppo servizievole, perché non sa chi sia autorizzato a fare telefonate. Manca quindi di una sicurezza adeguata. Chiunque conosca l’indirizzo IP di un PBX non sicuro può effettuare chiamate che hanno origine da quell’organizzazione. Quindi, i criminali che scoprono l’indirizzo IP di un PBX possono usarlo per fare telefonate. Poi possono configurare il loro telefono perché si attivi e controlli se c’è un tono di chiamata. Il criminale quindi comincia a effettuare chiamate a numeri a pagamento e usa sistemi automatici di composizione dei numeri per effettuare centinaia di chiamate al giorno, o migliaia alla settimana. Purtroppo, in queste situazioni l’azienda è obbligata a pagare: è previsto nel contratto con la compagnia telefonica e l’azienda se ne rende conto solo quando ha luogo una frode di questo genere. Il PBX è interno all’azienda, perciò la sua compromissione è considerata negligenza da parte dell’azienda. La maggior parte delle aziende non ha competenze interne per configurare correttamente un PBX, perciò sceglie un fornitore esterno, che è possibile sia il meno costoso e il meno competente.
Un PBX deve essere collegato a Internet, per ricevere chiamate, perciò non è possibile bloccare tutti gli accessi in ingresso al PBX. Per complicare ulteriormente le cose, alcuni uffici hanno dipendenti che telelavorano e devono connettersi da casa, perciò il PBX deve essere configurato in modo da consentire telefonate che arrivano da Internet. Non è raro che qualche azienda il lunedì mattina scopra che durante il fine settimana sono state effettuate telefonate che costano più di 30.000 dollari, magari anche 60.000. Spesso è difficile per la polizia condurre indagini su questi casi o recupare le cifre perdute, perché molte di queste frodi coinvolgono chiamate internazionali in paesi come Zimbabwe, Cuba o Pakistan. Molti di questi crimini non vengono nemmeno denunciati, perché le aziende temono la pubblicità negativa o di essere accusate di negligenza. Qualche azienda denuncia il fatto all’FBI, ma è possibile che questi reati non raggiungano la soglia finanziaria sufficiente perché l’FBI avvii un’indagine.
Session Initiation Protocol (SIP) Session Initiation Protocol (SIP) è un protocollo di comunicazione multimediale peer-to-peer sviluppato dall’Internet Engineering Task Force (IETF). L’IETF sviluppa e promuove standard Internet volontari. SIP usa protocolli IP preesistenti, come DNS e SDP (Static Dial Plan), e opera come controllo al livello dell’applicazione. Si usa per stabilire, modificare e concludere sessioni multimediali, cioè vocali, video e di messaggistica istantanea via Internet. In genere utilizza UDP o TCP.
STUN (Simple Traversal of UDP Through NAT) Simple Traversal of UDP through NAT (STUN) è un protocollo e un insieme di funzioni che consentono ai dispositivi protetti da un firewall
NAT (Network Address Translation) o da un router di effettuare telefonate agli host di un provider VoIP esterno alla rete locale.
La risposta agli incidenti: Incident Response (IR) Si parla di risposta a un incidente, spesso, a proposito di intrusioni in rete, ma l’espressione ha un raggio d’azione molto più ampio. Molte organizzazioni di grandi dimensioni mantengono un centro per le attività legate alla sicurezza (Security Operations Center, SOC) e un team di risposta agli incidenti (Incident Response, IR). Il SOC spesso si concentra sulla sicurezza delle informazioni e l’individuazione delle minacce: le sue attività possono includere il monitoraggio di tentativi di login inusuali (tentativi multipli o da una posizione diversa), malware, esfiltrazione di dati e tentativi di connessione da indirizzi IP esterni inusuali. Il team IR può gestire incidenti di varia entità, da quelli di piccola portata come il furto o lo smarrimento di uno smartphone, fino a incidenti più gravi come il furto di credenziali o una forte violazione della rete. Il SOC quindi filtra le segnalazioni che sono falsi positivi e poi coinvolge il personale IR in caso di incidenti degni di nota. Alcuni incidenti sono a basso rischio: per esempio, il furto di un iPhone cifrato, in cui non siano conservati dati relativi a clienti, sarebbe considerato un basso rischio perché la risorsa principale non è costituita dal dispositivo, ma dai dati che potrebbero essere compromessi. Un iPhone può costare mille dollari, ma il furto di proprietà intellettuali o di informazioni sui clienti può comportare danni nell’ordine dei milioni di dollari, come può testimoniare la Target Corporation. La risposta agli incidenti è spesso una risposta di team, perché può coinvolgere tecnici esaminatori di Digital Forensics, una
équipe legale, l’ufficio delle relazioni pubbliche, le risorse umane, i collegamenti con i clienti e molte altre persone ancora. Piccolo o grande che sia l’incidente, il primo passo è sempre lo stesso: si inizia con un triage, che comporta mitigare il rischio. A volte può comportare la cattura di dati deperibili (dati cioè che scompaiono rapidamente). Mitigare il rischio in generale significa impedire la perdita di dati o di denaro o qualsiasi potenziale minaccia per l’organizzazione. Un esempio di triage potrebbe essere catturare lo stato più recente del dispositivo (ultimo login, ultima posizione ecc.), inviare a un iPhone rubato un comando da remoto di cancellazione totale, informare la compagnia telefonica della perdita del dispositivo, denunciare il furto alla polizia o imporre all’utente di modificare le proprie password per tutti i servizi di rete per cui quel dispositivo veniva utilizzato. Costituire il team giusto per affrontare un incidente è un passo importante (dopo il triage) e spesso chiamerà in causa personale legale, a meno che non si tratti di un caso a basso rischio. Un avvocato aiuterà a valutare gli obblighi legali dell’organizzazione. Per esempio, i vari stati degli USA hanno leggi diverse per quanto riguarda la divulgazione di informazioni identificative della persona (personally identifiable information, PII). Negli Stati Uniti, la divulgazione di documentazione sanitaria può rientrare sotto quanto previsto dallo Health Insurance Portability and Accountability Act (HIPAA), mentre la divulgazione di informazioni personali per cittadini dell’UE ricadrà sotto la General Data Protection Regulation (GDPR) e forse anche sotto la legislazione dei singoli stati. Una volta effettuato il triage, il team può iniziare l’indagine. A conclusione dell’indagine, un rapporto di analisi della causa principale (root cause analysis, RCA) può consigliare un percorso di formazione per un dipendente e/o la revisione di processi per fare in modo che
incidenti simili non si ripresentino in futuro. È importante identificare quali insegnamenti si possono trarre dagli incidenti.
STIX, TAXII e Cybox Raccogliere informazioni sulle minacce è diventato di estrema importanza, poiché oggi le organizzazioni sono soggette a minacce provenienti da hactivisti, singoli hacker e stati nazionali. Molti settori subiscono minacce simili. Per esempio, mentre la variante del malware W32.Stuxnet era mirata alle centrifughe dell’impianto nucleare iraniano a Natanz, il worm Stuxnet ha colpito reti simili in Indonesia, India e molti altri paesi. APT10, chiamato anche Operation Cloud Hopper, ha preso di mira il settore dei managed service provider (MSP), con tipi di malware simili. Pertanto condividere le informazioni, in particolare all’interno di uno stesso settore, anche fra concorrenti, è diventato una strategia più robusta ed efficace. Per esempio, esistono centri di condivisione e analisi delle informazioni (Information Sharing and Analysis Center, ISAC) a livello settoriale: un Financial Services Information Sharing and Analysis Center (FS-ISAC), uno per il settore automotive, uno per l’aviazione e così via. Un ISAC fornisce informazioni in base alle quali i professionisti della sicurezza possono agire. Maggiori informazioni sugli ISAC si possono trovare sul sito del National Council of ISACs (www.nationalisacs.org). Molte altre organizzazioni offrono formazioni in tema di sicurezza e avvisi ai professionisti della sicurezza. Lo United States Secret Service organizza incontri trimestrali, sotto il nome della Electronic Crimes Task Force (ECTF). La Cybersecurity and Infrastructure Security Agency (CISA), del Department of Homeland Security (DHS), fornisce avvisi di sicurezza estremamente importanti sia per le organizzazioni sia a livello personale. Anche InfraGard, un’organizzazione pubblicaprivata dell’FBI, fornisce avvisi di sicurezza. Infine, l’Europol
organizzza una serie di forum e fornisce avvisi di sicurezza, che in genere sono solo per invito.
Advanced persistent threat Un advanced persistent threat (APT), ovvero una “minaccia persistente avanzata” è un attacco sofisticato, di lunga durata e coordinato a una rete informatica, con l’obiettivo di trafugare proprietà intellettuali. L’espressione è stata usata per la prima volta dall’U.S. Air Force nel 2006. È noto che l’Esercito Popolare di Liberazione cinese ha il mandato non solo di proteggere la Cina, ma anche di favorire lo sviluppo economico, ivi comprese azioni di spionaggio economico. Mandiant (oggi acquisita da FireEye) è solo una delle organizzazioni che abbiano rivelato come il governo cinese utilizzi hacker per il furto di proprietà intellettuali dagli Stati Uniti. Il rapporto di Mandiant ha fornito i particolari in merito alla Unità 61398 di Shanghai, che è costituita da centinaia, se non addirittura migliaia, di hacker.
APT10 Come abbiamo già detto, APT10 è stato un attacco di spionaggio, condotto da hacker in Cina, agli MSP. È comprensibile perché questi provider potessero essere l’obiettivo di un attacco, considerata la grande quantità di proprietà intellettuali gestita dai fornitori di servizi cloud. Secondo un rapporto di PwC UK, in collaborazione con BAE Systems, gli attacchi APT10 sono iniziati già nel 2014 e sono continuati per anni. In quel periodo, APT10 ha utilizzato vari tipi di malware, da Poison Ivy a PluX, da RedLeaves a QuasarRAT. Ha utilizzato centinaia di domini per acquisire comando e controllo degli host di rete compromessi, rendendo difficile creare “liste nere” di indirizzi IP a cui impedire di comunicare con una rete.
Come per tutti gli attacchi APT, è difficile stabilire quando sia iniziata la compromissione della rete. Inoltre è problematico il contenimento dell’infezione del malware, perché questi attacchi si spostano lateralmente nella rete; diventa ancora più problematico se è stato compromesso un numero elevato di credenziali, perché i login che vanno a buon fine non generano allarmi come invece accade con quelli che non hanno successo. Infine, è problematico stabire quali dati siano stati compromessi, perché l’attaccante può cifrare i dati che vengono esfiltrati dalla rete e, per vanificare il lavoro degli investigatori forensi può usare tecniche come il timestomping (una tecnica per manipolare il timestamp, cioè le indicazioni di data e ora di un file).
Cyber Kill Chain Il whitepaper “Intelligence-driven computer network defense informed by analysis of adversary campaigns and intrusion kill chains” analizza in dettaglio le sei fasi di un attacco avanzato a una rete informatica. Questa intrusion kill chain spiega che cosa succede nel corso di un attacco sofisticato a una rete, di solito un attacco tanto avanzato da essere con tutta probabilità sponsorizzato da un governo. La Figura 7.7 mostra la catena degli eventi; quella che segue è una descrizione delle varie fasi.
Figure 7.7 La intrusion kill chain.
Reconnaissance In questa fase, un attaccante dedica del tempo a studiare la struttura di un’organizzazione. Può raccogliere informazioni sul suo obiettivo in
molti modi, elencati nei paragrafi seguenti. Offerte di lavoro Un attaccante può passare in rassegna le offerte di lavoro sul sito web di un’organizzazione o su un sito di recruitment come Monster.com, in particolare quelle relative a posizioni nell’IT. Spesso l’elenco delle competenze richieste (indicate nell’offerta) offre molte informazioni sui sistemi utilizzati. L’attaccante poi possiede informazioni sulle potenziali vulnerabilità associate a ciascun sistema e alle varie applicazioni, comprese le password di default, nell’eventualità che un amministratore non si sia preoccupato di modificarle. Questo è un esempio delle qualifiche richieste per un posto di amministratore di database, come sono state pubblicate su Monster.com. È richiesto un BD in computer science o un numero equivalente di anni di esperienza lavorativa; più un minimo di cinque (5) anni di esperienza pertinente con database Oracle 10g e 11g con implementazione di RAC, ASM e DataGuard. È desiderabile una conoscenza funzionale e tecnica, con esperienza di supporto della Oracle E_Business Suite in ambiente R12 e/o Oracle Identity Management. Sarà utile aver maturato esperienza nel supporto di Oracle su Windows Server e su Linux. Qualche esperienza di Microsoft SQL Server. Come si può vedere, sono molte le informazioni che un avversario può ricavare da queste offerte di lavoro nella fase di reconnaissance. Comunicati stampa Molte organizzazioni, senza rendersene conto, forniscono informazioni ai potenziali avversari in molti modi attraverso i
comunicati stampa: per esempio, annunciando un grande acquisto di sistemi IT. Forum di tecnologia Capita spesso che chi lavora nel mondo dell’IT chieda consigli o informazioni ad altri professionisti del settore, in merito a problemi tecnici che incontra nel proprio lavoro in azienda, e lo fa attraverso i forum di tecnologia. Il problema è che questi forum in Internet in genere sono aperti al pubblico e un malintenzionato può acquisire molte informazioni sui sistemi di un’organizzazione esaminando i messaggi pubblicati. Altre fonti Gli avversari possono trovare molte informazioni su un’organizzazione anche attraverso i social media, come Facebook e LinkedIn. Questi siti fra l’altro possono fornire informazioni preziose sugli eventi che si svolgono in un’organizzazione e possono facilitare la creazione di un profilo dei dipendenti che hanno posizioni particolarmente significative all’interno dell’organizzazione. Ci sono stati anche casi di dipendenti che hanno pubblicato informazioni delicate sulle loro organizzazioni attraverso siti come WikiLeaks, SecureDrop o Pastebin, e anche queste informazioni possono essere utili durante la fase di ricognizione. Altre informazioni che possono aiutare un avversario sono magari reperibili sullo stesso sito web aziendale. In un caso, era possibile vedere un esempio di badge identificativo di un dipendente di un grande istituto sanitario, con i particolari sull’azienda che produceva quei badge. Tra le altre fonti potenziali di informazioni ci può essere la consultazione dei record DNS di un’azienda. Alcuni servizi gratuiti
consentono di scoprire il nome della persona che ha registrato un nome di dominio, e anche il suo indirizzo personale. Weaponization In questa fase, l’avversario colloca codice maligno all’interno di un payload. Quest’ultimo potrebbe essere, per esempio, un documento PDF in cui è incorporato un virus o magari un Trojan (un “cavallo di Troia”). Un Trojan sembra un’applicazione normale, ma nasconde in realtà malware. Altri vettori di attacco possono essere spam, unità USB e una connessione Wi-Fi violata. Delivery Questa fase comprende solamente il “recapito” (delivery) del payload all’obiettivo. Il metodo di recapito può essere una SQL injection o lo spear phishing, magari con una cartolina elettronica di buon compleanno contenente un link a malware. Exploitation L’exploitation è l’esecuzione riuscita del payload. Può trattarsi del clic che un dipendente fa sulla cartolina elettronica, che manda in esecuzione il malware su quella macchina: a quel punto l’attaccante ha accesso a quel sistema e a qualsiasi accesso alla rete associata con quel computer. C2 (command and control) La fase di comando e controllo (command and control, C2) può esistere oppure no. Se fa parte della catena di eventi, comporta l’uso di qualche tipo di sistema per condurre l’attacco. C2 viene utilizzata per mascherare l’attaccante, così che una richiesta proveniente da un host o da un indirizzo IP appaia legittima. Se viene utilizzato un computer sulla
rete (senza che il proprietario del computer lo sappia) per comunicare con altri sistemi sulla rete, si parla di “attacco laterale”. Siti come Twitter e i gruppi Google sono stati utilizzati a fini di comando e controllo, perché gli indirizzi IP di questi siti in genere non sono bloccati dalle organizzazioni, ma dietro i siti legittimi si può trovare un hacker, magari in Russia o in Cina. Anche Amazon Web Services (AWS) è stato utilizzato da molti hacker. Exfiltration L’esfiltrazione (exfiltration) è la fase di effettivo furto di dati dalla rete. I casi di PFC Bradley Manning e di Edward Snowden sono esempi di esfiltrazione di dati da una rete governativa. L’esfiltrazione è il frutto di un attacco sponsorizzato da un governo e può fornire proprietà intellettuali importanti, per esempio i piani di un sistema di difesa missilistica o il progetto di piastre di raffreddamento sullo Space Shuttle della NASA. Tattiche, tecniche e procedure (TTP) Si usano i termini tattiche, tecniche e procedure per descrivere i modi di analizzare un APT o chi ha messo in atto un certo tipo di minaccia (hacker), una volta identificato come sia stato usato malware per accedere a una rete o in quali modi un avversario si sia accreditato su un altro computer sulla rete (per esempio, utilizzando RDP, Remote Desktop Protocol. Nei prossimi paragrafi esamineremo gli strumenti e i metodi che vengono utilizzati dagli attaccanti e i modi in cui si identificano tattiche, tecniche e procedure e si cerca di porre rimedio a queste minacce. YARA
YARA è uno strumento open source utilizzato per classificare e identificare le varianti dei malware. Un esaminatore può anche copiare l’hash MD5 di un file ed effettuare una ricerca nel sito VirusTotal per verificare se il file sia stato identificato in precedenza come malware (Figura 7.8).
Figure 7.8 Il sito VirusTotal.
Persistenza Una volta che un hacker è riuscito a infiltrarsi in una rete, per portare a termine il proprio piano deve rimanere in un sistema compromesso utilizzando hardware persistente. Per questo l’installazione del malware dovrà rimanere in una directory dove venga attivato ogni volta
che viene acceso un computer host. Uno dei primi posti che un investigatore esaminerà sarà quindi la directory di avvio del computer. Dynamic-Link Library (DLL) Side-Loading Nel tentativo di rendere più comodi per gli sviluppatori gli aggiornamenti binari, Microsoft ha introdotto la funzionalità Windows side-by-side (WinSxS), introducendo senza volerlo una vulnerabilità, che viene sfruttata dagli APT. Grazie a questa funzionalità, gli hacker sono riusciti ad aggirare gli antivirus e a trasferire malware da un computer all’altro. Il payload maligno viene eseguito in effetti in memoria, anziché nel file system, dove agiscono gli scanner antivirus. Rimedio Una volta identificata un’intrusione, un investigatore deve cercare di rimediare al rischio. Un computer può essere sostituito facilmente ed è fondamentale prevenire una minaccia e proteggere i dati. L’indagine è secondaria all’eliminazione del rischio per la rete, principalmente per le minacce alle proprietà intellettuali e ad altri dati proprietari. Per quanto riguarda le procedure di rimedio, un’azienda deve adottare i passi seguenti (tutti o in parte). 1. 2. 3. 4. 5. 6. 7. 8.
Bloccare gli indirizzi IP maligni. Bloccare i nomi di dominio maligni. Eliminare dalla rete i sistemi compromessi. Preparare un elenco di indicatori di compromissione e creare un processo di rimedio investigativo sulla base di tali indicatori. Ricostruire i sistemi compromessi. Coordinarsi con i fornitori di cloud e servizi. Modificare le password di impresa. Verificare tutte le attività di rimedio.
9. Creare un’analisi della causa principale per impedire in futuro tipi simili di attacchi.
Indicatori di compromissione Il problema degli APT è che sono così avanzati che molti meccanismi tradizionali di sicurezza come firewall, IDS, antivirus ecc. sono inefficaci. Tuttavia, alcuni segni distintivi di un attacco APT, o indicatori di compromissione (indicators of compromise, IOC) sono noti. Alcuni sono i seguenti. Chiavi del Registro: file di configurazione di Windows. File DLL: i file Dynamic Link Library (DLL) sono file di sistema di Windows che contengono procedure e driver eseguiti da un programma. Più programmi possono accedere a questi file di sistema condivisi. Potrebbero essere stati apportati dei cambiamenti e in tal caso possono essere identificati mettendo in corrispondenza i numeri di versione dei file DDL con la versione di Windows. ServiceDLL: se su un personal computer si trova il file service.dll, la macchina può essere stata infettata dal Trojan infostealer.msnbancos. svchost.eve: è un processo di sistema che contiene più servizi Windows. Se il file svchost.exe si trova al di fuori della directory System32, c’è stata una compromissione. Email: l’indirizzo IP SMTP non corrisponde al nome di dominio. Porte: porte del computer normalmente inutilizzate ora, invece, sono utilizzate. Internet Relay Chat (IRC) è un protocollo Internet per le chat in diretta e utilizza la porta 6667. IRC è usato anche per il comando e controllo di computer compromessi che sono controllati dagli hacker.
: è l’Update Sequence Number Journal, una funzionalità di NTFS e tiene traccia dei cambiamenti in un volume. È chiamato anche Change Journal. Questo file deve essere esaminato da chi si occupa della risposta all’incidente. File di prefetch: nuovi file di prefetch possono essere dovuti a nuovi driver o a file da poco scaricati. Prefetch è una cartella nella cartella di sistema Windows che contiene file usati nel processo di boot e aperti regolarmente da altri programmi. Lo scopo della procedura di prefetch è avviare una macchina o aprire più rapidamente un programma tenendo traccia di file di uso comune. System32: contiene file di sistema Windows e altri file di programma, che sono fondamentali per il sistema operativo. La directory può essere trovata in C:\Windows\System32 o C:\Winnt\system32. Anche la cartella System32 può contenere file maligni installati da un hacker ed essere un indicatore di compromissione. Nella directory System32 si possono trovare anche i log DNS e DHCP. Master File Table (MFT): contiene una voce per ogni file che è memorizzato in un volume NTFS e include metadati su quei file, compresi dimensione, data di creazione, data di ultima modifica, data di ultimo accesso e autorizzazioni. La tabella MFT è una risorsa determinante per chi deve rispondere agli incidenti e anche per gli esaminatori forensi tradizionali. Questo perché se con un sistema si tentano tecniche anti-forensi, come il timestomping, o è stato effettuato un tentativo di cancellare file, si può usare la MFT per stabilire se qualcuno ha manipolato i file. Un attaccante può manipolare la maggior parte delle date, ma non la “FN Info Creation Date”. La MFT può essere analizzata con la maggior parte degli strumenti forensi commerciali e anche con alcuni strumenti gratuiti, come MFTECmd di Eric Zimmerman. In Windows la MFT in Windows $USN_Journal
si trova in %systemroot%\$MFT. L’investigatore deve essere molto specifico quando effettua ricerche sulle date con uno strumento di analisi della MFT, perché questa contiene un gran numero di voci. La Figura 7.9 mostra un campione di dati della MFT.
Figure 7.9 Esempio di dati MFT.
Log degli eventi: ne abbiamo parlato nel Capitolo 2, in quanto fonte importante di evidenze per gli investigatori. Sono importanti anche per la risposta agli incidenti. Un esempio sono gli Event ID di eventi collegati a tentativi di login andati a buon fine. L’Event ID 4624 indica che è avvenuto un login andato a buon fine. Tuttavia, questo Event ID fornisce anche un Logon Type. Se per l’Event ID 4624 il Logon Type è 2 (interattivo: logon a tastiera e schermo di sistema), possiamo non preoccuparci. Un Logon Type 10 (Terminal Services, Remote Desktop o Remote Assistance), invece, può essere un indicatore di compromissione, perché spesso gli hacker più sofisticati usano Remote Desktop per connettersi da remoto ad altri host su una rete. Questo particolare Event ID (4624) fornisce informazioni anche sull’host che ha effettuato da remoto il login su un altro host. Event ID importanti, associati con Remote Desktop (RDP) sono i 21/22 (RDP/autenticazioni Citrix), 23/24 (RDP/logoff Citrix), 1158 (RDP da un indirizzo IP) e 1149 (autenticazione RDP andata a buon fine). Altri Event ID importanti sono 7045, 7036 e 4697 che
permettono di identificare i servizi installati su una macchina host infetta. Nel momento in cui scrivo, il sito web ultimatewindowssecurity.com fornisce un elenco esaustivo di Event ID. La Figura 7.10 mostra una risorsa molto potente per la ricerca di Event ID.
Figure 7.10 Il sito Ultimate IT Security.
Elenchi MRU (most recently used, di uso più recente): anche questi sono potenziali elementi interessanti per chi deve rispondere a un incidente. Sono elenchi di applicazioni e file utilizzati di recente da un utente. Questo file si può trovare nel Registro di Windows a questa voce: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\RunMRU. PsExec: è uno strumento da riga di comando per Windows che consente a un utente di eseguire da remoto processi su un computer senza dover installare software client. Come si può immaginare, può essere uno strumento invitante per un attaccante. Ironicamente,
è usato anche dagli amministratori Windows e da chi risponde agli incidenti. Un Event ID 540 indica un login PsExec. : contiene un elenco dei programmi che sono stati eseguiti su un computer Windows, con il numero di volte in cui sono stati eseguiti e data e ora dell’ultima esecuzione. Didier Stevens ha sviluppato uno strumento per analizzare queste voci. Il file che contiene queste voci si trova in HCU\Software\Microsoft\Windows\CurrentVersion \Explorer\UserAssist. Un team di risposta agli incidenti normalmente farà circolare per le ricerche dei membri del team un elenco di IOC, alcuni dei quali evidenziati sopra. Fra gli IOC su quell’elenco possono esserci indirizzi IP, nomi di malware e hash MD5 di malware noti e un elenco di parole chiave che si possono usare per effettuare ricerche nell’immagine di una unità. In quell’elenco possono esserci nomi di malware, indirizzi IP e altri termini di ricerca di interesse. UserAssist
Indagine sull’attacco a una rete Gli attacchi e le intrusioni nelle reti non sono solo APT. Qualche attaccante vuole solo causare disastri e distruzione, altri vogliono solo appropriarsi del denaro altrui o di dati sensibili. Identificare una compromissione può essere difficile, in particolare perché un attaccante può spostarsi da computer a computer in un’organizzazione e perché può essere difficile trovare un indicatore di compromissione. A proposito di questi ultimi, trovare piccole variazioni in un labirinto di file di registro può essere come trovare il proverbiale ago in un pagliaio. A volte il modo più efficace per individuare una compromissione consiste nel confrontare un sistema potenzialmente infetto con uno sicuramente non infetto. Se un’organizzazione è stata
attaccata di recente e si può trovare il computer di un dipendente in permesso per malattia o in vacanza, è probabile che quel computer non sia stato infettato e possa rendere molto più facile identificare la compromissione. Un altro metodo, per una macchina Windows, è esaminare i punti di ripristino del sistema. Da quanto è stato introdotto Windows Vista, Microsoft ha usato un sistema di backup dei file denominato Volume Shadow Copy (VSC). Esistono molti strumenti utilizzati per esaminare VSC, come BlackLight e ProDiscover, che possono analizzare le versioni di un sistema in un particolare momento.
Random Access Memory (RAM) Un indicatore di compromissione (IOC) importante è la RAM, la memoria ad accesso casuale. Ovviamente, un’analisi forense della RAM richiede che il sistema sia acceso e che si abbiano a disposizione speciali strumenti di Live Forensics.
AmCache Come abbiamo visto nel Capitolo 2, un’analisi di AmCache.hve, introdotto con Windows 8, può consentire di stabilire quali applicazioni siano state eseguite da un attore malintenzionato. AmcacheParser di Eric Zimmerman, che è uno strumento open source gratuito, analizza i contenuti di AmCache.hve, fra i quali si trovano data e ora dell’installazione, data e ora dell’esecuzione, l’ID del programma e il percorso a partire dal quale l’applicazione è stata eseguita. La Figura 7.11 mostra l’output di un file Amcache.hve.
ShimCache
Nel Capitolo 2 abbiamo parlato approfonditamente dell’importanza della ShimCache per le indagini. Come abbiamo notato, la ShimCache può fornire informazioni sulle applicazioni che sono state eseguite da un hacker su un sistema. ShimCacheParser è uno tra i diversi strumenti che si possono utilizzare per analizzare la ShimCache. AppCompatCacheParser è un altro strumento che si può scaricare gratuitamente per analizzare la ShimCache.
Figure 7.11 Output di Amcache.hve.
ShellBag Come abbiamo già notato nel Capitolo 2, le ShellBag sono chiavi del Registro preziose per identificare le cartelle a cui gli hacker o altri utenti hanno avuto accesso. Le ShellBag si trovano in varie posizioni, in particolare nelle seguenti: HKEY_USERS\\Software\Microsoft\Windows\Shell HKEY_USERS\\Software\Microsoft\Windows\ShellNoRoam
Volume Shadow Copy Del servizio Volume Shadow Copy (VSC) abbiamo parlato nel Capitolo 2, dove abbiamo visto come un confronto fra copie con date diverse possa dare agli investigatori un’idea di quello che è cambiato nel sistema. Nel caso di un APT, l’attaccante può avere sostituito DLL (file di servizio) Windows con file maligni, per esempio, e un esame delle VSC può dare qualche idea dei piccoli cambiamenti apportati al sistema da un hacker sofisticato. Molti strumenti, come BlackLight, supportano in modo nativo il confronto fra VSC. Esistono anche alcuni strumenti open source e gratuiti, come libvshadow 4; libvshadow è stato creato da Joachim Metz e può effettuare confronti fra VSC.
Endpoint Detection and Response (EDR) Endpoint Detection and Response (EDR) è uno strumento per il monitoraggio di minacce su host di rete e per avviare poi automaticamente la risposta a determinati tipi di attacchi. La forza di EDR sta nelle sue grandi capacità di log, che certamente rendono molto più facile la vita a chi organizza la risposta a un incidente. Carbon Black è uno degli strumenti EDR più noti e ha capacità di log estremamente ampie. Il costo di EDR però può risultare proibitivo per la maggior parte delle aziende.
Kibana Kibana è un’applicazione open source e gratuita di visualizzazione dei dati che può essere utilizzata per l’analisi di log e il monitoraggio delle applicazioni. Si integra con Elasticsearch, un motore di ricerca analitica molto potente e usa vari tipi di istogrammi, mappe di calore, grafici lineari e altre forme di visualizzazione che sono di aiuto per identificare più facilmente che cosa sia avvenuto nell’arco di un
particolare intervallo temporale. Scorrere migliaia di log è decisamente più lungo e faticoso. Quando si usa Kibana, si può stabilire se si sono verificate molte attività in un orario in cui i dipendenti normalmente non sono al lavoro (magari alle 2 di notte): questo potrebbe indicare che un hacker dall’altra parte del mondo (durante quello che per lui è orario di lavoro diurno) si sia dato da fare su un host della rete. Kibana può anche evidenziare connessioni non usuali a indirizzi IP in altri paesi. Va comunque notato che, nel caso di attacchi APT, gli hacker avranno usato computer proxy in altri paesi per nascondere la propria identità, cioè i propri veri indirizzi DNS e IP. Nella risposta a un incidente si cercheranno anche grandi quantità di dati trasferite dall’azienda presa di mira, indizio di una possibile esfiltrazione di dati. Kitana ha anche la possibilità di cercare rapidamente specifici Event ID per host specifici su una rete. Per esempio, sarebbero particolarmente interessanti Event ID 4624 con un logon di tipo 10.
Log2timeline/Plaso Log2timeline è uno strumento importante per la risposta agli incidenti perché prende file di log e analizza diversi tipi di log, da vari file del Registro, e crea una cronologia dei log di sistema. Viene usato normalmente su un computer infetto dopo che il team di sicurezza ha ristretto il momento della compromissione ad alcune date potenziali per un host sulla rete. Date le migliaia di log di sistema che possono essere generati da un host ogni giorno, è importante restringere il più rapidamente possibile l’intervallo di tempo nel quale si è verificato un attacco. Si possono prendere in considerazione per un’ulteriore analisi con Log2Timeline i file seguenti: \Windows\AppCompat\Programs\Amcache.hve \Windows\system32\config\SAM
\Windows\system32\config\SECURITY \Windows\system32\config\SOFTWARE \Windows\system32\config\winevt
Plaso è il motore di back-end utilizzato da log2timeline (e da altri strumenti) per la creazione delle cronologie a partire dai file di log.
SANS SIFT Workstation SIFT è una suite gratuita di strumenti forensi creata dal SANS Institute (www.sans.org). Si integra con il VMWare Player, un’altra applicazione liberamente scaricabile. SIFT può essere usata per montare immagini di disco ed eseguire, con i suoi molti strumenti, vari tipi di analisi in una virtual box; in questo modo una sessione di SIFT non avrà alcuno strascico sul personal computer. La Figura 7.12 mostra l’interfaccia utente di SANS SIFT. Imparare a utilizzare le macchine virtuali è importante nella Digital Forensics e nella cybersecurity, in particolare quando si lavora con un sistema che potrebbe essere stato contagiato da malware.
Figure 7.12 La SANS SIFT Workstation.
SIFT supporta i seguenti file system: NTFS (NTFS); iso9660 (ISO9660 CD); hfs (HFS+); raw (raw data); swap (swap space); memory (RAM data); fat12 (FAT12); fat16 (FAT16); fat32 (FAT32); ext2 (EXT2); ext3 (EXT3); ext4 (EXT4); ufs1 (UFS1); ufs2 (UFS2); vmdk. La SIFT Workstation comprende i seguenti strumenti open source: log2timeline (strumento di generazione di cronologie); Rekall Framework (analisi della memoria); Volatility Framework (analisi della memoria); autopsy; dc3dd; libevt; libevtx; libvshadow; lightgrep; log2timeline; RegRipper e plug-in;
Sleuth Kit. È indispensabile avere una conoscenza di base di Linux, perché la Workstation usa un’interfaccia a riga di comando.
Windows Registry Nel Capitolo 2 abbiamo presentato il Registro (Registry) di Windows e abbiamo visto che i registri contengono le modifiche alla configurazione di un computer. In generale, tutti i programmi Windows a 32 e 64 bit conservano i dati di configurazione e delle preferenze nel Registro; come abbiamo già visto, questo conserva anche informazioni sulla configurazione dell’hardware Plug and Play. Per esempio, le informazioni sui dispositivi USB che sono stati collegati a un sistema sono conservate nella chiave HKLM\SYSTEM\ControlSet00x\Enum\USBSTOR. Il Registro può fornire informazioni dettagliate anche in merito a quello che ha fatto un hacker. L’analisi di queste informazioni è diversa da altre indagini in cui sono importanti i file creati dall’utente, come fotografie o documenti Office. Un attaccante sofisticato può accedere a un host sulla rete, copiare dati e poi usare tecniche di anti-forensics, cioè tecniche articolate per manipolare i file su un sistema e coprire le proprie tracce, cioè nascondere le attività svolte. Per esempio, un hacker può cercare di modificare l’orologio di sistema oppure cambiare l’estensione di un file o imitare l’attività di un utente regolare. Tuttavia, un esaminatore di rete esperto può usare il Registro di Windows e il Visualizzatore eventi per stabilire quando sia avvenuta un’intrusione e avere qualche idea di quello che l’hacker ha tentato di fare. Si potrebbe scrivere un intero libro sul Registro di Windows; in questa sezione ci concentreremo su alcuni degli hive e dei file più
importanti, in relazione alla risposta a un incidente. La Figura 7.13 mostra gli hive del Registro. RegRipper è uno strumento open source gratuito che si può usare per analizzare vari file del Registro di un personal computer. Dopo che sia stata creata un’immagine, corretta dal punto di vista forense, del computer, per esempio con FTK Imager, dall’immagine si possono copiare gli hive del Registro SYSTEM, SOFTWARE, SAM e SECURITY, e la copia si può incollare nella cartella in cui è stato installato RegRipper, per analizzarla poi con questo strumento. RegRipper è uno strumento da riga di comando. Per elaborare i file del Registro è necessaria la conoscenza di alcuni comandi di base di Linux. Vediamo qui di seguito un po’ più in dettaglio alcuni hive importanti.
Figure 7.13 Hive del Registro nel Registry Editor (Editor del Registro di sistema).
HKEY_CLASSES_ROOT (HKCR) Questo hive conserva informazioni sulle applicazioni, fra cui le estensioni dei nomi di file a cui sono associate le informazioni sulla
classe COM. Questo hive comprende informazioni anche sulle scorciatoie del programma e sull’interfaccia utente. HKEY_CURRENT_USER (HCR) Questo hive contiene informazioni sull’utente che al momento risulta accreditato al sistema, con le sue impostazioni del desktop e le sue cartelle utente: HKEY_CURRENT_USER\Software\Microsoft\ActiveSetup\InstalledComponents
HKEY_LOCAL MACHINE (HKLM) In questo hive sono conservate le impostazioni che valgono per tutti gli utenti del sistema. HKEY_LOCAL_MACHINE/SOFTWARE conserva informazioni sulle reti Wi-Fi, fra cui SSID e indirizzo MAC. Qui potete trovare anche il malware, programmi installati e disinstallati. È possibile che da qui si riescano a recuperare password salvate per un utente. In questo hive si trovano anche informazioni ShellBag, che indicano quali cartelle abbia aperto un utente e quando vi abbia fatto accesso. Qui si trovano anche i file prefetch, dai quali si può vedere quante volte un’applicazione sia stata eseguita. Questi file hanno estensione .pf. Prefetch (precaricamento) è una funzionalità che consente al sistema una maggiore efficienza precaricando codice che viene usato spesso. ImagePath è un altro potenziale indicatore di compromissione (IOC), e questa è una back door che si trova nella seguente chiave del registro: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\ActiveSetup\InstalledComponents
HKEY_USERS (HKU) Questo hive contiene informazioni su tutti gli utenti, indipendentemente da chi al momento abbia effettuato il login. Queste informazioni si possono trovare anche qui: \Documents and Settings\User Profile\NTUSER.DAT
Il file NTUSER.DAT è molto importante per la risposta agli incidenti perché contiene il profilo di un utente specifico. Si può stabilire quali applicazioni siano state eseguite su quel particolare computer per uno specifico utente. NTUSER.DAT\Software\Microsoft\Windows\CurrentVersion\Explorer\RecentDocs è il file che contiene gli ultimi 150 file o cartelle aperti da uno specifico utente. HKEY_CURRENT_CONFIG (HCU) Questa chiave contiene informazioni di configurazione per l’utente che al momento risulta avere effettuato il login al sistema sotto esame.
Riepilogo Esistono molti strumenti di Network Forensics: molti sono costosi, come EnCase Enterprise, ma ne esistono anche molti, comunque efficaci, gratuiti e open source come Wireshark e tcpdump. I dispositivi di rete, fra cui i sistemi di rilevamento delle intrusioni (IDS), i router e i firewall, possono fornire grandissime quantità di informazioni sugli host presenti in una rete. La Network Forensics è diversa da quella tradizionale perché vengono esaminati sia i client sia i server interni. Uno dei tipi più importanti di server è un server web, che contiene non solo pagine web ma anche i log relativi alle richieste dei computer client. Un investigatore quindi non deve basarsi esclusivamente sul computer di un sospettato per verificarne l’attività in Internet: può richiedere anche un’ingiunzione al proprietario di un server web per ottenere le richieste di pagine web inviate dal client. Internet Protocol versione 4 (IPv4) è oggi il protocollo di indirizzi Internet più diffuso, ma l’inevitabile esaurimento degli indirizzi IP ha reso necessario il
passaggio a indirizzi IPv6 più lunghi. Le applicazioni in Internet usano gli indirizzi IP per trovare un host di destinazione. In una rete locale (LAN), si usa un indirizzo MAC (al livello del collegamento dati nel modello OSI) per identificare un host sulla rete. Il modello OSI è utilizzato per spiegare come i dati vengano instradati da un host all’altro in Internet. Gli investigatori devono conoscere i diversi livelli del modello OSI, così da poter spiegare come vengono trasformate le comunicazioni nel passaggio da un livello all’altro e come possano dimostrare che un indagato sia la persona responsabile di una particolare comunicazione. Il livello del trasporto nel modello OSI è probabilmente il più importante, perché molti degli strumenti che analizzano il traffico TCP/IP sono preziosi per gli investigatori, in particolare quando devono identificare intrusioni in una rete. Un investigatore le cui conoscenze siano limitate solo all’esame dei computer client e che non comprenda la rete o le reti a cui sono connessi corre il rischio di trascurare evidenze importanti, il che in qualche caso può portare all’arresto della persona sbagliata, come abbiamo visto nell’esame di un caso. Gli APT (Advanced Persistent Threat) sono fonte di particolare preoccupazione (negli Stati Uniti e non solo) e sono un motivo per cui è importante che le organizzazioni assumano investigatori di Network Forensics, anziché affidarsi solamente al personale della sicurezza IT. Queste minacce sono così raffinate che molti metodi tradizionali della sicurezza non risultano adeguati. Gli APT richiedono mesi di pianificazione. Molte organizzazioni non si rendono conto di fornire pubblicamente informazioni dalle quali un attaccante può ricavare molte conoscenze sulla loro infrastruttura di rete. Queste informazioni possono essere ricavate dalle offerte di lavoro, dai comunicati stampa, dai siti web aziendali e da tutta una serie di altre fonti.
La risposta agli incidenti (IR, Incident Response) richiede competenze sia di Network Forensics che di Computer Forensics. La IR è molto diversa dall’informatica forense tradizionale perché (1) su una rete si devono esaminare molti più computer, (2) l’indagine in genere viene svolta all’interno di un’organizzazione, (3) le possibilità che si arrivi a un procedimento giudiziario sono basse, perché gli attori spesso accedono da remoto e le possibilità di estradare i colpevoli sono estremamente basse e, infine, (4) anziché i documenti creati dagli utenti, al centro dell’indagine stanno i log dei sistemi. Esistono vari possibili indicatori di compromissione e un esame degli Event ID è fondamentale per identificare come un attaccante abbia avuto accesso a un sistema e stabilire quali servizi siano stati installati. Per identificare quali programmi siano stati eseguiti, l’esaminatore può analizzare vari oggetti di valore forense: AmCache, Prefetch, ShimCache e RecentFileCache.bcf. Eric Zimmerman ha sviluppato numerosi strumenti open source gratuiti che sono di ausilio nella risposta agli incidenti, quando si esaminano oggetti del sistema operativo Windows.
Glossario Address Resolution Protocol (ARP). Un metodo che collega il livello di rete (Livello 3) del modello OSI al livello collegamento dati (Livello 2). Advanced Persistent Threat (APT). Un attacco sofisticato, prolungato e coordinato condotto a una rete informatica, con l’obiettivo di rubare proprietà intellettuali. Analizzatore di protocollo. Utilizzato per analizzare e interpetare il traffico su una rete. Anti-forensics. L’insieme delle attività tese a manipolare i file di un sistema per coprire le tracce dell’attività di un hacker.
Applicazione, livello OSI. Il livello più vicino all’utente finale. Interagisce con le applicazioni. Browser Help Object (BHO). Aggiunge funzionalità a un browser web. L’oggetto viene avviato ogni volta che l’utente apre il browser. Browser web. Usato per (1) lavorare con un server DNS per risolvere indirizzi DNS, (2) effettuare richieste HTTP, (3) scaricare risorse e (4) visualizzare i contenuti dei file con i Browser Help Object (BHO). Domain Name System (DNS). Un sistema di nomi per computer e altri dispositivi connessi a Internet. Dynamic Host Configuration Protocol (DHCP). Uno standard per consentire a un server di assegnare dinamicamente indirizzi IP e configurazione agli host su una rete. Dynamic Link Library (DLL). File di sistema di Windows che contengono procedure e driver eseguiti da un programma. Firewall. Meccanismo software o hardware utilizzato per ispezionare i pacchetti di dati su una rete e stabilire, sulla base di un insieme di regole, a quali pacchetti debba essere consentito il passaggio. Fisico, livello OSI. Definisce l’hardware o il supporto attraverso il quale vengono trasmessi i dati e l’energia necessaria per la trasmissione. Gateway di default. Su una rete, il nodo che funge da host (router) che instrada verso altre reti. Hosts, file. Un file di testo nei sistemi Windows che mette in corrispondenza nomi di host e indirizzi IP. Hub. Un dispositivo fisico di rete che trasmette pacchetti di dati a tutti i dispositivi di una rete, indipendentemente dall’indirizzo MAC. HyperText Transfer Protocol (HTTP). Uno standard per le richieste e le risposte fra un client e un server.
Internet Assigned Numbers Authority (IANA). L’organizzazione che ha la responsabilità di assegnare gli indirizzi IP a livello globale. Internet Protocol version 4 (IPv4). La quarta versione del protocollo per la trasmissione di dati senza connessione su reti a commutazione di pacchetto. Intrusion Detection System (IDS). Un sistema di rilevamento delle intrusioni: hardware e software utilizzati per monitorare il traffico di rete e identificare attività pericolose. Managed Service Provider (MSP). Un’azienda che in genere fornisce servizi di infrastruttura IT, come storage nel cloud, alle organizzazioni. Maschera di sottorete (subnet mask). Facilita le comunicazioni fra reti separate. Multipurpose Internet Mail Extensions (MIME). Un protocollo per la posta elettronica che estende i set di caratteri oltre l’ASCII e supporta gli allegati. Network Address Translation (NAT). Un protocollo che consente a più dispositivi su una rete di condividere un unico indirizzo IP (vedi RFC 1631). Open Systems Interconnection (OSI), modello. Un modello utilizzato per definire come vengono trasmessi i dati in Internet. Pacchetto. Un blocco di dati trasmesso in una rete. PBX (Private Branch Exchange). Un centralino telefonico, all’interno di un’organizzazione, che smista le chiamate fra gli utenti dell’organizzazione sulle linee telefoniche locali e consente di condividere un numero limitato di linee telefoniche esterne. Porta. Canale di comunicazione specifico per un processo o un’applicazione in esecuzione su un computer. Prefetch. Una cartella, nella cartella di sistema di Windows, che contiene file usati nel processo di boot e anche file che vengono aperti
regolarmente da altri programmi. Presentazione, livello OSI. Prepara i dati per il livello dell’applicazione e ha la responsabilità della conversione, compressione e cifratura dei dati. Promiscua, modalità. Consente a un NIC di ascoltare le comunicazioni trasmesse sulla rete, indipendentemente da quale sia il destinatario. Proxy server. Un computer che inoltra a un server una richiesta per un client. Rete, livello OSI. Definisce le comunicazioni fra reti o il funzionamento della sottorete e prende decisioni sul percorso fisico seguito da una trasmissione. Router. Hardware che collega una rete a una o più altre reti e indirizza i pacchetti di dati da un nodo all’altro. Secure Data Transmission. Il processo di invio di dati su un canale sicuro, grazie all’uso di tecniche crittografiche. Server web. Ospita documenti HTML e risorse mediali relative e li fornisce in risposta alle richieste dei client. Sessione, livello OSI. Ha la responsabilità di iniziare, mantenere e terminare i processi su sistemi diversi. Simple Mail Transport Protocol (SMTP), server. Usato per inviare email per un client; i messaggi poi sono instradati a un altro server SMTP o ad altro server di posta elettronica. Sniffer di pacchetti. Usato per catturare pacchetti di dati su una rete cablata o wireless. Switch. Un dispositivo hardware intelligente che connette dispositivi su una rete. Tabella di instradamento (routing table). Contiene informazioni sulla rete e fornisce il metodo più efficace per instradare i pacchetti attraverso quella rete.
Timestomping. Una tecnica di anti-forensics usata per manipolare il timestamp di un file. Traceroute. Uno strumento usato per tracciare il percorso di pacchetti IP da un sistema a un altro. Transmission Control Protocol (TCP). Uno standard di comunicazione usato in Internet. Trojan. Un “cavallo di Troia”: un’applicazione dall’aria innocente che nasconde in realtà un malware. Uniform Resource Identifier (URI). Identificatore utilizzato per individuare una risorsa in Internet. User Datagram Protocol (UDP). Un protocollo di comunicazione senza connessione che ha capacità limitate di recupero dei pacchetti e opera al livello del trasporto OSI. Voice over Internet Protocol (VoIP). Un protocollo che prende segnali audio analogici (per esempio, voce) e li converte in dati digitali che possono essere trasmessi in Internet.
Valutazione Domande a risposta aperta 1. Da quali punti di vista il lavoro di un esaminatore di Network Forensics è diverso da quello di un tradizionale esaminatore di Computer Forensics? 2. Quali sono le difficoltà che si incontrano nelle indagini sugli APT? 3. Discutete gli indicatori di compromissione (IOC) a cui un investigatore deve prestare attenzione nelle indagini su un’intrusione di rete.
Domande a risposta multipla 1. Quale dei termini seguenti descrive nel modo migliore malware mascherato da applicazione o da programma del tutto innocente? A. B. C. D.
Worm. Virus. Trojan. Bomba logica.
2. Per quale dei seguenti la funzione primaria è servire documenti HTML? A. B. C. D.
Server Web. Server proxy. Server SMTP. Server virtuale.
3. Qual è il nome della cartella, nella cartella di sistema Windows, che contiene file usati nel processo di avvio e file aperti regolarmente da altri programmi? A. B. C. D.
User. Journal. Svchost. Prefetch.
4. Qual è il livello del modello OSI che può essere visto come il più vicino all’utente? A. B. C. D.
Sessione. Applicazione. Presentazione. Trasporto.
5. Quale livello del modello OSI definisce i cavi lungo i quali corrono gli impulsi elettrici delle comunicazioni in Internet? A. B. C. D.
Trasporto. Sessione. Collegamento dati. Fisico.
6. Quale fra i seguenti è un protocollo per la trasmissione di dati senza connessione su reti a commutazione di pacchetto? La sua intestazione ha 14 campi. Questo protocollo usa indirizzi a 32 bit, che di solito sono rappresentati come quattro ottetti in notazione decimale puntata. A. B. C. D.
IPv2. IPv4. IPv6. IPv8.
7. Quale delle seguenti consente a un NIC di ascoltare le comunicazioni trasmesse su una rete, indipendente dal loro destinatario? A. B. C. D.
Modalità proprietaria. Modalità passiva. Modalità promiscua. Modalità attiva.
8. Quale dei seguenti definisce il formato standard per la posta elettronica? A. B. C. D.
IRC. ICMP. SMTP. HTTP.
9. Nel modello OSI, quale livello ha la responsabilità di iniziare, mantenere e terminare processi su sistemi diversi? A. B. C. D.
Trasporto. Sessione. Collegamento dati. Fisico.
10. Quale delle organizzazioni seguenti ha la responsabilità di assegnare gli indirizzi IP a livello globale? A. B. C. D.
ISO. IEEE. IANA. NIST.
Completa le frasi 1. Un __________ è un blocco di dati utilizzato nelle comunicazioni in Internet. 2. Transmission __________ Protocol è uno standard di comunicazione utilizzato con Internet. 3. Un __________ system è hardware o software utilizzato per monitorare il traffico di rete e identificare attività sospette. 4. User __________ Protocol è un protocollo di comunicazione senza connessione con funzionalità limitate di recupero dei pacchetti, che opera a livello del trasporto OSI. 5. Address __________ Protocol è un metodo che connette il livello di rete (Livello 3) del modello OSI al livello di collegamento dati (Livello 2). 6. A(n) __________ Help Object è usato per aggiungere funzionalità a un browser web. L’oggetto viene avviato ogni volta che l’utente
7. 8.
9. 10.
apre il browser. I file Dynamic __________ Library sono file di sistema Windows che contengono procedure e driver eseguiti da un programma. Un advanced __________ threat è un attacco sofisticato, prolungato e coordinato a una rete informatica, con l’obiettivo di rubare proprietà intellettuali. I/gli __________ sono usati per catturare pacchetti di dati su una rete cablata o wireless. HyperText __________ Protocol è uno standard per le richieste e le risposte fra un client e un server.
Progetti Ricercare reati Internet Svolgete una ricerca su reati in Internet che pensate richiederebbero le competenze di un investigatore di Network Forensics. Spiegate quale sia la natura delle evidenze di rete che sarebbero utili per l’indagine. Scrivere un rapporto sui tipi di evidenze trovati in un computer Scrivete un rapporto in cui siano indicati i tipi di evidenze che si possono trovare su un computer client, relative all’attività di rete dell’utente. Creare una guida per l’investigatore sui tipi di dispositivi Create una guida per gli investigatori in cui siano esposti in dettaglio i tipi di dispositivi, presenti nelle reti domestiche o aziendali, che potrebbero contenere evidenze preziose. Log2Timeline/RegRipper
Create con FTK Imager un file E01 immagine di un personal computer Windows. Scaricate Log2Timeline oppure RegRipper. Usate i file della vostra immagine per esaminare i file del Registro, poi scrivete in un rapporto quello che trovate. Includete nel vostro rapporto i dati del file NTUSER.DAT. SANS SIFT Workstation (progetto avanzato) Create con FTK Imager un file E01 immagine di un personal computer Windows. Registrate, poi scaricate una copia della SANS SIFT Workstation da www.sans.org. Scaricate VMWare Player (versione gratuita). Con qualche suggerimento dal vostro docente, provate alcuni dei molti strumenti presenti nella suite della stazione di lavoro SIFT.
Capitolo 8
Mobile Forensics
Obiettivi Di seguito i temi principali che verranno affrontati nel corso di questo capitolo. L’evoluzione e l’importanza della Cellphone Forensics. Come funzionano le reti cellulari. Il tipo di evidenze disponibili dai gestori delle reti cellulari. Recuperare evidenze dagli smartphone. Condurre SIM card Forensics. Differenti sistemi operativi per il mobile. Considerazioni legali associate alle indagini sui cellulari. Forensics per tablet, GPS e altri dispositivi mobili. Come documentare un’indagine su cellulare. Il campo della Mobile Forensics è cresciuto immensamente in tempi recenti e ora è uno degli ambiti di ricerca più importanti. I motivi sono molti: innanzitutto e soprattutto, le capacità dei telefoni cellulari si sono ampliate molto e questi dispositivi mobili si può dire siano ancora più importanti dei computer, desktop o laptop, perché in genere sono sempre accesi e in vari modi registrano continuamente la posizione dell’utente. Regisrano continuamente i nostri movimenti, le nostre attività, e offrono grandi quantità di informazioni sui nostri comportamenti. Le comunicazioni su un telefono cellulare sono molto
diverse rispette a quelle possibili con un computer tradizionale, e spesso i criminali su un cellulare dicono (a voce o con messaggi testuali) cose che non comunicherebbero mai con un computer tradizionale. La Cellphone Forensics non è stata sempre presa sul serio e ancora nel 2008, se si fosse chiesta alle forze dell’ordine qualche informazione sulle indagini sui cellulari, normalmente la risposta sarebbe stata che nessuno nei loro laboratori lavorava sui cellulari oppure che non contenevano nulla di valore. In effetti, qualcuno avrebbe detto che l’unico motivo per l’esistenza di software di Cellphone Forensics era che qualche persona sospettosa era disposta ad acquistarlo per vedere se il partner la tradiva. Da anni si usavano dispositivi per l’imaging dell’hardware, ma inizialmente non servivano per le indagini. La Cellebrite vendeva il suo hardware ai rivenditori di cellulari che avevano bisogno di un dispositivo per copiare i contenuti del cellulare di un cliente e della sua SIM card su un altro cellulare, di solito quando il cliente voleva passare a un nuovo modello. Quando le forze dell’ordine hanno cominciato a occuparsi di indagini su cellulari, la Cellebrite ha apportato qualche piccola modifica e ha iniziato a vendere molti più dispositivi. La Cellphone Forensics è stata sempre importante, ma non molti si rendevano conto della sua importanza. D’altronde non sorprende, perché il software forense disponibile non poteva funzionare con la stragrande maggioranza dei cellulari. Una volta che i cellulari hanno avuto la capacità di collegarsi a Internet, la loro importanza per le indagini è aumentata. È arrivato così anche software forense migliore. Di colpo erano disponibili molte più evidenze: email, ricerche in Internet, attività di social networking. Oggi quasi tutti i laboratori di criminologia hanno capacità di Cellphone Forensics. Nei laboratori più grandi si è creata anche una divisione dei compiti: un investigatore, per
esempio, può avere la responsabilità di estrarre prove dal cellulare, un altro può avere il compito di sbrigare gran parte del lavoro d’ufficio, compresa la preparazione delle ingiunzioni agli operatori telefonici, mentre un altro ancora può avere la responsabilità di raccogliere e analizzare i dati ricavati dalle stazioni radio base (Base Transceiver Station, BTS), che sono i sottosistemi di ricetrasmissione grazie ai quali sono possibili le comunicazioni attraverso una rete cellulare. La Cellphone Forensics pone anche sfide enormi. Esiste ancora un gran numero di telefoni cellulari di cui non si può creare un’immagine. Solo i cellulari più diffusi sono supportati dal software e dall’hardware forensi. La cifratura totale del disco significa che a molti di questi dispositivi non si può accedere, il che ha creato un accumulo di casi il cui esito dipende dalla possibilità di accedere a un particolare dispositivo. Inoltre, mentre un giudice può costringere un sospettato a sbloccare un dispositivo con le sue caratteristiche biometriche, un sospettato non può essere costretto a sbloccare il dispositivo se questo è stato protetto con un PIN o una password, perché in vari casi l’inserimento di un PIN o di una password è stato considerato autoincriminazione (contro cui negli Stati Uniti si può fare appello al Quinto Emendamento). Ogni anno arrivano sul mercato centinaia di nuovi cellulari, molti dei quali non saranno mai supportati da strumenti forensi. A complicare ulteriormente questi problemi per gli investigatori c’è il gran numero di sistemi operativi utilizzati sui cellulari di oggi. Un investigatore che deve analizzare un laptop in genere troverà o un sistema operativo Microsoft Windows o un sistema macOS della Apple. Un investigatore che debba analizzare un cellulare, invece, può incontrare anche altri sistemi operativi per il mobile, come Android. Un grave problema per le forze dell’ordine oggi, in particolare in Europa, è la possibilità di acquistare smartphone cifrati. Questi
dispositivi sono importanti per la sicurezza e la privacy e molti forniscono ai governi un servizio fondamentale. Fra le aziende produttrici di questi apparecchi (chiamati anche “criptofonini”) vi sono BlackBerry, Boeing, Bull Atos, GSMK CryptoPhone, Silent Circle, Sikur, Sirin Labs, Turing Robotic Industries e Thales Group. Questi apparecchi cifrati però hanno attirato l’interesse anche del crimine organizzato, i cui appartenenti sono disposti a pagare anche cifre significative per poter mascherare e nascondere le loro imprese e le loro attività criminali. Per esempio, nel Regno Unito e in altri paesi europei, le organizzazioni criminali pagavano quasi 2000 euro ogni sei mesi per poter utilizzare il sistema di messaggistica istantanea di EncroChat su telefoni Android adattati (EncroChat era il nome della società che offriva, grazie ai suoi server diffusi in tutto il mondo, un sistema di comunicazione sicuro, inviolabile e a prova di intercettazione, finita sotto inchiesta nel 2020). Guardando al futuro, dovremo sicuramente dipendere sempre di più dalla Cellphone Forensics, perché il numero dei cellulari e dei tablet è destinato ad aumentare. Il forte mercato per dispositivi Android e iOS fa sì che l’investigatore deve guardare sempre di più anche all’esterno di questi apparecchi: al computer sincronizzato, a tutti i dispositivi sincronizzati nell’ambiente domestico e in quello lavorativo, al cloud. I cellulari dipendono sempre di più dal cloud computing, il che significa che gli investigatori dovranno fare affidamento sempre di più su evidenze che vanno al di là del raggio d’azione dei gestori della rete. Applicazioni per il mobile come Facebook, WhatsApp, Instagram e altre continueranno a essere fonti estremamente importanti di evidenze, anche se il perfezionamento continuo delle tecniche crittografiche costringe gli investigatori a ricorrere a mandati a terze parti, essendo sempre meno in grado di estrarre le evidenze direttamente dai dispositivi stessi.
Questo capitolo si intitola “Mobile Forensics” e non “Cellphone Forensics” perché esamineremo anche altri dispositivi mobili che possono archiviare o generare prove incriminanti, come tablet, riproduttori audio e video personali e dispositivi GPS. Inoltre, anche senza entrare in possesso di un apparecchio mobile di un sospettato, sono disponibili molte altre fonti di evidenze per i dispositivi mobili, come vedremo nel corso del capitolo.
La rete cellulare Una rete cellulare è costituita da un gruppo di celle, cioè di porzioni in cui è diviso un territorio (un’area geografica). Ogni cella è dotata di un’antenna, chiamata stazione radio base (Base Transceiver Station, BTS). Quando si effettua una chiamata con il telefono cellulare, ci si collega a una stazione radio base; la comunicazione poi è trasmessa al Mobile Switching Center (MSC). Quest’ultimo ha il compito di smistare le comunicazioni fra una parte e l’altra della rete cellulare. Se l’utente chiama un altro utente che fa parte di una diversa rete cellulare, gestita da un altro operatore, la chiamata viene instradata dal MSC alla rete pubblica commutata (Public Switched Telephone Network, PSTN). Questa rete pubblica è un aggregato di tutte le reti telefoniche a commutazione di circuito e la sua funzione è quella di collegare tutte le reti telefoniche a livello globale; qui vengono anche calcolati gli addebiti per le connessioni fra reti differenti. La Figura 8.1 mostra il percorso seguito da una chiamata telefonica.
Figura 8.1 La rete cellulare.
Stazione ricetrasmittente base Una stazione base può essere una struttura autonoma, oppure ospitata su un edificio o su qualche altra struttura. La stazione in genere ha un’antenna con tre pannelli su ciascun lato e i lati di solito sono tre. Il pannello centrale è normalmente un trasmettitore, gli altri due sono ricevitori. La struttura dell’antenna è quasi sempre di altezza superiore ai 50 metri. Una stazione può contenere più antenne di operatori diversi (Figura 8.2).
Figura 8.2 Antenna cellulare. In pratica: individuare stazioni e antenne della rete cellulare Conoscere la posizione delle stazioni e delle antenne della rete cellulare può essere utile ed esistono risorse che possono essere d’aiuto. L’esempio che segue riguarda gli Stati Uniti, ma esistono servizi simili anche per l’Europa (sia pure con caratteristiche diverse). 1. Avviate il browser web e navigate fino al sito www.antennasearch.com. 2. Nel campo Street Address scrivete 100 Fifth Avenue; nel campo City scrivete New York; nel campo State scrivete NY; nel campo Zip scrivete 10011; poi
fate clic su Go. 3. Fate clic su Process, poi confrontate quello che appare sul vostro schermo con la Figura 8.3.
Figura 8.3 Risultati della ricerca in antennasearch.com. 4. Fate clic sul link Download Records sotto View Tower Results. 5. Nella finestra di dialogo File Download, fate clic su Open. I risultati non formattati verranno visualizzati in Excel. 6. Salvate il file come vi suggerirà il vostro istruttore, poi uscite da Excel. 7. Sul sito www.antennasearch.com, fate clic su View Tower Results. Comparirà una mappa di Google Maps. Potete fare clic anche sul pulsante Satellite o sul pulsante Hybrid per avere una visualizzazione diversa. Potete anche usare il controllo per effettuare lo zoom su una stazione. 8. Fate clic su uno dei link alle stazioni, poi confrontate quello che appare sul vostro schermo con la Figura 8.4. 9. Chiudete il browser.
Figura 8.4 Mappa delle posizioni delle antenne.
Come abbiamo detto, la stazione base (BTS) è il sistema che, all’interno di ogni cella, facilita le comunicazioni fra un telefono cellulare e la rete del gestore. Un Base Station Controller (BSC) gestisce i segnali radio per la stazione: assegna le frequenze e i trasferimenti fra celle.
Quando ci si sposta, una chiamata telefonica può essere gestita da più antenne, cioè una BTS la trasferisce a un’altra stazione: il trasferimento prende il nome di handoff. Esistono due tipi di handoff: è soft quando una comunicazione cellulare è trasferita in modo condizionale da una stazione a un’altra e il dispositivo mobile comunica simultaneamente con più BTS. L’handoff invece è hard quando la comunicazione è gestita solo da una stazione base alla volta e non vi è comunicazione simultanea. Evidenze da BTS Dal punto di vista della Computer Forensics, è importante sapere come sia strutturata una rete cellulare: così l’investigatore potrà rendersi conto del tipo di evidenze che può recuperare dalla rete del gestore, anche senza avere accesso al telefono della persona indagata. Le forze dell’ordine possono richiedere a un gestore i tabulati telefonici per un particolare utente, che sono i dati recuperati dalle BTS. È importante che gli investigatori specifichino il formato in cui desiderano i dati; ottenere le informazioni in un foglio di calcolo in genere è più utile, perché i dati possono essere ordinati e analizzati. La Figura 8.5 mostra un esempio di dati da una BTS.
Figura 8.5 Dati di una BTS.
Per ottenere questo tipo di dati, le forze dell’ordine possono contattare il gestore della rete e spiegare quali informazioni sull’utente sono necessarie, nell’ambito di un’indagine in corso. L’investigatore deve anche spiegare al gestore che non deve notificare al cliente che è
sottoposto a indagine. Nel caso degli Stati Uniti, le forze dell’ordine possono richiedere che la documentazione relativa al sospettato sia conservata per 90 giorni, in attesa che venga emesso un mandato. La richiesta emessa dal tribunale può essere estesa per altri 90 giorni. Come abbiamo già osservato, per richiedere l’ordine del tribunale non è necessaria l’approvazione di un giudice o di un magistrato e non è necessario precisare un fondato motivo. Informazioni sull’abbonato Oltre a quelle delle BTS, le forze dell’ordine possono ottenere informazioni sull’abbonato, tabulati dettagliati delle chiamate e codici PUK. Le informazioni sull’abbonato sono le informazioni personali che il gestore mantiene sui propri clienti e possono comprendere nome, indirizzo, numeri telefonici alternativi, numero di Sicurezza sociale (o codice fiscale), informazioni sulla carta di credito. I tabulati telefonici sono i dettagli utilizzati a fini di fatturazione e possono comprendere i numeri di telefono chiamati, la durata delle chiamate, data e ora di ciascuna chiamata e celle agganciate. Ovviamente è importante verificare i dati ricevuti dal gestore con le evidenze che si reperiscono sul dispositivo: i dati, cioè, vanno corroborati. Il PUK (PIN Unblocking Key) è un codice di reinizializzazione di sblocco, utilizzato per aggirare la protezione del PIN della SIM;
Mobile Station La cosiddetta Mobile Station è costituita dal dispositivo mobile (Mobile Equipment) e, nel caso di una rete GSM, da una scheda SIM (Subscriber Identity Module, ovvero modulo di identità dell’abbonato). L’International Mobile Equipment Identity (IMEI) è il numero che identifica in modo univoco il dispositivo mobile. Le prime sei o otto cifre dell’IMEI sono il Type Allocation Code (TAC). Questo
codice identifica il tipo di dispositivo wireless. Accedendo al sito http://www.nobbi.com/tacquery.php un investigatore può inserire un codice TAC o un numero IMEI e trovare informazioni dettagliate su un dispositivo specifico. L’IMEI in genere si trova aprendo lo sportellino posteriore del telefono cellulare e guardando sotto la batteria,come si vede nella Figura 8.6.
Figura 8.6 Il numero IMEI in un telefono cellulare. In pratica: trovare l’IMEI con il tastierino Per trovare l’IMEI, la procedura corretta è guardare sotto la batteria. L’IMEI tuttavia può essere visualizzato anche con il tastierino. 1. Accendete il vostro cellulare.
2. Sul tastierino, scrivete *#06#: Sul display dovrebbe comparire l’IMEI del vostro telefono.
Una Universal Integrated Circuit Card (UICC) è una smart cart utilizzata per identificare in modo univoco un abbonato a una rete GSM o UMTS. Se la rete è GSM, la smart card è una SIM, per una UMTS è una USIM (Universal Subscriber Identity Module). Un Mobile Equipment Identifier (MEID) è un numero univoco a livello internazionale che identifica un CDNA (dispositivo mobile). In precedenza era utilizzato l’Electronic Serial Number (ESN), sostituito intorno al 2005 dallo standard MEID globale. L’ESN è un numero a 11 cifre che identifica un abbonato a una rete cellulare CDMA: contiene un codice che identifica il produttore e un numero di serie che identifica uno specifico apparecchio. ESN e MEID sono indicati sull’apparecchi in formato decimale ed esadecimale. Il sito www.meidconverter.com consente la conversione fra ESN e MEID e la visualizzazione di entrambi i loro valori in decimale ed esadecimale. Alcuni gestori forniscono una funzione per consultare i dettagli dell’abbonato a partire dal MEID. Molti cellulari CDMA hanno un particolare blocco, chiamato subsidy lock, che limita l’abbonato a una certa rete: così il telefono poi può essere ceduto gratuitamente o a prezzo sovvenzionato. Dal punto di vista forense, questo significa che il file system del telefono non può essere acquisito se il blocco è attivo. Per esempio, si può magari acquistare un iPhone per 99 dollari soltanto, ma si è vincolati a un particolare gestore e a un contratto specifico. L’iPhone senza blocco può costare anche oltre mille dollari (a seconda del modello), ma l’utente può facilmente passare da un operatore a un altro e non è vincolato a un contratto di due anni. Se un telefono prepagato è stato acquistato a prezzo pieno con un piano offerto da At&T o altri, può essere sbloccato. Un investigatore deve tenerlo presente, perché il
telefono (sbloccato) può essere stato utilizzato anche fuori dal paese con una SIM card acquistata all’estero. I telefoni cellulari (con un subsidy lock) non sono altrettanto disponibili in alcune nazioni europee, dove i gestori offrono meno spesso piani sovvenzionati. In alcune nazioni addirittura è illegale che un gestore venda un telefono bloccato. In generale, in Italia è necessario avere un passaporto per ottenere una SIM card e il servizio, mentre in Irlanda non è necessario un documento di identificazione. In Italia, l’operatore fornisce automaticamente un PIN per la SIM card, mentre in Irlanda non accade. Le norme introdotte recentemente dall’Unione Europea prevedono che a un consumatore con un piano per cellulare acquistato in un paese dell’UE non possano essere addebitati costi per il roaming quando si reca in viaggio in un altro paese dell’Unione. Tutti i telefoni cellulari venduti negli Stati Uniti hanno un identificatore FCC-ID, un numero emesso dalla Federal Communication Commission (FCC) che indica che il dispositivo è autorizzato a operare sulle frequenze che sono sotto il controllo della FCC. La Figura 8.7 mostra un esempio di FCC-ID in un cellulare.
Figura 8.7 FCC ID.
Rimosso lo sportellino posteriore di un telefono ed estratta la batteria, il numero FCC-ID risulta visibile. Si può inserire questo numero sul sito web della FCC (http://transition.fcc.gov/oet/ea/fccid/) e scaricare un manuale per quel cellulare. Questo è importante per un investigatore, che ha bisogno di conoscere le funzionalità dell’apparecchio e, cosa ancora più importante, come staccarlo da ogni rete e dalle comunicazioni esterne per un corretto isolamento. Ulteriori informazioni su cellulari e operatori di reti cellulari si possono ottenere dai siti www.phonescoop.com e www.gsmarena.com. SIM card
La SIM card identifica un utente di una rete cellulare e contiene un IMSI. Le SIM si trovano nei cellulari che operano sulle reti GSM e di solito nei cellulari di rete iDEN. Un utente può semplicemente aggiungere una SIM card a un cellulare sbloccato. Non tutti gli operatori degli USA consentono a un utente di acquistare una SIM card e di usare il proprio apparecchio su un’altra rete. L’International Mobile Subscriber Identity (IMSI) è un numero univoco a livello internazionale sulla SIM card che identifica un utente su una rete. Le prime tre cifre dell’IMSI costituiscono il codice del paese (Mobile Country Code, MCC). Le successive due o tre cifre sono il codice di rete mobile (Mobile Network Code, MNC). Per esempio, MNC 026 per MCC 310 rappresenta l’operatore T-Mobile USA. La parte finale dell’IMSI è il numero identificativo dell’abbonato (Mobile Subscriber Identity Number, MSIN), costituito da un massimo di 10 cifre. Un MSIN viene creato da un operatore di telefonia cellulare e identifica l’abbonato sulla rete. Il Mobile Subscriber ISDN (MSISDN) è sostanzialmente il numero di telefono dell’abbonato: è lungo non più di 15 cifre e comprende il codice del paese (Country Code, CC), il codice dell’area (Numbering Plan Area, NPA) e il numero dell’abbonato (Subscriber Number, SN). I codici dei paesi si trovano abbastanza facilmente. Nelle Americhe, per esempio, il CC è 1 (Zona 1). Per Trinidad e tobago tutti i numeri telefonici iniziano con 1868. I paesi europei sono nelle Zone 3 e 4. L’Irlanda, in Zona 3, ha il codice 353, mentre il Regno Unito, in Zona 4, il codice 44. L’NPA (chiamato anche area code) per Nassau County, nello stato di New York è 516. La SIM comprende anche l’Integrated Circuit Card ID (ICCID), un numero seriale di 19 o 20 cifre, che si trova sulla SIM stessa (Figura 8.8).
Figura 8.8 Una SIM card.
Le prime due cifre dell’ICCID sono il Major Industry Identifier (MII). ISO/IEC 7812-1:2017 è uno standard “Identification cards – Identification of issuers” per l’identificazione delle organizzazioni emittenti, pubblicato dall’ International Organization for Standardization (ISO) nel 1989. La prima cifra indica il settore e “8” significa “Healthcare, telecommunications and other future industry assignments” (sanità, telecomunicazioni e altre future assegnazioni di settore). Le prime due cifre indicano “Telecommunications administrations and private operating agencies” (Enti pubblici e società private di telecomunicazioni). L’ICCID su una SIM card inizierà con “89”. I due numeri successivi indicano il Country Code (CC). I due ancora successivi sono l’Issuer Identifier (II), che indica la società di telecomunicazioni. Sapere come è fatto l’ICCID aiuterà a identificare l’origine di una SIM card. L’ICCID si può trovare, attraverso la SIM card, nel file EF_ICCID. Esistono dispositivi mobili, come gli iPad e i tablet Android abilitati al 4G, che contengono una eSIM (embedded SIM, SIM incorporata),
saldata alla scheda circuitale del dispositivo. International Numbering Plans Il sito www.numberingplans.com è una risorsa eccellente per gli esaminatori di Mobile Forensics che lavorano con cellulari GSM. Il sito mette a disposizione “strumenti di analisi di numero” che consentono di condurre: analisi del numero telefonico; analisi del numero IMSI; analisi del numero IMEI; analisi del numero SIM; analisi del numero ISPC. Un International Signaling Point Code (ISPC) è un sistema di numerazione standardizzato utilizzato per identificare un nodo in una rete di telecomunicazioni internazionale. Autenticazione di un abbonato su una rete Il Mobile Switching Center è la sede in cui le informazioni sull’utente passano allo Home Location Register, al Visitor Location Register e all’Authentication Center. Lo Home Location Register (HLR) è un database degli abbonati di un operatore, contenente il loro domicilio, l’IMSI, il numero telefonico, l’ICCID della SIM card e i servizi usati. Il Visitor Location Register (VLR) è un database di informazioni su un abbonato roaming. Un abbonato può essere in un solo HLR ma si può trovare in più VLR. La posizione corrente di un dispositivo mobile si può trovare in un VLR, che contiene anche la Temporary Mobile Subscriber Identity (TMSI), un numero generato in modo casuale e assegnato a una stazione mobile dal VLR, quando l’apparecchio viene acceso, sulla base della posizione geografica.
Si usa l’Equipment Identity Register (EIR) per tracciare numeri IMEI e stabilire se un IMEI è valido, sospetto o magari rubato. L’Authentication Center (AuC) è un database che contiene IMSI, autenticazione e algoritmi di cifratura dell’abbonato. Questo centro di autenticazione assegna all’abbonato una chiave di cifratura, con cui verranno cifrate le comunicazioni wireless fra il dispositivo mobile e la rete.
Tipi di telefoni cellulari Esistono due tipi di operatori di telefonia mobile. Un operatore di rete mobile (Mobile Network Operator, MNO) gestisce una rete cellulare di cui è proprietario. Sono MNO Verizon, TMobile/Sprint/Nextel, AT&T/Cingular (in Italia Tim, Vodafone e Wind Tre). Un operatore virtuale di rete mobile (Mobile Virtual Network Operator, MVNO) invece non possiede una propria rete cellulare ma si appoggia sulla rete di un MNO. Per esempio, Altice Mobile ha un proprio servizio cellulare ma opera sulla rete AT&T (il che significa che in un’indagine, per ottenere informazioni relative a un sospettato, saranno necessari due mandati, uno per AT&T, l’MNO, e uno per Altice Mobile, l’MVNO). Sono operatori virtuali di rete mobile, oltre ad Altice Mobile, Net10 Wireless, Consumer Cellular, H2O Wireless (per l’Italia, per esempio, PosteMobile, KenaMobile, Fastweb Mobile, BT Mobile ecc.). Evoluzione delle tecnologie di telecomunicazione wireless Le tecnologie per le telecomunicazioni cellulari comprendono 2G (seconda generazione), 3G (terza generazione), 4G (quarta generazione) e 5G (quinta generazione). È importante notare che non usiamo l’espressione “rete di telefonia cellulare”, perché le reti 3G e 4G
supportano anche servizi Internet a banda larga in mobilità. I consumatori che usano questi servizi possono operare sulle reti cellulari o con un router MiFi o con un dispositivo USB plug and play. My Wireless Fidelity (MiFi) è un router wireless portatile che consente l’accesso a Internet a molti dispositivi abilitati e comunica attraverso una rete cellulare. 4G è uno standard di telecomunicazioni wireless e supporta la trasmissione di grandi quantità di dati ad alta velocità. 4G Long Term Evolution (LTE) Advanced è un protocollo di comunicazione a banda larga ed elevata mobilità adatto per l’uso su treni e altri veicoli. Motorola Mobility, acquistata da Google nel 2011 ma poi rivenduta a Lenovo nel 2014, detiene il brevetto di questa tecnologia. Le prime implementazioni di 4G LTE sono state a Oslo in Norvegia e a Stoccolma in Svezia. 5G 5G è un protocollo di trasmissione sviluppato dal 3rd Generation Partnership Project (3GPP) che consente la trasmissione di dati, via segnali radio, a frequenze estremamente elevate (EHF), le cosiddette “onde millimetriche”. Questo nuovo protocollo consentirà la trasmissione di maggiori quantità di dati a velocità molto più elevate rispetto al 4G, il che dovrebbe rispondere alla crescita esponenziale delle trasmissioni di dati wireless; l’aumento dei dispositivi cellulari e l’Internet delle cose (Internet of Things, IoT) stanno sovraccaricando le reti. Trovate maggiori informazioni sul 5G nel Capitolo 13. L’International Telecommunication Union (ITU) è un’agenzia delle Nazioni Unite che produce standard per le tecnologie dell’informazione e delle comunicazioni. Dell’ITU fanno parte 193 membri e oltre 700 fra organizzazioni del settore privato e istituzioni accademiche.
Time Division Multiple Access (TDMA) Time Division Multiple Access (TDMA) è una metodologia di comunicazione radio che consente ai dispositivi di comunicare sulla stessa frequenza suddividendo i segnali digitali in sezioni temporali o burst. I burst sono pacchetti di dati trasmessi sulla stessa frequenza. Le reti. 2G GSM usano TDMA. Global System for Mobile Communications (GSM) Global System for Mobile Communications (GSM) è uno standard internazionale di comunicazione che usa le tecniche TDMA e FDD (Frequency Division Duplex). I telefoni cellulari GSM usano quindi i burst. GSM è uno standard creato dallo European Telecommunications Standards Institute (ETSI) e progettato principalmente da Nokia ed Ericsson. Lo standard GSM più diffuso è il 4G LTE Advanced. Le reti 3G GSM usano UMTS (Universal Mobile Telecommunications System) e WCDMA (Wide Band CDMA) per le comunicazioni. WCDMA è un metodo di trasmissione dei segnali ad alta velocità basato su CDMA e FDD. Spesso si dice che TDMA è stato il precursore del protocollo GSM, anche se queste due reti sono incompatibili. Negli Stati Uniti, T-Mobile e AT&T usano reti GSM. Gli apparecchi GSM, se non bloccati, possono essere usati sulle reti internazionali semplicemente acquistando localmente una SIM card e attivandola con un operatore locale. Questo è importante perché un sospettato potrebbe avere usato un cellulare GSM a livello internazionale, e quando la SIM card è stata sostituita ogni prova può essere andata persa. 3GP è un formato di file audio/video che si può trovare sui telefoni mobili che operano su reti cellulari 3G GSM. Questo standard è stato sviluppato dal 3rd Generation Partnership Project (3GPP), una collaborazione fra sei organismi per gli standard nelle
telecomunicazioni e un gran numero di aziende di telecomunicazioni di tutto il mondo, che si occupa della creazione di standard per le telecomunicazioni (maggiori informazioni in merito si possono trovare all’URL www.3gpp.org). Fra gli ambiti di lavoro del 3GPP vi sono, oltre a GSM, General Packet Radio Service (GPRS) ed Enhanced Data rates for GSM Evolution (EDGE). GPRS è una tecnica di comunicazione wireless a commutazione di pacchetto utilizzata nelle reti 2G e 3G GSM. EDGE è una tecnologia di trasferimento di grandi quantità di dati per le reti GSM, con una capacità di dati tre volte superiore a quella di GPRS. Universal Mobile Telecommunications System (UMTS) Universal Mobile Telecommunications System (UMTS) è uno standard per reti cellulari 3G basato su GSM e sviluppato da 3GPP. Come abbiamo già detto, i cellulari UMTS usano una smart card USIM per identificare l’abbonato su una rete. Dal punto di vista forense, una USIM può conservare più file di una SIM card. Le comunicazioni sulla rete avvengono attraverso il protocollo WCDMA a banda larga. Code Division Multiple Access (CDMA) Code Division Multiple Access (CDMA) è una tecnologia di comunicazione ad ampio spettro che usa una banda larga per la trasmissione di dati. Questa tecnologia, sviluppata da Qualcomm, non condivide i canali ma usa tecniche di multiplazione. La multiplazione è un protocollo di comunicazione grazie al quale più segnali vengono trasmessi simultaneamente su un supporto condiviso. La fibra ottica è un esempio di supporto condiviso che consente la multiplazione. CDMA2000 è una tecnologia 3G che usa il protocollo di comunicazione CDMA. Negli USA è utilizzata da Verizon e Sprint.
3GP2 è un formato di file audio/video che si trova nei telefoni che operano su reti cellulari 3G CDMA. Questo standard è stato sviluppato dal 3rd Generation Partnership Project 2 (3GPP2), una partnership fra aziende di telecomunicazioni 3G nordamericane e asiatiche che sviluppa standard per le reti di terza generazione, fra cui CDMA. Maggiori informazioni sull’attività del 3GPP2, i suoi partner e i suoi membri, si possono trovare all’URL www.3gpp2.org. Integrated Digital Enhanced Network (iDEN) Integrated Digital Enhanced Network (iDEN) è una tecnologia wireless sviluppata dalla Motorola, che combina capacità radio bidirezionale con tecnologia cellulare. iDEN si basa su TDMA. Netxtel ha introdotto il “Push-to-talk”, che usava iDEN, nel 1993. Il servizio consentiva ai suoi abbonati di usare il cellulare come un walkie-talkie (radio bidirezionale). Quando si usa il cellulare con la funzionalità Push-to-talk, non vengono utilizzate le antenne cellulari. iDEN è un protocollo proprietario, mentre la maggior parte delle grandi reti cellulari usa protocolli standard aperti.
SIM card Forensics Le due funzioni principali di una SIM card sono (a) identificare l’abbonato a una rete cellulare e (b) memorizzare dati. Abbiamo già parlato del meccanismo mediante il quale l’IMSI sulla SIM è usato per identificare un utente su una rete GSM o iDEN. Quello che forse è più importante ancora per l’investigatore è che la SIM card può conservare evidenze importanti. Una SIM è sostanzialmente una smart card dotata di processore e memoria. L’hardware di una SIM
Le dimensioni di una SIM variano a seconda del dispositivo; quelle standard misurano 25 mm × 15 mm. Gli iPhone più recenti (dall’iPhone 5 in poi) usano una nano-SIM, che misura 12,3 mm × 8,8 mm. Un Samsung Galaxy S20, per esempio, supporta sia una nano SIM sia una eSIM. Sull’esterno è stampato un numero di serie univoco, l’ICCID. L’interfaccia seriale è l’area attraverso la quale la SIM comunica con l’apparecchio (Figura 8.9).
Figura 8.9 Interfaccia seriale su una SIM card.
Il file system di una SIM Il file system gerarchico di una SIM si trova in una EEPROM (Electronically Erasable Programmable Read Only Memory, memoria di sola lettura programmabile elettronicamente cancellabile).Il sistema operativo, l’autenticazione dell’utente e gli algoritmi di cifratura si trovano nella ROM, la memoria di sola lettura della SIM. Nel file system di una SIM card vi sono tre aree principali.
1. Master File (MF): la radice del file system. 2. Dedicated Files (DF): fondamentalmente directory di file. 3. Elementary Files (EF): dove sono conservati i dati. Consideriamo i vari elementi che compaiono in queste aree. Gli Elementary Files (EF) sono i file in cui sono conservate le informazioni relative all’abbonato, che vediamo ora in dettaglio. Gli Abbreviated Dialing Numbers (ADN) contengono i nomi e i numeri dei contatti inseriti dall’abbonato. Sulla SIM, questi contatti si trovano nella cartella EF_ADN. La lista Forbidden Public Land Mobile Network (FPLMN) si riferisce alle reti cellulari a cui un utente ha cercato di connettersi, ma alle quali non era autorizzato a connettersi; questi dati si trovano in EF_FPLMN. (Con il termine Public Land Mobile Network, PLMN si indica una combinazione di servizi di comunicazione wireless offerti da un operatore specifico.) Questi dati possono essere utili agli investigatori che vogliono scoprire dove si trovava una persona indagata, anche se questa non è riuscita a connettersi a una rete. Last Numbers Dialed (LND) è una lista di tutte le chiamate in uscita effettuate dall’abbonato; queste informazioni sono contenute nella cartella EF_LND. La cartella EF_LOCI contiene l’identità temporanea dell’abbonato (Temporary Mobile Subscriber Identity, TMSI), che viene assegnata dal Visitor Location Register (VLR). La TMSI rappresenta la posizione in cui si trovava l’apparecchio l’ultima volta che è stato spento; è lunga quattro ottetti e non risulterà comprensibile per l’investigatore. Questi però può contattare il gestore telefonico per avere un aiuto nell’individuare la posizione rappresentata dalla TMSI.
Per facilità di consultazione, di seguito sono riportati gli acronimi degli elementi di un file system di SIM card: : Abbreviated Dialing Numbers (ADN). EF_FPLMN: Forbidden Public Land Mobile Network (FPLMN). EF_LND: Last Numbers Dialed (LND). EF_ADN
: l’area in cui il telefono è stato spento l’ultima volta. EF_SMS: Short Message Service (SMS). EF_LOCI
La Figura 8.10 mostra la struttura di directory della SIM.
Figura 8.10 Struttura di directory di una SIM card.
Accesso alla SIM Avere accesso ai dati su una SIM è problematico, se è stata protetta con un PIN. Un PIN per una SIM di solito è un numero di quattro cifre (ma può anche arrivare a otto). Un investigatore avrà a disposizione tre tentativi per inserire il PIN corretto; dopo il terzo tentativo a vuoto, la
SIM viene bloccata. A quel punto è necessario inserire un PUK (PIN Unblocking Key) o un PUC (Personal Unblocking Code) per sbloccarla. (I termini PUK e PUC indicano tecnicamente la stessa cosa.) L’investigatore può richiedere un PUC dal gestore per poter rimuovere la protezione del PIN dalla SIM. Il numero dei tentativi consentiti per l’inserimento del PIN varia, ma al massimo dopo 5-10 inserimenti errati la SIM card viene bloccata permanentemente. NOTA Un utente può modificare online il proprio PUK, nel qual caso un investigatore non sarà in grado di accedere ai contenuti della SIM senza la cooperazione dell’abbonato.
Clonazione di una SIM card Come si fa per i dischi rigidi, spesso l’investigatore deciderà di clonare una SIM card, così da poter esaminare la copia e non l’originale (che è sempre una buona pratica). La maggior parte degli strumenti di Cellphone Forensic consente la clonazione di una SIM card.
Tipi di evidenze La tipologia delle evidenze che si possono ottenere da un telefono cellulare è molto diversa da quella delle evidenze che si acquisiscono da un laptop o da un desktop. Una delle differenze principali è l’esistenza di messaggi SMS, MMS e RCS, che analizziamo nelle sezioni seguenti. Short Message Service (SMS) Short Message Service (SMS) è un servizio di comunicazione basato su messaggi di testo presente nei dispositivi mobili. Questi messaggi si
possono trovare nella memoria di un apparecchio mobile o nella sua SIM card. Gli SMS sono conservati principalmente sull’apparecchio; se si trovano nella SIM, però, possono essere trovati nel file DF_TELECOM. Un investigatore può stabilire se un SMS è stato letto, cancellato, non letto, inviato o revocato, poiché queste informazioni sono date da un flag di stato. Il valore (un byte) del flag cambia a seconda dello stato del messaggio. La Tabella 8.1 mostra i valori del flag di stato e ne riporta il significato. Tabella 8.1 Flag di stato degli SMS. Valore del flag di stato (binario)
Descrizione
00000000
Messaggio cancellato
00000001
Messaggio letto
00000011
Messaggio segnato come non letto
00000101
Messaggio inviato
00000111
Messaggio revocato
Se si legge il messaggio di testo con un hex editor, un messaggio segnato come non letto inizierà con 11, un messaggio cancellato inizierà con 00 e così via. Multimedia Messaging Service (MMS) Multimedia Messaging Service (MMS) è un servizio di messaggistica, presente sulla maggior parte dei telefoni cellulari, che consente all’utente di inviare contenuti multimediali (audio, video, immagini). Con uno strumento di Cellphone Forensics, l’investigatore può estrarre questi contenuti multimediali dai messaggi dell’utente. Rich Communication Services (RCS) Rich Communication Services (RCS) è uno standard avanzato di messaggistica che vuole essere una soluzione per dispositivi mobili, indipendente dalla piattaforma, per SMS, MMS e altre forme di
comunicazione. Questo standard è supportato dai produttori di smartphone, dalle società di telecomunicazione e da altre aziende, fra cui anche Google. A volte RCS è definito semplicemente “Chat”. L’idea è che RCS amplii le capacità degli SMS tradizionali e inglobi le funzionalità di altre app di messaggistica come WhatsApp, iMessage ecc. RCS sarà disponibile attraverso l’app Android Messages. Gli investigatori forensi devono avere ben chiaro che Chat (RCS) (1) si sta diffondendo sempre più, (2) è un protocollo e non una app, (3) non supporta la cifratura end-to-end come Signal o iMessage e (4) mantiene gli stessi standard legali per le intercettazioni che hanno gli SMS.
Specifiche degli apparecchi Una conoscenza dell’hardware dei cellulari sarà utile a un investigatore, per sapere come rendere sicuro un apparecchio dopo il sequestro. Come abbiamo già detto, si può cercare online l’identificativo FCC-ID del dispositivo per identificarne le caratteristiche.
Memoria e capacità di elaborazione I cellulari contengono un microprocessore, ROM (memoria di sola lettura) e RAM (memoria ad accesso casuale). È raro che negli smartphone di oggi si trovino schede Secure Digital, in particolare le microSD, ma un investigatore deve sempre verificare se esistano schede di memoria rimovibili, in particolare con i telefoni meno recenti. Le schede di memoria possono contenere i dati seguenti: fotografie; video; app; mappe.
La maggior parte degli smartphone attuali non contiene una SD rimovibile, ma usa una Embedded Multimedia Card (eMMC) interna. Questo tipo di memoria usa un file system FAT32. Molti tablet hanno ancora la possibilità di aumentare la memoria con una scheda SD.
Batteria Le batterie dei cellulari sono di quattro tipi principalmente: (a) a ioni di litio (Li-ion), (b) a polimeri di litio (Li-Poly), (c) al nichel cadmio (NiCd) e (d) al nichel-idruro di metallo(NiMH). iPhone e BlackBerry Curve, per esempio, usano batterie agli ioni di litio, che sono più leggere rispetto ad altri tipi.
Altro hardware Le caratteristiche dei cellulari variano da modello a modello, ma in genere tutti hanno un modulo radio, un processore di segnali digitali, un display a cristalli liquidi (LCD), un microfono e un altoparlante. Alcuni modelli hanno anche una tastiera incorporata. Accelerometro e sensori Un altro componente che si trova spesso nei cellulari di oggi è un accelerometro. Si tratta di un dispositivo sensibile alle variazioni di movimento e alla gravità. Un accelerometro misura le variazioni di velocità rispetto a un asse; nel caso di un iPhone, rispetto a tre assi. Un accelerometro facilita la rotazione della visualizzazione sullo schermo quando il dispositivo viene ruotato o capovolto. Inoltre, l’accelerometro è usato per arricchire l’esperienza di un giocatore, consentendo all’utente di girarsi e spostarsi in un gioco modificando l’angolazione del dispositivo. L’accelerometro si è diffuso da quando è stato integrato negli iPad e iPhone. Uno sviluppatore iOS può accedere
ai dati di un accelometro utilizzando il framework Core Motion, più specificamente la classe CMMotionManager. Dal punto di vista forense, l’accesso a questo tipo di dati può essere estremamente utile in certi tipi di casi. In un iPhone esistono anche sensori che misurano gas, tensione, temperatura, luce, magnetismo e vibrazioni. Con l’introduzione di un recente exploit per l’iPhone e la possibilità di acquisire un intero file system, è stato possibile capire meglio l’uso dei sensori e di quale utilità possono essere nelle indagini. Maggiori informazioni in proposito si possono trovare nel Capitolo 11. Fotocamera La maggior parte dei cellulari di oggi è dotata di una fotocamera digitale, in grado di scattare fotografie e registrare video. La maggior parte degli smartphone ha funzionalità che consentono all’utente di scattare una foto e di caricarla rapidamente in un social network come Facebook, oppure di registrare un video e di caricarlo direttamente su siti come YouTube. Molti smartphone incorporano nelle immagini riprese anche le informazioni su latitudine e longitudine del luogo. La maggior parte dei cellulari Android lo fa per impostazione predefinita..
Sistemi operativi per il mobile Come abbiamo notato in capitoli precedenti, il compito di un sistema operativo (OS) è gestire le risorse di un dispositivo elettronico, di solito un computer. Dal punto di vista della Computer Forensics la conoscenza di un sistema operativo aiuta l’investigatore a capire quali tipi di evidenze può recuperare, gli strumenti necessari per recuperarle e da dove estrarle. Il problema, nel caso dei dispositivi mobili, è che il numero dei sistemi operativi esistenti è molto maggiore rispetto a quello dei computer tradizionali.
Android Android è un sistema operativo open source basato sul kernel Linux 2.6. Nel 2005, Google ha acquisito Android, che è mantenuto dalla Open Handset Alliance (OHA), un gruppo collaborativo di aziende di telecomunicazioni, produttori di telefonia, semiconduttori e aziende di software. Il sistema operativo Android si può trovare installato su smartphone, tablet e molti altri apparecchi di elettronica di consumo. Si trovano smartphone che lavorano con la piattaforma Android su reti GSM, CDMA e iDEN. I telefoni Android hanno funzionalità molto ampie, grazie alle molte app scaricabili da Google Play. Questa ricchezza di funzionalità però ha un costo, in termini di durata della batteria, una cosa di cui gli investigatori devono essere consapevoli. Bisogna anche ricordare che anche un tablet può avere capacità cellulari. Usano il sistema operativo Android molti tablet, fra gli altri i Galaxy Tab Samsung, ed eReader come i Kindle di Amazon. Android ha un’ampia diffusione anche nel settore dell’auto. La Shanghai Automotive Industry Corporation (SAIC) ha integrato Android nei suoi sistemi di intrattenimento; Audi, Ford Motor Company, Renault, General Motors e molte altre case automobilistiche hanno fatto lo stesso. Il Nevada Department of Vehicles ha approvato Android per l’uso sulle auto a guida autonoma. Android Auto Android Auto è un sistema che viene integrato nel cruscotto di un veicolo o viene eseguito da uno smartphone Android. Supporta un’ampia gamma di applicazioni, fra cui Google Assistant, l’assistente vocale basato su intelligenza artificiale. Google Assistant, attraverso Android Auto, consente all’utente di navigare con comandi vocali con
Google Maps e Waze. Chi guida può usare anche le opzioni di comunicazione “hands-free” delle chiamate cellulari e per WhatsApp, Kik, Telegram, WeChat, Hangouts, Skype, Webex e altre applicazioni. L’utente può anche riprodurre musica con le app supportate, come Spotify, Pandora e Google Play Music. Al momento in cui scriviamo, sono più di 500 i modelli di automobili che supportano Android Auto. Android si può trovare anche in elettrodomestici, per esempio forni, il cui comportamento può essere controllato da ricette su un tablet. Android è stato integrato in frigoriferi, che possono effettuare la scansione del codice a barre sulle etichette dei cibi e controllare la data di scadenza dei prodotti; possono assistere i consumatori con un’applicazione per le diete e possono aiutare a compilare la lista della spesa. Esistono condizionatori dell’aria che incorporano il sistema operativo Android e consentono il controllo da remoto; lo stesso vale per lavatrici e asciugatrici. La diffusione di dispositivi IoT (Internet of Things), fra cui elettrodomestici, termometri, televisori, altoparlanti intelligenti e così via, ha contribuito alla creazione di un ecosistema Android. Il file system Android In un dispositivo Android si trovano due tipi di memoria: RAM e NAND. Come in un tradizionale computer, la RAM è memoria volatile e può contenere dati come le password dell’utente. La NAND invece è memoria flash non volatile. Una “pagina” o un “blocco” di NAND può comprendere da 512 a 2048 K. Android supporta vari file system, fra cui EXT4, FAT32 e YAFFS2 (Yet Another Flash File System 2). Il file system EXT4 si trova su molti dispositivi Android e ha soppiantato il sistema YAFFS2, un sistema open source che era stato sviluppato per le memorie flash NAND. Un analista forense attualmente deve scaricare il codice sorgente YAFFS2 ed esaminare i file con un editor esadecimale.
Sui dispositivi Android si può trovare anche il file system FAT32 di Microsoft. Questo file system si trova su schede microSD, comuni in molti apparecchi Android. Il driver Linux per il file system FAT32 si chiama VFAT. Spesso le app Android vengono eseguite dalla scheda microSD. Le evidenze più utili, nel caso dei dispositivi Android, si trovano nelle librerie e in particolare nei database SQLite, uno standard open source per database relazionali, molto frequente sui dispositivi mobili. Lo sviluppo e la manutenzione di SQLite sono sponsorizzati dal SQLite Consortium, di cui fanno parte Oracle, Nokia, Mozilla, Adobe e Bloomberg. Partizioni Android Ciascun produttore di apparecchi Android può apportare proprie modifiche, ma quelle che seguono sono alcune delle partizioni comuni che un investigatore incontrerà su un dispositivo Android. contiene il codice di avvio per il dispositivo. Comprende il kernel e il disco RAM. mkbootimg è uno strumento Linux da riga di /boot:
comando per sviluppatori, che permette di creare una nuova immagine del boot. È possibile accedere alla partizione di boot premendo determinati tasti (variabili a seconda del dispositivo). /system: contiene il framework Android. /recovery: conserva l’immagine per il ripristino. /cache: conserva dati temporanei. /misc: utilizzata dalla partizione di ripristino. /userdata: contiene le app installate dall’utente e i dati relativi. Questa è la partizione più importante, dal punto di vista forense, perché contiene tutta l’attività dell’utente associata con le applicazioni (per esempio, Facebook).
/metadata:
utilizzata quando il dispositivo è cifrato.
Su un dispositivo Android esistono anche varie partizioni di dati. : (Dalvik executable file) eseguiti. Applications: file package .apk di applicazioni Android. Data: sottodirectory per ciascuna abbicazione con database SQLite. Dalvik Cache .dex
: DHCP, Wi-Fi ecc. System: packages.xml. Misc
Quando si comincia a esaminare un dispositivo Android, è utile identificare quali app siano installate. Un buon punto di inizio è packages.list (data\system\packages.list), che permette di vedere le app installate. Samsung Galaxy Apple fa la parte del leone nel mercato dei tablet, ma il Samsung Galaxy è lo smartphone più venduto al mondo. Meno di un mese dopo la sua comparsa sul mercato, le vendite del Galaxy S4 hanno superato la soglia dei 10 milioni di unità, che corrispondono a quattro unità vendute ogni secondo. Il Galaxy S4 comprendeva una funzionalità denominata Dual Shot, che consentiva all’utente di scattare una fotografia simultaneamente con la fotocamera anteriore e quella posteriore del dispositivo. La primavera del 2014 ha visto il rilascio del Samsung S5. La cosa che colpisce di più di questo apparecchio è la sua fotocamera da 16 megapixel con capacità di registrazione video 4K UHD. Il dispositivo è stato dotato anche di uno scanner di impronte digitali, che può dare problemi di accessibilità agli investigatori. Il dispositivo ha anche un monitor delle pulsazioni cardiache, che può contribuire alla personalizzazione e a dimostrare il possesso dello smartphone. Come il
predecessore, anche questo apparecchio si può sincronizzare con uno smart watch, denominato Gear 2 Neo. Nell’agosto 2019, la Samsung ha rilasciato il suo Galaxy Note 10/+ e nel 2020 il Galaxy S20/+. La commercializzazione del Samsung Galaxy Fold è iniziata nel 2019 e ne sono state vendute milioni di unità. Questo dispositivo ha uno schermo ripiegabile. Sfide per la Mobile Forensics e ammissibilità delle prove Ottenere l’accesso alle evidenze sul dispositivo di un sospettato è un grande sfida, visti i perfezionamenti delle tecniche crittografiche. È importante comunque tenere presenti le differenze fra Mobile e Computer Forensics, per quanto riguarda l’ammissibilità delle prove. In primo luogo, i perfezionamenti della crittografia fanno sì che l’unica strada percorribile per l’investigatore sia l’uso di tecniche sperimentali e queste possono non essere documentate in casi precedenti. In secondo luogo, la Forensics è una scienza, il che significa che esperimenti e risultati devono essere ripetibili. È possibile avere un colpo di fortuna una volta nell’accesso ai dati su un dispositivo, ma che quella tecnica non sia ripetibile. Per esempio, quando si arriva in tribunale, è possibile che nel frattempo Apple o Android abbiano eliminato una vulnerabilità che l’investigatore aveva sfruttato per accedere ai dati. Un dispositivo, poi, può diventare inutilizzabile dopo che sono stati effettuati determinati tipi di esami forensi, fra cui il chip-off. Per un investigatore è importante avere chiari i rischi associati a tecniche sperimentali e invasive associate con i dispositivi mobili. Per aggirare la cifratura, spesso bisogna distruggere il dispositivo, in modo irreparabile, per accedere ai dati. Anche in tal caso è possibile che non si riescano a recuperare i dati dell’utente. L’accusa deve essere
consapevole di questi rischi, prima di procedere all’esame di un dispositivo mobile. Un esame di Computer Forensics spesso comporta la creazione dell’immagine di una unità di memoria, smontata dal computer, con un write blocker usato per garantire l’integrità. In generale si crea un hash MD5 dell’unità disco e poi si crea una seconda copia con un MD5 corrispondente. Tuttavia, nel caso di un dispositivo mobile non è possibile seguire questi passi e questi protocolli: normalmente bisognerà eseguire l’analisi forense su un intero sistema e può darsi che non si possa separare il disco durante un esame. Inoltre, i writer blocker in genere non sono utilizzabili. Creare poi due copie del volume e ottenere due hash MD5 corrispondenti è improbabile. Evidenze da Android Ci sono cinque modi per estrarre evidenze da uno smartphone Android: 1. 2. 3. 4. 5.
logico (utilizzando hardware/software); fisico (utilizzando hardware/software); Joint Test Action Group (JTAG); chip-off; In-System Programming (ISP).
Alcuni software di Mobile Forensics supportano l’acquisizione logica di uno smartphone, il che significa che possono essere recuperati solo i dati dell’utente e non i file di sistema. Nel caso ottimale, l’investigatore acquisirà, ove possibile, un’immagine fisica. Per recuperare i file dell’utente in un cellulare Android, bisogna accedere alla partizione Data, mediante rooting del dispositivo. Joint Test Action Group (JTAG) è uno standard IEEE (IEEE 1149.1) per testare, manutenere e supportare piastre circuitali assemblate. JTAG
è diventato sempre più importante come mezzo per aggirare sicurezza e cifratura su uno smartphone, per ottenere un dump fisico dei dati del dispositivo. La RIFF Box nella Figura 8.11 permette di acquisire i dati dalla piastra circuitale sul cellulare. Si può ottenere un dump completo della memoria NAND, estraendo i contenuti della eMMC. I connettori vengono saldati con grande attenzione alle punte JTAG sulla piastra circuitale. Si può applicare una tensione alla piastra circuitale utilizzando una batteria per cellulare, poi la si può tenere sotto controllo con un voltmetro.
Figura 8.11 Acquisizione JTAG con una RIFF Box.
Chip-off
Quando non si possono usare strumenti di Mobile Forensics, come Cellebrite UFED, la soluzione successiva da tentare è JTAG. L’ultima spiaggia per l’investigatore, quando tutto il resto fallisce, è il chip-off. Pochissimi laboratori di Computer Forensics lo applicano, per i costi elevati che comporta e per le competenze che richiede, tutte cose che creano una significativa barriera all’ingresso. Questo metodo, inoltre, non sempre ha successo. Si può usare il metodo del chip-off per aggirare la cifratura su molte piastre circuitali diverse o per accedere ai dati su un chip quando la piastra circuitale stampata è stata danneggiata. Il chip può essere rimosso dalla piastra applicando aria calda o raggi infrarossi ai pin saldati. Poi il chip può essere applicato a un adattatore (Figura 8.12) e lo si può leggere.
Figura 8.12 Adattatori di chip.
In-System Programming (ISP) In-System Programming (ISP), nella Digital Forensics, è la pratica di connettere un chip di memoria flash eMMC o eMCP per accedere ai file memorizzati sul chip. Questo è molto meno invasivo del metodo chip-off, poiché non è necessario rimuovere il chip dalla piastra a circuiti stampati (PCB) poiché i file sono collegati alle connessioni che sporgono dal chip. Modalità Emergency Download (EDL) La modalità Emergency Download (EDL) è una funzionalità tecnica di ripristino che si trova sui dispositivi Android con chipset Qualcomm. Durante il processo di boot, se vengono rilevati errori o guasti, il dispositivo si avvia in EDL. Cosa ancora più importante, questa modalità può essere utilizzata per accedere a un dispositivo Android e creare un’immagine forense, se il dispositivo supporta questa modalità. Se il dispositivo non è cifrato, normalmente si può leggere direttamente dal chip eMMC. Se il dispositivo Android è cifrato, si può usare la modalità EDL per modificare il bootloader, così che aggiri la verifica di integrità su un’immagine di boot, che mantiene una shell ADB rooted. ADB (Android Debug Bridge) è una utility a riga di comando che, se abilitata su un apparecchio Android, consente al dispositivo di ricevere istruzioni da un computer, attraverso un cavo USB. Un bootloader è un programma che viene eseguito automaticamente quando un dispositivo è alimentato e attiva il sistema operativo. Esistono vari modi per accedere alla modalità EDL e nessuno funziona per tutti i dispositivi. Fra i metodi per accedere a EDL vi sono i seguenti. Uso di un cavo specializzato (o cavo EDL). Cortocircuitare i pin sulla piastra PCB. Combinazioni di pulsanti sul dispositivo.
L’uso di un cavo EDL è il meno invasivo. Il cavo contiene un commutatore, che cortocircuita un pin di dati, per forzare il dispositivo alla modalità EDL. Questi cavi sono relativamente poco costosi, ma si può anche costruirne uno con un cavo USB. Si può poi verificare se il dispositivo è in modalità EDL cercando dispositivi Qualcomm in Windows Device Manager. Un’acquisizione mediante EDL può essere utile se lo schermo del dispositivo è bloccato, il debugging USB è disabilitato, il dispositivo non è rooted, le tecniche di In-System Programming (ISP) o di chip-off non sono possibili (o non sono un metodo preferito), o se non esiste uno strumento di livello forense (la soluzione professionale). Se il cavo EDL non riesce a forzare il dispositivo in modalità EDL, potete provare un altro metodo, cortocircuitare due pin sulla piastra PCB. La seconda opzione può comportare il cortocircuitare il pin CMD sulla PCB ma verificate online per stabilire il metodo più appropriato per lo specifico dispositivo Android. Esistono diversi siti web, come alephsecurity.com, che forniscono informazioni sugli exploit con programmatori EDL Qualcomm. Tuttavia, non tutti i dispositivi hanno porte di test, il che significa che potreste aver bisogno di usare un’altra opzione. Se il dispositivo è acceso, è possibile sbloccarlo e abilitare ADB, poi si può semplicemente inviargli il comando adb reboot edl. Il dispositivo verrà riavviato in modalità EDL. Infine, c’è un numero limitato di dispositivi per i quali si può usare una combinazione di pulsanti per accedere alla modalità EDL. Per esempio, su alcuni si può accedere alla modalità EDL premendo simultaneamente i pulsanti + e – del volume audio. Sicurezza Android
Esistono vari modi con i quali un utente può rendere sicuro il proprio smartphone Android. Protezione con PIN: un codice numerico. Password: una password alfanumerica. Schema di blocco: si usa un dito per bloccare il telefono con i gesti (movimento di trascinamento). Tecnica biometrica: potrebbe essere la scansione dell’iride o della retina, oppure il riconoscimento facciale. Lo schema di lock è un gesto. L’utente trascina il dito su una griglia 3 × 3 (9 punti) sullo schermo dello smartphone e non può effettuare il trascinamento su ciascun punto più di una volta. Questo significa che non è molto difficile indovinare il gesto dell’utente. Lo schema si può trovare in gesture.key. Il valore esadecimale a 20 byte, che si trova in , può essere inserito in uno strumento gratuito prodotto da NowSecure, chiamato viaExtract, per stabilire quale sia lo schema. Il percorso per questo gesto si può trovare in data/system/gesture.key. Il file gesture.key
è cifrato con un algoritmo di hash SHA-1. La protezione con password può essere la più difficile da violare. Il file in cui è memorizzata la password è data/system/pc.key. Un investigatore può cercare di violare la password con un attacco a forza bruta o a dizionario. Un PIN per un dispositivo Android ha un massimo di otto cifre. Se l’utente inserisce più volte un PIN errato, poi deve inserire login e password di Gmail. Strumenti forensi per Android Esistono molti strumenti forensi per Android. NowSecure è un’organizzazione che ne produce diversi, gratuiti. Santoku è uno di questi strumenti, che consente all’esaminatore di creare un’immagine di
un Android. L’azienda produce anche AFLogical, che esegue un’acquisizione logica di Android 1.5 o successivi. I dati acquisiti vengono memorizzati su una SD card vuota. Andriller è una suite forense di strumenti per dispositivi Android. Lo strumento può essere usato per violare codici PIN, password e schemi di blocco, così come per estrarre dati delle app mobili. È disponibile per Windows PC e Ubuntu Linux. Come altri strumenti forensi per Android, per poter estrarre file sul dispositivo deve essere abilitato il debugging USB. L’abilitazione del debugging USB consente a un computer di comunicare con un dispositivo Android attraverso un cavo USB. La posizione varierà, a seconda del dispositivo, ma dovrebbe essere possibile abilitare questa funzione accedendo alle schermate seguenti: Settings > Developer Options > USB Debugging
Android Debug Bridge (ADB) è una utility a riga di comando che consente all’utente di inviare richieste da un computer a un dispositivo Android. ADB fa parte del pacchetto Android Platform-Tools, disponibile gratuitamente su developer.android.com. Poi si può usare con ADB utility come BusyBox e nanddump, per estrarre un’immagine della memoria. Qualsiasi strumento decidiate di usare, dovrete avere accesso root al dispositivo per accedere ai file dell’utente o per crearne un’immagine. Per ottenere privilegi di root bisogna usare un exploit, che è quello che usano strumenti come Cellebrite UFED. Un exploit spesso è specifico per una marca, un modello e una versione di Android. Un exploit è un piccolo pezzo di codice. È importante ricordare che un exploit, utilizzato per ottenere la root di un dispositivo Android, modificherà il dispositivo, il che poi dovrà essere spiegato in tribunale. I cambiamenti però saranno relativamente piccoli e potranno essere individuati. Un exploit sfrutta una vulnerabilità nota in un sistema operativo. Alcuni
exploit possono essere usati quando si effettua il boot in Recovery Mode. ClockwordMod è uno strumento di recovery che può consentire all’investigatore di accedere ai dati sul dispositivo. Magnet ACQUIRE è uno strumento gratuito (magnetforensics.com) che consente a un investigatore di acquisire un’immagine di un dispositivo iOS, un dispositivo mobile Android, un disco rigido o supporti rimovibili. Risorse per Android Gli investigatori che si imbattono in dispositivi Android possono trovare online molte risorse eccellenti, tra le quali le seguenti. ALEAPP – Android Logs Events and Protobuf Parser: github.com/abrignoni/ALEAPP. Magnet Forensics, che produce AXIOM: www.magnetforensics.com. Cellebrite UFED: www.cellebrite.com/en/blog.
Applicazioni (app) Android Le app per Android sono sviluppate in Java e hanno estensione di file .apk. Perché un’applicazione Android possa essere accettata da Google Play, deve avere associato un certificato firmato. Le applicazioni vengono eseguite in una Dalvik Virtual Machine (DVM) e hanno un ID utente e un processo univoci, il che mette in atto la sicurezza dell’app e impedisce la condivisione dei dati con altre app. Quello che è utile per l’investigatore è che nel dispositivo sono memorizzate data e ora di quando un’app viene eseguita. È lo sviluppatore che decide quali dati vengano condivisi, perciò i dati che l’esaminatore può recuperare non vanno oltre quello che lo sviluppatore ha reso disponibile.
Lo sviluppatore ha quattro possibilità per la memorizzazione dei dati: 1. 2. 3. 4.
preferenze; file; database SQLite; cloud.
I database SQLite possono essere un’ottima fonte di evidenze per l’investigatore. Per recuperare dati da questi database relazionali si possono usare vari strumenti, fra cui: SQLite Database Browser; SQLite Viewer; SQLite Analyzer. Ogni volta che un utente Android passa accanto a un hotspot Wi-Fi, quell’hotspot viene registrato sul dispositivo, indipendentemente dal fatto che l’utente abbia tentato di connettersi a quel dispositivo oppure no. Queste informazioni possono essere recuperate da Cache.wifi sul dispositivo mobile. I dati recuperati da questo file possono essere usati per scoprire i movimenti dell’utente. Facebook è una delle app più diffuse sugli smartphone. È importante sapere che quasi tutte le informazioni memorizzate nel profilo online di un utente si possono trovare nel suo smartphone o tablet. Fb.db è il database SQLite che contiene i contatti Facebook di un utente, i log delle chat, i messaggi, le fotografie e le ricerche. Login e password per Exchange si possono trovare in chiaro nel percorso seguente: /data/data/com.android.email/databases/EmailProvider.db
Anche login e password di Gmail si possono trovare in chiaro in com.google.android.gm.
Gli smartphone Android sono dotati di Google Maps e una cronologia delle ricerche salvate si può trovare in: /data/data/com.google.android.apps.maps/databases/search_history.db
Ovviamente esistono anche i dati del telefono cellulare. SMS e MMS si possono trovare in /data/data/com.android.providers.telephony. Questo file conterrà mittente, destinatario, stato di lettura, immagini e file audio/video. Gli MMS specificamente si possono trovare in /data/data/com.android.mms. Magnet Forensics App Simulator è uno strumento gratuito che consente all’investigatore forense di emulare un’app in un ambiente virtualizzato. Prima di scaricare lo strumento (da magnetforensics.com), semplicemente si installa Oracle VirtualBox e poi si installa una Android VM.
Symbian OS Symbian è un sistema operativo per dispositivi mobili sviluppato da Nokia (poi acquisita da Accenture). Agli inizi del 2012, Symbian era il sistema operativo più diffuso, nonostante la grande quota di mercato di Android. Symbian si poteva trovare sugli apparecchi di Nokia, Sony Ericsson, Samsung e Hitachi, fra gli altri. Oggi è stato abbandonato, ma non è escluso che un investigatore possa ancora imbattersi in qualche vecchio apparecchio dotato di questo sistema operativo.
BlackBerry 10 RIM OS era il sistema operativo, sviluppato da Research in Motion, per gli smartphone e tablet BlackBerry. In seguito è diventato il BlackBerry OS (ora open source), poi sostituito da BlackBerry 10. Alcuni modelli BlackBerry supportano un runtime Android che può eseguire e supportare app Android. Non sappiamo per quanto tempo il
sistema operativo BlackBerry 10 continuerà a essere supportato, ma è possibile che nel corso di un’indagine ci si imbatta ancora in qualcuno di questi dispositivi. Nel febbraio 2020, la TLC Communication ha annunciato la fine della partnership con BlackBerry e che avrebbe smesso di produrre gli apparecchi ma avrebbe continuato a supportare i clienti che avevano sottoscritto contratti di servizio fino al 2022. La TCL produce BlackBerry KEYonne Motion, KEY2 e KEY2 LE.
Windows Phone Windows 10 Mobile era un sistema operativo Microsoft che si poteva trovare su personal computer, telefoni cellulari (prodotti da HTC, Samsung, Nokia e altri) e tablet.
Procedure operative standard per gestire prove da mobile Per i laboratori e gli investigatori è importante usare buone pratiche per l’esame dei cellulari. Per fortuna esistono linee guida che si possono usare come base per le procedure operative standard di laboratorio. Queste procedure varieranno da laboratorio a laboratorio, principalmente per le diverse disponibilità finanziarie delle organizzazioni, che a loro volta incidono sulle risorse (apparecchiature, personale, training ecc.) che ciascun laboratorio può avere a disposizione.
National Institute of Standards and Technology (NIST) Il NIST pubblica procedure operative standard per varie pratiche scientifiche, fra cui anche la Cellphone Forensics. La NIST Special
Publication 800-101 ha presentato linee guida per la Cellphone Forensics nel 2014. Il NIST è un’organizzazione molto apprezzata e gli investigatori è bene conoscano queste linee guida (non risulta una versione più recente di quella del 2014), che prevedono quattro passi in un esame forense: 1. 2. 3. 4.
preservazione: acquisizione; esame e analisi; reporting.
È importante tenere presenti queste linee guida nel trattare le prove da mobile. La preservazione riguarda anche altri tipi di esami forensi per un dispositivo mobile e prevede anche la preservazione delle impronte digitali e di eventuali tracce di DNA. Certo questa è una buona pratica ma, in realtà, molte agenzie non hanno le risorse per condurre queste analisi. Il documento è molto istruttivo, con le sue spiegazioni dei vari concetti della Mobile Forensics e dell’identificazione dei dispositivi. Per chi sia interessato alla Mobile Forensics ma vi si avvicini per la prima volta, è quindi una lettura consigliata. Risorse del NIST per la validazione degli strumenti Il primo punto da osservare è che, come tutti gli altri strumenti forensi in un laboratorio di Computer Forensics, anche quelli relativi ai dispositivi mobili devono essere validati, prima di essere usati nelle indagini. È essenziale usare dati di test e seguire un insieme di protocolli investigativi per stabilire quali dati possono essere estratti. Devono essere condotti confronti con altri strumenti per i cellulari. Non è raro che in tribunale vengano poste domande in merito a questo processo di validazione. Fa parte della validazione anche l’uso di hash
crittografici, come MD5, SHA-1 o SHA-256, per essere sicuri che i risultati dell’uso di un particolare strumento possano essere riprodotti ottenendo lo stesso risultato. Durante il processo di validazione devono essere chiaramente documentati i tassi di errore. Il NIST fornisce agli esaminatori forensi ottime risorse che sono di aiuto nel test degli strumenti. Il progetto Computer Forensics Tool Testing (CFTT) offre linee guida per il test di strumenti di Computer Forensics, che comprendono criteri di test, set di test e hardware di test. Trovate maggiori informazioni all’URL http://www.cftt.nist.gov/. La National Software Reference Library (NSRL) fornisce una guida per l’uso efficace della tecnologia nelle indagini che richiedono l’esame di evidenze digitali. Trovate maggiori informazioni all’URL http://www.nsrl.nist.gov/. Il NIST mette a disposizione dataset di evidenze digitali per i test. I Computer Forensic Reference Data Sets (CFReDS) per le evidenze digitali sono dati di test che possono essere usati per validare strumenti forensi, sottoporre a test le apparecchiature e formare gli investigatori. Trovate maggiori informazioni all’URL http://www.cfreds.nist.gov/. Gli investigatori di Computer Forensics devono conoscere anche il report NIJ dello US Department of Justice, Electronic Crime Scene Investigation: A Guide for First Responders, che è una guida generale alle indagini di Computer Forensics. La Association of Chief Police Officers (ACPO) e altri organismi hanno sottolineato quanto sia importante che le prove non risultino modificate dopo essere state sottoposte a un esame. Secondo l’ACPO, “Nessuna azione compiuta dagli investigatori deve modificare i dati contenuti nei dispositivi digitali o nei supporti di memoria su cui si possa in seguito fare affidamento in tribunale”. Nella Mobile Forensics esiste un problema fondamentale. I dispositivi mobili in generale hanno una minore capacità di memoria
incorporata, perciò l’utilizzo e la compressione della memoria sono essenziali. Se a questo si aggiunge il fatto che questi dispositivi sono connessi continuamente a una rete cellulare, se ne ricava la conclusione che i dati in un telefono cellulare cambiano continuamente. Quando un esaminatore di Computer Forensics cerca di estrarre prove da un cellulare, è possibile che il dispositivo subisca dei cambiamenti. Ciò che è importante è ricordare che i dati creati dall’utente possono rimanere inalterati, se si usano buone pratiche. Perciò le prove sono ammissibili quando il processo è documentato opportunamente. Alcuni investigatori sostengono ancora che la “Mobile Forensics” non esiste e che esistono solo “esami su dispositivi mobili”. Preparazione e contenimento Il contenimento di un telefono cellulare deve essere un processo da svolgere con grande cura ma rapido. Secondo le linee guida dello U.S. Department of Justice, contenute nel testo Electronic Crime Scene Investigation – A Guide for First Responders, devono essere seguiti i passi qui elencati. 1. Messa al sicuro e valutazione della scena: Bisogna adottare ogni misura per garantire la sicurezza delle persone e per identificare e proteggere l’integrità di potenziali prove. 2. Documentazione della scena. Creare una documentazione permanente della scena, registrando accuratamente sia le prove collegate al digitale sia quelle di natura convenzionale. 3. Raccolta delle prove. Bisogna raccogliere le prove, tradizionali e digitali, in modo da mantenerne inalterato il valore probatorio. 4. Impacchettamento, trasporto e immagazzinamento. È necessario prendere precauzioni adeguate, quando si impacchettano, si trasportano e si immagazzinano prove, mantenendo la catena di custodia.
Pertanto, per prima cosa l’investigatore deve documentare la scena del crimine, prendendo appunti e scattando fotografie. Poi deve provvedere all’opportuno contenimento del cellulare, il che significa rimuovere il dispositivo dalla rete. Per disconnetterlo dalle reti wireless si possono usare i contenitori seguenti: gabbie di Faraday; buste Paraben StrongHold (vedi Figura 8.13); contenitori metallici per incendi. Una cosa interessante è che si può impedire che un cellulare si connetta con qualche rete, se lo si avvolge in tre strati di fogli d’alluminio. Ovviamente, il laboratorio deve condurre delle prove per questo e per qualsiasi altro protocollo di contenimento che intenda implementare. Un tipo di gabbia di Faraday è la Ramsey Box, che è dotata anche di una fonte di alimentazione per mantenere in carica i dispositivi al suo interno. Alcuni modelli consentono all’investigatore di registrare audio e video, mentre viene condotto un esame del dispositivo all’interno della Ramsey Box. Una gabbia di Faraday può essere costosa, mentre un contenitore metallico per incendi può essere un’opzione più economica, ma pur sempre molto efficace. Alcuni investigatori collocano un cellulare in una gabbia di Faraday, ma ne lasciano uscire un cavo per continuare a mantenerlo sotto carica. Il problema in questo caso è che il cavo per la ricarica si comporta come un’antenna.
Figura 8.13 Busta Paraben StrongHold.
Il problema del contenimento di un telefono cellulare è che il dispositivo aumenterà l’intensità del segnale, nel tentativo di connettersi alla rete cellulare, e questo contribuirà a scaricare più rapidamente la batteria. Smartphone come gli iPhone e i telefoni Android richiederanno ricariche frequenti, semplicemente per il gran numero di applicazioni che contribuiscono a scaricare rapidamente la batteria. Se si spegne il telefono, c’è il rischio poi che per riattivarlo sia necessario inserire un codice o il PIN per la SIM card (o entrambi). Capacità wireless
Nei cellulari di oggi si possono trovare varie capacità wireless: al di là delle comunicazioni cellulari, molti apparecchi possono connettersi mediante infrarossi (IrDA), Wireless Fidelity (Wi-Fi) o Bluetooth: è importante ricordarlo sempre. Per il corretto contenimento di un cellulare si possono adottare i passi seguenti. 1. 2. 3. 4.
Rimuovere la SIM card (se il telefono ne ha una). Accedere alle Impostazioni e impostare la modalità Uso in aereo. Disabilitare la connessione wireless. Disabilitare la connessione Bluetooth.
Per identificare le capacità di comunicazione wireless di un cellulare e per sapere come disconnetterlo da tutte le potenziali connessioni wireless si può usare l’identificativo FCC-ID e cercare il manuale dell’apparecchio. In pratica: identificare le caratteristiche di un cellulare Informazioni dettagliate su tutti i dispositivi che operano sulle frequenze controllate dalla FCC sono disponibili online. Per completare questo esercizio, dovrete avere installato Adobe Reader. 1. Avviate il browser web e andate all’URL www.fcc.gov/oet/ea/fccid. Verificate che nel browser non siano bloccate le finestre pop-up. 2. Cercate l’identificativo FCC-ID nella parte posteriore di un dispositivo mobile (iPhone o Android). 3. Inserite lo FCC-ID nella casella Grantee Code e nella casella Product Code, come si vede nella Figura 8.14. 4. Fate clic sul pulsante search. 5. Passate in rassegna i documenti visualizzati, poi documentate le caratteristiche del dispositivo, in particolare le funzionalità wireless e il tipo di rete su cui opera (CDMA o GSM). 6. Presentate il rapporto secondo le indicazioni del vostro istruttore.
Figura 8.14 Pagina delle ricerche di un FCC-ID.
Alcune organizzazioni hanno usato disturbatori di segnale nei loro laboratori di Computer Forensics, per bloccare ogni trasmissione radio e ogni possibile interferenza con i cellulari. La FCC ha però ribadito più volte che l’uso di questi dispositivi non è consentito, nemmeno da parte delle forze dell’ordine, perché, in una situazione di emergenza, una persona in difficoltà potrebbe non essere in grado di contattare i servizi di soccorso, se nelle vicinanze sono usati disturbatori di segnale. Si può anche contattare il gestore telefonico per fare in modo che il cellulare venga disconnesso dalla rete. I criminali spesso denunciano lo smarrimento di un cellulare in modo che ne vengano cancellati i contenuti, perciò procedere velocemente a rimuovere il dispositivo dalla rete è essenziale. Ricarica
È fondamentale mantenere carica la batteria di un cellulare. Gli smartphone, in particolare gli Android e gli iPhone, hanno una durata della batteria abbastanza limitata, per il gran numero di applicazioni solitamente installate, che ne esauriscono rapidamente la carica, in particolare nei modelli meno recenti. Dato che molti smartphone sono protetti da un PIN, oltre al fatto che il contenimento in una gabbia di Faraday provoca una intensificazione del segnale con conseguente più rapido esaurimento della batteria, trovare rapidamente un caricatore è fondamentale. NOTA Non tenete mai un cellulare in un contenitore, per esempio una gabbia di Faraday, con un cavo di ricarica che fuoriesce, perché il cavo può fungere da antenna. Non ricaricate mai un cellulare collegandolo a un computer, altrimenti è probabile che le prove sul telefono vengano alterate.
Esame forense dell’apparecchio Una SIM card può fornire una grande quantità di evidenze, tuttavia esaminare la memoria installata nel telefono stesso è più importante.Sono disponibili a questo proposito soluzioni forensi sia software sia hardware. NIST e NIJ offrono relazioni dettagliate delle prove condotte sugli strumenti di Cellphone Forensics. I risultati di questi test, a cui sono stati sottoposti molti degli strumenti forensi citati in queste pagine, si possono trovare all’URL www.nist.gov/itl/ssd/software-qualitygroup/computer-forensics-tool-testing-program-cftt/cftt-technical/mobile.
Strumenti di Cellphone Forensics Numerosi strumenti forensi innovativi possono aiutare a svolgere indagini di Cellphone Forensics, fra cui:
GrayKey; BitPim; MOBILedit Forensic; Device Seizure; Cellebrite. Le sezioni che seguono li descrivono più in dettaglio. GrayKey GrayKey è prodotto da Grayshift e si usa per sbloccare dispositivi iOS (iPhone e iPad). Il dispositivo, disponibile solo alle forze dell’ordine, può aggirare codici a quattro e sei cifre su vari modelli di iPhone; può anche recuperare l’intero file system, keychain decriptate e la memoria di elaborazione. BitPim È uno strumento oen source che consente di visualizzare e manipolare file su molti telefoni CDMA. Fra i telefoni supportati da BitPim vi sono quelli di Samsung, LG e Sanyo, nonché molti altri che contengono chipset CDMA Qualcomm. Il software può essere scaricato gratuitamente da www.bitpim.org. MOBILedit Forensic MOBILedit è uno strumento per le organizzazioni per i contatti, i messaggi, i media e altri file installati sul computer dell’utente. Esiste anche un’edizione forense che si può usare per estrarre file da cellulari e generare rapporti investigativi. E3
Esistono vari strumenti, sotto l’etichetta E3, sviluppati e distribuiti da Paraben Corporation per la Mobile Forensics. La Figura 8.15 mostra l’interfaccia utente di Device Seizure.
Figura 8.15 L’interfaccia utente di Device Seizure.
Paraben produce anche strumenti per il contenimento dei dispositivi, come le borse StrongHold, StrongHold Tent (una gabbia di Faraday) e Project-A-Phone (PAP) FLEX per l’esame manuale. Esistono anche vari altri strumenti di Cellphone Forensics, ciascuno dei quali ha i propri punti peculiari di forza e proprie funzionalità: Oxygen: Oxygen Forensic Suite; MSAB: XRY; Susteen: Secure View; Belkasoft: Evidence Center.
Cellebrite Universal Forensics Extraction Device (UFED) della Cellebrite può essere utilizzato per estrazioni logiche e fisiche da cellulari e dispositivi GPS. UFED gode di un’ottima reputazione nel settore e lo si può trovare nei laboratori di Computer Forensics di molte forze dell’ordine. Parte del successo di UFED dipende dall’ampia gamma di telefoni che supporta, fra cui quelli con sistemi operativi iOS e Android. UFED può essere usato in laboratorio o sul campo. Nel 2020, Cellebrite ha acquisito BlackBag Technologies, l’azienda produttrice di BlackLight e MacQuisition.
Esame logico o fisico Gli strumenti di Mobile Forensics consentono l’estrazione logica o quella fisica di evidenze da un telefono cellulare, a volte entrambe. Come nell’esame di un personal computer, l’esame logico di un cellulare fornisce una visualizzazione tradizionale di directory, file e cartelle, in maniera simile a quella di Esplora file in Windows o del Finder su un Mac. La visualizzazione fisica si riferisce alla posizione e alle dimensioni effettive dei file in memoria. Solo un esame fisico può recuperare messaggi o altri file cancellati. Una differenza importante fra Computer Forensics e Mobile Forensics è che con una visualizzazione fisica dei file su un computer si possono trovare frammenti di file; quando invece un SMS viene cancellato in generale si può essere certi che il messaggio sia stato rimosso e che non esistano frammenti. Un’estrazione fisica tuttavia può riuscire a far “risorgere” qualche file cancellato.
Esami manuali dei cellulari
In assenza di uno strumento di imaging per la Mobile Forensics, l’investigatore è costretto a un esame manuale del cellulare. Succede spesso, specialmente con i telefoni prepagati di basso costo offerti da aziende come Tracfone. In generale per questi apparecchi non esistono strumenti. In queste situazioni, l’investigatore è costretto a sfogliare i contenuti del telefono, scattando fotografie mentre procede. Project-aPhone (Figura 8.16) e Fernico ZRT 3 sono due strumenti pensati per fotografare lo schermo di cellulari, ma anche l’uso di una normale fotocamera digitale può bastare. Documentare in dettaglio il processo, però, è fondamentale. Il motivo per usare una soluzione come ProjectA-Phone è che l’apparecchio è dotato di uno strumento di reporting che semplifica il processo.
Figura 8.16 Project-A-Phone.
Flasher box In assenza di una soluzione di imagine per la Cellphone Forensics, si può pensare di compiere un esame manuale con Project-A-Phone o qualche altro dispositivo simile. Che cosa accade però se l’esaminatore non può aggirare il PIN del telefono o il telefono è danneggiato? Come
ultima risorsa, qualcuno usa una cosiddetta flasher box, un dispositivo che permette di effettuare il dump fisico di un cellulare. Esistono comunque degli svantaggi nell’uso di una flasher box, perché è possibile che i dati sul cellulare vengano modificati. Inoltre, per usare questo strumento serve una formazione specifica. Il dispositivo non crea un hash MD5 utile. NIJ e ACPO comunque discutono l’uso delle flasher box nelle loro procedure operative standard. Va anche detto che questi dispositivi sono stati una soluzione, all’inizio, quando ancora non esistevano altri strumenti avanzati di Cellphone Forensics.
Global Satellite Service Provider I telefoni wireless non operano sempre attraverso una rete cellulare; in effetti, la maggior parte della superficie del pianeta non ha un servizio cellulare. Una nave in mezzo all’oceano o una spedizione in Antartide non possono contare su una cella locale che instradino le loro chiamate: i loro telefoni comunicano invece attraverso satelliti. Basta chiedere a qualcuno che abbia prestato servizio militare in Iraq o in Afghanistan: vi potrà spiegare quanto siano importanti i telefoni satellitari. Questi telefoni possono essere usati anche dal personale di soccorso in una situazione di crisi, per esempio un terremoto.
Servizi di comunicazione satellitari La Iridium Communications Inc. gestisce un ampio gruppo di satelliti, la Iridium Satellite Constellation. Questi satelliti sono posti su un’orbita bassa a circa 730 km nell’atmosfera terrestre. L’azienda fornisce anche comunicazioni dirette via collegamenti satellitari in aree in cui non esiste copertura cellulare, come nel mezzo dell’Oceano Atlantico o nell’Artico. Globestar è un’altra azienda fornitrice di
telefonia satellitare. La SkyWave Mobile Communications gestisce satelliti e un General Packet Radio Service per aziende di trasporti, del settore minerario (petrolio e gas), delle attrezzature pesanti e delle utility. Inmarsat PLC, un’azienda inglese, fornisce un servizio telefonico analogo attraverso i suoi satelliti di telecomunicazioni in orbita geostazionaria. L’azienda fornisce i Global Maritime Distress & Safety Services (GMDSS).
Considerazioni legali Negli Stati Uniti, in base al Quarto Emendamento, un agente deve ottenere un mandato per condurre una perquisizione. Questo vale anche nel caso dei cellulari, ma esistono eccezioni alla regola, come il consenso del proprietario, o in circostanze di pericolo immediato, dove è consentita una perquisizione senza mandato per salvare una vita (per esempio in caso di rapimento). Nel chiedere un mandato, l’investigatore deve descrivere il telefono cellulare e fornire i particolari seguenti: marca; modello; produttore; numero di telefono; posizione del dispositivo (indirizzo e posizione specifica). Se lo ha a disposizione, l’investigatore deve includere anche l’IMEI o il MEID del telefono. Deve indicare particolareggiatamente anche il tipo di evidenze che desidera acquisire, per esempio SMS, MMS, contatti e così via.
National Crime Information Center (NCIC)
Il National Crime Information Center (NCIC) è un centro di raccolta di dati sulle attività criminali gestito dal Federal Bureau of Investigations (FBI). Il database del NCIC contiene 21 file (www.fbi.gov/services/cjis/ncic) con oltre 16 milioni di record attivi. Article File: informazioni su oggetti rubati e smarriti, pubblica sicurezza, sicurezza nazionale e identificazione di infrastrutture critiche. Gun File: informazioni su armi rubate, smarrite e recuperate e su armi usate nel compimento di reati, armi che producono l’espulsione di un proiettile mediante aria, anidride carbonica o azione esplosiva. Boat File: informazioni su natanti rubati. Securities File: informazioni su titoli con numero di serie rubati, sottratti illegalmente, usati per riscatto o contraffatti. Vehicle File: informazioni su veicoli rubati, veicoli implicati in reati o veicoli che possono essere sequestrati in base a ordini emessi da tribunali federali. Vehicle and Boat Parts File: informazioni su componenti di veicoli o natanti rubati, dotati di numero di serie. License Plate File: informazioni su targhe rubate. Missing Persons File: informazioni su persone (compresi minori) che sono state dichiarate scomparse dalle forze dell’ordine, per la cui sicurezza esiste fondato motivo di temere. Foreign Fugitive File: informazioni su persone ricercate da altri paesi per atti che sarebbero considerati reati gravi se commessi negli Stati Uniti. Identity Theft File: informazioni che contengono una descrizione e altro che le forze dell’ordine possono utilizzare per stabilire se un individuo è vittima di un furto di identità o se l’individuo usa una falsa identità.
Immigration Violator File: informazioni su criminali stranieri che sono stati espulsi dalle autorità dell’immigrazione e su stranieri su cui pende un decreto amministrativo di espulsione dagli Stati Uniti. Protection Order File: informazioni su individui nei cui confronti sia stato emanato un ordine restrittivo. Supervised Release File: informazioni su individui in libertà condizionata o vigilata, o in libertà sotto cauzione o in attesa di giudizio. Unidentified Persons File: informazioni su persone decedute non identificate, persone viventi che non sono in grado di verificare la propria identità, vittime non identificate di catastrofi e parti di corpi recuperate. Il file ha rimandi incrociati fra corpi non identificati e record nel file delle persone scomparse. Protective Interest: informazioni su individui che possono costituire una minaccia alla sicurezza fisica di persone sotto protezione o alle loro famiglie. È lo sviluppo dello U.S. Secret Service Protective File, creato nel 1983. Gang File: informazioni sulle gang violente e i loro membri. Known or Appropriately Suspected Terrorist File: informazioni su terroristi noti o sospettati in accordo con HPSD-6 (direttiva presidenziale sulla sicurezza nazionale 6 del settembre 2003). Wanted Persons File: informazioni su individui (compresi giovani che verranno giudicati come adulti) per cui è stato emesso un mandato federale o un mandato d’arresto per qualche tipo di reato. National Sex Offender Registry File: informazioni sugli individui che devono iscriversi al registro dei colpevoli di reati sessuali in una giurisdizione. National Instant Criminal Background Check System (NICS) Denied Transaction File: informazioni sugli individui che sono
stati classificati “prohibited persons” secondo il Brady Handgun Violence Prevention Act e a cui è stato negato il possesso di un’arma in seguito a un controllo dei precedenti nel NICS. Violent Person File: informazioni su persone con un passato di reati violenti e su persone che in precedenza hanno minacciato le forze dell’ordine. Le forze dell’ordine eseguono spesso una ricerca nel database del NCIC per stabilire se un oggetto sequestrato risulti rubato. Documentazione dei gestori telefonici Un investigatore può ottenere evidenze di conferma dai gestori di telefonia cellulare, sotto forma di record degli abbonati e cartellini di traffico. I record degli abbonati sono usati dal gestore per la fatturazione, mentre i cartellini di traffico forniscono informazioni sul luogo e l’ora in cui il cellulare è stato usato per effettuare una chiamata. Ricordate, una chiamata può essere transitata da celle diverse e può permettere di identificare un percorso seguito dal sospettato. I cartellini di traffico dicono solo che l’apparecchio si trovava in una certa posizione; sta all’investigatore poi collegare il sospettato all’apparecchio. Qando richiede i cartellini di traffico, l’investigatore deve richiedere i dati in un formato particolare (per esempio, CSV) e deve richiedere le informazioni su come interpretare i codici delle celle. Il gestore può anche inviare all’investigatore un codice di reset via posta vocale. Quando il 5G sarà più diffuso, è probabile che i cartellini di traffico cambino e che contengano dettagli più precisi sulla posizione di un abbonato a un servizio cellulare quando effettua o riceve una chiamata.
Altri dispositivi mobili
Esistono molti altri dispositivi mobili che possono avere un valore probatorio per le indagini: tablet, navigatori GPS e altri dispositivi come le videocamere GoPro e gli smart watch.
Tablet Come per i cellulari, esistono molti tipi diversi di tablet sul mercato; software e sistemi operativi che girano su questi dispositivi sono molto simili. iOS e Android sono i sistemi operativi più diffusi sui tablet. Alcuni tablet dispongono anche di un servizio cellulare. Strumenti di Computer Forensics come Cellebrite e BlackLight supportano anche vari tipi di tablet. Dispositivi GPS I dispositivi GPS (navigatori) possono essere usati sulle imbarcazioni in mare, sui veicoli di terra e sui velivoli. Dispositivi portatili sono utilizzati per attività ricreative, come il turismo su due ruote o a piedi, oppure dai servizi di soccorso in caso di calamità. Di molti di questi dispositivi, come i TomTom, è possibile l’imaging con strumenti forensi. Molti sono dotati di una SD card, che può essere preziosa per un investigatore. Come per i cellulari, si possono trovare evidenze anche su un computer sincronizzato con il dispositivo GPS. Da un dispositivo GPS si possono ricavare quattro fonti principali di evidenze: trackpoint (punti), track log (log di traccia), waypoint (punti di interesse) e route (rotta o percorso). I dispositivi GPS più recenti possono contenere anche dati sui cellulari connessi via Bluetooth o anche sulle ricerche in Internet. MotoNav offre un esempio dei servizi estesi disponibili oggi. Dispositivi come MotoNav possono contenere dati del cellulare sincronizzato, per esempio i contatti dell’utente. Il servizio OnStar della General Motors (GM) è un’altra potenziale fonte di dati per gli investigatori. La GM archivia i dati GPS dei veicoli che
incorporano il servizio OnStar. Il monitoraggio della GM ha suscitato qualche controversia, perché può rivelare queste informazioni a terze parti, anche quando l’abbonato ha disdetto i servizi. Anche il sistema di navigazione TomTom SatNav ha provocato controversie, quando si è scoperto che l’azienda inviava dati storici sulle rotte GPS di guida alla polizia olandese. I dati del TomTom erano utilizzati dalla polizia per creare controlli di velocità sulla base dei comportamenti dei guidatori. Un trackpoint è un dato di geolocalizzazione che viene catturato e memorizzato automaticamente da un dispositivo GPS; non viene creato dall’utente. Per esempio, quando il dispositivo viene acceso, viene creato un trackpoint relativo alla posizione in cui si trova in quell’istante, poi vengono creati trackpoint successivi a intervalli prestabiliti. Un track log è un elenco dei trackpoint, che può essere utilizzato per ricostruire una rotta. Un waypoint è un punto di interesse geolocalizzato creato dall’utente. Questi punti vengono spesso creati per ricordare punti di interesse, come un ristorante o un hotel, lungo un percorso più lungo. Una route, infine, è una serie di waypoint creati dall’utente nel corso di un viaggio.
GPS tracking Dal 2009, negli USA tutti i cellulari devono avere incorporato un chip GPS. Il Mandate Enhanced 911 della Federal Communications Commission del 2003 impone che i costruttori facilitino il tracciamento della posizione. L’Enhanced 911 è un ordine federale in base al quale tutti i produttori di cellulari devono fare sì che si possano ottenere l’ID del chiamante e i dati sulla posizione dal cellulare di un utente che effettua una chiamata di emergenza al 911. La polizia può così localizzare una persona in difficoltà mediante Assisted GPS, che usa il chip GPS nel telefono e tecniche di triangolazione anziché basarsi semplicemente sui dati della cella agganciata. Un punto di accesso di
sicurezza pubblica (Public Safety Access Point, PSAP) è un call center che riceve le richieste di emergenza del pubblico per polizia, assistenza medica o vigili del fuoco. Il caso: la cattura di un assassino Un PSAP può aiutare la polizia tracciando in tempo reale il cellulare di un abbonato. Nell’ottobre del 2004 è stato trovato, nella sua casa di Hearthglow Lane a Richmond, in Virginia, il cadavere di Fred Jablin. Il detective Coby Kelley ha subito sospettato dell’ex moglie di Jablin, Piper Rountree, e ha rapidamente ottenuto un mandato per i tabulati telefonici della Rountree. Fred Jablin, docente all’Università di Richmond, aveva ottenuto il divorzio e la custodia esclusiva dei figli dopo una pesante battaglia legale. Nel settembre 2004, Rountree era in difficoltà, in arretrato di 10.000 dollari nel pagamento degli alimenti. Il detective Kelley ha ottenuto i tabulati telefonici del cellulare di Piper Rountree, che collocavano il telefono sulla scena del crimine. Kelley ha tracciato il cellulare mentre si spostava verso est sulla I-64 in direzione dell’aeroporto di Norfolk. Dopo una breve interruzione nella localizzazione del segnale, il telefono è stato nuovamente rintracciato a Baltimora, nel Maryland. Piper Rountree ovviamente ha sostenuto di non essere in Virginia al momento dell’omicidio, bensì a Houston, inTexas. Ha anche dichiarato che spesso il suo cellulare era usato dalla sorella, Tina Rountree. Piper Rountree aveva chiamato il figlio, 14 ore prima dell’omicidio, dicendo che si trovava in Texas, ma il suo cellulare era stato agganciato da celle in Virginia. È stato scoperto che il 21 ottobre (pochi giorni prima dell’omicidio), Piper aveva acquistato una parrucca su Internet, attraverso il proprio account, ma l’aveva fatta consegnare alla casella postale dell’ex fidanzato a Houston. Piper aveva tentato di usare la parrucca per fingersi sua sorella Tina. Un dipendente della Southwest
Airlines ha poi testimoniato di aver visto Piper Rountree salire su un aereo diretto in Virginia. Il 6 maggio 2005, Piper Rountree è stata condannata all’ergastolo, più tre anni per uso di un’arma da fuoco per commettere un reato. Questo caso illustra chiaramente come i dati ottenuti da un cellulare siano stati prove di conferma, utilizzate in un processo giudiziario.
Documentazione dell’indagine La maggior parte degli strumenti forensi, come BlackLight, incorporano una funzionalità di reporting. Il rapporto dell’investigatore alla fine deve comprendere i dettagli che seguono. Le specifiche del dispositivo, compresi i dettagli della SIM card. Dove è stato sequestrato il dispositivo. Come è stato sequestrato il dispositivo (copie di un modulo di consenso o mandato). Tecniche di preparazione, ivi incluso il metodo utilizzato per disconnettere il dispositivo dalla rete. Strumenti forensi utilizzati per acquisire le evidenze. Evidenze acquisite (SMS, MMS, immagini, video, contatti, cronologia delle chiamate ecc.). Evidenze ottenute dal gestore (dettagli dell’abbonato e cartellini del traffico). Evidenze derivate da un servizio applicativo (per esempio, Gmail, dai server di posta elettronica di Google). Naturalmente, devono essere scattate fotografie del luogo in cui il dispositivo è stato sequestrato, del dispositivo stesso e di tutti i numeri pertinenti (ICCID, IMEI ecc.).
Riepilogo La Mobile Forensics è diventata estremamente importante per le indagini per la ricchezza delle evidenze che può fornire. Un telefono cellulare può essere addirittura più importante di un tradizionale computer, perché è sempre acceso e lo portiamo sempre con noi ovunque. Gli strumenti forensi sono stati migliorati nel corso degli ultimi anni, ma esistono ancora molti dispositivi non supportati. Con il crescere dell’importanza della Cellphone Forensics, gli investigatori stanno estendendo il loro raggio d’azione al di là del telefono cellulare, verso i gestori della telefonia mobile e i fornitori di servizi di cloud computing. L’analisi dei cellulari è problematica, perché questi dispositivi hanno sistemi operativi diversi, ne esistono moltissimi modelli e i dati al loro interno cambiano continuamente per le connessioni di rete e per le dimensioni relativamente contenute della memoria che incorporano. I contenuti di uno smartphone non possono essere analizzati come un unico dispositivo di memoria, a causa della memoria rimovibile e delle SIM card (telefoni GSM). Esistono vari tipi di reti cellulari; GSM e CDMA sono i protocolli di rete predominanti (in Italia esistono solo reti GSM). Conoscere queste reti è di aiuto per capire dove si trovino le evidenze. Operatori di rete mobile, come T-Mobile e Verizon, sono proprietari delle reti che gestiscono, mentre un operatore virtuale fornisce il servizio ma non è proprietario dell’infrastruttura di rete. Per gli investigatori sono importanti diversi dispositivi mobili, come tablet e navigatori GPS. Un tablet può essere abilitato al servizio Internet su rete cellulare. Anche i dispositivi USB Broadband e di mobile broadband usano reti cellulari. Gli investigatori devono sempre sottoporre a test gli strumenti forensi, prima di utilizzarli. Molti cellulari non sono supportati dagli
strumenti forensi e perciò è necessario procedere a un’indagine manuale. Gli investigatori devono inoltre conoscere le procedure operative standard di NIST, NJI e ACPO per le indagini su dispositivi digitali. Devono poi fare particolare attenzione per quanto riguarda il contenimento del dispositivo, la sua ricarica e l’isolamento da tutta una serie di reti wireless.
Glossario 3GP. Un formato di file audio/video che si trova sui telefoni mobili per le reti cellulari 3G GSM. 3GP2. Un formato di file audio/video che si trova sui telefoni mobili per le reti cellulari 3G CDMA. 3rd Generation Partnership Project (3GPP). Una collaborazione fra sei organismi per gli standard delle comunicazioni e varie aziende di telecomunicazioni di tutto il mondo che formula standard per le telecomunicazioni. 3rd Generation Partnership Project 2 (3GPP2). Una partnership fra società di telecomunicazioni 3G nordamericane e asiatiche che sviluppa standard per le reti mobili di terza generazione, fra cui CDMA. 4G Long Term Evolution (LTE) Advanced. Uno standard di comunicazione broadband a elevata mobilità adatto per l’uso sui treni e su altri veicoli. Abbreviated Dialing Numbers (ADN). Nomi e numeri di contatto inseriti dall’abbonato. Accelerometro. Un dispositivo hardware che rileva e misura l’accelerazione e reagisce alle variazioni. Android. Un sistema operativo open source basato sul kernel Linux 2.6.
Android Debug Bridge (ADB). Una utility da riga di comando che consente all’utente di inviare richieste a un dispositivo Android da un computer. Assisted GPS. Un sistema che usa il chip GPS presente in un cellulare e tecniche di triangolazione, anziché basarsi semplicemente sui dati delle stazioni cellulari. Authentication Center (AuC). Un database che contiene l’IMSI di un abbonato, gli algoritmi di autenticazione e di cifratura. Base Station Controller (BSC). Gestisce i segnali radio per le stazioni radio base delle reti cellulari: assegna le frequenze e gestisce le transizioni fra stazioni. Base Transceiver Station (BTS). L’insieme delle apparecchiature che si trovano in una stazione cellulare e che facilitano le comunicazioni dell’utente di un telefono cellulare sulla rete. Bootloader. Un programma che viene eseguito automaticamente quando un dispositivo viene acceso e attiva il sistema operativo. Call Detail Records (CDR). I dati di un abbonato utilizzati a fini di fatturazione, per esempio i numeri di telefono chiamati, la durata, le date e le ore delle chiamate e le celle agganciate. CDMA2000. Una tecnologia 3G che usa il protocollo di comunicazione CDMA. Cella. Un’area geografica in una rete cellulare. Code Division Multiple Access (CDMA). Una metodologia di comunicazione che usa una banda larga per la trasmissione di dati. Electronic Serial Number (ESN). Un numero a 11 cifre, usato per identificare un abbonato su una rete cellulare CDMA. Emergency Download (EDL) Mode. Una funzionalità tecnica di recovery che si trova sui dispositivi Android con chipset Qualcomm. Enhanced 911. Negli Stati Uniti, una ordinanza federale per la quale tutti i produttori di telefoni cellulari devono fare sì che sia possibile
ottenere l’ID del chiamante e dati sulla sua posizione dal cellulare di un abbonato che effettui una chiamata al 911. Enhanced Data rates for GSM Evolution (EDGE). Una tecnologia a elevato trasferimento di dati su reti GSM. EDGE ha una capacità di dati fino a tre volte superiore a quella del GPRS. Equipment Identity Register (EIR). Registro usato per tracciare numeri IMEI e stabilire se un IMEI è valido, sospetto o magari rubato. FCC-ID. Un numero assegnato dalla Federal Communication Commission (FCC) degli Stati Uniti, che indica che l’apparecchio è autorizzato a utilizzare le frequenze radio controllate dalla FCC. Flasher box. Un dispositivo utilizzato per ottenere un dump fisico di un cellulare. Forbidden Public Land Mobile Network (FPLMN). Una rete cellulare a cui un abbonato ha tentato di connettersi, senza averne l’autorizzazione. General Packet Radio Service (GPRS). Una tecnologia di comunicazione a commutazione di pacchetto per le reti GSM 2G e 3G. Global System for Mobile communications (GSM). Uno standard internazionale per la telefonia mobile, che usa i metodi TDMA e FDD (Frequency Division Duplex). Hard handoff. Una forma di transizione delle chiamate gestita da una sola stazione BTS alla volta, senza comunicazioni simultanee. Home Location Register (HLR). Un database degli abbonati di un gestore telefonico, che ne contiene domicilio, IMSI, numero telefonico, ICCID della SIM card e servizi usati. In-System Programming (ISP). Nella Digital Forensics, è la pratica della connessione a un chip di memoria flash eMMC o eMCP per accedere ai file conservati nel chip. Integrated Circuit Card ID (ICCID). Un numero di serie a 19 o 20 cifre che si trova fisicamente su una SIM card.
Integrated Digital Enhanced Network (iDEN). Una tecnologia wireless sviluppata dalla Motorola, che combina capacità di radio bidirezionale (walkie-talkie) e tecnologia di telefonia cellulare. International Mobile Equipment Identity (IMEI). Un numero che identifica in modo univoco un dispositivo o un telefono mobile. International Mobile Subscriber Identity (IMSI). Un numero univoco a livello internazionale su una SIM card che identifica un utente su una rete. International Signaling Point Code (ISPC). Un sistema di numerazione standardizzato, utilizzato per identificare un nodo su una rete di telecomunicazioni internazionale. International Telecommunication Union (ITU). Un’agenzia delle Nazioni Unite che produce standard per le tecnologie dell’informazione e delle comunicazioni. Joint Test Action Group (JTAG). Uno standard IEEE (IEEE 1149.1) per il test, la manutenzione e il supporto di piastre circuitali assemblate. Last Numbers Dialed (LND). Una lista di tutte le chiamate in uscita fatte da un abbonato. Mobile Country Code (MCC). Le prime tre cifre dell’IMSI. Mobile Equipment Identifier (MEID). Un numero univoco a livello internazionale che identifica un apparecchio CDMA. Mobile Network Operator (MNO). Un gestore di servizi cellulari che gestisce una rete cellulare di proprietà. Mobile Station. Espressione usata per descrivere l’insieme di un Mobile Equipment (apparecchio) e di un Subscriber Identity Module (SIM). Mobile Subscriber Identity Number (MSIN). Creato da un operatore di telefonia cellulare, identifica un abbonato alla rete.
Mobile Subscriber ISDN (MSISDN). Sostanzialmente, il numero telefonico dell’abbonato. Mobile Switching Center (MSC). Ha il compito di commutare i pacchetti di dati da un percorso a un altro su una rete cellulare. Mobile Virtual Network Operator (MVNO). Un operatore di servizi cellulari che non possiede una propria rete cellulare ma opera sulla rete di un altro operatore. Multimedia Messaging Service (MMS). Un servizio di messaggistica, che si trova sulla maggior parte dei cellulari, che consente all’utente di inviare contenuti multimediali come audio, video e immagini. Multiplazione (multiplexing). Un protocollo di comunicazione che consente la trasmissione simultanea di più segnali su un supporto condiviso. My Wireless Fidelity (MiFi). Un tipo di router wireless portatile che fornisce accesso Internet a vari dispositivi abilitati e comunica attraverso una rete cellulare. National Crime Information Center (NCIC). Un centro di raccolta di dati criminologici, gestito dal Federal Bureau of Investigations (FBI). Personal Unblocking Code (PUC). Un codice fornito dall’operatore telefonico che consente a un utente di eliminare la protezione PIN dalla SIM card. PIN Unblocking Key (PUK). Un codice di reinizializzazione e sblocco utilizzato per aggirare la protezione del PIN di una SIM. Public Safety Access Point (PSAP). Un call center che riceve richieste di emergenza dal pubblico per i servizi di polizia, di assistenza medica e dei vigili del fuoco. Public Switched Telephone Network (PSTN). L’insieme di tutte le reti telefoniche a commutazione di circuito.
Record degli abbonati. (subscriber records) I dettagli personali mantenuti da un operatore di telefonia cellulare relativi ai loro clienti; possono includere nome, indirizzo, numeri di telefono alternativi, numero di Sicurezza sociale (o codice fiscale) e informazioni sulla carta di credito. Rete cellulare. Un gruppo di celle per le comunicazioni cellulari. Rich Communication Services (RCS). Uno standard avanzato di messaggistica che si propone come una soluzione cross-platform per SMS, MMS e altre comunicazioni per i consumatori su dispositivi mobili. RIM OS. Il sistema operativo sviluppato dalla Research in Motion per l’uso su smartphone e tablet BlackBerry. Route (rotta). Una serie di waypoint (punti di interesse) creati dall’utente nel corso di un viaggio. Short Message Service (SMS). Un servizio di messaggistica testuale che si trova sui dispositivi mobili. SIM card. Una smart card che identifica un utente su una rete cellulare e contiene un IMSI. Soft handoff. Un trasferimento per sistemi cellulari in cui una comunicazione cellulare viene gestita condizionalmente da una stazione a un’altra e l’apparecchio mobile comunica simultaneamente con più stazioni ricetrasmittenti. SQLite database. Uno standard per database relazionali open source, che è spesso utilizzato nei dispositivi mobili. Stazione radio base. L’impianto che ospita l’antenna ricetrasmittente di una cella. Subsidy lock. Un codice che vincola un abbonato a una determinata rete cellulare; così il telefono può essere ceduto gratuitamente o a prezzo sovvenzionato.
Symbian. Un sistema operativo per dispositivi mobili, sviluppato da Nokia e attualmente mantenuto da Accenture. Temporary Mobile Subscriber Identity (TMSI). Un numero generato in modo casuale, assegnato a una stazione mobile, dal registro VLR, quando l’apparecchio viene acceso e basato sulla posizione geografica. Time-Division Multiple Access (TDMA). Una tecnologia di comunicazione radio che consente a più dispositivi di comunicare su una medesima frequenza, suddividendo i segnali digitali in intervalli temporali o burst. Track log (log di traccia). Un elenco di trackpoint (punti) che può essere utilizzato per ricostruire una rotta. Trackpoint. Un record di geolocalizzazione che viene automaticamente catturato e memorizzato da un dispositivo GPS. Type Allocation Code (TAC). Un numero che identifica il tipo di un dispositivo wireless. Universal Integrated Circuit Card (UICC). Una smart card usata per identificare in modo univoco un abbonato a una rete GSM o UMTS. Universal Mobile Telecommunications System (UMTS). Uno standard per reti cellulari 3G, basato su GSM e sviluppato dal 3GPP. USB debugging. Un processo che consente a un computer di comunicare con un dispositivo Android mediante un cavo USB. Visitor Location Register (VLR). Un database di informazioni sugli abbonati roaming. Waypoint. Un punto georeferenziato di interesse, creato da un utente. Wide Band CDMA (WCDMA). Un metodo di trasmissione di segnali ad alta velocità basato su CDMA e FDD. Windows 10 Mobile. Un sistema operativo Microsoft per personal computer, telefoni cellulari e tablet (non più supportato dalla fine del 2019).
Valutazione Domande a risposta aperta 1. Avete appena ricevuto un cellulare il cui FCC-ID è BEJVM670. Vi è stato detto che il telefono ha un MEID. Partendo da queste informazioni, rispondete alle domande seguenti. A. Quali operatori di rete cellulare degli USA potrebbero fornire il servizio per quel cellulare? B. Questo cellulare possiede il Bluetooth? C. Questo cellulare avrebbe potuto essere usato per scattare fotografie e, se sì, le fotografie avrebbero avuto associati dati GPS? D. Dove potrebbero trovarsi su questo dispositivo potenziali prove? Per esempio, l’apparecchio usa una SIM card o una scheda SD? 2. Elencate dettagliatamente le buone pratiche per il contenimento e l’analisi di un telefono cellulare. 3. In che modo l’operatore cellulare può aiutarvi nelle vostre indagini? 4. Descrivete le differenze fra Cellphone Forensics e Computer Forensics tradizionale.
Domande a risposta multipla 1. Qual è il termine che descrive meglio le apparecchiature che si trovano in una cella e che facilitano le comunicazioni di un utente sulla rete cellulare?
A. B. C. D.
Rete cellulare. Base Transceiver Station. Public Switched Telephone Network. Home Location Register.
2. Quale di queste affermazioni descrive al meglio il ruolo del Base Station Controller? A. B. C. D.
Gestisce i segnali radio per le Base Transceiver Station. Assegna le frequenze e i trasferimenti fra celle. Sia A che B sono corrette. Né A né B sono corrette.
3. Quali fra i seguenti sono particolari utilizzati dagli operatori di telecomunicazioni a fini di fatturazione e possono comprendere numeri di telefono chiamati, durata, date e ore delle chiamate e cellule agganciate? A. B. C. D.
Equipment Identity Register. Operatore di rete mobile. Temporary Mobile Subscriber Identity. Call Detail Records (cartellini del traffico).
4. Quali fra gli oggetti/elementi seguenti in genere non si trovano in un telefono cellulare GSM? A. B. C. D.
SIM card. IMEI. FCC-ID. MEID.
5. Come vengono chiamate le prime tre cifre dell’IMSI? A. Mobile Country Code. B. Mobile Subscriber Identity Number.
C. Operatore di rete mobile. D. Integrated Circuit Card ID. 6. Quale fra i seguenti è un router wireless portatile che fornisce accesso a Internet per un massimo di cinque dispositivi abilitati a Internet e comunica attraverso una rete cellulare? A. B. C. D.
Office hub. Public Safety Access Point. Mobile Station. MiFi.
7. Quale fra le seguenti è una tecnica di comunicazione a banda larga e a elevata mobilità, adatta per l’uso su treni e altri veicoli? A. B. C. D.
2G. 3G. 3GPP. 4G LTE.
8. Quale fra i seguenti è uno standard internazionale per le comunicazioni, che usa i metodi TDMA e FDD (Frequency Division Duplex)? A. B. C. D.
GSM. CDMA. UMTS. WCDMA.
9. Quale delle directory seguenti contiene un elenco dei contatti (nomi e numeri telefonici) salvati da un abbonato su una SIM card? A. B. C. D.
EF_SMS. EF_LOCI. EF_LND. EF_ADN.
10. Quale fra i seguenti sistemi operativi per il mobile è un sistema operativo open source basato sul kernel Linux 2.6 e di proprietà di Google? A. B. C. D.
Symbian. Android. RIM. Windows.
Completa le frasi 1. Un/una __________ è l’area geografica unitaria in una rete cellulare. 2. Un Mobile __________ Center ha il compito di commutare pacchetti di dati da un percorso di rete a un altro su una rete cellulare. 3. Si parla di __________ handoff quando una comunicazione cellulare viene trasferita condizionatamente da una stazione base a un’altra e l’apparecchio mobile comunica simultaneamente con più stazioni ricetrasmittenti. 4. Lo __________ Mobile Equipment Identity è un numero che identifica univocamente il dispositivo mobile. 5. Il database che contiene informazioni su un utente roaming è chiamato __________ Location Register. 6. Il/lo __________ Identity Register si usa per tracciare numeri IMEI e decidere se un IMEI è valido, sospetto o magari rubato. 7. Integrated __________ Enhanced Network è una tecnologia wireless sviluppata da Motorola, che combina capacità radio bidirezionale e tecnologia cellulare.
8. Una __________ Public Land Mobile Network è una rete cellulare a cui l’utente ha cercato di connettersi senza averne l’autorizzazione. 9. Un PIN Unblocking __________ (PUK) è un codice fornito dall’operatore telefonico, utilizzato per rimuovere la protezione PIN dalla SIM card. 10. Un Public Safety __________ Point è un call center che riceve richieste di emergenza per i servizi di polizia, di assistenza sanitaria o dei vigili del fuoco.
Progetti Un caso di Mobile Forensics Trovate un caso in cui la Cellphone Forensics sia stata usata all’interno di un’indagine criminologica e scrivete un saggio sulla sua importanza per la condanna dell’imputato. Procedure operative standard per la Mobile Forensics Trovate uno smartphone, poi mettete per iscritto le procedure operative standard per esaminare quel tipo di apparecchio. Indicate nel vostro saggio anche gli strumenti forensi che possono essere utilizzati con quel particolare modello. Sistemi operativi per il mobile Scegliete un sistema operativo per il mobile e scrivete una guida per l’esaminatore forense su come si lavora con quel sistema operativo. Protocolli di telecomunicazione CDMA e GSM
Scrivete un saggio che descriva le differenze fra l’esame di un cellulare CDMA e quello di un cellulare GSM. Sperimentare con l’Emergency Download Mode Preparate un cavo EDL, poi create l’immagine di un cellulare o tablet Android. Online si trovano molte risorse adatte per poter stabilire con quali tipi di dispositivi Android funzionerà questo metodo. Provate a usare il cavo di un vecchio dispositivo Android da non utilizzare più.
Capitolo 9
Indagini su app mobile
Obiettivi Di seguito i temi principali che verrano affrontati nel corso di questo capitolo. L’importanza delle app mobile nelle indagini. Come condurre un’analisi statica e dinamica. Le prove digitali che si possono ottenere da app di appuntamenti, di ridesharing e da altre app popolari. Il valore del deep-linking nelle indagini. L’analisi dei database SQLite. Le applicazioni (app) per il mobile oggi sono estremamente importanti nelle indagini, per molti motivi diversi. Cosa interessante, i database associati a molte app non sono cifrati e non sono molto difficili da analizzare. Inoltre, se un dispositivo è bloccato o inaccessibile, esistono molte altre opzioni, fra le quali la possibilità di analizzare una versione desktop dell’app, collegata a quella del dispositivo mobile, oppure quella di ottenere i dati del sospettato da un operatore terzo (grazie a un’ingiunzione o a un mandato). Gli operatori raccolgono e conservano una enorme quantità di dati sui loro clienti. Infine, molti utenti scelgono di effettuare il backup dei loro dati nel cloud. Per esempio, WhatsApp per gli utenti di iPhone/iPad di Apple offre l’opzione di effettuare un backup delle chat in iCloud ed è
possibile richiedere alla Apple quei backup. Ciononostante, il crimine organizzato e i gruppi terroristici fanno ampio uso di app per mobile che utilizzano tecniche di cifratura forti o proprietarie, che possono ostacolare seriamente il lavoro delle forze dell’ordine. A complicare le cose c’è anche il fatto che molte app mantengono i loro server in paesi come la Russia, a cui le forze dell’ordine dei paesi occidentali non possono accedere. Fra le app di comunicazione molto diffuse che usano cifratura forte vi sono Telegram, Signal, Wickr e Threema, per citarne solo alcune. Ciononostante, spesso nelle app per mobile si trovano exploit zero-day, che possono aiutare gli investigatori a ottenere l’accesso ad app cifrate. NOTA Un exploit zero-day è una vulnerabilità di sicurezza che costituisce una minaccia nel giorno in cui viene scoperta, perché non esiste ancora una patch software che risolva quella vulnerabilità.
Analisi statica e analisi dinamica In fase di installazione di una app, in genere sul dispositivo dell’utente viene installato un database SQLite. I dati conservati nelle tabelle del database possono essere cifrate oppure in chiaro. Una tabella può contenere i contatti dell’utente ed essere in relazione con un’altra tabella in cui sono conservate le comunicazioni con i contatti, per esempio. È importante tenere presente che questi database contengono una quantità straordinaria di informazioni personali e, se non sono cifrati, l’utente corre il rischio di essere vittima di tecniche di ingegneria sociale. Inoltre, bisogna sempre tenere presente la possibilità di chiedere un mandato per ottenere i dati da un fornitore di servizi terzo. Quando si analizzano le app per mobile, un investigatore può adottare approcci diversi, per esaminare i dati dell’utente. Un’analisi
statica comprende l’esame dei database SQLite associati con le app. Un’analisi dinamica è invece l’analisi del comportamento dell’applicazione una volta che è in esecuzione. Le sezioni che seguono esaminano più in dettaglio l’analisi statica e quella dinamica.
Analisi statica Un database SQLite è un database relazionale ed è la forma preferita per la memorizzazione di dati associati alle app per mobile. SQLite è una libreria in linguaggio C che serve alla gestione di database SQL. Il codice sorgente di SQLite è disponibile nel pubblico dominio. Strumenti forensi come BlackLight consentono all’utente di navigare nei database SQLite delle applicazioni, ma esistono anche altri strumenti autonomi che si possono usare. Uno di questi è SQLite Database Browser, un programma freeware. Nel seguito del capitolo vedremo in dettaglio i tipi di evidenze che si possono ricavare da varie app molto diffuse per il mobile. La Figura 9.1 mostra un esempio di database SQLite per l’app Tinder su un iPhone. Anche un esame sommario delle informazioni nella Figura 9.1 permette di appurare che a un database SQLite per una app sono associati molte cartelle e molti file. Il database potrebbe contenere solo cinque tabelle o magari anche 100, il che significa che un esame accurato può essere un processo lungo e faticoso.
Figura 9.1 Database SQLite di Tinder in iOS (iPhone).
All’interno di ogni database SQLite (con estensione .sqlite) si troveranno file di database con l’estensione .db; per esempio, google_analytics.db. Spesso si troveranno anche altri tipi di file ben riconoscibili, come quelli con estensione .jpg (immagini, foto), .vcf (vCard per i contatti), o .mp3 (file audio). Il grafico della Figura 9.2 presenta la struttura generale delle informazioni memorizzate per un’applicazione iOS in un iPhone o iPad.
Figura 9.2 Struttura delle informazioni relative a un’applicazione memorizzate in un dispositivo con sistema operativo iOS.
La cartella Library, evidenziata nella Figura 9.2, è quella in cui si troveranno i dati più importanti relativi all’utente, fra cui cache, cookie e altre informazioni personali. Nella cartella Preferences, presentata ed evidenziata nella Figura 9.3, si possono effettivamente scoprire nomi utente e password memorizzati in chiaro. Nella Figura 9.4, si può vedere il nome com.cardify.tinder: è quello che viene definito un bundle ID, cioè un tipo di identificatore uniforme, costituito da caratteri alfanumerici, che identificano in modo univoco una specifica app. Il bundle ID per l’app Outlook di Microsoft per iOS è com.microsoft.Office.Outlook. Il formato del bundle ID in generale è com. ., cioè una cosiddetta stringa in stile nome di dominio inverso. Se si accede all’App Store di Apple e si cerca l’app Microsoft Outlook per iOS, si arriva nel browser web all’URL
. Notate la stringa id951937596, che identifica questa app nell’App Store (Figura 9.4). Una app per iOS ha anche un identificatore univoco, denominato App ID. Un App ID è una stringa in due parti che identificano rispettivamente un team di sviluppo (Team ID) e un’applicazione (bundle ID). Il Team ID viene creato e assegnato dalla Apple, mentre il bundle ID è generato dallo sviluppatore dell’app. apps.apple.com/it/app/microsoft-outlook-email-calendar/id951937596
Figura 9.3 La cartella delle preferenze, nel database SQLite in un dispositivo con sistema operativo iOS.
Figura 9.4 L’app Outlook scaricabile dall’l’App Store, con il suo identificativo.
Analisi statica: revisione del codice Un’altra forma di analisi statica è l’esecuzione di una revisione del codice su un’app per mobile, che può aiutare gli investigatori a capire il tipo di evidenze disponibili. Per quanto riguarda le evidenze disponibili per una app Android (.apk o Android Package) esiste il manifesto, che presenta le autorizzazioni associate a una particolare app. Per esempio, il manifesto può indicare che l’app raccoglie informazioni sulla posizione dell’utente (COARSE_LOCATION e/o FINE_LOCATION). ACCESS_COARSE_LOCATION è un’autorizzazione che consente all’app di accedere alla posizione approssimata del dispositivo dell’utente, che si basa su NETWORK_PROVIDER (celle, cioè posizione delle antenne). ACCESS_FINE_LOCATION consente all’app di stabilire la posizione dell’utente sulla base di NETWORK_PROVIDER e GPS (GPS_PROVIDER). Un’applicazione Android contiene un file, alla radice del source set del progetto, che si chiama AndroidManifest.xml. Un file manifesto Android
contiene il nome del pacchetto dell’applicazione, le sue funzionalità, le autorizzazioni, i requisiti hardware e software per l’installazione. Conoscere le autorizzazioni associate a una app consente all’investigatore di capire che tipo di evidenze è possibile richiedere all’operatore della rete e quali tipi di informazioni andare a cercare nell’esame del database SQLite. Quest’ultimo aspetto è particolarmente importante, perché l’esame di un database può richiedere parecchi giorni o magari addirittura settimane, perciò restringere il raggio dell’analisi può costituire un vantaggio significativo. Il Listato 9.1 presenta un breve estratto dal manifesto Android per WhatsApp. Listato 9.1 Manifesto delle autorizzazioni Android per WhatsApp.
Saper leggere il manifesto è importante anche dal punto di vista della sicurezza per il mobile. Molti documenti di policy per la privacy sono fuorvianti o confondono un po’ le idee e comunque non sono una buona guida per stabilire quanto un’app per mobile sia degna di fiducia. La Federal Trade Commission (FTC) degli Stati Uniti, per esempio, ha avviato un’indagine su un’app per Android molto diffusa, Brightest Flashlight, dopo avere scoperto che l’app richiedeva al dispositivo
dell’utente molte autorizzazioni che andavano al di là di quel che era necessario per la funzione di fare luce. Alcune autorizzazioni per le app presentano rischi elevati; altre invece sono a basso rischio. Un ricerca nel Web per “Uber APK file”, o qualsiasi altro file APK, permette di identificare rapidamente da dove si possa scaricare il pacchetto dell’applicazione. Una volta scaricato il file APK, esistono varie applicazioni che si possono usare per una revisione del codice e del manifesto dell’APK. Uno strumento per rivedere il codice dello sviluppatore APK è dex2jar (dex compiler), che può essere scaricato da SourceForge. Un’altra applicazione per vedere l’APK è FileViewer Plus. Uno degli strumenti preferiti è un’applicazione di decompilazione Java dell’APK, che si può ottenere da www.javadecompilers.com/apk. Con questo strumento, si può decompilare l’APK in un browser web, senza dover scaricare un decompilatore APK sul proprio computer. Così non ci si deve preoccupare se si stia scaricando un’applicazione da una fonte fidata, perché l’applicazione viene eseguita sul server web e non sul computer locale. Esistono numerosi altri strumenti di analisi del codice sorgente che possono essere utilizzati da un investigatore, fra i quali SourceMeter, JSLint e FindBugs. La Figura 9.5 mostra l’interfaccia utente di JSLint.
Figura 9.5 L’interfaccia utente di JSLint.
Analisi dinamica Un’analisi dinamica di una app è l’analisi del suo comportamento una volta che è in esecuzione. Un emulatore Android è un’applicazione che simula il sistema operativo Android in una macchina virtuale. Queste applicazioni in genere vengono sviluppate per l’uso su un personal computer e vengono eseguite come macchine virtuali. Gli sviluppatori di app usano un emulatore per analizzare come si comporterà una app prima di renderla disponibile al pubblico. Un emulatore può essere utile anche a un investigatore che sia interessato a vedere il comportamento di una app, in particolare se è possibile che
l’app contenga malware. Questo è il vantaggio di usare un emulatore che opera come macchina virtuale. Un investigatore può essere interessato anche a monitorare le autorizzazioni e le connessioni DNS associate con un’app mobile in esecuzione. Per il monitoraggio delle connessioni DNS (connessioni a server) esistono Wireshark (Windows) e Debookee (macOS), che sono molto efficaci nel tenere sotto controllo queste connessioni su una rete wireless. La Figura 9.6 mostra la schermata di un file pcap (di cattura di pacchetti) di Wireshark. Un file pcap è un pacchetto wireless che contiene dati dell’utente e dati della rete relativi sia al mittente sia al destinatario della comunicazione. NOTA Quando si compie qualsiasi tipo di monitoraggio wireless, bisogna assicurarsi di avere l’autorizzazione a quella particolare rete e di monitorare solo il proprio traffico wireless. Per tranquillità, potete usare un hotspot personale all’interno di un laboratorio sicuro.
Figura 9.6 La Google Maps API identificata in un pcap catturato da Wireshark.
Uno strumento come Debookee ha anche la capacità di cifrare traffico wireless. Molti dati delle app possono essere cifrati sul dispositivo e sul server, ma spesso le aziende implementano protocolli di cifratura deboli, per i quali i dati in trasmissione possono essere
intercettati e visualizzati in chiaro. Strumenti come Debookee quindi possono essere utilizzati, dai professionisti della sicurezza che analizzano app, per stabilire il grado di sicurezza delle app stesse.
Introduzione a Debookee Debookee è uno sniffer di pacchetti wireless per macOS. Non è uno strumento passivo, perché mette in atto un attacco di tipo man-in-themiddle (MITM) per intercettare le comunicazioni elettroniche fra due dispositivi, con l’intento di decifrare messaggi cifrati. Inoltre esegue la decrittazione SSL/TLS. Debookee supporta numerosi protocolli, fra cui HTTP, HTTPS, DNS, TCP, DHCP, SIP e RTP (VoIP). Può essere usato per identificare quali dati vengano raccolti e condivisi dalle app. In altre parole, si possono identificare le connessioni DNS a server in giro per il mondo e ad altre aziende a cui potrebbero essere richieste informazioni (con un opportuno mandato). I dati generati da una app possono essere condivisi con cinquanta o più aziende terze, che nella maggior parte dei casi sono aziende di analytics come Crashlytics, UXCam, Fabric e così via. Nella home page del sito di Debookee (Figura 9.7) si trova il pulsante Download per scaricare e quindi installare il software. NOTA Non è obbligatorio acquistare il software; si può iniziare con la versione di prova. Potete decidere solo in seguito di acquistarlo: il software è relativamente poco costoso, e una licenza vale per due computer.
Figura 9.7 La home page di Debookee.
Una volta installato il software e avviato il programma, vedrete un’interfaccia simile a a quella della Figura 9.8. L’indirizzo IP, l’indirizzo MAC e il nome di host che vengono visualizzati forniscono informazioni sul vostro dispositivo.
Figura 9.8 L’interfaccia utente di Debookee.
La Figura 9.9 mostra le informazioni che abbiamo appena discusso. Fate un clic sul pulsante Start LanScan evidenziato nella Figura 9.9.
Figura 9.9 Le informazioni sul computer host visualizzate in Debookee.
Vedrete poi un elenco di tutti i dispositivi connessi allo stesso punto di accesso wireless del vostro computer. Selezionate il vostro
dispositivo target, fate clic sull’opzione Pcap, nella parte superiore sinistra della schermata, poi su Save Pcap files, come si vede nella Figura 9.10
Figura 9.10 L’opzione Save Pcap files in Debookee.
Poi potete fare clic sul pulsante Open Export Folder per cambiare la cartella di esportazione di default. In Debookee esiste anche uno strumento add-on, che consente di decrittare i contenuti dei file pcap. Se acquistate questa opzione, potete fare clic sul pulsante SSL/TLS che viene visualizzato (Figura 9.11).
Figura 9.11 L’opzione di decrittazione SSL/TLS in Debookee.
Il passo successivo nel processo di decrittazione TLS consiste nell’installare l’autorità di certificazione (Certificate Authority, CA) sulla macchina (Figura 9.12). Per avviare la NA (Network Analysis), fate clic sul pulsante Play in alto a sinistra nella schermata dell’applicazione (al di sotto del pulsante sta la scritta Start NA). Una volta installato il certificato fidato, fermate la NA facendo clic sullo stesso pulsante.
Figura 9.12 L’opzione di decrittazione in Debookee.
Dalla schermata della Figura 9.13, fate clic di nuovo sul pulsante Start NA . Aprite la pagina web o l’applicazione che volete analizzare (o il dispositivo che volete monitorare) e iniziate a generare pacchetti di dati aprendo e chiudendo funzioni diverse, inviando messaggi o semplicemente usando l’applicazione.
Figura 9.13 L’opzione di avvio della NA in Debookee.
Nella colonna a sinistra (Figura 9.14), sotto Own Traffic, vedrete che DNS HTTP si sono popolati. L’analisi NA continuerà fino a che non la chiudete. Quando siete soddisfatti dei dati raccolti, premete il pulsante di stop. Ricordate che i vostri file pcap vengono esportati automaticamente nella cartella che avete scelto in precedenza.
Figura 9.14 Connessioni DNS catturate.
Fate clic su DNS nella colonna di sinistra e vedrete tutte le connessioni DNS effettuate durante la NA (con relativi timestamp) con nomi di host e/o indirizzi IP che potete analizzare, oltre ai pcap. È consigliabile fare clic su File > Export e salvare questo elenco come file .doc o .txt. Potete poi usare qualche strumento di analisi DNS open source, come www.robtex.com oppure dnsdumpster.com/. Un clic sul pulsante HTTP (Figura 9.15), farà sì che venga visualizzato un elenco di tutti i pacchetti trasmessi su HTTP, HTTPS, TCP, SIP, IMAP e altri protocolli. Se non avete acquistato il modulo di decrittazione SSL/TLS, i pacchetti HTTPS (trasmessi sulla porta 443 con TLSv1.2) saranno visualizzati in rosso e non sarete in grado di leggerli fino a che non li avrete decrittati. 443 è il numero della porta per le comunicazioni HTTP sicure, in altre parole per il traffico web. Se avete acquistato il modulo di decrittazione SSL/TLS, i pacchetti
HTTPS saranno visualizzati in nero e, facendo un clic su di essi, i dati verranno presentati in chiaro nel campo dei dati (Figura 9.15).
Figura 9.15 Pacchetto (pcap) TikTok decrittato.
Fate clic su un pacchetto che volete esaminare. Nel campo dei dati vedrete del testo sotto la scheda Request. Esaminandolo, vedrete la richiesta GET completa, insieme con i parametri e i dati del pacchetto, che si presenteranno come nella Figura 9.16. GET è un metodo HTTP utilizzato per richiedere dati da una risorsa specifica, come per esempio un server web.
Figura 9.16 Sono visualizzati i dati della richiesta GET.
Potete poi fare clic sulla scheda Response per vedere il pacchetto di risposta della pagina web o dell’applicazione. La Figura 9.17 mostra la risposta di una pagina web. Lo. Status code 200 significa che lo scaricamento è andato a buon fine.
Figura 9.17 I risultati della risposta.
Potete scegliere di esportare i pacchetti (Figura 9.18) per analizzarli in seguito. Potete esportare i dati in un file di testo o in documentoWord.
Figura 9.18 La funzione Data Export in Debookee.
Nella Figura 9.19 e nella Figura 9.20 potete vedere la posizione e i dati del messaggio che sono stati trasmessi in chiaro mentre era usata l’applicazione di appuntamenti Tinder. Questi dati sono stati osservati ispezionando l’intero pacchetto in un documento di testo.
Figura 9.19 Informazioni su posizione, dispositivo e utente dall’app Tinder.
Figura 9.20 Messaggio dall’app Tinder visualizzato in chiaro.
I pcap generati da Debookee poi possono essere esportati e analizzati con Wireshark; quest’ultimo può effettuare anche la cattura dei dati ed è lo strumento consigliato per gli utenti di Windows.
App di appuntamenti Nel 2017 le app presenti su Google Play erano 3,6 milioni, quelle sullo App Store di Apple erano 2,1 milioni; solo l’8,5% di quelle app erano cross-platform, cioè erano disponibili sia per iOS, sia per Android. Gli adulti negli Stati Uniti usano i dispositivi mobili in modi che solo 15 anni fa non si sarebbero neppure potuti immaginare. Secondo un rapporto del Pew Research Center sul mobile dating, il 15% degli adulti (dai 18 anni in su) negli Stati Uniti dichiarava di avere usato siti di appuntamenti online o app di appuntamenti da mobile. L’uso dei siti di appuntamenti fra i giovani adulti (dai 18 ai 24 anni) è quasi triplicato nell’arco di due soli anni, passando dal 10% al 27%. È importante perciò che gli investigatori sappiano quali tipi di informazioni si possono ricavare dalle app di appuntamenti da mobile. Inoltre, la diffusione dell’ingegneria sociale sui dati ricavati dai social media fa sì che le app di appuntamenti siano fonte di preoccupazione per i rischi che possono causare. Con il recente aumento delle connessioni di match-making online, dopo che il caso Snowden ha reso evidenti a tutti i problemi della privacy, si potrebbe discutere se le applicazioni di appuntamenti utilizzino in modo etico i dati personali. Nel marzo 2018, una falla di sicurezza nell’app Grindr ha rivelato i dati sulla posizione degli utenti, che avrebbero potuto esporli a forme di molestia; Grindr è una app di appuntamenti usata principalmente da gay e purtroppo ha reso possibili molti attacchi contro gay. Comprendere le informazioni disponibili da
una app di appuntamenti è quindi estremamente importante, per la natura dei reati che vengono commessi, i collegamenti ai social media, le capacità di geolocalizzazione e di comunicazione di queste app.
Tinder Nel 2018, Tinder aveva 57 milioni di utenti in tutto il mondo. Milioni dei suoi abbonati pagano per un servizio premium: Tinder Plus o Tinder Gold. L’app è usata in 190 paesi e supporta 40 lingue. Di proprietà del Match Group, Inc., è un’applicazione per gli appuntamenti basata sulla geolocalizzazione. Mette in contatto persone single e consente di “scorrere verso destra” con il dito se ci si vuole connettere con una persona, oppure di “scorrere verso sinistra” se non si prova interesse per la persona. L’utente può anche “scorrere verso l’alto” (il cosiddetto “super like”), che notifica all’utente in questione di aver ricevuto un “supergradimento”. La possibilità di bloccare passivamente le comunicazioni con persone a cui non si è interessati è ciò che rende Tinder attraente per tante persone. Tinder dà all’utente la possibilità di entrare in chat con altri, se le due parti hanno effettuato uno “scorrimento verso destra” reciproco in modo anonimo. Un utente non ha l’obbligo di divulgare il proprio numero di cellulare e può decidere autonomamente quali informazioni personali è disposto a condividere con un altro utente quando si è instaurata una corrispondenza. Le chat nell’applicazione sono conservate in ordine cronologico e possono essere cancellate. Tinder offre anche una versione basata sul Web del proprio servizio, all'URL tinder.com (Figura 9.21). Il sito web dà agli utenti la possibilità di usare i servizi di Tinder senza uno smartphone. L’utente semplicemenete accede con le proprie credenziali; i servizi di localizzazione però devono essere attivati nel browser per poter usare la versione web dell’applicazione.
Figura 9.21 Un profilo utente Tinder sul Web.
Una delle funzionalità più apprezzate di Tinder consente agli utenti di sincronizzare la propria pagina Instagram con il profilo Tinder (Figura 9.22). Se dunque si è instaurato un “match” (una corrispondenza) fra A e B, poiché entrambe le persone hanno effettuato un “trascinamento a destra” sul profilo dell’altra, e A ha sincronizzato il proprio profilo Tinder con quello Instagram, B sarà in grado di vedere anche il suo profilo Instagram, anche se quel profilo è impostato come “privato”. Il collegamento di account di social media in questa modalità è definito deep-linking, “collegamento profondo”.
Figura 9.22 L’app Tinder collegata a Instagram.
Si può collegare a un account Tinder anche un account Spotify mediante il deep-linking. Questa funzionalità consente agli utenti di condividere le playlist personali con altre persone con cui hanno un match. Un utente può applicare un “Anthem” al proprio profilo, che può essere il brano che preferisce. Con Robtex (www.robtex.com), possiamo creare una mappa dei domini associati con Tinder, alcuni dei quali sono visualizzati nella Figura
9.23.
Figura 9.23 Dati DNS per gotinder.com (fonte: Robtex.com).
Con strumenti come Robtex, traceroute e whatismyipaddress.com, un investigatore può stabilire dove siano conservati i dati dell’utente per quell’applicazione e appurare sotto quale giurisdizione ricadano. Un’analisi delle connessioni DNS di Tinder mostra che l’app connette il profilo di un utente con server gestiti da Facebook, Leanplum, Appsflyer, DoubleClick e molte altre aziende. Con Debookee è stato possibile intercettare messaggi Tinder: un esempio è visibile nella Figura 9.24. La Figura 9.25 mostra un campione di connessioni DNS associate con Tinder e catturate con Debookee.
Figura 9.24 Cattura di pacchetti HTTPS in Debookee e messaggio di chat decifrato.
Figura 9.25 Un campione di traffico DNS catturato con Debookee.
Con BlackLight, un’analisi statica dei dati dell’utente contenuti nel database SQLite di Tinder su un iPhone rivela che i dati sono memorizzati in chiaro. Cosa interessante, durante questa analisi è stato possibile vedere un account Instagram privato. Inoltre, quell’account Instagram (privato) conservava foto Instagram di altri utenti, senza il consenso dell’utente. Sessioni di chat, nomi utenti e dati Instagram dell’utente erano tutti memorizzati in chiaro sull’iPhone usato per il test. Associato a ciascun profilo si può trovare un URL che consente all’utente di accedere alla pagina del profilo di un altro utente, anche se il profilo è contrassegnato come privato. Un esame del database SQLite di Tinder ha anche reso possibile individuare la posizione di altri utenti Tinder che si trovavano nelle vicinanze, come si vede nella Figura 9.26.
Figura 9.26 ZDISTANCEMILES visualizza a che distanza si trovano altri utenti.
È possibile anche ottenere informazioni più precise sulla posizione degli utenti nelle vicinanze, come si vede nella Figura 9.27.
Figura 9.27 Dati di geolocalizzazione ricavati dall’app Tinder.
Grindr Esistono molte app per mobile che possono fornire prove per un’indagine, ma Grindr è stata usata per alcuni dei reati più odiosi, perciò merita un’attenzione particolare da parte degli investigatori. Stephen Port, di East London, nel Regno Unito, è stato chiamato il “serial killer di Grindr” perché è stato accusato di avere ucciso quattro uomini che aveva incontrato con questa app. Esistono letteralmente centinaia, se non migliaia di casi in cui Grindr è stato usato per attirare le vittime e quindi commettere reati che vanno dall’omicidio alla violenza alla rapina. D’altra parte, l’app Grindr conserva una grande quantità di informazioni in chiaro, che possono aiutare quanti conducono le indagini. Grindr è stato lanciato nel 2009 ed è il social network più importante del mondo per persone gay, bisessuali, trans e queer. A differenza delle tradizionali app di appuntamenti come Tinder e Bumble, Grindr è stato progettato per trovare persone nelle immediate vicinanze dell’utente. Il valore di distanza minimo che Tinder/Bumble incorporano nella loro piattaforma è di un miglio, ma Grindr arriva a “zero metri di distanza”, come è dichiarato esplicitamente nella sezione “About” della pagina web relativa. Non esiste “trascinamento a sinistra” o “non mi piace” e le persone sono elencate dalla più vicina alla più lontana. Non esistono parametri per selezionare certi tipi di utenti, come invece è nel caso di Tinder (intervallo di età, genere ecc.). Se un utente vuole entrare in contatto con un altro, semplicemente fa un “tap” sul profilo di quella persona, alla quale arriva una notifica. A quel punto i due utenti possono inviarsi immediatamente un numero illimitato di messaggi, che possono essere testi, immagini e sticker “GayMoji”. Applicazioni di appuntamenti molto diffuse come Tinder e Bumble richiedono che entrambi gli utenti indichino esplicitamente la disponibilità a entrare in contatto con l’altro, ma Grindr invece non
richiede il consenso reciproco per iniziare una sessione di chat. Esiste una salvaguardia a protezione dalle molestie: l’utente può semplicemente cancellare il “tap” relativo a un utente che non gradisce, concludendo così la sessione di messaggi. Esistono differenti tipi di “tap” che danno una rappresentazione visuale di quello che la persona sta cercando. Si può toccare un’icona “Hi”, nel caso la persona voglia semplicemente presentarsi o magari anche solo chiacchierare. Si può toccare un’icona a “fiamma”, se la persona è interessata a un appuntamento o ad avere rapporti sessuali. Infine, si può toccare un’icona “emoji diavolo sorridente” se la persona cerca un’interazione “no strings attached”, cioè senza obblighi. Se il messaggio è testuale, verrà mostrato in anteprima accanto al profilo dell’utente. Se è una foto o un video, verrà presentata invece una piccola icona a forma di fotocamera Una funzionalità relativamente recente dei messaggi di Grindr è l’avviso di lettura, che indica cioè se la persona a cui era destinato ha effettivamente aperto il messaggio. Nella Figura 9.28 si possono vedere i simboli della fiamma e del diavoletto sorridente. Grindr è presente in oltre 196 paesi e ha oltre 3,6 milioni di utenti attivi ogni giorno (dati del 2018). In media questi utenti inviano ogni giorno 228 milioni di messaggi e 20 milioni di fotografie. Al momento in cui scriviamo, non esiste interfaccia web per Grindr che supporti le chat fra utenti. Un utente però può creare un profilo in www.grindr.com. Evidenze da Grindr Grindr supporta il deep-linking verso social media come Facebook, Instagram, Twitter. Una caratteristica di Grindr è che consente a un utente di sincronizzare la propria pagina Instagram personale direttamente con il proprio profilo Grindr. In questo modo chi abbia fatto un tap sul profilo Grindr di quell’utente può vedere la pagina del
suo profilo Instagram. Grindr poi dà all’utente la possibilità di passare direttamente a Instagram. Questa funzionalità dà all’utente ancora più mezzi per decidere se la persona con cui è entrato in contatto è una persona con cui vorrebbe continuare a interagire. Entrambi gli utenti devono comunque passare attraverso il processo di richiesta di “seguire” l’altro e di accettare la richiesta dell’altro in Instagram, se l’account Instagram è privato. Anche un account Facebook può essere sincronizzato con un account Grindr: viene offerto un collegamento diretto con un solo clic al profilo Facebook su quest’ultima applicazione.
Figura 9.28 L’interfaccia di chat di Grindr.
Grindr si connette con un buon numero di indirizzi IP, come si vede nella Figura 9.29. Seguendo la traccia di questi indirizzi IP si arriva a San Francisco, in California.
Figura 9.29 Mappa DNS di www.grindr.com.cdn.cloudfare.net (fonte: Robtex.com).
Debookee può identificare i pacchetti delle comunicazioni di Grindr da iPhone, mentre vengono trasmessi. Il contenuto è cifrato con TLS/SSL. Tuttavia, mediante lo strumento di decrittazione TLS offerto da Debookee, è possibile vedere una quantità significativa del traffico DNS e HTTPS, come si può osservare nella Figura 9.30. I messaggi sono inviati attraverso cdns.grindr.com sulla porta 443, con Amazon Web Services Inc.
Figura 9.30 Decifrazione del pacchetto HTTPS catturato in Debookee.
Anche se Grindr ha apportato aggiornamenti di sicurezza alla propria piattaforma dopo il 2008, le terze parti responsabili delle pubblicità, come Nexage, trasferiscono ancora informazioni personali delicate, fra cui posizione esatta, sesso ed età, in chiaro, come si vede nella Figura 9.31. Questo significa che chiunque conduca un attacco di tipo man-inthe-middle potrebbe vedere tutti quei dati.
Figura 9.31 Banner di Mopub che comprende informazioni di identificazione personale: età, sesso e posizione esatta.
In un database SQLite, greventLog.sqlite, si possono trovare molte indicazioni di latitudine/longitudine memorizzate in chiaro, come si vede nella figura 9.32. Ogni transazione di messaggio viene inviata con dati di geolocalizzazione aggiornati. Poi si può usare un convertitore di latitudine/longitudine per individuare l’indirizzo.
Figura 9.32 Dati di latitudine/longitudine ricavati da greventLog.sqlite.
I messaggi in Grindr non sono cifrati e sono memorizzati in chiaro. Dopo aver visualizzato i dati, un utente ha un identificatore univoco, che è visualizzato nella parte “from” e nella parte “to”, che è un ID univoco per il suo iPhone, come si vede nella Figura 9.33. Dopo aver raggiunto PersistenceStore.bin, è possibile vedere tutti i dati dei messaggi generati fra due dispositivi. Si possono recuperare in chiaro anche i messaggi in ingresso, come si vede nella Figura 9.34.
Figura 9.33 Messaggi di testo estratti in chiaro e visualizzati nella scheda Hex (BlackLight).
Figura 9.34 Messaggi di testo in chiaro visualizzati nella scheda Strings (BlackLight).
App di ridesharing Le informazioni sulla posizione sono sempre importanti in un’indagine, perché l’investigatore non cerca semplicemente prove incriminanti, ma deve anche stabilire dove si trovava un sospettato. Come scopriremo presto, le app di ridesharing, come Uber, contengono molti dati di geolocalizzazione facilmente accessibili.
Uber Uber è un servizio che consente agli autisti di fungere da appaltatori flessibili e di fornire servizi di trasporto in concorrenza con quelli dei
taxi tradizionali. Utilizzando l’app per mobile Uber, l’utente può cercare un’auto disponibile nella sua area. Il vantaggio per il consumatore è di avere una mappa visiva della posizione delle auto di Uber nelle vicinanze e di ricevere un’offerta anticipata per un percorso specifico (un “ride”). Uber è attivo in circa 600 città in tutto il mondo. In passato, la stampa ha dato recensioni negative di Uber per il suo tracciamento degli utenti, che ha sollevato varie preoccupazioni in merito alle sue regole per la privacy e alle sue pratiche, potenzialmente invasive, di raccolta dei dati. Nell’aprile 2017, il New York Times ha pubblicato un articolo in cui documentava una riunione, avvenuta nella sede della Apple nel 2015, fra Travis Kalanick, CEO di Uber, e Tim Cook, CEO di Apple. L’articolo sosteneva che Cook si era lamentato con Kalanick perché gli iPhone venivano identificati e marcati dopo che l’app Uber era stata disinstallata o il dispositivo era stato reinizializzato. Evidentemente, questo tipo di codifica dell’identità degli utenti violava l’accordo sui termini di servizio degli sviluppatori Apple. Un articolo del New York Times spiegava come Unroll.me, che sosteneva di eliminare dalla casella di posta del dispositivo messaggi pubblicitari indesiderati, veniva usato per spiare i concorrenti. L’articolo documentava come Unroll.me esaminasse la casella dell’utente, identificasse se vi erano ricevute di servizi di aziende concorrenti come Lyft e poi vendesse quelle informazioni al concorrente di Lyft, Uber. Da quando è stato introdotto iOS 5, Apple ha limitato l’accesso all’UDID (Unique Device Identifier) dell’iPhone agli sviluppatori di app. Una nota di Apple precisava: “A partire dall’1 maggio, l’App Store non accetterà più nuove app o aggiornamenti di app che accedano all’UDID; aggiornate le vostre app e i vostri server per associare gli utenti con gli identificatori Vendor o Advertising introdotti in iOS 6”.
Apple ora preferisce che gli sviluppatori di app utilizzino la piattaforma ufficiale Apple di advertising per tracciare gli utenti. Sulla base delle policy di Apple per la pubblicità e la privacy, risulta che Apple raccolga dati degli utenti e poi li condivida con terze parti. Cionostante, gli sviluppatori possono ottenere molte informazioni sugli utenti di una app mediante l’integrazione dell’oggetto UIDevice. Quest’ultimo può essere usato da uno sviluppatore per stabilire il nome assegnato al dispositivo, il suo modello e la versione di iOS, l’orientamento del dispositivo (proprietà orientation), la carica della batteria (proprietà batteryState) e la distanza del dispositivo dall’utente (proprietà proximity-State). Inoltre gli sviluppatori, durante lo sviluppo dell’app, possono integrare codice per gli strumenti di analytics di terzi. Fra queste società terze vi sono Localytics, mixpanel, UXCam e Fabric. Aziende come Apptopia forniscono agli sviluppatori strumenti di analytics molto ampi, o meglio invasivi, sulle app dei concorrenti. L’UDID dell’utente non è stato sempre utilizzato per fini malevoli; spesso è stato utilizzato per stabilire se l’utente di una app era un utente legittimo e per bloccare l’accesso se un account era compromesso o potenzialmente rubato. Il fingerprinting è un’altra metodologia utilizzata da terzi per identificare univocamente gli utenti sulla base della configurazione dell’applicazione. Di solito questo metodo è usato per identificare gli utenti online sulla base delle impostazioni del browser, che possono comprendere cookie e plug-in. La Electronic Frontier Foundation (EFF) ha creato un progetto, denominato Panopticlick (panopticlick.eff.org), per far capire a tutti come il browser sia usato dagli inserzionisti pubblicitari e altri per identificare e tracciare gli utenti sul Web. La EFF ha annunciato che l’84% degli utenti online può essere identificato univocamente in base al proprio browser.
Secondo l’informativa sulla privacy di Uber (in inglese anche sul sito italiano), sono due le categorie di informazioni raccolte sugli utenti: (a) “dati forniti dagli utenti”, che possono includere nome, email, numero di telefono, indirizzo postale, immagine del profilo e metodo di pagamento e (b) “dati creati durante l’uso dei nostri servizi”, che possono comprendere informazioni sulla posizione, contatti, transazioni, usi e preferenze, informazioni sul dispositivo, dati su chiamate e SMS e informazioni di log. Particolarmente interessanti sono le informazioni sul dispositivo (modello dell’hardware, sistema operativo e versione, nome e versioni di software e file, lingua preferita, identificatore univoco del dispositivo, identificatori di pubblicità, numero di serie, informazioni sui movimenti del dispositivo e informazioni sulla rete mobile). Per quanto riguarda le informazioni sulla posizione, Uber non specifica fino a che punto viene tracciata la posizione dell’utente, ma dice che raccoglie la posizione precisa del dispositivo quando l’app è in esecuzione in primo piano o in background. Uber fornisce informazioni più dettagliate sull’uso dei servizi di geolocalizzazione sul suo sito web nella sezione iOS App Permissions. Una cosa interessante è che, durante l’installazione dell’app Uber, compare una finestra di dialogo che precisa come Uber raccolga informazioni sulla posizione dell’utente quando l’app è aperta e dal momento della richiesta di un viaggio fino a cinque minuti dopo la fine della corsa, come si vede nella Figura 9.35.
Figura 9.35 La finestra di dialogo di Uber durante l’installazione.
Nelle FAQ (in italiano sul sito italiano) Uber sostiene: “utilizziamo i dati per offrire comode soluzioni di trasporto e consegna, aiutare gli autisti partner a ottimizzare i loro guadagni e impegnarci a garantire la sicurezza degli utenti sulla nostra piattaforma”. Tuttavia ci sono stati utenti che hanno riferito di aver visto l’app Uber usare servizi di localizzazione settimane dopo l’ultimo uso dell’app, e sicuramente ben oltre i 5 minuti dichiarati. Uber ha risposto dando la colpa
all’estensione iOS Maps della Apple, che Uber usa per presentare mappe regionali ai propri clienti. Probabilmente non sorprenderà nessuno che Uber abbia investito molto nella data science, per conservare il proprio vantaggio competitivo, come dimostra la sua aggressività nel reclutamento di data scientist. Sappiamo anche che Uber usa ampiamente un programma pilota telematico, denominato Autohawk, per identificare la posizione dei propri autisti e per condurre test diagnostici del veicolo per garantire la sicurezza dei passeggeri. In effett, Uber presenta informazioni di geolocalizzazione, fornite dal suo team di visualizzazione dei dati, sul proprio sito web all’URL eng.uber.com/dataviz-intel. Uber integra nella propria app mobile sia Fabric sia Localytics. Fabric fornisce ad aziende come Uber informazioni in tempo reale sullo stato di salute delle loro app, fra cui analisi dei crash dell’applicazione. Localytics invece fornisce informazioni sulla posizione. A novembre del 2017, sono numerose le accuse sui programmi di Uber di spionaggio della concorrenza. La causa Waymo contro Uber sembra indicare che Uber possa essere stata coinvolta in spionaggio illegale. Una lettera, presentata come prova in questo procedimento e scritta da Richard Jacobs, ex responsabile della sicurezza di Uber, spiega in dettaglio le pratiche illegali di Uber di assumere attori per raccogliere dati e spiare i propri concorrenti. Nella lettera Jacobs, che al tempo aveva intentato causa a Uber come “whistleblower”, parlava di pratiche che avrebbero condotto al furto di segreti commerciali collegati alle tariffe dei concorrenti e agli incentivi offerti agli autisti. Uber ha patteggiato pagando 4,3 milioni di dollari a Jacobs. Le sue accuse ora sono state rese pubbliche e sono state usate in un caso collegato, Waymo contro Uber. In questo caso, un ex dipendente è stato
accusato di aver venduto segreti commerciali a Uber, prima che l’azienda venisse acquisita da Uber.
App di comunicazione Si può sicuramente dire che app di comunicazione come WhatsApp, Signal, Viber e Skype oggi sono più importanti delle tradizionali linee telefoniche fisse o di quelle su rete cellulare per molti motivi. Il primo è che è molto più facile ottenere contenuti da queste app che ottenere l’autorizzazione a un’intercettazione telefonica. In secondo luogo, i contenuti sono molto più ricchi di quelli di una telefonata tradizionale o di un messaggio testuale. Per esempio, gli utenti, reagendo ai commenti di altri, condividono contenuti ricchi. In altre parole, si possono trovare chat di gruppo che possono collegare i singoli e si possono vedere emoticon e altre forme di reazione ai messaggi che dimostrano personalizzazione e comportamenti.
Skype Le forze dell’ordine sanno che oggi le comunicazioni cellulari in generale costituiscono solo una piccola parte delle comunicazioni che avvengono via smartphone. Le gang criminali in effetti preferiscono spesso usare app di comunicazione per il mobile, anziché le tradizionali telefonate sulla rete cellulare. Perciò è fondamentale avere una buona conoscenza di applicazioni come Skype, Viber, enLegion e WhatsApp. Skype è un’applicazione di comunicazione peer-to-peer (P2P) che rende possibili comunicazioni gratuite in video, audio e messaggistica istantanea mediante una connessione Wi-Fi. Skype consente anche il trasferimento di file a contatti Skype e telefonate in voce a telefoni fissi e cellulari (a pagamento) mediante VoIP. Skype può essere usato con computer Mac, personal computer, tablet, smartphone, smart television,
riproduttori Blu-ray smart e sistemi di gioco come la Xbox One e la PS Vita PlayStation di Sony. Skype conta quasi 300 milioni di utenti attivi ogni mese in tutto il mondo. L’azienda è stata acquistata nel 2011 da Microsoft Corporation per 8,5 miliardi di dollari. La posizione di Skype La posizione geografica è importante, per quanto riguarda la giurisdizione, quando si conduce un’indagine. Se l’indagine viene condotta negli Stati Uniti, è utile che ci sia una sede dell’azienda negli Stati Uniti. Anche la presenza di un server negli Stati Uniti però può consentire alle forze dell’ordine di emettere un’ingiunzione per quell’entità. Skype ha la sede centrale in Lussemburgo, ma ha uffici anche a Londra (Regno Unito), Palo Alto (USA), Tallinn (Estonia), Praga (Repubblica ceca), Stoccolma (Svezia), Mosca (Russia) e Singapore. La cifratura di Skype I messaggi istantanei (IM) fra Skype e il servizio di chat nel cloud sono cifrati con TLS (Transport Level Security). I messaggi fra due utenti Skype sono cifrati con AES (Advanced Encryption Standard). I messaggi vocali sono cifrati quando vengono inviati al destinatario; quando però vengono scaricati e ascoltati, vengono salvati sul computer client in chiaro. Anche le chiamate Skype sono cifrate. Quando l’utente effettua il login, Skype verifica la chiave pubblica dell’utente utilizzando certificati RSA a 1536 o 2048 bit. Le evidenze da Skype Il file di database SQLite associato con Skype è main.db. In questo database SQLite si possono trovare i file seguenti.
DbMeta Contacts Videos SMSes CallMembers ChatMembers Alerts Conversations Participants VideoMessages LegacyMessages Calls Accounts Transfers Voicemails Chats Messages ContactGroups AppSchemaVersion MediaDocuments MessageAnnotations Translators tracker_journal
La chiave del Registro associata a Skype si trova in: HKEY_CURRENT_USER\Software\Skype
In un PC Windows, il file si trova in questa posizione: %localappdata%\Packages\Microsoft.SkypeApp_kzf8qxf38zg5c\LocalState\
In un Mac, il file si trova in questa posizione: ~/Library/Application Support/Skype/YourSkypeName/main.db
La Tabella 9.1 e la Tabella 9.2 presentano le PList associate ad applicazioni che possono risultare interessanti per gli investigatori. Trovate ulteriori informazioni sulle PList nel Capitolo 11. Tabella 9.1 PList di applicazioni. Applicazione Facebook
File SQLite Friends.sqlite
LinkedIn
PList com.facebook.Facebook.plist com.linkedin.LinkedIn.plist
Dropbox
Dropbox.sqlite
com.getdropbox.Dropbox.plist
Skype
main.db
com.skype.skype.plist
Amazon
com.amazon.Amazon.plist
eBay
com.ebay.iphone.plist
Google Maps
MapTiles.sqlitedb
Tinder
Tinder2.sqlite
WhatsApp
ChatStorage.sqlite
net.whatsapp.WhatsApp.plist
Tabella 9.2 File .db delle app per Apple. App Apple
File SQLite
Phone
AddressBook.sqlitedb
Calendar
Calendar.sqlitedb
Phone
Voicemail.db
Phone
Call_history.db
Messages
Sms.db
Safari
Safari/History.db
Maps
Maps/History.plist
Siri
ManagedObjects.SQLite
Riepilogo La Mobile Forensics è diventata estremamente importante per le indagini per la ricchezza delle evidenze disponibili. Le app che si trovano su un dispositivo sono utili, per il fatto che i dati contenuti nel database SQLite non siano cifrati per molte app mobile. Inoltre il deeplinking, che collega un’applicazione a un’altra, consente a un
investigatore di estrarre dati da più fonti esaminando una sola applicazione. I dati disponibili durante un’analisi statica possono comprendere contatti, chat, dati sulla localizzazione, immagini e altre informazioni importanti. Come abbiamo visto, un database SQLite è un database relazionale che comprende una serie di tabelle. Un’analisi statica non si limita a estrarre evidenze utilizzando strumenti forensi, ma comprende anche un esame del manifesto dell’applicazione. Quest’ultimo identifica chiaramente le autorizzazioni associate con l’applicazione, che contribuiranno a guidare l’investigatore alla ricerca di evidenze collegate a quelle autorizzazioni. Un’analisi dinamica può aiutare un investigatore a capire quali possano essere evidenze da terze parti, sulla base delle connessioni di una app a server DNS quando è in esecuzione. In ultima istanza, si può risalire a queste aziende terze per ottenere ulteriori evidenze (grazie a un’ingiunzione o un mandato). Un’analisi dinamica può stabilire anche la posizione dei server, associati a un’applicazione mobile, al fine di stabilire la giurisdizione competente. In questo capitolo abbiamo parlato a lungo delle app di mobile dating, che sono importanti per la grande quantità di informazioni personali che sono disponibili, principalmente sotto forma di informazioni dei social media. Queste applicazioni di appuntamenti sono importanti anche perché permettono di collegare fra loro le persone. Grindr è di particolare interesse per le forze dell’ordine perché questa app di appuntamenti è stata effettivamente utilizzata per commettere reati, in particolare reati d’odio.
Glossario App ID. Una stringa in due parti che identificano rispettivamente un team di sviluppo (Team ID) e un’applicazione (bundle ID). Bundle ID. Un identificatore di tipo uniforme, costituito da caratteri alfanumerici, che identifica univocamente una app specifica.
Emulatore Android. Un’applicazione che simula o esegue il sistema operativo Android in una macchina virtuale. GET. Un metodo HTTP utilizzato per richiedere dati da una risorsa specifica, per esempio un server web. Man-in-the-middle (MITM), attacco. Un tentativo di intercettare comunicazioni elettroniche fra due dispositivi informatici, con l’intento di decifrare messaggi cifrati. Manifesto Android. Un file che contiene il nome di package dell’applicazione, le sue funzionalità, le autorizzazioni, i requisiti hardware e software per l’installazione. Pcap, file. Un pacchetto wireless che contiene dati dell’utente e dati della rete relativi a mittente e destinatario di quei dati. Zero-day exploit. Una vulnerabilità di sicurezza che è una minaccia il giorno in cui viene scoperta, perché una patch software per risolverla non esiste ancora.
Valutazione Domande a risposta aperta 1. Sulla base di quello che avete appreso in questo capitolo, dal punto di vista della sicurezza, come potete stabilire se l’uso di un’applicazione mobile è sicuro? 2. In quali modi le app per mobile hanno aiutato i criminali e le loro attività? 3. In quali circostanze è legale usare strumenti di cattura dei pacchetti wireless come Wireshark o Debookee?
Domande a risposta multipla
1. Con quale di questi sistemi operativi è associato un file .apk? A. B. C. D.
Android. iOS. Wireshark. Windows.
2. Quale dei seguenti si riferisce a un pacchetto wireless che contiene dati dell’utente e dati della rete relativi al mittente e al destinatario di quei dati? A. file pcap. B. Bundle ID. C. File manifesto Android.
Completa le frasi 1. Un file __________ Android contiene il nome del package dell’applicazione, le sue funzionalità, le autorizzazioni, i requisiti hardware e software per l’installazione. 2. Un __________ Android è un’applicazione che simula o esegue il sistema operativo Android in una macchina virtuale. 3. Un file __________ è un pacchetto wireless che contiene dati dell’utente e dati della rete relativi a mittente e destinatario di quei dati. 4. Un __________ ID è un identificatore di tipo uniforme, costituito da caratteri alfanumerici, che identifica univocamente un’app specifica. 5. Un __________ ID è una stringa in due parti, che identificano rispettivamente un team di sviluppo (Team ID) e un’applicazione (bundle ID).
6. Un/uno __________-day exploit è una vulnerabilità di sicurezza che costituisce una minaccia il giorno in cui viene scoperta, perché ancora non esiste una patch software che vi ponga rimedio. 7. Un attacco __________ è un tentativo di intercettare comunicazioni elettroniche fra due dispositivi informatici con l’intento di decifrare messaggi cifrati. 8. __________ è un metodo HTTP utilizzato per richiedere dati da una risorsa specifica, per esempio un server web.
Progetti Scrivere un saggio su una app per mobile Scegliete un’app mobile molto diffusa, di cui non si sia parlato in questo capitolo, poi eseguite un’analisi statica e dinamica dell’app, utilizzando strumenti di analytics discussi in questo capitolo. Descrivete il valore delle prove che si possono trovare (a) dal punto di vista di un investigatore di Digital Forensics e (b) dal punto di vista della sicurezza organizzativa e della privacy.
Capitolo 10
Photograph Forensics
Obiettivi Di seguito i temi principali che verranno affrontati nel corso di questo capitolo. L’uso delle immagini fotografiche da parte degli utenti dei social media. I metadati nelle immagini fotografiche. I diversi tipi di file delle fotografie digitali. L’ammissibilità delle fotografie in tribunale. Casi in cui sono state utilizzate prove fotografiche. Si fotografa sempre di più ed è sempre più frequente l’uso di fotografie in tribunale. Fotografie sono state utilizzate sia per catturare criminali ricercati, sia per far condannare sospetti criminali. La lista dei Ten Most Wanted dell’FBI (www.fbi.gov/wanted/topten/) è l’elenco più famoso dei maggiori ricercati. L’uso di queste fotografie è tanto efficace che molti criminali hanno ammesso di essersi sentiti perduti quando la loro foto è stata aggiunta alla lista: hanno avuto la sensazione che la loro cattura fosse solo questione di tempo. Thomas James Holden è stato il primo a entrare nella Ten Most Wanted dell’FBI (Figura 10.1): era stato condannato per una rapina a un treno postale negli anni Venti del secolo scorso e poi era stato protagonista di una
fuga rocambolesca dal Penitenziario di Leavenworth nel Kansas. Fu poi catturato nel 1932. Le forze dell’ordine usano da anni le fotografie per la ricerca di persone scomparse o per identificare vittime. Grazie ai passi avanti compiuti in campo informatico e alla diffusione dei social network, oggi si possono a volte riaprire vecchi casi irrisolti. Nel 2011, la polizia di Huntington Beach ha utilizzato Facebook per sollecitare l’aiuto del pubblico nell’identificazione di una vittima di omicidio del 1968 (caso n. 68-006079). Dopo che su Facebook è stata pubblicata la foto della giovane donna (Figura 10.2), la polizia ha ricevuto molte chiamate. Accanto al cadavere era stata trovata una borsetta, che si pensava appartenere alla vittima, contenente varie fotografie; quando però le fotografie sono state pubblicate su Facebook, la polizia ha ricevuto molte chiamate ed email dalle quali si capiva che si trattava di una falsa pista.
Figura 10.1 Thomas James Holden.
Figura 10.2 La sconosciuta di Huntington Beach, 1968.
La polizia di Huntington Beach e di molti altri luoghi usa regolarmente i social media, come Facebook (www.facebook.com/HuntingtonBeachPolice), per chiedere al pubblico aiuto nell’identificare sospettati presenti in fotografie pubblicate sulla pagina del profilo della stazione di polizia (Figura 10.3). Analogamente, la Doe Network (www.doenetwork.org) è un’organizzzazione che pubblica immagini e dettagli relativi a persone non identificate o scomparse.
Figura 10.3 Il profilo Facebook della Royal Canadian Mounted Police della Prince Edward Island (una delle province del Canada).
National Center for Missing and Exploited Children (NCMEC) Prove fotografiche sono ovviamente della massima importanza per i casi di sfruttamento di minori. Il National Center for Missing and Exploited Children (NCMEC) e altre organizzazioni conservano enormi database di hash di immagini di minori sottoposti a sfruttamento, nella speranza che possano aiutare nel ritrovare bambini scomparsi o nel perseguire i pedofili. Viene usato un hash anziché la foto effettiva, così che le forze dell’ordine possano effettuare ricerche e condividere informazioni senza dover vedere immagini disturbanti. Si può usare l’algoritmo MD5 per creare un identificatore univoco per ogni fotografia. I valori hash possono essere inviati al Law Enforcement Services Portal (LESP) nel NCMEC e il personale delle forze dell’ordine invia copie delle immagini al NCMEC.
Le agenzie delle forze dell’ordine non sono le uniche organizzazioni che lavorino con il NCMEC. Sono state costituite iniziative volontarie per aiutare il NCMEC a identificare siti web e utenti che condividono pornografia infantile. Il NCMEC mantiene nella sua URL Initiative un elenco di URL che si sanno contenere pornografia infantile. Nel 2009 la Microsoft ha collaborato con il Dartmouth College allo sviluppo di PhotoDNA, che aziende e NCMEC possono usare per identificare pornografia infantile sui propri server. Anche se la ricerca di immagini illecite è volontaria, molte aziende ben note usano il software a sostegno del NCMEC. La Hash Value Sharing Initiative consente ai fornitori di servizi elettronici di ricevere una lista di valori hash MD5 di bambini abusati.Nel 2015 Microsoft ha resto disponibile PhotoDNA su Azure, come servizio gratuito per le forze dell’ordine e altre organizzazioni qualificate.
Project VIC Project VIC è una collaborazione fra forze dell’ordine degli Stati Uniti, forze dell’ordine internazionali e partner del settore privato, con l’obiettivo di salvare minori vittima di abusi, catturare autori di reati sessuali e preservare le scene del crimine. ProjectVIC è un enorme database di hash di foto di minori abusati, condiviso dalle forze dell’ordine e dal settore privato, che può creare collegamenti ad altre indagini. Oggi molti strumenti forensi si connettono a ProjectVIC per identificare rapidamente le vittime, attraverso PhotoDNA, e contribuiscono a un database esistente di immagini delle vittime. Le task force Internet Crimes Against Children (ICAC) in tutti gli Stati Uniti si collegano a questo database per individuare minori scomparsi e per indagare sui criminali che producono e distribuiscono quelle foto illecite.
Casi Evidenze fotografiche sono state determinanti per risolvere casi e vengono spesso utilizzate come prove a supporto. Le fotografie digitali possono essere migliorate e possono includere metadati importanti, i dati EXIF. Nel caso delle indagini sullo sfruttamento sessuale di minori, si usano spesso gli oggetti sullo sfondo per cercare di stabilire dove la fotografia sia stata scattata, per cercare di ritrovare un minore scomparso. Questa sezione mostra quanto sia importante l’evidenza fotografica.
Selfie in Facebook Cheyenne Rose Antoine, una ventunenne canadese, si è dichiarata colpevole dell’omicidio dell’amica Brittney Gargol, nel marzo 2015. Una cintura trovata accanto al corpo della vittima corrispondeva a quella indossata dalla Antoine, in un selfie pubblicato su Facebook solo poche ore prima dell’omicidio. La cintura era stata usata da Antoine per strangolare Gargol. Antoine è stata condannata a sette anni di carcere.
Cattura di un predatore In un servizio della CNN nel marzo 2017, l’agente speciale Jim Cole, supervisore all’identificazione delle vittime del Cyber Crimes Center delle Homeland Security Investigations e cofondatore di Project VIC, descriveva come un predatore scattasse foto dei suoi atti con un minore in un bagno. Utilizzando nuove tecnologie avanzate, Cole era riuscito a identificare una boccetta di un farmaco in una delle fotografie, a ingrandire la scritta sulla boccetta e a identificare il nome e le prime due lettere del cognome riportati sull’etichetta, nonché le prime tre cifre del numero della ricetta con cui era stata acquistata. Il team di Cole era
stato in grado anche di ricavare le impronte digitali del sospettato dalla fotografia. Queste prove alla fine sono state determinanti per far condannare a 110 anni di carcere Stephen Keating e hanno portato al salvataggio di 14 vittime. È davvero enorme la quantità di tempo che le forze dell’ordine dedicano alle indagini sullo sfruttamento di minori e a impedire la distribuzione di immagini di abusi su minori. L’agente speciale Cole, nel medesimo servizio della CNN, dichiarava che la sua task force esaminava ogni settimana 500.000 immagini di sfruttamento sessuale di minori, il che equivale a 25 milioni di immagini all’anno, una cifra sconvolgente..
Estorsione Purtroppo, immagini sessualmente esplicite vengono usate spesso per manipolare le vittime o estorcere denaro. Craig Britton di Colorado Springs ha creato un sito web dal nome IsAnybodyDown. Il sito pubblicava fotografie compromettenti di donne, con tanto di nome e numero di telefono, poi pretendeva dalle persone 250 dollari per togliere la loro fotografia dalle pagine del sito. L’individuazione di questo e di altri siti simili ha spinto lo stato della California a promulgare una legge che vieta il cosiddetto “revenge porn”. Ora chiunque pubblichi online immagini di nudo con “l’intento di molestare o nuocere” rischia sei mesi di carcere e una multa di 1000 dollari. (Il reato di “revenge porn” è stato preso in considerazione anche in Italia, con la legge n. 69 del 2019.) Nel 2013, Jared Abrahams è stato arrestato e accusato di avere installato nascostamente una webcam nell’abitazione di Cassidy Wolf, Miss Teen USA. Abrahams è stato accusato di tentata estorsione ai
danni della modella, per mezzo di fotografie e video in cui l’aveva ripresa nuda. È stato poi condannato a 18 mesi di carcere.
Introduzione alla fotografia digitale Che cos’è dunque esattamente una fotografia digitale? È un’immagine ottenuta con una fotocamera e memorizzata come file di computer. A differenza delle fotocamere tradizionali che si ottenevano con l’esposizione di pellicola fotografica alla luce, una fotocamera digitale crea un’immagine mediante un dispositivo elettronico sensibile alla luce. Le fotocamere possono essere di forme e dimensioni diverse, possono presentarsi come fotocamere dal corpo tradizionale, come webcam, o essere incorporate in telefoni cellulari e tablet.
File system Le immagini digitali possono essere salvate su vari tipi di supporti di memoria, fra cui i seguenti: memoria interna; SD Card; CompactFlash; MMC. Il file system utilizzato dalle memorie flash è FAT. Con il tempo la risoluzione delle fotografie digitali è aumentata e si è reso necessario usare una versione più robusta della FAT; le fotocamere di fascia più alta ora usano exFAT come file system standard di fatto. Il file system Design Rule for Camera Il file system Design Rule for Camera (DCF) è stato sviluppato dalla Japan Electronic Industries Development Association (JEIDA) per
facilitare lo scambio di immagini fra fotocamere digitali e altri dispositivi di visualizzazione di fotografie digitali. DCIM (Digital Camera IMages) DCIM (Digital Camera IMages) è la directory radice nel file system di una fotocamera digitale e contiene una serie di sottodirectory al cui interno si trovano le immagini. Questa directory fa parte del DCF dal 1998 ed è diventata un protocollo standard per le fotocamere digitali. DSCN (Digital Still Capture Nikon) DSCN (Digital Still Capture Nikon) è il prefisso delle immagini digitali per le fotocamere Nikon. Consente di associare un’immagine a una fotocamera Nikon.
Applicazioni e servizi per la fotografia digitale In questa sezione vedremo quanto siano diventate importanti le fotografie. In particolare, i siti dei social media e i dispositivi “smart” che usano applicazioni di social media possono costituire enormi magazzini di immagini fotografiche. Queste immagini a volte possono essere prove incriminanti o semplicemente aiutare a risolvere un crimine o a individuare una persona scomparsa. Applicazioni come Facebook conservano milioni di fotografie dei loro utenti e il detto che “un’immagine vale più di mille parole” è spesso vero. Facebook Facebook è probabilmente il servizio di social networking più diffuso al mondo. Gli utenti creano un profilo e comunicano con i loro amici, familiari e contatti di lavoro o online o attraverso un’applicazione per dispositivi mobili. Un aspetto importante di queste
comunicazioni è la condivisione di foto digitali. L’importanza di questa funzionalità per Facebook è evidenziata dall’acquisizione di Instagram (per un miliardo di dollari). Nel 2012 Facebook ha acquisito anche Face.com, un’azienda israeliana specializzata in riconoscimento facciale. Secondo Face.com, nel 2011 l’azienda aveva scoperto e identificato 18 miliardi di volti mediante le proprie API e le app Facebook. Ecco qualche dato a proposito di Facebook su cui vale la pena riflettere. Facebook ha oltre 2,7 miliardi di utenti attivi (a ottobre 2020). Facebook conserva oltre 100 miliardi di fotografie digitali. In media, ogni giorno vengono caricati in Facebook 350 milioni di immagini.
Flickr Flickr è una società di hosting per foto e video che consente agli utenti di organizzare e condividere ciò che caricano nel sito. L’accesso a Flickr è possibile attraverso il Web e anche mediante un’applicazione che si installa sui dispositivi mobili. Elenchiamo qualche dato su Flickr. Flickr ha milioni di utenti ogni mese. Gli utenti hanno condiviso miliardi di fotografie in Flickr. Ogni giorno sul sito viene caricato in media un milione di fotografie.
Instagram Kevin Systrom e Mike Krieger hanno fondato Instagram nel 2010. Nell’aprile 2012, Facebook ha acquisito l’azienda per un miliardo di dollari (in contanti e azioni). Questa applicazione consente agli utenti di condividere contenuti fotografici e video con la propria cerchia di
relazioni. Instagram è disponibile per computer tradizionali, smartphone e tablet, per i sistemi operativi Windows, iOS e Android. Vediamo qualche dato relativo a Instagram. Instagram ha oltre un miliardo di utenti in tutto il mondo. Sono miliardi le fotografie caricate in Instagram. Ogni giorno vengono caricati milioni di nuove fotografie.
Snapchat Questo servizio è attivo dal settembre 2011 e consente agli utenti di condividere fotografie e video. Il mittente può fissare un limite di tempo oltre il quale l’immagine o il video scompaiono (da 1 a 10 secondi). Dal punto di vista forense, queste immagini spesso sono ancora presenti sul dispositivo dell’utente, anche se questi pensa che il file sia stato cancellato. In effetti, la Federal Trade Commission (FTC) degli Stati Uniti ha sostenuto che l’azienda ha fatto dichiarazioni false in merito a privacy e sicurezza. Vediamo di seguito qualche dato significativo su Snapchat. Snapchat ha milioni di utenti attivi quotidianamente e mensilmente. Gli utenti condividono ogni giorno miliardi di foto e video (“snap”).
Esame di file di immagini Esistono tre tipi di metadati per le fotografie: Extensible Metadata Platform (XMP), Information Interchange Model (IIM) ed Exchangeable Image File Format (EXIF). Ci concentreremo qui sul formato più diffuso, EXIF.
Exchangeable Image File Format (EXIF) Exchangeable Image File Format (EXIF) è il formato per metadati associati alle immagini digitali, pubblicato dalla Japan Electronic Industries Development Association (JEIDA) nel 1995. La maggior parte dei dispositivi digitali oggi usa questo formato di dati. Fra i dati EXIF vi sono i seguenti: data e ora; marca e modello della fotocamera; miniatura; apertura, tempo di esposizione e altre impostazioni della fotocamera; facoltativamente, latitudine e longitudine. Naturalmente, è importante verificare che data e ora nella fotografia siano corrette. La BR Software produce uno strumento gratuito, EXIFextracter, che è in grado di estrarre i dati EXIF da una cartella di fotografie e poi salvare quei metadati in un file CSV (comma-separated values, a valori separati da virgole), come si può vedere nell’esempio di output riportato nella Figura 10.4.
Figura 10.4 Un esempio di output prodotto da EXIFextracter.
Va notato che i dati EXIF possono essere manipolati. Quindi, per garantire l’integrità di una fotografia digitale, possibilmente andrebbe usato un hash MD5 per stabilire che una copia non sia stata manipolata nel corso del tempo. ExifTool è un software gratuito che consente a un
utente di modificare i metadati di una fotografia o di un file audio o video. Un altro strumento gratuito è Jeffrey’s Image Metadata Viewer. Tipi di file È importante che un investigatore forense abbia ben chiaro in che cosa si distinguono i diversi tipi di immagini, perché potrà essere interrogato sui formati di file delle immagini, sulle loro caratteristiche o sulla possibilità che vengano modificati. Un’immagine raster (a punti) può consentire una modifica più agevole dei colori, mentre un’immagine vettoriale può mantenere la stessa qualità indipendentemente dal livello di ingrandimento. Le immagini raster sono quelle a pixel che si trovano in genere su un computer o si recuperano da una fotocamera digitale: sono costituite da una griglia di pixel (gli elementi minimi di immagine, che possono essere punti o quadrati). Un megap ixel è pari a un milione di pixel. Nelle fotografie digitali di oggi il numero dei pixel è molto elevato e le dimensioni dei file possono diventare molto grandi. Si può stabilire la dimensione dei file per diversi tipi di immagini fotografiche sulla base delle dimensioni in megapixel, attraverso il sito toolstud.io/photo/megapixel.php. Per ridurre le dimensioni delle immagini digitali si usano algoritmi di compressione. JPEG e GIF sono formati che usano la compressione. Sono esempi di grafica raster i tipi di file seguenti: Joint Photographic Experts Group (.jpg o .jpeg); RAW; Bitmap Image File (.bmp); Portable Network Graphics (.png); Graphics Interchange Format (.gif); Tagged Image File Format (.tif).
Mentre le immagini raster sono costituite da punti, quelle vettoriali sono costituite da curve, linee o forme basate su formule matematiche. È più probabile che nel corso delle indagini si trovino immagini raster, che non immagini vettoriali, ma vale comunque la pena di citare i tipi di file vettoriali. Sono esempi di tipi di file vettoriali: Adobe Illustrator (.ai); Encapsulated PostScript (.eps); Scalable Vector Graphics File (.svg); Drawing (.drw).
Joint Photographic Experts Group (JPEG) Joint Photographic Experts Group (JPEG) è sia il nome di un comitato, sia un formato di file per le immagini. Il formato JPEG è molto diffuso perché è un formato compresso e supporta un numero molto elevato di colori. È però un formato lossy: la compressione cioè causa una perdita di qualità dell’immagine. In un file JPEG spesso sono incorporate una o più miniature. Il file carving è la tecnica per estrarre questi file incorporati. Nel caso di Cat Schwartz di TechTV, la presentatrice aveva usato Photoshop per ritagliare alcune foto di sé stessa e poi le aveva caricate online. Schwartz però non sapeva che Photoshop crea miniature incorporate delle foto originali, mentre qualche utente se ne è reso conto ed è riuscito a recuperare le miniature, in cui era visibile il seno della presentatrice. Molti smartphone, molti tablet e molte fotocamere digitali memorizzano le foto come JPEG. RAW Quando si scatta una fotografia con una fotocamera digitale di fascia alta, questa può o elaborarla producendo un file JPEG oppure salvare i dati in un file RAW, che contiene i dati registrati dal sensore della
fotocamera e non elaborati o al più sottoposti a una minima elaborazione. L’utente deve dedicare del tempo in seguito a elaborare le immagini RAW, ma può scegliere questo formato per ottenere fotografie di qualità più elevata e per avere un maggiore controllo sulle modalità di elaborazione. Per esempio, il fotografo può avere un maggiore controllo sui toni di un’immagine RAW, invece di lasciare che sia la fotocamera a svolgere quella funzione e a decidere su luminosità e colori. Il fotografo avrà a disposizione una maggior quantità di dati per le sue manipolazioni perché invece, nella creazione di un JPEG, una certa quantità di informazioni viene scartata dalla fotocamera e non è più recuperabile. I produttori delle fotocamere di fascia alta hanno tutti i loro formati di file RAW proprietari, che possono essere diversi anche da modello a modello (a parità di marca). Digital Negative (DNG) è uno standard aperto per immagini RAW sviluppato da Adobe per le fotografie digitali. Bitmap Image File (BMP) Il Bitmap Image File (BMP) è un formato di file per immagini raster, in genere associato ai PC Windows. Portable Network Graphics (PNG) Il Portable Network Graphics (PNG) è un formato di file per immagini raster che supporta la compressione lossless (cioè senza perdita di informazioni). Le immagini in formato PNG sono usate spesso in Internet. Graphics Interchange Format (GIF) Graphics Interchange Format (GIF) è un formato di file per immagini raster sviuppato dalla CompuServe, Inc. nel 1987. Le
immagini GIF possono essere compresse con l’algoritmo Lempel-ZivWelch (LZW), che consente la compressione lossless. Tagged Image File Format (TIFF) Tagged Image File Format (TIFF) è un formato di file per immagini raster che usa una compressione senza perdita di informazioni. Come GIF, usa l’algoritmo di compressione Lempel-Ziv-Welch (LZW). TIFF è stato sviluppato da Aldus, società poi acquisita dalla Adobe Systems e in origine era un formato ideale per gli scanner. thumbcache.db thumbcache.db è un database di miniature, associato con le fotografie digitali, che si trova sui computer Windows 10. Ogni volta che si salva un’immagine in una cartella, viene aggiunta una miniatura di quella foto a thumbcache.db. Ciò che è importante per l’investigatore è il fatto che, quando viene cancellata una foto digitale, la miniatura resta in thumbcache.db. Inoltre, se l’utente ha un file PowerPoint (.ppt o .pptx) o un file video (MPG o AVI), una miniatura della prima inquadratura verrà salvata in thumbcache.db. Nelle versioni precedenti di Windows, il file in cui cercare era invece thumbs.db. thumbcache.db si può trovare nella cartella C:\Users\\AppData\Local\Microsoft\Windows\Explorer. Strumenti come FTK di AccessData possono ordinare e visualizzare le miniature di questo database; esiste poi anche uno strumento gratuito, Thumbcache Viewer, disponibile da Sourceforge, in grado di analizzare i contenuti di thumbcache.db.
Ammissibilità come prove Trovare fotografie digitali incriminanti è una cosa, poterle fare ammettere come prove è un’altra. Le leggi sono cambiate in modo da
consentire che in tribunale vengano accettate come prove non solo le fotografie tradizionali, ma anche quelle digitali. Lo Scientific Working Group on Digital Evidence (SWGDE, https://www.swgde.org) ha prodotto linee guida di cui un investigatore forense deve essere a conoscenza. In particolare, SWGDE Technical Overview for Forensic Image Comparison è una guida utile per gli investigatori. Altre pubblicazioni importanti sono SWGDE Best Practices for Image Authentication e SWGDE Training Guidelines for Image Analysis, Video Analysis and Photography.
Federal Rules of Evidence (FRE) L’articolo X delle Federal Rules of Evidence (FRE), le norme federali degli Stati Uniti sulle prove ammissibili, riguarda i “Contenuti di scritti, registrazioni e fotografie”. In questo articolo, la definizione di “fotografie” include fotografie in senso stretto, radiografie, nastri video e filmati. Un “originale” può essere un negativo o una stampa da negativo. Un “duplicato” è un “equivalente prodotto dalla stessa impressione dell’originale, o dalla stessa matrice, o mediante fotografia, inclusi ingrandimenti e miniature, o mediante ri-registrazione meccanica o elettronica”. In sostanza, si deve usare un originale; in assenza dell’originale, si può usare un duplicato se è considerato una copia “genuina”. L’uso di un duplicato per una fotografia digitale può essere problematico, perché sono molte le applicazioni che possono modificare una fotografia digitale; Photoshop è l’esempio emblematico. A un testimone esperto quindi può essere richiesto di verificare l’autenticità dell’originale. Una fotografia digitale però è memorizzata su un computer, perciò, in base all’articolo X della Rule 1001, una stampa o “altro output leggibile a vista” è considerata un originale in base alle FRE. Ogni stato degli USA ha poi le proprie regole per le prove, ma nel caso delle
fotografie digitali quelle statali sono spesso molto simili a quelle federali delle FRE. Una domanda importante, allora è: come si fa a stabilire se una copia di una fotografia digitale è identica all’originale? Un modo per dimostrarlo è creare un hash MD5 della fotografia digitale originale e poi un hash MD5 del duplicato e vedere se corrispondono. Confrontare immagini fotografiche può essere importante, per stabilire se qualcuno le ha utilizzate senza il consenso del proprietario, o nel caso in cui l’accusa voglia dimostrare che un sospettatoo distribuiva fotografie illecite di minori ad altri pedofili.
Fotografie analogiche e digitali È interessante il fatto che l’uso delle fotografie digitali come prove offra molti vantaggi, rispetto alle fotografie tradizionali. Con la tecnologia convenzionale, capire se una fotografia era stata manipolata spesso era difficile. Anche se esistono molte applicazioni che permettono di modificare le fotografie digitali, scoprire che sono state modificate è possibile. Per esempio, un investigatore può esaminare i metadati di una fotografia e vedere se sono stati apportati cambiamenti, e quando; inoltre, certi strumenti possono identificare differenze di risoluzione fra parti diverse dell’immagine e differenze nelle “firme” del rumore. L’altro vantaggio dell’uso di immagini digitali è che l’investigatore può applicare strumenti che consentono di migliorare o rendere più nitide le immagini e rendere meglio visibili sfondi o oggetti lontani, grazie alla risoluzione più elevata. La possibilità di eliminare rumore dagli oggetti è più grande che mai. Esistono molti strumenti di miglioramento delle fotografie, come ClearID, che possono rimuovere sfocature (processo di deblurring) da prove fotografiche e video.
Miglioramenti delle immagini Si possono usare varie tecniche per migliorare il livello di definizione di un’immagine. Regolazioni di luminosità la rendono più chiara o più scura, così da renderla più facilmente leggibile. Il bilanciamento del colore è il processo di regolazione dei colori in un’immagine in modo che rispecchino più accuratamente la scena originale nel momento il cui la fotografia è stata scattata. È possibile regolare il contrasto fra oggetti e sfondo in modo da rendere più chiaramente visibili gli oggetti. Il ritaglio (cropping) è il processo di rimozione di parti non desiderate dell’immagine: non sempre il ritaglio è consigliabile, a meno che l’investigatore non possa mostrare in tribunale l’originale e dimostrare la necessità di effettuare il ritaglio. Tecniche di filtraggio lineare possono migliorare i bordi e rendere più definiti gli oggetti in un’immagine, riducendo la sfocatura. Possono presentarsi casi in cui l’immagine non abbia bisogno di un miglioramento, ma di un restauro. Con l’aumentare della risoluzione delle fotografie digitali, aumentano anche le dimensioni dei file e diventa più probabile che i file delle immagini siano frammentati all’interno di un volume, anziché memorizzati in settori contigui. Il restauro di un’immagine può comportare anche il riportare all’originale fotografie modificate o manipolate. Per esempio, a un’immagine potrebbe essere stata applicata una tecnica di deformazione (warping) e si rende necessario ricostruire l’originale. Maggiori informazioni sulle immagini digitali come prove e la loro manipolazione si possono trovare nei lavori pubblicati dallo Scientific Working Group on Imaging Technologies (SWGIT), un’organizzazione fondata dall’FBI che pubblica standard sull’uso di prove digitali e multimediali nei procedimenti giudiziari. Individuare immagini false o modificate
James O’Brien dell’Università della California a Berkeley, in collaborazione con Hany Farid ed Eric Kee della Dartmouth University, ha sviluppato un algoritmo per stabilire se le ombre in tutta un’immagine sono coerenti con l’esistenza di un’unica sorgente lumonosa. Purtroppo, l’occhio umano non è in grado di individuare facilmente incoerenze nella distribuzione di luci e ombre; a volte invece questo è importante, per dimostrare che una foto sia o non sia stata manipolata.
Casi Le fotografie sono state usate come prove in indagini di ogni tipo; in particolare, comunque, sono alla base di molte indagini su casi di pornografia infantile. Immagini fotografiche vengono usate spesso anche in casi relativi a proprietà intellettuale e in indagini su frodi assicurative.
Caccia all’uomo a livello mondiale Nel 2007, l’INTERPOL, sia pure malvolentieri, ha avviato una caccia all’uomo a livello mondiale per un pedofilo ricercato. La riluttanza derivava dal fatto che l’INTERPOL non voleva né rischiare di mettere pubblicamente alla berlina il sospettato, né dimostrare di essere stata in grado di decifrare un’immagine fotografica di un sospettato che era stata manipolata. Alla fine, su tutti gli altri fattori ha prevalso l’opportunità di impedire ulteriori abusi nei confronti di minori. La Figura 10.5 mostra la fotografia mascherata del sospettato che l’INTERPOL ha dovuto interpretare. La Figura 10.6 mostra la fotografia originale (ricostruita).
Figura 10.5 Immagine digitale deformata (dal sito web dell’INTERPOL).
Figura 10.6 Fotografia decifrata di Christopher Neil Paul (dal sito web dell’INTERPOL).
La fotografia decifrata è stata inviata alla polizia e ai media di tutto il mondo. Dopo solo 11 giorni di ricerca a livello mondiale, la polizia thailandese ha arrestato Christopher Neil Paul, di nazionalità canadese, in seguito condannato a tre anni e tre mesi di carcere.
NYPD Facial Recognition Unit
La Facial Recognition Unit del New York Police Department (NYPD) ottiene campioni di foto, inoltrati dagli investigatori, di soggetti ricercati. Quelle foto possono essere ottenute da social media, video di sorveglianza o altre fonti e vengono poi confrontate con le foto segnaletiche di persone che hanno subito in precedenza arresti. Questo processo contribuisce spesso a individuare sospettati. L’Unità ha catturato vari ricercati, fra cui David Baez, individuato attraverso una fotografia online e arrestato in relazione a un’aggressione nel Bronx, a New York. L’Unità ha anche usato fotografie ottenute da vetture a noleggio per catturare Alan Marrero, ricercato in relazione a numerose rapine ai danni di autisti di veicoli a noleggio.
Riepilogo Il personale delle forze dell’ordine usa le fotografie da circa un secolo per trovare criminali ricercati e anche per la ricerca di persone scomparse. Le fotografie digitali aggiungono qualcosa di utile per gli investigatori, perché contengono metadati, che possono includere marca e modello della fotocamera, se sia stato usato un flash, diaframma, longitudine e latitudine (se il dispositivo con cui è stata ottenuta la fotografia era abilitato ai servizi di localizzazione). EXIFextractor della BR Software è uno strumento per estrarre velocemente metadati di fotografie digitali. La maggior parte degli strumenti di Computer Forensics è in grado di estrarre fotografie incorporate in email e altri documenti e anche fotografie a sé stanti. I sistemi operativi e le applicazioni per computer, come Microsoft Windows e Microsoft Office, sono accompagnati da molte immagini, fra cui i loghi. Per fortuna, gli strumenti di Computer Forensics conoscono i valori hash associati a vari sistemi operativi e a varie applicazioni e filtrano quelle immagini durante la perquisizione del computer di un indagato, in modo
che l’investigatore possa concentrarsi esclusivamente sulle immagini dell’utente. I social media costituiscono alcuni fra i più grandi database di volti e danno la possibilità alle forze dell’ordine di individuare persone ricercate. La Facial Recognition Unit del NYPD setaccia Internet per trovare ricercati e consegnarli alla giustizia. A Londra, nel Regno Unito, sono attive circa 500.000 videocamere CCTV: un’indicazione di quanto stia aumentando l’importanza delle evidenze fotografiche e video.
Glossario Bilanciamento del colore. Il processo di regolazione dei colori in un’immagine, in modo che rispecchino più accuratamente la scena originale ripresa nell’immagine. Bitmap Image File (BMP). Un formato di file per immagini raster, in genere associato a un PC Windows. DCIM (Digital Camera IMages). La directory radice nel file system di una fotocamera digitale, che contiene una serie di sottodirectory in cui si trovano le immagini digitali. Design Rule for Camera file system (DCF). Un formato sviluppato dalla Japan Electronic Industry Development Association (JEIDA) per facilitare lo scambio di immagini fra fotocamere digitali e altri dispositivi per la visualizzazione di immagini digitali. Digital Negative (DNG). Un formato standard aperto per immagini RAW sviluppato da Adobe per la fotografia digitale. DSCN (Digital Still Capture Nikon). Il prefisso per il nome delle immagini digitali sulle fotocamere Nikon. Exchangeable Image File Format (EXIF). Il formato per i metadati associati alla maggior parte delle immagini digitali.
Fotografia digitale. Un’immagine prodotta da una fotocamera e memorizzata come file digitale. Graphics Interchange Format (GIF). Un formato di file per immagini raster sviluppato da CompuServe nel 1987. Joint Photographic Experts Group (JPEG). È sia il nome di un comitato, sia un formato di file per immagini definito da quel comitato. Filtraggio lineare. Tecniche che possono migliorare i contorni e rendere più definiti gli oggetti in un’immagine, riducendo il livello di sfocatura. Lossy. Si dice delle tecniche di compressione dei file che provocano un certo grado di perdita di informazioni e quindi una riduzione della qualità delle immagini. Megapixel. È pari a un milione di pixel. Pixel. L’elemento minimo di un’immagine raster; può essere un punto o un quadratino. Portable Network Graphics (PNG). Un formato di file per immagini raster che supporta una forma di compressione lossless (senza perdita di informazioni). Raster, immagini. Un’immagine a punti (pixel): sono di questo tipo le immagini che si trovano in genere in un computer o vengono recuperate da una fotocamera digitale. RAW. Un formato per immagini digitali: i dati vengono ricavati direttamente dal sensore della fotocamera digitale, senza elaborazioni (o con elaborazione minimale). Regolazione del contrasto. Il processo di miglioramento del contrasto fra oggetti e sfondo per rendere gli oggetti più chiaramente visibili. Regolazione di luminosità. Una regolazione che rende un’immagine più chiara o più scura, così che sia più facilmente leggibile.
Ritaglio (cropping). La rimozione di parti non desiderate di un’immagine. Scientific Working Group on Imaging Technologies (SWGIT). Un’organizzazione fondata dall’FBI che pubblica standard sull’uso di prove digitali e multimediali nei procedimenti giudiziari. Tagged Image File Format (TIFF). Un formato di file per immagini raster che usa una tecnica di compressione dei dati senza perdita di informazioni (lossless). Vettoriali, immagini. Immagini costituite da forme geometriche (linee, curve e altre figure) definite da formule matematiche, e non da punti (pixel).
Valutazione Domande a risposta aperta 1. In quali modi vengono usate le fotografie digitali dalle forze dell’ordine? 2. Quali sono alcuni problemi associati all’ammissibilità delle fotografie digitali nei procedimenti giudiziari? 3. In quali tipi di casi le fotografie digitali sono estremamente importanti?
Domande a risposta multipla 1. Quale fra i seguenti tipi di file conserva i dati estratti dal sensore della fotocamera digitale senza che siano sottoposti ad alcuna elaborazione (o a una elaborazione minimale)? A. PNG.
B. BMP. C. JPEG. D. RAW. 2. Quale delle espressioni seguenti indica il processo di rimozione di parti non desiderate da un’immagine? A. B. C. D.
Ritaglio. Filtraggio lineare. Bilanciamento del colore. Regolazione del contrasto.
3. Quale fra i seguenti è il prefisso per i nomi di immagini ottenute con una fotocamera Nikon? A. B. C. D.
DCIM. DSCN. DCF. DNG.
4. A quanti pixel corrisponde 1 megapixel? A. B. C. D.
1.000. 10.000. 100.000. 1.000.000.
5. Quale delle estensioni seguenti non corrisponde al nome di un file di immagine raster? A. B. C. D.
.jpg .bmp .eps .tif
6. Quale dei seguenti è uno standard aperto per il formato di immagine RAW per le fotografie digitali, sviluppato dalla Adobe? A. B. C. D.
DNG. PNG. GIF. TIFF.
7. Quale dei seguenti è l’elemento minimo di un’immagine raster, e che può essere un punto o un quadrato? A. B. C. D.
Raster. Vettore. Pixel. Megapixel.
8. Quale dei seguenti è un formato di file per immagini raster che usa una forma di compressione dei dati lossless (senza perdita di informazioni)? A. B. C. D.
Tagged Image File Format (TIFF). RAW. Digital Negative (DNG). Scalable Vector Graphics (SVG).
9. Quale fra le seguenti è un’organizzazione, fondata dall’FBI, che pubblica standard per l’uso di prove digitali e multimediali nei procedimenti giudiziari? A. B. C. D.
InfraGard. ASCLD/LAB. SWDGE. SWGIT.
10. Quale dei seguenti è il nome della directory radice che si trova nel file system di una fotocamera digitale e che contiene una serie di
sottodirectory in cui si trovano immagini digitali? A. B. C. D.
DNG. DCF. DCIM. PNG.
Completa le frasi 1. Il formato di file Joint Photographic __________ Group è il formato di file più comune per le fotocamere digitali, gli smartphone e i tablet. 2. Quando la compressione provoca una riduzione della qualità delle immagini, la si definisce una forma di compressione __________. 3. Un’immagine __________ è un’immagine a punti, come sono le immagini che si trovano normalmente in un computer o che si ricavano da una fotocamera digitale. 4. Un’immagine __________ è costituita da linee, curve o figure geometriche definite da formule matematiche, e non da pixel. 5. Il file system Design Rule for __________ è stato sviluppato dalla Japan Electronic Industry Development Association (JEIDA) per facilitare lo scambio di immagini fra fotocamere digitali e altri dispositivi per la visualizzazione di fotografie digitali. 6. L’espressione __________ descrive il processo di regolazione dei colori in un’immagine, in modo che rispecchino più accuratamente la scena originale come si presentava al momento dello scatto fotografico. 7. __________ Image File è un formato di file per immagini raster, associato in generale a un PC Windows.
8. Si usa il/la __________ per rendere un’immagine più chiara o più scura, così che risulti più facilmente leggibile. 9. Una __________ è un’immagine ripresa con una fotocamera e memorizzata come file digitale. 10. Exchangeable __________ File Format è il formato dei metadati associati alle immagini digitali.
Progetti Esaminare l’uso della fotografia digitale in ambito forense Descrivete in dettaglio un caso in cui l’uso di fotografie digitali sia stato determinante per la condanna di un imputato. Usare EXIFextractor per esaminare dati EXIF Scaricate lo strumento EXIFextractor della BR Software e usatelo per creare un file Excel di dati EXIF da una cartella di fotografie che si trovi nel vostro computer.
Capitolo 11
Mac Forensics
Obiettivi Di seguito i temi principali che verranno affrontati nel corso di questo capitolo. L’importanza della Mac Forensics. La storia dei dispositivi Apple. I file system Apple: HFS, HFS+, APFS. La cifratura di software e hardware Apple. Fir virtuali in un computer Macintosh. Property list (PList) e il loro valore per gli investigatori. Le applicazioni e i file associati. Strumenti forensi, hardware e software, per i computer Macintosh e i dispositivi iOS. Come esaminare i dispositivi mobili Apple. L’importanza della Mac Forensics è cresciuta molto in tempi recenti. I computer basati su Microsoft Windows costituiscono ancora la quota di mercato maggiore, specialmente nel mondo aziendale, ma la diffusione dei computer Macintosh è andata aumentando significativamente. La forte crescita delle vendite di computer Macintosh, di iPad e iPhone ha determinato il bisogno di esperti in Mac Forensics e di strumenti specializzati. Produttori di software per la Digital Forensics come BlackBag Technologies (Cellebrite) e SUMURI
si sono specializzati nello sviluppo di soluzioni di Mac Forensics. Apple comunque mette a disposizione una grande quantità di risorse tecniche, rivolte agli sviluppatori, che possono essere di grande utilità anche per gli investigatori.
Un po’ di storia Con sede a Cupertino, in California, Apple è stata costituita da Steve Jobs, Steve Wozniak e Ronald Wayne nel 1976. Fino alla metà degli anni Novanta l’azienda si è sviluppata ed è cresciuta, poi ha dovuto far fronte a enormi perdite finanziarie e al crollo del valore delle sue azioni. Nel 1997 è stata proprio Microsoft, da sempre grande concorrente, ad aiutare l’azienda a risollevarsi, grazie a un investimento di 150 milioni di dollari. Alla fine del 2001 Apple aveva ritrovato la strada del successo, con la distribuzione dei Mac OS X, l’apertura dei primi negozi e la presentazione del primo iPod.
Macintosh L’Apple I è arrivato sul mercato nel 1976; il primo Macintosh risale invece al 1984. Apple ha prodotto il primo laptop PowerBook nel 1991; fra il 1999 e il 2006 ha venduto una serie di laptop sotto il nome di iBook; il MacBook è stato introdotto nel 2006. Nel 1998 è iniziata la produzione degli iMac, realizzati in vari colori, un notevole allontanamento dalla tradizionale scelta del bianco o del nero per i desktop. Nel 2005 è stato presentato il Mac mini, una versione di Macintosh desktop di piccole dimensioni: il computer pesava meno di un chilogrammo e mezzo. Poi nel 2009 è stata presentata una versione server del Mac mini, priva di unità ottica ma dotata di una capacità di memoria allora enorme, con un disco rigido da 1 terabyte. La produzione dei Mac mini Server è cessata nel 2014,
mentre quella dei Mac mini è ancora in corso. Non è escluso però che un investigatore incontri ancora nel suo lavoro qualche mini Server.
Mac mini con OS X Server Il Mac mini Server aveva sostanzialmente le stesse dimensioni fisiche di un Mac mini. Anche le porte sul pannello posteriore erano esattamente le stesse (Figura 11.1). Il Mac mini Server pesa circa 100 grammi in più, ed è questa l’unica differenza fisica. Il modello server posteriore, però, aveva due dischi fissi da 1 TB, mentre i mini avevano solo un disco rigido da 500 GB o 1 TB. Un investigatore, dunque, che si trovi di fronte un Mac mini sequestrato non deve dare per scontato che sia un computer client: il sospettato avrebbe potuto gestire un server da casa propria, e questo può rendere molto più complessa un’indagine e costringere a cambiare i metodi di esame. Il Mac mini Server usa il sistema operativo OS X Server e comprende: Server; Xsan; File Server; Calendar Server; Contacts Server; Mail Server; Web Server; NetInstall; DNS; DHCP; Open Directory; Profile Manager; VPN Server; Wiki Server.
Figura 11.1 Il pannello posteriore di un Mac Mini.
iPod Il primo iPod è stato commercializzato nell’ottobre 2001 ed era disponibile in due modelli, con una capacità rispettivamente di 5 GB e 10 GB. L’iPod di prima generazione era compatibile solo con i computer Macintosh. La seconda generazione dell’iPod Classic è arrivata sul mercato nel luglio 2002 e questo modello era compatibile con Windows (2000). Risalgono poi al 2004 il primo iPod Mini (con un modello da 4 GB) e all’anno successivo l’iPod Nano e l’iPod Shuffle. Nel settembre 2007 tocca poi all’iPod Touch (Figura 11.2), disponibile in modelli da 8, 16 o 32 GB, che era sostanzialmente un iPod con capacità Wi-Fi, il che consentiva all’utente di navigare in Internet con
Safari, di guardare video di YouTube o di scaricare contenuti da iTunes in modalità wireless. L’unico iPod ancora oggi prodotto dalla Apple è l’iPod Touch, che ora ha una capacità di memoria fino a 256 GB.
Figura 11.2 iPod Touch.
iPhone
Nel 2007 Apple ha portato sul mercato un prodotto ancora più degno di nota, l’iPhone. La prima generazione utilizzava il sistema operativo iOS 1.0, con un modello da 4 GB (a 499 dollari) e uno da 8 GB (a 599 dollari). La collaborazione fra Apple e Cingular per lo sviluppo dell’iPhone ha avuto successo (testimoniato dalle vendite) e Cingular ha avuto come ricompensa la possibilità di essere il rivenditore esclusivo di iPhone per i primi quattro anni. L’involucro degli iPhone di prima generazione era in plastica e alluminio, diventato di sola plastica negli iPhone 3G e 3GS per migliorare il segnale cellulare. Da quegli inizi l’iPhone è cambiato moltissimo. Nel settembre 2019 Apple ha annunciato i nuovi iPhone 11, iPhone 11 Pro e iPhone 11 Pro Max; l’anno successivo è stata la volta dei modelli iPhone 12 e il sistema operativo iOS ha raggiunto la versione 14. La Figura 11.3 mostra l’iPhone 11. Recentemente, le possibilità di scelta di dispositivi iOS Apple per i consumatori si sono ampliate, con iPhone di fascia alta (come l’iPhone 11 Pro Max) e di fascia più bassa (come l’iPhone XR). Riparleremo dei modelli dell’iPhone più avanti nel capitolo.
Figura 11.3 iPhone 11.
iPad La prima generazione di iPad è stata posta sul mercato nel 2010 e, come gli iPhone e gli iPod, si basava su iOS. Un anno dopo è stato introdotto l’iPad 2, e i consumatori hanno potuto scegliere tra un iPad
tradizionale con Wi-Fi o uno in grado di collegarsi alla rete cellulare CDMA o GSM. L’iPad Air è stato introdotto nel novembre 2013, con un chip A7, fino a 128 GB di disco e un connettore di tipo Lightning. Oggi esistono fondamentalmente quattro diversi modelli: iPad, iPad Pro, iPad Air e iPad Mini.
iPad Pro Il primo iPad Pro è stato introdotto nel novembre 2015, con uno schermo da 12,9 pollici e RAM di tipo LPDDR4. Una terza generazione di iPad Pro, annunciata nell’ottobre 2018, integrava la tecnologia FaceID di Apple e poteva essere utilizzata tenendo il tablet sia in posizione verticale che orizzontale. Con la terza iterazione è scomparso il pulsante home. Con questa versione è diventata disponibile una capacità di disco fino a 1 TB e, come per gli altri modelli, esistono versioni solo Wi-Fi o con Wi-Fi e rete cellulare. La Figura 11.4 mostra la schermata principale di un iPad Air.
Figura 11.4 La schermata principale di un iPad Air.
Apple Watch L’Apple Watch è uno smart watch che si sincronizza con varie app dell’iPhone e di altri dispositivi Apple. Cosa di particolare importanza, l’orologio si collega all’app Health (Salute), che traccia l’attività dell’utente, con calorie bruciate, numero di passi e distanza percorsa camminando o correndo (in chilometri o miglia). L’orologio effettua anche il monitoraggio di funzioni vitali, come il battito cardiaco. L’Apple Watch può essere usato anche per rispondere a chiamate telefoniche, rispondere a SMS. Il dispositivo si può abbinare anche a un computer Mac per sbloccarlo quando è in modalità sleep. Dopo la prima introduzione nel 2015, sono comparse varie versioni successive:
Serie 1 e Serie 2 nel 2016, Serie 3 nel 2017, Serie 4 nel 2018, Serie 5 nel 2019, Serie 6 nel 2020. Prima di mettere sul mercato la Serie 4, la Apple ha finanziato uno studio di cardiologia con la Stanford University, focalizzato su una coorte di 400.000 consumatori senza precedenti disturbi cardiologici. L’obiettivo dello studio era usare l’Apple Watch per identificare aritmie cardiache, che possono essere usate per la diagnosi di condizioni gravi, come la fibrillazione atriale, possibile causa di infarto. I risultati dello studio fino a oggi sono stati solo parzialmente soddisfacenti, per il numero elevato di falsi positivi. Apple Watch: Serie 4 La Serie 4 ha introdotto un display di maggiori dimensioni e conteneva un processore dual-core a 64 bit molto più veloce. Il dispositivo conteneva anche un sensore elettrico per il cuore, e il suo elettrocardiogramma è stato approvato dalla Food and Drug Administration degli Stati Uniti, oltre a riceve il supporto dell’American Heart Association (AHA). Il dispositivo chiama automaticamente i servizi di emergenza, se individua un calo preoccupante. La Serie 4 contiene un modulo GPS e, nella versione cellulare, un chip LTE e una eSIM, il che significa che l’utente può fare e ricevere telefonate anche senza avere il proprio iPhone nelle immediate vicinanze. Per questa versione dell’Apple Watch è necessario sottoscrivere un piano cellulare distinto. Una eSIM (embedded SIM) è un Subscriber Identity Module saldato sulla piastra circuitale del dispositivo. Questa versione supporta anche Apple Pay (per i pagamenti). Apple Watch: Serie 5 e 6
La Serie 5 ha introdotto un nuovo “display Retina Always-On”, il che significa che il display dell’orologio è sempre attivo e permette anche un maggior numero di personalizzazioni. L’orologio può anche monitorare il ritmo cardiaco, uno sviluppo importante per gli investigatori, che possono usare i dati dell’Apple Watch come prove di conferma per mostrare che un sospettato o una vittima in un certo momento stavano, per esempio, dormendo o correndo. Un sistema di segnalazione incorporato avverte in caso di livelli di rumore elevati, che possono danneggiare l’udito. Una nuova app Cycle Tracking (Monitoraggio ciclo) può essere usata per tracciare il ciclo mestruale, il che in qualche caso può essere rilevante per un’indagine. Come la versione precedente, anche l’Apple Watch Serie 5 presenta un modello che supporta il servizio cellulare con l’uso di una eSIM. Continua anche il supporto per Apple Pay, come nel predecessore e nella successiva Serie 6. Con l’Apple Watch possono essere effettuati pagamenti, mediante un collegamento all’app Wallet, ai terminali POS (point of service) dei negozi. È possibile effettuare anche pagamenti da persona a persona, facilitati da Siri. All’app Wallet possono essere aggiunte anche tessere per i trasporti: per alcuni sistemi di trasporto, per esempio la metropolitana di New York, è già possibile superare i tornelli utilizzando un iPhone o un Apple Watch. La Serie 6 ha introdotto un nuovo processore, il SiP S6b, dalle prestazioni più elevate: è un dual-core basato sul chip A13 Bionic, presente già negli iPhone 11; sempre dagli iPhone 11 la nuova serie mutua anche un chip U1 e antenne Ultra Wideband per il riconoscimento spaziale (a corto raggio) che ne può consentire l’uso anche come chiave digitale (per le auto). Dal punto di vista delle funzionalità, la Serie 6 introduce anche un pulsiossimetro (per la misurazione dell’ossigeno nel sangue), funzione
in realtà già presente in modelli precedenti ma mai attivata per il livello di precisione non sufficiente per l’approvazione da parte della FDA degli Stati Uniti (livello ora raggiunto con un nuovo tipo di sensore). L’app Health (Salute) L’app Health (Salute nella versione italiana) è preinstallata sugli iPhone, come le app Weather (Meteo), Maps (Mappe), Photo (Fotocamera) e così via. Gran parte dei dati memorizzati dall’app Health derivano dall’Apple Watch e dai suoi sensori, oltre che dai sensori dell’iPhone. È appropriato quindi parlare di questa app in questa sezione. I dati dell’app spesso vengono salvati anche nell’account iCloud dell’utente, il che è sicuramente di interesse per gli investigatori. La ElcomSoft offre una soluzione, denominata Phone Breaker (elcomsoft.com), che può estrarre questi dati da iCloud. Belkasoft Acquisition Tool (belcasoft.com) è un’altra applicazione che può acquisire dati da iCloud; i dati poi vengono analizzati con Belkasoft Evidence Center. I dati dell’app Health possono includere questi elementi: pulsazioni cardiache; abitudini di sonno; punti di localizzazione: attività fisica; passi; routine di deambulazione. Per monitorare continuamente l’attività dell’utente vengono utilizzati sensori a basso consumo di energia. Più recentemente, Apple ha cercato di integrare le capacità di monitoraggio della salute anche negli AirPod. Anche Amazon e Google hanno investito in ricerche analoghe.
Dispositivi Wi-Fi Apple Apple produce vari dispositivi wireless che consentono ai consumatori di creare un “ambiente Apple” integrato wireless, nel senso che i dispositivi Apple dell’utente possono essere tutti connessi e possono condividere media e comunicazioni. Per esempio, un sito web in Safari aperto su un iPhone può essere aperto su un MacBook sincronizzato. Oppure una persona può rispondere a una chiamata telefonica sul proprio iPhone come con l’Apple Watch o sul MacBook. Conoscere questo “ambiente” Apple è importante, perché si possono recuperare evidenze da più dispositivi, in un’abitazione così come in un ufficio.
Apple TV La Apple TV è stata introdotta nel 2007 come dispositivo per vedere contenuti Internet in streaming su un televisore. I primi dispositivi di questo tipo avevano un disco da 40 GB, poi aumentato a 160 GB. La seconda generazione è stata annunciata nel settembre 2010 e la nuova versione consentiva di scaricare contenuti da iTunes, attraverso AirPlay, mediante un computer o un dispositivo iOS. AirPlay è un protocollo proprietario, sviluppato dalla Apple, per lo streaming di contenuti da Internet wireless e fra dispositivi compatibili. Nel marzo 2012 è stata introdotta una terza generazione di Apple TV e il nuovo dispositivo offriva video in alta definizione a 1080p. Dal punto di vista di un investigatore, solo la seconda generazione di Apple TV era di scarso valore forense, per la presenza di una memoria flash molto più piccola e inaccessibile. Da settembre 2017, la Apple TV 4K consente di vedere film in 4K HDR (High Dynamic Range). Questa versione esiste in due varianti, da 32 GB o 64 GB. Contiene un chip A10X con un processore a 64 bit. Il
sistema operativo è tvOS e si basa su iOS. Il numero di modello della Apple TV 4K è A1842. La buona notizia è che ora si può accedere ai file memorizzati in Apple TV grazie a un exploit denominato checkm8, di cui parleremo più specificamente nel seguito del capitolo. A settembre 2019, l’azienda ha annunciato il suo nuovo servizio di streaming, denominato Apple TV+, in concorrenza con altri servizi di streaming, come Netflix, Hulu e Disney+.
AirPort Express AirPort Express è una stazione base Wi-Fi che consente a un utente di connettere altri dispositivi Apple e di inviare in streaming wireless contenuti con un protocollo Wi-Fi 802.11n dual band. Per esempio, questo dispositivo può facilitare lo streaming audio da un computer a un sistema musicale via AirPlay. Un utente sulla rete può anche inviare in modo wireless compiti di stampa a una stampante in rete. Utilizzando una connessione Ethernet, AirPort Express può funzionare anche da punto d’accesso wireless e connettere fino a 50 utenti. Può anche estendere il raggio d’azione di una connessione Wi-Fi. Questo dispositivo non è più venduto da Apple, ma è possibile che un investigatore si imbatta ancora in questi oggetti.
AirPort Extreme AirPort Extreme è una stazione base Wi-Fi che possiede molte delle stesse caratteristiche di AirPort Express ma è progettata per abitazioni più grandi, piccole aziende o un’aula scolastica. Questo dispositivo usa il protocollo Wi-Fi 802.11ac. Può anche rendere possibile la condivisione di un disco esterno. Anche questo dispositivo non è venduto da Apple.
AirPort Time Capsule AirPort Time Capsule è un disco di backup wireless automatico per utenti del Mac (Figura 11.5). Ha molte caratteristiche in comune con la stazione Wi-Fi AirPort Extreme, ma contiene un disco da 2 o 3 TB. Può anch’esso operare in base allo standard Wi-Fi 802.11ac. Inutile dire che un AirPort Time Capsule offre enormi possibilità di reperire evidenze utili per un’indagine. Questo dispositivo non è più in produzione dall’aprile 2018, ma se ne possono trovare ancora in circolazione molti esemplari.
Figura 11.5 Time Capsule.
Macintosh File System Il Macintosh File System (MFS) è un file system “piatto”, introdotto con il computer Macintosh nel 1984 ed era stato sviluppato per la memorizzazione di file su floppy disk. Con la progressiva crescita delle dimensioni dei volumi, è stato introdotto un nuovo file system, denominato Hierarchical File System (HFS), sviluppato da Apple nel 1985 a supporto del suo primo disco rigido. Introdotto nel 1998, Hierarchical File System Extended (HFS+) era un altro file system
proprietario di Apple che supportava file di maggiori dimensioni e il set di caratteri Unicode. In generale, il sistema operativo Apple è basato su UNIX e il file system HFS+ è stato aggiornato in modo da poter funzionare con macOS (in precedenza chiamato “Mac OS X”). Un Macintosh basato su processore Intel può contenere anche altri file system, come NTFS, FAT 32, EXT3, EXT4, poiché può supportare più sistemi operativi con i loro diversi file system. Boot Camp è uno strumento che consente a un Macintosh con processore Intel di eseguire sistemi operativi Windows.
Hierarchical File System (HFS) I primi sistemi operativi Mac prevedevano file in due parti: la prima era il cosiddetto data fork, costituito dai dati, mentre la seconda era il resource fork e conservava i metadati del file e le informazioni di applicazione associate. Un resource fork è sostanzialmente l’equivalente di un Alternate Data Stream in NTFS. L’uso del resource fork è stato deprecato dagli sviluppatori Apple, ma lo si può trovare ancora in uso. È importante sapere che i file che contengono un resource fork spesso lo perdono quando vengono copiati in un volume con un file system diverso, per esempio Windows NTFS. A volte, con altri file system, il resource fork diventa un file nascosto o semplicemente viene eliminato per incompatibilità. HFS consente un massimo di 65.536 blocchi per volume; come in NTFS, ogni blocco è costituito da 512 byte.
HFS+ Definito anche Mac OS Extended, HFS+ è stato introdotto con il Mac OS 8.1 nel 1998 e introduceva miglioramenti nell’allocazione dello spazio disco. Con HFS+ il numero massimo dei blocchi sale a 232
(4.294.967.296); l’aumento del numero dei blocchi significa anche minore spreco di spazio in un volume. I nomi dei file possono essere lunghi fino a 255 caratteri in Unicode. Le dimensioni massime di un file sono 263 byte. HFS+ è sensibile alla differenza fra maiuscole e minuscole: in una stessa cartella possono coesistere i file File1 e file1. NTFS, invece, è un sistema operativo che non distingue fra maiuscole e minuscole; perciò esiste un buon motivo per usare un Mac, per esaminare un Mac o un dispositivo iOS; altrimenti si potrebbero perdere file e metadati preziosi. Un blocco di allocazione è una unità di spazio nella memoria e normalmente è pari a 512 byte per un disco fisso. Il numero di un blocco di allocazione è un numero a 32 bit che identifica un blocco. Un’intestazione (header) di volume contiene informazioni sul volume, compresi ora e data della sua creazione e il numero dei file memorizzati. L’intestazione del volume occupa 1024 byte all’inizio del volume stesso. Una intestazione alternativa di volume è una copia dell’intestazione di volume e si trova negli ultimi 1024 byte alla fine del volume. Il file catalogo contiene informazioni dettagliate sulla gerarchia di file e cartelle di un volume, compresi i nomi dei file e delle cartelle. Questo file è strutturato come un B-tree. Il Catalog ID è un numero sequenziale univoco che viene creato quando si crea un nuovo file su un Mac ed è estremamente importante dal punto di vista forense, perché un investigatore può stabilire l’ordine in cui i file sono stati creati e il Catalog ID non può essere manipolato dall’utente. Ci si può dunque affidare al Catalog ID per stabilire quando un file è stato creato, mentre esistono modi in cui un utente può manipolare i metadati associati ai file. Il Catalog ID viene cancellato quando si cancella il file, ma il numero non viene riassegnato. In NTFS, invece, l’identificatore di record della MFT può essere riutilizzato quando un file viene cancellato.
Metadati di data e ora In un file HFS+ si possono trovare i seguenti metadati di data e ora. Created Date: data/ora di creazione. Last Accessed Date: data/ora di creazione. Modified Date: data/ora dell’ultima modifica. Date Added: campo non popolato. Il file system HFS+ usa l’ora UNIX, chiamata anche Epoch time, per i timestamp. Se un file viene duplicato, l’investigatore può recuperare i metadati di data e ora seguenti. Created: ereditato dall’originale. Modified: ereditato dall’originale. Accessed: data/ora della duplicazione. Record Changed: data/ora della duplicazione. Date Added: data della duplicazione. HFS+ mantiene un collegamento fra l’oggetto (file) e la sua fonte originale. Questo collegamento si può trovare in kMDItemWhereFroms.
APFS APFS (Apple File System) è un file system sviluppato da Apple per i computer Macintosh e per i dispositivi mobili come l’iPhone. È stato rilasciato insieme a macOS Sierra nel 2017: effettuando l’aggiornamento di un iPhone o di un iPad a iOS 10.3 (o successivi) sul dispositivo veniva installato automaticamente APFS e andava a sostituire HFS+. Il programma di installazione di macOS High Sierra offriva aggiornamenti non distruttivi da HFS+ a APFS. Il nuovo file system si può trovare su dispositivi con sistemi operativi macOS, iOS, tvOS e watchOS. Questo file system è stato ottimizzato per la memoria
flash/a stato solido, aumentando la velocità di lettura/scrittura. Mentre HFS+ non aveva un supporto nativo per la crittografia e si basava per questo su CoreStorage, in APFS il supporto per la crittografia è interno: i dati vengono cifrati a livello del file system. Sia CoreStorage sia APFS cifrano i dati con XTS-AES-128. I volumi formattati APFS però utilizzano chiavi di cifratura generate in modo casuale, mentre CoreStorage usa l’UUID come chiave secondaria. Dato che l’UUID di CoreStorage non è casuale e può essere trovato per congettura, APFS possiede un protocollo crittografico sicuramente superiore. Metadati dei file APFS APFS è un file system a 64 bit, con un massimo teorico di 264 blocchi indirizzabili. In APFS quindi possono esistere 9 miliardi di miliardi di oggetti (file) indirizzabili, contro i soli 4 miliardi in HFS+. I timestamp sono molto più precisi, perché ora sono memorizzati come valori a 64 bit: la risoluzione è di 1 nanosecondo in APFS contro 1 secondo in HFS+. In APFS la funzionalità copy-on-write ha sostituito il journaling: copy-on-write crea un clone dei file e i cambiamenti vengono apportati solo al clone, il che è molto più efficiente. Per l’integrità dei metadati dei file vengono utilizzate somme di controllo. APFS usa una struttura di dati a B-Tree per conservare i dati dell’utente e le informazioni sui contenuti dei file. La struttura è diversa da quella di HFS+. Clonazione di dati La clonazione di dati è una caratteristica di APFS, per la quale, quando i dati vengono duplicati all’interno di un contenitore, indipendentemente dal volume, non vengono duplicati i contenuti dei dati ma solo i metadati. Questo significa che due file avranno contenuti fisicamente conservati negli stessi blocchi.
Cifratura APFS Fra le caratteristiche di APFS vi è anche una cifratura forte, che comprende la cifratura dell’intero disco con una o più chiavi. In breve, queste sono le opzioni di cifratura in APFS: nessuna cifratura; cifratura a chiave singola; cifratura con più chiavi, chiavi diverse per i dati dei file e una chiave distinta per i metadati delicati. A seconda dell’hardware, APFS usa per la cifratura AES-XTS o AES-CBC. Le keybag conservano le informazioni di cifratura, per un Apple Macintosh o un dispositivo iOS, comprese le chiavi. Nel caso di un MacBook, le keybag contengono le chiavi per sbloccare un contenitore e quelle per sbloccare un volume. La Container Keybag conserva le Volume Keybag e la Volume Encryption Key (VEK). Mentre la Container Keybag è cifrata, sul disco esistono dati non cifrati (in chiaro) che consentono di decrittare la Container Keybag. Le Volume Keybag contengono una serie di Key Encryption Key (KEK), derivate dalla password di ciascun utente su un sistema e dalla Recovery Key. La KEK è fondamentale per decifrare un volume. A un esaminatore bastano una password dell’utente o la Recovery Key per aprire la Volume Keybag e accedere alla VEK, che poi può essere usata per decifrare il volume. Una VEK è una chiave di file system usata per cifrare i blocchi di dati in un volume (disco). Esistono strumenti, come BlackLight, che possono eseguire il processo di decrittazione, ma il processo non è possibile per computer Mac più recenti, dotati del chip Apple t2. iOS usa le keybag seguenti: backup, device, escrow, iCloud Backup e user. Quando l’utente inserisce il proprio codice, dalla user keybag
viene caricata e quindi aperta (unwrapped) la chiave NSFileProtectionComplete. Viene generata una backup keybag quando iTunes crea un backup cifrato e questa keybag viene memorizzata sul computer associato con il dispositivo iOS. La escrow keybag è usata per la gestione dei dispositivi mobili e la sincronizzazione di iTunes. Il chip Apple T2 A partire dal 2017, la maggior parte dei nuovi computer Mac è stata dotata di un chip di sicurezza T2, incorporato nel controller del disco. Questo chip ha uno spazio di memoria per alcune informazioni crittografiche e dispone anche di un motore crittografico per svolgere operazioni crittografiche abilitate dall’hardware. Sul chip sono memorizzate chiavi di cifratura, che (almeno al momento in cui scriviamo) non sono accessibili. La decrittazione e l’accesso alle kaybag quindi sono possibili solo interfacciandosi con il chip T2. I dati e i metadati dei file devono essere passati al chip T2 per poter essere decifrati. Prima dell’introduzione del chip T2, la cifratura era basata su software ed era possibile una decifrazione dopo l’acquisizione. La decifrazione su un computer con un chip T2 deve avvenire durante l’acquisizione, con l’uso di una password o di una recovery key, attraverso il chip. Su questi sistemi la cifratura è abilitata per default, ma FileVault no. Un utente può aggiungere un ulteriore livello di sicurezza abilitando FileVault; se quest’ultimo è abilitato, è necessario disporre o della recovery key o della password dell’utente al momento dell’acquisizione. Si può usare MacQuisition per acquisire un’immagine del disco in formato AFF4 (compresso/non compresso). AFF4 (Advanced Forensic File Format) è un formato di file immagine aperto, non proprietario. La Free Queue indica i blocchi non allocati di
un volume, che non si scoprono in un’acquisizione logica e non sono referenziati dal file system, ma possono contenere tracce preziose. Condivisione dello spazio APFS ha introdotto il concetto di condivisione dello spazio, che consente a più file system di condividere lo stesso spazio libero in un volume fisico, un metodo molto diverso dagli schemi di partizionamento rigidi, che preassegnano una quantità fissa di spazio per ciascun file system. I volumi formattati APFS possono aumentare e diminuire di dimensioni senza che sia necessario modificare le partizioni del volume. Il nuovo sistema può essere pensato come un contenitore APFS. Per chiarire: un contenitore è costituito da una serie di volumi logici APFS, che condividono tutti blocchi del contenitore; i dischi fisici si combinano a formare un contenitore APFS. Nella Figura 11.6 si può vedere che il contenitore APFS è una collezione di volumi logici APFS, che condividono blocchi su unità disco fisiche.
Figura 11.6 Un contenitore APFS.
Snapshot APFS
Una snapshot (letteralmente, una “istantanea”) è un backup di un volume APFS, in un container, che può essere utilizzata per ripristinare file e dati. Per esempio se file o dati si corrompono, magari a causa di una caduta o di un picco di corrente, il file system può essere riportato (roll back) a un punto di controllo precedente.Questa è una nuova funzionalità in APFS e corrisponde nella sostanza a un punto di ripristino in un PC Windows. Questa funzionalità è paragonabile alla Volume Shadow Copy (VSC) di Windows. APFS tiene traccia delle snapshot attraverso l’uso di un “punto di controllo” del volume. Le snapshot si possono trovare anche in altri file system, fra cui reFS (Microsoft) e ZFS (Sun Microsystems). Il contenuto di una snapshot è protetto dalla cancellazione, anche se alla fine verrà sovrascritto, a mano a mano che vengono create nuove snapshot. È possibile creare una snapshot anche manualmente, da Terminale su un Mac, con il comando: tmutil snapshot [Invio]
Il comando tmutil fa riferimento all’utility Time Machine. Si può accedere a Terminale dalla cartella Applications (Applicazioni) nel Finder, facendo clic su Utilities (Utility) e poi su Terminal (Terminale). Poi si può immettere il comando tmutil snapshot e infine si preme Invio. Potete provare e confrontare quello che vedete sullo schermo con quello che compare nella Figura 11.7.
Figura 11.7 L’utility Terminal (Terminale) con l’esecuzione del comando tmutil snapshot.
Fusion Drive e CoreStorage Un Fusion Drive richiede due unità disco, per esempio un SSD e un HDD oppure due SSD, e le fa funzionare come se fossero un unico SSD. I Fusion Drive non sono compatibili con APFS, ma è possibile che Apple in futuro rilasci una soluzione. CoreStorage costituisce il fondamento dei Fusion Drive e visualizza le partizioni su più unità disco come se fossero un disco unico. L’idea è memorizzare i blocchi di
uso più frequente nell’unità di memoria più efficiente, cioè un SSD (memoria flash).
Esami forensi su un Mac Abbiamo già notato che esaminare un Macintosh con un Macintosh è fondamentale in qualche momento di un’indagine, dato che HFS+ supporta un file system che distingue fra maiuscole e minuscole. Inoltre, i metadati di file associati con HFS+, e specialmente con APFS, sono molto diversi da quelli di FAT e NTFS, perciò è cruciale usare un Mac per un’indagine su un Mac. Esistono poi molti attributi estesi che possono andare persi se si usa un PC per esaminare un Mac: un esempio potrebbe essere l’origine di un file, cioè il modo in cui il file è stato trasferito a un Mac, per esempio via AirDrop. In altre parole, se si usa solo un PC Windows per l’esame di un Mac, si rischia di perdere file e tracce determinanti. Quick Look è una funzionalità di macOS che consente all’utente di vedere in anteprima i contenuti di un file senza aprirlo o senza eseguire l’applicazione associata. Per esempio, si può vedere un’anteprima di un PDF, di una presentazione di Keynote o di un file JPEG mediante Quick Look nel Finder. Spotlight Spotlight è una funzionalità che si trova in macOS e che trova rapidamente file, cartelle e applicazioni non appena l’utente inizia a scrivere un nome nel campo di ricerca di Spotlight. Può essere usato anche da un investigatore per effettuare ricerche in una immagine DMG, anche se quell’immagine deve prima essere indicizzata. Un’immagine DMG è una copia esatta di un file, o di una collezione di file, o di un volume, ed è stato il formato di default per la distribuzione delle applicazioni per macOS. L’indicizzazione è un processo di ricerca e di creazione di riferimenti a parole nei nomi dei file e all’interno dei file
stessi. Un investigatore può scegliere di indicizzare un’immagine, in modo da poter condurre in seguito una ricerca per parole chiave; ma potrebbe anche scegliere di non farlo, perché l’indicizzazione è un processo lungo. Spotlight contiene una grande quantità di evidenze che possono essere utili all’investigatore e comprende anche metadati di file e app. Per esempio, un investigatore potrebbe riuscire a stabilire da dove sia arrivata un’applicazione, come AirPort Unility, quante volte sia stata utilizzata e così via. Più specificamente, kMDItemUseCount visualizza il numero delle volte in cui un’applicazione è stata utilizzata. In Spotlight si possono trovare anche molte applicazioni di terze parti, come Firefox.Questi metadati si possono trovare qui: /Users/…/Library/Metadata/CoreSpotlight/index.spotlightV3/.store.db
Ciò che risulta particolarmente interessante, a proposito di Spotlight, è che si possono trovare uno specifico sito visitato dall’utente, le ricerche condotte in Safari; si può stabilire quante volte il sito sia stato visitato, quali risultati siano stati presentati all’utente per le ricerche che ha effettuato e così via. Tutte queste informazioni si possono trovare qui: com.apple.safari.history
Bisogna vedere, però, un file system completo per ottenere questi metadati di Spotlight. Spotlight non memorizza semplicemente i metadati, ma anche i dati in cache qui: /.Spotlight-V100/Store-V2/...
Nella cartella citata, si troveranno metadati relativi a quando un file è stato inserito in una cartella, quante volte è stato effettuato un accesso a quel file ecc. Cosa importante, si può trovare qui anche testo di file che sono stati cancellati da un utente. Nella cronologia di Spotlight si può trovare il testo utilizzato dall’utente quando ha eseguito una ricerca e si possono vedere anche i risultati che sono stati presentati in origine all’utente in risposta a quella ricerca.
Inizializzazione Inizializzazione è il termine utilizzato per indicare la formattazione di una unità disco in macOS. L’inizializzazione di una unità viene eseguita con lo strumento Disk Utility (Utility Disco), a cui si accede da Applications/Utilities (Applicazioni/Utility). Lo strumento offre sei opzioni: macOS esteso (journaled); macOS esteso (journaled, codificato); macOS esteso(distingue tra maiuscole e minuscole, journaled); macOS esteso (distingue tra maiuscole e minuscole, journaled, codificato); ExFAT; MS-DOS (FAT).
IOReg Info IOReg Info è uno strumento fornito da Cellebrite (in precedenza BlackBag Technologies) che può dare a un investigatore informazioni sui dispositivi connessi a un Mac, come unità SATA, dispositivi FireWire e USB, come illustrato nella Figura 11.8. Lo strumento è disponibile da www.blackbagtech.com. PMAP Info PMAP Info è uno strumento fornito da Cellebrite (in precedenza BlackBag Technologies) che visualizza una mappa di una partizione di un dispositivo (Figura 11.9). La partizione di cui si ottiene la mappa può essere di un disco rigido del Mac oppure di un dispositivo USB collegato. Lo strumento è disponibile da www.blackbagtech.com.
Figura 11.8 IOReg Info di Cellebrite.
Figura 11.9 PMAP Info di Cellebrite.
Epoch time Come abbiamo già detto, UNIX time ed Epoch time sono la stessa cosa. Come nello UNIX time, i timestamp del file system sono registrati in secondi trascorsi dall’1 gennaio 1970, 00:00:00 UTC (Epoch time). I valori di data e ora sono conservati come interi a 32 bit. A differenza di quel che accade in un sistema UNIX, però, quando un file viene spostato da una posizione a un’altra, la data di creazione non cambia. La data massima supportata da HFS+ è il 6 febbraio 2040, alle 06:28:15 GMT. Lo Epoch (zero) time per macOS è l’1 gennaio 1904, 00:00:00 UTC. Lo Epoch time è diverso per browser diversi e per altri sistemi, perciò la conversione delle indicazioni di data e ora può essere difficoltosa, se si lavora con un Mac o un dispositivo iOS. Epoch Converter può essere d’aiuto per l’esaminatore che abbia a che fare con queste conversioni: si può ricorrere al sito web www.epochconverter.com. In buona sostanza, i timestamp di macOS devono essere tradotti in un formato comprensibile per un essere umano. File cancellati Se si svuota il Cestino, i file che vi erano stati spostati non si possono recuperare, perché il sistema operativo non conserva più un collegamento alla posizione fisica dei file sul disco rigido, cioè il Catalog ID non esiste più. Sarà ancora disponibile nel Cestino un file .ds_store, però, che può dare un’indicazione di quali file fossero stati spostati nel Cestino. Journaling Come abbiamo già detto, il journaling è una funzionalità del file system che consrva un backup dei file dell’utente, in modo che, se il sistema va in crash, l’ultima copia salvata dei file possa essere ancora
a disposizione dell’utente. HFS+ ha un sistema di journaling che distingue fra lettere maiuscole e minuscole; anche NTFS ha funzionalità di journaling, ma, per quanto riguarda i nomi di file, non fa distinzione fra maiuscole e minuscole. In altre parole, i file xyz.docx e XYZ.docx non possono coesistere in una medesima directory in NTFS, ma potrebbero coesistere in HFS+ o APFS. Un investigatore, quindi, deve assicurarsi che l’unità di destinazione per i file di un Mac sia formattata con HFS+ (o APFS) e non con NTFS. Quando esamina file provenienti da un computer Mac, un investigatore deve sempre condurre l’analisi con un computer Mac. Quando viene creato, a un file viene assegnato un Catalog ID, che è simile a un inode in Linux. I Catalog ID hanno numeri sequenziali, perciò è possibile stabilire l’ordine in cui l’utente ha creato i file.
DMG Un’immagine DMG è una copia esatta di un file, o di una collezione di file, o di un volume, ed è questo il formato di immagine di default per la distribuzione di applicazioni per macOS. I file nella DMG possono essere cifrati. Quando installiamo un’applicazione su un macBook, normalmente installiamo una DMG. Da un punto di vista forense, una DMG è l’equivalente di un’immagine dd e può essere vista come un disco virtuale montabile. Le dimensioni logiche di una DMG possono essere maggiori della somma dei file contenuti fisicamente nella DMG. Una DMG di 1 GB potrebbe anche non avere alcun file all’interno dell’immagine. Esistono altri file system virtuali disponibili su un Mac, fra cui le sparse image (.sparseimage) e gli sparse bundle (.sparsebundle). A differenza di una DMG, una sparse image è un file virtuale per macOS che cresce di dimensioni quanti più file vengono aggiunti. Uno sparse bundle è un file virtuale, introdotto con macOS 10.5 per l’uso con FileVault, che crescerà di dimensioni all’aumentare dei file
aggiunti. Per vedere i contenuti tecnici di uno sparse bundle, l’utente può semplicemente fare un clic destro sul file immagine e poi fare clic su Show Package Contents (Mostra contenuto pacchetto). Tuttavia, nell’uso normale si fa un doppio clic su uno sparse bundle nel Finder e verrà montato come altri dischi virtuali.
File PList I file PList (Property List) sono file di configurazione che si trovano su un computer dotato del sistema operativo Mac. I file PList si trovano nei sistemi macOS e in iOS; sono usati da Cocoa e Core Foundation. Cocoa è un framework per sviluppatori di macOS e contiene API (Application Programming Interface), librerie e runtime, e si basa in gran parte sull’Objective-C. Objective-C è un linguaggio di programmazione a oggetti basato sul linguaggio C e sviluppato nei primi anni Ottanta da NeXT. Core Foundation (CF) è un framework che mette a disposizione utili servizi software fondamentali a quanti sviluppano applicazioni per macOS e iOS. Questi file possono essere considerati simili ai file del Registro su un computer Windows. I file PList contengono impostazioni dell’utente e forniscono agli investigatori una grande quantità di informazioni. Sono utilizzati per conservare le preferenze dell’utente delle applicazioni. Per uno sviluppatore, sono un modo efficiente per memorizzare piccoli blocchi di dati che consistono principalmente di numeri e stringhe. Questi file PList sono in formato binario o XML e richiedono un visualizzatore speciale, per poter esaminare i dati in modo significativo. Un PList binario è un file più piccolo di un PList XML e macOS vi può accedere più rapidamente, perciò sono più diffusi di quelli in formato XML. I PList binari devono essere convertiti in un altro formato perché l’esaminatore possa vederli. macOS contiene uno strumento, disponibile dalla finestra Terminale, che si chiama plutil
(property list utility) e che può verificare la sintassi dei file PList o può essere usato per convertire un PList in un altro formato. Per esempio, si può voler convertire un PList binario in un formato XML, più leggibile e più facilmente ricercabile (Figura 11.10). Lo strumento plutil è disponibile da macOS 10.2 in poi. Per vedere i contenuti di qualsiasi file PList si può usare anche la funzione Quick Look in macOS.
Figura 11.10 Un esempio di PList. In pratica: lavorare nella finestra Terminale in un Mac 1. 2. 3. 4.
Avviate il Finder. Nella barra dei menu, fate clic su Go (Vai), poi su Utilities (Utility). Nella cartella Utilities (Utility), fate clic sull’icona di Terminal (Terminale). Al prompt, scrivete say io voglio essere un esaminatore forense e poi premete Invio. Se l’audio è attivato, sentirete la frase che avete appena scritto. 5. Al prompt, scrivete date e poi premete Invio. Verranno visualizzati la data e l’ora di sistema. 6. Al prompt, scrivete date -u e poi premete Invio. Verranno visualizzati data e ora in UTC. 7. Al prompt, scrivete hdiutil partition /dev/disk0 e poi premete Invio. Verrà visualizzata una mappa della partizione dell’unità di boot. Se è stato utilizzato Boot Camp per installare una partizione NTFS di Windows, verrà visualizzato qui.
8. Al prompt, scrivete system_profiler SPHardwareDataType e poi premete Invio. Verrà visualizzato un profilo del sistema, in particolare informazioni come il numero dei processori, le dimensioni della RAM, il numero seriale e l’UUID. 9. Al prompt, scrivete system_profiler SPSoftwareDataType e poi premete Invio. Verranno visualizzati la versione di MacOS e anche il nome del computer e il nome utente. 10. Al prompt, scrivete man plist e poi premete Invio. Sullo schermo viene visualizzata una spiegazione di quello che è una plist. 11. Premete Invio per scorrere lungo la spiegazione fino a che non viene visualizzato (END). 12. Sulla barra dei menu, fate clic su Terminal (Terminale) poi su Quit Terminal (Esci da Terminale). 13. Nella finestra di dialogo, fate clic su Close (Termina).
Un file PList contiene un header, che indicherà il tipo di file PList. Con le PList, esistono vari tipi astratti, come documentato nella Tabella 11.1. Tabella 11.1 Tipi astratti delle PList. Tipo astratto
XML
Array
Dizionario
Stringa
Dati
Data
Numero - intero
Numero - virgola mobile
Booleano
o
Database SQLite I database SQLite in generale sono associati ai dispositivi mobili. Tuttavia, poiché molti utenti sincronizzano questi dispositivi con il computer, è abbastanza comune vedere questi database residenti su un computer Macintosh. Come abbiamo già notato in precedenza, sono
database relazionali che contengono dati sia di applicazione sia dell’utente, in tabelle poste fra loro in relazione. Se vengono cancellati, questi file in genere si possono recuperare se il Cestino nel dock (o sul desktop) non è stato svuotato. Ciononostante, alcuni database SQLite hanno una funzionalità di vacuuming: una funzionalità di “pulizia”, associata ai database SQLite che elimina in modo permanente i record o le tabelle cancellati. Attualmente, il vacuuming non si trova abilitato sui dispositivi Apple.
File di email I file di email su computer Mac sono in formato EMLX (.emlx, .emlxpart, .partial.emlx). I file EMLX sono associati con l’applicazione Mail di Apple, che è il programma di posta elettronica di default in macOS. Simple Carver Suite ha uno strumento che si chiama Eml2HTML e che può convertire messaggi .eml e .emlx in un formato leggibile. Questo strumento è un’alternativa economica se un investigatore non ha accesso a strumenti professionali più ampi, come EnCase o BlackLight.
File di ibernazione In macOS esiste un file sleepimage, un file che è una copia dei contenuti della RAM copiati sul disco rigido del computer, per proteggere un utente nell’eventualità che venga a mancare la corrente (o la batteria si esaurisca). Le dimensioni del file in generale sono equivalenti alle dimensioni della RAM del computer locale. Se è venuta a mancare l’alimentazione a un Mac acceso, quando viene fornita nuovamente alimentazione e il dispositivo viene acceso, i contenuti del file sleepimage vengono letti e riportati nella memoria
attiva. Il comando seguente in Terminal visualizzerà le dimensioni del file sleepimage del computer: ls -lh /private/var/vm/sleepimage
I sistemi operativi Macintosh Il classico Mac OS è stato disponibile al pubblico nel 1984 ed era stato sviluppato per i primi computer Macintosh. Quel sistema operativo costituiva uno stacco netto rispetto all’MS-DOS presente sugli altri personal computer dell’epoca, dotato di una semplice interfaccia a riga di comando: il Mac OS invece era caratterizzato da un’interfaccia grafica (Graphical User Interface, GUI) con icone su cui si poteva fare clic con l’uso di un mouse. I primi Mac OS supportavano un file system piatto chiamato Macintosh File System (MFS). poi sostituito dallo Hierarchical File System (HFS) a supporto dei primi dischi rigidi. Il sistema operativo macOS è stato rilasciato nel 2001 ed è utilizzato ancora oggi, anche se nel frattempo è cambiato notevolmente. Da allora ne sono state rilasciate numerose versioni successive: Versione 10.0 (Cheetah): rilasciato a marzo 2001; Versione 10.1 (Puma): rilasciato a settembre 2001; Versione 10.2 (Jaguar): rilasciato ad agosto 2002; Versione 10.3 (Panther): rilasciato a ottobre 2003; Versione 10.4 (Tiger): rilasciato ad aprile 2005; Versione 10.5 (Leopard): rilasciato a ottobre 2007; Versione 10.6 (Snow Leopard): rilasciato ad agosto 2009; Versione 10.7 (Lion): rilasciato a luglio 2011; Versione 10.8 (Mountain Lion): rilasciato a luglio 2012; Versione 10.9 (Mavericks): rilasciato a ottobre 2013; Versione 10.10 (Yosemite): rilasciato a ottobre 2014;
Versione 10.11 (El Capitan): rilasciato a settembre 2015; Versione 10.12 (Sierra): rilasciato a settembre 2016; Versione 10.13 (High Sierra): rilasciato a settembre 2017; Versione 10.14 (Mojave): rilasciato a settembre 2018; Versione 10.15 (Catalina): rilasciato a ottobre 2019; Versione 11 (Big Sur): rilasciato a novembre 2020.
macOS Catalina macOS Catalina è stato rilasciato nell’ottobre 2019 e con questa versione del sistema operativo iTunes scompare, sostituito da tre app: Music, Podcasts e TV. I dispositivi Apple ora sono gestiti attraverso il Finder, mentre la sincronizzazione dei contenuti mediali avviene attraverso Apple TV, Podcasts o Music. Una nuova funzionalità Sidecar permette di usare l’iPad come display per il Mac. macOS ora comprende Gatekeeper, una funzionalità di sicurezza che richiede la firma del codice per le app scaricate, prima di consentirne l’esecuzione. macOS ora verifica la firma Developer ID e lo stato di autenticazione, per stabilire che app e plug-in scaricati da Internet siano stati realizzati da uno sviluppatore riconosciuto e che non siano stati alterati. Per tracciare il Mac e altri dispositivi Apple (anche quando sono offline, cosa di particolare interesse per gli investigatori) vi sono le app Trova il mio [dispositivo] e Trova i miei amici, che sono poi confluite nell’app Dov’è in iOS 13. Ha un interesse anche la nuova app Photos (Foto), che organizza le fotografie dell’utente per giorno, mese e anno. Anche l’app Notes (Note) è stata cambiata e ora visualizza una nuova galleria; è cambiata anche la app Reminders (Promemoria), riprogettata completamente con
iOS 13, ora organizzata in liste diverse che possono essere differenziate con codici di colore. Solo le app a 64 bit possono funzionare con macOS, a partire da questa versione.
FileVault FileVault è uno strumento di cifratura dei dischi, sviluppato da Apple per i computer Macintosh. La versione per macOS dalla release Lion in poi si chiama FileVault 2 e utilizza XTS-AES 128 per la cifratura di interi volumi. Quando viene abilitato FileVault, all’utente viene chiesto di selezionare gli account utente che possono decifrare l’unità cifrata. Per quanto riguarda le indagini, se è abilitato FileVault in pratica non esistono evidenze utili recuperabili. È importante sapere che, quando è impostato FileVault, all’utente viene fornita una recovery key (una “chiave di recupero”), una sorta di rete di protezione nel caso in cui l’utente perda la propria password e non possa decifrare il disco. La recovery key è lunga e difficile da ricordare, perciò l’utente viene invitato a stamparla, inviarsela per posta elettronica o scriverla manualmente. Viene data anche la possibilità di conservare la chiave presso la Apple. Nel caso, può valere la pena di contattare l’azienda.
Disk Utility (Utilità disco) Disk Utility (Utilità disco) è uno strumento Apple Mac per svolgere varie funzioni relative ai dischi, fra cui la verifica o la riparazione, la formattazione, il montaggio e la creazione di immagini del disco. A queste funzioni si può accedere da Terminale con i comandi diskutil o hdiutil.
macOS Keychain (Portachiavi) Keychain (Portachiavi) è un sistema di gestione delle password in macOS. Il Portachiavi contiene password, chiavi di sessione, chiavi private e certificati. Dal Portachiavi si possono recuperare molti dati non cifrati. Il Portachiavi di sistema si può trovare in /Library/Keychains e in /private/var/db/SystemKey. Per accedere a SystemKey è necessario avere i privilegi di root e perciò è necessario disporre di un’immagine dell’intero file system. Si trova un Portachiavi d’utente nella directory principale (~/Library/Keychains), che si può sbloccare con la password dell’utente. Per quanto riguarda la sicurezza, il Portachiavi si basa su Common Security Services Manager (CSSM). CSSM è stato ufficialmente deprecato a partire da macOS 10.7. Potete trovare ulteriori informazioni sul Portachiavi all’URL opensource.apple.com. Con CSSM su un Mac, ogni record ha un insieme finito di attributi, fra i quali rientrano nome di record e nome di servizio, e queste informazioni in genere non sono cifrate.
iCloud Keychain (Portachiavi) iCloud Keychain (Portachiavi iCloud) conserva tutte le password online dell’utente, mediante cifratura AES a 256 bit, nel caso di Mac e dispositivi iOS approvati e registrati dall’utente. Questa utility conserva anche informazioni sulle carte di credito.
Display multipli macOS supporta l’uso di più display con un Mac. È possibile usare come display per il Mac anche una televisione smart, mediante AirPlay e Apple TV.
Notifiche Le notifiche costituiscono, per gli utenti di Apple Mac, un modo comodo per vedere i messaggi in arrivo e rispondere alle richieste di FaceTime o agli avvisi da siti web, senza dover uscire dalle altre applicazioni.
Tag I tag (etichette) sono una funzionalità di macOS che consente all’utente di organizzare i propri file con parole chiave. Sono perciò molto utili per un investigatore, perché possono dimostrare la personalizzazione e l’organizzazione dei file da parte di un sospettato. A un singolo file possono essere aggiunte più parole chiave, per associarlo a più categorie. Queste categorie, con i file associati, sono accessibili da Finder.
Safari Safari è il browser fornito con il sistema operativo del Mac. Se un utente ha attivato la navigazione in privato, sarà disponibile solo una parte limitata della cronologia. Dal punto di vista forense, i file più utili si troveranno nella directory: ~/Library/Safari/
Safari può essere molto più utile agli investigatori per le sue nuove funzionalità di social networking. Le versioni recenti di Safari dispongono di una colonna laterale che contiene i collegamenti condivisi pubblicati da persone che l’utente segue su LinkedIn e Twitter. Questa colonna ovviamente può aiutare l’investigatore a crearsi un quadro della rete di amici e degli interessi dell’utente.
History.plist La cronologia di navigazione di Safari è conservata in un file PList binario, History.plist nella directory dell’utente. Lì sono registrati tutti gli URL, con la data e l’ora dell’ultima visita e il numero di visite effettuate, informazioni che possono essere estremamente utili a un investigatore. I valori di data e ora sono valori in virgola mobile con il numero dei secondi trascorsi dall’1 gennaio 2001, 00:00:00 UTC e perciò devono essere tradotti. DCode è uno strumento che può convertire questo valore in una data e un’ora comprensibili. Quando viene visitato un sito web, Safari ne crea una miniatura, come si vede nella Figura 11.11.
Figura 11.11 Anteprime di pagine web.
I file JPEG e PNG per queste miniature si possono recuperare da questa posizione: ~/Library/Caches/com.apple.Safari/Webpage Previews
Downloads.plist
Tutto ciò che viene scaricato da Internet è conservato nel file PList Downloads.plist. Cache.db La cache di Safari può essere recuperata dal database SQLite Cache.db, che contiene una cronologia dei siti visitati, immagini, date e ore di accesso. Il file si trova in: ~/Library/Caches/com.apple.Safari
Cookies.plist Il file Cookies.plist è un’altra fonte di informazioni sui siti web e si trova in: ~/Library/Cookies/sottocartella
TopSites.plist I siti web visitati più spesso dall’utente sono memorizzati in TopSites.plist (Figura 11.12). L’utente può inserire un sito in questa lista, in modo che sia salvato nella galleria dei più visitati, e può rimuoverlo dalla lista. Se un utente cancella la propria cronologia web, ha l’opzione di reinizializzare anche la lista dei siti più visitati. Safari per Windows Esiste una versione di Safari anche per Windows. La cronologia del browser Safari in PD con Windows 7 o Windows 10 si trova in: \AppData\Roaming\Apple Computer\Safari\
Figura 11.12 Top sites.
Target Disk Mode e la clonazione di dispositivi Il modo più rapido per clonare il disco rigido di un computer in modo corretto dal punto di vista forense è usare un dispositivo di clonazione come Disk Jockey PRO (Forensic Edition) o magari un Image MASSter Solo Forensic Hand-Held Duplicator. Può essere problematico, però, rimuovere il disco rigido di un Mac.Target Disk Mode (TDM) consente a un investigatore di acquisire l’immagine di un disco via FireWire (Figura 11.13). FireWire, denominata anche IEEE 1394, è una porta per trasferimenti di dati ad alta velocità. Nei computer Mac più recenti, si può usare la Thunderbolt per l’acquisizione di un disco con Target Disk Mode. La Thunderbolt 3 è stata sviluppata da Intel e utilizza un’interfaccia USB-C, che ha velocità di trasferimento fino a 40 Gbps. Thunderbolt 3 può essere usata per trasferimento di dati, output video e alimentazione.
Quando si avvia il computer, la pressione del tasto “T” impedirà il caricamento del sistema operativo, e il firmware consentirà alle unità disco del computer di comportarsi come memorie di massa FireWire. Se però il computer del sospettato è dotato di una password per il firmware, non sarà possibile passare a Target Disk Mode e con tutta probabilità si vedrà solo una schermata nera. Il primo passo che deve compiere un investigatore quindi è verificare se il firmware sia protetto da password: lo si può capire tenendo premuto il tasto Opzione mentre il sistema si avvia; se l’utente ha aggiunto una password per il firmware comparirà una finestra di dialogo. Bisogna sperare allora che il sospettato fornisca volontariamente quella password. Va notato che con TDM bisogna usare un write blocker. Molti MacBook venduti dalla Apple oggi non hanno una connessione FireWire e un MacBook Air avrà solo una USB-C. Se si devono estrarre dati da un iPad, non è facile aprire il dispositivo e poi rimuovere e clonare la memoria. Anche per un MacBook Air è difficile acquisire un clone o un’immagine del disco.
Figura 11.13 Target Disk Mode (TDM) su un MacBook Pro.
Dispositivi mobili Apple I dispositivi mobili Apple, in particolare l’iPhone, sono potenzialmente più importanti di un MacBook o di un iMac, perché sono più personalizzati e conservano una varietà molto più ampia di tracce, rispetto a un computer tradizionale. Il vantaggio per l’investigatore è che questi dispositivi sono spesso interconnessi in un ambiente Apple, così che le stesse evidenze si possono raccogliere da più dispositivi. Un altro vantaggio è che il sistema operativo per i dispositivi mobili (iOS) è molto simile a macOS e perciò è più facile orientare le aspettative. Inoltre, a differenza di quel che accade per Android, che è una piattaforma usata da molti produttori, Apple ha il
controllo della produzione del dispositivo, del sistema operativo, dei backup dell’utente in iCloud e di molte applicazioni. Questo significa che esiste sempre un buon grado di standardizzazione fra i dispositivi e questo dovrebbe rendere più facile immaginare come trattarli e creare protocolli standard per lavorare con questi dispositivi. Significa anche che gli investigatori possono richiedere dati sull’utente e assistenza alla Apple a Cupertino, in California. Sembrerebbe tutto molto facile per le indagini, ma esistono anche alcuni problemi gravi. Molti dispositivi mobili Android non possono essere aggiornati a versioni successive di Android OS, mentre per i suoi dispositivi la Apple incoraggia gli utenti ad aggiornarsi alle versioni più recenti di iOS. Ogni nuova versione del sistema operativo introduce miglioramenti significativi per la sicurezza. il che crea maggiori problemi per le forze dell’ordine che vogliono recuperare evidenze da iPhone o da altri dispositivi iOS.
iOS iOS è il sistema operativo per mobile, sviluppato da Apple, disponibile dal 2007. Al momento esistono più di 1,4 miliardi di dispositivi Apple attivi. iOS è un sistema operativo proprietario per iPhone, iPad e iPod. Usa APFS, che è un file system sensibile alla differenza fra maiuscole e minuscole. La partizione radice è la prima che si trova in un dispositivo iOS e contiene il sistema operativo (per questo viene chiamata anche “partizione di sistema”). Dopo la partizione radice, il resto del volume è la partizione media, cioè la partizione dei dati, che contiene sia file dell’utente sia alcuni file di sistema. I normali dati dell’utente si trovano nella partizione media e possono comprendere video, contatti e SMS. Apple incoraggia gli utenti di dispositivi iOS ad aggiornarsi alla versione più recente del sistema, quando è disponibile ed è
compatibile, in modo da attivare gli ultimi miglioramenti per la sicurezza. System Software Personalization è un processo sviluppato dalla Apple che impedisce a un utente il downgrade di un dispositivo iOS a una versione precedente del firmware iOS. Caratteristiche di iOS 13 Rispetto alle versioni precedenti, iOS 13 ha introdotto alcuni miglioramenti importanti alla sicurezza, che gli investigatori devono conoscere. Per esempio, l’utente ha maggiori possibilità di fornire a una app l’accesso alla posizione. L’utente può concedere l’accesso alle informazioni di posizione “solo per una volta”. La Figura 11.14 mostra le autorizzazioni per la posizione che possono essere aggiunte attraverso le Impostazioni.
Figura 11.14 Dalle Impostazioni di iOS si può stablire se a una app è consentito raccogliere informazioni sulla posizione esatta.
Come per le versioni precedenti, iOS 13 dispone di un Control Center (Centro di Controllo). L’utente accede a questa funzione facendo scorrere il dito verso l’alto sullo schermo per visualizzare i controlli, fra cui torcia, timer, calcolatrice e fotocamera. Il Centro di Controllo può essere anche un modo rapido per attivare la modalità Uso in aereo, che disabilita le connessioni cellulare e Wi-Fi. AirDrop è una funzionalità (presente già nelle versioni precedenti) che consente all’utente di condividere con altri utenti che si trovino nelle immediate vicinanze foto, video, contatti e altri dati via Bluetooth. È un aspetto importante da tenere in considerazione, perché all’investigatore può essere chiesto se abbia verificato se siano avvenuti trasferimenti di dati in questa forma. Le app per mobile avranno bisogno di autorizzazione per accedere ai Contatti. Quello che è cambiato da questa versione è che le app non possono avere accesso ad alcuna nota associata ai contatti. In conseguenza della grande quantità di robo-call, iOS ha una funzionalità Silence Unknown Callers (Silenzia numeri sconosciuti). Una funzionalità che costituisce uno svantaggio per gli investigatori è quella che consente all’utente di eliminare i dati di posizione da una fotografia, prima di condividerla. L’utente può anche ricevere notifiche del fatto che una app stia tracciando la sua posizione. Con tutta probabilità l’utente riceverà notifiche anche per consentire o meno a una app l’accesso al Bluetooth. Sicurezza e crittografia Per quanto riguarda la cifratura, Apple usa l’algoritmo Advanced Encryption Standard (AES), più specificamente AES-256. La cifratura avviene al livello dei blocchi. UDID (Unique Device IDentifier) è un identificatore alfanumerico a 40 cifre che identifica in modo univoco ciascun dispositivo iOS. UID (Unique IDentifier) del dispositivo e
GID (Group IDentifier) sono chiavi AES a 256 bit codificate fisicamente nel processore delle applicazioni durante la produzione. Né Apple né i suoi fornitori mantengono una documentazione di UID, ma questo identificatore consente il collegamento crittografico dei dati a un dispositivo specifico. Pertanto, estrarre il chip di un iPhone o di qualche altro dispositivo è inutile. Il chip-off è invece un’opzione percorribile a volte con gli smartphone Android. L’utente accede ai dispositivi iOS con un codice a sei cifre, ma può anche optare per l’uso di una password, che è significativamente più difficile da individuare con un metodo a forza bruta. Apple scoraggia gli attacchi a forza bruta al codice aumentando il tempo di attesa che deve trascorrere dopo ogni inserimento di un codice errato. Cosa ancora più importante per l’investigatore, l’utente può avere impostato il dispositivo in modo che si cancelli dopo un determinato numero di tentativi andati a vuoto, perciò la cooperazione del sospettato può essere necessaria. La protezione dati è stata sviluppata dalla Apple per mantenere tutti i file cifrati nella memoria flash e al contempo consentire all’utente di ricevere telefonate, messaggi testuali ed email quando il dispositivo è bloccato. Il dispositivo può reagire a una telefonata in ingresso senza decifrare dati delicati. Ogni volta che viene creato un file, la funzione di protezione dati genera una nuova chiave a 256 bit per quel file, che poi viene inviata al motore AES. L’aggiunta di un codice di sicurezza a un dispositivo abilita automaticamente la funzione di protezione dati. USB Restricted Mode è una funzione di sicurezza, introdotta con iOS 11.4.1, che impedisce a un computer fidato di sbloccare un dispositivo iOS. Per esempio, se sincronizzate il vostro iPhone con il vostro computer, questo diventa un dispositivo fidato (trusted) e potrete connettere l’iPhone e condividere dati, mediante il cavo Apple Lightning, attraverso la USB collegata al computer. Con lo USB
Restricted Mode, l’utente è obbligato a reinserire il codice per l’iPhone, dopo che questo è stato disconnesso per un’ora. Per gli investigatori, però, esiste (al momento in cui scriviamo) un modo per aggirare la difficoltà, che consiste nel connettere un cavo Apple Lightning non appena viene sequestrato un iPhone, nella speranza di impedire l’abilitazione dello USB Restricted Mode. Apple ID Un Apple ID è costituito da indirizzo email e password utilizzati dall’utente. Quando un utente inserisce il proprio Apple ID e scarica contenuti dall’App Store o da iCloud, anche agli altri dispositivi registrati da quell’utente viene aggiunto quell’acquisto. Apple richiede un minimo di 8 caratteri, che deve contenere un numero, una lettera minuscola e una maiuscola e non può avere più di tre caratteri identici consecutivi. Nella password possono essere usati anche caratteri speciali. Ogni app fornita con iOS 13 è cifrata con AES-256 e anche tutte le app di terzi vendute attraverso l’App Store devono essere cifrate per default. Anche i dati associati a queste app sono cifrati con il codice di sicurezza. iOS 13 quindi può essere un incubo per le forze dell’ordine se il proprietario del dispositivo non è disposto a fornire il proprio codice e (negli Stati Uniti) ritiene che sia protetto dal Quinto emendamento (auto-incriminazione). La Apple non memorizza questi codici, che sono invece conservati localmente sul dispositivo. Molti utenti purtroppo non sincronizzano mai i loro dispositivi mobili con un computer, e in quel caso viene a cadere la possibilità di sbloccare il dispositivo utilizzando un file di abbinamento. Prima di poter procedere a un’acquisizione logica, l’investigatore deve inserire il codice di sicurezza. Ovviamente, c’è sempre il rischio che il sospettato abbia impostato il dispositivo in modo che si cancelli
completamente dopo un certo numero di tentativi a vuoto. In alternativa, si può usare il file di lockdown presente in un computer, se il dispositivo era stato sincronizzato con quel computer. GrayKey di Grayshift è uno strumento, disponibile solo alle forze dell’ordine, che può acquisire un’immagine da un iPhone, bloccato o sbloccato; l’immagine poi può essere analizzata con strumenti come Magnet AXIOM. iPod Tranne l’Pod Shuffle, tutti gli iPod contengono un disco fisso, perciò possono essere una fonte di evidenze preziose, e non solo semplici riproduttori di file audio. Le posizioni delle PList degli iPod sono le seguenti. Immagini: iPodName/Photos/Thumbs/... Contatti: iPodName/Contacts/iSync.vcf Calendari: iPodName/Calendars/iSync-CalendarName.ics Memo vocali: iPodName/iPod_Control/Music/...m4a Note: iPodName/Notes/...rtf Musica: iPodName/iPod_Control/Music/...m4a Cestino: .Trashes/502/FileName.extension Data/ora/nome: VolumeName/Users/UserName/Library/Logs/iPod
Updater
Logs/iPodUpdater.log
Numero di serie: VolumeName/Users/UserName/Library/Preferences/com.apple.iPod.plist
Immagini: VolumeName/Users/UserName/Pictures/iPod
Photo Cache/F00/
iPad La prima generazione di iPad è stata rilasciata nell’aprile 2010. A differenza dell’iPhone, non poteva essere caricata collegandola a un
computer, ma doveva esserlo per forza con una presa elettrica di rete. L’iPad è molto simile a un iPhone sotto il profilo delle funzionalità, ma il Wi-Fi cellulare era ed è opzionale. Oggi esistono quattro modelli base, ciascuno dei quali può avere capacità di memoria diverse e avere o meno funzionalità cellulari (4G): iPad Air; iPad Pro; iPad; iPad mini. Tutti questi modelli usano il connettore Lightning per la ricarica e il trasferimento di dati. iPhone Il sistema operativo dell’iPhone, iOS, è derivato da macOS. Da quando è stato immesso sul mercato nel giugno 2007, Apple ha venduto milioni di esemplari di iPhone. Alcune delle potenziali fonti di evidenze, a cui un investigatore potrebbe non pensare automaticamente, sono le seguenti. Cache della tastiera per la correzione automatica. Schermate dell’ultimo stato delle applicazioni (file KTX, che vedremo più avanti). Fotografie, ricerche, cronologia delle chiamate, email, posta vocale, contatti e dati delle applicazioni (sia i dati correnti che quelli cancellati). Mappe, percorsi e correzioni GPS.
Software di imaging Sono disponibili molti strumenti forensi per l’iPhone. Quello che segue è un elenco di strumenti fra cui gli investigatori possono
scegliere. BlackBag Technologies (acquisita da Cellebrite): BlackLight. SUMURI: Paladin. Oxygen Forensics for iPhone. MSAB: XRY. Vaughn S. Cordero: MobileSyncBrowser. opentext: EnCase Neutrino. Cellebrite: UFED. iPhone Analyzer (accesso attraverso SourceForge). Compelson Laboratories: MOBILedit Forensic Express. SubRosaSoft: MacLockPick. Jonathan Zdziarski: Physical DD. Belkasoft: Evidence Center. Magnet Forensics: ACQUIRE.
Modalità di funzionamento Esistono varie modalità di funzionamento, che un investigatore deve conoscere, quando esamina un iPhone. In generale, la più importante è il DFU Mode, necessario quando si sfrutta un exploit per un iPhone: in altre parole, il processo di jailbreak del dispositivo per ottenere l’accesso root e quindi il file system completo, che comprende i file di sistema oltre ai dati dell’utente. DFU Mode Il Device Firmware Upgrade (DFU) Mode consente all’utente di selezionare la versione del firmware da installare sul dispositivo. Più avanti in questo capitolo vedremo l’esploit checkm8, che richiede che il dispositivo sia in DFU Mode. L’abilitazione di questa modalità su un
iPhone varia, a seconda del modello. Per un iPhone X, per esempio, si può adottare la procedura seguente. 1. Verificate che sul vostro Mac (o PC) sia in esecuzione iTunes, poi collegate l’iPhone al computer. 2. Premete e rilasciate il pulsante di aumento del volume. 3. Premete e rilasciate il pulsante di riduzione del volume. 4. Premete e tenete premuto il pulsante laterale fino a che non compare una schermata nera. 5. Quando compare la schermata nera, continuate a tenere premuto il pulsante laterale, poi premete il pulsante di riduzione del volume e tenetelo premuto per circa cinque secondi.
Recovery Mode Il Recovery Mode consente all’utente di ripristinare le impostazioni originali dell’iPhone. iBoot Quando un iPhone viene acceso, dalla memoria a sola lettura (ROM) viene eseguito il codice di boot. In questo codice si trova una chiave pubblica Apple Root CA che garantisce che il Low-Level Bootloader (LLB) sia firmato da Apple; poi viene eseguito il bootloader. Quando LLB ha concluso la propria parte, viene eseguita la fase successiva del bootloader, che si chiama iBoot e verifica e monta il kernel iOS. Se il dispositivo non si avvia o la verifica non va a buon fine durante il processo di boot, viene visualizzato un messaggio che chiede di connettere il dispositivo a iTunes; questo significa anche che il dispositivo a quel punto è in Recovery Mode. Se il boot iniziale fallisce o LLB non viene caricato, il dispositivo entra in modalità DFU e l’utente deve connetterlo a un computer via USB.
Sblocco della SIM Alcuni iPhone vengono venduti con una SIM card bloccata, vincolando l’utente a un particolare operatore di telefonia cellulare. AT&T è stato l’operatore esclusivo per gli iPhone negli Stati Uniti, ma poi anche società come Verizon sono diventate rivenditrici. Negli Stati Uniti questi dispositivi per AT&T e Sprint operano sulla rete GSM. Se la SIM dell’iPhone è bloccata, molte aziende in genere non divulgano il codice per sbloccarla. Apple conserva informazioni su questo codice quando l’iPhone viene attivato. Vari hacker però hanno creato strumenti per sbloccare l’iPhone e consentire agli utenti di sostituire la SIM card per accedere ad altri operatori o per poter godere di tariffe più convenienti nei viaggi all’estero. iPhone originale Data di rilascio: gennaio 2007. L’iPhone originale è stato rilasciato con iPhone OS 1.0, ma può supportare altre versioni fino alla 3.1.3. iPhone 3G Data di rilascio: luglio 2008. Questo iPhone è stato rilasciato con iPhone OS 2.0 ma supporta fino alla versione 4.2. iPhone 3GS Data di rilascio: giugno 2009. Rilasciato con iPhone OS 3.0, può supportare fino a iOS 4.2. iPhone 4 Data di rilascio: giugno 2010.
Rilasciato con iPhone OS 3.0 supporta fino a iOS 4.2. Ha un aspetto fisico diverso dai precedenti, con un pannello di vetro alluminosilicato piatto anteriormente e posteriormente. Un modello per CDMA (A1349) era dotato di iOS 4.2.5, mentre il modello per GSM (A1332) era dotato di iOS 4.0. Il modello GSM aveva un vassoio laterale per una micro SIM, mentre la versione CDMA non aveva un vassoio per la SIM. iPhone 5 Data di rilascio: settembre 2012. Nel 2012, la Apple ha rilasciato l’iPhone 5 con iOS 6.0. Poi, nel 2013, per la prima volta ha rilasciato due versioni contemporaneamente, iPhone 5C e iPhone 5S, entrambe con iOS 7. Con l’iPhone 5 è stato introdotto il cavo Lightning. L’iPhone 5C era diverso dal 5 per l’aspetto ed era disponibile in vari colori (verde, blu, giallo, rosa e bianco). L’iPhone 5S era disponibile nei colori argento, oro e grigio e aveva l’IMEI inciso sul lato posteriore. L’iPhone 5C (Figura 11.15) era disponibile solo con chip A6 e memoria da 16 o 32 GB, mentre il 5S aveva un chip A7 e un modello anche a 64 GB. Con questi modelli cambiava anche il caricatore ed era necessario un connettore Lightning a 19 pin (anziché il precedente a 30 pin) per l’alimentazione e il trasferimento dati via cavo. Le differenze di peso e dimensioni dei modelli erano trascurabili.
Figura 11.15 iPhone 5C.
iPhone 6 e iPhone 6 Plus Gli iPhone 6 e 6 Plus erano molto simili tranne che per le dimensioni. Il display Retina dell’iPhone misurava 4,7 pollici, mentre quello dell’iPhone 6 Plus era di 5,5 pollici. I bordi arrotondati e il profilo più sottile lo distinguevano chiaramente dai modelli precedenti. L’iPhone 6 aveva uno spessore di 6,9 mm, il 6 Plus di 7,1 mm. Entrambi avevano schermi più grandi e uno spessore minore rispetto alle versioni precedenti. L’iPhone 6 era basato su un’architettura a 64 bit ed era dotato di un chip A8, di cui la pubblicità vantava la maggiore velocità ed efficienza
energetica. La vita della batteria era più lunga, il che andava a vantaggio degli investigatori che dovevano mantenere il dispositivo acceso. Questo smartphone era dotato anche di un coprocessore M8, dedicato all’elaborazione dei dati provenienti da bussola, accelerometro, giroscopio e dal nuovo barometro. Touch ID Per gli investigatori, una differenza cruciale fra vecchi e nuovi modelli era il sensore di autenticazione biometrica. Touch ID è il nome del sensore per le impronte digitali utilizzato per sbloccare l’iPhone. Touch ID può essere usato anche per effettuare acquisti dall’App Store, invece di inserire un Apple ID. Per un investigatore il problema è che, se l’utente usa questo sensore biometrico, il valore hash associato è conservato sul dispositivo e Apple non può essere di aiuto: Apple non può accedere all’iPhone se è stato usato il Touch ID perché la mappa dell’impronta digitale è conservata in formato cifrato nella sezione “Secure Enclave” del processore A7 del dispositivo e l’esaminatore non può estrarla. Se però il dispositivo di lettura non riesce ad autenticare l’utente con l’impronta digitale, all’utente viene chiesto di inserire il proprio codice. Oggi però è più probabile che un investigatore incontri il Face ID anziché il Touch ID sui dispositivi Apple. Nella Figura 11.16 si può notare che intorno al lettore di impronta digitale si trova un anello metallico e che questo iPhone non ha il caratteristico quadrato dagli angoli arrotondati che costituiva il pulsante Home dei vecchi iPhone e iTouch.
Figura 11.16 Touch ID.
iPhone 11/11 Pro/11 Pro Max, iPhone 12 Dopo gli iPhone 6/6 Plus sono stati rilasciati l’iPhone SE, poi progressivamente i vari modelli 7/7 Plus, 8/8 Plus, X, XS/ XS Max e XR. Gli iPhone 11, 11 Pro e 11 Pro Max sono stati annunciati nel settembre 2019. Come già con l’iPhone X, questi modelli supportano Face ID. Questi iPhone erano dotati inizialmente del sistema operativo iOS 13. Gli iPhone 11 Pro e Pro Max hanno un caricatore veloce 18W da Lightning a USB-C, il che può essere un vantaggio per gli investigatori. Questi modelli hanno capacità di memoria che variano dai 64 GB ai 256 GB e ai 512 GB. La seconda serie dell’iPhone SE è stata rilasciata nell’aprile 2020.
L’iPhone 12 è stato rilasciato nell’ultimo trimestre del 2020, in quattro versioni: iPhone 12 mini (con display da 5,4 pollici), iPhone 12 e iPhone 12 Pro (con display da 6,1 pollici, iPhone 12 Max (con display da 6,7 pollici). Tutti questi apparecchi hanno display OLED Super Retina “all-screen”, chip A14 bionic, memoria da 64 a 256 GB (512 GB per l’iPhone 12 Max). Face ID Face ID è una tecnologia di riconoscimento facciale sviluppata dalla Apple e utilizzata per sbloccare i modelli più di iPhone e iPad. Può essere utilizzata anche per installare app, effettuare pagamenti con Apple Pay e accedere a dati delicati, fra cui le password per le app e online. L’iPhone raccoglie una serie di punti infrarossi e crea un pattern sulla base del volto dell’utente. Questo pattern è conservato nella Secure Enclave. In base a quanto si trova nel sito di Apple, “Secure Enclave è un coprocessore di sicurezza che include un gestore di chiavi basato su hardware isolato dal processore principale per fornire uno strato ulteriore di sicurezza. […] I dati delle chiavi sono codificati nel SoC (System on Chip) di Secure Enclave, che include un generatore di numeri casuali. Secure Enclave conserva inoltre l’integrità delle operazioni di codifica anche quando il kernel del dispositivo è stato compromesso”. Fondamentalmente, Secure Enclave è un gestore di chiavi basato su hardware, in cui le chiavi biometriche e crittografiche sono memorizzate in modo sicuro, ed è separato dal processore principale. Maggiori informazioni si possono trovare sul sito web di Apple e su developer.apple.com. Face ID ha sostituito la tecnologia di riconoscimento dell’impronta digitale associata con Touch ID. Il volume dei dati recuperati da un MacBook può essere molto maggiore rispetto a un dispositivo iOS, ma la natura delle evidenze recuperabili da un iPhone può essere notevolmente più importante.
Informazioni sulla posizione, la natura personale del dispositivo, il fatto che di solito sia sempre acceso e i dati che vengono registrati lo rendono innegabilmente molto ricco di tracce potenzialmente incriminanti. Come vedremo, exploit come checkm8 e checkra1n e GrayKey ora rendono possibile alle forze dell’ordine accedere a un iPhone e raccogliere evidenze fondamentali. Backup di iPhone Cosa interessante, si può accedere a molte informazioni di un iPhone da un computer a cui è sincronizzato. In origine, Apple richiedeva che tutti i dispositivi iOS fossero sincronizzati con un PC Windows o un computer Mac, ma oggi non è più così ed è possibile che un utente non sincronizzi mai il proprio iPhone, iPod o iPad con un computer. L’utente ha la possibilità di effettuare il backup dei file del proprio iPhone o su un computer o in iCloud. Sono permessi backup cifrati solo sul computer dell’utente (se questa opzione è abilitata dall’utente stesso) ma non su iCloud. Ciononostante, un backup iTunes può essere protetto da password. Se l’utente ha sincronizzato il proprio iPhone con un MacBook, la posizione del backup può essere la seguente: ~/Library/ApplicationSupport/MobileSync/Backup/. Quando un iPhone è stato sincronizzato con una macchina Windows (Vista o versione successiva) la posizione della cartella di backup può essere: \Users\\AppData\Roaming\Apple Computer\MobileSync\Backup. iCloud iCloud è il servizio cloud di Apple, disponibile a chi possiede un dispositivo Apple. Per usare il servizio con un iPhone, è necessario che il suo sistema operativo sia iOS 5 o successivo. Uno spazio di 5 GB è gratuito; spazi maggiori sono disponibili a pagamento. Tutti i dispositivi che appartengono all’utente, anche un MacBook, possono effettuare il
backup in iCloud e sono associati attraverso l’Apple ID dell’utente. Un singolo account iCloud può registrare fino a 10 dispositivi. Per l’investigatore, il vantaggio che è possibile emettere un’ingiunzione ad Apple per ottenere evidenze da iCloud. Il backup dei dati dell’utente derivanti da app installate su un dispositivo iOS viene effettuato frequentemente su iCloud. Per default, il backup dei dati di alcune applicazioni viene effettuato in iCloud, anche se l’utente può poi selezionare di quali app fare il backup. Inoltre, le app dell’utente e i contenuti associati vengono sincronizzati fra i dispositivi e perciò avere accesso a un dispositivo può fornire evidenze di ciò che esiste anche in altri dispositivi dello stesso utente. I 5 GB di spazio gratuito su iCloud non sono molti, perciò il backup in iCloud disponibile attraverso Apple sarà molto limitato, a meno che l’utente non abbia scelto di acquistare a pagamento spazio ulteriore. Safari Le tracce dell’attività del browser Safari nel backup su un computer sincronizzato si possono trovare nelle posizioni seguenti: /private/var/mobile/Library/Safari/Bookmarks.plist /private/var/mobile/Library/Safari/History.plist /private/var/mobile/Library/Safari/SuspendState.plist /private/var/mobile/Library/Safari/SMS/sms.db /private/var/mobile/Library/Cookies/Cookies.plist
Mail Tracce delle email da iPhone si possono recuperate da un computer sincronizzato nelle posizioni seguenti: /private/var/mobile/Library/Mail/Accounts.plist /private/var/mobile/Library/Mail/(mail account name)/Deleted Messages /private/var/mobile/Library/Mail/(mail account name)/Sent Messages /private/var/mobile/Library/Mail//Inbox
Fotografie
Le fotografie su un iPhone possono fornire moltissime informazioni su eventi e sull’utente. Come altri smartphone, anche l’iPhone registra longitudine e latitudine dei luoghi in cui vengono scattate le foto, sotto forma di dati EXIF (metadati), se l’utente ha abilitato i Servizi di localizzazione (in Impostazioni > Privacy). Con BlackLight, l’investigatore può usare queste informazioni di geolocalizzazione per riportare su una mappa i luoghi in cui un sospettato o una vittima si sono trovati. Servizi di localizzazione L’iPhone ha una funzione utente che si chiama Location Services (Servizi di localizzazione). Se attivata, questa funzione consente a un dispositivo iOS e a varie applicazioni installate sul dispositivo, di stabilire la posizione dell’utente in base alle celle delle reti cellulari, al GPS e agli hotspot Wi-Fi. Secondo la Apple, i Servizi di localizzazione usano tutte queste fonti per la localizzazione, oltre a iBeacon. Un iBeacon usa Bluetooth Low Energy (BLE) per identificare la posizione di un utente. Un iPhone e altri dispositivi Bluetooth possono fungere da iBeacon e fornire ai Servizi di localizzazione la posizione esatta dell’utente, riducendo la necessità di fare affidamento su GPS o celle. Un iBeacon può essere usato anche per raggiungere gli “shopper” in una microlocalizzazione o confermare che un utente è presente nel luogo in cui viene utilizzata un’applicazione Wallet. Dal punto di vista commerciale e di marketing, iBeacon risulta particolarmente interessante, perché consente di determinare in maniera più precisa la posizione in cui si trova il dispositivo. Il percorso di file per trovare queste informazioni varia a seconda della versione di iOS. Le evidenze forensi, relative ai luoghi in cui
l’utente è stato, possono essere derivate da Wi-Fi e celle (antenne) della rete cellulare e si possono trovare in queste posizioni: /private/var/root/Library/Caches/location/cache_encryptedB.db WifiLocation LteCellLocation /private/var/root/Library/Caches/com.apple.wifid/ThreeBars.sqlite /private/var/root/Library/Caches/com.apple.routined/Cache.sqlite ZRTWIFIACCESSPOINTMO ZRTCLLOCATIONMP
Per quanto riguarda le connessioni Wi-Fi, è importante ricordare che il SSID (nome di rete) dei punti di accesso è catturato su un iPhone, ma non significa necessariamente che l’utente fosse connesso a un router su quella rete. In effetti, la maggior parte dei SSI registra su smartphone solo punti d’accesso a cui un utente è passato accanto senza effettivamente connettersi. Se si vedono i SSID registrati da un iPhone, si può effettuare una ricerca su quei punti di accesso in wigle.net, come si vede nella Figura 11.17.
Figura 11.17 L’interfaccia utente di Wigle.net.
Ovviamente, ottenere questo tipo di dati può essere estremamente utile per un investigatore, perché consentono di stabilire quale percorso abbia seguito un utente e addirittura valutare a che velocità si è spostato. Se un utente disabilita i Servizi di localizzazione e poi riabilita questa funzione, i dati storici vanno persi. Indipendentemente dal fatto che i Servizi di localizzazione siano abilitati oppure no, le forze dell’ordine possono accedere alla posizione di un iPhone in caso di emergenza, attraverso i dati delle celle agganciate. Se si esamina il database ThreeBars.sqlite, si possono recuperare queste informazioni SSID: BSSID (indirizzo MAC del punto di accesso), longitudine, latitudine e altre informazioni utili. La Figura 11.18 mostra una schermata del database ThreeBars.SQLite ottenuta con uno strumento che si chiama DB Browser for SQLite (sqlitebrowser.org).
Figura 11.18 Visualizzazione di ThreeBars.sqlite.
Esistono vari siti web che possono fornire utili informazioni sulla posizione dei punti di accesso wireless (SSID), fra cui il già citato
(Figura 11.18). Ci si può registrare per ottenere un account gratuito e poi si possono effettuare ricerche avanzate, inserendo il BSSID o altre informazioni estratte dal database ThreeBars.sqlite. Il campo ZCREATED, nel database ThreeBars.sqlite, mostra un numero, che è un timestamp Apple Cocoa Core Data. Questo formato di data e ora si trova in molti database SQLite su un iPhone. Nel nostro database ThreeBars.sqlite, abbiamo trovato il numero 604847205; abbiamo poi visitato il sito epochconverter.com e lo abbiamo convertito in un formato leggibile da un essere umano, come si vede nella Figura 11.19. wigle.net
Figura 11.19 Epoch Converter traduce un timestamp Apple Cocoa Core Data.
Un altro elemento prezioso dal punto di vista forense è Significant Locations (Luoghi frequenti), in cui viene registrato un elenco dei luoghi che l’utente visita spesso. Come si può notare nella figura 11.20, Luoghi frequenti è collegato all’app Foto e quindi alle fotografie scattate con quell’iPhone. Per accedere a Luoghi frequenti: Impostazioni > Privacy > Servizi di localizzazione > Servizi di sistema > Luoghi frequenti.
Figura 11.20 Un esempio di Luoghi frequenti in un iPhone.
Apple sostiene di raccogliere informazioni sulla posizione dell’utente in modo anonimo e cifrato, così che l’utente non possa essere identificato. I dati vengono utilizzati per creare in crowdsourcing un database delle posizioni di hotspot Wi-Fi e antenne cellulari. Apple raccoglie anche informazioni di localizzazione relative al traffico. Viene monitorata la velocità sulle strade per creare in crowdourcing un database del traffico. La localizzazione viene utilizzata anche per
stabilire dove vengono scaricate app, i luoghi che vengono frequentati e per raggiungere l’utente con “iAds geograficamente rilevanti”. Si possono trovare informazioni importanti sul Bluetooth in un iPhone, in questa posizione: com.apple.MobileBluetooth.ledevices.other.db-wal
checkm8 e checkra1n Come per ogni esame forense su dispositivi mobili, è necessaria un’estrazione completa del file system per esaminare i file di sistema. Un ricercatore indipendente, axi0mX, ha scoperto un exploit iOS che funziona sugli iPhone dal 4S fino all’X. L’exploit è una vulnerabilità bootrom, il che significa che non può essere risolta da remoto da Apple. Questo exploit rende possibile un’estrazione completa del file system su milioni di iPhone. È importante sapere che l’implementazione di questo exploit non significa effettuare un jailbreak del telefono. L’uso dell’exploit checkm8 in ambito forense passa attraverso checkra1n, che è integrato in molti strumenti forensi per iOS, fra cui Cellebrite UFED, oppure può essere scaricato separamente. Un’estrazione completa del file system con checkra1n è possibile solo se è noto il codice di sblocco dell’iPhone. Quando il codice non è noto è possibile un’estrazione parziale del file system (BFU, Before First Unlock) utilizzando l’exploit. Backup di iPhone I backup di un iPhone possono essere molto importanti in un’indagine, in particolare se un sospettato ha cercato di eliminare prove incriminanti dal suo dispositivo. Un investigatore può cercare un backup in questo file: /private/var/mobile/Library/Preference/com.apple.mobile.ldbackup.plist
In questo file, esisterà un LastCloudBackupDate. Come si intuisce già dal nome, l’investigatore potrà esaminare questo file per stabilire quando sia stato effettuato l’ultimo backup dell’iPhone in iCloud e poi potrà chiedere una copia di quel backup ad Apple. C’è solo un inconveniente: il formato di data e ora è un timestamp Apple Cocoa Core Data. Esistono però alcuni convertitori online gratuiti, come epochconverter.com, che consentono di trasformare facilmente quel numero in una data e un’ora leggibili da un essere umano. Se siete interessati a esaminare i file di backup di un iPhone sul vostro computer, ma non potete permettervi l’acquisto di uno strumento professionale di Digital Forensics come BlackLight, potete scaricare gratuitamente Decipher Backup Browser dall’URL deciphertools.com (Figura 11.21).
Figura 11.21 L’interfaccia utente di Decipher Backup Browser.
Note Anche l’applicazione Notes (Note) sull’iPhone può essere una fonte importante di evidenze; i dati relativi si possono trovare nel file: NoteStore.sqlite-wal
Nel Capitolo 9 trovate ulteriori informazioni sulle app interessanti per gli investigatori. Foto Il Capitolo 10 è dedicato a un esame approfondito della Photo Forensics; è importante comunque citare anche qui una fonte principale di evidenze. Non è raro che un sospettato cancelli dal proprio iPhone prove fotografiche. Quando questo accade, comunque, esistono ancora sul dispositivo miniature di quelle immagini in questa posizione: /private/var/mobile/Media/PhotoData/thumbnails/
Normalmente, un investigatore troverà molti file JPEG nella cartella Foto di un iPhone o di un Mac. A volte, però, ci saranno anche fotografie con una estensione di file .HEIC. High Efficiency Image Format (HEIF) è un contenitore di una o più fotografie che si trova comunemente sugli smartphone. Esistono online vari strumenti gratuiti che consentono di convertire il formato di file HEIF in JPEG. Apple ha introdotto un supporto nativo per questo formato di file da macOS 10.13 (High Sierra) e anche Microsoft supporta questo formato di file in Windows 10. Snapshot Un utente di un iPhone X, 11 o 12 sa che, per accedere rapidamente a un’applicazione in esecuzione si può far scorrere il dito verso l’alto sullo schermo e poi selezionare una app in base a un’immagine del suo ultimo stato, come si vede nella Figura 11.22. I file KTX non possono essere esaminati in modo nativo su un PC Windows, ma solo su un Mac. Un investigatore può vedere effettivamente queste snapshot (istantanee) delle app nel file seguente: /private/var/mobile/Library/Splashboard/Snapshots/com.apple.mobileslideshow/sceneI D_com.apple...
Esistono numerosi strumenti che consentono agli investigatori di esaminare queste Snapshot KTX; fra gli altri, iOS Snapshot Triage Parser e SnapshotImageFinder.py.
Figura 11.22 Snapshot di app in esecuzione su un iPhone.
Eventi utente
Come abbiamo già visto, i file di sistema, eventi inclusi, non sono disponibili in un’immagine (logica) tradizionale di un iPhone. Se si usa checkm8 (checkm8.info) e checkra1n (checkra.in), si può effettuare un’estrazione completa del file system. Capire quando un sospettato abbia fatto una certa cosa con il suo iPhone può essere non meno importante della prova stessa. Il database KnowledgeC.db è perciò di grandissima importanza, poiché fornisce informazioni su quando si sono verificati determinati eventi. In un iPhone, il database si può trovare in questa posizione: /private/var/mobile/ library/CoreDuet/Knowledge/KnowledgeC.db
All’interno di KnowledgeC.db, se si vogliono ottenere informazioni, per esempio, su quando è stata usata la fotocamera, si può accedere al file: com.apple.camera
Si può usare il database KnowledgeC.db anche per stabilire quando sia stata effettuata una ricerca con l’applicazione Mappe. All’interno di KnowledgeC.db, un esame delle tabelle ZOBJECT e ZSTRUCTUREMETADATA consentirà di vedere quando un’applicazione sia stata installata dall’utente. Un investigatore può anche appurare gli stati di blocco del dispositivo grazie al database KnowledgeC.db. Per esempio, dopo un incidente automobilistico, un investigatore potrebbe stabilire se il dispositivo dell’utente era bloccato o sbloccato nel momento dell’incidente stesso. Il file KnowledgeC.db è disponibile anche sul Mac e si può trovare in questa posizione: ~/Library/Application Support/Knowledge/
Altri file che possono essere di interesse, che si riferiscono alle posizioni di rete su un iPhone, e che possono essere recuperati con un’estrazione completa del file system, con l’impiego di checkra1n, sono i seguenti: SMS Folder sms-temp.db /private/var/db/dhcp_leases /private/var/db/dhcpclient/leases
/private/var/mobile/Library/preferences/com.apple.MobileSMS.plist /private/var/mobile/Library/preferences/com.apple.locationd.plist /private/var/mobile/Library/preferences/com.apple.wifi.plist /private/var/mobile/Library/Caches/location/cache.plist
Apple Pattern of Life Lazy Output’er (APOLLO) Apple Pattern of Life Lazy Output’er (APOLLO) è uno strumento che estrae dati da vari database SQLite di iPhone e dà un quadro approfondito delle interazioni dell’utente con il dispositivo nell’arco del tempo. Il vantaggio di uno strumento del genere, per un investigatore, è che non deve esaminare i database di decine di app, ma può automatizzare il processo di visualizzazione della maggior parte delle attività dell’utente. Lo strumento estrae dati da questi database: KnowledgeC.db routined netusage.db locationd InteractionsC.db PowerLogs ADDataStore.sqlite.db healthdb_secure.sqlite
Come si può immaginare, integrare informazioni sulla salute con dati di localizzazione e altri dati raccolti simultaneamente può essere estrememente utile per un investigatore. Per esempio, se un sospettato ha sparato a una persona e poi è corso via, disporre di informazioni di localizzazione collegati a ritmo cardiaco e passi è chiaramente vantaggioso. Come abbiamo già detto, è necessario effettuare un’estrazione completa del file system mediante checkra1n, per ottenere, oltre ai dati dell’utente, anche le informazioni di sistema.
Configurazione di dispositivi Apple a livello d’impresa Apple Configurator è il framework per la distribuzione e configurazione, a livello di impresa, di iPhone, iPad o Apple TV. Apple Configurator 2 ora è disponibile agli utenti: si può scaricare liberamente dall’App Store, per iOS 5 e versioni successive. Configurator consente un controllo stretto di tutti i dispositivi in azienda. Per esempio, l’amministratore può configurare la schermata di blocco o impedire che l’utente sincronizzi il dispositivo con un computer. Può anche fare in modo che sul dispositivo possano essere installate solo determinate applicazioni, limitare le chiamate vocali o l’uso di Siri e può controllare o limitare varie altre funzioni sul dispositivo dell’utente. Anche un utente domestico può decidere di utilizzarlo per controllare l’uso dei dispositivi Apple nella propria abitazione. Per esempio, per un dispositivo utilizzato da un bambino possono essere definite, dal genitore, determinate restrizioni. È importante quindi stabilire se un dispositivo sia sottoposto al controllo d’impresa, per capire quali tipi di attività possa avere compiuto un sospettato. Inoltre, è probabile che sia necessario avere il supporto dell’amministratore di Apple Configurator durante le indagini. I profili di configurazione si possono trovare nel percorso seguente: /root/mobile/Library/ConfigurationProfiles
Configurator si articola in tre parti. Prepara dispositivi: questa funzione del Configurator consente a un amministratore di impostare ciascun dispositivo con un profilo, che può essere standardizzato in tutta l’organizzazione. L’amministrazione può scegliere di aggiornare il dispositivo alla versione più recente di iOS, installare app e così via.
Supervisiona dispositivi: questa funzione del Configurator dà all’amministratore il controllo su gruppi di dispositivi che hanno in comune app, profili e impostazioni. Questa funzione fa valere gli standard di configurazione imposti dall’amministratore. Un dispositivo supervisionato non può essere configurato o supervisionato da altri computer su cui venga eseguito Configurator. Assegna dispositivi: questa funzione consente all’amministratore di impostare utenti e gruppi. L’amministratore può utilizzare questa funzione per assegnare i dispositivi agli utenti.
Batteria La batteria di un iPhone 11 o 12 è una batteria agli ioni di litio. Se la batteria di un iPhone smette di funzionare, la data sul dispositivo torna di default all’Epoch time (1 gennaio 1970).
Esecuzione di un esame forense su un Mac Come per ogni esame di un dispositivo digitale, è importante che l’investigatore abbia ben chiaro quale tipo di MacBook (o di computer Mac) dovrà esaminare. Ogni modello di MacBook ha porte diverse, per esempio una connessione USB o una USB-C o una FireWire, e questo determina quali opzioni sono disponibili per la creazione di un’immagine del dispositivo e per la rimozione, più o meno agevole, del disco rigido. A seconda del sistema operativo, sarà possibile incontrare funzionalità di sicurezza diverse. Infine, l’hardware e il software del computer incideranno sul lavoro dell’investigatore: per esempio, se la macchina è dotata di un chipset T2 con Secure Boot, se è
in esecuzione la crittografia FileVault e se il sistema ha APFS. FCC-ID e numero di serie, che si trovano spesso sulla base del computer, possono aiutare l’investigatore a capire quale tipo di Mac abbiano di fronte, quale hardware abbia in dotazione e quali software potrebbero essere in esecuzione. Il FCC-ID è un numero assegnato al dispositivo dalla Federal Communications Commission (FCC). Un investigatore può prendere nota di questo numero e trovare maggiori informazioni sul dispositivo sul sito della FCC (fcc.gov). Apple mantiene un sito web (checkcoverage.apple.com) dove un investigatore può inserire un numero di serie e determinare le specifiche tecniche del MacBook o del Mac. Anche se non è corretto dal punto di vista forense, si può fare un clic sul menu Mela, poi su About This Mac (Informazioni su questo Mac) per ottenere maggiori informazioni sul computer, come si vede nella Figura 11.23.
Figura 11.23 About This Mac (Informazioni su questo Mac).
Dato che la cifratura è sicuramente l’ostacolo maggiore che le forze dell’ordine possono incontrare con un Mac, se un investigatore vede
che un Mac è acceso e non mostra un salvaschermo protetto da password, quella può essere l’unica occasione per creare un’immagine del dispositivo, in particolare se il proprietario non è disposto a fornire la password. L’investigatore può verificare in Preferenze di sistema > Sicurezza e Privacy > FileVault se è abilitato FileVault (Figura 11.24).
Figura 11.24 La finestra di dialogo Sicurezza e Privacy.
A quel punto l’investigatore potrebbe usare uno strumento forense, come RECON TRIAGE, di SUMURI, per il live imaging. Questo strumento può essere usato anche per creare un’immagine della RAM (memoria virtuale). Cosa molto importante, come per ogni computer, è
verificare sempre data e ora del sistema e documentarle, insieme con l’ora del proprio fuso orario. Alla fine, si vorrà ottenere un’immagine .DMG del disco rigido del Mac e quindi montare quell’immagine per vederla con un strumento forense (di sola lettura). Per quanto riguarda la cattura di schermate, per un Mac sono disponibili le opzioni seguenti. Cattura di tutto lo schermo: Comando+ Maiusc +3. Cattura di una parte selezionata dello schermo: Comando+ Maiusc + 4. Cattura di una finestra: Comando+ Maiusc + 4 + barra spaziatrice.
Casi Dall’inizio della commercializzazione fino al 2018, Apple ha venduto 2,2 miliardi di iPhone, un numero davvero enorme. Nel novembre 2018 ha annunciato che non avrebbe più pubblicato i dati sulle vendite degli iPhone. Anche le vendite dei tablet iPad sono state molto elevate, perciò è sempre più frequente che i dispositivi iOS siano utilizzati come fonte di prove nei procedimenti giudiziari. I casi seguenti presentano solo alcuni dei modi in cui è stato possibile consegnare alla giustizia dei criminali, grazie alle prove ottenute da dispositivi iOS.
Trova il mio iPhone Un cittadino ha denunciato alla polizia di Astoria, in Oregon, il furto di un iPhone. La vittima ha utilizzato l’app Find My iPhone (Trova il mio iPhone) per individuare la posizione del dispositivo e ha poi informato la polizia della posizione in cui si trovava. La polizia ha seguito la pista ed è arrivata a un grande magazzino, dove ha chiamato
il numero dell’iPhone. Scott Simons, 23 anni, di Oysterville, Washington, è stato trovato in possesso dell’iPhone; aveva anche con sé strumenti per l’assunzione di droghe e aveva residui di eroina sulla sua persona; inoltre era già in libertà vigilata per furto aggravato.
HacKtivista ricercato Higinio O. Ochoa III, sospettato di essere l’hacktivista CabinCr3w e programmatore informatico, era ricercato negli Stati Uniti per la violazione di almeno quattro siti web delle forze dell’ordine. Ochoa ha utilizzato il suo iPhone per scattare una foto della fidanzata, che indossava un cartello che scherniva la polizia. Purtroppo per Ochoa, e per fortuna dell’FBI, la fotografia che è stata pubblicata online conteneva informazioni di localizzazione nei metadati EXIF. Le informazioni di longitudine e latitudine nei metadati hanno condotto la polizia all’abitazione, a Wantirna South (un sobborgo di Melbourne, in Australia) dove Ochoa si nascondeva.
Michael Jackson Uno dei processi per omicidio che hanno avuto maggiore eco nei media è stato quello del dottor Conrad Murray, medico personale di Michael Jackson. Murray ha registrato le ultime parole di Michael Jackson, prima della morte, sul suo iPhone. L’accusa è riuscita ad ammettere il file audio estratto dall’iPhone di Murray come prova e a farlo ascoltare alla giuria. Questa prova è stata sicuramente importante per la condanna di Murray.
iPhone rubato A Katy McCaffrey è stato rubato l’iPhone durante una Disney Wonder Cruise. Il ladro non si è accorto che tutte le foto scattate venivano
salvate anche nell’account iCloud di McCaffrey. Quando il ladro ha scattato foto di sé stesso e dei suoi colleghi di lavoro, McCaffrey ha potuto recuperarle dal proprio account iCloud e le ha pubblicate sulla propria pagina Facebook, in un album intitolato “Stolen iPhone Adventures”. Molte delle fotografie mostravano un impiegato il cui badge riportava il nome “Nelson”. McCaffrey ha inviato le fotografie anche alla Disney, ma non si sa esattamente che cosa abbia fatto Disney con le prove ricevute.
Sequestro di droga La polizia di Palo Alto ha rintracciato un iPad rubato, grazie al GPS: lo ha localizzato in un palazzo di appartamenti. Gli agenti non avevano un mandato, ma gli occupanti li hanno lasciati entrare nell’appartamento. Gli agenti hanno trovato 780 libbre (circa 350 kg) di metamfetamine e 35 milioni di dollari in contanti: è stato uno dei maggiori sequestri di droga della storia.
Processo per omicidio Hussein Khavari è stato rinviato a giudizio in Germania, per lo stupro e l’omicidio di Maria Ladenburger nel 2016. Evidenze ricavate dall’app Health (Salute) sono state utilizzate come prove a conferma, per dimostrare che era sceso fino alla riva di un fiume con il corpo della vittima e successivamente aveva risalito le scale.
Riepilogo La Mac Forensics è un campo di studio relativamente recente, ma la sua importanza è andata progressivamente aumentando nel corso degli ultimi anni. macOS, e i suoi file system HFS+ e APFS sono molto
diversi da Microsoft Windows e NTFS, perché sono basati sul sistema operativo UNIX. Un investigatore deve usare un computer Macintosh quando esamina un Mac o un dispositivo iOS perché HFS+ e APFS sono file system sensibili alla differenza fra maiuscole e minuscole e perché è necessario un Mac per aprire e visualizzare determinati file. iOS è una versione ridotta di macOS, il che è certamente un vantaggio per gli investigatori. Purtroppo, quando vengono rilasciate nuove versioni di iOS, i consumatori sono sollecitati ad aggiornare i loro dispositivi: sicurezza e tecniche crittografiche sono migliorate drasticamente, perciò recuperare evidenze diventa sempre più difficile. Inoltre, sono diminuite le persone che sincronizzano i loro dispositivi iOS con un Mac o un PC, perché il processo di attivazione non richiede più la sincronizzazione e questa avviene attraverso un account iCloud dell’utente. Conoscere l’ambiente Apple è importante, perché si possono trovare evidenze in un’ampia gamma di dispositivi interconnessi e sincronizzati, sia negli ambienti domestici sia nelle organizzazioni. Si possono trovare evidenze comuni su un iPhone, un Mac una AirPort Time Capsule e in iCloud. I database SQLite, associati alle applicazioni per dispositivi mobili, di solito non sono cifrati e la loro importanza è aumentata, fra gli altri motivi per il fatto che molti utenti (e molti criminali) usano più applicazioni per comunicare con amici (o associati) anziché affidarsi alle tradizionali chiamate in voce sulla rete cellulare. Ora si possono usare checkm8 e checkra1n per acquisire un’immagine completa del file system di un iPhone, il che recentemente ha avuto un impatto significativo per le indagini. Un’immagine completa del file system comprende dati di sistema fondamentali, fra cui anche i dati dell’app Salute.
Glossario AFF4 (Advanced Forensic File Format). Un formato aperto (non proprietario) per i file immagine di disco. AirDrop. Una funzionalità di iOS 7 e successivi, che consente a un utente di condividere foto, video, contatti e altri dati, via Bluetooth, con altri utenti nelle immediate vicinanze. AirPlay. Un protocollo proprietario di Apple per lo streaming wireless da Internet e fra dispositivi compatibili. AirPort Express. Una stazione base Wi-Fi che consente a un utente di connettere altri dispositivi Apple e di trasmettere contenuti in streaming wireless con un protocollo Wi-Fi 802.11n simultaneamente su doppia banda. AirPort Extreme. Una base Wi-Fi che possiede molte caratteristiche in comune con AirPort Express ma è progettata per un’abitazione di maggiori dimensioni, una piccola azienda o un’aula scolastica. AirPort Time Capsule. Una unità disco di backup automatico e wireless per gli utenti Mac. APFS (Apple File System). Un file system sviluppato da Apple per i computer Macintosh e per dispositivi mobili come l’iPhone. APFS Free Queue. Blocchi allocati in un volume, non individuati in un’acquisizione logica, che non hanno riferimento nel file system ma possono contenere dati preziosi. Apple Configurator. Il framework per la distribuzione e configurazione di iPhone, iPad e Apple TV in un’organizzazione. Blocco di allocazione. Una unità di spazio, che normalmente per un disco rigido è pari a 512 byte. Boot Camp. Uno strumento che consente l’installazione e l’esecuzione di più sistemi operativi sui Macintosh con processore Intel.
Catalog ID. Un numero sequenziale univoco che viene creato quando si crea un nuovo file su un Mac. Catalogo, file. Un file che contiene informazioni dettagliate su un file, in particolare il nome del file e il nome della cartella. Cocoa. Un framework per chi sviluppa per macOS, che contiene API (Application Programming Interface), librerie e runtime ed è in gran parte basato sul linguaggio Objective-C. Container Keybag. Una funzionalità crittografica in APFS che mantiene Volume Keybag (portachiavi di volume) e la Volume Encryption Key (VEK) su un Mac. Copy-on-write. Una funzionalità che crea cloni di file e per la quale al file clone vengono apportati solo i cambiamenti al file, il che è molto più efficiente rispetto al journaling. Core Foundation (CF). Un framework che fornisce utili servizi software fondamentali agli sviluppatori che costruiscono applicazioni per macOS e iOS. CoreStorage. Una funzionalità che costituisce il fondamento dei Fusion Drive e visualizza partizioni su più unità disco come se fossero un disco unico. Clonazione di dati. Una funzionalità di APFS per la quale, quando vengono duplicati dati all’interno di un contenitore, indipendentemente dal volume, i contenuti dei dati non vengono replicati, ma vengono duplicati solo i metadati. Data fork. Parte dei file costituita dai dati, nei vecchi file system Macintosh. Data Protection. Una funzionalità sviluppata da Apple per mantenere cifrati tutti i dati nella memoria flash, ma consentire all’utente di ricevere telefonate, sms ed email quando il dispositivo è bloccato.
Device Firmware Upgrade (DFU) Mode. Una modalità che consente all’utente di selezionare la versione del firmware che vuole installare sul proprio dispositivo. DMG. Una copia esatta di un file, o di una collezione di file o di un volume; è stato il formato di default delle immagini per la distribuzione di applicazioni per macOS. Face ID. Una funzione di sicurezza di riconoscimento facciale, sviluppata da Apple, utilizzata per sbloccare i modelli recenti di iPhone e iPad. FileVault. Uno strumento per la cifratura dei volumi, sviluppato da Apple per i Macintosh. FireWire. Chiamata anche IEEE 1394, un’interfaccia che consente trasferimenti di dati a velocità elevata. Fusion Drive. Una tecnologia Mac che prende due unità disco, per esempio un SSD e un HDD oppure due SSD, e le fa funzionare come se fossero un unico SSD. I Fusion Drive non sono compatibili con APFS. Gatekeeper. Una funzione di sicurezza di macOS che richiede la firma del codice per le app scaricate, prima di eseguirle. Hierarchical File System (HFS). Un file system sviluppato da Apple nel 1985 a supporto dei suoi dischi rigidi. Hierarchical File System Extended (HFS+). Un file system proprietario della Apple, che supporta file di maggiori dimensioni e Unicode. High Efficiency Image Format (HEIF). Un contenitore di una o più fotografie, che si trova comunemente negli smartphone. iBeacon. Una funzionalità Apple per gli sviluppatori di app, che usa Bluetooth Low Energy (BLE) per identificare la posizione di un utente. iBoot. La seconda fase del bootloader, che verifica e monta il kernel iOS.
iCloud. Il servizio cloud di Apple, disponibile ai proprietari di dispositivi Apple. iCloud Keychain. Un’area su un disco che conserva tutte le password online dell’utente (cifrate con AES a 256 bit), sui Mac approvati e sui dispositivi iOS registrati a nome dell’utente. Inizializzazione. Il termine che indica la formattazione di una unità disco in macOS. Intestazione (header) di volume. Una copia dell’header (intestazione) di volume che si trova negli ultimi 1024 byte del volume. Key Encryption Key (KEK). Una chiave crittografica in APFS, derivata dalla password di ciascun utente su un sistema e dalla Recovery Key. Keybag (portachiavi). Su un disco, l’area che conserva le informazioni di cifratura (comprese le chiavi crittografiche) per un Apple Macintosh o un dispositivo iOS. Location Services (Servizi di localizzazione). I servizi (attivabili dall’utente) che consentono a un dispositivo iOS e a varie applicazioni che possono esservi installate di determinare la posizione dell’utente sulla base delle celle della rete cellulare, del GPS e degli hotspot WiFi. Macintosh File System (MFS). Un file system piatto, introdotto da Apple nel 1984 con il primo Macintosh. Media, partizione. In un dispositivo iOS, la partizione dei dati; contiene i dati dell’utente e alcuni file di sistema. Notifiche. Per gli utenti di Apple Mac, un modo comodo per ricevere una segnalazione in caso di messaggi in arrivo, di richieste FaceTime a cui rispondere o di avvisi da siti web, senza dover uscire da altre applicazioni. Numero di blocco di allocazione. Un numero a 32 bit che identifica un blocco di allocazione.
Objective-C. Un linguaggio di programmazione a oggetti basato sul linguaggio C e sviluppato agli inizi degli anni Ottanta da NeXT. PList (property list). File di configurazione che si trovano in un computer dotato di sistema operativo Mac. plutil (property list utility). Uno strumento di macOS che può verificare la sintassi dei file PList o può essere usato per convertire PList in un altro formato. Quick Look. Una funzionalità di macOS che consente all’utente di vedere in anteprima i contenuti di un file senza aprirlo o senza avviare l’applicazione associata. Recovery Mode. La modalità che consente a un utente di riportare le impostazioni del suo iPhone alle impostazioni originali. Resource fork. In file system Mac non recente, la parte di un file che è costituita solo dai metadati del file e dalle informazioni sull’applicazione associata. Root, partizione. La prima partizione in un dispositivo iOS, che contiene il sistema operativo. Sleepimage. Una copia dei contenuti della RAM, copiati sul disco fisso del computer quando il computer entra in modalità “ibernazione”. Snapshot. Il backup di un volume APFS, in un conenitore, che può essere utilizzato per ripristinare file e dati. Space sharing. Una funzionalità che consente a più file system di condividere lo spazio libero di un volume fisico, diversa dagli schemi di partizionamento rigidi che preassegnano una quantità fissa di spazio a ogni file system; i volumi formattati APFS possono crescere e ridursi senza ripartizionamento del sistema. Sparse bundle. Un file virtuale, introdotto con macOS 10.5 per l’uso con FileVault, che aumenta di dimensioni a mano a mano che vengono aggiunti file.
Sparse image. Un file virtuale di immagine di disco per macOS che cresce di dimensioni a mano a mano che vengono aggiunti file. Spotlight. Una funzionalità di macOS che trova rapidamente file, cartelle, applicazioni non appena l’utente inizia a scrivere un nome nel campo di ricerca. System Software Personalization. Un processo, sviluppato da Apple, che impedisce all’utente di effettuare il downgrade di un dispositivo iOS a una versione precedente del firmware iOS. Tag. Una funzionalità di macOS che consente all’utente di organizzare i file mediante parole chiave. Touch ID. È il nome del sensore per le impronte digitali utilizzato per sbloccare l’iPhone. Unique Device IDentifier (UDID). Un identificatore alfanumerico di 40 caratteri che identifica in modo univoco ciascun dispositivo Apple iOS. USB Restricted Mode. Una funzionalità di sicurezza, introdotta con iOS 11.4.1, che impedisce a un computer fidato di sbloccare un dispositivo iOS. Vacuuming. Una funzione di “pulizia” associata ai database SQLite, che elimina in modo permanente record o tabelle cancellati. Volume header. Un header (intestazione) che contiene informazioni sul volume, fra cui data e ora della sua creazione e il numero dei file memorizzati in quel volume. Volume Encryption Key (VEK). Una chiave di file system usata per cifrare blocchi di dati su un volume (disco). Volume Keybag (portachiavi di volume). Una funzionalità crittografica in APFS che conserva una serie di Key Encryption Keys (KEK) in un Mac.
Valutazione
Domande a risposta aperta 1. Per quali aspetti la Mac Forensics è diversa dalla Digital Forensics per un personal computer Windows? 2. Quando si lavora in un “ambiente Apple” nell’abitazione di un indiziato, quali dispositivi Apple sono potenzialmente di valore per un investigatore? 3. Quale tipo di aiuto può fornire (potenzialmente) Apple alle forze dell’ordine, in un’indagine che coinvolga dispositivi Apple?
Domande a risposta multipla 1. Quale dei dispositivi seguenti include un disco fisso per il backup dei dati? A. B. C. D.
AirPort Express. AirPort Time Capsule. AirPort Express. AirPort Extended.
2. Quale dei seguenti, chiamato anche IEEE 1394, consente trasferimenti di dati ad alta velocità? A. B. C. D.
FireWire. Thunderbolt. USB 3. Ethernet.
3. Qual è una funzionalità di macOS che consente all’utente di organizzare i file con parole chiave? A. Cocoa. B. iCloud.
C. iBeacon. D. Tags. 4. Quale dei seguenti usa Bluetooth Low Energy (BLE) per identificare la posizione di un utente? A. B. C. D.
Cocoa. iCloud. iBeacon. Tags.
5. Qual è la modalità che consente all’utente di ripristinare le impostazioni originali di un iPhone? A. B. C. D.
Recovery Mode. Device Firmware Upgrade Mode. iBoot. Restoration Mode.
6. Quale dei seguenti memorizza tutte le password online dell’utente, applicando una cifratura AES a 256 bit, su Mac approvati e dispositivi iOS registrati all’utente? A. B. C. D.
FileVault. DMG. Partizione root. iCloud Keychain.
7. Quale dei seguenti è un file virtuale per macOS che cresce di dimensioni a mano a mano che vengono aggiunti file? A. B. C. D.
Partizione Media. Sleepimage. PList. Sparse image.
8. Quale fra le seguenti è una funzionalità che consente all’utente di un Apple Mac di vedere i messaggi in arrivo, di rispondere a richieste FaceTime o di ricevere avvisi da siti web senza uscire da altre applicazioni? A. B. C. D.
Quick Look. Notifiche. Apple Configurator. Spotlight.
9. Qual è un linguaggio di programmazione a oggetti, basato sul linguaggio C e sviluppato nei primi anni Ottanta da NeXT? A. B. C. D.
Python. Java. C++. Objective-C.
10. Qual è una funzionalità di macOS che trova rapidamente file, cartelle o applicazioni non appena l’utente inizia a scrivere un nome nel campo di ricerca? A. B. C. D.
Spotlight. AirDrop. plutil. Quick Look.
Completa le frasi 1. Apple __________ è il framework per la distribuzione e la configurazione, a livello di organizzazione, di iPhone, iPad e iPod e Apple TV.
2. __________ è uno strumento di cifratura dei volumi, sviluppato da Apple per i computer Macintosh. 3. __________ File System è il file system sviluppato da Apple nel 1985 per supportare il suo primo disco rigido. 4. __________ Services è una funzionalità, attivabile dall’utente, che consente a un dispositivo iOS e a varie applicazioni su quel dispositivo di determinare la posizione dell’utente in base alla posizione delle celle della rete cellulare, del GPS e degli hotspot Wi-Fi. 5. __________ Mode consente all’utente di ripristinare le impostazioni originali di un iPhone. 6. __________ è il nome del file che è una copia dei contenuti della RAM, creata sul disco fisso del computer, quando quest’ultimo entra nella modalità “ibernazione”. 7. __________ è una funzionalità di pulizia associata ai database SQLite che elimina definitivamente i record e le tabelle cancellati. 8. Boot __________ è uno strumento che consente l’installazione e l’esecuzione di più sistemi operativi su un Macintosh con processore Intel. 9. Un __________ usa Bluetooth Low Energy (BLE) per identificare la posizione dell’utente. 10. __________ List sono file di configurazione che si trovano nei computer dotati di sistema opertivo Mac.
Progetti Tutorial per l’esame di app per iPhone Utilizzando BlackLight, eseguite l’esame di un’app mobile e scrivete una “guida per l’investigatore” sul reperimento di evidenze da quella
app. Strumenti forensi per iOS Create un manuale dell’utente con informazioni dettagliate sui vari strumenti forensi per iOS. APFS Create un manuale dell’utente che spieghi come sono cambiate le indagini su Mac e dispositivi iOS con l’introduzione di APFS. Spiegate in dettaglio come condurre l’esame di un Mac e di un iPhone con APFS e di un Macintosh con macOS Catalina (o di qualche versione successiva).
Capitolo 12
Casi di studio
Obiettivi Di seguito i temi principali che verranno affrontati nel corso di questo capitolo. Le indagini sui marketplace del Dark Web. L’importanza della Computer Forensics nella dimostrazione dell’intento di commettere un reato. Come viene utilizzata la Computer Forensics in un procedimento giudiziario e i tipi di obiezioni che possono presentarsi. Il ruolo dell’esaminatore di Computer Forensics come testimone esperto. Come può essere usata la Digital Forensics in qualsiasi tipo di indagine o di procedimento giudiziario. Il problema del cyberbullismo e le evidenze digitali utilizzate per le indagini su questi tipi di reati. La legislazione contro il cyberbullismo. Le obiezioni mosse all’uso di file digitali nelle indagini sull’uso di steroidi da parte di giocatori della Major League di baseball. I case study che illustrano efficacemente l’uso della Computer Forensics in un procedimento giudiziario o in un’indagine sono difficili da trovare. I reperti dei processi spesso non sono disponibili al pubblico: succede per esempio nei casi di abuso su minori o in quelli
soggetti ad appello. In altre situazioni, i reperti presentati in tribunale possono essere disponibili su richiesta, ma a pagamento. Questo capitolo presenta esempi molto diversi di casi in cui è stata coinvolta la Digital Forensics, da tentato omicidio a omicidi seriali, dal bullismo all’abuso di farmaci negli sport.
Silk Road Ross Ulbricht, noto poi con l’appellativo di “Dread Pirate Roberts”, si proclamava un libertario, era Assistente di ricerca laureato di Austin, in Texas, e studiava alla Pennsylvania State University (Figura 12.1). Ulbricht ha creato un marketplace nel Dark Web, con il nome di Silk Road (“via della seta”). Il marketplace era frequentato da molti rivenditori criminali che vendevano un gran numero di narcotici e di altri prodotti illegali, fra cui documenti falsi (dalle patenti di guida ai passaporti), armi e munizioni. A un certo punto, il sito ospitava 13.000 voci di sostanze controllate ed era frequentato da oltre 100.000 acquirenti.Nell’arco di due anni e mezzo sul sito sono avvenute transazioni per 9,5 milioni di Bitcoin che, all’epoca del processo, equivalevano a 1,3 miliardi di dollari americani. Silk Road sembra abbia intascato 85 milioni di dollari in commissioni.
Figura 12.1 Il profilo LinkedIn di Ross Ulbricht.
Nel corso del processo, gli avvocati difensori di Ulbricht hanno sostenuto che il loro cliente aveva dato vita a Silk Road come un esperimento accademico, ma che poi lo aveva abbandonato, anni prima di essere arrestato. In questo caso, quindi, l’uso di evidenze digitali è stato di grandissima importanza per l’accusa.
Genesi di Silk Road Nel 2011, Ulbricht ha registrato il sito web silkroad420.wordpress.com. A quel tempo, ha creato un account su shroomery.org, con il nome utente “Altoid” e ha pubblicato un post che promuoveva Silk Road (vedi Figura 12.2): I came across this website called Silk Road. It’s a Tor hidden service that claims to allow you to buy and sell anything online anonymously. I’m thinking of buying off it, but wanted to see if anyone here had heard of it and could recommend it. I found it through silkroad420.wordpress.com, which, if you have a tor browser, directs you to the real site at http://tydgccykixpbu6uz.onion. Let me know what you think… [Mi sono imbattuto in questo sito che si chiama Silk Road. È un servizio nascosto Tor che sostiene di permettere di acquistare e vendere online qualsiasi cosa in modo anonimo. Sto pensando di acquistare qualcosa, ma volevo vedere se qualcuno qui ne ha sentito parlare e può consigliarlo. L’ho trovato attraverso silkroad420.wordpress.com, che, se avete un browser tor, vi rimanda al sito reale a http://tydgccykixpbu6uz.onion. Fatemi sapere che cosa ne pensate…]
Figura 12.2 Il sito Shroomery.org con il post di Ulbricht.
Ulbricht ha creato un account anche su Bitcointalk Forum e poi ha pubblicato un’offerta di lavoro:
the best and brightest IT pro in the bitcoin community [to] be the lead developer in a venture-backed bitcoin startup company [il professionista IT migliore e più brillante nella comunità bitcoin che voglia essere lo sviluppatore principale in una startup bitcoin finanziata da venture capital]
Le persone interessate erano invitate a contattare [email protected] (Figura 12.3).
Figura 12.3 Bitcointalk Forum con il post di Ulbricht.
Gli investigatori hanno collegato l’email di Ulbricht al suo account Google+ (Figura 12.4), poi hanno presentato un mandato a Google per ottenere informazioni sui suoi account Google. Nell’aprile 2012, Ulbricht ha scritto su Google+: “anybody know someone that works for UPS, FedEX, or DHL?” [qualcuno conosce qualcuno che lavori per US, FedEX o DHL?]
Figura 12.4 L’account Google+ di Ulbricht.
Ross Ulbricht ha pubblicato una domanda sotto il nome di “Ross Ulbricht” anche sul sito Stack Overflow. How can I connect to a Tor hidden service using curl in php? [Come posso connettermi a un servizio nascosto Tor utilizzando curl in php?] I’m trying to connect to a tor hidden service using the following php: [Stavo cercando di connettermi a un servizio nascosto tor con questo php:] $url = 'http://jhiwjjlqpyawmpjx.onion/' $ch = curl_init(); curl_setopt($ch, CURLOPT_URL, $url); curl_setopt($ch, CURLOPT_RETURNTRANSFER, true); curl_setopt($ch, CURLOPT_PROXY, “http://127.0.0.1:9050/”); curl_setopt($ch, CURLOPT_PROXYTYPE, CURLPROXY_SOCKS5); $output = curl_exec($ch); $curl_error = curl_error($ch); curl_close($ch); print_r($output); print_r($curl_error); when I run it I get the following error: [quando lo eseguo ottengo l’errore:] Couldn’t resolve host name However, when I run the following command from my command line in ubuntu: [Se però eseguo questo comando da riga di comando in ubuntu:] curl -v --socks5-hostname localhost:9050 http://jhiwjjlqpyawmpjx.onion
I get a response as expected [Ottengo una risposta come previsto] the php cURL documentations says this: [la documentazione php cURL dice:] --socks5-hostname Use the specified SOCKS5 proxy (and let the proxy resolve the host name). [Usate il proxy SOCKS5 specificato (e lasciate che sia il proxy a risolvere il nome di host] I believe the reason it works from the command line is because Tor (the proxy) is resolving the .onion hostname, which it recognizes. When running the php above, my guess is that cURL or php is trying to resolve the .onion hostname and doesn’t recognize it. I’ve searched for a way to tell cURL/php to let the proxy resolve the hostname, but can’t find a way. [Credo che il motivo per cui funziona da riga di comando sia perché Tor (il proxy) risolve il nome host .onion, che riconosce. Quando si esegue il php sopra, immagino che cURL o php cerchino di risovere il nome host .onion e non lo riconoscano. Ho cercato un modo di dire a cURL/php di lasciare che sia il proxy a risolvere il nome host, ma non riesco a trovare un modo.] There is a very similar question here: [C’è una domanda molto simile qui:] CURL request using socks5 proxy fails when using PHP but works through the command line
Minaccia di morte In base agli atti del procedimento, nel marzo 2013 un venditore su Silk Road, nome utente “Friendly Chemist”, ha minacciato di rivelare il vero nome di DPR (Dread Pirate Roberts) a meno che non gli venissero pagati 300.000 dollari (poi 500.000). DPR a quanto sembra ha chiesto allora a un utente di Silk Road, chiamato “redandwhite”, di eliminare FriendlyChemist, in cambio di 150.000 dollari (1.760 Bitcoin). In seguito DPR ha fornito il nome reale e l’indirizzo di FriendlyChemist.
La chiusura di Silk Road Ulbricht ha deciso di ordinare alcune patenti di guida false da un rivenditore su Silk Road (Figura 12.5). Nel giugno 2013, gli agenti della polizia di frontiera degli Stati Uniti al confine con il Canada hanno intercettato quelle patenti false. Nel luglio 2013, la Homeland Security ha visitato la residenza a cui erano state spedite le patenti, e ha
incontrato Ross Ulbricht. Ulbricht stesso ha informato la Homeland Security dell’esistenza di un grande sito, chiamato Silk Road, in cui aveva effettuato l’acquisto. Alla fine, gli investigatori federali hanno tracciato Ulbricht nella Bay Area (San Francisco, California). Hanno stabilito che al suo account Gmail era stato effettuato un accesso da un computer in quell’area e hanno accertato anche che al server Silk Road era stato effettuato un accesso da un Internet café vicino alla residenza di un’amica di Ulbricht. Gli investigatori hanno ottenuto un mandato per Comcast, per ottenere informazioni relative al server sicuro a cui era stato effettuato l’accesso attraverso una rete privata virtuale (VPN).
Figura 12.5 False patenti di guida spedite a Ulbricht.
La cattura di Ulbricht Jared Der-Yeghiayan, agente speciale del Department of Homeland Security (DHS), è riuscito a infiltrarsi in Silk Road fingendo di essere un amministratore del sito, nome utente “cirrus”. Gli investigatori avevano due timori: (1) che Ulbricht, come era probabile, avesse attivato la cifratura sul suo laptop, cosa che sarebbe stata poi problematica per le indagini, e (2) che in seguito potesse negare il proprio coinvolgimento con il sito Silk Road. A un certo punto, Ulbricht era a casa della sua amica nella Bay Area di San Francisco. Quando la connessione Internet nell’appartamento è stata troncata, Ulbricht ha deciso di usare il Wi-Fi gratuito alla Biblioteca di Glen Park, dove gli investigatori avevano pianificato un’operazione sotto copertura per catturarlo. Alle 15:08, Ulbricht ha aperto il suo laptop e ha effettuato l’accesso alla chat dello staff del sito Silk Road (Figura 12.6). L’agente speciale Der-Yeghiayan ha contattato Ulbricht, che aveva effettuato il login come “dread”, e ne è seguito questo scambio: cirrus: hey can you check out one of the flagged messages for me? [puoi controllare uno dei messaggi con flag per me] dread: you did bitcoin exchange before you worked for me, right? [hai fatto scambi di bitcoin prima di lavorare per me, vero?] cirrus: yes, but just for a little bit [sì, ma solo per un po’] dread: not any more then? [non più, allora?] cirrus: no, I stopped because of reporting requirements [no, ho smesso per i requisiti di reporting] dread: damn regulators, eh? [dannati regolatori, eh?] ok, which post? [ok, quale post] cirrus: lol, yep there was the one with the atlantis [c’era quello con l’atlantis]
Figura 12.6 Schermata della pagina di supporto di Silk Road (visualizzazione da amministratore).
Non appena Ulbricht (“dread”) ha detto “ok, which post?”, l’agente speciale Der-Yeghiayan sapeva che si trovava sulla pagina del messaggio con il flag e perciò aveva accesso come amministratore. Due agenti sotto copertura, un uomo e una donna, hanno finto una discussione vicino a Ulbricht, nella sezione “fantascienza” della biblioteca. Ulbricht si è alzato e si è girato. La donna ha tenuto impegnato Ulbricht mentre l’altro agente ha preso il laptop, in modo che rimanesse acceso e che l’eventuale cifratura non venisse attivata. È stato poi appurato che il Samsung 700z sequestrato aveva installato TrueCrypt (software di cifratura dell’intero disco). Gli agenti hanno potuto dimostrare così che Ulbricht aveva effettuato l’accesso a Silk Road e che stava usando TorChat con backup, il che in seguito sarebbe risultato utile per gli investigatori.
Predibattimento Gli avvocati della difesa hanno sostenuto che l’FBI aveva violato un server in Islanda senza un mandato. La difesa in seguito ha avanzato una mozione per respingere le prove ottenute da quel server. Quel server si presumeva fosse utilizzato per ospitare il marketplace Silk Road nel Dark Web. Il 12 giugno 2013, è stata avanzata una richiesta alle autorità islandesi per: (1) ottenere informazioni dell’abbonato associato con il Server in oggetto; (2) raccogliere informazioni di routing per le comunicazioni inviate da e al Server in oggetto, compresi i dati storici di routing dei precedenti 90 giorni; e (3) effettuare nascostamente un’immagine dei contenuti del Server in oggetto.
In seguito, la polizia di Reykjavik ha ottemperato alla richiesta. I risultati sono stati condivisi con le autorità statunitensi il 29 luglio 2013. Tornando alla mozione per escludere le prove, il giudice l’ha respinta con la motivazione che Ulbricht “non ha presentato nulla che stabilisca che abbia un interesse di privacy personale nel server islandese o in alcuno degli altri elementi di cui è stata effettuata un’immagine e/o ricercati e/o sequestrati”. Il problema per i difensori di Ulbricht era che, dimostrare un interesse di privacy personale nel server islandese poteva implicare che fosse di fatto ancora coinvolto con Silk Road a quell’epoca, mentre invece volevano sostenere che aveva creato l’idea di Silk Road ma poi aveva abbandonato il sito. La procura degli Stati Uniti non si è basata solo sulle evidenze digitali, durante il processo, ma ha potuto fare affidamento anche sulla testimonianza di varie persone, fra cui un trafficante di narcotici associato con Silk Road. Il suo nome era Cornelis Jan Slomp, alias “SuperTrips”, di 22 anni, da Woerden in Olanda (Figura 12.7). Jan Slomp era il maggior venditore sul sito e aveva condotto 10.000 transazioni, per un valore complessivo di 385.000 Bitcoin.
Figura 12.7 Il profilo LinkedIn di Cornelis Jan Slomp, alias SuperTrips.
Jan Slomp è stato arrestato all’aeroporto di Miami, mentre stava salendo su una Lamborghini noleggiata. Gli investigatori hanno trovato le sue impronte digitali su custodie di DVD che usava per spedire le sostanze stupefacenti. Per patteggiare, si è offerto di testimoniare a proposito delle sue attività durante il processo a Ulbricht, ma non è stato mai chiamato a dare la sua testimonianza. Il patteggiamento gli ha fruttato una condanna più mite a 10 anni di reclusione, anziché a 40 anni come avrebbe potuto essere. Purtroppo, prima della testimonianza, il governo statunitense ha involontariamente fatto trapelare online un elenco di reperti che intendeva utilizzare durante il procedimento, che dava spazio a potenziali obiezioni da parte della difesa. La Figura 12.8 elenca alcuni dei reperti resi pubblici e le potenziali obiezioni.
Figura 12.8 I reperti resi involontariamente pubblici dal governo degli Stati Uniti con le potenziali obiezioni.
Ross Ulbricht a processo Gli agenti speciali Chris Tarbell e Illhwan Yum, CY2 (Cyber Crimes Squad) dell’FBI, hanno lavorato entrambi al caso e hanno reso testimonianza al processo. Illhwan Yum ha testimoniato che gli investigatori avevano collegato a Ulbricht 3760 transazioni in Bitcoin successive al momento in cui sosteneva di avere abbandonato il sito.Yum ha effettuato un controllo incrociato delle transazioni sul registro pubblico (Blockchain) con dati estratti dal laptop di Ulbricht e dal server web Silk Road. Sono state presentate anche evidenze che mostravano trasferimenti di Bitcoin da server collocati a Filadelfia, in Pennsylvania e a Reykjavik in Islanda.
Secondo la “Dichiarazione di Christopher Tarbell”, la localizzazione del server di Silk Road è stata possibile perché l’interfaccia di login per il sito ne lasciava trapelare l’indirizzo IP. Durante il processo di login, alcuni pacchetti inviati dal server web contenevano un indirizzo IP diverso dagli indirizzi IP di nodi Tor noti. Sembra che l’indirizzo IP del server web trapelasse a causa di un CAPTCHA mal configurato (un CAPTCHA è un’applicazione utilizzata per impedire che bot automatizzati effettuino il login a un sito).
Evidenze dal laptop Sul laptop di Ulbricht è stato trovato un logbook, con i dettagli delle sue attività quotidiane. Dal laptop è stata recuperata anche la chiave PGP privata di Ulbricht, che era stata usata per firmare messaggi inviati da DPR (Dread Pirate Roberts). Sono stati recuperati anche molti file .php, utilizzati per creare il sito web Silk Road (vedi le Figure 12.912.11). Gli investigatori hanno scoperto anche una domanda di cittadinanza fiscale nella Repubblica Dominicana. Ulbricht forse pensava di diventare una leggenda grazie al suo marketplace e perciò teneva un diario sul suo laptop. In una delle pagine del diario ha scritto: I am creating a year of prosperity and power beyond what I have ever experienced. Silk Road is going to become a phenomenon and at least one person will tell me about it, unknowing that I was its creator [Sto creando un anno di prosperità e di potenza ben oltre tutto quello che ho mai sperimentato. Silk Road è destinato a diventare un fenomeno e almeno una persona me ne parlerà, senza sapere che ne sono il creatore.]
In una pagina del dicembre 2011 scriveva: I felt compelled to reveal myself to her. It was terrible. I told her I have secrets. She already knows I work with bitcoin wich [sic] is terrible. I’m so stupid. Everyone knows I am working on a bitcoin exchange. I always thought honesty was the best policy and now I don’t know what to do. I should have just told everyone I am a freelance programmer or something, but I had to tell half-truths. It felt wrong to lie completely so I tried to tell the truth without revealing the bad parts, but now I am in a jam. Everyone knows too much, dammit. [Mi sono sentito costretto a rivelarmi a lei. È stato terribile. Le ho detto che ho dei
segreti. Lei già sa che lavoro con i bitcoin, che è terribile. Sono così stupido. Tutti sanno che sto lavorando a un bitcoin exchange. Ho sempre pensato che l’onestà fosse la politica migliore e ora non so che cosa fare. Avrei semplicemente dovuto dire a tutti che sono un programmatore freelance o qualcosa del genere, ma ho dovuto dire mezze verità. Mi sembrava sbagliato mentire completamente, perciò ho tentato di dire la verità senza rivelare le parti negative, ma adesso sono nei guai. Tutti sanno troppo, dannazione.]
La sentenza Il processo a Ross Ulbricht è durato 13 giorni; la giuria poi è rimasta a deliberare per tre ore e mezza. Ulbricht è stato giudicato colpevole dei reati seguenti: associazione a delinquere per il traffico di stupefacenti; associazione a delinquere per hacking informatico; associazione a delinquere per riciclaggio di denaro.
Figura 12.9 Immagine FTK del laptop di Ross Ulbricht.
Figura 12.10 Immagine FTK del laptop di Ross Ulbricht, in cui si vedono file relativi a Silk Road.
Figura 12.11 Schermata di transazioni bitcoin dal laptop di Ulbricht.
Il massacro di Las Vegas L’1 ottobre 2017 Stephen Craig Paddox, 64 anni, da Babbling Brook, Mesquite, Nevada, ospite al Mandalay Bay di Las Vegas, ha colpito e ucciso 58 persone e ne ha ferite altre 700: è stato il massacro più grave nella storia degli Stati Uniti. I motivi rimangono ancora misteriosi, anche se un’indagine condotta sui suoi dispositivi digitali fornisce qualche indicazione del suo intento. La polizia di Las Vegas ha pubblicato un rapporto che forniva alcuni risultati preliminari in merito al reato e alle evidenze ottenute dai suoi dispositivi digitali: erano state esaminate 21.560 ore di video, erano state analizzate 251.099 immagini ed erano stati esaminati anche quattro laptop e tre telefoni cellulari.
Su uno dei laptop di Paddock (un HP) erano state scoperte le sequenti ricerche: il 18-5-2017: “summer concerts 2017”, “grant park functions”, “biggest bear”, “La Jolla Beach”, “open air concert venues”, “biggest open air concert venues in USA”, “how crowded does Santa Monica Beach get”; il 4-9-2017: “Las Vegas rentals”, “Las Vegas condo rentals”, “Las Vegas high rise condos rent”, “Las Vegas Ogden for rent”; 5-9-2017: “life is beautiful expected attendance”, “life is beautiful single day tickets”, “life is beautiful Vegas lineup”; il 15-9-2017: “swat weapons”, “ballistics chart 308”, “SWAT Las Vegas”, “ballistic”, “do police use explosives”. Un ricerca in Google ovviamente può essere eseguita con qualsiasi tipo di browser. Su un PC Windows, se l’utente usa Google Chrome, lascia molte tracce che possono essere recuperate dalla directory: %root%\Users\%username%\AppData\Local\Google\Chrome\User Data\Default
Su un dispositivo Android si trovano evidenze in: data\data\com.android.chrome\app_chrome\Default
Per dispositivi iOS, le tracce relative al Web si possono trovare in: %root%\Library\Application Support\Google\Chrome\Default
È stata trovata anche una ricerca in Bing: il 5-9-2017: “Mandalay Bay Las Vegas”, “Route 91 harvest festival 2017 attendance”, “Route 91 harvest festival 2017”. Le evidenze ricavate dalla Digital Forensics dal laptop di Paddock non facevano chiarezza sul motivo, ma, come si vede dalle ricerche citate, Paddock nel pianificare il suo attacco aveva usato il laptop per identificare un luogo e un evento che richiamassero un pubblico molto ampio.
Dalla stanza di Paddock al Mandalay Bay è stato recuperato anche un laptop Dell, Model E5570, appartenente allo stesso Paddock. Su quel laptop sono state reperite centinaia di immagini di sfruttamento sessuale di minori. Aveva eseguito anche numerose ricerche su luoghi che ospitassero eventi all’aperto. La polizia ha trovato anche un laptop, collocato su un carrello del servizio in camera, collegato a videocamere che aveva montato per vedere chiunque si avvicinasse alla sua stanza (Figura 12.12).
Figura 12.12 Il laptop di Paddock, trovato nella sua stanza di hotel, collegato alle videocamere in corridoio.
Zacharias Moussaoui Solo un terrorista è stato processato per gli attacchi dell’11 settembre 2001, Zacharias Moussaoui. Il suo processo offre buone indicazioni dei vari tipi di evidenze digitali esaminati dagli investigatori. Il caso dimostra inoltre come questo tipo di prove venga ammesso in tribunale e mostra le argomentazioni della difesa contro il loro uso. Infine, lo studio di questo caso illustra come sia gli avvocati della difesa sia quelli dell’accusa usino le deposizioni di periti.
Background Zacharias Moussaoui era nato il 30 maggio 1968 in Francia ed era di origini marocchine. Si era laureato alla South Bank University a Londra. Nel periodo in cui si trovava in Inghilterra aveva frequentato la moschea di Brixton, la stessa frequentata da Richard Reid, lo “Shoe Bomber”, e la più radicale moschea di Finsbury Park a Londra. Aveva stretto rapporti con estremisti islamici in Inghilterra e poi aveva ricevuto un addestramento con Al Qaeda nel 1998 nei campi di addestramento di Khalden, Derunta, Khost, Siddiq e Jihad Wal in Afghanistan. Fra il 1998 e il 1999 aveva vissuto ad Amburgo, dividendo un appartamento con Mohammed Atta, uno degli attentatori dell’11 settembre, che aveva dirottato il volo 11 della American Airlines mandandolo a schiantarsi contro la torre nord del World Trade Center. Nell’agosto 2001, Moussaoui aveva frequentato una scuola di volo a Minneapolis e si era addestrato su simulatori di Boeing 747. L’FBI aveva messo sotto sorveglianza Moussaoui e voleva effettuare una perquisizione del suo laptop Toshiba agli inizi del 2001. Purtroppo,
le richieste degli agenti dell’ufficio in Minnesota sono state respinte dalla sede centrale dell’FBI. La Tabella 12.1 mostra una cronologia delle azioni di Moussaoui che hanno portato agli eventi dell’11 settembre, ricostruita nell’accusa formale del gran giurì della Virginia. Tabella 12.1 Cronologia delle azioni di Moussaoui. Data
Evento
22-11Moussaoui invia una email alla Airman Flight School di Norman, Oklahoma. 2000 23-22001
Moussaoui vola da Londra a Chicago e poi a Oklahoma City.
23-52001
Moussaoui invia una email alla Pan Am International Flight Academy di Miami.
20-62001
Moussaoui acquista video della cabina di volo del Boeing 747 dallo Sporty’s Pilot Shop.
10/11Moussaoui effettua un pagamento con carta di credito alla Pan Am 7International Flight Academy per un addestramento di simulazione di volo. 2001 13/15Moussaoui segue l’addestramento al simulatore del Boeing 747 Model 400 8alla Pan Am International Flight Academy di Minneapolis. 2001 17-82001
Moussaoui viene interrogato da agenti federali a Minneapolis.
11-92001
Quattro aerei di linea dirottati si schiantano sulle torri del World Trade Center; sul Pentagono; e in un campo nella Somerset County, Pennsylvania.
11-12Moussaoui viene rinviato a giudizio. 2001 22-42005
Moussaoui si dichiara colpevole di tutte le sei accuse.
Moussaoui è stato rinviato a giudizio dal gran giurì federale, nell’Eastern District della Virginia, con sei capi di imputazione: associazione per delinquere al fine di commettere atti di terrorismo oltre i confini nazionali; associazione per delinquere al fine di commettere pirateria aerea; associazione per delinquere mirante alla distruzione di aerei;
associazione per delinquere al fine di usare armi di distruzione di massa; associazione per delinquere mirante all’omicidio di funzionari degli Stati Uniti; associazione per delinquere al fine di distruggere proprietà degli Stati Uniti.
Evidenze digitali Gli investigatori del governo hanno esaminato numerosi computer, in seguito agli attentati dell’11 settembre. Hanno sequestrato il computer di proprietà di Mukkarum Ali, nell’appartamento in cui viveva Moussaoui a Norman, in Oklahoma (l’appartamento era di proprietà dell’Università dell’Oklahoma) e hanno sequestrato anche un computer del laboratorio di informatica dell’Università. L’FBI ha visitato anche un Kinko’s [Kinko’s è una catena di negozi di fotocopiatura e servizi per l’ufficio, ora acquisita da Federal Express] a Eagan, nel Minnesota, per esaminare un computer che il sospettato aveva utilizzato per accedere a Internet. Gli agenti avevano scoperto che aveva usato un computer presso Kinko’s esaminando i log del firewall di Kinko’s. Avevano scoperto che Moussaoui aveva usato il computer per accedere a Hotmail. Uno degli indirizzi email che aveva usato era [email protected]; lo ha indicato come uno dei suoi account in un’istanza pro se nel luglio 2002. (“Pro se” si usa per indicare chi si difende da solo, senza ricorrere a un legale. Moussaoui aveva chiesto di difendersi da solo.) Il computer di Kinko’s non è stato sequestrato perché gli agenti sono stati informati che i dati sul computer venivano eliminati ogni 24 ore, secondo procedure operative standard, ed erano ormai trascorsi 44 giorni.
L’accusa non era riuscita a collegare l’indirizzo IP del computer di Kinko’s all’account Hotmail di Moussaoui perché era trascorso troppo tempo. Dopo 30 giorni, l’azienda cancella i dati della connessione IP e i contenuti dell’email. Le informazioni sulla registrazione dell’account email vengono conservate per altri 60 giorni, ma poi vengono cancellate e il nome utente dell’account torna a essere disponibile al pubblico. Quando gli investigatori hanno scoperto la dichiarazione del sospettato, secondo la quale aveva usato l’indirizzo [email protected], hanno contattato Hotmail (Microsoft). Putroppo, Hotmail non aveva informazioni salvate per quell’account. L’FBI ha trovato la ricevuta di Kinko’s relativa al pagamento per l’uso di Internet su un computer nel negozio di Eagan, nel Minnesota, il 12 agosto 2001, da parte di Moussaoui. L’indagine ha concluso che il sospettato era rimasto collegato a MSN/Hotmail per otto minuti. Ha anche scoperto che gli altri 19 dirottatori dell’11 settembre avevano effettuato l’accesso a Internet su computer di Kinko’s in altre località del paese. Gli agenti del governo avevano individuato Moussaoui già prima dell’11 settembre. Agenti dell’INS (Immigration and Naturalization Service) lo avevano arrestato il 16 agosto 2001 e avevano sequestrato il suo laptop e un floppy disk. Moussaoui alloggiava in un Residence Inn di Eagan, in Minnesota, mentre frequentava la Pan Am International Flight Academy. L’FBI in seguito ha ottenuto ed eseguito un mandato l’11 settembre 2001 per sequestrare di nuovo quegli oggetti. Sul floppy disk sono state trovate le email di Moussaoui alle scuole di volo, che aveva contattato dall’account [email protected]. Sembra che l’FBI abbia avuto molta più fortuna esaminando la documentazione relativa all’account [email protected] di Moussaoui. Gli investigatori sono riusciti a collegare i log delle connessioni all’indirizzo IP Hotmail e a stabilire che aveva effettuato l’accesso al
suo account di posta elettronica da un indirizzo in Malaysia, dal laboratorio di informatica dell’Università dell’Oklahoma, dall’appartamento di Mukkarum Ali (a Norman, in Oklahoma) e dal Kinko’s (a Eagan, Minnesota). Gli operativi di Al Qaeda si erano incontrati a Kuala Lumpur nel gennaio 2000. La scoperta dell’indirizzo IP del negozio Kinko’s aveva spinto gli investigatori a cercare il computer in quella sede.
Obiezioni dello Standby counsel Lo standby counsel ha sostenuto che il governo non aveva fornito alla difesa le evidenze recuperate dall’account xdesertmen@hotmail o dai computer dell’Università, di Kinko’ o nell’appartamento di Mukkarum Ali. Standby counsel è un avvocato che assiste un cliente che ha invocato il diritto all’autodifesa. Donald Eugene Allison, in qualità di perito di Computer Forensics per la difesa, ha fornito una dichiarazione giurata in data 4 settembre 2002. Nello stesso documento, lo standby counsel criticava i metodi con i quali l’accusa aveva autenticato le evidenze digitali. Veniva osservato quato segue. [Le] informazioni di autenticazione (come il digest di messaggio MD5 e altri metodi accettati di Computer Forensics) sono fondamentali perché, senza di essi, è impossibile verificare che gli hard disk duplicati siano una copia esatta di quelli che esistono nei sistemi originali. Analogamente, senza tali informazioni è impossibile determinare se il materiale ricavato dagli hard disk è accurato.
Nello stesso documento, lo standby counsel sosteneva che durante la fase di istruttoria erano stati prodotti oltre 200 hard disk, ma la difesa non aveva le risorse di cui invece disponeva l’accusa per esaminare a fondo i dischi. Lo stadby counsel poi affermava che l’hard disk dell’Università dell’Oklahoma doveva essere stato contaminato. La difesa obiettava
che le tracce dell’account Hotmail avrebbero dovuto essere disponibili attraverso i file temporanei Internet. Questo si riferiva ancora una volta alla mancanza di evidenze relative all’account [email protected]. Inoltre, la difesa sosteneva che non c’era corrispondenza fra gli indirizzi IP utilizzati come prova dall’accusa. La difesa obiettava che, anche se Kinko’s cancellava i dati ogni 24 ore, teoricamente gli investigatori avrebbero potuto esaminare il computer per vedere se esistevano ancora file, ma non avevano cercato di recuperare nulla. Inoltre, la difesa sosteneva che l’accusa non aveva esaminato il file slack sul computer di Mukkarum Ali.
Dichiarazione giurata per l’accusa Dara K. Sewell era agente speciale supervisore per l’FBI e un investigatore di Computer Forensics che ha lavorato a questo caso. Sewell ha presentato una dichiarazione giurata in cui replicava alle affermazioni della difesa, in particolare di Donald Eugene Allison. Sewell notava che l’FBI usava tre metodi per duplicare, ovvero creare un’immagine di un disco rigido: (1) Linux dd, (2) SafeBack e (3) il duplicatore portatile Logicube. Tutti quegli strumenti avevano superato i test di validazione. Sewell rispondeva all’affermazione di Allison, secondo la quale il NIST approverebbe un solo metodo per produrre duplicati: “Il NIST non ‘approva’ alcuno strumento di Computer Forensics, ma si limita a riferire i risultati dei suoi test. Inoltre, Mr. Allison identifica erroneamente il dd di Linux come ‘l’unico metodo … approvato da [NIST]”. È interessante che Allison avesse obiettato perché l’accusa aveva mancato di produrre un hash di verifica Message Digest Sum Version 5 (md5sum) o Secure Hash Algorithm Version 1 (SHA-1). Sewell rispondeva che possono essere usati vari hash di verifica, fra cui un
Cyclical Redundancy Checksum (CRC); specificava poi che erano stati usati i duplicatori di disco SafeBack Logicube. Quei dispositivi usavano un CRC interno ed erano stati testati dal CART dell’FBI. Perciò “normalmente non ci sarebbero valori hash MD5 o SH-1 da rivelare alla difesa per hard disk di cui sia stata effettuata l’immagine con SafeBack o con un duplicatore di disco Logicube”. Tuttavia, pur avendo piena fiducia nel processo di verifica CRC di SafeBack, Sewell ha fatto ancora di più e ha generato un md5sum per l’evidenza originale e per i duplicati, e tutti corrispondevano.
Reperti Durante il dibattimento sono state presentate centinaia di reperti. Per quanto riguarda le evidenze digitali, l’accusa ha presentato molte email, bonifici bancari, ricevute e altro ancora. L’email seguente dimostra come Moussaoui fosse effettivamente interessato a imparare a pilotare aerei. From: zuluman tangotango To: [email protected] Sent: Monday, May 21, 2001, 2:42 AM Subject: Simulator training Hi, I would like some information on if I can get a full Simulator Training on a Boeing or Airbus even if I am not a Commercial Pilot. I am doing my PPL, but my dream is to fly one of these big Bird (of course in a simulator). Will you consider me even if I have not pass all the exam, I know it is a bit peculiar, but I am 33 years so a bit late to start a pilot career and the school where I do my ppl now told me he will take me two year before being a full qualified atp pilot. But for the moment I just want the experience to Fly. [Salve, vorrei qualche informazione se possa avere un Simulator Training per un Boeing o un Airbus, anche se non sono un Pilota Commerciale. Sto prendendo la PPL (licenza di pilota privato), ma il mio sogno è pilotare uno di questi grandi aerei (ovviamente in un simulatore). Mi prendereste in considerazione anche se non ho superato tutti gli esami, so che è un po’ strano, ma ho 33 anni perciò è un po’ tardi per iniziare una carriera da pilota
e la scuola dove faccio la ppl ora mi ha detto che mi ci vorranno due anni prima di essere un pilota atp pienamente qualificato. Ma per il momento voglio solo l’esperienza di Volare.]
Alla fine, è stata la Pan Am International Flight Academy che ha offerto a Moussaoui la possibilità di addestrarsi con un simulatore di volo: From: [email protected] To: zuluman tangotango Sent: Wednesday, July 11, 2001 5:57 PM Subject: Home address for 747 manuals Zac; I need the shipping address for your manuals. Operations want to send on thursday, July 12. Please email or call with the address on thursday. [Ho bisogno dell’indirizzo a cui spedire i tuoi manuali. L’ufficio operativo vuole inviarle giovedì 12 luglio. Per favore, manda per email o comunica per telefono l’indirizzo giovedì] Thank you
La Pan Am International Flight Academy offre ancora oggi addestramento con il simulatore di volo, in base al suo sito web (www.panamacademy.com). È stata ammessa come prova anche copia di una ricevuta di un negozio Sporty’s, a Batavia, in Ohio, da cui risultava che nel giugno 2001 erano stati spediti a Moussaoui a Norman, in Oklahoma, due video VHS di tutorial sul Boeing 747-200 e sul Boeing 747-400. Durante il dibattimento sono state prodotte anche ricevute con pagamenti effettuati alla Pan Am International Flight Academy. Nell’agosto del 2001, Moussaoui si è recato a Eagan, nel Minnesota, per frequentare la Pan Am International Flight Academy. Fra le prove è stata ammessa la ricevuta dell’hotel per la permanenza di Moussaoui al Residence Inn dall’11 al 17 agosto 2001 a Eagan in Minnesota.
Dal punto di vista della Computer Forensics, questo caso è importante perché gran parte delle dichiarazioni dell’accusa dipendevano da evidenze digitali. È interessante anche perché evidenzia i tipi di obiezioni che la difesa può sollevare. Alla fine, il giudice ha respinto le obiezioni avanzate dalla difesa di Moussaoui in merito alle prove digitali fornite dall’accusa.
Il serial killer BTK (bind torture kill) Quando si esaminano casi che coinvolgono evidenze digitali, è importante tenere presente che si basano anche su tecniche investigative tradizionali. Il caso del serial killer BTK (bind torture kill, ovvero “lega, tortura, uccidi”) illustra chiaramente come competenze investigative convenzionali sono state sostenute da evidenze digitali per la cattura e la condanna dell’autore di quei crimini efferati.
Profilo di un omicida Dennis Lynn Rader era nato a Pittsburg, nel Kansas, il 9 marzo 1945. Era vissuto poi a Wichita, nel Kansas, e aveva frequentato la Wichita Heights High School. Dopo una breve frequenza della Wichita State University, era entrato nell’Air Force degli Stati Uniti. Aveva poi lasciato l’Air Force per studiare in un paio di college, ma alla fine era tornato alla Wichita State University. Ironicamente, si era laureato in giurisprudenza nel 1979. La storia lavorativa di Rader comprendeva un lavoro a tempo parziale nel reparto carni di un negozio di alimentari IGA e un impiego come montatore alla Coleman Company; aveva poi lavorato come responsabile delle installazioni alla ADT Security, dove aveva avuto accesso a molte abitazioni, dal 1974 al 1988. Dal 1990 al 2005, era stato supervisore per il Compliance Department di Park City.
Rader era anche padre di due figli e per trent’anni era stato membro della Christ Lutheran Church, dove poi era stato eletto presidente del Consiglio della congregazione. Era anche un Cub Scout leader. Eppure, anche nel periodo in cui aveva insegnato a molti bambini come fare nodi, aveva applicato le stesse tecniche quando legava, torturava e uccideva le sue vittime. Le prime vittime di Rader erano stati quattro membri della famiglia Otero a Wichita, in Kansas, il 15 gennaio 1974. Avevo poi ucciso altre sei persone. Aveva strangolato con un paio di collant la sua ultima vittima, Dolores Davis, di 62 anni, il 19 gennaio 1991.
Evidenze Nel marzo 2004, Rader aveva iniziato a spedire lettere e pacchetti ai media locali descrivendo le sue vittime. Alcuni dei pacchetti contenevano effettivamente oggetti che erano appartenuti alle vittime, per dimostrare che era proprio lui l’omicida, pur mantenendo l’anonimato. Rader ha lasciato uno di questi pacchetti, una scatola di cereali, sul pianale di un pickup nel parcheggio di un Home Depot. Il proprietario del veicolo però aveva buttato la scatola nella spazzatura. Quando Rader ha chiesto ai media di quelle prove, nessuno ne aveva notizia. Rader è tornato a Home Depot e ha recuperato la scatola dalla spazzatura. Gli investigatori in seguito hanno potuto esaminare i video della sorveglianza di Home Depot e hanno notato una Jeep Cherokee nera che tornava sulla scena per recuperare le prove. È stato un indizio importante. Nel 2005, Rader ha lasciato una scatola di cereali Post Toasties su una strada sterrata a nord di Wichita. Rader poi ha chiesto alla polizia se era possibile rintracciare informazioni in un floppy disk. La polizia ha pubblicato la risposta sul quotidiano Wichita Eagle: sì, era “OK” usare un floppy disk. Il 16 febbraio 2005 alla KSAS-TV di Wichita è stata consegnata una busta,
contenente un floppy disk Memorex con l’involucro viola trasparente da 1,44 MB. Randy Stone, della Forensics Computer Crime Unit della polizia di Wichita ha esaminato i contenuti del disco con il software forense EnCase. Il disco conteneva un file con il nome Test A.rtf. Fra i metadati del file comparivano “Dennis” e “Christ Lutheran Church”. Una ricerca in Internet ha permesso rapidamente di individuare Dennis Rader come possibile sospettato. La polizia ha iniziato a sorvegliare Rader e la sua abitazione, e ha notato una Jeep Cherokee nera parcheggiata all’esterno. Gli investigatori sono poi riusciti a recuperare del DNA da un pap-test effettuato dalla figlia di Rader, grazie a un campione presso la clinica medica dell’Università del Kansas. Il DNA presentava una corrispondenza con il DNA trovato su una delle vittime, dal che era possibile concludere che l’assassino fosse un membro della famiglia Rader. Il 25 febbraio 2005 Dennis Rader è stato arrestato da una task force formata da agenti dell’FBI, del KBI e della polizia di Wichita. Nel giugno 2005, Rader si è dichiarato colpevole ed è stato condannato a 10 ergastoli. Attualmente è detenuto all’El Dorado Correctional Facility.
Cyberbullismo Il cyberbullismo costituisce un problema molto diffuso, negli Stati Uniti come in molti altri paesi. La differenza fra il cyberbullismo e il bullismo tradizionale è che, anni fa, quando un bambino era bullizzato a scuola, a fine giornata poteva tornare a casa e sfuggire allo scherno dei compagni. Oggi, invece, le molestie sono continue, attraverso l’uso di Internet e dei cellulari. Purtroppo molti stati sono stati lenti ad approvare leggi contro il cyberbullismo e gran parte dei provvedimenti sono stati conseguenza di un suicidio. Dalle statistiche risulta che il problema affligga più le ragazze che i maschi.
Legislazione federale contro le molestie Il titolo 47 del Codice degli USA (USC), paragrafo 223, è una legge contro le molestie, che mira a impedire a quanti usano le telecomunicazioni di trasmettere “any comment, request, suggestion, proposal, image, or other communication which is obscene or child pornography, with intent to annoy, abuse, threaten, or harass another person” [commenti, richieste, suggerimenti, proposte, immagini o altre comunicazioni oscene o pedopornografia, con l’intento di infastidire, abusare, minacciare o molestare un’altra persona].
Legislazione statale contro le molestie Lo House Bill (HB) 479, The Offense of Stalking, è una norma approvata dallo stato della Florida che proibisce esplicitamente il cyberstalking. Dà una definizione del termine cyberstalk come ogni comunicazione mediante posta elettronica o comunicazione elettronica che provoca significativo disagio emotivo e non ha una finalità legittima. Fra i reati di stalking e stalking aggravato include il cyberstalking deliberato, maligno e ripetuto di un’altra persona. Inoltre prevede sanzioni e aggiorna gli elementi del reato di stalking aggravato includendovi l’induzione di una persona in timore di morte o di lesioni fisiche alla persona stessa o a figli, fratelli e sorelle, partner o dipendenti della persona. Molti stati degli Stati Uniti, fra cui Alabama, Arizona, Connecticut, Hawaii, Illinois, New Hampshire e New York, considerano reato le comunicazioni (elettroniche, via computer o email) moleste.
Indizi di cyberbullismo Quando un minore è vittima di bullismo si possono cogliere alcuni indizi rivelatori, fra i quali rientrano i seguenti:
sentimenti di ansia, tristezza o impotenza; peggioramento delle prestazioni scolastiche; riduzione dell’interesse per le attività sociali e ricreative; comportamento turbato dopo l’uso di un computer o di un cellulare; uso eccessivo di dispositivi digitali; schemi di sonno irregolari; variazioni di peso o perdita di appetito.
Che cos’è il cyberbullismo? Cyberbullismo non è semplicemente l’invio di email moleste o di SMS sgradevoli: in questa categoria ricadono molte forme di comunicazione persecutorie. Immagini e video: i cyberbulli usano regolarmente i social media, come Facebook, per pubblicare immagini e video al fine di mettere in imbarazzo altri. Sexting: nel sexting, un individuo condivide illegalmente un’immagine sessualmente esplicita, di solito attraverso MMS da un cellulare. Se è coinvolto un adulto e vengono condivise immagini di minori, si possono configurare i reati di possesso o distribuzione. Outing: quando un individuo pubblica online informazioni personali confidenziali o le condivide in una email per causare imbarazzo ad altri. Flaming: invio di messaggi ostili, spesso con un linguaggio volgare e offensivo, per denigrare un’altra persona. Bash board: sono bacheche online utilizzate per pubblicare commenti pieni d’odio nei confronti di compagni o insegnanti.
Twoo.com (già Spring.me) è un sito web spesso connesso con Facebook, che è stato usato come bash board. Tricking: è il processo con cui si induce un individuo a divulgare commenti personali, con l’intento di renderli pubblici al fine di umiliare un’altra persona. Happy slapping: si verifica quando qualcuno si organizza per danneggiare fisicamente un’altra persona e riprende in video l’abuso, per poi pubblicare quei contenuti online o inviarli ad altri. La grande diffusione degli smartpone ha reso possibile una crescita spiacevole di questi tipi di attacchi. Sondaggi online: vengono usati per far votare i compagni su determinati argomenti, per esempio “chi è la più brutta della classe”. Impersonation: quando una persona penetra illegalmente nel