Vi sono casi in cui i computer, e il mezzo informatico in generale, viene utilizzato nella fase di pianificazione di un crimine. Forse pochi si aspettavano, invece, che persone sottoposte ad indagini presentino il proprio computer quale alibi, quale testimone del loro non trovarsi sul luogo del reato mentre questo veniva commesso. Sempre più spesso i doviziosi resoconti dei media ci propongono immagini degli investigatori che escono da casa degli indagati con computer sequestrati sotto braccio, o indiscrezioni dei legali confermanti o meno l'alibi dell'indagato. Davanti a queste informazioni, tutto sommato lacunose, ci si domanda se davvero un computer possa fornire agli inquirenti informazioni utili alle indagini o, addirittura, a scagionare un indagato.

Ebbene si, questo è possibile grazie alla Computer Forensic: la scienza che si occupa, attraverso opportune metodologie e specifici strumenti, di estrarre dai dati digitali le prove da portare in tribunale, mantenendole inalterate e quindi valide ai fini giudiziari. Gli investigatori ed i consulenti tecnici, d'ufficio o di parte, lavorano su copie speculari dei supporti di memoria sequestrati, al fine di non apportare nessuna modifica sui dispositivi originali, e documentano ogni operazione così da renderla ripetibile e comprovante quanto fatto ed individuato.

IL CASO
Per comprendere come ciò possa avvenire abbiamo simulato l'attività degli investigatori a seguito dell'omicidio, che il medico legale stabilirà essere stato commesso tra le ore 15.30 e le ore 16.30 del giorno 6 dicembre 2007. Del fatto sarà accusata l'ex fidanzata del morto, di cui è nota la gelosia. L'accusata in fase di interrogatorio asserirà che all'ora in cui il delitto avveniva stava lavorando al computer. La stessa fornirà, nel proprio interesse, tutte le informazioni relative alla sua attività al PC, spiegando di avervi lavorato dalle ore 15.00 circa alle ore 18.00 circa, in due differenti sessioni, indicando il file di MS Word elaborato e spiegando di aver navigato in Rete con Internet Explorer prima, ed al successivo riavvio con Mozilla Firefox.

L'ACQUISIZIONE DEI DATI
Il magistrato, decretato il sequestro del dispositivo, assegna l'analisi dello stesso ad un consulente tecnico di parte, il quale dovrà rispondere ad un preciso quesito: vi era attività sul computer dell'accusata all'ora in cui il reato avveniva, presumibilmente ascrivibile ad umana interazione? Il consulente tecnico si trova quindi nella condizione di dover stabilire se il computer era acceso, quale utente aveva effettuato il login e se vi è stata attività reale o fittizia. Il perito entrato in possesso del computer esegue l'acquisizione bit a bit (bit stream image) dell'hard disk, in modo da lavorare su una copia speculare e non sull'originale, non dimenticandosi di rilevare dal bios l'ora del sistema, per correlare gli avvenimenti con la linea temporale del reato. Il consulente tecnico dovrà quindi verificare se il computer era acceso e se qualche utente fosse attivo su di esso. Verificato dalla struttura del file system e dalle informazioni contenute nel file boot.ini che il sistema operativo è un MS Windows XP Home Edition, il consulente sa di poter individuare le informazioni temporali da lui cercate nei file di registro e nei log degli eventi presenti nella directory C:\WINDOWS\system32\config\, in particolare nei file SysEvent.Evt, SecEvent.Evt e SAM. I sistemi MS Windows fanno riferimento al servizio fornito dall'eseguibile winlogon.exe per la registrazione degli eventi. Tale servizio si occupa di registrare gli eventi di rilievo, individuati da specifici codici, detti Event ID, riportando data ed ora in cui gli stessi si verificano, l'utente o il servizio che li ha generati ed alcune informazioni aggiuntive.

IL COMPUTER ERA ACCESO? In particolare, il consulente ricerca, attraverso un Event Viewer, all'interno del file SysEvent.Evt, gli eventi contrassegnati dagli ID 6009, indicante lo shotdown o il riavvio del sistema, 6005, indicante l'avvio del servizio di eventlog all'avvio del sistema (solitamente concomitante con il precedente), ed il 6006, indicante lo stop del servizio di eventlog. Le informazioni riportate mostrano effettivamente quanto sostenuto dall'indagata, ossia due sessioni di lavoro, con avvio eseguite alle ore 14.39 ed alle 17.33 (Figura 1).

  Figura 1 - I due eventi ID 6005 nel file SysEvent.Evt confermano l'avvio di due sessioni di lavoro, delle ore 14.39 e delle 17.33

Il consulente, tuttavia, non si accontenta e vuole dei riscontri. Non potrà trovare molto riguardo al boot delle ore 14.39, ma relativamente a quello delle 17.33, l'ultimo eseguito prima del sequestro, sì. Le conferme derivano dalle date di accesso e modifica ad alcuni file utilizzati dal sistema operativo al momento dell'avvio. Il consulente fa riferimento ai file BOOT.INI, nel quale Windows legge le informazioni relative al boot, pagefile.sys e hiberfil.sys, rispettivamente il file di swap e quello in cui memorizzare il carico della RAM in caso di ibernazione, che il sistema inizializza all'avvio. Data ed ora di creazione, modifica ed accesso dei file sono comunemente chiamati MAC time, questi meta-dati sono mantenuti ed aggiornati dai sistemi operativi Microsoft, dalle versioni NT e 2X, utilizzanti file system NTFS, in un file denominato MFT$ (master file table) usualmente non visibile. In esso il sistema memorizza informazioni quali il MAC Time, informazioni riferite al nome del file, ai cluster in cui alloca il contenuto dello stesso e molto altro. Per accedere a tali informazioni il consulente ricorre allo Sleuth Kit, insieme di strumenti software per l'analisi in profondità dei file system, sviluppati dall'americano Biran Carrier. Lo Sleuth Kit permette di identificare la posizione delle meta-informazioni relative a files in questione, e di accedere alle stesse. L'analisi dei MAC Time per i tre files interessati dal sistema operativo al momento del boot, indicanti modifiche e accessi in un lasso di tempo compreso tra le ore 17.32.58 e le 17.34.25(Figura 2), confermano quanto evidenziato dall'evento 6009 relativamente all'ultimo avvio della macchina (Figura 1, terza riga). L'indagine volta a comprendere se il computer fosse effettivamente in uso non può però fermarsi così.

Figura 2 - L'analisi dei MAC Time dei file di boot confermano l'ultimo avvio della PC tra le ore 17.32.58 e le 17.34.25

CHI STAVA LAVORANDO AL TERMINALE
Sempre ricorrendo ai file di log degli eventi, il consulente cerca di comprendere quale utente fosse attivo sul computer. Gli eventi identificati dagli ID 528, 538 e 551, offrono informazioni riguardanti l'avvento login e logoff di un dato utente. Se il sistema funziona correttamente, winlogon.exe correlerà queste entry con informazioni relative all'utente, o al servizio che si è autenticato sulla macchina, registrando il tipo di accesso, remoto o locale. Sfortunatamente, nel sistema analizzato, il file SecEvent.Evt non risulta aver loggato alcunché. Il consulente non si da per vinto e decide di recuperare data e ora dell'ultimo login effettuato dall'indagata, estraendolo dal file SAM. Il file SAM nei sistemi MS Windows NT/2x contiene informazioni relative agli account presenti sul sistema e, importantissimo, le password codificate. Il file SAM viene analizzato con un script perl che effettua il dump delle informazioni dal file, tuttavia occorre prima identificare il codice con cui l'utente viene indicato all'interno del file. Per far ciò si ricorre all'utilizzo di chntpw potente tool in ambiente Linux per il cambio/reset delle password di Windows e per editare il registro. Chntpw nell'uso interattivo ci permette di listare gli utenti esistenti sul sistema, visualizzando la chiave esadecimale a cui saranno appese le informazioni riferite all'utente in questione, nel nostro caso "Jessica", distinta dal codice 03ed (Figura 3).

Figura 3 - Chiave esadecimale (RID:) e nume utente (Username:) di chi ha utilizzato il PC. "Jessica" (l'idagata), distinta dal codice 03ed è presente

L'utilizzo di script per il dump e dell'analisi degli accessi e modifiche del registro, permette di verificare che la data e l'ora dell'ultimo accesso concordano con quanto evidenziato dall'analisi dei MAC Time dei file boot.ini, pagefile.sys ed hyberfil.sys, essendo localizzabili intorno alle 17.33 del 6 dicembre 2007. È interessante notare che l'ora riportata nel file SAM non fa riferimento all'ora di sistema, ma all'ora del meridiano di Greenwich (16:33:20 Z), calcolata rispetto ad essa (Figura 4).

Figura 4 - L'utente "Jessica" codice RID "03ed" ha effettuato l'ultimo accesso alle 17.33.20 (16.33.20 ora meridiano di Greenwich

IL PC ERA DAVVERO UTILIZZATO?
Il consulente ha in tal modo verificato che effettivamente il computer è stato attivo in due differenti sessioni negli orari indicati dall'accusata. Queste informazioni pur non scagionando l'indagata ne evidenziano l'attendibilità, rendendo quanto riferito durante l'interrogatorio meritevole di credito. Ma è possibile comprendere se il computer sia stato acceso e quindi lasciato inattivo per la durata delle due sessioni, consentendo all'accusata di allontanarsi? L'investigatore digitale decide di basarsi sempre sui MAC Time dei file presenti su disco, ossia di esaminare i tempi di creazione, accesso e modifica dei file per verificare se sul computer era in svolgimento una attività reale. Appare palese infatti che un computer lasciato acceso con un semplice file di MS Word aperto ed un programma di P2P attivo, interesserà con accessi, modifiche e creazioni un numero minore di files, rispetto a quanto può avvenire editando un file di Word, modificando le proprietà dei font, della formattazione, inserendo immagini, o navigando attivamente in Rete. Per svolgere questo tipo di analisi il consulente si affida sempre allo Sleuth Kit ed alla sua interfaccia grafica Autopsy Forensic Web Browser, un interfaccia Web utilizzabile attraverso qualunque browser, sia esso Mozilla Firefox, Konqueror, o Internet Explorer. La time-line realizzata da questo strumento, può dare all'investigatore un'idea di quanto è avvenuto sul computer in esame, fornendo riscontri ad altra attività investigativa. Il problema è che più si va a ritroso lungo la time-line, o tanto più intensa è stata l'attività sul sistema, tanto maggiori saranno le informazioni che si perdono. I sistemi operativi memorizzano infatti la data e ora di creazione, modifica e accesso di un file, ma una sola! Se l'utente accede ad un dato file in due distinti momenti la time-line fornirà solo le informazioni relative all'ultimo accesso al documento, permettendo di dargli solo "l'ultima" collocazione temporale. Le operazioni già avvenute in passato (l'esempio tratta il solo "accesso") non saranno pertanto ricostruibili, a meno di non ottenere riscontri ed informazioni da altri file. Il consulente comincia quindi ad esaminare la time-line realizzata da Autopsy, tenendo in considerazione le operazioni che l'indagata asserisce di aver svolto al computer ed i documenti dalla stessa lavorati. L'analisi delle informazioni restituite dal browser consente di verificare che alle ore 15.48 è stata creata, sul desktop dell'utente Jessica, l'indagata, una cartella contenente fotografie digitali (Figura 5).

Figura 5 - L'analisi con Autospy conferma che alle ore 15.48 è stata creata, sul desktop dell'utente Jessica, l'indagata, una cartella contenente fotografie digitali

Sebbene l'attributo C (terza colonna in Figura 5) indichi l'avvenuta modifica dei files, trattandosi di un operazione svolta in pochi secondi su una notevole quantità di file non individuabili in tempi antecedenti sul disco rigido, è plausibile supporre la copia dei files da un supporto rimovibile. Nei minuti successivi i dati evidenziano l'accesso ai file .lnk, i link, che compongono il menu di avvio relativi alla suite di MS Office e consecutivamente un'intensa attività relativa ai file presenti nella cartella di installazione della suite, del suo editor di testi, e nelle cartelle di personalizzazione dell'utente, così da far supporre l'avvio del programma MS Word. Il consulente riscontra dalle ore 16:00:49 alle ore 16:01:58, del giorno in cui è avvento il reato, la creazione di files nella cache di Internet Explorer e di Cookies, operazioni che evidenziano lo svolgimento di attività Web (Figura 6). Riscontro di tale attività potrà venire dall'analisi del contenuto dei cookies da incrociarsi con le informazioni della cronologia ricavate dai file index.dat.

Figura 6 - Dalle ore 16:00:49 alle 16:01:58 la creazione di files nella cache di Internet Explorer e di Cookies, evidenziano lo svolgimento di attività Web

LA CONTROPROVA
Proseguendo l'indagine il consulente è in grado di individuare il download di un'immagine, arrabbiata.jpg visualizzando la quale si accorge essere una di quelle inserite nel documento elaborato dall'indagata. Il perito trova conferma di ciò, analizzando il contenuto delle directory C:/Documents and Settings/jessica/Dati applicazioni/Microsoft/Office/File recenti/ dove nel file index.dat sono memorizzati i file utilizzati da MS Office e a parte è disponibile, per ogni uno di essi, un file specifico contenente informazioni relative alla locazione dello stesso sul sistema (Figura 7).

Figura 7 - Index.dat, che memorizza i file utilizzati da Office, conferma che l'immagine arrabbiata.jpg scaricata da Internet è stata inserita in relazione_scozia.doc

Alle 16:27:00 e nei secondi successivi viene rilevata attività indicante il salvataggio del documento e la chiusura di MS Word, si nota infatti la creazione/accesso/modifica del file relazione_scozia.doc e l'inserimento della stessa, come link, tra i file recenti di Office. Alle 16.30 circa, la time-line indica nuova attività in Rete, si individuano nella cache di IE file immagine relativi alla Scozia e quindi attinenti al documento elaborato dall'accusata. L'attività in Rete si protrarrà sino alle ore 16:42:45, quando compare l'ultima operazione sulla cache del browser di Microsoft. Intorno alle ore 16:45:05 il consulente rileva che il sistema crea per l'utente il link al documento di Word tra i file recenti, quindi compare l'avvio del servizio gestito da logonui.exe, indicante la chiusura delle sessione da parte dell'utente. Il Consulente rileva che il computer continua ad operare sino alle ore 17:04:09 installando gli aggiornamenti del SO scaricati mentre l'utente lavorava. Per scrupolo l'investigatore digitale verifica l'esistenza di una seconda sessione di lavoro, alla quale l'indagata aveva fatto riferimento in fase di interrogatorio. Tuttavia le informazioni raccolte dal consulente sino a questo momento sono più che sufficienti. Si arriva alla conclusione che la tipologia di attività individuata e la sua intensità non sono compatibili con l'ipotesi che il computer sia stato lasciato acceso ma non operativo, né con la possibilità che tali operazioni sia state svolte autonomamente da un qualche programma, d'altra parte il profilo informatico dell'indagata non è affine a quello di una persona in grado di realizzare automatismi informatici, attraverso l'utilizzo di script o programmi avanzati, quanto necessario a simulate lo svolgimento di attività di quel tipo.

TRAIAMO LE CONCLUSIONI
Al termine della sua indagine, il consulente può rispondere al magistrato che l'attività rilevata sul computer dell'indagata, nella fascia oraria in cui veniva commesso il delitto, è compatibile con la tesi che qualcuno vi abbia realmente lavorato, ma che non vi sono informazioni tali da permettere di identificare chi questi fosse. Forse tale risposta giungerà dagli esami della polizia scientifica, negli stessi istanti impegnata nell'analisi delle impronte digitali e dei residui biologici presenti sulla tastiera del computer.

È BENE EVIDENZIARE CHE...
La facilità con cui questo test ha permesso di individuare le varie attività svolte, può essere fuorviante e poco realistica. Avendo elaborato lo scenario si conoscevano a priori le attività svolte e si è trattato quindi di trovarne conferma, più che di individuarle. Tale affermazione deve ricondurre alla comprensione delle reali difficoltà dell'investigatore digitale, operatore delle forze dell'ordine, o consulente di parte, incaricato di analizzare il dispositivo informatico di persone non disposte a collaborare, o addirittura delle stesse vittime, casi nei quali non si hanno molte informazioni da cui avere riscontri.