Analisi forense Informatica Legale investigazioni digitali

Investigazioni Forensi digitali, ecco le nuove frontiere tecnologiche

Dallโ€™intelligenza artificiale alla robotica, dal fenomeno del bitcoin alle crittovalute o allโ€™Internet of things: sono tutti settori emergenti, in cui le esperienze maturate in precedenza in ambito investigativo o di informatica forense possono risultare sia obsolete sia assolutamente inadeguate. Vediamo dove lavorare.

la tecnologia sempre piรน pervasiva ha generato un vero e proprio eco-sistema tecnologico con un suo spazio particolare โ€“ il cyberspace โ€“ secondo alcuni โ€œparalleloโ€ ma immanente alla vita fisica ordinaria, dei singoli e delle collettivitร  statuali. Ed รจ in questo contesto che si parla in particolare di โ€œminaccia cyberโ€, cioรจ lโ€™insieme di condotte che possono essere realizzate nel e tramite il cyberspace, ovvero in danno di questโ€™ultimo e dei suoi elementi costitutivi. Le minacce informatiche presentano caratteristiche peculiari, cioรจ una compressione spazio-temporale, un breve intervallo di tempo che intercorre tra il lancio di un attacco informatico e le sue conseguenze; la magmaticitร  della provenienza dellโ€™attacco, anonimo e difficilmente localizzabile; lโ€™asimmetricitร  cioรจ la non equivalenza dei soggetti coinvolti; lโ€™assenza di confini fisici e limiti geografici; la mutevolezza delle tecniche e dei procedimenti di attacco.

Intermezzo promozionale ... continua la lettura dopo il box:

Gli attori coinvolti sono molteplici โ€“ย  istituzioni pubbliche, IC, imprese multinazionali, imprese di piccole e medie dimensioni โ€“ edย eterogenei sono gli interessi perseguiti: sicurezza nazionale, sicurezza delle aziende, investigazione.

Lโ€™esistenza di un eco-sistema tecnologico sempre piรน sofisticato (spesso oltre le โ€œnormaliโ€ azioni su PC, telefonini cellulariย et similia)ย impone un continuo aggiornamento da parte di tecnici ed investigatori, al fine di comprendere meglio queste nuove opportunitร , complessitร  e metodologie di analisi rispetto alle โ€œtradizionaliโ€ (per gli addetti ai lavori) tecniche e procedure diย digital investigationย eย forensics.

I procedimenti diย digital investigationย sono funzionali alla ricerca di risposte a domande sugli โ€œeventi digitaliโ€. Leย best practicesย impongono, di contro, un approccio giudiziariamente qualificato, con procedure e tecniche che possano consentire di inserire i risultati in un fascicolo destinato ad un esito processuale. Eโ€™ il caso di reati commessi a mezzo strumenti informatici o il caso in cui i complessi sistemi informatici sono oggetto di attacco.

La complessitร  dellโ€™eco-sistema tecnologico obbliga i protagonisti delle Digital Investigation, quindi, ad un approccio multidisciplinare che tenga conto delle diverse competenze coinvolte. รˆ importante tuttavia comprendere che lโ€™eco-sistema tecnologico non si limita a mutuare approcci dal mondo fisico, ma crea esso stesso le proprie criticitร , gli ambienti dove a seconda dei casi maturano attivitร  penalmente rilevanti oppure al contrario costituiscono il bersaglio di attacchi.

Si pensi in particolare allโ€™intelligenza artificiale ed alla robotica, al fenomeno del bitcoin e delle crittovalute o allโ€™Internet of things: sono tutti settori emergenti, in cui le esperienze maturate in precedenza in ambito investigativo o di informatica forense possono risultare sia obsolete sia assolutamente inadeguate.

 

Intelligenza artificiale e forensics
Le tecnologie di Intelligenza Artificialeย verranno sempre piรน spesso utilizzate anche in ambito forense come strumento di analisi e la stessa IA potrร  essere oggetto di esame forense. Si tratta di accertare in che modo il sistema abbia preso le sue decisioni, di appurare se vi sia stato qualche โ€œmalfunzionamentoโ€ e di comunicare il risultato dellโ€™indagine in un modo comprensibile alle parti e al giudice. Eโ€™ una analisi di tipo nuovo rispetto a quanto finora noto: non necessariamente vi รจ un dispositivo fisico da analizzare, ben potendo il sistema informatico consistere in una piattaforma accessibile in modalitร  cloud; oggetto dellโ€™analisi non sono i dati, i processi, le risorse ma il modo in cui essi sono stati elaborati; puรฒ essere rilevante ma difficilmente risolutiva lโ€™analisi del flusso delle comunicazioni elettroniche in entrata o in uscita dal sistema e quindi siamo fuori dal contesto della network forensics.

Lโ€™unico modo per ricavare informazioni da una IA รจ quella di interagire con essa in modo da tentare di riprodurre โ€“ a posteriori โ€“ il modello che sta alla base delle sue azioni. Si possono individuare diversi percorsi di ricerca ed approfondimento: possibilitร  di definire standard operativi o valutativi โ€“ o anche solo best practices โ€“ per lโ€™analisi forense di IA; progettare IA che abbiano la funzione di analizzare altre IA per tradurre i contenuti in formato comprensibile allโ€™essere umano ed utilizzabile in sede giudiziaria. Per siffatte peculiaritร ย lโ€™โ€œArtificial Intelligence Forensicsโ€ potrebbe svilupparsi come disciplina autonoma nelle scienze forensi.

 

Robotica
Le riflessioni che precedono devono essere integrate con quanto emerge dalla recente approvazione della Risoluzione del Parlamento europeo del 16 febbraio 2017 recante raccomandazioni alla Commissione concernenti norme di diritto civile sullaย robotica. รˆ attuale il problema connesso allโ€™individuazione di norme che disciplinino lโ€™attivitร  ed in particolar modo la responsabilitร  dei robot nel nostro ordinamento. Robot, bot, androidi e altre manifestazioni dellโ€™intelligenza artificiale (AI) sono protagonisti dellโ€™eco-sistema tecnologico e rendono imprescindibile che la legislazione nazionale ne consideri tutte le implicazioni.

 

Bitcoin
Lโ€™eco-sistema tecnologico ha ancheย le sue โ€œmoneteโ€, le crittovalute tra le quali spicca per notorietร  (e valore) ilย Bitcoin, un sistema alternativo a quello ufficiale, anche per la riservatezza che offre agli utenti. Proprio questโ€™ultima qualitร  ne ha decretato lโ€™adozione quale standardย de factoย per le transazioni finanziarie allโ€™interno del dark web.

Per comprendere il bitcoin e i processi di formazione non basta la tradizionale cultura della creazione della moneta cosรฌ come la conosciamo ed usiamo quotidianamente. Nel merito, il bitcoin (come le altre crittovalute, ovviamente) puรฒ assumere diversi โ€œruoliโ€ allโ€™interno dei processi investigativi e criminosi, in particolareย puรฒ essere strumento di pagamento di ricatti, estorsioniย et similiaย (digitali โ€“ es. ransomware โ€“ e non).

Analogamente, sul piano investigativo, si registrano i primi casi diย sequestro di bitcoin. Attivitร  da eseguire con cura, perchรฉ essendo uno strumento facilmente volatile e virtuale si dovrร  mettere in sicurezza lโ€™oggetto del sequestro per impedire attacchi esterni o movimentazioni abusive dello stesso indagato. Senza contare gli aspetti afferenti alla territorialitร , alla collaborazione dei gestori in Italia ed allโ€™estero ed al tema piรน complesso da contrastare:ย lo pseudo anonimato delle transazioni bitcoin.

Le piรน recenti ricerche sul tema dellโ€™anonimato delle transazioni Bitcoin sono costantemente orientate allโ€™analisi delle transazioni presenti sulla blockchain tramite approcci che sfruttano la possibilitร  di costruire agevolmente il grafo delle transazioni e, tramite appositi algoritmi di clustering, il grafo degli utenti o una sorta di georeferenziazione degli stessi (anche in base ad approcci tecnici diย machine learning).

 

Internet delle cose
La pervasivitร  delle tecnologie rilancia anche il tema dellaย digital investigation, oltre che della security o della privacy.ย Internet delle Cose,ย ad esempio (o Internet degli Oggetti o Internet of Things) รจ un neologismo (nato nel 1999) riferito allโ€™estensione di internet al mondo degli oggetti e dei luoghi concreti, cioรจ far sรฌ che il mondo elettronico tracci una mappa di quello reale, dando una identitร  elettronica, un identificativo unico alle cose e ai luoghi dellโ€™ambiente fisico. รˆ una infrastruttura di rete dinamica e globale dove โ€œoggettiโ€ fisici e virtuali dotati di una propria identitร , di attributi fisici e di interfacce intelligenti (tag/sensori) risultano integrati alla rete Internet e possono essere individuati attraverso lโ€™assegnazione di un numero di identificazione, di un nome o un indirizzo di localizzazione. Gli oggetti e i luoghi muniti di tag comunicano informazioni in rete (lan o internet) o a dispositivi mobili come i telefoni cellulari: gli oggetti o i luoghi taggati sono quindi riconoscibili, localizzabili, e controllabili da remoto attraverso opportuni lettori collegati ad una infrastruttura di rete.

 

Numerosi i casi dโ€™uso:

Automotive:ย device wireless e tecnologieย โ€œblack boxโ€ che trasmettono dati in tempo reale ad una organizzazione. Sono installate allโ€™origine o in epoca successive, al fine di raccogliere e trasmettere informazioni sullโ€™uso, monitoraggio, manutenzione, disfunzioni tecniche dellโ€™auto, furti, incidenti o servizi di altra natura.
Home central control โ€“ domotica:ย per il controllo completo della casa.
Health care e care taking:ย Sensori in grado di rilevare i principali parametri biomedici consentiranno il monitoraggio da remoto della salute dei pazienti.
In ambito c.d.ย ยซsmart cityยปย tale tecnologia sta fornendo numerose opportunitร . Lampioni intelligenti dotati di sensori per il risparmio di energia, rilevatori di pedoni, ciclisti e veicoli in modo che le luci si adeguano alla presenza (o assenza) degli stessi. Le cittร  possono analizzare questi dati per modelli diย traffic management, parcheggio e di sicurezza pubblica.
Altre applicazioni sono nel settoreย dei trasporti pubblici su gomma, nel settore della tracciabilitร  e ed eco-sostenibilitร  dei rifiuti, etc.
Digital agricolture
Industria 4.0
Numerose quindi leย opportunitร  investigativeย in relazione a tale esponenziale digitalizzazione, anche se non dobbiamo sottovalutare come la complessitร  dei sistemi e la minore standardizzazione degli stessi possa comportare difficoltร  di analisi e problematiche relative allโ€™integritร  ed affidabilitร  dei dati. Dallโ€™altro canto, IoT rilancia il tema dellโ€™alibi digitale: attraverso lโ€™analisi di dispositivi come cellulari, GPS, scatole nere dellโ€™auto, telepass, tablet, telecamere, oltre ovviamente PC, รจ possibile individuare la presenza o meno di un alibi. Lโ€™accertamento dellโ€™uso di un computer in un luogo diverso da quello in cui รจ stato commesso il reato nello stesso momento in cui esso รจ stato consumato, come la presenza del soggetto rilevata da telecamere in un dato luogo, diverso da quello di commissione del reato, o ancora lโ€™aver agganciato una cella telefonica distante dalย locus commissi delictiย sono tutti casi da โ€œalibi digitaleโ€ che puรฒ essere soggetto a falsificazione, con tracce informatiche tese alla creazione di un falso alibi.

Schematizzando, IoT potrร  essere al centro delle digital investigation & forensics di nuova generazione nelle seguenti modalitร :

Live investigationย per crimini โ€œanalogiciโ€ (attivazione di telecamere IP, tracciamento del GPS per pedinamenti virtuali, etc)
Analisi forenseย โ€œpost mortemโ€ย per indagini su crimini โ€œanalogiciโ€ o perย digital alibi
Analisi perย cyber attack & cyber crimesย (il device puรฒ essere โ€œattaccanteโ€ o โ€œattaccatoโ€)
Al fine di accedere ai sistemi in rete, potranno essere sfruttate diverse tecniche:

Attacco cyber (con modalitร  tecniche sfruttando vulnerabilitร  o ingegneria sociale)
Uso di backdoor
Ausilio dei vendor o degli installatori
Accesso fisico
Intercettazione legale (anche ma non solo mediante captatori informatici oltre che con il supporto delle societร  di telecomunicazioni)
In ogni caso, come spesso avviene nel settore,ย un approccio di security piรน โ€œspintoโ€ (o security by design) comporterร  una maggiore difficoltร  investigativa o di forensics. Maggiore sarร  la sicurezza โ€“ infatti โ€“ e piรน difficile sarร  poter estrarre dati, informazioni e comunicazioni dai sistemi che maneggiamo quotidianamente.

Investigazioni (forensics) digitali, ecco le nuove frontiere tecnologiche