Internet Investigation & Forensics
...il crimine sulla più grande delle reti: la Rete delle reti, Internet!
Luglio 2007
Una volta si pensava che la propria rete aziendale o privata potesse essere resa sicura semplicemente chiudendola o impiegando strumenti proprietari. Da questo punto di vista le indagini di eventuali crimini collegati a tali reti si risolvevano in un'attività circoscritta e limitata. Oggi l'apertura verso Internet è la chiave principale del business sia personale che aziendale da cui le indagini si sono dovute aprire su un panorama immenso, spesso di natura mondiale...
Premessa
Le indagini su Internet possono riguardare la rete delle reti sotto diversi punti di vista:
(1) strumento essenziale: si tratta dei crimini perpetrabili esclusivamente in ambiente Internet o comunque per i quali la Rete delle reti riveste un ruolo fondamentale dal punto di vista dell'esistenza della fattispecie di reato (es. un attacco distribuito ad un web-server che ne determina una caduta dei servizi - DOS).
(2) strumento importante: si tratta di crimini in ambito reale che si sono realizzati impiegando la Rete delle reti come strumento determinante (es. un attacco terroristico coordinato mediante VoIP).
(3) strumento inessenziale: si tratta di tutti quei crimini in cui Internet gioca ruoli minori quali riportare informazioni direttamente o indirettamente su (1) eventi accaduti che costituiscono reato, (2) l'identificazione di soggetti responsabili o vittime di reati, (3) la localizzazione spazio-temporale di individui ed apparecchiature, (4) l'avvenuto incontro di persone a scopo di coordinamento di azioni illegali, (5) transazioni economiche legali o illegali, ecc.
La definizione
L'Internet Investigation & Forensics nasce in seno al NF di cui è un sub-campo estremamente rigoglioso e trainante. Alcuni anni fa, quando si parlava di indagini su Internet ci si riconduceva a perseguire attacchi informatici a strutture più o meno complesse e critiche. Oggi questa è solo una parte delle grandi possibilità investigative che si hanno sulla rete delle reti.
Ciò che è necessario puntualizzare è che Internet è dal punto di vista investigativo l'infrastruttura di base per la fornitura ad un vastissimo pubblico di innumerevoli, dinamici e flessibili servizi di natura informatica ed informativa (i primi attengono i software, i secondi attengono le informazioni...). L'indagine quindi si concentra sui servizi ed anzi ci sono differenti tipi di indagine tecnica a seconda del particolare servizio interessato.
Indagini e Servizi
Esistono su Internet un'enormità di differenti servizi spesso poco differenti tra loro. Le seguenti categorie tentano di raggrupparli allo scopo di evidenziare i macro-settori di indagine tecnica che ne derivano. Non si ha la pretesa di essere esaustivi ma la panoramica dovrebbe servire a comprendere quanto sia difficile l'approccio investigativo all'Internet Investigation & Forensics e di quali enormi competenze si debba dotare lo specialista che ha intenzione di lavorarvi.
(1) World Wide Web
Il web, disponibile dal 1991 è un servizio talmente diffuso su Internet che spesso ci si sente riferire ad esso come Internet stesso. Si tratta ovviamente di un errore di cattiva interpretazione dovuto all'ignoranza sul funzionamento del sistema Internet unita alla semplicità con la quale il web permette di accedere a quasi tutti gli altri servizi rendendoli estremamente amichevoli e quindi alla portata di tutti (da cui l'enorme potenziale commerciale).
Ad oggi e sempre più nel futuro, il web rappresenta il più grande archivio informativo della storia umana che sia stato mai organizzato. A tale proposito è già di principio una sorgente di dati investigativi senza precedenti. Il primo impiego criminale, invece, si è basato sulla pubblicazione di dati utili al conseguimento di azioni illegali, si pensi al traffico di armi e droga, al materiale pedo-pornografico, ecc.. Successivamente, con l'incrementare della potenza di elaborazione dei PC e con la sempre maggiore disponibilità di banda, il business illegale si è allargato alle transazioni economiche on line mediante carte di credito, intermediari virtuali, ecc. Il passo successivo è stato comprendere le potenzialità del web quale elemento di comunicazione e coordinamento su larga scala da cui l'impiego per la realizzazione di importanti attività illegali distribuite. A tale proposito sono stati resi disponibili sistemi di ridirezionamento e di anonimizzazione che attualmente sono divenuti servizi facilmente usufruibili su Internet. Dall'altra parte le problematiche di illegalità hanno stimolato il rafforzamento del web crittato, delle certificazioni, ecc..
(2) Electronic Mail
Il servizio di posta elettronica è nei suoi elementi base estremamente vulnerabile ed inaffidabile. Non presenta elementi, nel servizio di base, che ne possano garantire l'autenticità nè dei contenuti, nè del mittente e non include particolari meccanismi (affidabili) per la verifica dell'avvenuta ricezione. Di contro il protocollo SMTP su cui si basa è talmente semplice ed adattabile che ne ha fatto la fortuna su scala planetaria.
Le indagini sulle frodi tramite email sono un "must" per qualsiasi investigatore tecnico informatico. Sono ormai così comuni che diversi meccanismi di sicurezza hanno implementato il primo SMTP, talvolta su più livelli. I client di posta sono divenuti molto sofisticati ed ospitano nativamente sempre più spesso meccanismi di crittazione a chiave pubblica/privata, di certificazione, di firma digitale, ecc..
I messaggi di posta elettronica, da semplici accozzaglie di testo si sono trasformati in testi strutturati, suddivisi in sezioni delle quali la prima, l'header o intestazione rappresenta un elemento determinante nelle indagini in quanto punto di partenza per il tracciamento dei mail server che hanno fatto da "ponte" per la trasmissione, per i tempi, per le posizioni spaziali, ecc..
(3) File Transfer Protocol
Il servizio FTP permette il trasferimento di dati raccolti in file tra sistemi remoti su rete TCP/IP e la gestione remota di repository di file. Si tratta del protocollo più impiegato per lo scaricamento ed il caricamento di qualsiasi tipo di file su Internet e le indagini in questo settore riguardano soprattutto il tracciamento delle fonti, le intercettazioni dei dati trasmessi ed il logging delle attività di downloading/uploading di soggetti o indirizzi IP sotto controllo.
(4) Chat Rooms & Instant Messaging
Esistono ormai centinaia di migliaia di chat-room a livello mondiale su praticamente qualsiasi tipo di argomento l'essere umano sia in grado di disquisire. Si tratta di un servizio di comunicazione sostanzialmente tempo reale che può coinvolgere sia gruppi di utenti in canali tematici che coppie di utenti in una scambio informativo privato. Il protocollo IRC (Internet Relay Chat) è nato, come per le email, su base prettamente byte-stream e quindi orientato al puro, leggero, semplice e molto efficace scambio di messaggi alfanumerici sulla rete basandosi su protocolli come TCP/IP e talvolta anche SSL/TSL. Ad oggi, ovviamente, estensioni e modifiche del protocollo consentono lo scambio anche di file non testuali o di messaggistica multimediale.
Le chat sono responsabili per la creazione e proliferazione di veri e propri movimenti sub-culturali molti dei quali, sfortunatamente, legati a fenomeni ed attività criminali. Ovviamente i pedofili hanno trovato in questo ambiente una florida area di attività, sia per comunicare, che per ottenere/diffondere materiale illecito che per contattare minori e progettare incontri reali.
ICQ, Instant Messaging, SMS, MMS, chat sono spesso usati in connubio tra loro per rendere operativa una forma di connettività che va oltre la presenza sul PC. Questi sistemi di comunicazione tempo reale tendono sempre più a spingere l'utente a rispondere in breve tempo ai messaggi e rimanere connesso in qualsiasi frangente. Dal punto delle persone con basso grado di difesa, ad esempio i minori, questa modalità di "pushing" delle comunicazioni rappresenta un vincolo alla presenza e continuo impiego del cellulare (smartphone) e del PC da cui una terribile efficacia nell'influenza sui comportamenti.
L'Instant Messagging integra praticamente sempre (in ogni implementazione su software o remota) i servizi di messaging testuale, lo scambio di file (poco efficiente a dire il vero ma data la velocità delle reti attuali l'utente comune non ne prende atto), di URL ed il VoIP realizzando quindi potenzialmente sia collegamenti PC-PC che PC-smartphone o smartphone-smartphone.
L'intercettazione su IRC o ICQ/IM o l'attività proattiva sui canali rappresentano le attività forensi fondamentali su questi protocolli e data la natura multiforme di tali comunicazioni i tool da impiegare per integrare le risultanze sono complessi e bisogna dire ancora in via di sviluppo/assestamento dal punto di vista tecnico.
(5) Peer to Peer
Il P2P è nato come alternativa al paradigma client/server largamente applicato nel contesto delle grandi reti digitali. L'obiettivo, ottimamente centrato, era quello di consentire la condivisione di grandi quantità di risorse (file in primis ma anche applicazioni, banda e servizi di vario altro tipo) mediante un sistema che risulti il più distribuito possibile e quindi estremamente reattivo ai guasti e con un performante protocollo di recovery dei dati implementato.
Napster, KaZaa, ecc sono implementazioni reali di protocolli che enfatizzano una distribuzione enorme delle risorse le quali possono proliferare tra i nodi a velocità incredibili e su aree geografiche che coprono l'intero globo. Queste caratteristiche hanno fatto del P2P il protocollo ideale per la condivisione di file protetti da copyright come software, musica, video, ecc.
Esistono diverse categorie di P2P, alcune delle quali devono reggersi su dei "server di indicizzazione" dei dati i quali rappresentano comunque un importante punto di riferimento per l'investigatore che volesse tracciare dei dati. Altre si reggono su strutture completamente distribuite (tutti i nodi sono equivalenti) o parzialmente distribuite/centralizzate. In questi casi le indagini assurgono a livelli di complessità enormi soprattutto perchè normalmente valicano le barriere internazionali.
Negli ultimi tempi le varie reti P2P attive hanno consentito lo scambio di una enorme quantità di file multimediali illeciti che propagano attraverso i nodi con grande velocità rendendo spesso inattuabile la ricerca della prima sorgente (colui che ha avviato lo sharing). Di contro è possibile individuare abbastanza efficacemente coloro che hanno acquisito parzialmente o totalmente i dati in condivisione determinando quindi l'avvio di indagini nel mondo reale.
(6) Telnet
Servizio di attività remota, il Telnet, permette di impiegare un sistema remoto con una piattaforma basata su scambio di comandi testuali. Semplice, flessibile ed estremamente utile per tentare di penetrare i sistemi, si tratta di un protocollo elementare insostituibile per chiunque operi su Internet, anche per svolgere indagini. Le attività forensi inerenti il telnet riguardano soprattutto l'individuazione e/o la ricostruzione delle azioni di intrusione informatica su sistemi protetti.
(7) VoIP
Protocollo che permette di ricetrasmettere chiamate telefoniche vocali o video/vocali su Internet (o comunque rete TCP-UDP/IP). Il servizio è stato espanso a video conferenza, chiamate multiple e comunicazioni crittate in real time praticamente non intercettabili (almeno su canale di trasmissione...). Le indagini riguardano il tracciamento della posizione dei nodi, la decrittazione real-time o leggermente differita e le relazioni con l'intercettazione classica o con lo scambio di messaggistica, sia cellulare MMS/SMS che Internet (IM). Questo settore investigativo presenta notevoli difficoltà di gestione, soprattutto dal punto di vista legale dato che il VoIP viene comunemente supportato da canali virtuali internazionali per i quali i limiti di competenza sono molto difficili da stabilire.
(8) Virtual Communities
Una comunità virtuale o "on-line community" è semplicemente un gruppo di utenti che si integrano tra loro dal punto di vista comunicativo mediante diverse forme di protocolli impiegabili su Internet. Oltre i protocolli già visti ne esistono di altri in rapida evoluzione. Di seguito se ne segnalano alcuni:
- BBS (Bulletin Board System): protocollo datato creato per scaricare/caricare programmi e file e messaggistica tra utenti connessi tramite MODEM. Ad oggi è stato riconvertito in uno strato software che opera sopra TCP/IP mediante ad esempio telnet realizzando di fatto un nuovo concetto di BBS che può viaggiare anche su canali a larga banda e non è più vincolato al MODEM. Data la sua semplicità ed efficienza spesso lo si impiega come ulteriore strato software atto a supportare nuove tipologie di sub-network magari operanti su canali crittati (una sorta di VPN).
- FORUM: sistemi web-based che hanno ripreso lo schema delle BBS per proporre delle aree di discussione e scambio messaggistica, file, URL, ecc.
- BLOG: sistemi sempre web-based realizzati sulla falsa riga di una raccolta giornalistica dei documenti in ordine cronologico inverso. Ne esistono sia di testuali che multimediali.
- WEBCOMIC: cartoni di diverso tipo disponibili su web-archive per la diffusione, lo scambio, ecc.
- VIRTUAL WORLD: sistemi remoti per la simulazione di ambienti o situazioni nonchè per l'interazione tramite agenti virtuali, tra utenti. Molto noti i giochi virtuali di natura sociale.
- USENET: sistema di messaggistica email-based distribuito.
Il problema fondamentale delle virtual communities dal punto di vista investigativo ed a mio parere anche sociale è che determinano nuove tipologie di interazione tra le persone spesso non preventivabili sulla base di un comportamento definito normale in un ambiente reale. Ad esempio l'anonimato o il cambiamento di identità, nonchè falsificare le caratteristiche personali, non sono affatto percepite come fonte di possibili azioni negative ma semplicemente accettate come regole di un nuovo "gioco" in cui talvolta nulla è reato.
(9) VPN & Cripto
Le Virtual Private Network sono fondamentalmente basate sul principio di incanalare le comunicazioni digitali su tunnel cripto basati su protocolli che già operano pubblicamente senza nessun sicurezza impostata. Lo scopo fondamentale è fare di Internet un puro mezzo di trasmissione, al pari di un sofisticato "cavo" (mi si perdoni la semplificazione di questa considerazione) in grado di collegare diversi nodi di una organizzazione qualsiasi garantendo alla fine una comunicazione di natura privata, ossia che possa identificare con certezza mittenti e destinatari delle trasmissioni nonchè assicurare la non leggibilità e/o alterabilità dei dati ricetrasmessi da parte di chiunque non faccia parte dell'organizzazione stessa. Si parte quindi da Internet confidando nella sua capillarità a livello geografico ben consci, inoltre, della sua mancanza di affidabilità e sicurezza per generare canali appunto affidabili e sicuri a basso costo.
Le VPN che supportano attività criminali, dal punto di vista investigativo, rappresentano spesso esse stesse la dimostrazione dell'esistenza di un'organizzazione criminale di discreto profilo. Pensare di penetrare una VPN senza infilarsi tra le maglie dell'organizzazione criminale che l'ha creata è fatto di scarsissima probabilità. Il punto debole delle VPN, infatti, è proprio il fattore umano e raramente si determinano delle falle di natura tecnica così evidenti da portele impiegare, anche solo per breve tempo.
Esempi di sistemi cripto che impiegano Internet come mezzo di trasmissione al pari delle VPN sono diversi, ad esempio il TOR (http://tor.eff.org) che fondamentalmente è una sub-rete dinamica di tunnel virtuali, oppure freenet, una sub-rete P2P che opera in cripto, ecc..
Per finire, parlando di cripto su Internet non si può evitare di citare le tecniche steganografiche che, data la semplicità di impiego e l'efficacia, trovano largo impiego nello sharing P2P, negli allegati delle email, ecc. attraverso foto, video e soprattutto file sonori che nascondono, nel loro "rumore", file a loro volta crittati e/o compressi.
Problematiche investigative/legali aperte
Le sfide dal punto di vista investigativo e legale che Internet ha aperto sono molte e di notevole spessore.
Innanzitutto la questione inerente gli Internet Service Provider (ISP) e la loro capacità o meno di intervenire per (a) prevenire determinati crimini, (b) fornire i mezzi alla polizia giudiziaria per indagarli. Senza entrare nel merito (in quanto richiederebbe una valutazione di natura tecnico/politico che non voglio riportare) Ricordo infatti che sebbene non sia possibile svolgere certi tipi di indagine tecnica senza il supporto degli ISP, l'installazione, da parte di essi, di sistemi atti all'attività forense ed al tracing risulta in un notevole costo sia in termini di preparazione del personale che di acquisizione dei tool.
Successivamente vengono diverse problematiche relative all'uso di Internet, alla politica di controllo che si dovrebbe impostare ed all'intrinseca debolezza di questo strumento (IPV4) dal punto di vista dell'identificazione degli utenti e della caratterizzazione delle loro responsabilità. Fermo restando che si possono impiegare software locali e servizi online i quali garantiscono una qualche forma di anonimato o di furto o occultamento di identità ci si interroga sulla necessità di regolamentare tali aspetti con ferree leggi. Rimane ovviamente la problematica della crittazione che, sebbene dichiarata illegale per alcuni aspetti in aree quali gli USA, si è dimostrata inattaccabile agli strumenti legali, per non parlare poi ovviamente delle aree geografiche "franche" in cui sono situati ISP non soggetti a particolari leggi penali i quali forniscono servizi anonimi spesso atti a coprire attività illegali.
Tipologie di reati su Internet...
Le tipologie di reati su Internet sono le più varie. Non ci soffermerà nuovamente sulla differenziazione tra reati classici supportati da mezzi tecnologici e reati di natura completamente telematica anche se la legge penale italiana crea precise distinzioni. Questo piccolo paragrafo è solo per ricordare brevemente la grande varietà di attività illegali svolte con/sulla Rete delle reti:
- traffici di armi, droga ed altro materiale illegale, violazione di copyright;
- coordinamento di attività illegali ivi incluse azioni terroristiche;
- frodi su transazioni ed acquisti sia in relazione al materiale acquistato che sui mezzi di pagamento;
- commercio di persone, schiavitù e pedofilia;
- estorsioni e riciclaggio del denaro sporco;
- azioni di pirateria informatica criminale intesa a realizzare spionaggio industriale, cyber terrorismo, ecc., diffusione di virus e trojan, worm e malicious code in generale atti a distruggere servizi.