In queste ore il mondo del calcio è nuovamente nella bufera a causa di un nuovo scandalo sulle scommesse, su partite vendute e su giocatori che hanno piegato il proprio impegno sportivo al malaffare. Le cronache di queste ore parlano di intercettazioni e di perquisizioni (una storia iniziata con Cristiano Doni e Andrea Masiello e giunta oggi a Stefano Mauri, Antonio Conte, Mimmo Criscito ed altri nomi noti del mondo del pallone), spiegando in sommi capi che l’irruzione degli inquirenti ha corrisposto in molti casi con il sequestro di materiale informatico dal quale si spera di poter trarre tracce probatorie da utilizzarsi in tribunale.
Non sempre, però, tali procedimenti sono noti a tutti e non sempre è chiaro cosa significhi sequestrare ed analizzare computer o smartphone. Abbiamo così tentato di approfondire la questione con Denis Frati, esperto in computer forensics e responsabile D3lab, nel tentativo di capire cosa stia realmente accadendo in seno alle perquisizioni ed all’analisi del materiale informatico tratto presso le abitazioni degli indagati.
[…] i dispositivi digitali non sono più solo testimoni, mezzi e oggetto di soli crimini informatici, ma sempre più spesso se ne vede il coinvolgimento nella realizzazione di reati comuni, gravi e meno gravi, nonché di illeciti civili. D3lab eroga il servizio di acquisizione di media informatici e di loro analisi in aderenza alle best practices del settore, utilizzando software open source e commerciali.
Sulla base di quanto spiegato nell’ordinanza del GIP del Tribunale di Cremona, Guido Salvini, Skype e WhatsApp erano estesamente utilizzati per “blindare” le conversazioni, riducendo così le possibilità di intercettazione, ma i personaggi coinvolti lasciavano comunque tracce sulla rete GSM (paradossalmente per darsi appuntamento su Skype) ed hanno pertanto aperto il fianco ad analisi forensi in grado di tracciare e certificare contatti e relazioni. Il nostro approfondimento tecnico parte a semplice titolo esemplificativo da un caso specifico, quello dell’attuale allenatore della Juventus Antonio Conte, presso la cui abitazione gli inquirenti hanno fatto irruzione alla ricerca di computer e smartphone. A tal proposito, spiega La Repubblica, le autorità sono giunte in possesso tanto del pc personale quanto dell’iPhone in uso, ma i due device sono stati in realtà trattati in modo differente per motivi non meglio precisati (ma che andremo in seguito ad esplorare). Racconta infatti la cronaca della giornata a casa Conte:
Per il computer si è provveduto ad una operazione di back-up e poi è stato restituito, mentre per quanto riguarda il cellulare questa operazione non è si è resa possibile e quindi l’iPhone è stato trattenuto e gli sarà restituito a breve.
Computer, iPhone e analisi forense
Dott. Frati, in cosa consiste l’analisi forense e cosa succede dopo aver proceduto con il sequestro di materiale informatico?
D.F.: «Sostanzialmente con un pc, o comunque con un dispositivo di memoria di massa, come è il disco rigido di un computer, è necessario copiare tutto il disco. Con ciò non si intende la copia dei file attivi, ma di tutti i file, anche quelli cancellati e quelli non più allocati.
Si procede quindi ad effettuare una copia, definita bit-stream image, costituita dalla copia bit per bit di quanto viene letto, settore per settore. Il software di copia leggerà sequenzialmente tutti i bit del disco e li scriverà in un file immagine. Copiando il disco in questo modo si disporrà di partizioni, tabella delle partizioni, spazio allocato (file attivi e cancellati referenziati dal file system) e spazio non allocato».
Quali strumenti vengono utilizzati?
D.F.: «Il file immagine può essere realizzato con strumenti semplici, quali il comando unix dd, che legge i dati datigli in input, il dispositivo sospetto, che linux vede quale file es. /dev/sda per scriverlo in un file di output: questa è la tipica immagine raw. In altri casi si possono usare strumenti più evoluti, quali dcfldd, dc3dd, software capaci di intervenire in modo specifico a fronte dell’individuazione di settori danneggiati, od anche strumenti quali Ftk Imager, Guymager, o aimage, software che oltre a gestire eventuali errori sono capaci di creare l’immagine in formati raw, ewf (denominato erroneamente formato Encase o formato E01) ed in formato AFF. Tali formati si differenziano dal grezzo raw per la capacità di includere metadati, informazioni specifiche, oltrechè permettere ottimi valori di compressione.
L’immagine bitstream ove possibile viene realizzata estraendo il disco sospetto dal sistema in cui è installato e collegandolo ad una workstation forense attraverso un dispositivo hardware write-blocker, il cui compito è quello di intercettare ed inibire i tentativi di scrittura sul disco sospetto, non solo a livello di comandi utente, ma anche di sistema operativo e di applicativi, tutto ciò per non modificare il disco sospetto, la evidence. Se non si può estrarre il disco dal sistema è necessario procedere all’avvio dello stesso usando appositi sistemi, quali i linux forensic live-cd (come gli italianissimi Caine e Deft) che permettono di avviare un sistema linux, da live-cd, customizzato per rispondere alla principale necessità dell’investigatore: non modificare la evidence.
A seguito di tale avvio si potrà poi procedere alla copia del disco attraverso appositi tools di acquisizione quali i già citati dd, dcfldd, air, dc3dd, guymager. Con i telefoni mobili, i tablet, gli smartphone è tutto più complesso».
Cosa succede invece sui dispositivi mobile?
D.F.: «In buona sostanza anche in questo caso è necessario non alterare mai la evidence, il dispositivo sospetto. Con i dispositivi mobili ciò non è possibile in toto ed infatti tali operazioni vengono fatte sotto il cappello dell’art.360 del codice di procedura penale (accertamenti tecnici irripetibili), si tratta di accertamenti svolti alla presenza delle parti e dei loro consulenti e legali.
Partiamo da questo: il dispositivo mobile deve essere acceso e questo già implica delle alterazioni del sistema. Il dispositivo deve essere acceso senza sim per evitare la ricezione di messaggio, telefonate, comandi successivi al momento del repertamento, che potrebbero falsare i dati da analizzare, od ancora provvedere alla loro cancellazione, pensa al comando di cancellazione che con diversi software “anti-furto” è possibile inviare ai propri tablet e smartphone. In alcuni casi il dispositivo necessita obbligatoriamente della sim per accendersi, quindi si clona l’ID della sim originale su una sim non attiva. Secondariamente è necessario sbloccare il telefono, conoscere cioè il pin. Altra problematica: alcuni telefoni necessitano l’inserimento di software al loro interno, modificandoli in tal modo».
Quindi cosa succede nel momento in cui si intende effettuare un approfondimento di indagine su di un iPhone?
D.F.: «In questo caso parliamo di dispositivi quali iPhone, iPad, tablet Android e simili. Si tratta di sistemi derivati da “dialetti” unix. Usualmente l’utente ha diritti limitati, che non gli danno accesso a tutto il file system. Per copiare tutto il disco è necessario ottenere i diritti di root, usando quindi metodiche definite rootare, jailbreak, quindi con alterazioni piuttosto decise del sistema sospetto. Vi sono diversi sistemi per farlo e diversi strumenti. Il dispositivo UFED di Cellebrite, un must del settore della mobile forensics, carica un proprio loader solo in ram e permette una acquisizione meno invasiva.
In questi casi si ha l’acquisizione fisica del dispositivo, quindi una immagine raw del disco. Non sempre ciò è fattibile. Chi sviluppa gli strumenti per l’analisi forense dei dispositivi mobile mira ad ottenere ciò, ma per via dei diversi protocolli con cui i dispositivi comunicano con l’esterno, dei sistemi operativi usati, dei file system (tutte caratteristiche non di rado proprietarie) questo non è sempre fattibile. Nel migliore dei casi si può fare l’acquisizione fisica. In altri casi si procede all’acquisizione del file system, quindi dell’organizzazione/alberatura di directory e file. Nei casi peggiori è possibile fare la solo acquisizione logica, un po’ come fa il software di gestione dei vari modelli di telefoni, con l’estrapolazione di rubrica, messaggi, contenuti multimediali, lista chiamate.
Nel caso dell’iphone presumo che il magistrato abbia dovuto decretare che le operazioni venissero eseguite ex art. 360 cpp, e che chi doveva operare si potesse procurare gli strumenti per farlo. Per ipotesi l’UFED (strumento poco diffuso per via del suo elevato prezzo)».