Classificazione e profilazione dei referti investigativi sulle fattispecie criminose

La diffusione di apparati tecnologici sul mercato globale ha oggi raggiunto numeri significativi e il trend di crescita continua ad essere decisamente elevato.

Cresce esponenzialmente il fattore di calcolo di questi nuovi dispositivi ma cresce soprattutto la capacità di memoria e la possibilità pertanto di ospitare una sempre maggiore mole di dati che le forze dell’ordine si trovano a reperire e analizzare per tutte le fasi correlate alle indagini di Digital Forensics. In questo scenario si sente quindi la necessità di vagliare nuove strategie per snellire e velocizzare i lavori di indagine.

img_1Da una stima già del 2013 la mole di dati generata aveva già raggiunto i 4 zettabytes (1 triliardo di dati), il mercato Big Data Analytics in Italia, cresce anche nel 2014 (+25%) è quanto emerge dalla ricerca 2014 dell’Osservatorio Big Data Analytics & Business Intelligence. Questa crescita è sostenuta più che da un utilizzo consapevole di questi strumenti, dalla disponibilità di tecnologie a basso costo, oggi a portata di “tutti”. Occorre inoltre una premessa sul tema dei crimini Informatici i quali oggi possono assumere varie forme, possono essere perpetrati sempre e ovunque e nel consiglio Europeo sulla criminalità informatica, vengono definiti con termine noto di CYBERCRIME.

Il Cyber crimine nel mondo è aumentato del 30% nei primi 6 mesi del 2015 ed è ormai la causa di circa il 60% degli attacchi informatici gravi avvenuti a livello globale nello stesso periodo sono le “infrastrutture critiche“, come le reti per l’energia e le telecomunicazioni a registrare la crescita maggiore, passando da 2 attacchi nella seconda metà del 2014 a 20 nella prima metà del 2015, con un incremento del 900% come evidenziato dal rapporto CLUSIT 2015.

Ancora si parla di crescita a tre cifre anche per gli attacchi che riguardano l’automotive (le auto connesse a Internet): +400%, supermercati e la grande distribuzione: +400%, informazione ed entertainment (siti e testate online), piattaforme di giochi e blogging: +179%, il rapporto Clusit evidenzia – sempre nei primi sei mesi del 2015 – il raddoppio degli attacchi informatici subito dalle realtà che operano nella sanità, che segna un +81%, i servizi online (mail, social network, siti di e-Commerce e piattaforme Cloud) segnano una crescita degli incidenti di oltre il 50%, a dimostrazione di quanto gli attacchi gravi siano mirati a tutte le tipologie di servizi erogati via Internet.

Ma qual è l’impatto di questi preoccupanti scenari sulla Digital Forensics? Decisamente pesante in quanto la crescita di crimini informatici determina una crescita di indagini a carico delle forze dell’ordine che si trovano a dover fronteggiare un’armata ben organizzata ed evoluta dal punto di vista tecnologico. Ecco pertanto che, in un contesto nel quale il mezzo tecnologico si trova ad essere vittima o un tramite dell’azione criminosa, le classiche metodologie di indagine risultano inadeguate e obsolete. L’analisi classica riguarda un’attività mirata l’estrapolazione, interpretazione e correlazione dei dati al fatto criminoso, si applica sempre alle copie forensi e mai ai reperti originali con un’analisi più approfondita e organizzata rispetto a ciò che accade in sede di “live forensics” dove tempi e metodologie impongono delle marce più alte. L’obiettivo è rispondere a quesiti ben precisi ma il modus operandi è a discrezione degli operatori, sempre sulla linea delle “best practices” e normative di riferimento.

img_3Negli anni si è potuta osservare una certa inadeguatezza nel tradizionale processo forense nel rispondere a determinate esigenze investigative e nei tempi di risposta a queste esigenze sono aumentati proporzionalmente al numero e alla tipologia dei reperti acquisiti. Questo dovuto in genere ad una metodologia che mira ad effettuare le classiche attività senza discriminanti o poco relazionata al reato o al caso specifico, alla luce di tutto questo si è introdotta una fase intermedia atta a delimitare l’area d’interesse ad un numero di reperti valutati più rilevanti e pertinenti.

La continua evoluzione degli strumenti high-tech ha introdotto nuove criticità nelle attività di Digital Forensics:

  • incremento esponenziale della capacità di memoria dei nuovi dispositivi;
  • nuove tecnologie hardware e software;
  • proliferazione di Sistemi Operativi e nuovi formati di file;
  • sistemi di virtualizzazione e relative macchine virtuali;
  • sistemi di crittografia che complicano non poco le attività di analisi dei supporti interessati;
  • sistemi remoti e cloud.

Alla luce di quanto sopra, l’esigenza è quella di dare risposte rapide ad ipotesi di reato o quando si delineano aspetti non strettamente forensi, identificare le informazioni più rilevanti e dare loro una sorta di priorità (codice). A questo punto l’analisi specifica si applica in maniera selettiva a partire dai reperti che hanno ottenuto un grado di priorità maggiore. Tale metodologia di triaging può essere applicata sia nella fase di live forensics che post-mortem a seconda del contesto in cui ci si trova ad operare. Nel live forensics la tempestività nell’agire sulla scena del crimine, per alcune fattispecie criminose, può diventare di vitale importanza, in quanto fornisce indizi rilevanti e discriminanti, ma anche nei casi di analisi post-mortem, la classificazioni di dispositivi “freddi” rappresenta un valido supporto e una semplificazione della successiva fase di analisi.

I vantaggi sono certamente evidenti: abbattimento dei tempi di elaborazione iniziale dei dati, possibilità di consultazione rapida delle risultanze, utilizzo flessibile delle risorse hardware a disposizione e generazione di risposte affidabili, determinazione delle priorità prima di mettere in campo le risorse per un’analisi più approfondita e accurata, velocità e affidabilità sono le parole chiave del triage per ridurre al minimo costi, tempi e risorse.

Uno degli aspetti significativi di questa metodologia riguarda la “normalizzazione” dei dati acquisiti che ha il fine di eliminare tutti i disallineamenti di output derivanti dalla varietà degli strumenti utilizzati durante la fase di acquisizione dalle varie fonti. Una volta terminata questa fase, i dati confluiscono in un database sul quale vengono effettuate elaborazioni statistiche che producono attributi (features) che identificano specifici data set. La scelta di questi attributi viene accuratamente effettuata sulla base di esperienze che nel tempo hanno portato a risultati significativi e pertanto ritenuti idonei a identificare una determinata casistica.

Queste metodologie di Data Mining hanno quindi lo scopo di estrarre sapere e conoscenza da una grande mole di dati attraverso processi matematici eseguiti con automatismi che hanno doppia valenza:

  1. estrazione di informazioni implicite e/o nascoste da dati già strutturati in modo tale che siano direttamente fruibili;
  2. esplorazione e analisi da una grossa mole di dati mirate a scoprire schemi significativi.

In entrambi i casi il dato diventa significativo o trascurabile in relazione all’ambito di indagine, l’obiettivo è quindi quello di classificare i dati in ingresso per definire specifiche classi dove gli algoritmi di classificazione consentono identificare degli schemi o insiemi di caratteristiche alle quali appartiene un determinato record. Le features così individuate servono a capire per es. il grado di utilizzo del reperto da parte del soggetto indagato e relazionandolo al reato commesso.

I dispositivi tecnologici sono oggi parte integrante nell’indagine, anche se non direttamente coinvolti e rappresentano un elemento utile per ricostruire la sequenza temporale del crimine e relativo modus operandi. In questo contesto gli strumenti di analisi forense diventano tanto più obsoleti quanto più velocemente si evolvono le nuove tecnologie e questo fenomeno evolutivo richiede un grado di specializzazione tecnica decisamente più elevato e qualificato rispetto a quello tradizionale.

Interessante progetto, a cura dell’Università di Cagliari e finanziato dalla Commissione Europea all’interno del programma “Prevention of and Fight Against Crime“, è ILLBuster (www.illbuster-project.eu) il cui obiettivo è quello di fornire un sistema integrato per il rilevamento automatico di attività illegali sulla rete internet. Il sistema è pensato per fornire alle forze dell’ordine uno strumento prezioso nelle loro attività di prevenzione e lotta contro il crimine informatico, e sarà costituito da:

  1. un motore principale responsabile della rilevazione di una lista “nera” di domini malevoli;
  2. un insieme di periferiche e servizi che ispezioneranno le pagine web ospitate su domini maligni con lo scopo di individuare materiale illecito o pericoloso (pedopornografia, malware, phishing).

Il sistema risultante sarà in grado di identificare domini (e contenuti) maligni attraverso l’analisi del traffico DNS e segnalare URL sospetti alle forze dell’ordine, in modo che gli illeciti possano essere facilmente individuati.

img_2

Una caratteristica peculiare del sistema proposto è che esso sarà progettato tenendo presenti tutti gli aspetti legali che garantiscono il rispetto della privacy dei cittadini e non consentono abusi.

Scarica l’articolo o vedi le slide presentate a SMAU MILANO 2015

Print Friendly
Alessandro Bonu

Alessandro Bonu

Systems Engineer at Tiscali Italia S.p.A - CTU and Digital Forensics Expert.
Microsoft Certified Professional, CTU del Tribunale, collabora col Network DirICTo e con il Laboratorio “ICT4 Law & Forensics” del Dipartimento di Ingegneria Elettrica ed Elettronica dell'Università degli Studi di Cagliari per attività legate alla Computer Forensics e Digital Investigation.
Alessandro Bonu