INFORMATICA - ELECTRONIC FORENSICS

"...indagini speciali su sistemi speciali..."

Luglio 2012

L’electronic forensics è un’altra delle numerose branche del digital forensics. La sua ragion d’essere nasce dal fatto che spesso si devono affrontare indagini tecniche su sistemii digitali (generalmente dotati di microprocessore) praticamente ignoti basati però su componentistica elettronica standard di facile reperibilità (si pensi ai controlli elettronici dei giochi elettronici illegali, agli inneschi, a sistemi elettronici modificati al fine di svolgere particolari attività criminali, ecc.). Vi è quindi la necessità di capire quale risultato produca una strumentazione elettronica al fine forense e questa potrebbe essere una delle definizioni (da dare) dell’elettronica investigativa.

I settori dell'electronic forensics

Diversi dei sub-settori che formano l'electronic forensics evidenziati nel video e qui di seguito. Si tratta di una suddivisione utile ai fini sia investigativi che tecnici, in quanto permette di selezionare principi e studi da impiegare al fine di essere preventivamente preparati all'indagine.

Il mondo dei "sistemi embedded" verso i quali l'electronic forensics volge il suo sguardo è piuttosto variegato, poco ordinato e senza omnicomprensivi standard. In molti casi addirittura si basa su realizzazioni di natura artigianale, spesso estremamente efficaci ma prive di documentazione e con una progettazione ridotta al minimo. Non ci si sorprenda quindi se ogni indagine tecnica in questo settore richiede soluzioni fortemente adattate e quindi uno sforzo tecnico di comprensione notevole.

Nonostante la varietà dei sistemi embedded, si possono riconoscere le seguenti categorie come target principali nelle indagini:

Sistemi d'ufficio

Le segreterie telefoniche, i fax, le fotocopiatrici e le stampanti rappresentano elementi che in diverse indagini possono contenere fonti di prova. Spesso si tratta di sistemi la cui "intelligenza", capacità di memorizzazione ed autonomia risultano minimi per cui, privati della tensione di alimentazione tendono a perdere definitivamente qualsiasi dato utile. In altri casi presentano al loro interno CPU, RAM e memoria di massa da cui si può procedere ad un repertamento ed analisi simili a quanto verrebbe fatto per un personal computer. A ciò va aggiunto che, in alcuni casi, tali sistemi presentano dei meccanismi di identificazione e marcatura del loro output. Si pensi alle micro-signature delle stampanti o ai meccanismi di protezione dei messaggi presenti su alcune fax-machine e segreterie elettroniche.

Sfortunatamente questi sistemi richiedono spesso accertamenti tecnici di natura "irripetibile" proprio a causa delle loro diverse possibilità di funzionamento e della diversificazione dei modelli presenti in commercio.

Sistemi di inter-connessione

Hub, switcher, router, gateway spesso finiscono per non essere considerati direttamente in una indagine tecnica di network forensics eppure, in alcune situazioni, divengono determinanti fonti di prova. Se si considerano ad esempio delle intercettazioni digitali abusive su canali di discreta grandezza oppure attacchi atti ad abbattere gli stessi servizi di connessione questi sistemi devono essere analizzati internamente. Ciò può avvenire mediante tool di remotizzazione dei controlli o più o meno direttamente sugli apparati hardware. Questo richiede una specifica conoscenza dell'hardware, dei protocolli gestiti e del preciso metodo con cui la ditta costruttrice li ha implementati sull'apparato in analisi. Per tale motivo spesso si deve ricorrere direttamente a specialisti della ditta madre per lo svolgimento delle analisi.

Sistemi "handheld"

I palmtop hanno iniziato già da tempo la loro rincorsa verso i PC ed i cellulari. In definitiva analizzare un palmare significa sempre più spesso analizzare un cellulare dotato di USIM e contemporaneamente una sorta di PC con un sistema operativo talvolta proprietario, una sua CPU, RAM, ROM e memoria di massa (usualmente non magnetica). Ci si può ritrovare di fronte a metodi di gestione dei dati di natura completamente proprietaria e per la quale il ritrovamento dei dati cancellati può divenire un problema di proporzioni notevoli. Nella migliore delle ipotesi può invece essere presente una obsoleta FAT da cui l'area di memoria che la ospita viene repertata ed analizzata alla stregua di una banale memoria di massa di piccole dimensioni.

Le capacità elaborative autonome dei palmtop ne fanno sistemi in grado di gestire applicazioni disparate talvolta compatibile con quelle analoghe già presenti in ambienti di personal computing. In ogni caso la questione della conversione dei dati deve essere affrontata con molta delicatezza, soprattutto se devono essere presentati in dibattimento con tutte le garanzie.

Un elemento di notevole importanza nelle indagini è il ricordare che la memoria interna del palmtop spesso contiene una minor quantità di dati e di minore importanza rispetto a quanto contenuto in memorie removibili e SIM interne al sistema. Per questo motivo l'analisi procede gerarchicamente dai removibili verso l'hardware del palmare.

Sistemi "spia"

Quelli che ho denominato sistemi "spia" raccolgono una serie di dispositivi impiegati per varie rilevazioni ambientali audio, video e dati. Vi si includono quindi le microspie e le microtelecamere classiche nonché software ed hardware in grado di rilevare e trasmettere ad un controllore i tasti premuti su una tastiera, tutto ciò che appare a video di un PC, il flusso di dati in un canale digitale, ecc..

Molto interessante, in questo settore di studio molto particolare è la gestione di memorizzazione, certificazione e decodifica (ricostruzione di protocollo) dei dati, di qualsiasi natura essi siano. Il forensic in quest'area, infatti, viene chiamato spesso a dimostrare alterazioni e bontà delle rilevazioni o semplicemente la loro esistenza e discriminabilità nel marasma dei dati conseguiti magari in situazioni critiche.

Sistemi di clonazione

Data l'alto impatto sociale del fenomeno clonazione, soprattutto nell'ambito economico (carte di credito, bancomat, ecc.) i sistemi atti a svolgere clonazioni di plastic-card, siano esse smart (dotate di chip) o semplicemente magnetiche o ottiche meritano una classificazione a parte.

Si tratta il più delle volte di sistemi artigianali o proprietari per cui acquisire conoscenza sulla loro costituzione interna non è facile e richiede una buona dote di esperienza. Si va dagli skimmer (lettori di bande magnetiche) fino ai software realizzati ad-hoc per riunire i dati letti ed alle "stampanti" impiegabili per ricostruire carte clonate. Un'altro target classico è ovviamente il POS modificato in grado di leggere e comunicare su canali non legali le informazioni della carta soggetta a transazione.

Sistemi di videosorveglianza

Dal punto di vista forense i nuovi sistemi di videosorveglianza interessano i laboratori informatici per due motivi fondamentali: (a) rilevazione dei fotogrammi, miglioramento delle immagini ed identificazione dei responsabili; (b) recupero dei dati di fotogrammi i cui video di appartenza sono stati già rimossi o in generale persi dal sistema.

Un sistema di videosorveglianza, infatti, si configura sempre più spesso come un semplice PC al cui interno albergano un discreto quantitativo di hard disk configurati secondo variegati schemi di impiego. In generale si possono identificare delle aree della memoria di massa, spesso partizioni, gestite da software in grado di applicare file system proprietari il cui scopo principale è garantire una memorizzazione dei video efficiente (minima perdita di spazio fisico di memorizzazione), compatta (gestione della compressione nativa) ed il più delle volte ciclica (dei limiti prestabiliti permettono al sistema di sovrascrivere un video o parte di esso quando venisse dichiarato obsoleto). Proprio quest'ultima caratteristica è un pregio essenziale (un sistema di videosorveglianza deve operare per lungo tempo in automatico) quanto un difetto. Possono infatti presentarsi delle situazioni in cui sono richiesti video/fotogrammi già dichiarati obsoleti e quindi presumibilmente eliminati. Da qui il recupero dati forense diviene un elemento essenziale, con tutti i suoi limiti e vantaggi, in questo caso non standard (si ricordi che i file system studiati non sono generalmente i classici FAT, NTFS, EXT, HFS, ecc. e quindi talvolta la prassi consolidata può risultare inutile).

Per finire bisogna ricordare che, a complicare la situazione, i sistemi di videosorveglianza stanno divenendo sempre più complessi al fine di gestire autonomamente ed in maniera proprietaria l'approccio forense al recupero dati e la presenza di eventi ulteriori la semplice registrazione (eccezioni). Per avviare il recupero sarà quindi sempre più indispensabile contattare la casa madre o addirittura sarà necessario consegnarli l'apparato stesso per ottenerne i video/fotogrammi cercati.

Sistemi GPS

I GPS vengono studiati dal punto di vista forense per due motivi di base: (a) rilevazione di percorsi svolti in u dato periodo di tempo; (b) rilevazione della posizione in un dato istante di tempo. A questi possono aggiungersi dati minori come ad esempio l'individuazione delle ultime "query" sottoposte al dispositivo. Trattandosi di sistemi fortemente proprietari l'analisi deve essere svolta caso per caso in collaborazione con la casa madre.

Sistemi militari

I sistemi di rilevazione, comando e controllo militari costituiscono un campo di studi affascinante ma riservato ad una cerchia limitatissima di persone. Trattandosi ovviamente di sistemi digitali connessi in reti proprietarie blindate lo studio del tracciamento degli eventi è fondamentale da cui l'importanza del timestamping in ambito file system e comunicazioni su canale, dei sistemi di identificazione sia personale che sistemica e delle metodologie di difesa delle aree.