Corso di informatica giudiziaria e forense

L'utilizzo di software per lo svolgimento delle indagini

informatiche dell'accusa e della difesa

C.A.I.N.E.

Si tratta di una suite, un insieme di programmi open source funzionali allo svolgimento di indagini informatiche.Accanto ad essa vanno ricordate DEFT – in ambiente Linux – e Wintaylor – in ambiente Windows: entrambe open source e liberamente scaricabili da Internet La slide successiva rappresenta la schermata iniziale di CAINE, il desktop.

CAINE: l'avvio

Una delle caratteristiche fondamentali dei programmi basati su piattaforma LINUX – con le varie elaborazioni, fra le quali UBUNTU – è la necessità, all'avvio e salva diversa impostazione di default, di “montare” l'hardware, quale, ad esempio, una penna USB ovvero un hard disk esterno.Nella suite CAINE la funzione è espletata dall'applicazione Disk utility la cui schermata iniziale è evidenziata nella slide successiva

Disk utility: il mountCom'è facile notare, nella schermata iniziale il programma individua eventuale hardware collegato al personal computer: fra questo, nel caso specifico, notiamo la presenza di una penna USB – identificata con Jetflash – e l'indicazione del comando “mount” che serve, appunto, a far si che il sistema operativo possa analizzare l'hardware.S'immagini, dunque, che la predetta penna USB sia stata rinvenuta nell'ambito di una perquisizione locale e che si debba “perquisire” il contenuto della stessa (art. 247 comma 1 bis cpp)

Disk utility: il mount (segue)

La schermata precedente mostra l'hardware “montato” - si noterà che il comando si è trasformato da “mount” in “unmount” mentre, sul desktop, è apparsa l'icona “nuovo volume” che sta ad indicare proprio la penna USB.Altro dato importante sul quale ci si soffermerà in seguito è l'indicazione del nome di device (nel nostro caso “/dev/sdb”) che sarà di rilievo per il funzionamento di alcune applicazioni.

File browser

Un programma la cui utilità è facilmente intuibile è quello che permette di esaminare il contenuto dell'hardware collegato al sistema operativo.Nella slide successiva vi è la schermata dello stesso e l'hardware esaminato è proprio la penna USB “montata”

File browserCome si può notare, all'interno della penna USB è presente una cartellina – creata per la simulazione – dal titolo “prova CAINE”.Il contenuto dell'hardware – il contenuto della penna USB – sarà oggetto di perquisizione da parte di chi è chiamato a svolgere l'indagine informatica.E' bene precisare sin da subito che ciò che appare agli occhi dell'investigatore che esamini il contenuto dell'hardware potrebbe non essere corrispondente a ciò che è realmente contenuto nello stesso, perché un tempo presente e, magari successivamente, cancellato.

File browser

Nella slide precedente si esamina il contenuto della cartellina “prova CAINE” presente sull'hardware che viene identificato come “/dev/sdb”.Come già scritto in precedenza, questa dicitura - “/dev/sdb” - è quella che appare nel disk utility che esamina l'hardware collegato al personal computer e che permette il “mount” dello stesso.

La copia immagine

Come già evidenziato in precedenza, il contenuto dell'hardware collegato al personal computer, esaminato mediante il file browser, non necessariamente corrisponde con quanto realmente contenuto nell'hardware stesso: la penna USB potrebbe mantenere traccia di file – fotografie, documenti, files audio o video – che possono essere di grande utilità per l'investigatore.

La copia immagine

E' bene precisare un'altra circostanza di rilievo: la perquisizione dell'hardware – anche mediante l'impiego di programmi idonei a ricercare evidenze digitali eventualmente cancellate – potrebbe determinare la cancellazione delle evidenze stesse anche a causa di un erroneo utilizzo dei programmi di analisi

La copia immagine nella perquisizione (art. 247 comma 1 bis

cpp)Proprio per questa ragione il codice di procedura penale stabilisce modalità d'investigazione che tengono conto della volatilità del dato informatico: la norma dell'art. 247 comma 1 bis del c.p.p. stabilisce che, nello svolgimento della perquisizione, si devono adottare “misure tecniche dirette ad assicurare la conservazione dei dati originali e ad impedirne l'alterazione”

La copia immagine nell'accertamento tecnico (art. 354

comma 2 c.p.p.)

Anche la norma dell'art. 354 comma 2 ultima parte stabilisce che, negli accertamenti tecnici su dati, informazioni, programmi informatici, sistemi informatici o telematici è necessaria l'adozione di prescrizioni necessarie ad assicurare la conservazione e ad impedire l'alterazione e l'accesso.

Segue (art. 354 comma 2 c.p.p.)

In particolare, è necessario provvedere, ove possibile, alla immediata duplicazione – dei dati, programmi etc – su adeguati supporti, mediante una procedura che assicuri la conformità della copia all'originale e la sua immodificabilità.

GuymagerLa suite CAINE contiene un programma – denominato Guymager – che permette di effettuare la copia immagine dell'hardware selezionato al fine di effettuare, sul file immagine e non sull'hardware stesso, la perquisizione necessaria e tale da impedire che il dato originale – quello contenuto nell'hardware - venga in qualche modo alterato.Come si vedrà, Guymager crea, nella destinazione selezionata, un file che altro non è se non l'esatta copia dell'hardware che si intende perquisire ovvero sul quale compiere gli accertamenti tecnici.

Guymager

Nella slide che precede – che rappresenta la schermata iniziale di Guymager - è possibile individuare una serie di dati: innanzitutto il nome del device - “/dev/sdb” - che abbiamo visto essere la dizione idonea a rappresentare, in un sistema Linux, un hardware.Selezionando, attraverso il mouse, l'hardware del quale effettuare la copia immagine, si aprirà un menu a tendina che permette la scelta tra diverse opzioni: si sceglierà quella che permette l'acqusizione dell'immagine

Guymager

La slide che precede contiene ulteriori opzioni di grande rilievo giuridico: la prima attiene alla estensione che si vuol dare al file risultato della procedura di acquisizione: può trattarsi di un file con estensione “dd”: in tal caso, il file potrà essere letto da software open source ed esaminato.

Guymager – L'estensione del file immagine

Le altre estensioni per il momento non interessano. Però – per concludere sul discorso del tipo di file – si deve tener conto del fatto che altre opzioni permettono di ottenere o un file immagine compresso – il che genera un file identico all'originale ma di dimensioni più contenute – oppure un file che può essere letto da software non open source ma “proprietari”, come ad esempio Encase.

Guymager: l'hash

Un altro elemento molto importante di questa schermata è rappresentata dall'opzione che permette di generare il codice hash del file così ottenuto.Il codice hash – serie alfanumerica generata in relazione ad un qualunque tipo di file – permette di verificare se il file in relazione al quale è stato generato sia stato mai modificato anche mediante il solo inserimento di uno spazio vuoto

Guymager – L'hash

Nella slide precedente, in baso, si noterà l'opzione inerente la generazione dell'hash, descritta nell'opzione “Calculate MD5” ovvero “Calculate SHA – 256”.E' possibile calcolare entrambi gli hash del file immagine generato o uno soltanto di essi: è ovvio che la generazione di entrambi permetterà di avere certezza insuperabile di conformità al file originale della copia dello stesso.

Guymager: il riferimento normativo dell'hash

La generazione dell'hash ha il suo riferimento normativo nell'articolo 354 comma 2 c.p.p. Nella parte in cui prescrive “la conformità della copia all'originale”.Proprio la procedura appena descritta permette di considerare rispettata questa prescrizione.

Digressione: la generazione dell'hash mediante Gtkhash

Nella suite CAINE esiste un programma – denominato Gtkhash – che permette di calcolare l'hash di qualsiasi file si voglia esaminare, così da verificare la conformità tra ciò che viene duplicato e l'originale.Nelle slide che seguono vi è la dimostrazione del suo funzionamento

Gtkhash

Nelle due slide precedenti si è attivato il programma Gtkhash mediante il quale si è aperto un file di testo – prova hash – creato e salvato sul desktop del personal computer.Come si potrà notare, il programma in esame permette la generazione dell'hash sia nella forma del MD5 sia nella forma dell'SHA1.Nella slide successiva sarà possibile vedere entrambi i codici esaminati

Gtkhash: una prova

Chiunque può utilizzare CAINE: lo stesso, open source, può essere scaricato dal sito internet www.caine-live.net, masterizzato su CD e lanciato direttamente dal proprio personal computer modificando il boot di sistema in modo da far leggere prima dell'hard disk, il CD contenente la suite (operazione sconsigliata a chi non è esperto): chiunque può fare l'esperimento che di seguito verrà descritto.Nella slide precedente, Gtkhash ha generato un MD5 che ha, come numeri finali, “7c40”.

Salvataggio del file contenente l'hash

Il file contenente l'hash può essere salvato, come descritto nelle slide che seguono

Gtkhash: la modifica dell'hash

Modificando il file di progine “prova hash” il programma Gtkhash genererà MD5 differenti, come descritto nelle slide che seguono

Gtkhash: conclusione

Come si potrà notare, gli ultimi numeri del hash MD5 sono diversi da quelli generati in precedenza

Guymager

Tornando a Guymager, sarà possibile, quindi, generare su diverso hardware un file immagine che riproduce esattamente l'hardware da perquisire o analizzare.Nelle slide che seguono sono descritte le due fasi della acquisizione e della verifica.

La creazione del file immagine sotto windows: Wintaylor

Wintaylor, anch'essa scaricabile gratuitamente dal sito dedicato a CAINE, è una suite – in grado di operare sotto il sistema operativo Windows – che raccoglie programmi open source in grado di compiere indagini su supporti informatici.Mediante il programma FTK imager è possibile creare un file immagine ed esaminarlo senza operare sull'hardware (la nostra penna USB rinvenuta sul luogo del crimine)

FTK imager

Nella diapositiva precedente, la schermata iniziale di Wintaylor ed, in particolare, il programma di creazione di file immagine, FTK imager e l'opzione che permette di impedire la scrittura dell'hardware che si sta esaminando (USB write blocker).Nella slide seguente, la schermata iniziale di FTK imager dalla quale è possibile compiere le operazioni di creazione del file immagine, partendo da un supporto fisico, e di lettura del file immagine creato.

FTK imager: il file immagine

Nella slide che segue si può notare come appare il file immagine denominato “provaimmagine.001”. Esso – occorre ricordarlo – è la copia esatta del contenuto dell'hardware da esaminare, la nostra penna USB

Caricare un file immagine in FTK imager

Nelle slide che seguono vengono descritte le modalità di caricamento del file immagine “provaimmagine.001”

FTK imager: l'analisi del file immagine

Nella slide che segue è descritto come appare il contenuto del file immagine che è stato caricato all'interno di FTK imager.Si noterà la cartellina che si è creata e, all'interno della stessa, un file fotografico ed un file di testo.In particolare, c'è la possibilità di esaminare i singoli file rinvenuti all'interno del file immagine in modalità diverse, tra le quali quella c.d. esadecimale

L'analisi del contenuto esadecimale del file

Una brevissima considerazione va dedicata a questa particolare modalità di esame dei file: essi – ad esempio il file jpeg a contenuto fotografico – possono essere aperti mediante un programma che ne rivela il contenuto in formato esadecimale. Si tratta di una lettura del file che risulta del tutto incomprensibile ma che rivela taluni elementi in grado di svelare il contenuto reale di un file al di là della sua denominazione esteriore (come file jpeg ovvero txt o doc).

L'analisi esadecimaleCome si nota dalle slide precedenti, evidenziando il file fotografico e operando la lettura esadecimale dello stesso, nella colonna destra è possibile notare una serie di informazioni indicative della natura fotografica, appunto, del file: in particolare, si evidenzia la macchina fotografica (Nikon D200) adoperata per effettuare lo scatto.Altra informazione rilevante è rappresentata dai primi quattro caratteri alfanumerici (FF D8) e dagli ultimi quattro (FF D9): essi rappresentano l'inizio e la fine di un file jpeg. Cosicché, quand'anche si voglia modificare l'estensione del file (mediante l'opzione “rinomina”) la lettura esadecimale dello stesso ne rivelerà il reale contenuto.

La ricerca delle evidenze digitali cancellate: photorec

Concludiamo con un accenno ad un programma – rinvenibile sia nella suite CAINE che in Wintaylor – che permette di recuperare file eventualmente cancellati e presenti sull'hardware esaminato.Si deve considerare, sul punto, che la semplice “cancellazione” del file (mediante comandi come delete e simili) di per sé non impedisce il recupero del file stesso fino a quando i settori del supporto informatico che contiene il file stesso non vengano sovrascritti.Finanche la parziale sovrascrittura di tali settori non impedisce la ricostruzione parziale del file originale.

Photorec

Nelle slide che seguono viene descritto il funzionamento di photorec nella versione che opera in ambiente CAINE.In particolare, dopo la selezione dell'hardware oggetto di analisi è possibile selezionare l'estensione del file che si vuole cercare: ad esempio, potrebbe trattarsi di un'analisi mirata alla ricerca di file fotografici, dunque si selezionerà l'opzione di estensione jpeg, deselezionando tutte le altre.

ConclusioneHo cercato di contenere le numerose funzionalità di programmi liberamente scaricabili e mediante i quali – con le dovute accortezze per evitare di far danni irreparabili – è possibile iniziare a prendere confidenza con una materia – l'indagine informatica – che l'operatore del diritto deve conoscere per esaminarne le implicazioni di carattere giuridico.Il tutto, nell'ottica dell'accusa ed in quella della difesa, se si considera che le indagini difensive possono essere anche di natura informatica e devono, al pari di quelle dell'accusa, rispettare i principi fondamentali della computer forensic