E’ in fase di sviluppo uno standard internazionale ISO/IEC che fornirà linee guida condivise nella gestione delle digital evidence. Il nuovo standard fa parte della serie 27000, che ricomprende le norme in materia di sicurezza delle informazioni; la sua approvazione definitiva e la pubblicazione sono al momento previste nella seconda metà del 2012 (A fine ottobre 2011 è stato pubblicato il primo “Draft International Standard”, fase che prelude all’approvazione finale.
Ambito di applicazione
La norma 27037 contiene linee guida per le fasi di identificazione (identification), raccolta (collection), acquisizione (acquisition) e conservazione (preservation) delle evidenze. Quindi non estende la sua applicazione all’analisi delle evidenze, né a fasi successive del ciclo di lavoro come la presentazione dei risultati o l’eliminazione sicura di supporti e informazioni (disposal). E’ possibile che in futuro nuove linee guida si occupino anche di queste fasi.
La norma ambisce a fornire un linguaggio comune internazionale per la gestione delle evidenze, sia in ambito processuale (civile o penale) che aziendale ed evita accuratamente riferimenti a giurisdizioni od ordinamenti specifici.
Alcune definizioni
Dopo la descrizione del suo ambito di applicazione il testo passa ad alcune definizioni di base: riportiamo qui quelle più interessanti, a partire della definizione di “evidenza digitale” (digital evidence): “Informazioni o dati memorizzati o trasmessi in forma binaria, su cui si può fare affidamento (may be relied upon) come evidenza”.
DEFR (Digital evidence first respondes) e DES (digital evidence specialist) sono le due figure professionali individuate dalla norma, dove il DEFR è il primo ad intervenire sulla scena, mentre il DES agisce a supporto e fornisce ove servano conoscenze specialistiche. La norma sottolinea che entrambe le figure dovrebbero essere addestrate alla gestione delle evidenze digitali e – nel caso non lo fossero completamente – si debbano limitare alla protezione delle possibili prove.
Le definizioni che le norma dà per i due termini “Ripetibilità” e “Riproducibilità” (repeatability e reproducibility) sono interessanti e sarà in futuro interessante verificare la loro compatibilità con il codice italiano.
Ripetibilità: “proprietà di una procedura condotta per ottenere gli stessi risultati sullo stesso ambiente di test”
Riproducibilità: “proprietà di una procedura per ottenere gli stessi risultati in un diverso ambiente di test”
Principi di base
Vengono enunciati dei principi e dei concetti di base a cui ogni operatore dovrebbe attenersi nella gestione delle evidenze: in generale è necessario ovviamente procedere nella maniera meno intrusiva possibile (limitando al minimo la possibilità di modifiche delle evidenze), documentare in dettaglio i metodi applicati e le procedure seguite, compresa la giustificazione delle proprie scelte, in modo che il metodo usato sia comprensibili ed anche riproducibile da un altro operatore competente (dalla controparte nel caso si operi in ambito processuale).
L’attività di gestione (handling) delle evidence viene descritta in quattro fasi (a partire dal sottotitolo del testo…): identificazione (ricerca, riconoscimento e documentazione delle possibili evidenze sulla scena), raccolta (trasferimento dei supporti fisici dalla scena al laboratorio di analisi), acquisizione (copia forense dei dati dalle evidenze, effettuata sul posto o in laboratorio), conservazione (protezione dell’integrità delle informazioni in ogni momento).
Componenti chiave di queste attività sono la gestione della catena di custodia (chain of custody), la sicurezza (safety) sulla scena, la definizione dei ruoli e delle responsabilità del personale.
Il mantenimento di una adeguata catena di custodia permette ai DEFR/DES di “[…] essere in grado di rendere conto di ogni dato e dispositivo acquisito in ogni momento durante l’investigazione”. Questo obiettivo è tipicamente raggiunto documentando la storia di ogni evidenza a partire dal momento dell’identificazione (ID, operatore che lo prende in consegna, data del trasferimento, motivo…).
Procedure
Il testo attuale delle norma passa poi a dettagliare alcuni scenari di gestione delle evidenze. Il primo riguarda computer (desktop e portatili) e relative periferiche, il secondo riguarda i dispositivi connessi in rete (networked devices). Mentre nel primo caso le procedure sono consolidate e ben determinate (e questo si riflette nel testo e nei diagrammi associati), il secondo scenario soffre a mio parere al momento di una certa confusione. Comprende allo stato dispositivi connessi in rete che vanno dai mainframe ai server di rete, ai dispositivi mobili come telefoni, smartphone e tablet fino ai sistemi di videosorveglianza digitale. Anche se le linee guida fornite sono per lo più solide, andrebbero organizzate in modo più razionale: questo non sarà però possibile se non dopo la pubblicazione, in sede di prima revisione della norma.
Conclusioni
Questa linea guida ISO/IEC sarà la prima pubblicata da un organismo neutrale e con l’ambizione di essere diffusa a livello mondiale in tema di digital forensics. Le linee guida esistenti fino ad ora erano per lo più prodotte da forze di polizia ed agenzie governative, anche se non sono mancati documenti prodotti da organizzazioni sovranazionali (OCSE). Però ISO sembra la fonte più adatta a redarre una norma che fornisca una linea base comune per l’informatica forense in ambito sia processuale che aziendale che non provenga da parti in causa ma da un ente terzo. Certo, è una linea guida e quindi il suo rispetto sarà affidato alla volontà degli operatori. Inoltre il testo attuale presenta alcune criticità ed ambiguità che auspicabilmente saranno ridotte nelle successive revisioni, successive alla pubblicazione delle prima versione definitiva.
Altro materiale
Potete scaricare la presentazione tenuta dall’autore il 10/11/2011 nell’ambito della giornata di studio organizzata dal corso di perfezionamente in “Computer Forensics e Investigazioni Digitali” – Università di Milano e da DFA – Digital Forensics Alumni.
