Nell’ambito della Digital Forensics l’analisi della memoria volatile (cosiddetta RAM) occupata da un computer o da altri dispositivi simili, gioca un ruolo di primo piano nelle attività di indagine forense.
Talvolta non si può fare a meno di agire sulla scena del crimine e pertanto l’analisi dei reperti deve iniziare prima della copia forense o del sequestro fisico degli apparati coinvolti. Ci si può pertanto trovare in situazioni nelle quali i reperti oggetto di indagine sono accesi e operativi. Molte delle possibili prove possono trovarsi in quest’area di memoria volatile e pertanto potrebbero essere perse o comunque subire un degrado se non gestiste in modo corretto. Alcuni esempi di questi dati utili possono essere: chat aperte, protezioni tramite crittografia che potrebbe compromettere l’accesso ai dati durante una analisi post-mortem, connessioni attive, processi in esecuzione, moduli caricati e in utilizzo nella sessione utente e quant’altro possa essere di interesse per il caso specifico.

Altro elemento da valutare in questi casi è lo spegnimento forzato del sistema mediante l’interruzione dell’alimentazione elettrica, senza considerare un possibile danno di natura elettrica/elettronica che tale procedura può implicare e ritenendo che il costo di queste perdite sia minimo rispetto ad una errata procedura di acquisizione a cura di personale non specializzato nel repertamento “live” ma più propenso ad effettuare un repertamento di tipo fisico (sequestro di apparati informatici/elettronici). E’ possibile pertanto affermare che la metodologia dello spegnimento forzato determina perdite di dati, soprattutto in ambito RAM e quindi in tutto ciò che in essa è presente.

Oggi si sta configurando un nuovo modello operativo in cui le fasi di repertamento live e statico interagiscono secondo uno schema non necessariamente sequenziale. Anche il reporting non è quello del forensics statico, che si propone di spiegare in dettaglio le attività svolte e presentarle in sede di giudizio, in questo caso il reporting andrebbe considerato come un’attività di tracciamento documentale o multimediale (video e log file) delle attività svolte a runtime. E’ quindi importante chiarire che le attività svolte dal punto di vista tecnico divengono minime nell’attività “live” mentre l’approccio statico tende a generare attività ripetibili dal punto di vista sia tecnico che legale, le attività live sono invece irripetibili da cui deriva l’assoluta necessità di un puntuale e affidabile reporting.
Importante aspetto nell’attività di live forensics è che non esistono degli standard accreditati e validi per l’Italia né tools o software specifici dedicati a tale scopo. L’elemento essenziale è attualmente la preparazione tecnico/legale della persona preposta ed incaricata ad operare con le dovute competenze e capacità di impiego di strumenti adatti all’ambito di applicazione. In nessun caso questa figura dovrà avvalersi di eseguibili presenti sulla macchina indagata ma attenersi scrupolosamente a software noto e testato memorizzato su supporti di memoria portatili. Questi tools devono inoltre essere direttamente utilizzabili senza dover procedere ad una eventuale installazione in quanto tale processo comporterebbe una scrittura sul filesystem e quindi una possibile sovrascrittura di aree di memoria di possibile interesse.

Altra fase di rilievo e quella di preservare la prova una volta acquisita, l’evidenza quindi deve essere trattata in modo tale che l’investigatore possa, in un secondo momento, dimostrare che non venga alterata o manomessa anche perché, trattandosi di una procedura irripetibile, la stessa diventa un punto di riferimento per ulteriori copie richieste all’occorrenza. Il metodo più utilizzato in questi casi è quello di calcolare un hash dei dati acquisiti, solitamente tramite funzioni quali MD5 o SHA-1, in modo tale che durante le fasi di lavorazione lo stesso possa venir ricalcolato e comparato con hash del primo repertamento.

Il consiglio in conclusione è quindi quello di trattare la live forensics con molta cautela e limitare il suo impiego ai casi in cui risulta davvero indispensabile, ossia nei quali non esistono altre metodologie tecniche da poter mettere in campo per quel caso specifico. Occorre però valutarne anche i vantaggi delle attività “live” ovvero la velocità di esecuzione che consente alla magistratura ed ai legali di avere “evidenze” in tempi rapidi. Questo però non deve far correre il rischio di sottovalutare le situazioni e di farsi prendere da una fretta che potrebbe invece dimostrarsi acerrima nemica da tenere fuori dalla scena del crimine, errori in questa fase possono compromettere prove che seppur evidenti del reato potrebbero essere invalidate e pertanto non ammissibili in sede di giudizio.

Alessandro Bonu
Latest posts by Alessandro Bonu (see all)