Ciberspazio e Diritto - CNR - Istituto di Informatica e ...449 Ciberspazio e diritto 2013, Vol. 14,...

Ciberspazio e Diritto

Rivista Internazionale di Informatica Giuridica

Informatica GiuridicaDiritti di Libertà e Dissidenza Digitale

Investigazioni Digitali

Rivista quadrimestrale

Vol. 14, n. 49 (3-2013)

Mucchi Editore

Direzione e Redazione: Prof. Avv. Giovanni Ziccardi c/oAmm.ne: Stem Mucchi Editore - Via Emilia est, 1527 41122 Modena

issn 1591-9544

grafica Mucchi Editore (MO), stampa Editografica (BO)

© Stem Mucchi Editorevia Emilia est, 1741 - 41122 [email protected]/mucchieditoretwitter.com/mucchieditorepinterest.com/mucchieditore

La legge 22 aprile 1941 sulla protezione del diritto d’Autore, modificata dalla legge 18 agosto 2000, tutela la proprietà intellettuale e i diritti connessi al suo esercizio. Senza autorizzazione sono vietate la riproduzione e l’archiviazione, anche parziali, e per uso didattico, con qualsiasi mezzo, del contenuto di quest’opera nella forma editoriale con la quale essa è pubblicata. Fotocopie per uso personale del lettore possono essere effettuate nel limite del 15% di ciascon volume o fascicolo di periodico dietro pagamento alla SIAE del compenso previsto dall’art. 68, commi 4 e 5, della legge 22 aprile 1941 n. 633. Le riproduzioni per uso differente da quello personale potranno avvenire solo a seguito di spe-cifica autorizzazione rilasciata dall’editore o dagli aventi diritto.

vol. 14 n. 49 (3-2013)

Finito di stampare nel dicembre del 2013

Ciberspazio e Diritto

DirettoreProf. Avv. Giovanni Ziccardi, Facoltà di Giurisprudenza, Univ. degli Studi di Milano

Comitato ScientificoNerina Boschiero, Prof. Ordinario di Diritto Internazionale, Università degli Studi di Milano; Pasquale Costanzo, Prof. Ordinario di Diritto Costituzionale, Università degli Studi di Genova; Paolo Di Lucia, Prof. Ordinario di Filosofia del diritto, Università degli Studi di Milano; Mario G. Losano, Prof. emerito di Filosofia del diritto e di Introduzione all’informatica giuridica presso la Facoltà di Giurisp. dell’Università del Piemonte Orien-tale “Amedeo Avogadro” (Alessandria); Claudio Luzzati Prof. Ordinario di Filosofia del Diritto, Università degli Studi di Milano; Giovanni Pascuzzi Prof. Ordinario di Diritto Privato Comparato, Università degli Studi di Trento; Lorenzo Picotti Prof. Ordinario di Diritto Penale, Università degli Studi di Verona; Giovanni Sartor Prof. Ordinario di Filo-sofia del Diritto, Università degli Studi di Bologna, European University Institute

Comitato EditorialeFabio Bravo Ric. in Sociologia Giuridica, della Devianza e Mutamento Sociale, Universi-tà degli Studi di Bologna; Raffaella Brighi Ric. in Informatica Giuridica, Università degli Studi di Bologna; Roberto Caso Prof. Associato di Diritto Privato Comparato, Universi-tà degli Studi di Trento; Corrado del Bò Ric. in Filosofia del Diritto, Università degli Stu-di di Milano; Roberto Flor Ric. in Diritto Penale, Università degli Studi di Verona; Luca Lupária Prof. Associato di Diritto Processuale Penale, Università degli Studi di Milano; Letizia Mancini Prof. Associato di Sociologia del Diritto, Università degli Studi di Milano; Monica Palmirani Prof. Associato di Informatica Giuridica, Università degli Studi di Bolo-gna; Giovanni Pellerino Ric. in Filosofia del Diritto, Università degli Studi di Lecce; Pier-luigi Perri Ric. in Informatica Giuridica, Università degli Studi di Milano; Francesca Pog-gi, Prof. Associato in Filosofia del Diritto, Università degli Studi di Milano; Oreste Pollici-no, Prof. Associato in Diritto Pubblico Comparato, Università Bocconi di Milano; Andrea Rossetti, Prof. Associato di Informatica Giuridica, Università degli Studi di Milano Bicoc-ca; Margherita Salvadori, Prof. Associato di Diritto Internazionale, Università degli Studi di Torino; Stefania Stefanelli, Ric. in Diritto Privato, Università degli Studi di Perugia; Vito Velluzzi, Prof. Associato di Filosofia del Diritto, Università degli Studi di Milano; Ste-fano Zanero, Ric. in Sicurezza Informatica, Politecnico di Milano

RedattoriAvv. Marcello Bergonzi Perrone; Dott.ssa Elena Chiolo; Avv. Barbara Coccagna; Avv. Ele-onora Colombo; Dott. Federico Di Martino; Dott. Ignazio Felcher; Dott. Maurizio Marti-nelli; Dott.ssa Giulia Mentasti; Dott.ssa Francesca Ravizza; Avv. Silvia Scalzaretto.

Informazioni per gli abbonati

L’abbonamento decorre dal 1 gennaio di ogni anno e dà diritto a tutti i numeri dell’annata, compresi quelli già pubblicati. Il pagamento deve essere effettua-to direttamente all’editore sul c/c postale n. 11051414, a ricevimento fattura (valido solo per enti e società), mediante carta di credito (sottoscrivendo l’ab-bonamento on line all’indirizzo www.mucchieditore.it, oppure precisando nu-mero, scadenza e data di nascita). Al fine di assicurare la continuità nell’invio dei fascicoli, gli abbonamenti si intendono rinnovati per l’anno successivo. La disdetta dell’abbonamento va effettuata tramite raccomandata a/r alla sede della Casa editrice entro il 31 dicembre dell’annata in corso. I fascicoli non pervenu-ti all’abbonato devono essere reclamati al ricevimento del fascicolo successivo. Decorso tale termine si spediscono, se disponibili, dietro rimessa dell’importo (prezzo di copertina del fascicolo in oggetto). Le annate arretrate sono in vendita al prezzo della quota di abbonamento dell’anno in corso. Si accordano speciali agevolazioni per l’acquisto di più annate arretrate, anche non consecutive, della stessa rivista. Per l’acquisto di singoli fascicoli della rivista consultare il catalogo on line all’indirizzo www.mucchieditore.it. Il cliente ha la facoltà di recedere da eventuali ordini unicamente mediante l’invio di una lettera raccomandata a/r alla sede della Casa editrice, fax o e-mail (seguiti da una raccomandata a/r) entro le successive 48 ore atte a consentire l’identificazione del cliente e dell’ordine re-vocato (merce, data, luogo, etc.). La revoca dell’ordine deve essere spedita entro e non oltre il 10° giorno successivo alla data di sottoscrizione.

Autorizzazione del Tribunale di Modena, n. 1507 del 10/12/1999

Direttore responsabile: Giovanni Ziccardi.

Abbonamento annuoItalia € 70,00; Versione digitale € 58,00Annual SubscriptionEu Community € 82,00; Rest of Europe € 83,00; Rest of World € 84,00;Digital Version € 58,00A fascicoloItalia € 24,00 (iva inclusa, spedizione esclusa)

Per maggiori informazioni si rimanda alla Sezione Periodici di www.mucchieditore.it

Ciberspazio e Diritto n. 49 (3-2013), in questo numero:

Informatica Giuridica e Società dell’informazione

345 Strumenti informatici di servizio ai cittadini stranieri: la banca dati normativa PAeSI Mariasole Rinaldi

Diritto d’Autore

363 Lo sfruttamento del diritto d’autore tramite Internet Luigi Cuomo

Privacy e Sicurezza Informatica

403 Identità digitale: tra esigenze di condivisione e necessità di tutela Angelo Osvaldo Rovegno

Criminalità Informatica

427 Il cyberterrorismo: un’introduzione Raffaella Pino

Computer Forensics e Investigazioni Digitali

449 Attività di analisi forense su sistemi di cloud computing Arianna Del Soldato

477 La ricerca delle fonti di prova sulle reti di cloud computing: le nuove frontiere delle investigazioni digitali tra profili giuridici e questioni operative Donato La Muscatella

515 Attività di analisi forense su sistemi di file sharing Maurizio Martinelli

449

Ciberspazio e diritto 2013, Vol. 14, n. 49 (3-2013), pp. 449-475

Attività di analisi forense su sistemi di cloud computing

Arianna Del Soldato 1

Sommario: 1. Introduzione – 2. Il cloud computing – 3. L’analisi forense digita-le – 4. L’analisi forense nel cloud – 5. L’analisi forense e le normative sulla nuvola – 6. Conclusioni

1. Introduzione

Il cloud computing è una innovazione tecnologica molto importan-te, che ha reso molto più efficiente la possibilità di accedere a dati, docu-menti e programmi a basso costo, da qualsiasi parte del mondo, anche grazie alla diffusione sempre più capillare dei dispositivi mobili e dei per-sonal computer.

Questa nuova tecnologia ha, altresì, permesso di ridurre i costi di gestione, di migliorare la produttività personale e lavorativa e, forse, anche la qualità della vita degli utenti.

Il cloud computing introduce un nuovo modo di implementare architetture di tipo complesso e di realizzarle a basso costo, dunque acces-sibili facilmente da parte di aziende ma anche da privati.

La sua evoluzione è stata possibile grazie ai progressi avvenuti nel campo delle tecnologie di virtualizzazione delle macchine, alla disponi-bilità di connessioni a Internet a banda larga e di protocolli per l’inter-connessione di sistemi eterogenei come i Web services. Ha, poi, sfruttato ampiamente un nuovo modo di utilizzare i servizi attraverso nuovi dispo-sitivi mobili di ogni tipo. Tutto ciò ha contribuito alla sua rapida diffu-sione.

1 Tecnologo presso l’Istituto di Informatica e Telematica del CNR di Pisa, Italia. Membro della Struttura di Servizio “Servizi Internet e Sviluppo Tecnologico” dello IIT-CNR e del Registro .it, si occupa della progettazione e sviluppo di applicazioni telema-tiche innovative e servizi per lo IIT, per il Registro .it e, più in generale, per il CNR e la Pubblica Amministrazione. Tiene corsi di formazione per specialisti e non del settore ed è autore di varie pubblicazioni.

450

Arianna Del Soldato

Le caratteristiche e i benefici ottenuti utilizzando sistemi cloud han-no contribuito ad accumulare un numero sempre maggiore di dati digi-tali che rappresentano un patrimonio prezioso e una risorsa strategica per privati e aziende.

Insieme ai riconosciuti benefici sia in campo economico che socia-le, è tuttavia opportuno rilevare come il cloud computing abbia eviden-ziato problemi concernenti la riservatezza e la sicurezza dei dati, nonch� la permeabilità agli attacchi informatici. La creazione di grandi aggrega-zioni di dati ha generato obiettivi ben visibili e appetibili da parte di cri-minali informatici. Per questo motivo, il mondo investigativo dell’analisi forense digitale sui sistemi di cloud computing sta cercando di adeguare le procedure investigative standard a questo nuovo paradigma rendendo-lo, di conseguenza, affascinante anche dal punto di vista giuridico.

2. Il cloud computing

Cos’è il cloud computing? Il cloud computing è un termine che identifica un nuovo modo di fruizione di servizi IT.

Pur in difetto di una sua definizione univoca, appare particolarmen-te interessante la definizione fornita dal National Institute of Standards and Technology (NIST) che lo definisce come un «modello per abilitare un accesso pratico, “on-demand”, via rete, a un insieme di risorse infor-matiche condivise (reti, Server, storage dei dati, applicazioni e servizi) e configurabili che possono essere rilasciate in tempo breve e con una mini-ma gestione o interazione con il provider» 2. Il concetto di cloud compu-ting è caratterizzato da cinque peculiarità:

(1) Offerta di servizi on-demand che possono essere fruiti dall’utente in maniera indiretta e automatica;

(2) Accesso alle risorse distribuite tramite rete e senza limiti dalla piat-taforma del client 3;

2 Cfr. P. Mell, T. Grance, The NIST definition of Cloud Computing, NIST U.S. Department of Commerce – Special Publication 800-145, Gaithersburg MD, 2011, p. 2.

3 Sistema hardware e software impiegato dall’utente per usufruire dei servizi di Cloud: personal computer, cellulari, tablet, Server.

451


(3) Condivisione delle risorse gestite dal cloud provider 4 come virtua-lizzazioni di risorse fisiche delocalizzate su diversi data center e/o Nazioni, per servire fruitori di servizio diversi;

(4) Elasticità dei servizi erogati tramite cloud, cioè la capacità dei siste-mi cloud di mettere a disposizione dell’utente risorse dinamicamen-te rese fruibili sotto forma di servizi a consumo in modalità pay-per-use in modo da garantire, in ogni momento, la qualità stabilita dal servizio;

(5) Capacità del cloud provider di controllare e ottimizzare sia la quali-tà dei servizi offerti (storage, larghezza di banda, ecc.), sia l’impiego effettivo delle risorse da parte del cliente.Il paradigma del cloud computing si fonda, in realtà, su due paradig-

mi già conosciuti dagli anni sessanta: quello del grid computing, cioè l’uso di infrastrutture di calcolo distribuito per l’elaborazione di quantità ingen-ti di dati mediante l’uso di grandi quantità di risorse, e quello dell’utility computing, cioè l’incapsulamento di risorse informatiche come potenza di calcolo o storage di dati all’interno di un servizio erogato a consumo.

Le risorse tecnologiche di quegli anni, però, non consentirono la diffusione e la commercializzazione di questi paradigmi. Già negli anni Ottanta, tuttavia, si iniziava ad assistere a scenari di “cloud abusivo”: l’e-levato costo dell’hardware, che impediva di disporre di computer dome-stici potenti insieme alla possibilità di accedere a macchine remote trami-te modem, infatti, spostò l’interesse dallo storage dei dati in locale all’uti-lizzo della rete per accedere a macchine più potenti e costose, nella mag-gioranza dei casi mantenute da istituzioni militari o enti di ricerca, delle quali si tentava di utilizzare le risorse 5.

Negli ultimi vent’anni, però, il fenomeno della diffusione di Inter-net, così come il calo dei costi dei supporti di memoria, hanno influito notevolmente sulla diffusione della tecnologia informatica trasforman-dola un bene alla portata di tutti. Questo fatto, se da un lato ha consen-tito all’utilizzatore informatico di riappropriarsi dei propri dati, dall’al-tro lo ha portato a produrre e accumulare un quantitativo enorme di dati

4 Ditta privata, ente accademico e/o istituzionale che offre il servizio di Cloud.5 Cfr. G. Ziccardi, “Cloud Computing tra criminalità investigazioni e (r)esistenza

elettronica”, Convegno Amadir Roma, marzo 2011.

452

Arianna Del Soldato

(documenti, fotografie digitali, immagini, posta, ecc.) e soprattutto, ad usufruire di servizi online per la gestione di questi dati come ad esem-pio spostare il proprio patrimonio fotografico su Flickr, la sua email su Gmail, Yahoo o Hotmail, o sincronizzare i propri cellulari con il sistema di Google. Questo atteggiamento congiuntamente al desiderio di esaudi-re la sua crescente necessità di spazio in cui salvare i propri dati, al minor costo possibile e, soprattutto, in modo che siano facilmente accessibili da qualsiasi luogo in cui si trovi e da qualsiasi piattaforma o dispositivo mobile a disposizione, lo ha ricondotto in qualche modo a “riabbandona-re i suoi dati nella nuvola” e a riutilizzare i grandi sistemi come faceva una volta. Nondimeno, l’utente si è trovato a utilizzare servizi di cloud com-puting spesso inconsapevolmente e ignorando la tecnologia che li ren-de possibili. A differenza dei classici sistemi client server a cui l’utente era abituato, infatti, i sistemi cloud ampliano il concetto di servizio richiesto al punto di poter rappresentare risorse di varia natura come: dati, softwa-re, hardware e comunicazioni. Questa caratteristica peculiare dei sistemi di cloud è la ragione principale della diffusione del cloud computing e l’origine dei numerosi vantaggi che offre ai clienti privati e alle aziende.

È opportuno, tuttavia, evidenziare come, insieme ai riconosciu-ti benefici sia in ambito economico che sociale, il cloud computing abbia evidenziato problemi riguardanti la riservatezza, la sicurezza dei dati (rischio di mancata protezione dei dati) e la permeabilità ad attac-chi informatici dovuti principalmente alla mancanza di controllo sui dati personali e alle mancate informazioni riguardanti come, dove e da chi, i dati sono gestiti e processati.

Per questo motivo, e al fine di parlare di digital forensics sui sistemi cloud, è utile individuare i modelli di sviluppo e i diversi modelli di ero-gazione dei servizi offerti dal cloud computing, per poter meglio com-prendere come e dove possano essere effettuate le indagini e quali possa-no essere le relative problematiche e soluzioni possibili.

Modelli di sviluppo

I modelli di sviluppo dei sistemi di cloud computing differiscono per la tipologia di gestione e per la dislocazione delle risorse computa-zionali che forniscono i servizi agli utenti, oltre che per la classificazione degli utenti stessi.

453


Cloud pubblico

Nel cloud pubblico le risorse computazionali e l’infrastruttura sono resi disponibili tramite Internet a qualsiasi utente ne voglia far uso. Le risorse sono gestite e sono di proprietà di un cloud provider il quale for-nisce i servizi di cloud agli utenti attraverso applicazioni Web.

Cloud privato

Nel cloud privato le risorse computazionali e l’infrastruttura sono a disposizione di un’unica organizzazione che lo richiede. Può essere gesti-to dall’organizzazione stessa o da una terza parte e l’infrastruttura può essere dislocata sia internamente che esternamente all’organizzazione stessa. Il modello privato può essere utilizzato da un’organizzazione che vuole mantenere il completo controllo sull’infrastruttura e sui dati.

Cloud comunitario

Il cloud comunitario è una via di mezzo tra quello pubblico e quello privato per quanto riguarda il target degli utilizzatori dei servizi. È come il cloud privato ma l’infrastruttura e le risorse computazionali, invece che essere a disposizione di una sola organizzazione, sono a disposizio-ne di due o più organizzazioni che hanno attività o interessi condivisi al suo interno e con requisiti di sicurezza e di privacy comuni. A differenza di quello privato, i costi sono ripartiti tra più entità, che avendo requisiti simili, possono usufruire dei benefici dei sevizi di cloud tagliati su misu-ra secondo le loro esigenze mantenendo un adeguato livello di privacy e sicurezza dei loro dati.

Cloud ibrido

Il cloud ibrido è il più complesso in quanto integra due o più siste-mi cloud che possono essere sia privati, che pubblici che comunitari. Ogni entità rimane singola ma ha in comune con le altre la tecnologia (standard o proprietaria) che consente la portabilità dei dati e delle appli-cazioni tra le strutture stesse.

454

Arianna Del Soldato

Modelli di servizio

I diversi modelli di cloud computing differiscono per lo scopo per il quale le risorse vengono utilizzate, per il loro livello di astrazione non-ch� per il controllo sull’infrastruttura. Tutti i modelli di servizio posso-no implementare i modelli di sviluppo descritti nella sezione precedente.

SaaS - Software as a Service

Offre una o più applicazioni, corredate dalle risorse computazio-nali necessarie per la loro esecuzione, rese disponibili dal cloud provider on-demand da remoto su un client senza necessità di installazione e di aggiornamento. Questo modello consente di ridurre i costi dell’hardwa-re, dello sviluppo e mantenimento del software nonch� di ottimizzare il tempo e l’impiego del personale. Il fruitore del servizio non gestisce n� controlla l’infrastruttura sottostante, ovvero le strutture di rete, i server, i sistemi operativi e le singole applicazioni.

PaaS - Platform as a Service

Offre una piattaforma di sviluppo preconfigurata sulla quale pos-sono essere sviluppate o installate applicazioni da remoto. Consente di ridurre i costi per l’acquisto, l’housing e la gestione dell’hardware e del software che costituiscono la piattaforma, nonch� di tutti gli strumenti di sviluppo per programmi e database. Il fruitore del servizio ha il controllo sulle applicazioni e sulle applicazioni di configurazione della piattaforma.

IaaS - Infrastructure as a Service

Offre un’intera infrastruttura informatica composta da server, sof-tware, connettività Internet, routing, firewalling, load balancing 6 e altre risorse computazionali fondamentali, sulla quale può essere installato ed eseguito qualsiasi tipo di software, inclusi sistemi operativi e applicazio-ni. Consente al fruitore di ottenere una soluzione scalabile per le proprie necessità senza dover comprare e gestire hardware, licenze, installazioni e

6 Distribuzione del carico tra i server che si scambiano le attività con alta dinami-Distribuzione del carico tra i server che si scambiano le attività con alta dinami-cità e frequenza al fine di aumentare l’efficienza del cloud.

455


migrazioni e di ottenerle virtualizzate sottoscrivendo un contratto con il provider in base alle proprie necessità. Il fruitore non gestisce n� control-la l’infrastruttura ma ha il controllo sui sistemi operativi, sullo storage dei dati e sulle applicazioni installate, oltre che un possibile controllo, anche se limitato, su alcune strutture di rete come gli host e i firewall.

Il NIST raffigura le differenze tra il campo di azione e di controllo del fruitore e del provider a seconda dei modelli di cloud descritti sopra con lo schema a pila 7 in cui gli elementi che compongono l’ambiente di cloud sono rappresentati da cinque livelli sovrapposti in cui i due livel-li più bassi rappresentano gli elementi fisici che compongono l’ambien-te di cloud, mentre i rimanenti livelli rappresentano gli elementi logici 8.

In generale, lo schema indica che, più alto è il supporto offerto dal cloud provider, più basso è il raggio di azione e di controllo che ha il fru-itore sul sistema (cloud consumer).

3. L’analisi forense digitale

Il concetto di analisi forense digitale (digital forensics) nasce come generalizzazione del concetto di computer forensics nel momento in cui l’attenzione rivolta dalla scienza forense si è spostata dal personal compu-ter al mondo del dato digitale più in generale.

Come definizione tecnica unitaria che può abbracciare entrambe i concetti possiamo prendere in considerazione quella data da Ziccardi, il quale definisce la computer forensics «quella scienza che studia il valore che un dato correlato ad un sistema informatico o telematico può avere in un ambito sociale, giuridico, o legale che dir si voglia” 9. Intendendo in que-

7 Cfr. W. Jansen, T. Grance, Guidelines on security and Privacy in Public Cloud Computing, NIST U.S. Department of Commerce – Special Publication 800-144, Gaith-ersburg MD, 2011, p. 5.

8 1. Facility: riscaldamento, impianto di condizionamento, energia elettrica, ecc; 2. Hardware: computer, reti, componenti per lo storage dei dati; 3. Virtualized infrastuc-ture: elementi software, macchine virtuali, virtual data storage, componenti vistuali di rete – tutto ciò che realizza la piattaforma; 4. Platform architetture: compilatori, librerie, uti-lity, middleware e altri strumenti software e di sviluppo necessari per l’installazione delle applicazioni; 5. Application: applicazioni software installate come il client software.

9 Cfr. G. Ziccardi, “Scienze forensi e tecnologie informatiche: computer and net-work forensics”, Informatica e Diritto/Studi e Ricerche, maggio 2011, p. 22.

456

Arianna Del Soldato

sto caso come “valore”, dal punto di vista esclusivamente tecnologico, la “capacità di resistenza a eventuali contestazioni e capacità di convinci-mento del giudice e delle parti processuali o di altri soggetti in ordine alla genuinità, non ripudiabilità, imputabilità e integrità del dato stesso e dei fatti dallo stesso dimostrati» 10.

Nel mondo investigativo l’analisi forense digitale ha assunto, negli ultimi anni, un ruolo sempre più importante. La ricerca delle prove digi-tali, infatti, è diventata imprescindibile dalla quasi totalità dei casi legali in cui reperire prove e informazioni rilevanti sull’indagato non vuol dire più solo cercare le prove di natura fisica come impronte, residui organi-ci o polvere da sparo negli spazi fisici (casa, ufficio, ecc.) dove l’indagato svolge la sua vita quotidiana, ma piuttosto cercare negli spazi logici forni-ti dagli strumenti tecnologi (personal computer, server, software, memo-rie di massa e dispositivi mobili) gli elementi della sua vita digitale costi-tuita da tutte le sue informazioni digitali che la rappresentano come le fotografie, la corrispondenza email, l’archivio dei documenti personali e lavorativi, ecc…

La digital forensics si è evoluta dagli anni ottanta grazie alla conti-nua corsa delle forze dell’ordine ad avere armi necessarie per contrastare i crimini informatici. Questo fino al ventunesimo secolo, quando si è reso necessario introdurre degli standard e formare un gruppo di lavoro sulla digital evidence (SWGDE), che nel 2002 ha prodotto un documento inti-tolato Procedure ottimali per la computer forensics, seguito a poi nel 2005 dalla pubblicazione della normativa ISO 17025 Requisiti generali per la competenza dei laboratori di prova e di taratura e successivamente dal-la ISO/IEC 27037 Information Technology – Security Technique – Gui-delines for identification, collection, acquisition and preservation od digital evidence. Un altro punto fondamentale è stato raggiunto con la formu-lazione della Legge 48 del 2008 del codice penale, che ha introdotto nel nostro sistema giuridico una nozione unitaria di “documento informati-co” come rappresentazione informatica di atti, fatti o dati giuridicamen-te rilevanti. La Legge 48, introducendo in qualche modo il concetto di scena del crimine virtuale e quindi anche di ispezione e perquisizione in ambito virtuale, ha spostato l’analisi forense della scena del crimine, dai luoghi fisici agli strumenti tecnologici utilizzati dall’indiziato.

10 Ivi, p. 24.

457


Le sezioni che seguono fanno una panoramica sui vari aspetti che caratterizzano la digital forensics in relazione agli approcci tecnici e alle metodologie di analisi.

Classificazione della digital forensics

Le classificazioni della digital forensics dipendono dall’approccio tecnico relativo all’analisi dei sistemi informatici utilizzati nella ricer-ca dell’evidenza digitale. Tra le classificazioni più note troviamo quella descritta di seguito, che deriva dallo stato di funzionamento dei sistemi oggetto di analisi: - Analisi post-mortem: analisi eseguita a dispositivo spento; - Live forensics: comprende tecniche di analisi su sistemi attivi per

tutti quei dati che si perderebbero spegnendo il dispositivo (RAM, chiavi di cifratura contenute nella memoria temporanea).La seguente classificazione dipende invece dal campo di applicazio-

ne tra cui: - Disk forensics: estrazione di informazioni dalle memorie di massa; - Memory forensics: estrazione di informazioni contenute nella RAM

di un computer; - Network forensics: analisi dei sistemi di rete.

Fasi operative dell’indagine forense digitale

Il processo dell’indagine forense si può considerare composto da quattro fasi operative: identificazione e raccolta, estrazione, analisi, docu-mentazione, che andiamo ad analizzare in questa sezione.

Identificazione e raccolta delle fonti di prova

La fase di identificazione avviene in corrispondenza dell’analisi del-la scena del crimine. In questa fase sono individuate le strutture di cal-colo che possono essere rilevanti per l’investigazione, ovvero dove cerca-re quei dati che possono essere utilizzati come fonte di prova, indizio o testimonianza. L’acquisizione dei dati deve essere effettuata senza alte-rare il sistema informatico oggetto di analisi su cui si trovano le fonti di prova.

458

Arianna Del Soldato

In questa fase l’analista forense provvede a creare una copia auten-ticata dei dati non volatili garantendo che le prove acquisite siano identi-che all’originale 11. Inoltre, deve garantire una catena di custodia al fine di assicurarsi la conservazione dei dati che possono costituire una prova fino al momento in cui saranno portati in un ambiente dove saranno presen-tati, valutati ed eventualmente contestati.

Estrazione

Questa fase prevede l’estrazione del contenuto informativo di inte-resse utilizzando metodologie atte a preservare l’integrità della sorgente. L’estrazione è effettuata dalla copia forense in modo da lasciare inalterata l’evidenza digitale presente sulla sorgente.

In questa fase, l’analista forense deve assicurarsi che le azioni effet-tuate sul dato siano accettabili (o resistenti) cioè che abbiano la possibi-lità di provare scientificamente, in ogni momento, che il dato sia inte-gro, non ripudiabile, correlabile direttamente a un determinato sogget-to e che abbia valori di luogo e di tempo ben identificabili (costruzione della timeline).

Analisi

In questa fase vengono analizzate le prove e vengono collegati i dati ai fatti naturali che costituiscono la base dell’oggetto della discussione. Viene cioè data voce alle prove 12.

Documentazione

Questa fase prevede la stesura di una reportistica che illustra la metodologia di acquisizione che, comunque, deve essere eseguita seguen-

11 Calcolando un digest della prova ed eventualmente confrontandolo con il digest della sorgente probatoria – per maggiore sicurezza si possono calcolare i digest con due algoritmi diversi.

12 Cfr. C. Maioli, “Dare voce alle prove: elementi di Informatica Forense in Internet”, Università di Bologna, http://www.dm.unibo.it/~maioli/docs/fti_informati-ca_3009.doc, (29/02/2013).

459


do la best practice 13. In questa fase l’analista evidenzia, inoltre, le proble-matiche tecniche eventualmente verificatesi e delinea l’analisi dei fatti e il valore tecnico dei contenuti.

Nell’indagine forense l’analista rappresenta, pertanto, il garante del-la veridicità, affidabilità e consistenza delle prove e di conseguenza diven-ta importante che egli sia sempre aggiornato sulle tecnologie utilizzate.

La sezione successiva prenderà in esame gli aspetti della digital foren-sics nel contesto del cloud computing.

4. L’analisi forense nel cloud

La modernità del concetto di cloud e la complessità delle sue strut-ture hanno fatto in modo che, al momento, non sia stata ancora deline-ata una best practice per l’analisi forense su di esso. L’analisi forense e le procedure investigative sul cloud fanno, quindi, attualmente riferimen-to all’approccio standard della digital forensics con le dovute integrazioni determinate dalla virtualizzazione delle risorse.

In questa sezione analizzeremo come è possibile applicare i concetti della digital forensics su sistemi e servizi di cloud computing ed esamine-remo le problematiche che si possono incontrare nelle varie fasi di analisi e nei diversi modelli di cloud.

Appare evidente come nell’investigazione in ambiente cloud assu-mano un’importanza rilevante sia l’aspetto legislativo e le policy del cloud provider che, soprattutto, la ripartizione di ogni risorsa fisica in più risor-se virtuali. Il provider, infatti, può avere delocalizzato le risorse virtuali su più piattaforme fisiche geograficamente separate e talvolta fisicamen-te distanti migliaia di chilometri le une dalle altre. È necessario, pertan-to, capire se ci sono dei rapporti di collaborazione tra i Paesi interessati in ambito di criminalità cibernetica (soprattutto per evitare ritardi burocra-tici eccessivi in relazione alla conservazione dei dati sui server) e analizza-re il contratto di fornitura stipulato tra il fruitore e il provider per capire

13 International Organization for Standardization, ISO/IEC 27037: 2012 Information Tchnology – Security Technique – Guideline for identification, collection and preservation of digital evidence, s.l., 2012.

460

Arianna Del Soldato

quali siano le responsabilità dei contraenti sui dati gestiti nel cloud e le caratteristiche tecniche dell’infrastruttura.

Il cloud computing nelle fasi della digital forensics

Andiamo adesso ad analizzare le varie fasi della digital forensics in ambiente cloud dall’identificazione e raccolta delle fonti di prova alla produzione della documentazione.

Identificazione e raccolta

In questa fase è necessario individuare il fornitore di cloud e capi-re dove hanno sede le strutture tecnologiche contenenti le possibili fon-ti di prova.

La fase di identificazione dei sistemi di interesse risulta difficoltosa per il fatto che i dati potrebbero essere suddivisi su diverse risorse virtua-lizzate, anche in relazione al particolare momento di interesse, addirit-tura su diversi cloud provider e in Paesi diversi. Entrano in gioco i limiti giurisdizionali, gli accordi internazionali e le differenze di normativa sul-la data retention.

Anche il repertamento fisico che nell’analisi tradizionale avvie-ne solo inviando esperti in loco diventa difficoltoso e di conseguenza la gestione della catena di custodia diventa una fase delicata per scongiura-re la perdita di dati, anche perch� le macchine virtuali sono semplici file su hard disk e, come tali, possono essere cancellati, salvati e modificati.

Estrazione

La caratteristica intrinseca del cloud ovvero la condivisione delle risorse, rende difficile la fase di estrazione dei dati che potrebbero appar-tenere a fruitori (persone fisiche o aziende) che non sono convolti nell’in-vestigazione ma che stanno condividendo delle risorse che invece sono soggette ad indagine forense.

In questa fase è predominante la live forensics sui client, dato che la maggioranza dei servizi di cloud sono fruibili dal consumatore utilizzan-do particolari browser o applicazioni da “montare” su un normale Inter-net browser. A seconda dei modelli di cloud può essere effettuata anche la disk forensics sulle macchine virtuali.

461


Analisi

Considerata l’eterogeneità delle tecnologie e la complessità delle architetture del cloud, un aspetto problematico in questa fase risulta la costruzione della timeline e in particolare stabilire con certezza gli orari in cui si sono verificati eventi digitali determinanti ai fini processuali. Non possiamo, infatti, essere sicuri che il provider di una struttura di cloud complessa possa garantire la sincronizzazione dei clock delle apparecchia-ture (server, apparati di rete, firewall ecc.) toccate dal percorso logico attraversato dai dati, lasciando tracce utili ai fini investigativi e forensi.

Inoltre, dal momento che i dati possono essere duplicati da un ser-ver ad un altro nel tempo, risulta impossibile ottenere una fotografia del sistema in un determinato momento.

Documentazione

Nella fase di documentazione nasce il problema relativo al report fotografico visto che le best practice impongono che sulla scena ci siano solo persone autorizzate. Sarà difficile, infatti, redigere una documenta-zione nella quale poter annotare tutti i soggetti che sono entrati in con-tatto con le fonti di prova e tutti quegli eventi che hanno potuto incide-re sulle informazioni contenute nella fonte dal momento dell’acquisizio-ne alla copia, analisi, ecc.

Il cloud computing nelle aree di applicazione

Le varie fasi di analisi della digital forensics riguardano principal-mente due campi di applicazione della digital forensics: la disk forensics e la network forensics approcciate con le tecniche di analisi della live foren-sics. Andiamo adesso ad analizzare queste aree.

Disk forensics

Le operazioni della disk forensics, che nella digital forensics secon-do le best practice dovrebbero essere eseguite a macchine spente, diven-tano impraticabili nei sistemi cloud poich� l’operazione di spegnimento dei Server dell’infrastruttura implicherebbe il blocco di tutti i servizi vir-tuali presenti sulla risorsa fisica, con impatti insostenibili sul business di

462

Arianna Del Soldato

determinati fruitori (basti pensare alla gestione dei dati sanitari o a movi-menti bancari).

Il recupero dei dati cancellati sui server costituisce un altro limite rispetto alla digital forensics tradizionale. Questo è dovuto al fatto che, ai dati cancellati sul cloud, possano non corrispondere dati effettivamente cancellati sui server che supportano l’accesso a tali dati. Viceversa, può succedere che un dato disponibile come servizio nel cloud non abbia un corrispondente su un server, ma che sia frutto di una elaborazione di dati distribuiti e come tale potrebbe esistere nel cloud solo per un perio-do di tempo limitato. Inoltre, la memoria occupata dal dato cancellato viene generalmente riallocata, anche parzialmente, per memorizzare altri dati che possono appartenere ad un fruitore di servizio diverso, rendendo ancora più difficoltoso il reperimento. Alcuni dati cancellati, comunque, possono ancora essere presenti nella memoria Snapshot. La sfida è recu-perare i dati cancellati, identificarne il proprietario e utilizzare questi dati per ricostruire gli eventi nel cloud.

È necessario allora restringere il campo applicativo della disk foren-sics alle macchine virtuali e supportare le indagini con la network forensics direttamente sul sistema di virtualizzazione, tenendo presente la possibi-lità che le macchine virtuali possano migrare tra un nodo e l’altro dell’in-frastruttura. Nell’analisi delle macchine virtuali c’è il vantaggio che, a dif-ferenza dei sistemi fisici nei quali lo spegnimento della macchina com-porta la perdita dei dati volatili, è possibile sospendere la macchina in modo da poter acquisire anche i dati volatili da poter poi analizzare senza dover ricorrere a tecniche invasive come il dump della memoria. Inoltre, è possibile dare evidenza forense della corretta duplicazione delle macchine producendo un hash dei volumi. In molti casi, è anche possibile duplicare e analizzare le copie direttamente sul cloud in modo da avere un ambien-te in cui operare identico all’originale.

Network forensics

In questa area di applicazione, l’analista deve replicare le attività della network forensics classica nel mondo virtualizzato. Questo si ren-de necessario poich�, dal momento che una risorsa viene virtualizzata, non viene solo ripartita su più istanze virtuali (eventualmente distribui-te su più server), ma viene anche creata una infrastruttura virtuale di rete

463


che serve per far comunicare le macchine virtuali sia tra di loro che con il mondo esterno. L’hipervisor 14 infatti, integra il sistema con un virtual switch il quale, replicando l’attività svolta dagli switch layer 2/3 reali, ha il compito di instradare il traffico di rete a ciascuna risorsa senza conflit-ti o duplicazioni di dati, tenendo conto della suddivisione delle risorse.

Per poter analizzare il traffico di rete è necessario attivare una porta di span attraverso il virtual switch, in modo da instradare il traffico inte-ressato su una particolare porta dalla quale raccogliere i dati per la succes-siva analisi tramite il comando tcpdump.

La network forensics su un sistema cloud può essere utile eseguita pre-ventivamente alla disk forensics per individuare le macchine virtuali da ana-lizzare. Essa può essere applicata anche per i dati in transito da e verso il cloud. L’attività può essere eseguita durante l’utilizzo del servizio da parte del sospettato (attraverso intercettazione di comunicazioni) oppure a segui-to del sequestro del client, ma in questo caso l’interazione deve avvenire in modo controllato per assicurarsi che non vengano alterati i dati sul cloud.

Un’altra strategia da seguire è l’analisi dei log eventualmente forniti dal cloud provider. Questa strada tuttavia è difficilmente percorribile poi-ch�, anche superando le resistenze del provider, l’analista si troverebbe a processare una mole considerevole di dati, la maggior parte delle volte strutturati in formato proprietario e dei quali sarà difficile valutare l’at-tendibilità e l’autenticità.

I modelli di cloud e la digital forensics

In questa sezione prenderemo in considerazione i possibili approcci dell’analisi forense per i diversi modelli di cloud descritti delle sezioni pre-cedenti; considereremo le possibili problematiche e le possibili soluzioni.

SaaS

In scenari di SaaS con modello di sviluppo privato, il provider e il fruitore sono sotto la stessa autorità, per cui è possibile conoscere l’esat-ta posizione dei server e dei dati, di conseguenza l’analista forense è in un contesto in cui può eseguire le sue attività di analisi.

14 Strato di software che appoggia direttamente sull’hardware e ha il compito di creare le risorse virtuali; è analogo al kernel in un sistema operativo tradizionale.

464

Arianna Del Soldato

Nel caso di modello pubblico, invece, ci troviamo in un contesto in cui non vi è alcun controllo sull’infrastruttura e i sistemi che erogano i servizi di cloud sono di difficile accesso. In questo caso, la maggiore fonte utile di informazioni è il client dal quale è fondamentale cercare di otte-nere più informazioni possibile analizzando i browser per ricavarne dati (cookies, cronologia, connessioni aperte verso sistemi cloud, password salvate nella cache del browser e file temporanei) e analizzare le tracce lasciate dalle comunicazioni di rete con il cloud. L’attività dell’analista si può concentrare anche sull’analisi degli eventuali log forniti dal provider.

Nel caso in cui l’analista non riesca ad ottenere dal provider i log, non sarà possibile dimostrare l’avvenuto accesso a una risorsa da parte di un utente in un determinato periodo di tempo, n� tantomeno vi sarà la possibilità di installare sistemi di logging lato utente. Anche nel caso di una fraudolenta sottrazione delle credenziali di accesso al sistema, non sarà possibile risalire all’autore o determinare a quali dati abbia eseguito un accesso non autorizzato. Inoltre, anche nel caso in cui non ci sia resi-stenza da parte del provider nel rilasciare i log, la difficile verifica della sicurezza dei sistemi di logging (anche se dichiarati cifrati) inserirebbe un punto di debolezza in fase di analisi.

Una possibile soluzione potrebbe essere quella di avere sul client strumenti che permettano di determinare la reperibilità del dato, cioè di sapere se un determinato server possiede un certo dato e se è ottenibile senza modifiche, oppure avere strumenti che siano in grado di provare la detenzione di un dato, cioè consentano di sapere se un server (magari non autorizzato) possiede o meno i dati originali.

PaaS

Come nel modello SaaS siamo in assenza di controllo sull’infra-struttura ma vi è il controllo da parte del fruitore sulle applicazioni e su come le applicazioni si interfacciano con l’infrastruttura del cloud.

In questo caso è possibile, analizzare gli eventuali log delle applica-zioni generati e memorizzati da un sistema di logging predisposto dal fru-itore del servizio per l’accesso e le modifiche ai dati. Per garantire l’au-tenticità dei dati raccolti al momento della loro verifica e analisi, sarebbe buona norma che i log fossero memorizzati su unità di storage esterne e cifrati durante il trasferimento verso l’esterno. In questo modo gli even-

465


ti fraudolenti possono essere identificati perch�, anche in caso di mano-missione dei log esterni, chi esegue l’attacco non ha modo di modificare il registro dei log del fruitore.

Anche in questo caso, rimane la possibilità di effettuare le analisi sul client e sulle connessioni di rete.

IaaS

A differenza del Saas e del PaaS il fruitore ha il controllo dei sistemi montati sull’infrastruttura.

In questo modello è possibile svolgere maggiormente le attività standard di analisi forense avendo accesso ai file di log ed eseguendo una copia delle macchine virtuali, per poi analizzarle come in un sistema tra-dizionale. È possibile effettuare attività di computer forensics senza spe-gnere la macchina utilizzando il metodo dello Snapshot, supportato dai sistemi più diffusi di virtualizzazione, il quale consente di “congelare” gli stati del sistema e di fare un’istantanea.

Con il metodo dello Snapshot l’analista può disporre di un clone dei dati di una determinata macchina e del contenuto della RAM pur garan-tendo la continuità del servizio del cloud. Poich� le macchine virtua-li sono, comunque, sotto il controllo del cloud provider, è necessario che questo conceda la possibilità di comprendere la volatilità dei dati e il loro grado di permanenza nel sistema.

Una nuvola per la digital forensics

Come abbiamo visto nelle sezioni precedenti, le caratteristiche intrinseche del cloud computing come la condivisione dei dati, la loro continua migrazione tra i nodi dell’infrastruttura e la loro delocalizza-zione, nonch� la notevole mole di dati eterogenei trattati rendono dif-ficile l’applicazione delle metodologie standard della digital forensics ai reperti di una indagine giuridica. Queste caratteristiche potrebbero tut-tavia essere a loro volta utilizzate a vantaggio dell’investigazione digitale conducendo gli analisti forensi a considerare la digital forensics sui sistemi cloud come una FaaS, Forensics as a Service. Anche le soluzioni dell’analisi forense potrebbero, quindi, venire dalle nuvole: disporre di una postazio-ne di lavoro di analisi virtualizzata in un cloud potrebbe rivelarsi vantag-gioso, per esempio per effettuare il recupero dei dati in transito.

466

Arianna Del Soldato

Inoltre, si potrebbero allocare nel sistema di cloud anche le risor-se necessarie all’analisi. L’elasticità dei servizi offerti dal sistema porte-rebbe ad avere strumenti di analisi altrettanto “elastici” oltretutto fruibi-li on-demand e la condivisione delle risorse potrebbe contribuire a ridur-re i costi sostenuti dagli analisti forensi. Le piccole e medie imprese che non possono economicamente permettersi competenze interne o esterne potrebbero in questo modo usufruire dei servizi di forensics a basso costo.

Nondimeno le grandi capacità di storage caratteristiche del cloud permetterebbero di replicare i dati repertati durante un’indagine dimi-nuendo il rischio di cancellazione permanente della digital evidence.

Inoltre, una IaaS che offre un servizio di clonazione di una macchi-na virtuale potrebbe essere utile per ottenere l’immagine live di una mac-china virtuale da analizzare successivamente, facendo risparmiare tempo sia nella fase di acquisizione che in quelle successive, attraverso una pos-sibile analisi parallela su cloni della stessa macchina.

Anche la possibilità di dare un versionamento ai dati potrebbe esse-re utile all’analisi forense per poter conservare ed eventualmente recupe-rare vecchie versioni di una digital evidence.

Infine, l’attività forense potrebbe beneficiare della scalabilità e della flessibilità dell’uso delle risorse del cloud computing per eseguire le analisi sui log. Il servizio potrebbe essere scalato in base alla mole di dati da analiz-zare in modo da incrementare l’efficienza nell’indicizzazione e nella ricerca.

Un impedimento alla realizzazione di un sistema simile rimane comunque il limite del cloud per quanto riguarda la riservatezza dei dati.

5. L’analisi forense e le normative nella nuvola

La crescente diffusione e l’utilizzo delle tecnologie legate al paradig-ma del cloud computing sia da parte di singoli utenti che delle imprese, lo ha reso affascinante anche dal punto di vista giuridico.

La crescita nel tempo della complessità dell’argomento cloud com-puting nell’ambito giuridico è principalmente dovuta al fatto che questa nuova tecnologia non è nata con particolare attenzione ai profili norma-tivi (specialmente quelli legati alla privacy) e che i legislatori di tutto il mondo non sono intervenuti tempestivamente per dettare norme speci-

467


fiche in materia di cloud. Il cloud computing nasce, infatti, allo scopo di garantire la condivisione delle risorse ma con scarsa attenzione alla riser-vatezza, alla sicurezza e alla penetrabilità ad attacchi informatici. Basti pensare, ad esempio, che la normativa europea sulla protezione dei dati risale al 2005. Alcune utili novità che hanno un impatto anche sul cloud sono state introdotte dal cosiddetto “Pacchetto Telecom”: in particolare dalla direttiva 136/2009, attualmente in corso di recepimento da parte degli Stati membri Ue 15. Un ulteriore importante cambiamento dovreb-be avvenire entro il 2014, con l’approvazione del nuovo Regolamen-to generale sulla protezione dei dati (Com 2012 11 def) proposto dalla Commissione europea, il quale introdurrà identiche regole in Europa e nei confronti di Paesi terzi e dovrà disciplinare i trattamenti per finalità di giustizia e polizia (attualmente esclusi dal campo di applicazione del-la direttiva 95/46/CE).

La creazione di grandi aggregazioni di dati genera obiettivi ben visi-bili e appetibili da parte di criminali informatici. L’ambiente del cloud può diventare per un criminale uno spazio appetibile dove poter ruba-re i dati, ma anche dove nascondere informazioni criminali, specialmen-te se il sistema di cloud è gestito da un provider che non pone adeguata attenzione alle misure di sicurezza tecniche e organizzative per protegge-re i dati, o ha sede in Paesi con normative sulla criminalità informatica scarsamente rigide.

La delocalizzazione dei data center, che consente al cloud provider di poter spostare le infrastrutture dove le spese sono più basse e la con-divisione delle risorse, se da una parte costituisce un vantaggio anche dal punto di vista dell’utente, allo stesso tempo è anche foriero di importanti criticità in relazione ai profili giuridici. Le diverse giurisdizioni in cui l’a-nalista si imbatte durante l’analisi forense in un sistema di cloud compu-ting costituisce un limite intrinseco. L’analista forense deve, infatti, assi-curare che le attività intraprese non violino la legge e le normative vigen-ti nei vari Paesi coinvolti dalla struttura di cloud, operando in modo tale che la traccia digitale assuma un valore probatorio, e rispettando la riser-

15 Cfr. Garante per la protezione dei dati personali, Cloud computing, pro-teggere i dati per non cadere dale nuvole, http://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/1894503, p. 13, (15/10/2013).

468

Arianna Del Soldato

vatezza di fruitori terzi che eventualmente stanno condividendo la risor-sa oggetto di indagine.

In assenza di norme specifiche riguardanti il paradigma del cloud, appare opportuno che l’analista forense affermi una prassi che tenga con-to delle norme vigenti e ponga attenzione alle garanzie sui dati tratta-ti, conservati e utilizzati nella nuvola. È, inoltre, opportuno concentrare l’attenzione sul rapporto contrattuale tra il fruitore e il provider che spes-so si contraddistingue per la scarsa trasparenza sulla collocazione delle macchine e per le scarse garanzie sul servizio fornito nonch� sulle respon-sabilità del provider (cosa che fa da contraltare alla gratuità della gran parte dei servizi forniti).

Cloud Pubblico vs Cloud Privato

Nelle sezioni precedenti di questo documento è stato sottolineato come diversi modelli di cloud in cui un analista può imbattersi portano anche ad adottare approcci diversi all’analisi forense. In un ambiente di cloud privato, poich� l’infrastruttura è utilizzata e gestita ‘internamen-te’, il contesto si può considerare assimilabile a un tradizionale network interno, per cui non si pongono i problemi legati al coinvolgimento di un soggetto esterno sul trattamento dei dati. In questo caso, infatti, il fruito-re e il cloud provider hanno la possibilità di negoziare il contratto di servi-zio che regola il loro rapporto e a questo l’analista forense può fare riferi-mento per capire se e dove può cercare le prove. Nel caso del cloud pub-blico, invece, il fruitore non ha la possibilità di negoziare i termini e le condizioni d’uso e spesso si trova di fronte alla scelta di utilizzare il servi-zio così com’è o non utilizzarlo affatto. In questo caso, l’analista si dovrà interrogare sulla qualificazione giuridica del cloud provider che fornisce il servizio. In particolare, dovrà verificare nel contratto se sono indicati i Paesi in cui sono situati i Server che ospitano i dati per poter capire da chi saranno giudicate le eventuali controversie, se da un giudice italiano o un giudice straniero (con l’aggravio di costi e tempo). Vi è infatti una grande differenza tra le norme applicabili nei Paesi facenti parte l’UE e le leggi applicate negli Stati Uniti d’America o altri Paesi.

È opportuno, pertanto sottolineare come secondo la disciplina generale il contratto si ritiene concluso nel luogo in cui si trova il pro-ponente al momento in cui ha notifica dell’accettazione (L. n° 218/1995

469


che rinvia al regolamento CE n° 593/2008 che riconosce efficacia gene-rale della Convenzione di Bruxelles in tema di competenza giurisdizio-nale nei contratti conclusi dai consumatori). E. Bellisario fa notare come la convenzione di Bruxelles disponga che «in caso di beni mobili e servi-zi, se vi è stata una forma di pubblicità nel Paese del consumatore e que-sti ha concluso nel proprio Paese gli atti del contratto, si debbano rispet-tare le norme imperative e la giurisdizione del Paese di residenza abitua-le del consumatore» 16. Si può poi convenire che un sito Internet realiz-zi in qualche modo una forma di comunicazione pubblicitaria. Inoltre, pur essendo un tema dibattuto, si può affermare come la tesi prevalen-te sia per l’inquadramento dei contratti di cloud nello schema del con-tratto di appalto (disciplinato all’art. 1655 del Codice Civile), in questo caso di servizi.

In questo senso si è indirizzata anche l’Unione Europea (UE) con la normativa in fatto di commercio elettronico, il che porta l’analista foren-se a dover considerare particolarmente importante lo status di consuma-tore ai fini della determinazione della legge applicabile.

La responsabilità delle tecnologie informatiche

Al fine dell’indagine sulla violazione di dati personali assume, inol-tre, un’importanza particolare la responsabilità 17 delle tecnologie infor-matiche per cui, sia il fruitore, sia il cloud provider e gli eventuali subcon-traenti, possono avere ciascuno un certo grado di responsabilità operati-va. I cloud provider sono, infatti, coinvolti nella gestione dei dati personali del fruitore o di quelli di cui è titolare, in special modo quando fornisco-no lo storage dei dati e possono quindi essere considerati responsabili del trattamento dei dati. Il gruppo di lavoro 29 sottolinea come «Gli incari-cati del trattamento sono responsabili dell’adozione di misure di sicurez-za in linea con quanto previsto dalla normativa UE applicata nelle giuri-sdizioni del responsabile del trattamento e dell’incaricato del trattamen-

16 Cfr. E. Belisario, Cloud Computing, Informatica Guridica, eBook ALTALEX 2011, 2001, p. 14.

17 Intesa come la capacità di stabilire che cosa ha fatto un’entità in un determinato momento nel passato e come lo ha fatto.

470

Arianna Del Soldato

to. Inoltre, gli incaricati del trattamento sono tenuti ad assistere il respon-sabile del trattamento nel rispettare i diritti (esercitati) degli interessati» 18.

Il quadro giuridico pertinente è quello relativo alla direttiva sulla protezione dei dati 95/46/CE, che si applica a tutti i casi di trattamento di dati personali nell’ambito di servizi di cloud computing. La direttiva e-privacy 2002/58/CE (modificata dalla direttiva 2009/136/CE) si appli-ca al trattamento di dati personali in relazione alla fornitura di servizi di comunicazione elettronica disponibili al pubblico nelle reti pubbliche di comunicazione (operatori delle telecomunicazioni) e pertanto l’analista la può ritenere pertinente anche nel caso in cui tali servizi siano forni-ti mediante una soluzione cloud 19. Il Gruppo di lavoro articolo 29 per la protezione dei dati, nel parere del 05/2012, propone che il cloud provider si possa considerare esso stesso il responsabile dei dati, nel caso in cui non si attenga alle dichiarazioni contenute nel contratto di servizio e di conse-guenza sia soggetto alle norme specifiche sul trattamento.

In ogni caso sorge un problema derivante dal fatto che utilizzare un servizio di cloud vuol dire, molto spesso, trasferire i dati al di fuori dei confini italiani, e che gran parte dei provider e dei loro data center si tro-vano al di fuori dei confini dell’Unione Europea.

In questo senso, l’analista forense deve tenere conto che il D. Lgs. 196/2003 riprendendo la normativa comunitaria (Dir. n. 95/47/CE), distingue tra il trasferimento dei dati all’interno dell’Unione Europea e quello verso Paesi terzi. In particolare l’art. 45 prevede che il trasferimen-to dei dati (anche temporaneo) verso Paesi extra UE sia proibito a meno che il Paese terzo non assicuri «un livello di tutela delle persone adegua-to». Il trasferimento dei dati verso gli Stati Uniti, ad esempio, può essere facilitato nel caso in cui il cloud provider aderisca a programmi di prote-zione dati come il cosiddetto Safe Harbor, un accordo bilaterale UE-USA che definisce regole sicure e condivise per il trasferimento dei dati perso-nali effettuato verso aziende presenti sul territorio americano. Il trasferi-mento dei dati verso gli Stati extra UE che non garantiscono un livello di protezione adeguato è da considerare legittimo solo se il Garante abbia

18 Cfr. Article 29 data protection working party, Opinion 05/2012 on Cloud Computing - 01037/12/EN WP 196, 2012, p. 9.

19 Cfr. E. Belisario, op. cit.

471


individuato che sussistono adeguate garanzie per i diritti dell’interessa-to, in special modo facendo riferimento alle cosiddette clausole contrat-tuali tipo approvate dalla Commissione Europea di cui all’allegato alla decisione del 5 febbraio 2010, n. 2010/87UE. Questa clausole regolano anche nei casi in cui il responsabile del trattamento, che tratti i dati per conto di un titolare stabilito nella UE, affidi il trattamento ad un subin-caricato stabilito in un Paese terzo che non assicura un livello di prote-zione adeguato 20.

La data retention

Un altro problema si pone all’analista in relazione alle norme che disciplinano la data retention intesa come raccolta automatizzata dei dati degli utenti per poter supportare gli organismi di indagine in caso di eventuali investigazioni. A livello comunitario, sia con le dovute diffe-renze tra le diverse legislazioni, si è affermato il principio per cui van-no adeguati gli interessi contrapposti tra la sicurezza degli individui e la loro riservatezza. La normativa di riferimento è la Direttiva 2006/24/CE che disciplina i tempi di conservazione delle informazioni e dei dati degli utenti. In Italia la data retention è regolata dal D. Lgs. 109/2008, men-tre, gli art. 122, 123 e 132 del D. Lgs. 196/2003 regolano l’uso delle rete elettronica per quanto riguarda l’accesso ai dati archiviati in un terminale di un utente e la loro archiviazione. In un’indagine forense è opportuno tenere presente che per l’accertamento e la repressione dei reati, per fina-lità di sicurezza pubblica l’art, 132 prevede che «i dati relativi al trasfe-rimento telematico, esclusi comunque i contenuti della comunicazione, sono conservati dal Provider per 12 mesi dalla data della comunicazione».

Il provider deve rispettare le normative sopra citate anche nel caso in cui sia stabilito in un Paese extra UE e impieghi, per il trattamento, strumenti situati in Italia, anche diversi da quelli elettronici, salvo che essi siano utilizzati solo ai fini di transito nel territorio UE (art. 5 comma 2, D. Lgs. 196/2003).

20 Cfr. Community: Privacy on the Cloud & Mobile, Privacy nel Cloud – Le sfide della tecnologia a tutela dei dati personali per un’azienda italiana, https://privacycloud-mobile.clusit.it/_files/Download/PrivacyNelCloud.pdf, s.l., s.d, p. 25 (14/10/2013).

472

Arianna Del Soldato

Come abbiamo visto anche nelle sezioni precedenti, l’investigazio-ne forense sui sistemi cloud coinvolge principalmente il cloud provider e il fruitore dei servizi.

Per poter svolgere una corretta investigazione, sarebbe quindi uti-le avere a disposizione contratti di fornitura di servizio stilati in modo da facilitare l’indagine forense, magari corredati di documenti tecnici e SLA (Service Level Agreement), eventualmente soggetto, dove previsto, a penale, che specifichino anche le procedure da seguire nelle fasi di inve-stigazione forense come ad esempio: i servizi e le procedure per consenti-re l’accesso ai dati da parte del fruitore, i limiti di responsabilità del cloud provider e del fruitore, la condotta investigativa da seguire in un ambien-te multi giurisdizionale per non violare le leggi vigenti e il rispetto della riservatezza dei fruitori.

Nel contratto dovrebbero, inoltre, essere chiaramente indicati: la dislocazione delle infrastrutture del cloud, gli eventuali subfornitori, i Paesi coinvolti, le politiche che regolano la data retention, la garanzia dell’osservanza dei principi di specificazione e limitazione, una garanzia della legittimità dei trasferimenti transfrontalieri, la completezza e l’affi-dabilità dei meccanismi di logging, l’adozione di misure di sicurezza fisi-ca secondo la certificazione SAS 70 21 o ISO 9000 22, e più in generale le misure tecniche e organizzative adottate dal provider.

Spesso, invece, l’analista forense si trova di fronte a contratti d’u-so in cui sono presenti delle clausole vessatorie 23 che contengono disposi-zioni in grado di determinare uno squilibrio tra il fruitore e il cloud pro-vider stesso in termini di responsabilità, recesso del contratto, limitazio-ni a carico del consumatore di opporre eccezioni alla competenza dell’at-tività giudiziaria, all’adduzione delle prove ecc. In questi casi l’analista forense può tenere in considerazione che, in presenza di clausole vessa-

21 AICPA - American Institute of Certified Public Accountants, Statement on Auditing Standards (SAS) No. 70, http://sas70.com, (16/03/2013).

22 ISO - International Organization for Standardization, ISO 9000 - Quality management, http://www.iso.org/iso/home/standards/management-standards/iso_9000.htm, (16/03/2013).

23 Intendendo come vessatoria una clausola che da squilibrio normativo e non eco-Intendendo come vessatoria una clausola che da squilibrio normativo e non eco-nomico, cioè che realizza a carico di una parte e a favore dell’altra un significativo squili-brio dei diritti e degli obblighi.

473


torie e se il fruitore è un singolo consumatore, entra in gioco l’art. 36 D. Lgs. 206/2005 per cui queste possono ritenersi nulle, mentre si può rite-nere valido l’accordo per il resto, a meno che le clausole in questione sia-no oggetto di trattativa individuale. Sotto questo aspetto è significativo il fatto che, nella maggioranza dei casi, l’adesione ad un servizio di public cloud avviene mediante “registrazione” dell’utente sul sito Internet del provider non prevedendo alcuna trattativa individuale rispetto alle con-dizioni d’uso disponibili sul sito stesso.

La legge nella nuvola

L’assenza di un armonizzazione delle norme in materia di cloud, così come la mancanza di accordi internazionali, rende difficile l’approc-cio legale al cloud computing da parte dell’analista forense. La necessità di sviluppare un’ampia strategia comune europea sul cloud computing è stata evidenziata dalla Commissione Europea sul digitale 24.

L’interesse da parte del mondo giuridico alle tecnologie legate al cloud sta crescendo a tal punto che si sta sviluppando addirittura l’idea di servizio che potremmo definire LaaS, Law as a Service. Il Consiglio degli Ordini Forensi d’Europa (CCBE) ha emanato delle Linee Guida 25 per richiamare l’attenzione sulle problematiche in cui possono incorre-re gli avvocati quando considerino l’utilizzo del cloud computing, analiz-zandone sia i rischi che i benefici. Tra i benefici presi in particolare consi-derazione vi sono: la riduzione dei costi, nel caso di uffici legali dotati di infrastrutture informatiche o di nuovi professionisti che vogliano creare un sistema efficace di gestione da zero; la semplicità di accesso ai servizi tramite Internet nel caso di lavoro fuori sede (con conseguente beneficio da parte dei loro assistiti); la facilitazione del lavoro collaborativo tra uffi-ci dislocati di studi legali.

Ciò non di meno, insieme ai molti significativi vantaggi che il cloud computing comporta, il documento evidenzia, come anche per il mon-do giuridico, l’utilizzo dei servizi di cloud comporti un insieme di rischi

24 European Commission, “Clouds for Europe: From Cloud-Friendly to Cloud-Active”, Digital Agenda Assembly 2012 - Report, giugno 2012.

25 CCBE, Linee Guida del CCBE sull’utilizzo dei servizi di Cloud Computing da parte degli avvocati, Bruxelles/Belgio, 2012.

474

Arianna Del Soldato

legati principalmente alla protezione dei dati, agli obblighi professionali di riservatezza e ad altri obblighi normativi ai quali sono soggetti gli avvo-cati, come per esempio il segreto professionale. Non per ultimo il fatto che una temporanea indisponibilità dei servizi di cloud potrebbe causa-re una significativa interruzione dell’attività professionale con le conse-guenze del caso.

6. Conclusioni

In questo documento è emerso come la digital forensics sul cloud sia una gestione multidisciplinare e non meramente tecnica. Le caratte-ristiche intrinseche del cloud mettono alla prova molti aspetti sia tecnici che legali dell’analisi forense classica. Molti aspetti caratteristici del cloud computing come la replicazione e la condivisione delle risorse, nonch� la loro dislocazione, che hanno fatto del cloud il paradigma tecnologi-co del momento offrono anche un’opportunità unica che può migliora-re in modo significativo l’efficienza e l’efficacia dell’investigazione digita-le. In questo senso è già emerso il concetto di Forensics as a Service come sistema di analisi forense basato su cloud computing e di Law as a Servi-ce come sistema di erogazione di servizi basati su cloud computing ad uso degli avvocati e dei giuristi.

Gli stessi aspetti del cloud computing sono anche forieri di impor-tanti criticità in relazione ai profili giuridici e alla protezione dei dati.

Al fine di agevolare l’analisi forense sui sistemi cloud, nonch� di promuovere la diffusione di questo nuovo paradigma nei vari campi di applicazione, sono necessari accordi interazionali ed è necessaria una maggiore collaborazione tra le forze dell’ordine, le autorità locali e le isti-tuzioni internazionali. In particolare, appare essenziale porre una parti-colare attenzione preventiva agli aspetti tecnici e legali che dovrebbero essere formalizzati nei contratti di servizio. In questo senso, il contratto dovrebbe essere stilato in modo tale che sia stabilito un maggior equili-brio di responsabilità tra il provider e il fruitore dei servizi, che dia garan-zie sul trattamento dei dati e che obblighi il provider ad adottare deter-minate misure tecniche e organizzative.

475


Abstract


Il cloud computing è un modello di elaborazione distribuito che consente l’ac-cesso condiviso, mediante rete e su richiesta, a risorse configurabili e delocaliz-zate. Esso ha permesso di ridurre i costi di gestione, di migliorare la produttività personale e lavorativa e, forse, anche la qualità della vita degli utenti. Questo do-cumento prende in esame i vari modelli di sviluppo e di servizio del cloud com-puting fornendone le definizioni e analizzandone i benefici e i problemi derivan-ti dal suo utilizzo. Successivamente, fornisce una panoramica sui vari aspetti tec-nici e procedurali che caratterizzano l’analisi forense digitale approfondendo, in particolare, come le metodologie standard si applichino ai vari modelli del cloud computing, esaminando le possibili problematiche e fornendo possibili soluzio-ni. Infine, prende in considerazione le possibili problematiche incontrate dall’a-nalista forense nel corso delle investigazioni su sistemi di cloud computing in re-lazione alle norme vigenti in materia.

Forensic analysis on cloud computing systems

Cloud computing is a model of distributed computing that enables shared and on demand access to configurable and delocalized resources, through the web. This model has allowed us to reduce operating costs, improve personal and work productivity and, perhaps, also the quality of life of users. This paper examines the various models of development and service of cloud computing, provid-ing definitions and analyzing the benefits and the problems arising from its use. Subsequently, this paper provides an overview of the various technical and pro-cedural aspects that characterize digital forensic analysis investigating, in par-ticular, how standard methodologies are applied to the various models of cloud computing, by examining the possible issues and providing possible solutions. Finally, it takes into account possible problems encountered by the forensic ana-lyst during investigations on cloud computing systems in relation with the cur-rent regulations.

Arianna Del Soldato

Ciberspazio e Diritto - CNR - Istituto di Informatica e ...449 Ciberspazio e diritto 2013, Vol. 14,...

Documents

Transcript of Ciberspazio e Diritto - CNR - Istituto di Informatica e ...449 Ciberspazio e diritto 2013, Vol. 14,...