[Lezione sul terrorismo internazionale saltata, sob. L’ottima Maria mi passa gli appunti, come se fossimo a scuola, bei tempi, in verità il bello è partecipare, non come al liceo, ma con molti anni di letture alle spalle, per intervenire, dialogare, domandare a ragion veduta. La settimana successiva due giorni di full immersion sulle tecniche di investigazione informatica mi rimettono in sesto, dopo una colica renale.]
Venerdì 4 e sabato 5 luglio. Gianfranco Gargiulo e Massimino Boccardi sono due esperti in digital forensics* e si divertono come bambini nel mettere le mani nella marmellata (concettuale), per farci capire dimensioni dei barattoli e sapori della melassa informatica. Uno spasso seguirli [per me, altri si sono annoiati non poco..], e si comprende che da tempo svolgono attività d’analisi e lezioni insieme.
*[Digital forensics (secondo M. Boccardi): processo costituito dall’insieme di misure di carattere legislativo, organizzativo e tecnologico tese ad analizzare dati e informazioni trattate in formato digitale]
Il cuore delle lezioni sono le tecnologie informatiche per l’analisi forense. Si parte da lontanto, dal Trattato in criminalistica (1918) di Edmond Locard e dal “suo” principio di scambio (=”ogni contatto lascia delle tracce“) e si arriva ad Heisenberg, preso in prestito per dire che anche nelle indagini criminali, toccare e misurare le prove potrebbe portare ad alterarle irrimediabilmente.
Le indagini (anche e soprattutto informatiche) contaminano la scena del crimine: come fare, dunque? La computer forensics si è data delle regole:
1) nessuna azione intrapresa deve alterare il contenuto dei dati presenti sui computer o su altri media. Quando è possibile i dati devono essere copiati;
2) è opportuno creare una digital fingerprint della copia che ne assicuri l’autenticità (e per questo esistono strumenti hardware, ovvero write blocker, che disattivano i controller delle interfacce per evitare di scrivere sui supporti da copiare).
Ogni CTU (Consulente Tecnico d’Ufficio) o CTP (Consulente Tecnico di Parte) deve giustificare come e con quali strumenti è stata trovata una qualche evidenza, mentre il Giudice, da parte sua, deve verificare la validità scientifica dei metodi d’indagine (a volte addirittura nomina un perito per barcamenarsi nella complessità della materia). Le norme, i reati e le procedure sono definite nelle parti del CPP che tratta i reati informatici e nalla recente Legge 18 marzo 2008 n. 48 che recepisce (dopo 7 anni!!) la Convenzione di Budapest.
Una volta copiati i dati un CTU ha poi carta bianca. Può anche chiedere supporto a terze parti. Deve comunque seguire un percorso d’analisi standard che segue questi step: 1. Preparazione; 2. Raccolta; 3. Esame; 4. Analisi; 5, Reporting. La scientificità delle analisi può (non capita sempre) seguire standard internazionali, come SP880-86 (.Pdf), e si basa soltanto su elementi tecnici. Non si possono sentire testimoni o eseguire interrogatori formali nell’informatica forense.
Seguono poi esemplificazioni pratiche, case history e una lunga illustrazione di strumenti, tecnologie e soluzioni per la computer forensics, oltre a casi stupendi di anti-forensics. Massimino Boccardi ci racconta di perquisizioni in case di indagati che usavano hard-disk wireless nascosti in soppalchi oppure della tecnica di autodifesa di criminali che posizionano su dischi esterni un subwoofer, attaccandolo a una batteria, per ovviare alle irruzioni delle forze dell’ordine, che solitamente prima di entrare tolgono la corrente: per distruggere i dati sul disco accendono la musica e con tecnica elettromagnetica rovinano il supporto.
Non mancano riferimenti al Pc di Alberto Stasi nel caso di Garlasco, e alle caratteristiche dei file che sono stati analizzati: avere Windows Xp e non Vista pare gli sarà utile, visto che il primo registra 3 date per i file [1. creazione; 2. accesso; 3. modifica] contro i 12 tipi diversi di eventi registrati con Vista.
Si parla poi di tool di computer forensics (AccessData FTK; CaseManager di eTrace; EnCase della Guidance; dischi di boot Linux; Helix; TCT; ForensiX; Debugger ASM; sistemi di password recovery ecc.) e di tecniche di live forensics, per esempio della geniale tecnica per recuperare i dati dalla memoria RAM, detta Coldboot Attack (.Pdf).
Gianfranco Gargiulo e Massimino Boccardi fanno poi una rapida carrellata su furti d’identità e home banking; problemi di sicurezza legati al protocollo Https; bouncing (interessante un caso di cronaca di un presunto pedofilo, risultato poi all’oscuro dell’uso illecito del suo Pc); file spoofing; sistemi di crittografia basati su PGP; anonymizer e free proxy per la navigazione Internet anonima; TOR (e client affini come TorPark oggi xB Browser di XeroBank, che ha anche sistemi per per mailing anonima) e analisi di dispositivi mobili, con tanto di esempi pratici e foto.
La lezione si chiude con alcuni suggerimenti su software, siti (tra i quali il sito olandese www.forensics.nl che offre ottimi toolkit) e kit utili, come Win Pen Pack (software da 1 GB che sta su una chiavetta e consente di fare le maggiori operazioni in mobilità); Cryptool e Mobile Edit Forensics (per analisi di dispositivi mobili).