Anche per i dati in Cloud esiste una scienza forense che si occupa del loro trattamento al fine di poterli utilizzare in un’attività investigativa; che si occupa, volendo essere più sintetici del loro trattamento al fine di poter introdurre in un processo civile, penale, amministrativo i dati della “nuvola”.
Approfondiamo allora il concetto di cloud forensics e le difficoltà giuridiche e tecniche che vi orbitano attorno.
Digital forensincs, una definizione
Partiremo dalla definizione di Digital Forensics per trattare in questo articolo quali siano le criticità giuridiche e tecniche che incombono allorquando, oggetto di un’indagine non siano i dispositivi con cui siamo soliti approcciarci (Pc desktop, notebook, tablet, smartphone, smartwatch etc.) ma dati che nel gergo definiamo in Cloud, “sulla/nella nuvola”
Per definire la Digital Forensics, ringrazio per sintesi D.E. Caccavella e M. Ferrazzano, che la definiscono così:“La digital forensics, nota in ambienti anglosassoni anche come computer forensics, è l’equivalente italiano dell’informatica forense, cioè la scienza forense che si occupa del trattamento di dati digitali di qualsiasi tipo allo scopo di rilevare prove informatiche utili all’attività investigativa”.
Sempre più spesso, sentiamo, più precisamente, parlare di Cloud Computing[1], quel mondo dove tutto sembra possibile e alla portata di tutti grazie alla tecnologia internet. Questo “ecosistema” ci fa dimenticare il fastidio di dover archiviare fisicamente i nostri dati ed affidarci a queste nuvole digitali ci permette più facile accessibilità, comodità e praticità, nel lavoro e nella nostra quotidianità. Le aziende lo hanno compreso da tempo (ha anche innegabili vantaggi economici, in quanto riduce le spese di gestione e fornisce una maggiore flessibilità di lavoro), ma ormai sono sempre più rari coloro che consapevolmente od inconsapevolmente si affidano al Cloud Computing.
Per comprendere meglio quali siano le difficoltà giuridiche e tecniche che orbitano attorno a quella che possiamo definire “Cloud forensic”[2] dobbiamo brevemente soffermarci sulle tipologie e modelli di distribuzione dei servizi cloud. Invero il controllo delle risorse virtualizzate da parte dell’utente con riferimento alle tipologie di servizio, vedremo, incide in maniera determinante sulle criticità tecniche e giuridiche che ne possono derivare. Il National Institute of Standards and Technology[3] definisce tre tipologie di servizio e più precisamente SaaS, (Software as a Service), PaaS, (Platform as a Service) e IaaS, (Infrastructure as a Service) volendole analizzare nei loro tratti caratteristici rileviamo che:
Il modello di Software come Servizio (SaaS) consiste nell’offerta di software e/o applicativi che vengono utilizzati direttamente dall’utente. Gli utenti possono accedere al software ospitato su server cloud anziché scaricarlo sul proprio dispositivo, garantendo una maggiore flessibilità e sicurezza nella gestione dei dati. L’utente non ha alcun controllo sulle risorse virtuali o sulle applicazioni, che sono gestite esclusivamente dal provider del servizio.
La Piattaforma come Servizio (PaaS) è invece caratterizzata dalla fornitura di un ambiente di lavoro personalizzato per l’esecuzione di applicazioni. Grazie alla presenza di infrastrutture cloud altamente performanti, l’utente ha la possibilità di utilizzare le proprie applicazioni senza dover effettuare alcun download di software. Tuttavia, l’infrastruttura su cui si basano le applicazioni è di esclusiva proprietà del provider del servizio.
Infine, l’infrastruttura come servizio (IaaS) è un modello in cui il provider fornisce all’utente tutta l’infrastruttura IT necessaria, ovvero servizi di calcolo, archiviazione e rete. L’utente ha accesso esclusivamente al contenuto dell’infrastruttura, che può gestire in completa autonomia senza dover preoccuparsi della gestione delle risorse virtuali.
Nella realtà la suddivisione originariamente stilata dal NIST oggi appare più complessa ed ibrida con soluzioni quali l’Everything as a Service (Xaas) che comprende al suo interno altri servizi più popolari quali il Desktop as a Service (Daas) e l’Unifed Communication as a Service (Uaas)[4].
È importante prima di addentrarci nelle criticità giuridiche e tecniche, considerare brevemente anche i modelli di distribuzione dei servizi Cloud, che si riferiscono invece alle tipologie di accesso ai servizi ma che vedremo assurgono rilevanza strategica con riferimento alle modalità di accesso ed acquisizione dei dati nell’ambito della “cloud forensics”.
Anche qui esistono tre modelli principali di distribuzione cui se aggiunge un quarto denominato ibrido che costituisce di fatto una combinazione delle tre principali che canonicamente si distinguono in:
- pubblic, se disponibili per il pubblico in generale su internet, nessuno degli utenti ha un accesso esclusivo alle risorse e non vi sono costi iniziali per l’acquisizione delle risorse hardware e software necessarie, che incombono sul fornitore. Sono modelli dove gli utenti non controllano integralmente le risorse utilizzate;
- community, per l’uso esclusivo di una determinata e specifica organizzazione o comunità che condividono obiettivi comuni;
- private, per l’uso esclusivo di una singola organizzazione, accessibile tramite internet o una rete interna (intranet) agli utenti autorizzati. Sono le cd. Cloud aziendali o interne, che si vanno di fatto sempre più sviluppando per gli innegabili vantaggi di praticità e comodità di utilizzo cui si accompagnano anche notevoli risparmi economici e non ultimo essendo “private” anche una maggiore affidabilità e sicurezza, ovviamente a costi superiori rispetto a quelli mediamente previsti per quelle “pubbliche” ove la promiscuità di diversi soggetti ed utilizzatori incide su tale aspetto;
Infine, come dicevamo poco sopra le ibride combinazioni di queste tre, evidenziando che non vanno confuse con le multi-cloud, tipiche di quelle organizzazioni che utilizzano una combinazione di cloud per distribuire applicazioni e servizi per esempio due cloud pubblici, due private, non interconnessi tra loro.
Cloud Forensics
Un concetto che può aiutarci ulteriormente a comprendere le criticità della cloud forensics può essere quello di ubiquità delle fonti prova. Se stiamo considerando che una fonte di prova si possa trovare in cloud non possiamo non considerare che quella fonte (direi molto più di altre cui siamo generalmente abituati) presenta caratteristiche di onnipresenza con specifico riferimento alla possibilità di accedervi non da un unico o pochi dispositivi fisici (quello che accade generalmente nella digital forensics che interessa pc, notebook, tablet e smartphone) ma bensì e potenzialmente da una moltitudine di altri device, non dimentichiamoci che stiamo parlando di risorse accessibili attraverso la rete, giungendo al paradosso che qualsiasi dispositivo dotato di un idonea interfaccia in qualsiasi parte del mondo, potrebbe attraverso la rete collegarsi alla “nuvola” ove sono custodite/conservate quelle evidence oggetto delle nostre attenzioni investigative, e questo, magari, proprio mentre cerchiamo di acquisirle.
Ulteriore considerazione attiene invece la possibilità di individuare-identificare: di chi è il dato? Chi lo ha prodotto/modificato/cancellato/visto l’ultima volta? Tutte domande che di solito l’esperto forense si pone con una certa frequenza. Se nella digital-forensics qui riferita a ciò che non è strettamente dato in cloud (pc, notebook, smartphone con riferimento ai dati ivi custoditi, memorizzati, conservati) abbiamo un dispositivo fisico che contiene il dato ed attraverso considerazioni, indizi, presunzioni ed altri elementi possiamo giungere ad una risposta per quelle domande, nel cloud ci ritroviamo ad affrontare subito alcune criticità spesso insuperabili:
- molto spesso questi “spazi” cloud sono condivisi e non è sempre possibile attraverso le canoniche considerazioni, indizi, presunzioni ed altri elementi, rispondere alle nostre domande (si pensi ad un cloud aziendale ove più dipendenti hanno accesso ai dati e dove i dati non è detto abbiano metadati così dettagliati da aiutarci nel definire le canoniche domande cui dovremo rispondere quali: chi; cosa; quando, dove, come e perché);
- trattandosi di server fisici o virtuali spesso dislocati all’estero, non è così facile ottenere quelle informazioni in risposta alle domande sopra evidenziate e molto spesso i file di LOG che potrebbero aiutare a rispondere a quelle domande, non solo non esistono, ma quando esistono non si sa .. come richiederli o ottenerli, ovvero le procedure per la loro richiesta seppur note risultano non solo anacronistiche rispetto la velocità, fragilità ed instabilità dei dati ma risultano altresì burocraticamente talmente complicate da essere utilizzate solo in casi particolarmente gravi e connaturati da elevato rischio e pericolo criminogeno[5];
- esiste un fitto “ecosistema” di password, criptazione a tutela dei dati ed altri motivi di sicurezza che complica ulteriormente e non poco l’attività degli investigatori.
I principali problemi delle attività digital-forensics
Ma andiamo con ordine. Il primo problema di qualsiasi attività digital-forensics è l’accesso ai dati le cui modalità e peculiarità devono essere ben note e valutate dall’investigatore chiamato a valutare di volta quanto le necessarie operazioni di accesso ai dati vadano di fatto a modificare/alterare lo stato delle cose. Anche nella cloud-forensics si applicano (o meglio si cerca di applicare) le fasi disciplinate dallo standard ISO/IEC 27037[6] e dalle best-practices internazionali con alcuni adattamenti, cosa peraltro che sta avvenendo anche nella computer e mobile forensics ove i principi generali della ISO/IEC e delle best-practices , sono soggetti a periodici adattamenti legati essenzialmente all’evoluzione delle tecnologie a protezione e tutela dei dati su dispositivi che richiedono un cambio di paradigma, un continuo aggiornamento ed adattamento delle procedure, per poter essere affrontati[7].
Come può avvenire l’accesso ai dati in cloud
L’accesso ai dati in cloud può avvenire secondo le seguenti modalità/applicazioni che saranno attentamente ed opportunamente valutate ponderate:
- un’applicazione “mobile”, sono molto diffuse in quanto permettono l’accesso alla “nuvola” in mobilità e da ovunque, inoltre anche se i dispositivi mobili sono orientati a sempre maggiori capacità di storage (non sono così rari smartphone con capacità di storage superiore ad 1TB) esiste ancora (giustamente) una certa diffidenza nel conservare i dati solo sul dispositivo mobile, vuoi per la possibilità di essere smarrito/rubato, vuoi per la frequenza con cui vengono sostituiti e per altri motivi (guasti improvvisi). Resta il fatto che vi è ancora una consolidata abitudine negli utenti al ricorso ai dati in cloud sia per avere una copia di backup sicurezza dei propri dati sia per le possibilità già evidenziate di condivisione ed accesso ubiquitario. Inoltre, le risorse hardware limitate dei dispositivi di fascia medio bassa, impongono il ricorso alle risorse cloud non solo per motivi di storage ma anche di performance per certe applicazioni che viceversa sul dispositivo risulterebbero alquanto limitate e poco performanti.
- un’applicazione web. Anche questa è una modalità molto diffusa in questo caso l’utente si autentica sul web con le proprie credenziali ed accede, tramite apposite interfacce predisposte dal cloud provider, alla propria posta elettronica Web piuttosto che ai propri documenti, foto etc. Come detto, è una modalità molto comune, attenzione va riposta dall’investigatore al dispositivo utilizzato che per rapidità e comodità di accesso potrebbe avere un accesso attraverso appositi “token” o credenziali memorizzate, tali da permettere al browser al momento del collegamento alla pagina web di accedere immediatamente alla risorsa e ai dati ivi contenuti.
- un client desktop, ne sono esempio One drive, Dropbox che oltre ad una versione web possono funzionare anche attraverso un apposito programma installato sul desktop dell’utente. Il programma installato sul computer interagisce automaticamente con il servizio di cloud storage. A fattor comune questi applicativi realizzano quasi sempre sul dispositivo client una cartella di file che, ipotizzando di disporre di una connessione telematica persistente, è costantemente (se così impostata o meno dall’utente) sincronizzata con lo spazio di memorizzazione concesso dal cloud provider.
- una API (Application Programming Interface), ossia un modulo software che può essere integrato all’interno di un proprio applicativo personalizzato. In questo caso, l’interazione dell’utente non è diretta, ma mediata da un’applicazione realizzata ad hoc, per ragioni specifiche legate solitamente a “servizi-aggiuntivi” per l’utente finale.
Appare evidente come le diverse modalità di accesso riverberino ciascuna diverse criticità e problematiche, tutte però a fattor comune, escludendo il ricorso ad un API, scontano quasi sempre l’impossibilità nell’immediatezza delle operazioni e sul posto (on-site) di procedere a ricerche “mirate” degli elementi probatori di interesse, invero l’acquisizione del cloud in assenza di strumenti capaci di effettuare ricerche, selezioni ed esportazioni mirate all’interno dello stesso si risolvono spesso in operazioni di acquisizione indiscriminata e successiva selezione che tuttavia scontano talvolta difficoltà insormontabili legate alla quantità di dati conservati. Non è raro imbattersi in utenti con decine/centinaia di TB di immagini fotografiche o di altri file[8] sui quali in assenza di specifici strumenti di ricerca e selezione può risultare alquanto oneroso (se non impossibile) procedere all’acquisizione degli interi volumi per la loro entità. Inoltre, trattandosi di acquisizioni strettamente correlate e fortemente influenzate dalla velocità della rete, ma anche, in determinati ecosistemi (soprattutto aziendali), da strumenti di controllo e sicurezza che impediscono lo scarico massivo di dati, la loro acquisizione, dipende altresì dalla collaborazione “positiva” della parte o degli eventuali ausiliari di polizia giudiziaria nominati allo scopo di superare tali restrizioni.
Per comprenderne meglio le criticità occorre ricordare anche che l’ecosistema cloud risulta costituito da diversi sotto-sistemi collegati tra loro e che ciò l’utente percepisce come “nuvola” è in realtà l’interconnessione tra il proprio sistema client (il pc, il notebook, il tablet, lo smartphone, collegati alla rete internet) le risorse virtualizzate messe a disposizione per l’erogazione dei diversi e molteplici servizi ma anche le risorse hardware e software per la gestione di quest’ultime, cui si aggiunge ultimo ma non ultimo la complessiva rete di comunicazione che le collega tra loro. Insomma, un sistema non solo altamente complesso, ma connaturato da un elevata “dinamicità”, “instabilità”, “modificabilità”, tutti termini che il digital-forensics “aborra” professionalmente.
Del resto, appare evidente anche ai non addetti ai lavori, come la complessità di così diversi sistemi coinvolti ed in connessione tra loro (il dispositivo, le risorse virtualizzate, la rete di collegamento) richiedano l’applicazione di diverse discipline “forensics” (digital, network, client forensic) spesso connaturate da profonde differenze di approccio e basate anche su diversi modelli (paradigmi), che sempre più spesso non trovano “sintesi” in un’unica professionalità (il digital expert) ma richiedono, invero, la sinergia di più figure e professionalità altamente specializzate.
La fase di identificazione
Qui il riferimento alla identificazione dei dati di interesse va ricondotto alla conoscenza dell’ubicazione degli stessi con riferimento all’ecosistema che sopra abbiamo descritto. Se siamo abituati a maneggiare nel corso delle operazioni di perquisizione, device “fisici” (un HDD/SSD esterno; una pen-drive; un HDD/SSD interno del pc, del notebook; le memorie di uno smartphone/tablet etc.) qui nella cloud-forensics i confini appaiono spesso più sfumati e non sempre è così facile ed immediato comprendere su quale supporto[9] si trovino i dati ma soprattutto comprenderne anche sotto la responsabilità di chi siano gli stessi. Il fatto che l’utente perquisito abbia un dispositivo che permette di consultare per esempio un file PDF su qualche piattaforma cloud, non ci permette di comprendere:
- dove materialmente quel file sia effettivamente custodito (l’utente potrebbe consultarlo on-line, senza ricorrere ad un download sul proprio dispositivo);
- di chi sia la “paternità” e gestione di quel file (potrebbe essere una evidence che per il solo fatto di poter essere consultata non può parimenti confermarci sia riconducibile, in gestione, paternità del perquisito).
Il luogo dell’ubicazione del dato assume poi una particolare importanza, allorquando sorgano problemi di competenza territoriale, ovvero allorquando per l’acquisizione dei dati si debba ricorrere agli istituti della rogatoria internazionale o per lo spazio europeo UE dell’ordine europeo di indagine penale). Per comprendere la vastità, entità ed importanza del fenomeno, ritengo che le motivazioni assunte dalla Corte di Cassazione Penale – sez. IV 28 giugno 2016, n. 40903 possano rendere il “polso” della problematica e su cosa possa basarsi una potenziale soluzione[10]. Oltre alla problematica di delocalizzazione dei dati, sempre con riferimento alla identificazione degli stessi assume particolare rilievo la cifratura dei dati. Per ovvi motivi di sicurezza/riservatezza i dati sono conservati in cloud protetti da criptazione e talvolta l’assenza di collaborazione da parte del perquisito o del provider (qualora in possesso delle chiavi di decriptazione) rende impossibile analizzare il contenuto degli stessi, a ciò si aggiunga che, qualora la presenza di dati sul cloud venisse individuata da altri elementi e non appresa in maniera diretta in sede di perquisizione[11], sorgerebbe altresì l’ulteriore difficolta di ottenere dalla parte le credenziali per l’accesso al cloud solitamente costituite da un indirizzo e-mail ed una password talvolta accompagnate qualora l’utilizzatore lo avesse ritenuto opportuno da una 2FA[12]. In merito alla collaborazione da parte del perquisito il nostro ordinamento non prevede alcun obbligo, invero la mancata collaborazione dell’indagato nel fornire le chiavi/password/2FA è inquadrabile come esercizio di una facoltà difensiva, che trova supporto nella ampia tutela Costituzionale che il codice di rito fornisce all’accusato, riconoscendogli, tra l’altro, non solo il “diritto al silenzio”, ma anche quello di mentire. Tale facoltà da parte del perquisito riverbera qualora si tratti di device “fisici” (pc/notebook, tablet, smartphone) la protrazione del vincolo da parte del Pubblico Ministero, che trova giustificazione nella accresciuta difficoltà di accesso ai potenziali dati di interesse investigativo, in questo senso si è espressa anche di recente la Cassazione[13], tuttavia quando trattasi di dati in cloud ciò comporta ulteriori considerazioni, circa il “congelamento” sequestro dello spazio cloud che vedremo nel prosieguo.
Sempre sul tema della identificazione sia permesso un breve accenno a tutte quelle situazioni che vedono la presenza di spazi cloud per quanto protetti, condivisi, tra più soggetti. La casistica molto comune in ambito aziendale per ovvi motivi di “collaborazione lavorativa” non è esclusa nell’utilizzo familiare di un cloud spesso non adeguatamente configurato e che di fatto risulta in uso “promiscuo” a più persone. Partendo dall’assunto che nel nostro ordinamento l’art. 27 della Costituzione stabilisce che la responsabilità penale è personale, risulta evidente come sia sempre determinante ai fini dell’attribuzione di un reato, individuare esattamente la persona responsabile dello stesso. Conseguentemente in tali situazioni, contrariamente a quanto avviene per le evidence rinvenute su dispositivi di uso strettamente personale o attraverso l’utilizzo di specifici profili “user”, che permettono sulla scorta di presunzioni chiare, precise e concordanti di delineare la responsabilità dell’utilizzatore del dispositivo/profilo; laddove, di fatto, l’accesso ai files, per quanto protetto avvenisse ad opera di più soggetti promiscuamente, vi sarebbero logiche, aumentate ed innegabili difficoltà nel poter attribuire specifiche responsabilità ad uno specifico soggetto solo sulla scorta della possibilità dello stesso di accedere a quello spazio.
La fase di acquisizione
Abbiamo già visto sopra come le tradizionali tecniche di digital-forensics applicate alla cloud-forensics possano risultare inadeguate. Se ci limitiamo alla cloud-forensics effettuata attraverso il device che funge da client allora le tradizionali tecniche trovano ancora un valido spazio, efficacia ed efficienza che va tuttavia a mano a mano perdendosi laddove la cloud-forensic nello specifico caso debba ricorrere a tecniche più di network-forensics se non a tecniche “tradizionalissime” quali quella della richiesta di dati direttamente al provider cloud (sempre qualora ciò sia possibile e realizzabile[14]).
In ogni caso è evidente come, ove i dati della “nuvola” risultino sincronizzati e scaricati su uno dei device in utilizzo al perquisito, le tradizionali tecniche di digital- forensics troveranno ampio utilizzo efficienza ed efficacia potendo trattarsi di dati “fisicamente” presenti sul disco. Tuttavia, questi casi sono sempre più rari facendo peraltro venire meno uno dei principali vantaggi dell’utilizzo del cloud consistente per l’appunto nel delocalizzare i propri dati fisicamente sulla nuvola con la comodità di potervi accedere e gestirli da ogni dove, senza conservarli fisicamente sui propri supporti (ormai spesso limitati). Pertanto, la generalità dei casi richiede che una volta individuati i dati, questi vengano scaricati attraverso la rete per poter realizzare quella che viene definita la copia forense. Qui potrebbero già sorgere criticità atteso che di fatto non avviene quel “processo” previsto dalle best-practices di calcolo dell’hash sul dato sorgente, calcolo dell’hash sul dato giunto a destinazione e confronto tra i due con match/mismatch, in quanto l’hash viene calcolato solo sul supporto di destinazione. Orbene se ai fini di una cristallizzazione della evidence ovvero di cosa la polizia giudiziaria abbia acquisito e quale hash ha, la procedura risulta idonea. Vi è chi contesta che non avrebbe senso calcolare un hash sulla destinazione da non poter confrontare con il sorgente e chi contesta che il dato nel suo viaggio dal luogo di fisica conservazione (Cloud) al supporto utilizzato dalla polizia giudiziaria (HDD/SDD per la copia forense) potrebbe aver subito modifiche. Non disserterò in questa sede circa queste tesi, limitandomi a considerare sufficiente ai fini della catena di custodia[15] il calcolo sulla sola destinazione, ma tranquillizzando un po’ tutti, segnalo altresì che esistono già software dedicati alle acquisizioni “cloud” che consapevoli di tale “impasse” provvedono a calcolare l’hash del sorgente prima del trasferimento e a ricalcolarlo quando giunto a destinazione e che anche tengono traccia “forense” del traffico (networking) sotteso all’operazione. Tuttavia, miglior dottrina[16], propone a soluzione, di impiegare in combinazione tra loro diverse tecniche di acquisizione capaci nella loro azione sinergica di compendiare e risolvere le rispettive carenze sul piano dell’acquisizione del dato :tecniche di acquisizione remota; ricorso ai sistemi di gestione virtuali della piattaforma cloud laddove previsti; tecniche di live-forensics e tecniche di snapshotting; confortando la tesi già sopra avanzata che acquisizioni di tale foggia richiedono la sinergia di diverse competenze professionali di alto profilo, difficilmente raggiungibili dal singolo digital expert.
La fase di conservazione
Tale fase pur essendo collocata quale terza ed ultima, invero influenza ampiamente anche le fasi di individuazione e acquisizione laddove ci riferiamo ai dati che l’utente potrebbe aver cancellato dal proprio “spazio cloud”.
Nell’evidenziare che le cd. tecniche di carving ancora applicate (anche se sempre più difficilmente e raramente) sui dispositivi fisici, risultano inapplicabili nei confronti della maggior parte delle risorse cloud, (quantomeno laddove non risulta possibile procedere all’effettuazione di una copia bit to bit – bit stream image del supporto fisico) occorre ricordare che molti utenti finali molto spesso sconoscono approfonditamente il funzionamento di alcuni ecosistemi cloud , tanto da non considerare che quasi tutti a tutela di errori e ripensamenti da parte dell’utente prevedono un periodo di “conservazione” del dato anche dopo che l’utente ne ha richiesto l’eliminazione[17].
Ma vi è di più taluni ecosistemi quali il noto “Office 365” prevedono soprattutto a livello aziendale il ricorso al meglio noto Microsoft Purview eDiscovery, (mi si perdoni la sintesi), una piattaforma che permette di tracciare, identificare, conservare, acquisire e consegnare dati elettronici che possono essere utilizzati come prove in casi legali[18].
Un secondo aspetto concerne quello che viene definito in gergo “congelamento” dei dati in cloud, accade più spesso di quanto si creda, che la polizia giudiziaria, sia accompagnata da un decreto del pubblico ministero che dispone laddove sorgano difficoltà tecniche nell’acquisizione di dati “cloud” di poter procedere ad una sorta di “congelamento” di quello spazio attraverso la modifica delle credenziali che permettono l’accesso allo stesso.
Senza entrare negli aspetti “giuridici” di tale azione, si può convenire che trattasi di un’attività di “assicurazione” di “conservazione” dello stato di quello spazio in attesa di poterlo acquisire, perquisire adeguatamente. Ciò posto, resta tuttavia da valutare quanto tale procedura sia realizzabile senza una piena collaborazione da parte dell’indagato. Invero laddove l’accesso allo spazio cloud sia consentito attraverso un userid e password, la modifica di quest’ultime (onde impedirne l’accesso all’indagato) richiede quasi sempre (per motivi di sicurezza e protezione dell’account) il superamento di doppie o triple autenticazioni anche attraverso il ricorso a specifiche APP di autenticazione, ovvero l’utilizzo di “one time password” inviati su specifici dispositivi di cui spesso l’indagato non ricorda neppure più l’esistenza. Il ricorso agli sistemi di autenticazione (per ovvi motivi ne vengono previsti diversi) non è detto al di là della mera collaborazione del soggetto interessato, siano poi così realizzabili[19].
L’attività di conservazione comprende ovviamente tutto il complesso delle azione rivolte a “garantire” l’integrità dei dati memorizzati sul sistema cloud con le difficoltà e criticità che sono già state in parte anticipate nei paragrafi precedenti, in particolare ci si riferisce a quanto indicato in ordine al calcolo dell’hash e alla catena di custodia che contrariamente alla generalità delle operazioni di digital forensics non sempre hanno la possibilità di effettuare un calcolo controllo dell’hash sul cosiddetto “sorgente”.
Conclusioni
Il “Cloud” sembra ormai avviato verso un esponenziale sviluppo e diffusione, le caratteristiche di economicità, flessibilità e comodità che lo contraddistinguo sembrano aver superato le criticità essenzialmente legate alla sicurezza e privacy dei dati che all’inizio ne avevano rallentato lo sviluppo e diffusione. Tale diffusione come in ogni altro contesto, si accompagna ad un nuovo spazio all’interno del quale la criminalità ha già saputo rilevarne i vantaggi e svantaggi rispetto i propri affari e che richiede a coloro che ne sono impegnati al contrasto di adottare nuove tecniche “forensi” capaci di documentarne i profili illeciti. Di qui la necessità di superare le criticità che permangono e sono state sopra meglio evidenziate.
Il riferimento va in particolare al carattere di estrema “volatilità” dei dati presenti nelle risorse virtualizzate del Cloud; alle difficoltà di accesso “fisico” ai dati ivi custoditi; cui si uniscono le difficoltà di individuazione e superamento delle tecniche di cifratura e protezione degli stessi. Nonostante lo sforzo dei produttori di strumenti e software per la digital forensics, rivolto a mitigare alcune delle criticità qui evidenziate, mancano ancora da parte della comunità scientifica, della magistratura e dottrina linee pienamente accettate e condivise, capaci al pari del livello attualmente raggiunto per la computer e mobile forensics, di fornire agli operatori quotidianamente impegnati in questi contesti di poter operare con un sufficiente grado di sicurezza, affidabilità ed efficienza.
La complessità dell’ecosistema Cloud richiede a fianco a nuove professionalità capaci di operare “trasversalmente” nei diversi sotto-ambiti che lo compongono, una nuova presa di consapevolezza anche da parte del legislatore, volta a comprendere la necessità di una “collaborazione e partecipazione” dei Cloud Service Provider nelle attività di Cloud Forensics. Invero risulta sempre più evidente come la partecipazione attiva di quest’ultimi alle operazioni svolte dalle Law-Enforcement e Magistratura risulti non solo utile, ma spesso necessaria. Di qui anche una riflessione “De jure condendo” che sulla scorta di quanto già avviene per determinate piattaforme (si veda il già accennato Office 365) preveda strumenti di “data retention” capaci di superare le criticità di volatilità e conservazione dei dati richiamando ad una maggior collaborazione i CSP. Se da un lato si è consci che dette proposte imporranno nuovi costi e difficoltà anche sul piano del “diritto internazionale” dall’altro non si può sottovalutare, come detto, fenomeno ormai transnazionale richieda un nuovo “paradigma” per essere adeguatamente affrontato sul piano della prova digitale elemento che ormai è onnipresente in qualsivoglia indagine e processo.
Note
[1] l cloud computing, in italiano nuvola informatica o servizi nella nuvola, indica un’erogazione di servizi offerti su richiesta da un fornitore a un utente finale attraverso la rete internet (come l’archiviazione, l’elaborazione o la trasmissione dati), a partire da un insieme di risorse preesistenti, configurabili e disponibili in remoto sotto forma di architettura distribuita.(Fonte: https://it.wikipedia.org/wiki/Cloud_computing )
[2] C.Anglano, Cloud forensic e prova digitale: problematiche e soluzioni in Informatica e diritto, XLI annata, Vol. XXIV, 2015, n. 1-2, pp. 281-300.
[4] Per chi volesse approfondire la tematica e volesse avere un’immediata cognizione di quali siano le responsabilità di gestione nei vari servizi, faccio rimando a https://kinsta.com/it/blog/tipi-di-cloud-computing/ ove in una tabella è immediatamente percepibile quanto, in sintesi, sopra tracciato in relazione alle diverse tipologie di servizi.
[5] Tale situazione comporta nella pratica che molti reati definiti “comuni”, “bagatellari” tra cui però ricadono anche la maggior parte delle truffe e che costituiscono buona parte dei reati maggiormente perniciosi e fastidiosi per il comune cittadino, non vengono adeguatamente perseguiti allorquando vengono ad essere transnazionali (ovvero la quasi totalità dei casi, in quanto la criminalità conscia di tali contesti, ne approfitta).
[6] Lo standard ISO/IEC 27037 fornisce una definizione precisa delle fasi della digital-forensics ovvero: identificazione, raccolta, acquisizione, conservazione, analisi e presentazione. Le definizioni fornite nella ISO/IEC indicano azioni “generali” estensibili a qualsiasi sistema digitale. Tuttavia, l’eterogeneità dei sistemi digitali sempre più connaturati da peculiari e talvolta uniche misure di sicurezza richiede di specificare di volta in volta le migliori azioni (best- practices), più adatte a quello specifico dispositivo/contesto, capaci di assicurare che i dati costituenti la “prova digitale” siano caratterizzati dai massimi livelli possibili, di autenticità, integrità, affidabilità e ripetibilità.
[7] Un esempio sono le best-practices con specifico riferimento agli smartphone dove si è passati dalle canoniche ed immediate modalità “aereo” e spegnimento a più accurate ed approfondite tecniche volte proprio ad evitare che l’immediato spegnimento possa poi impedirne irrimediabilmente l’accesso, cercando così di coniugare il rispetto dei principi di autenticità, integrità, affidabilità e ripetibilità con le difficoltà tecniche che oggi ne impediscono talvolta il rispetto.
[8] Si pensi alle necessità di indicizzazione, OCR (riconoscimento ottico dei caratteri) senza i quali, in particolare, su grossi volumi di dati è impossibile procedere ad una selezione dei dati di interesse. Di contro tali tecniche risultano alquanto onerose in termini di tempo e risorse, tanto per l’appunto da far preferire acquisizioni “massive” ed indiscriminate di dati.
[9] Sempre su di un supporto sono … il difficile è comprendere ove tale supporto sia “fisicamente” collocato e custodito.
[10] La Corte di Cassazione – IV sez. penale, nella sentenza 28 giugno 2016, n. 40903 ha stabilito, in sintesi, che ai fini del riconoscimento della legittimità della relativa acquisizione assumerebbe rilievo determinante la circostanza che le aree virtuali dei sistemi cloud e dei profili social siano nella disponibilità di un soggetto situato nel territorio dello Stato, a nulla rilevando la circostanza che i server ospitanti i dati di interesse siano eventualmente posizionati all’estero. Secondo la Corte non sarebbe pertanto necessaria alcuna preliminare richiesta di rogatoria all’estero. Tuttavia, per chi volesse approfondire la tematica, occorre rammentare come in tema di cooperazione giudiziaria internazionale l’assistenza venga prestata solo previo soddisfacimento del requisito della doppia incriminazione per la medesima condotta, principio che può rappresentare un limite nel momento in cui un determinato fatto- reato, considerato penalmente rilevante dal nostro ordinamento, non sia considerato tale nel Paese in cui ha sede il cloud provider.
[11] Ci si riferisce al caso in cui in sede di perquisizione il device venga rilevato acceso e già collegato al cloud, evidenziando che però accade spesso che le risorse “cloud” utilizzate vengono rilevate in sede di analisi (tempo dopo la perquisizione) di qualche device che evidenzia per esempio la presenza di “token” o credenziali per l’accesso agli stessi. Strettamente in punto di diritto occorre evidenziare che terminate le operazioni di perquisizione in fase di analisi pur possedendo i token e le credenziali, l’accesso alle risorse, richiedono l’emissione di altro decreto da parte del PM per non incorrere in ipotesi di accesso abusivo da parte della PG in relazione a dette risorse.
[12] L’autenticazione 2FA è uno strumento di sicurezza ulteriore all’utilizzo di un userid e password, in base al quale all’utente è richiesto di fornire due diversi fattori di autenticazione per verificare la propria identità, solitamente un ulteriore “one time code” o l’approvazione da specifici device ed APP associate al profilo utente.
[13] Cass. Pen., Sent. 23 marzo 2023 (dep. 27 aprile 2023) n. 17604.
[14] Il riferimento tutt’altro che scontato è alla messaggistica WhatsApp (end to end), ovvero come comunicazioni che rimangono crittografate da un dispositivo controllato dal mittente a uno controllato dal destinatario e dove nemmeno WhatsApp, può accedere al contenuto intermedio. Cfr. WhatsApp Encryption Overview, Technical white paper, 22 ottobre 2020, pag. 11, disponibile al link: https://www.whatsapp.com/security/.
[15] L’utilizzo di una catena di custodia è consigliato dagli standard tecnici, ISO 27037, e dalle best practice. Tuttavia, non esiste una norma nell’ordinamento giuridico che obblighi gli esperti di digital forensics a generare una catena di custodia. Per questo motivo, l’assenza di una catena di custodia non è motivo di esclusione di una prova informatica, anche se tutti gli operatori di settore che si ispirano alle migliori prassi tendono a generare questo documento per dimostrare credibilità e affidabilità del proprio lavoro. Sia l’articolo 247 c.p.p., comma 1 bis, che l’articolo 260 c.p.p., comma 2, si limitano a richiedere l’adozione di misure tecniche e di procedure idonee a garantire la conservazione dei dati informatici originali e la conformità ed immodificabilità delle copie estratte per evitare il rischio di alterazioni, senza imporre misure e procedure tipizzate. (cfr., Cass. Pen., Sez. III, n. 37644 del 28/05/2015 – dep. 17/09/2015, R., Rv. 26518001)
[16] C. Anglano, Cloud forensics e prova digitale: problematiche e soluzioni, in Informatica e diritto, XLI annata, Vol. XXIV, 2015 n.1-2 pp. 281-300.
[17] Si vedano per esempio Dropbox/ GoogleDrive. In particolare, la differenza tra eliminazione file ed eliminazione definitiva di file, con riferimento a Dropbox si veda qui: https://help.dropbox.com/it-it/delete-restore/deleted-files .
[18] A livello aziendale è facile intuirne lo scopo ed utilità; tuttavia, per ovvie ragioni molti dipendenti sconoscono tali potenzialità in capo all’amministratore di “Office365” che in estrema sintesi (mi si riperdoni) ha la possibilità di recuperare dati cancellati dall’utente anche dopo molto tempo, a seconda delle impostazioni che l’azienda ha inteso adottare. Per una panoramica ed approfondimento consiglio: https://learn.microsoft.com/it-it/microsoft-365/compliance/ediscovery?view=o365-worldwide ed anche: https://learn.microsoft.com/it-it/microsoft-365/compliance/insider-risk-management-forensic-evidence-configure?view=o365-worldwide
[19] Dispositivi spariti, buttati da tempo, forse “è quello di mia zia”, non ricordo più il nome della mia maestra … e mille altre…
