Quando il dato è digitale: Digital Evidence
Nell’era digitale si è tutti ormai dotati di pc e smartphone di ultima generazione, i quali scandiscono le nostre giornate e, in particolar modo, le nostre interazioni, rendendo sempre più effimero il confine tra mondo reale e quello digitale.
In questo contesto, i sistemi informatici e telematici, rivestendo alcune volte il ruolo di corpo del reato, e altre quello di cosa pertinente al reato, si trasformano in elemento di notevole importanza, non solo per quanto concerne le indagini digitali in senso stretto ma, quasi in tutte le attività investigative odierne.
L’intrinseca fragilità delle digital evidence, ossia qualsiasi informazione memorizzabile o trasmissibile in forma digitale, la quale è o può essere considerata fonte di prova, complica maggiormente il quadro della situazione.
Queste, infatti, sono facilmente soggette ad alterazioni o modificazioni, non solo dall’esterno, ma anche da parte delle Forze dell’Ordine che indagano, i quali, se non convenientemente preparati, rischiano di danneggiarle e di inquinare la scena ciminis. Nella fattispecie, il dato reperito non diventerà in sede dibattimentale, una prova idonea, affidabile e fondata. Problema di importanza estrema.
L’importanza della conservazione del dato informatico, alla stregua di un reperto biologico, viene evidenziata con la legge di ratifica della Convenzione di Budapest, la n. 48 del 2008. Questa, cercando di colmare il vuoto formale esistente, ha prepotentemente introdotto all’interno del codice di procedura penale italiano alcuni importanti elementi di principio. In merito, al comma 2 dell’art. 354 c. p. p. si legge: “In relazione ai dati, alle informazioni e ai programmi informatici o ai sistemi informatici o telematici, gli ufficiali della polizia giudiziaria adottano, altresì, le misure tecniche o impartiscono le prescrizioni necessarie ad assicurarne la conservazione e ad impedirne l’alterazione e l’accesso e provvedono, ove possibile, alla loro immediata duplicazione su adeguati supporti, mediante una procedura che assicuri la conformità della copia all’originale e la sua immodificabilità.” (www.brocardi.it)
Dunque, al fine di rispettare il nuovo articolo e quindi di preservare la conservazione della digital evidence, è necessario rispettare la chain of custody, ossia la “metodologia di custodia e trasporto, sia fisico che “virtuale”, delle tracce informatiche, la quale è finalizzata a consentire la tracciabilità (e ripercorribilità) della movimentazione delle digital evidence, dal momento in cui esse sono collazionate fino a quando queste sono presentate alla magistratura, attesa la più volte menzionata natura aleatoria delle stesse” (G. Costabile, 2010), individuando tutti i soggetti che hanno avuto interazioni con il dispositivo o dato digitale.
La fase più delicata è rappresentata dalla repertazione e acquisizione. Si può agire secondo la modalità di analisi, ossia in base allo stato del dispositivo: parliamo dell’analisi post – mortem e live forensic analysis.
Premettendo che, in assenza di una procedura univoca e dato l’alto livello di complessità che si cela nella costante innovazione tecnologia, è necessario agire secondo buon senso a seconda delle situazioni, nella procedura live forensic analysis si cerca di estrarre, da dispositivi funzionanti, dati volatili, ossia dati facilmente alterabili o perdibili in caso di spegnimento del sistema. La post – mortem, invece, viene effettuata quando si auspica al recupero, da un sistema non attivo, quindi spento, dei dati non volatili, ossia, dati conservati in memorie di massa, i quali non vanno persi spegnendo il dispositivo.
In quest’ultimo caso, attraverso la bit stream image sarà poi possibile creare una copia 1:1 equivalente all’originale fino a livello bit, ossia, è in grado di copiare, oltre ai dati regolarmente memorizzati, anche parti apparentemente vuote, o sovrascritte, oppure files modificati o dati volutamente rimossi.
Sulla scorta di quanto detto, l’ hard disk di cui si vuole copiare il contenuto, non verrà collegato direttamente al computer di acquisizione, in quanto, i dati potrebbero rischiare di essere modificati, come per esempio, la data dell’ultimo accesso. Dunque, tra i due si interporrà il write blocker hardwere, il quale è in grado di garantire un blocco dell'accesso in scrittura per mantenere l'integrità della digital evidence in fase di acquisizione.
L’integrità e l’autenticità del dato verrà, infine, verificata dalla funzione matematica non reversibile di hash, la quale trasforma un dato di dimensione arbitraria in una stringa di lunghezza fissa, rappresentando così l’impronta digitale di quel dato, e in quanto impronta, non esisterà un dato avente lo stesso hash.
Dunque, il dato informatico di interesse probatorio può diventare una prova, solo se la sua repertazione e acquisizione non verrà inficiata: metodo, attenzione alle linee guida e, soprattutto, buon senso, devono guidare gli investigatori e i tecnici chiamati ad intervenire.
Bibliografia e Sitografia
ISO/IEC 27037, Guidelines for identification, collection an/or acquisition and preservation of digital evidence, approvato e pubblicato in ottobre 2012;
http://www.brocardi.it/codice-di-procedura-penale/libro-quinto/titolo-iv/art354.html;
Gerardo Costabile, Computer forensics e informatica investigativa alla luce della Legge n. 48 del 2008, Ciberspazio e diritto 2010, Vol. 11, n. 3, p. 473