di Mauro Valeri
***
L’indagine di polizia giudiziaria puo’ essere definita informatica in due casi, :
1. Quando è tesa all’identificazione dell’autore di crimini informatici, intendendosi con tale accezione, principalmente, quei crimini previsti ed introdotti nel nostro ordinamento dalla legge 547/93.
2. Quando si utilizzano tecnologie informatiche e telematiche nello svolgimento delle investigazioni su reati comuni, già esistenti prima della rete Internet e dell’avvento della cosi’ detta Società dell’informazione.Si pensi, ad esempio, all’ intercettazione telematica operata sulle comunicazioni prodotte da uno spacciatore di sostanze stupefacenti. In questo caso si potrebbe parlare di indagine informatica ma sarebbe piu’ corretto parlare di indagine informatica sviluppata all’interno di indagini “tradizionali” giacchè tale intercettazione andrebbe semplicemente ad aggiungersi ad altri accertamenti classici( pedinamenti, acquisti simulati etc).
Nei casi previsti al numero uno si puo’ parlare di indagine informatica propria, in quelli che invece ricadono sotto le previsioni del numero due di indagine informatica impropria, o, piu’ precisamente, di indagine per risolvere la quale, oltre alle altre, si ricorre anche alle metodologie ed alle tecnologie dell’indagine informatica.
Il delitto di accesso telematico abusivo, previsto e sanzionato dall’ art. 615 ter c.p., introdotto dalla l. 547/93, quando denunciato, dà inizio ad una indagine informatica propria, poiché tale reato rappresenta, per eccellenza, il crimine informatico poiché viene operato per mezzo di computer ed ai danni di sistemi informatici ed in un ambiente che potremmo definire virtuale. La caratteristica fondamentale di tale reato è la difficoltà incontrata dagli investigatori ad attribuire una determinata condotta ad un preciso soggetto in termini immediati.Infatti, in estrema sintesi, l’iter investigativo teso alla ricostruzione della dinamica dell’intrusione ed all’individuazione del responsabile, si sviluppa a ritroso partendo dall’indirizzo ip utilizzato per porre in essere un attacco.L’analisi di tale indirizzo svelerà all’investigatore il provider utilizzato dall’intrusore o , semplicemente, l’ultima macchina da lui “bucata” prima di porre in essere l’attacco.Infatti, qualora l’hacker possegga un buon background tecnico difficilmente si presenterà alla vittima con l’indirizzo ip a lui assegnato dal proprio provider. Piu’ realisticamente invece utilizzerà l’indirizzo ip dell’ ultimo server da lui bucato utilizzandolo come ponte.Si presenta quindi di fronte all’investigatore uno dei due possibili modus operandi utilizzati dall’hacker:
1. L’hacker ha operato con l’indirizzo ip assegnatogli temporaneamente o definitivamente (ADSL etc) dal proprio provider.Questo rende l’indagine estremamente semplice e veloce.Qualche anno fa era estremamente difficile imbattersi in un modus operandi tanto semplice poiché gli hacker erano in possesso di una preparazione tecnica piuttosto elevata e sapevano bene che un tale comportamento sarebbe equivalso a compiere una rapina a viso scoperto per poi fuggire con una autovettura intestata a loro.Vi è pero’, purtroppo, da segnalare che con la diffusione sulla rete Internet di siti web dove prelevare tools che, sfruttando automaticamente le debolezze dei sistemi operativi o degli applicativi, permettono di introdursi nei sistemi informatici gestiti da amministratori di sistema leggermente “sprovveduti”, il target medio degli intrusori informatici si è notevolmente abbassato.Ovviamente esistono ancora molti hacker preparati ma il numero di “script kiddies”, utilizzatori di tool dei quali sconoscono totalmente le dinamiche di funzionamento, è aumentato negli ultimi anni in materia esponenziale.
2. L’hacker ha utilizzato, per porre in essere l’intrusione oggetto di indagine, l’indirizzo ip appartenente ad una macchina precedentemente bucata. Solo una accurata analisi tecnica sulle informazioni presenti in questa macchina ci rivelerà se la stessa è stata utilizzata come ponte o se l’hacker ha operato direttamente dalla tastiera di quella macchina. Le intrusioni compiute dagli hacker piu’ dotati sono caratterizzate dalla lunghezza della catena dei server violati, catena che l’investigatore dovra’ percorrere a ritroso fino ad individuare la macchina (la prima della catena)dove l’ intrusore è entrato utilizzando l’ip a lui assegnato dal proprio provider.
Cio’ che è importante sottolineare per comprendere appieno la difficoltà di tali indagini è che tra le macchine compromesse lungo la “catena” ve ne potrebbe essere qualcuna allocata in territorio straniero.
Di fondamentale importanza risulta essere, nei casi nei quale vi è il “coinvolgimento” di diversi Stati, la determinazione della competenza dell’Autorità Giudiziaria.
L’articolo 6 del codice penale a tal proposito recita:
“Chiunque commette un reato nel territorio dello Stato è punito secondo la legge italiana.Il reato si considera commesso nel territorio dello Stato, quando l’azione o la omissione, che lo costituisce, è ivi avvenuta in tutto o in parte, ovvero si è ivi verificato l’evento che è la conseguenza dell’azione od omissione.”
Ipotizziamo ora due casi:
Un hacker, operante dall’Italia, accede abusivamente ad un server tedesco.
Un hacker , operante dala Germania, accede ad un server italiano.
Applicando l’articolo 6 al primo caso sarà competente l’AG italiana poiché “il reato si considera commesso nel territorio dello Stato, quando l’azione o la omissione, che lo costituisce, è ivi avvenuta”, nel secondo caso sarà comunque competente l’AG italiana poiché” si è ivi verificato l’evento che è la conseguenza dell’azione od omissione.”
Cio’ comporta che l’AG italiana potrebbe operare in ogni caso nel quale, o l’attaccato o l’attaccante si trovi in Italia.Come si puo’ facilmente intuire da quanto sopra esposto il problema della competenza territoriale è stato al centro di molti dibattiti internazionali tra magistrati e Forze di Polizia europee ed extra europee. Le conclusioni a cui si è giunti sono state che opererà certamente l’Autorità Giudiziaria del paese in cui si trova il server acceduto abusivamente (sempre se il reato di intrusione informatica sia previsto nel codice penale del Paese).L’Istituto che permette la cooperazione tra le Autorità giudiziarie dei diversi paesi è quello della Rogatoria internazionale il quale è espressamente previsto dal nostro Codice di Procedura penale.Tale Istituto è utilizzato per effettuare “comunicazioni, notificazioni e per attività di acquisizione probatoria” ed ha inizio con la richiesta di assistenza giudiziaria internazionale effettuata da un magistrato.Detta richiesta viene trasmessa al Ministro di Grazia e Giustizia il quale provvede all’inoltro per via diplomatica.Come si puo’ vedere il procedimento è lungo ed oneroso e, per tale motivo, nella pratica, la rogatoria viene concessa solo per reati di gravità oggettivamente rilevante.Dati i tempi intercorrenti tra l’attivazione di tale Istituto e l’ottenimento dei dati necessari al proseguimento delle indagini, le forze di Polizia, grazie a specifici accordi di reciprocità, possono chiedere direttamente alla Polizia del paese ove si trovano i dati necessari per sviluppare le indagini, di “congelarli” in attesa che si sviluppi il decorso della rogatoria.La Polizia che riceve una tale richiesta richiede quindi, al provider o all’Azienda che detiene tali dati , di conservarli.Individuata la macchina da cui l’hacker ha operato si cerca poi di identificare il soggetto.Questo, nel caso in cui si sia collegato dalla propria abitazione o comunque da una abitazione privata puo’ risultare relativamente semplice.Se, invece, questa macchina è inserita all’interno di una azienda o, peggio ancora, in una università o in una biblioteca, l’identificazione del soggetto diviene particolarmente ardua.Saremo fortunati se, per accedere a tale macchina, l’hacker ha dovuto utilizzare dei codici a lui assegnati per autenticarsi o se tale pc sia in uso esclusivo ad una sola persona.Ma, l’esperienza insegna che, purtroppo, non sempre questi minimi accorgimenti di sicurezza vengono posti in essere e a volte risulta difficilissimo stabilire la persona che era fisicamente di fronte alla tastiera con ragionevole certezza.Vi è pero’ da dire, per completezza di informazione, che la situazione sta migliorando notevolmente con l’introduzione delle misure minime di sicurezza previste dal D.P.R. 318 del 1999 e successive modificazioni.
Generalmente, l’indagine informatica ha origine a seguito del verificarsi di una delle situazioni sotto citate:
· Denuncia/querela della parte lesa
Si tratta sicuramente, con riferimento ai numerosi casi occorsi, del principale motivo di avvio dell’attività di indagine di tipo “informatico”. Vi è da notare che cio’ risulta peraltro in perfetta analogia con quanto accade nelle indagini di tipo “classico”. La parte lesa è infatti, solitamente, la prima ad accorgersi del reato perpetrato nei suoi confronti ed è del tutto naturale che sia essa stessa ad informare la Polizia e l’Autorità Giudiziaria dell’accaduto manifestando, contestualmente, la propria volontà di procedere contro gli autori del fatto.Bisogna inoltre considerare che alcuni reati informatici, tra i quali l’accesso telematico abusivo, quando non si sia verificato alcun danneggiamento dei dati né altre circostanze aggravanti, sono perseguibili esclusivamente a querela di parte.Essendo quindi la querela una conditio sine qua non per perseguire gli autori del reato, ne consegue che le indagini avviate a seguito della stessa rappresentano, numericamente, l’assoluta maggioranza.
· Indagine avviata su iniziativa della Polizia Giudiziaria
Monitorando, per quanto possibile, la rete Internet ed in special modo chat e newsgroup, ci si puo’ imbattere in utenti che postano messaggi o “chattano” utilizzando degli indirizzi ip molto particolari quali quelli appartenenti ad Istituzioni pubbliche. Se questo puo’ apparire normale(o quasi) alle 10 di mattina non lo sarà certo alle 3 di notte quando, ad esempio, università e ministeri sono chiusi.Cio’ rappresenterà un indizio che spinge a pensare che quel sistema informatico sia stato violato, cosa di cui, molto probabilmente, si avrà conferma contattandone l’amministratore.Peraltro puo’ invece accadere che l’indagine abbia inizio dal contenuto delle conversazioni intercorrenti tra vari soggetti o dal contenuto di alcuni messaggi postati in chat o newsgroup dai quali si evince che l’autore del messaggio abbia operato degli accessi abusivi.Capita spesso infatti di assistere ad intrusioni operate solo per spirito ludico o di sfida.In questi casi difficilmente l’intrusore rinuncerà a vantarsi, piu’ o meno pubblicamente, delle proprie malefatte.
Questi i caratteri generali dell’indagine informatica che si sviluppa a seguito di un accesso telematico abusivo. Risulta molto utile a questo punto elencare, seppure sinteticamente, gli elementi che in questi casi vengono richiesti agli amministratori di sistema o comunque ai responsabili informatici che abbiano subito una illecita intrusione e che intendano denunciarla. La collaborazione di tali soggetti risulta infatti di vitale importanza per il buon esito delle indagini.E’ infatti importante che questi, ad integrazione della semplice denuncia, forniscano, contenuta all’interno di una relazione tecnica, la seguente documentazione:
bullet Copia dei file di log relativi agli illeciti accessi comprensivi della data, dell’ ora, della durata della connessione dell’ intruso nonche’ dell’ indirizzo IP da questo utilizzato per porre in essere tale operazione.
I server dispongono di sistemi di “auditing” finalizzati alla registrazione di numerose attività svolte sugli stessi, sia per motivi diagnostici e di manutenzione, sia per motivi di sicurezza. La registrazione delle attività avviene in maniera cronologica in specifici file detti “file di log”. E’ così possibile ad esempio tenere traccia di ogni accesso e di ogni tentativo di intrusione al sistema, nonchè effettuare la ricostruzione di una sequenza di eventi dall’inizio alla conclusione.Una delle prime operazioni svolte dall’hacker su un server violato è proprio quella di alterare o eliminare i file di log in maniera tale da cancellare le tracce dell’intrusione e delle attività svolte sul server stesso.Nel caso in cui detta operazione non fosse effettuata alla perfezione, sarebbero riscontrabili elementi, come ad esempio l’Ip dinamico assegnato dal provider alla macchina dell’ hacker, con il quale questo si è connesso al server da attaccare, tali da permetterne una facile identificazione.Disponendo di tali dati la polizia giudiziaria potrà richiedere all’ A.G. l’emissione di decreti di acquisizione di files di log che andranno notificati al provider che ha assegnato l’ip “incriminato” o alla società gestitrice di tale indirizzo, onde ottenere i dati dell’ utente ed il caller id utilizzato nella connessione.
· Dichiarazione di corretto “settaggio” degli orologi della macchina attaccata e relativo fuso orario utilizzato.
Spesse volte, nelle indagini informatiche, la polizia giudiziaria deve ricorrere ai collaterali organi investigativi esteri poiche’ gli indirizzi IP utilizzati per portare l’attacco sono stati assegnati da provider e società posti fuori dal territorio nazionale.In questo caso, risulta di fondamentale importanza indicare il fuso orario utilizzato dall’orologio del server attaccato. Nel caso in cui gli orologi della macchina non fossero perfettamente allineati all’orario corrente bisognerà farne espressa dichiarazione all’atto della denuncia indicando l’esatto “sfasamento temporale”.
· Indicazione della tipologia della rete nella quale è inserita la macchina attaccata.
L’indicazione della tipologia della rete puo’ rivelarsi molto utile poiché permette di identificare eventuali “punti deboli” e puo’ essere utilizzata come base di partenza per una attenta analisi di quanto accaduto. Inoltre, da essa saranno desunti i controlli di integrità prioritari da effettuare sulle macchine della stessa rete onde accertare che le stesse non siano state compromesse.Risulta infatti evidente che, ad esempio, se una macchina è in rapporto di “trusted” con un’altra, l ‘essere riusciti ad ottenere dei privilegi su una equivale, quasi, ad averli anche sull’altra.
La collaborazione dell’amministratore di sistema sarà determinante in questa fase poiché nessuno, almeno in teoria, conosce un sistema meglio di colui che lo amministra.
· Indicazione del sistema operativo e dei principali applicativi installati nella macchina.
Questa indicazione risulterà di estrema utilità per capire se l’intrusore abbia sfruttato, per accedere alla macchina, qualche “bug” noto. Una delle attività svolte dall’ hacker è, infatti, quella di tenersi costantemente aggiornato, mediante discussioni svolte su appositi canali IRC, messaggi postati sui newsgroup, consultazione di siti web ecc., sui vari errori di programmazione presenti nei diversi sistemi operativi. Essi sono denominati “bug” e la loro conoscenza permette, tramite appositi applicativi chiamati exploit, di sfruttarli al fine di penetrare all’interno dei sistemi stessi.Poiche’ il bug è, come abbiamo detto, un errore di programmazione, e, dal momento che probabilmente nessun programma ne è immune, vi sono circa trenta segnalazioni al giorno consultabili nelle mailing list specializzate nel settore sia dagli hacker che dagli amministratori di sistema.Ne consegue che la competizione tra l’amministratore di sistema e l’hacker è sempre aperta poiché, ad ogni bug scoperto dall’hacker, segue la crezione di applicativi chiamati “patch”, che servono eliminare il difetto del sistema sfruttato dai bug. Il termine bug, che in inglese significa insetto, deriva da una farfalla che, nel settembre del 1949, si incastro’ all’interno di un contatto di un relay dell’ ENIAC, causandone alcune anomalie di funzionamento.
· Nominativo del responsabile tecnico della macchina attaccata che potrà fornire ogni ulteriore precisazione tecnica ritenuta necessaria alle indagini.
Seppure generalmente le indagini sui computer crime sono compiute con la massima celerità possibile, data la breve durata dell’esistenza degli elementi che permettono di risalire all’autore di detti crimini, puo’ accadere, in special modo quando le indagini assumono una dimensione internazionale, che i tempi di risoluzione delle stesse si allunghino.In questi casi, qualora la Polizia giudiziaria, trascorso un lasso di tempo rilevante, dovesse abbisognare di ulteriori elementi o precisazioni di carattere tecnico, risalire alla persona che all’interno dell’azienda era deputata a cio’ ai tempi dell’attacco puo’ risultare difficile.Il responsabile tecnico della macchina attaccata potrà essere, inoltre , di notevole ausilio alla polizia giudiziaria in sede processuale.
· Indicazione delle operazioni compiute dall’intrusore e stampa dei file dai quali possa evincersi la condotta dello stesso.
E’ utile ricordare che, nei sistemi Unix like, nel file Bash History vi sono contenute tutte le operazioni effettuate da un determinato utente. Cio’ puo’ essere di enorme rilevanza, ad esempio, nel caso in cui la nostra macchina venga utilizzata come ponte per sferrare attacchi ad altri sistemi informatici.Nei sistemi Microsoft vi è una ampia possibilità di scegliere quale operazioni, effettuate dagli utenti, debbano essere registrate nei file di log.Gli elementi investigativi a disposizione dipendono quindi da come è stato settato il sistema dall’amministratore.Nel sistema operativo Windows NT , ad esempio, utilizzando la voce Audit il sistema puo’ essere configurato affinché registri nel Security Log ogni tentativo fallito di Logon o Logoff. In esso quindi potranno trovarsi utilissimi elementi investigativi.
· Elenco dei danni arrecati ai file ed ai programmi nonchè delle “ore uomo” dedicate al corretto ripristino della macchina in condizioni di sicurezza.
Capita la dinamica dell’intrusione, risulta assolutamente necessario porre in essere alcuni elementari rimedi prima di collegare nuovamente la macchina alla rete.Puo’ verificarsi infatti, solo per citare alcuni esempi, che il file delle password sia stato decrittato o, ancora, il caso in cui l’intrusore abbia inserito delle backdoor/troiani all’interno del sistema. Puo’ inoltre accadere che, all’interno della nostra rete sia stato posto uno sniffer che intercetta tutti i pacchetti transitanti in un determinato segmento di rete. Risulta evidente che, una macchina ricollegata alla rete in queste condizioni è assolutamente insicura e sarà presumibilmente oggetto di nuove “visite”.Inoltre, a riprova dell’ utilità della indicazione dei danni arrecati e delle “ore uomo” utilizzate per il corretto ripristino della macchina attaccata, giova evidenziare che, oltre all’azione penale, si potrà esercitare, sul responsabile dell’attacco, una azione civile tesa al risarcimento dei danni provocati ed delle “ore uomo” perse per il ripristino del sistema.
Si consiglia, inoltre, proprio perchè risulta spesso difficile capire l’effettivo grado di compromissione della macchina o della rete attaccata, di effettuare una copia di backup delle directory e/o file interessati dalle modifiche, alterazioni o contenti informazioni relative all’attacco.Infatti, l’intrusore potrebbe “tornare” e cancellare tutti gli elementi che portano alla sua identificazione.Tale copia sarà, inoltre, estremamente utile in fase processuale perchè ogni analisi ritenuta opportuna dall’ A.G. sarà effettuata sulla stessa e non sulla macchina.
Infine un consiglio utile alle vittime di un attacco informatico è quello di rivolgersi agli Uffici di Polizia specializzati in indagini informatiche poichè si potrà contare su interlocutori tecnicamente validi ed in grado di poter valutare con esattezza quale metodologia investigativa porre in essere per individuare il responsabile.A tal fine giova evidenziare che il Servizio della Polizia Postale e delle Comunicazioni, avente sede in Roma, coordina, sul territorio nazionale, 19 Compartimenti,aventi competenza regionale, e 76 Sezioni con competenza provinciale, cosi’ da assicurare una presenza articolata e diffusa in tutto il territorio e da porsi come valido punto di riferimento per i cittadini, le aziende e le Istituzioni pubbliche, nel contrasto ai computer crime.
Scrivi un commento
Accedi per poter inserire un commento