di Fabio Massa
Una email è composta da un header, un corpo messaggio, e in alcuni casi da un allegato, che generalmente contengono informazioni quali: mittente, destinatario, data e ora di invio e di ricezione, indirizzi IP del server di invio e di ricezione, e un ID messaggio univoco. In ambito forense queste informazioni hanno un valore probatorio molto importante, e possono essere recuperate tramite molteplici tecniche forensi da due categorie di applicazione di gestione della posta elettronica.
1. Introduzione
Nella società odierna, le email sono la principale fonte di comunicazione digitale tra le persone per varie finalità, assumendo sempre più importanza anche per attività personali e aziendali di alto livello, attività tali da diventare imprescindibili da questa tipologia di comunicazione digitale. Purtroppo come ogni strumento elettronico nato per agevolare o migliorare la vita degli utenti in rete, considerata la notevole mole di informazioni personali, aziendali, militari, sanitarie e governative che vengono veicolate tramite le email, sovente vengono utilizzate anche per scopi criminali.
L’appetibilità delle informazioni personali, che vengono inviate e ricevute tramite email, attirano un crescente numero di organizzazioni criminali e criminali free lance, che compiono quotidianamente un numero impressionante di crimini di varia natura utilizzando come veicolo proprio le email: phishing, spamming, spoofing, sono accezioni frequenti nel linguaggio comune degli utenti che quotidianamente sono soggetti a questo tipo di azioni criminali perpetrate principalmente tramite invio massivo di email.
2. Validità probatoria delle email
La validità probatoria delle email, si è consolidata in numerosi processi penali e civili che attualmente richiedono tecniche di acquisizione e di analisi forense molto differenti dal passato. Sia che si stia trattando un caso di spaccio di sostanze stupefacenti, un divorzio o una controversia aziendale complessa le informazioni probatorie che le email supportano, possono essere di vitale importanza.
Esistono varie motivazioni per le quali i messaggi di posta elettronica possono fornire prove eccellenti in un’indagine digitale. Il motivo principale risiede nella facilità e nell’immediatezza di comunicazione che i messaggi di posta elettronica permettono, creando una sorta di rilassatezza degli utenti in molte delle abitudini che invece avrebbero nel redigere una lettera formale cartacea, ovvero alcune tipologie di comunicazioni risultano essere più disinibite rispetto a quelle in forma cartacea che invece potrebbero diventare di dominio pubblico. In secondo luogo, gli utenti spesso tendono erroneamente a credere che le comunicazioni che avvengono tramite messaggi di posta elettronica restino esclusivamente private tra mittente e destinatario. Di conseguenza, l’ultima questione riguarda i messaggi che, una volta cancellati, in effetti potrebbero comunque ancora risiedere in una serie di server o altri dispositivi, rendendo quindi vana la cancellazione. Indipendentemente dal tipo di sistema di posta elettronica che viene utilizzato, tutte le email seguono essenzialmente gli stessi standard de facto sviluppati dalla IEFT (Internet Engineering Task Force). Sia che si utilizzi Hotmail, Gmail, Libero ecc. o un sistema di posta elettronica aziendale, le modalità di base in cui un messaggio viene inviato e ricevuto sono molto simili. Nonostante tali similarità esistono notevoli differenze sul sistema di memorizzazione delle email che principalmente sono strutturate con tecnologie web based.
La posta elettronica è un metodo comune di comunicazione asincrona basato su due parti, ovvero di un trasferimento di file tra due server e un numero di porta specifico. Una e-mail è di solito generata utilizzando una applicazione client (es. Microsoft Outlook, Lotus Notes, Web Client) che include l’identità del mittente, memorizzata come file e trasferita ad un indirizzo di destinazione di un utente attraverso uno o più server. Di fatto ogni e-mail contiene informazioni importanti quali indirizzo del mittente, del destinatario e il percorso che essa segue per giungere al destinatario. È composta da un header, un corpo messaggio, e in alcuni casi da un allegato, che generalmente contengono informazioni quali: mittente, destinatario, data e ora di invio e di ricezione, indirizzi IP del server di invio e di ricezione, e un ID messaggio univoco.
In ambito forense queste informazioni hanno un valore probatorio molto importante, e possono essere recuperate tramite molteplici tecniche forensi da due categorie di applicazione di gestione della posta elettronica.
3. Categorie di applicazioni per la gestione della e-mail
La prima categoria è conosciuta come “client di posta elettronica” che opera utilizzando un’applicazione software che viene installata sul computer dell’utente, con il quale è possibile scaricare e memorizzare i messaggi di posta elettronica destinati allo stesso. In questo sistema, tutte le attività di posta elettronica sono essenzialmente gestite dall’applicazione installata. Gli esempi più comuni di tali sistemi di posta elettronica sono Microsoft Office Outlook, Thunderbird di Mozilla, Windows Live Mail, Outlook Express ed Eudora. La seconda categoria è basata sulla tecnologia del browser Internet che quasi ogni sistema operativo ora implementa, come ad esempio Microsoft Internet Explorer, Mozilla Firefox e Safari di Apple. I sistemi di posta elettronica in questione più comunemente in uso oggi sono ad esempio Hotmail, Yahoo Mail, Gmail ecc. che permettono l’accesso dell’utente alla propria casella di posta elettronica residente su un server senza utilizzare un’applicazione client installata nel proprio PC.
