La tecnologia sempre più pervasiva ha generato un vero e proprio eco-sistema tecnologico con un suo spazio particolare – il cyberspace – secondo alcuni “parallelo” ma immanente alla vita fisica ordinaria, dei singoli e delle collettività statuali. Ed è in questo contesto che si parla in particolare di “minaccia cyber”, cioè l’insieme di condotte che possono essere realizzate nel e tramite il cyberspace, ovvero in danno di quest’ultimo e dei suoi elementi costitutivi. Le minacce informatiche presentano caratteristiche peculiari, cioè una compressione spazio-temporale, un breve intervallo di tempo che intercorre tra il lancio di un attacco informatico e le sue conseguenze; la magmaticità della provenienza dell’attacco, anonimo e difficilmente localizzabile; l’asimmetricità cioè la non equivalenza dei soggetti coinvolti; l’assenza di confini fisici e limiti geografici; la mutevolezza delle tecniche e dei procedimenti di attacco.
Gli attori coinvolti sono molteplici – istituzioni pubbliche, IC, imprese multinazionali, imprese di piccole e medie dimensioni – ed eterogenei sono gli interessi perseguiti: sicurezza nazionale, sicurezza delle aziende, investigazione.
L’esistenza di un eco-sistema tecnologico sempre più sofisticato (spesso oltre le “normali” azioni su PC, telefonini cellulari et similia) impone un continuo aggiornamento da parte di tecnici ed investigatori, al fine di comprendere meglio queste nuove opportunità, complessità e metodologie di analisi rispetto alle “tradizionali” (per gli addetti ai lavori) tecniche e procedure di digital investigation e forensics.
I procedimenti di digital investigation sono funzionali alla ricerca di risposte a domande sugli “eventi digitali”. Le best practices impongono, di contro, un approccio giudiziariamente qualificato, con procedure e tecniche che possano consentire di inserire i risultati in un fascicolo destinato ad un esito processuale. E’ il caso di reati commessi a mezzo strumenti informatici o il caso in cui i complessi sistemi informatici sono oggetto di attacco.
La complessità dell’eco-sistema tecnologico obbliga i protagonisti delle Digital Investigation, quindi, ad un approccio multidisciplinare che tenga conto delle diverse competenze coinvolte. È importante tuttavia comprendere che l’eco-sistema tecnologico non si limita a mutuare approcci dal mondo fisico, ma crea esso stesso le proprie criticità, gli ambienti dove a seconda dei casi maturano attività penalmente rilevanti oppure al contrario costituiscono il bersaglio di attacchi.
Si pensi in particolare all’intelligenza artificiale ed alla robotica, al fenomeno del bitcoin e delle crittovalute o all’Internet of things: sono tutti settori emergenti, in cui le esperienze maturate in precedenza in ambito investigativo o di informatica forense possono risultare sia obsolete sia assolutamente inadeguate.
LEGGI CHI E’ E CHE FA L’INFORMATICO FORENSE
Intelligenza artificiale e forensics
Le tecnologie di Intelligenza Artificiale verranno sempre più spesso utilizzate anche in ambito forense come strumento di analisi e la stessa IA potrà essere oggetto di esame forense. Si tratta di accertare in che modo il sistema abbia preso le sue decisioni, di appurare se vi sia stato qualche “malfunzionamento” e di comunicare il risultato dell’indagine in un modo comprensibile alle parti e al giudice. E’ una analisi di tipo nuovo rispetto a quanto finora noto: non necessariamente vi è un dispositivo fisico da analizzare, ben potendo il sistema informatico consistere in una piattaforma accessibile in modalità cloud; oggetto dell’analisi non sono i dati, i processi, le risorse ma il modo in cui essi sono stati elaborati; può essere rilevante ma difficilmente risolutiva l’analisi del flusso delle comunicazioni elettroniche in entrata o in uscita dal sistema e quindi siamo fuori dal contesto della network forensics.
L’unico modo per ricavare informazioni da una IA è quella di interagire con essa in modo da tentare di riprodurre – a posteriori – il modello che sta alla base delle sue azioni. Si possono individuare diversi percorsi di ricerca ed approfondimento: possibilità di definire standard operativi o valutativi – o anche solo best practices – per l’analisi forense di IA; progettare IA che abbiano la funzione di analizzare altre IA per tradurre i contenuti in formato comprensibile all’essere umano ed utilizzabile in sede giudiziaria. Per siffatte peculiarità l’“Artificial Intelligence Forensics” potrebbe svilupparsi come disciplina autonoma nelle scienze forensi.
Robotica
Le riflessioni che precedono devono essere integrate con quanto emerge dalla recente approvazione della Risoluzione del Parlamento europeo del 16 febbraio 2017 recante raccomandazioni alla Commissione concernenti norme di diritto civile sulla robotica. È attuale il problema connesso all’individuazione di norme che disciplinino l’attività ed in particolar modo la responsabilità dei robot nel nostro ordinamento. Robot, bot, androidi e altre manifestazioni dell’intelligenza artificiale (AI) sono protagonisti dell’eco-sistema tecnologico e rendono imprescindibile che la legislazione nazionale ne consideri tutte le implicazioni.
Bitcoin
L’eco-sistema tecnologico ha anche le sue “monete”, le crittovalute tra le quali spicca per notorietà (e valore) il Bitcoin, un sistema alternativo a quello ufficiale, anche per la riservatezza che offre agli utenti. Proprio quest’ultima qualità ne ha decretato l’adozione quale standard de facto per le transazioni finanziarie all’interno del dark web.
Per comprendere il bitcoin e i processi di formazione non basta la tradizionale cultura della creazione della moneta così come la conosciamo ed usiamo quotidianamente. Nel merito, il bitcoin (come le altre crittovalute, ovviamente) può assumere diversi “ruoli” all’interno dei processi investigativi e criminosi, in particolare può essere strumento di pagamento di ricatti, estorsioni et similia (digitali – es. ransomware – e non).
Analogamente, sul piano investigativo, si registrano i primi casi di sequestro di bitcoin. Attività da eseguire con cura, perché essendo uno strumento facilmente volatile e virtuale si dovrà mettere in sicurezza l’oggetto del sequestro per impedire attacchi esterni o movimentazioni abusive dello stesso indagato. Senza contare gli aspetti afferenti alla territorialità, alla collaborazione dei gestori in Italia ed all’estero ed al tema più complesso da contrastare: lo pseudo anonimato delle transazioni bitcoin.
Le più recenti ricerche sul tema dell’anonimato delle transazioni Bitcoin sono costantemente orientate all’analisi delle transazioni presenti sulla blockchain tramite approcci che sfruttano la possibilità di costruire agevolmente il grafo delle transazioni e, tramite appositi algoritmi di clustering, il grafo degli utenti o una sorta di georeferenziazione degli stessi (anche in base ad approcci tecnici di machine learning).
Internet delle cose
La pervasività delle tecnologie rilancia anche il tema della digital investigation, oltre che della security o della privacy. Internet delle Cose, ad esempio (o Internet degli Oggetti o Internet of Things) è un neologismo (nato nel 1999) riferito all’estensione di internet al mondo degli oggetti e dei luoghi concreti, cioè far sì che il mondo elettronico tracci una mappa di quello reale, dando una identità elettronica, un identificativo unico alle cose e ai luoghi dell’ambiente fisico. È una infrastruttura di rete dinamica e globale dove “oggetti” fisici e virtuali dotati di una propria identità, di attributi fisici e di interfacce intelligenti (tag/sensori) risultano integrati alla rete Internet e possono essere individuati attraverso l’assegnazione di un numero di identificazione, di un nome o un indirizzo di localizzazione. Gli oggetti e i luoghi muniti di tag comunicano informazioni in rete (lan o internet) o a dispositivi mobili come i telefoni cellulari: gli oggetti o i luoghi taggati sono quindi riconoscibili, localizzabili, e controllabili da remoto attraverso opportuni lettori collegati ad una infrastruttura di rete.
Numerosi i casi d’uso:
- Automotive: device wireless e tecnologie “black box” che trasmettono dati in tempo reale ad una organizzazione. Sono installate all’origine o in epoca successive, al fine di raccogliere e trasmettere informazioni sull’uso, monitoraggio, manutenzione, disfunzioni tecniche dell’auto, furti, incidenti o servizi di altra natura.
- Home central control – domotica: per il controllo completo della casa.
- Health care e care taking: Sensori in grado di rilevare i principali parametri biomedici consentiranno il monitoraggio da remoto della salute dei pazienti.
- In ambito c.d. «smart city» tale tecnologia sta fornendo numerose opportunità. Lampioni intelligenti dotati di sensori per il risparmio di energia, rilevatori di pedoni, ciclisti e veicoli in modo che le luci si adeguano alla presenza (o assenza) degli stessi. Le città possono analizzare questi dati per modelli di traffic management, parcheggio e di sicurezza pubblica.
- Altre applicazioni sono nel settore dei trasporti pubblici su gomma, nel settore della tracciabilità e ed eco-sostenibilità dei rifiuti, etc.
- Digital agricolture
- Industria 4.0
Numerose quindi le opportunità investigative in relazione a tale esponenziale digitalizzazione, anche se non dobbiamo sottovalutare come la complessità dei sistemi e la minore standardizzazione degli stessi possa comportare difficoltà di analisi e problematiche relative all’integrità ed affidabilità dei dati. Dall’altro canto, IoT rilancia il tema dell’alibi digitale: attraverso l’analisi di dispositivi come cellulari, GPS, scatole nere dell’auto, telepass, tablet, telecamere, oltre ovviamente PC, è possibile individuare la presenza o meno di un alibi. L’accertamento dell’uso di un computer in un luogo diverso da quello in cui è stato commesso il reato nello stesso momento in cui esso è stato consumato, come la presenza del soggetto rilevata da telecamere in un dato luogo, diverso da quello di commissione del reato, o ancora l’aver agganciato una cella telefonica distante dal locus commissi delicti sono tutti casi da “alibi digitale” che può essere soggetto a falsificazione, con tracce informatiche tese alla creazione di un falso alibi.
Schematizzando, IoT potrà essere al centro delle digital investigation & forensics di nuova generazione nelle seguenti modalità:
- Live investigation per crimini “analogici” (attivazione di telecamere IP, tracciamento del GPS per pedinamenti virtuali, etc)
- Analisi forense “post mortem” per indagini su crimini “analogici” o per digital alibi
- Analisi per cyber attack & cyber crimes (il device può essere “attaccante” o “attaccato”)
Al fine di accedere ai sistemi in rete, potranno essere sfruttate diverse tecniche:
- Attacco cyber (con modalità tecniche sfruttando vulnerabilità o ingegneria sociale)
- Uso di backdoor
- Ausilio dei vendor o degli installatori
- Accesso fisico
- Intercettazione legale (anche ma non solo mediante captatori informatici oltre che con il supporto delle società di telecomunicazioni)
In ogni caso, come spesso avviene nel settore, un approccio di security più “spinto” (o security by design) comporterà una maggiore difficoltà investigativa o di forensics. Maggiore sarà la sicurezza – infatti – e più difficile sarà poter estrarre dati, informazioni e comunicazioni dai sistemi che maneggiamo quotidianamente.