Terzo articolo dedicato alle peculiarità delle perquisizioni dirette alla ricerca di evidenze informatiche, che ho voluto dedicare alle operazioni immediatamente conseguenti a quella che abbiamo definito l’individuazione del target.
Accade sempre più spesso, fermo restando quanto già evidenziato nei precedenti articoli, che il “target” sia costituito da e-mail che possono assurgere a prova o anche solo, a mero indizio.
Ormai le e-mail sono utilizzate nei più diversi ambiti e il loro impiego a fini probatori è facilitato dall’errata percezione di scrivere qualcosa che si potrà “cancellare” o che “rimarrà” riservato. Al contrario l’e-mail è un contenitore ricco di elementi di prova e indizi pressoché inesauribile, tanto che potremo affermare che oggi non esiste indagine – anche solo per un “vediamo cosa si dicono, non si sa mai…” – che non vada a prendere in considerazione la corrispondenza e-mail al pari dei messaggi sugli smartphone. Le possibili casistiche di acquisizione e analisi forense di email[1] è sterminata. Altrettanto vero che quell’errata percezione che sia un mezzo totalmente sicuro e riservato spinge a scrivere qualsiasi cosa senza preoccuparsi delle conseguenze di ciò che si è scritto: quest’ultimo aspetto viene amplificato quando i due interlocutori, magari appartenenti a sistemi “giuridici” differenti, danno per scontato aspetti di tutela e riservatezza non universalmente riconosciuti o alla facilità di diffusione e replica di una email che una volta inviata diventa di fatto non più reversibile e incancellabile.
Ho già dedicato un precedente articolo sulle e-mail[2] relativo alla problematica – a mio modo di vedere tutt’ora irrisolta – dell’acquisizione di e-mail aperte/chiuse e alle conseguenti implicazioni sul piano processuale, che ha avuto il pregio di sollecitare il dibattito attorno a questa tematica che manca di precise soluzioni “legislative”, tanto dal venir risolta quasi sempre in punto di “legittimità” dalla Corte Suprema di Cassazione, e non sempre con soluzioni univoche ed uni interpretative. Questa volta vorrei soffermarmi su alcuni aspetti peculiari concernenti le perquisizioni che vedono l’e-mail costituire l’oggetto delle nostre attenzioni, senza pretesa di fornire una guida, ma piuttosto una serie di considerazioni pratiche che possono aiutare nella scelta dell’uno o dell’altro metodo per l’acquisizione forense delle e-mail.
Una delle prime problematiche legate alle e-mail che il digital forensics si trova a dover affrontare nel corso della perquisizione sono le credenziali necessarie ad accedervi. Lungi dall’essere banale e senza pretesa di esaustività potremo suddividere i probabili scenari operativi in due macro aree.
La prima è quella che permette di giungere sulla scena e rinvenire un dispositivo collegato e loggato sulla webmail o client e-mail utilizzato. Situazione, più probabile di quanto si possa pensare, atteso che il digitare ogni volta le proprie credenziali per accedere al client di posta o alla web mail alla lunga … stanca anche il più attento e smaliziato degli utilizzatori.
La seconda attiene al contrario a tutti quei casi in cui per giungere alle e-mail si necessitano delle credenziali (users e password), il cui ottenimento, è rimesso nel nostro ordinamento, a tecniche più o meno convincenti degli operatori di polizia, all’utilizzo di software sempre meno capaci di scovarle all’interno dei sistemi e per ultimo alla buona volontà della parte che è libera o meno di fornirle. Si arriva così al paradosso che in assenza di quest’ultime nulla si può se non il sequestro delle e-mail da notificare al provider con le difficoltà che ne derivano, qualora si tratti di notifiche da effettuarsi all’estero e per reati che magari non trovano accoglimento nei trattati di mutua assistenza. Invero anche il ricorso al cosiddetto “blocco” delle e-mail da parte dell’autorità giudiziaria, volto a preservare lo stato delle cose, ed effettuato attraverso il cambio delle “credenziali” e della catena di sicurezza legata alle stesse (doppia autenticazione, OTP One Time Password, etc.) risulta di fatto irrealizzabile se non si riesce ad accedere, almeno inizialmente, alle credenziali dell’utilizzatore.
Residuano quei casi relegati in prevalenza a situazioni particolarmente “fortunate” che vedono come già detto sopra l’utilizzo di alcuni software capaci, su alcune versioni di client, di indicare prontamente l’user e password utilizzata ad esempio con Mail PassView della NIRSOFT[3], viceversa l’individuazione di tali dati richiede l’effettuazione di operazioni tecniche di analisi che spesso mal si conciliano con i tempi e le modalità delle perquisizioni. Non si può escludere che con più approfondite ricerche si possa pervenire alla individuazione delle stesse, a file più o meno facilmente individuabili, contenenti le password utilizzate dal soggetto, o ancora che attraverso le stesse si possa pervenire alla realizzazione di una “libreria” di parole che potrebbe aiutare non poco in operazioni di “brute-force” volte all’individuazione della password utilizzata.
Supponiamo di aver ottenuto anche le necessarie credenziali per accedere alla web mail o al client protetto e proseguiamo nella nostra disamina.
La seconda problematica è legata a due aspetti già evidenziati in precedenza, ovvero se il target è costituito da una web-mail (es. gmail, yahoo mail, libero mail, alice mail etc.) o se le stesse sono scaricate e lette su di un dispositivo attraverso appositi client di posta e-mail (es. Outlook, Thunderbird, Mail etc.).
Volendo semplificare la differenza tra client di posta e web mail, potremo evidenziare che la web mail permette la gestione della posta elettronica direttamente sul browser, tramite l’interfaccia di posta elettronica del provider utilizzato, con il vantaggio di poterla gestire di fatto da qualsiasi dispositivo in grado di connettersi alla pagina web, per dirla meglio, per accedere alla propria casella di posta basterà raggiungere la pagina di login e accedervi tramite username e password.
Ad ogni buon conto, per quel che qui rileva l’eventuale acquisizione avverrà di fatto, dopo l’autenticazione, attraverso lo scarico della posta effettuato attraverso una connessione internet, che ovviamente in tali casi è indispensabile.
Il client di posta è invece uno specifico software scaricato e in funzione sul singolo dispositivo e che permette di gestire la lettura, l’invio e l’archiviazione delle e-mail direttamente dal desktop. Le e-mail sono memorizzate direttamente sul computer, e non è necessaria (salvo la necessità di una immediata sincronizzazione con il server) una connessione Internet, questo ovviamente comporta diversi vantaggi in capo al digital forensics.
Potremmo dire che qualora il soggetto utilizzi esclusivamente la webmail, il sequestro del PC o la bit-stream image dello stesso potrebbe permettere al più di leggere solo alcuni messaggi di posta o parte di essi ricostruiti attraverso gli artifacts che alcuni software riescono ad individuare durante il parsing, ma saremo ben lontani ovviamente dai risultati ottenibili attraverso lo scarico della web mail utilizzata o (quando si è fortunati) dalla presenza dei file di archiviazione del client di posta (es. il file .pst o .ost di Outlook).
Invero l’operatore di polizia qualora si riscontri l’utilizzo esclusivo di una web mail può essenzialmente operare attraverso tre tecniche:
POP e IMAP come molti sanno, lavorano diversamente, con POP il programma si connette al server, recupera tutta la posta, la conserva in locale come nuova posta da leggere, cancella i messaggi dal server principale e si disconnette. Invero, ormai, nei client e nelle caselle di posta che utilizzano POP, è prevista anche la possibilità al di là delle modalità di azione e cancellazione dei messaggi dal server di questo protocollo, di conservare comunque una copia dei messaggi anche sul server dopo il loro scarico in locale; tuttavia la caratteristica principale di POP rimane quella, (qualora non si preveda di preservarne una copia sul server remoto ) di eliminare la posta dal server, che si traduce, nel non poterla più vedere se si accede al proprio account e-mail via browser da altri dispositivi.
Di contro usando IMAP il programma si connette al server di posta, richiede il contenuto dei nuovi messaggi e permette di visualizzarli sul dispositivo remoto salvandoli in cache, l’ovvia conseguenza è che l’utente legge il messaggio, lo modifica o la segna come letto, tali modifiche vengono recepite anche a livello server, ma in ogni caso il messaggio non viene rimosso dal server.
Il tutto per evidenziare che andrà posta particolare attenzione nell’utilizzo di POP allorquando il client utilizzato per lo scarico e la casella di posta non prevedano la conservazione di una copia del messaggio sul server remoto, essendo insito il rischio di “cancellare” dal server remoto i messaggi costituenti il nostro target, durante le operazioni di acquisizione dei messaggi.
La differenza tra i vari prodotti è quasi sempre relegata alla:
La scelta di una o più, delle tre tecniche sopra elencate, è legata pertanto a diverse e numerose variabili che l’operatore di polizia dovrà tenere in considerazione, a titolo di mero riepilogo ne cito alcune, senza alcuna pretesa di esaustività e nella consapevolezza che quando leggerete questo articolo alcune saranno superate ed altre elemento di novità da risolvere. Ad ogni buon conto evidenzio che solo l’esperienza e la pratica sul campo permettono di affinare nel tempo tali scelte in tempi rapidi e con effetti ottimali e … come esperienza insegna, ricordate sempre di annotare o meglio verbalizzare ogni vostra operazione così da poter sempre rammentare le operazioni svolte e poter giustificare le scelte operate:
Le cose risultano facilitate qualora il target sia costituito da un client e-mail ovvero quando l’utilizzatore, pur utilizzando una webmail utilizzi un client e-mail per la loro gestione, non avvalendosi esclusivamente degli strumenti “web” messi a disposizione dal provider.
Prendiamo per esempio un target costituito da messaggi e-mail gestiti dall’utilizzatore attraverso un client, “Outlook”, tralascio qui di evidenziare le differenze tra i due tipi di files generati da detto programma ovvero files dati .pst e .ost, in rete si trovano centinaia di link dove troverete specificazioni tecniche e descrittive sul modo di funzionamento e sul contenuto dei files .pst e .ost. Preme invece in questa sede segnalare come agli stessi link che ne descrivono le differenze troverete anche le path o percorsi di detti files che risultano presenti “in locale” sul dispositivo del soggetto sottoposto a perquisizione che faccia uso di tale client. Orbene sulle tecniche di copia ed esportazione di detti files non mi sto a dilungare, salvo ribadire che al di là delle scelte di comodo ed operative di ciascuno dovrà essere assicurato il rispetto delle prescrizioni imposti dalla L.48/2008. Personalmente, a seconda degli scenari, tendo a prediligere l’utilizzo di FTK IMAGER LITE[11] o se si stanno utilizzando LIVE LINUX FORENSIC qualsiasi programma che ne permetta l’esportazione, calcolo dell’hash ed indicazione della path (ognuno ha i suoi prediletti – io personalmente per tali operazioni su singoli e pochi files non disdegno Dhash2 –Vers.2.0.1. che si trova in Deft0 – 2018[12], sia per la sua velocità che per la sufficiente e chiara reportistica).
Oltre a quanto finora evidenziato preme segnalare come qualora l’operatore si trovi dinanzi a particolari sistemi di gestione della posta (per es. Zimbra), client particolari (per es. Lotus Note), etc. sarà sempre bene avvalersi di ausiliari di P.G. all’uopo nominati[13], che potranno fornire le necessarie credenziali ed assistenza finalizzata all’individuazione, esportazione ed acquisizione dei messaggi di posta.
Si segnala che ci sono profonde e sostanziali differenze tra gli utenti privati ed aziendali, nel senso che questi ultimi, per ragioni prevalentemente di riservatezza, sicurezza e gestione aziendale tendono prevalentemente ad utilizzare sistemi di gestione della posta maggiormente complessi e che presentano diversi livelli di sicurezza ed autenticazione che ne rendono più complesse le operazioni sopra descritte.
Rimandando ciascuno alla valutazione delle opportunità e potenzialità dei singoli strumenti sul piano delle investigazioni relative ad email soprattutto in ambito aziendale, si evidenzia come la conoscenza dei vari tool possa risultare talvolta strategica nella soluzione delle problematiche evidenziate.
Articolo a cura di Pier Luca Toselli
I Big Data stanno cambiando le regole del commercio online. Finalmente le aziende possono comprendere…
Dal punto di vista tecnico-operativo, le indagini di digital forensics vengono svolte utilizzando specifici strumenti…
Nell’ambito dell’email security esistono diversi protocolli volti a garantire l'autenticità, l'integrità e la riservatezza delle…
Nel panorama della sicurezza informatica, la minaccia di attacchi fisici tramite dispositivi USB malevoli è…
Come per tutti i problemi complessi con cause molteplici, non esiste una soluzione per il…
In un mondo sempre più connesso e digitalizzato, le innovazioni tecnologiche stanno cambiando radicalmente il…