dematerializzazione, dal superamento dell’idea di territorio nazionale e
dall’elevato livello di tecnologia. Criminali in grado di attaccare da e verso
qualunque posto nel mondo, aumento di sempre più sofisticati strumenti
facilmente reperibili e disponibili a tutti per effettuare un attacco informatico,
giovani informatici che, più per gioco che per l’effettiva volontà di mettere in
discussione diritti e interessi giuridicamente rilevanti, violano le banali misure
di sicurezza dei sistemi mettendo in seria difficoltà aziende e istituzioni,
nazionali e internazionali, la complessità delle tecnologie informatiche,
rappresentano solo alcuni aspetti della rapida evoluzione di questo fenomeno.
Si stima che ben il 90% delle società americane è stato coinvolto in incidenti
informatici, che hanno portato a gravi perdite dovute soprattutto alla
sottrazione di informazioni strettamente personali e a frodi finanziarie.
Le principali attività illecite che possono essere svolte sulla rete sono:
¾ furto di informazioni riservate (estorsioni e ricatti);
¾ modifica di informazioni riservate;
¾ intercettazioni del traffico di rete;
¾ abbattimento di server e servizi;
¾ disabilitazione temporanea di servizi di rete;
In un computer crime i rapporti umani sono rarefatti. L’indagine, infatti, è
sempre mediata da un mezzo elettronico e l’investigatore si sente disorientato
in quanto è privo di riferimenti concreti, mancando il contatto face to face.
Deve filtrare e analizzare costantemente le informazioni tecniche che raccoglie
nel cyberspazio, per evitare di imboccare percorsi fuorvianti, magari creati ad
arte dal criminale informatico per sfuggire al suo inseguimento, o per evitare di
costruire false rappresentazioni della realtà.
Con tali presupposti, le indagini relative al cybercrime costituiscono un’attività
estremamente complessa ove si confrontano problematiche di carattere
giuridico e tecnico che si fondono in un universo digitale in continuo divenire.
La criminalità informatica è in espansione costante in tutto il mondo e anche
l’Italia non sembra essere immune da questa fenomenologia.
Nel nostro Paese, sono in crescita i cd. computer incident di natura dolosa e
colposa, aumentano gli attacchi da parte degli insiders e degli hacker alle
aziende, i pedofili sembrano aver trovato sul Web una nuova opportunità per
soddisfare le loro perversioni sessuali, la duplicazione abusiva del software fa
registrare un incremento costante, i gruppi terroristici utilizzano il mezzo
telematico per attività di proselitismo, organizzazione logistica e
rivendicazione degli attentati.
Si richiede per questo l’adozione di contromisure, volte a prevenire, rilevare e
far fronte alle intrusioni, oltre a metodologie investigative uniformi in risposta
agli incidenti di sicurezza e per la cattura degli autori dei vari crimini.
Il sistema migliore sarebbe quello di fronteggiare il crimine informatico prima
ancora che esso si manifesti, attraverso sistemi di allarme preventivo, strumenti
per individuare registrazioni anomale, meccanismi di protezione contro virus,
preparazione e consapevolezza nei riguardi di un possibile attacco, ecc. La
sorveglianza, comprendente sia il monitoraggio passivo dei computer e delle
reti che l’installazione attiva di hardware e software per la raccolta di prove,
rappresenta un ulteriore metodo efficace per catturare e perseguire legalmente i
criminali informatici.
Naturalmente, il tutto dovrà essere sostenuto da opportune misure legislative
idonee a punire e reprimere questi reati.
L’aggressione ad un sistema informatico era già stata teorizzata come problema
giuridico nel corso degli anni ottanta, a seguito di numerosi fatti di criminalità
informatica verificatisi negli Stati Uniti e in Europa, contro i quali i vari paesi
erano assolutamente impreparati. Poiché nella maggioranza degli ordinamenti
giuridici vale il principio che non vi è reato senza una legge che espressamente
preveda una condotta come penalmente rilevante, il più delle volte le forze
dell’Ordine e la Magistratura si trovavano ad avere le mani legate.
Solo nel 1989, tuttavia, la Comunità Europea ha codificato una serie di
interventi, con la Direttiva n. 89/9, in parte obbligatori, in parte facoltativi, che
gli stati membri avrebbero dovuto adottare per adeguare ed armonizzare i
singoli ordinamenti nazionali e accordare tutela ai beni tecnologici e ai dati in
forma elettronica.
Con la legge 23/12/1993, n. 547, l’Italia, ha provveduto ad aggiornare in chiave
tecnologica il codice penale e il codice di procedura penale, punendo
penalmente le più diffuse condotte criminose nel settore informatico come
l’accesso abusivo (Art. 615-ter c.p.), il danneggiamento (Art. 635-bis c.p.), la
frode informatica (Art. 640–ter c.p.), il falso informatico (Art. 491-bis c.p.),
l’attentato a impianti di pubblica utilità (Art. 420 c.p.), la detenzione e la
diffusione abusiva di codice di accesso (Art. 615-quater c.p.), la violenza sui
beni informatici (Art. 392 c.p.), e ampliando i poteri degli inquirenti nella fase
di acquisizione delle prove con la possibilità di effettuare intercettazioni
informatiche e telematiche (Art. 266-bis c.p.p.).
Ma per consentire un’applicazione efficace di tali leggi è innanzitutto
necessario acquisire elementi che provino l’avvenuto reato: bisogna quindi
raccogliere delle prove, assicurandosi soprattutto che ciò sia fatto legalmente e
in modo tale da consentirne l’accettazione in giudizio.
La Computer & Network Forensics si occupa proprio di questo: è infatti la
scienza per la protezione, l’identificazione, l’estrazione, la raccolta, l’analisi e
la documentazione di prove (generalmente files elettronici e dati) su computer,
ritenute utili in procedimenti penali o civili. Una disciplina che dunque si
dimostra di grande aiuto agli investigatori e alle forze di Polizia
nell’effettuazione di indagini contro i crimini informatici, consentendo di
estendere le tecniche di investigazione su computer alla determinazione di
potenziali prove valevoli ai fini legali.
Con questo lavoro si è cercato di svolgere un’analisi di tale scienza,
tralasciando gli aspetti meramente tecnici (le modalità e gli strumenti
d’indagine sui media) per concentrarsi in particolar modo su quelli prettamente
connessi all’ambito legale (il piano di sicurezza informatica per le aziende, la
raccolta delle prove informatiche e la loro validità in giudizio).
Nel primo capitolo, di natura introduttiva, dopo aver brevemente illustrato la
nascita e l’evoluzione della Computer & Network Forensics, si è cercato di
metterne in luce il significato e l’importanza, soffermandosi in particolare sulle
modalità e sull’attuale vasto ambito di applicazione.
Nel secondo capitolo si è analizzata, in tutte le sue caratteristiche, la gestione di
un incidente informatico, una procedura che richiede il rispetto di una serie di
misure di intervento mirate a ripristinare il sistema violato e a raccogliere prove
utili ad un eventuale successivo giudizio. Si è inoltre focalizzata l’attenzione
sull’importanza della stesura di un piano per la sicurezza informatica, quale
punto di riferimento in azienda per prevenire o gestire correttamente gli
attacchi dall’esterno.
Nel terzo capitolo viene data una descrizione della procedura di indagine sui
sistemi informatici, finalizzata al rinvenimento di materiale probatorio;
prendendo spunto dall’attuale disciplina investigativa prevista nel sistema
nordamericano, si è cercato di porre l’attenzione sulla situazione in Italia, dove
da tempo si lamenta la mancanza una procedura investigativa consolidata e
uniforme per la raccolta delle prove digitali.
Nel quarto capitolo ci si occuperà della “prova digitale”, elemento centrale in
qualsiasi procedimento investigativo su computer. Nuovamente verrà fatto un
confronto fra i sistemi di common law e quelli di civil law, analizzando in
particolare i fondamenti legislativi su cui si basa il concetto di ammissibilità
della prova informatica in giudizio. Riguardo al sistema italiano, mancando
ancora in esso una seria riflessione sulle prove digitali, verrà dedicata
particolare attenzione all’efficacia probatoria del documento informatico e alla
sua considerazione nell’ambito del processo civile e penale.
Infine, il lavoro si concluderà con un capitolo dedicato all’esperto di Computer
Forensics, la cui presenza è considerata essenziale per tutta la durata di un
procedimento di indagine su una macchina compromessa.
0 102030405060708090
Tipologia di attacchi informatici, in %
Virus
Uso non corretto accessi a Internet
Accesso remoto
Accessi dall'interno non autorizzati
Caduta di servizio
Intrusioni
Furto di informazioni
Sabotaggi
Frodi
GLI INCIDENTI NEGLI USA Fonte: rapporto annuale Csi/Fbi,
2003
0
10
20
30
40
50
60
70
80
90
100
Backup Antivirus Login Monitoraggio
degli accessi
Firewall Autenticazione E-mail scanning
Sistemi implementati dalle imprese, in %
LA DIFFUSIONE IN ITALIA Fonte: Rapporto Assintel/Sirmi, 2002
0 10203040506070809010
% di imprese italiane del campione che hanno subito danni
Ha subito contaminazioni da virus
Ha subito furto di apparati
contenenti dati
Ha avuto saturazione di risorse
Ha avuto Trojan horses
Ha subito traffico illegale di
materiale
Ha avuto accessi non autorizzati
alle informazioni
Ha subito uso non autorizzato
degli elaboratori
Ha subito accesso e modifiche
non autorizzate ai sistemi e ai dati
GLI ATTACCHI IN ITALIA Fonte: Fti, 2002
1999 2000 2001
Capitolo I: La Computer and Network Forensics
Capitolo I
La Computer and Network Forensics
“Computer Forensics is the equivalent
of surveying a crime scene or performing
an autopsy on a victim”
1
(James Borek, 2001)
1.1 Il concetto di Forensics Science. Nascita e sviluppo.
Il termine forense deriva dal latino forensis: pubblico, del foro, pubblica
discussione, appartenente ad una discussione. C’è una piccola distanza fra
questa definizione e il moderno concetto di “forense”: attualmente infatti esso
assume il significato di appartenente, utilizzato o utile in corti di giudizio, o in
pubbliche discussioni e dispute. La scienza forense è dunque diventata la
scienza utilizzata nel sistema giudiziario in generale.
Secondo altre opinioni, qualsiasi scienza che sia connessa alla legge può
definirsi scienza forense. Suo scopo principale è contribuire
all’amministrazione della giustizia offrendo principalmente un supporto
scientifico nell’investigazione di un crimine e prove valide in processi.
Fino a poco tempo fa sembrava impensabile il ricorso alla scienza come aiuto
nell’ambito dell’indagine su un crimine.
In particolare, prima del 1930 non esisteva ancora l’idea secondo cui le scienze
e l’assistenza scientifica potessero costituire un’area indipendente di
competenza nell’ambito della risoluzione dei crimini.
1
“La Computer Forensics è l’equivalente di un esame della scena di un crimine o
dell’effettuazione di un’autopsia su una vittima” (traduzione a cura dell’autore)
Capitolo I: La Computer and Network Forensics
Tuttavia, prima ancora che appositi laboratori sviluppassero tecniche
specializzate di scienza forense, poteva accadere che le forze di Polizia,
necessitando di un’assistenza di tipo scientifico in relazione ad un caso, si
rivolgessero a patologi, o comunque a esperti di determinate branche
scientifiche.
Fu proprio nel momento in cui il lavoro scientifico da parte delle forze di
Polizia arrivò sempre più copioso nei laboratori di questi professionisti che
sorse l’esigenza di far in modo che l’applicazione della scienza all’indagine
criminale diventasse una vera e propria disciplina separata dalla medicina.
All’inizio del 1930, le specializzazioni scientifiche erano ancora oscure e non
del tutto esistenti, ma subito dopo la Seconda Guerra Mondiale divennero
abbastanza diffuse.
Al giorno d’oggi è diventata pressante la richiesta di metodologie di azione che
siano in linea con il progresso tecnologico ed in grado di reggere il confronto
con una criminalità sempre più agguerrita e spesso dotata di mezzi sofisticati.
L’acquisizione di dati che possano costituire o integrare indizi o prove di reato,
attraverso procedure scientifiche dotate di oggettività e di imparzialità, ha
inoltre una funzione garantistica dei diritti fondamentali dei cittadini.
Accanto alla confessione e alle prove testimoniali, acquistano così un peso
sempre maggiore le prove desunte da indagini tecniche e da esami di
laboratorio.
Diverse discipline sono pertinenti alla scienza forense: esse vanno
dall’antropologia alla biologia, alla tossicologia, alla tecnologia.
La tipica situazione di riferimento:
¾ viene commesso un crimine;
¾ si identifica un sospetto;
¾ si rilevano tracce (evidenze), ad esempio trasferite dal criminale alla
scena del delitto;
¾ si trova che le caratteristiche personali del sospetto sono uguali o simili
(possibili contaminazioni, errori di misura, eterogeneità nel detenere la
caratteristica) a quelle trovate sulla scena del delitto.
Capitolo I: La Computer and Network Forensics
La scienza forense costituisce dunque una parte essenziale dell’intero sistema
investigativo e giudiziario. Gli scienziati forensi sono coinvolti in tutti gli
aspetti di un caso criminale, e i risultati del loro lavoro possono servire sia per
difendere che per accusare. Scopo degli scienziati forensi è dunque l’uso
imparziale di tutte quelle informazioni disponibili e necessarie per determinare
i fatti e, conseguentemente, la verità
2
.
1.2 Il passaggio in ambito tecnologico: la Computer & Network
Forensics Science.
1.2.1 Una nuova disciplina nella scienza forense.
Una delle discipline più recenti appartenenti alla scienza forense è costituita
dalla Computer & Network Forensics, la quale si occupa di definire procedure
informatiche e logistiche per seguire delle indagini telematiche.
Più precisamente, l’accezione “Computer Forensics” si riferisce a quella
disciplina che si occupa della preservazione, dell’identificazione, dello studio,
della documentazione dei computer, o dei sistemi informativi in generale, al
fine di evidenziare prove per scopi di indagine.
Principalmente essa cura l’analisi dei sistemi informatici post mortem (ad
esempio dopo la loro compromissione), e tutte le tematiche legate ad essa quali
il data recovery and analisys.
Non sembra tuttavia esistere ancora una definizione universalmente accettata.
Alcuni
3
sembrano definirla come la semplice “applicazione di computer
science al processo investigativo”.
2
“La scienza forense usa solo quegli elementi specifici dell’investigazione che sono davvero
necessari per un esame, e fa soprattutto affidamento sulla capacità degli scienziati di produrre
una relazione basata sui risultati oggettivi di un processo d’esame”. Così M. G. NOBLETT,
M. M. POLLITT, L. A. PRESLEY, Recovering and Examining Computer Forensic Evidence,
Forensic Science Communications, October 2000, Volume 2, Number 4.
(traduzione a cura dell’autore)
3
Cfr. ROSEN Robert A., “Forensics e frodi aziendali”, Intervento alla Giornata di studio
AIEA, Roma, 21 novembre 2001. URL: http://www.aiea.it/html/55-011121.html
Capitolo I: La Computer and Network Forensics
La sua definizione più comune rimane comunque quella che la vede come
“l’utilizzo di computer, anche connessi in rete, per risolvere casi giudiziari”.
A quest’ultima concezione si affianca solitamente quella di “attività volta
all’analisi e soluzione di casi legati alla criminalità informatica”
4
.
Judd Robbins, noto investigatore di Computer Forensics operante in America,
la definisce come “la semplice applicazione delle investigazione su computer e
delle tecniche di analisi in modo da determinare potenziali prove aventi valore
legale”.
Anche nell’Handbook of Forensic Pathology del College of American
Pathologists (1990), se ne trova una menzione: partendo dalla definizione della
scienza forense tradizionale, intesa come “l’applicazione dei principi delle
scienze fisiche in ambito legale, nello spirito della ricerca della verità in casi
civili, penali e di comportamento sociale, al fine di prevenire che vengano
commesse ingiustizie ai danni di qualsiasi altro membro della società”, si
arriva a dare una definizione di “analisi delle reti” (disciplina legata in
particolare alla “Network Forensics”), considerata come lo “studio del traffico
di rete condotto nello spirito di ricerca della verità in casi civili, penali e
amministrativi, per proteggere gli utenti e le risorse da intrusioni a scopo
doloso, invasione della privacy e qualsiasi altro crimine favorito dalla
continua espansione della rete”.
La Computer & Network Forensics viene erroneamente identificata come una
“nuova” branca della computer security. In realtà, essa è semplicemente giunta
alla ribalta dei media di recente, con l’aumento dei crimini informatici e,
specialmente, con una presa di coscienza da parte delle aziende che finalmente
hanno cominciato a denunciare i crimini di cui sono vittime.
Si può certamente affermare che, nell’ambito delle diverse discipline forensi,
era dai tempi della scoperta della tecnologia relativa al DNA che ad una
scienza (come appunto è la Computer & Network Forensics) fosse riconosciuta
la capacità di produrre un tale enorme effetto in relazione a determinati tipi di
investigazioni e processi.
4
cfr. Dario Forte, Le attività informatiche a supporto delle indagini giudiziarie, Rivista della
Guardia di Finanza, N. 2/2000.
Capitolo I: La Computer and Network Forensics
Al di là delle varie definizioni proposte, si è invece certamente d’accordo sul
considerare obiettivo della Computer & Network Forensics l’identificazione, la
conservazione, il recupero, l’analisi e infine la presentazione di dati e materiale
basati su computer (le c.d. “prove digitali”) risultanti a seguito del verificarsi di
un incidente informatico, in modo tale da poter essere utilizzati in tribunale
come fonte di prova
5
.
1.2.2 Il confronto con la scienza forense tradizionale.
La Computer & Network Forensics è in primo luogo connessa alle tipiche
procedure di indagine forense, alle regole concernenti la raccolta di prove, e ai
procedimenti legali.
Solo secondariamente è connessa ai computer.
Perciò, contrariamente a tutte le altre aree di valutazione dove la velocità
costituisce il principale interesse, nella Computer & Network Forensics priorità
assoluta è data alla precisione.
Come d’altronde accade in qualunque altra branca della scienza forense, anche
nel caso della Computer Forensics il rilievo, piuttosto che alla celerità e al
risparmio del tempo, viene dato alla integrità e alla sicurezza probatoria.
Nel mantenere questa priorità, ciascun professionista forense deve attenersi a
rigorose linee guida. E queste linee guida non racchiudono l’adozione di
“scorciatoie”; il professionista forense accetta dunque che ogni preziosa risorsa
di tempo venga impiegata al fine di mantenere i più alti standard di lavoro.
Fatta questa premessa, vediamo ora le principali differenze rispetto alle altre
classiche discipline forensi.
Innanzitutto, contrariamente alle tradizionali analisi forensi, le analisi su
computer possono essere potenzialmente realizzate in qualsiasi luogo, e non
solo in un laboratorio specifico.
Infatti, è noto come i tradizionali esami forensi avvengano e siano controllati in
appositi luoghi, sviluppandosi logicamente secondo criteri e principi specifici.
5
concetto chiave è proprio “…che possa essere utilizzato in tribunale come fonte di prova”: è
infatti essenziale che nessuna delle procedure utilizzate durante l’indagine possa ostacolare o
impedire questo singolo requisito. Si veda a proposito http://www.dibsusa.com
Capitolo I: La Computer and Network Forensics
A confronto, la Computer & Network Forensics è quasi interamente guidata
dalla tecnologia, può svilupparsi al di fuori di un ambiente di laboratorio, e le
analisi presentano caratteristiche differenti in quasi tutte le situazioni.
Altre differenze riguardano soprattutto il risultato e le informazioni acquisite in
relazione al caso da risolvere. Invece che produrre “deduzioni interpretative”,
come avviene nella maggior parte delle discipline forensi, la Computer &
Network Forensics produce piuttosto informazioni e dati diretti che possono
avere rilevanza in un caso giudiziario specifico
6
.
Da sempre si ritiene che la scienza forense produca risultati certi, validi e
sicuri. Per esempio, attraverso l’analisi del DNA si è in grado di ricavare
alcune informazioni atte all’identificazione di un individuo; per sostenere le
loro conclusioni, gli scienziati forensi che si occupano di DNA fanno
riferimento soprattutto a studi sulle sezioni di DNA, da cui traggono però solo
deduzioni.
La scienza della Computer & Network Forensics, a confronto, ricerca e
produce informazioni specifiche correlate al caso in esame. Per sostenere i
risultati di un’investigazione di Computer Forensic, si necessitano infatti
procedure che assicurino che solo quelle informazioni sono presenti sulla
memoria del computer, e che esse non sono state alterate durante il processo
d’investigazione.
Contrariamente alle analisi forensi sul DNA o alle altre discipline forensi, la
Computer & Network Forensics non produce dunque deduzioni interpretative
riguardo alla precisione, all’attendibilità, o al potere discriminante dei dati o
delle informazioni attuali.
Queste distinzioni, sia le conclusioni scientifiche delle tradizionali analisi
forensi che le informazioni ricavate dalla Computer & Network Forensics,
derivano proprio dalle diverse modalità di investigazione.
In ogni caso, i risultati derivanti da entrambe, una volta giudicati validi e
attendibili, possono essere presentati nei tribunali, nei processi e negli incidenti
probatori.
6
Tali tipi di dati diretti hanno ampia implicazione sia nelle relazioni fra investigatori e
scienziati forensi, sia nel lavoro prodotto sulla base di un’investigazione di Computer
Forensics. Così M. G. NOBLETT, M.M. POLLITT, L. A. PRESLEY, op. cit.,(vd. Nota 2).
Capitolo I: La Computer and Network Forensics
1.3 Sviluppo della Computer & Network Forensics.
Le prove derivanti da computer cominciarono ad essere prese in considerazione
nei tribunali americani circa trent’anni fa.
Inizialmente, i giudici consideravano tali prove non molto differenti da quelle
più tradizionali. Ma con il progresso tecnologico, diventò palese che tale
assimilazione non poteva essere più possibile. Per questo motivo, vennero posti
alcuni principi all’interno del regolamento americano denominato “US Federal
Rules of Evidence” del 1976.
Attualmente, sembra che nei tribunali sia diventato molto comune presentare o
richiedere prove digitali; ciò sicuramente è dovuto all’incremento dell’uso dei
computer, il che ha portato ad una trasformazione circa il modo di creare e
conservare i documenti: non ci sono più solo i “vecchi” documenti cartacei, ma
anche i più attuali documenti elettronici (es. in formato Word). Inoltre, una
nuova area di investigazione è fornita anche dalle e-mail, dai file di log…aventi
ormai piena efficacia probatoria.
Le prove raccolte elettronicamente potrebbero essere insomma il fattore
determinante per la risoluzione di un caso.
Col tempo si avvertì però il bisogno di dare una disciplina a queste “nuove
forme di prova”.
Così, intorno ai primi anni ’80, i laboratori della FBI e altre agenzie americane
cominciarono a sviluppare programmi volti ad esaminare le prove su computer.
In particolare, per rispondere adeguatamente alle crescenti domande di
investigatori e Pubblici Ministeri adeguati a questo compito, la FBI istituì il
CART (Computer Analysis and Response Team), avente lo specifico compito di
svolgere analisi su computer.
Benché il CART sia unico in tutta la FBI, le sue funzioni e la sua generale
organizzazione sono ormai svolte anche in molte altre agenzie private degli
Stati Uniti e di altre nazioni.
Ricevi informazioni sui nostri servizi, sulle offerte e non perdere news e consigli su università e lavoro.
