di Fabio Massa
L’Anti-Forensics è l’insieme di strumenti, metodi e processi che ostacolano l’applicazione della Digital Forensics. Sebbene il termine non sia nuovo, non esiste una chiara definizione di queste tecniche, tuttavia lo scopo finale rimane quello di influire negativamente sulla esistenza, quantità e/o qualità delle prove nella scena del crimine digitale, con la conseguenza di rendere impossibile o complesso condurre le indagini. Conoscere l’Anti-Forensics, o non far finta che non esista, consente di affrontare le nuove sfide offerte dalla tecnologia per sviluppare opportune metodologie di identificazione e di analisi digitale adeguate a tutte le situazioni.
1. Introduzione
L’applicazione delle tecniche di Anti-Forensics spesso ricorre in tipologie di reati comuni quali l’accesso abusivo a sistema informatico, per occultare e disperdere le tracce che potrebbero ricondurre all’attaccante, ma anche in attività criminali di rilevante importanza di sicurezza nazionale. Non è raro riscontrare attività di anti forensics nei casi di hacking, terrorismo o campagne di infezione di ransomware, tecniche di spoofing ecc. capaci di rallentare o addirittura impedire il processo di indagine digitale mirato alla produzione delle prove.
Nonostante l’importanza che tali tecniche presentano in ambito investigativo, non esiste una soddisfacente ricerca scientifico- accademica strettamente proporzionale invece a quella presente per la digital forensics. Attualmente non esiste ancora una esatta esplicitazione delle tecniche di anti-forensics, infatti la conoscenza e i campi di applicazione di esse è fornita principalmente dalle esperienze degli investigatori e degli analisti, che spesso si confrontano con casistiche di questa natura. Tuttavia, è opportuno considerare che molte tecniche crittografiche o di wiping (cancellazione sicura), raramente incluse nella definizione “anti-forensics”, vengono impiegate sia in ambito di tutela dei dati personali o aziendali, sia per scopi criminali. Proprio la crittografia, tra le tecniche di anti-forensics, considerata la sua genesi, spesso non viene etichettata nella letteratura come strumento di anti-forensics, alterando la percezione della reale quantità di strumenti disponibili.
La comunità forense, in aderenza con i forensics examiner delle forze di polizia italiane, ha discusso a lungo in merito alle potenziali implicazioni delle tecniche di anti-forensics sulle indagini, in particolar modo sulle tecniche di offuscamento dei dati e sulla crittografia, considerata la bestia nera della Forensics. Difatti molte discussioni e molte preoccupazioni sono spesso accentrate sul tema della crittografia, sostenendo che la crittografia totale o parziale di un supporto di memorizzazione o di una flash memory di un device mobile, è un problema sempre più attuale e crescente a tal punto da ritenere opportuno sviluppare e calibrare un nuovo approccio tattico di tipo tecnico-giuridico, in grado di gestire l’acquisizione di dati provenienti da sistemi live che utilizzano tecnologie di crittografia del disco, del device mobile o altre tecniche utili a garantire il recupero della pass phrase.
Tra i casi più recenti ed esemplificativi dell’utilizzo della crittografia come tecnica di anti forensics c’è il caso della strage di San Bernardino in California (USA), nella quale rimasero coinvolte 14 giovani vittime, e la conseguente controversia Apple vs FBI, dove lo smartphone Apple iPhone 5C, utilizzato da uno dei killer Syed Rizwan Farook, veniva rinvenuto protetto da una password di blocco a quattro cifre e da tecniche crittografiche built-in che impedivano l’accesso a tale dispositivo implementando il wiping in caso di molteplici tentativi di immissione di codici di sblocco, rallentando notevolmente il processo di acquisizione e analisi di tale dispositivo con un notevole dispendio di energie, risorse umane ed economiche, oltre che una controversia senza precedenti nelle aule di giustizia americane tra Apple ed FBI. Nel caso specifico, l’FBI tramite uno zero day è riuscita ad avere accesso al dispositivo senza ricorrere all’assistenza della Apple, evidenziando quanto sia effettivamente importante sensibilizzare ricercatori e professionisti su una più completa comprensione multidisciplinare sull’impatto delle tecniche di anti forensics nelle indagini digitali.
Di seguito verranno illustrate le più comuni e diffuse tecniche di anti- forensics spesso rilevate nei casi di indagine digitale. Tra le più comuni le tecniche di occultamento dei dati all’interno di un sistema operativo, tra le quali.
2. Occultamento dei dati, offuscamento, crittografia, steganografia e spoofing
Le tecniche anti-forensics di occultamento e offuscamento dei dati sono molteplici e largamente utilizzate anche in ambito criminale. L’utilizzo di tali tecniche presentano il vantaggio di poter fruire dei dati nascosti quando vi è necessità. A prescindere dal sistema operativo utilizzato, è possibile nascondere in modo efficace i dati nel disco rigido, nel file system e/o nel sistema operativo. Nascondere i dati in queste aree è possibile a causa di alcune opzioni implementate durante la loro creazione utili a fornire una larga compatibilità con altri elaboratori. In alcuni casi è possibile sfruttare invece le proprietà di gestione dei dati nel file system/sistema operativo.
Articoli pubblicati da Fabio Massa
