Idee e opinioni
«Computer Forensics, così diversa dalle indagini in tv»
16
Lug
2007
Quella delle investigazioni informatiche è una disciplina giovane, soprattutto in Italia. Equivocata e sottovalutata, solo da pochi anni trova riconoscimenti anche nei palazzi di giustizia. Ne parliamo con Andrea Ghirardini, autore del primo manuale italiano sull'argomento
Andrea da quanto ti occupi di Computer Forensics e come è nata questa passione, che oggi è il tuo lavoro?
Sono sempre stato appassionato di polizia scientifica, fin da giovanissimo, quindi ben prima della moda di Csi e programmi simili. Poi mio padre mi ha regalato uno Spectrum 48k e da allora la mia vita sociale/lavorativa/intellettuale è andata a rotoli. La Computer Forensics è nata in me spontaneamente, come l'incrocio naturale tra le mie due passioni: il computer e le indagini investigative. Il primo risultato è stato quello di trasformarmi in un... nerd. All'inizio in tanti mi hanno preso per pazzo poi... beh, la cosa ha cominciato a prendere piede. Da quando ho incominciato a svolgere indagini sono passati circa 10 anni. Ora con la mia società, @ PSS, siamo in netta crescita.
Vuoi spiegare con parole tue che cosa si intende per Computer Forensics? In pratica di che cosa ti occupi?
Ho scoperto che la mia definizione è stata ripresa più volte da autorevoli riviste. Quindi ecco: «la Computer Forensics è la disciplina che si occupa della preservazione, dell'identificazione, dello studio, della documentazione di computer, o sistemi informativi in generale, al fine di evidenziare l'esistenza di prove nello svolgimento dell'attività investigativa». Tradotto nella vita di tutti i giorni, significa che la nostra specialità è quella di esaminare media digitali e sistemi tecnologici al fine di estrarre le evidenze richieste per dimostrare o confutare il quesito che ci è stato posto. Per un geek è ovviamente il tripudio del proprio voyeurismo tecnologico.
Sgombriamo il campo da equivoci. In che relazione sta la Computer Forensics, rispetto al mondo dell'Internet Security e quello, più glamour, dell'hacking?
Internet Security e hacking (quello vero) sono la stessa cosa; cambiano solo particolari di secondaria importanza. In caso contrario non si spiegherebbero le stesse facce presenti sia alle convention di security ufficiali sia a quelle underground. Detto questo il 70% di quello che so lo devo sicuramente alla mia militanza nell'underground, il resto al mondo del lavoro. La Computer Forensics al momento attuale è, almeno qui in Italia, a un livello talmente pionieristico che ti dà lo stesso gusto che avevi 15 anni fa a lavorare fino alle 4 di mattina con i tuoi amici su un nuovo sistema.
Qual è il peso oggi di questa disciplina nel mondo giuridico? A che punto siamo in Italia e nel mondo?
Continuo a stupirmi di come il peso sia così basso (anche se in continua ascesa). E questo ovviamente cozza notevolmente con la pervasività della tecnologia nella nostra vita quotidiana. Pensa solo alla trasformazione dei rapporti interpersonali dovuta all'uso del cellulare, degli Sms, degli Mms, degli instant message e della posta elettronica. Molto spesso le motivazioni per un certo crimine, anche violento, si possono rilevare solamente esaminando le comunicazioni elettroniche o le loro tracce. In ogni caso la situazione sta cambiando mano a mano che aumenta la consapevolezza di ciò, sia da parte dei pubblici ministeri, sia degli investigatori, sia degli avvocati di parte. C'è da dire che il primo salto epocale c'è già stato passando da un utilizzo della Computer Forensics circoscritto all'ambito di crimini informatici a uno più ampio che coinvolge anche altre fattispecie di reati per così dire tradizionali.
Perché è così difficile trovare riferimenti sicuri in materia?
Perché manca una metodologia. La legislazione è quantomeno vacante e quindi ognuno cerca di seguire un proprio metodo di lavoro. Questo ovviamente pone una serie di problemi non da poco tra cui la possibilità la confrontare il lavoro di due diversi periti, della ripetibilità del lavoro descritto e del rispetto delle garanzie di difesa. Io ho cercato di stendere qualche linea guida nel mio libro, ma ci vorrebbe un lungo lavoro per trasformare tutto questo in una metodologia valida che possa essere adottata come uno standard. C'è da dire che una metodologia del genere dovrebbe essere redatta da un gruppo di lavoro misto che comprenda sia accademici sia persone che abbiano una esperienza diretta sul campo. Non credo che un progetto supportato solo in seno a una università possa essere vincente nel momento in cui sia adottato in un caso reale.
Quali sono le caratteristiche di un buon forenser? Che cosa dovrebbe studiare e approfondire un giovane che si avvicina a questa carriera? A chi si può rivolgere? Ci sono master o corsi di laurea specifici?
Deve essere una persona curiosa, molto preparata tecnicamente, che abbia una naturale predisposizione a un approccio top down nella risoluzione dei problemi e che sia portato alla correlazione di informazioni differenti. Purtroppo lavorando con le prove informatiche si finisce per toccare una miriade di campi diversi dello scibile. Un giorno stai facendo un'elaborazione su un'immagine per cercare di evidenziare alcuni particolari, il giorno dopo stai cercando di fare reverse engineering su un formato file proprietario, quello dopo ancora stai approfondendo un testo sull'elaborazione dei segnali audio e, dulcis in fundo, ti stai programmando un tool per fare il carving di un file del tutto particolare. Che cosa dovrebbe studiare quindi studiare un giovane? Bella domanda. Alcuni dei nostri collaboratori arrivano da ingegneria informatica, altri da giurisprudenza, altri hanno un formazione prettamente underground. Tutto serve ed è utile. Di contro non c'è nulla al momento per l'avvicinamento a questa professione. Il neonato capitolo italiano dell'IISFA sta lavorando a una serie di corsi riguardanti l'analisi forense. Mi auguro che il progetto diventi realtà quanto prima.
Il tuo lavoro viene spesso letto come affine a quello degli investigatori che siamo abituati a vedere in Csi o Ncis. Che cosa c'è di vero? Esiste un personaggio di queste serie a cui ti senti in qualche maniera simile?
Nessuno. Ce ne fosse uno che con un computer facesse la cosa giusta! Però a ben vedere la figura più affine che mi viene in mente è Marshall Flinkman della serie Alias. Ovviamente su un piano di genialità molto più ridotto. A dire il vero però a livello caratteriale, beh ci sono delle affinità, specialmente per quello che riguarda i rapporti interpersonali....
Puoi raccontarci qualche aneddoto particolarmente significativo tratto dai casi a cui hai partecipato?
Sì, ma dopo dovrei ucciderti... (sono anni che lo volevo dire). Direi che i più belli o esemplificativi li ho messi tutti nel libro. Se poi volete, potete leggervi Diario di un computer forenser, un mini racconto dove tra il serio e il semi-serio mi sono divertito a provare a raccontare una mia giornata di investigazioni sul campo.
Veniamo ora al tuo libro, che non poteva che intitolarsi che Computer Forensics. Come è andata questa esperienza? Spesso gli autori si riflettono nei loro scritti. Confrontarti con la scrittura ti ha permesso di maturare una migliore sensibilità sulle problematiche connesse al tuo lavoro?
Come è andata? Bene, anche se devo dire che sono stati cinque mesi durissimi. Purtroppo il lavoro mi ha impegnato più del previsto e quindi il libro l'ho scritto quasi totalmente di notte, con buona pace dei miei unici svaghi e della mia vita sociale. Mia moglie è stata una santa a sopportare sia la mia assenza, sia il continuo clicchettio proveniente dallo studio fino a ore impossibili. Lo stesso dicasi per i miei amici che mi hanno visto sparire. Indipendentemente da questo è stata una soddisfazione. Era il mio primo libro e quindi ho dovuto imparare molte cose da zero. Mi è stato di grande aiuto un certo Fabio Brivio (conosci?) che mi ha riempito di ottimi consigli e mi aiutato a superare alcuni scogli che ho incontrato lungo la scrittura. Per quanto riguarda il riflettersi, Patrizia, una mia carissima amica, leggendo il libro mi ha preso in giro a morte dicendomi che scrivo esattamente come parlo. Ha detto che ha avuto la stessa sensazione solo leggendo i libri di Lucarelli. Infine il libro mi ha aiutato molto. Mano a mano che cercavo di spiegare alcuni concetti mi accorgevo che alcuni particolari andavano rifiniti e riveduti. Alcuni capitoli, contrariamente a quanto mi sarei aspettato hanno richiesto settimane di studio.
Una domanda indecente: chi è il tuo lettore e perché dovrebbe comprare il tuo libro?
Chiunque, ovviamente. Scherzi a parte direi che il target di lettori comprende esponenti delle forze dell'ordine, impiegati nei dipartimenti security e fraud management di varie società e istituti finanziari, pubblici ministeri, avvocati, appassionati della materia. In realtà ho scoperto che non è un argomento così di nicchia come mi sarei aspettato.
Hai altre letture da consigliare a chi è interessato al tema? Siti Internet di riferimento?
Purtroppo poche. Sopra tutti il libro File System Forensic Analysis di Brian Carrier. Una pietra miliare. Ho recentemente consigliato alcuni libri nel mio blog.
Andrea, grazie. Vuoi salutare i nostri lettori?
Tai nasha no karosha. Spero di risentirci presto, magari in occasione di una nuova pubblicazione.
Letto il libro, molto molto interessante. Le cose che mi sono piaciute di più:
- un approccio di ampio respiro, dalle basi della giurisprudenza rilevante per la CF alle informazioni più di dettaglio sui file system, alla metodologia investigativa;
- I numerosi richiami a casi reali (quasi ne avei preferiti di più. Magari documentare un caso per intero?)
- L'equilibrio di giudizio dell'autore, che quasi mai si lascia andar a considerazioni dettate da criteri ideologici (penso alle guerre di religione win vs linux) ma sempre espone le ragioni per la preferenza di un tool o un ambiente piuttosto che un altro;
Cosa dovrebbe a mio avviso essere migliorato:
- Moltissimi refusi, soprattutto nella prima metà del testo (capitolo sui FS incluso);
- Il capitolo sui FS è dettagliatissimo, ma alcuni particolari secondo me potevano essere messi in appendice, favorendo la leggibilità del testo e focalizzando l'attenzione sui punti più importanti.
Per la prossima edizione mi aspetterei un approfondimento del capitolo dedicato ai dispositivi mobili.
Complimenti sia all'editore sia all'autore per l'impegno e la scelta di far uscire un volume che sono sicuro sarà di riferimento nel settore per i prossimi anni.
Andando a fare una ricerca su Amazon si trovano decine di titoli sull'argomento. Alcuni sono testi quasi prettamente legali, altri sono squisitamente tecnici. Questi ultimi hanno uno svantaggio enorme: invecchiano ad una notevole velocità. La mia convinzione è che se una persona si interessa di Computer Forensics, ha già maturato solide basi tecniche. Da qui l'idea di come impostare il libro: uno strumento per orientarsi, una bussola, pronto a rispondere a domande del tipo "In questa assurda situazione cosa mi posso inventare?". Poi per i dettagli tecnici abbiamo una rete mondiale dove fare data mining. L'esperienza forense è, penso, meno documentata di "dd". Sulle esperienze personali, Stefano 7, ti cito Blade Runner, "ho visto cose che voi umani...". Quelle citate, pur rimaneggiate, sono tutte reali e, ti assicuro, sono decisamente le più normali capitateci... Ciao Pila
Ciao Stefano 7. La tua rappresenta per ora l'unica critica negativa pervenutaci sul testo. Proprio per questo ci piacerebbe avere maggiori dettagli in merito. Durante la lavorazione del libro, sul finire del 2006 e i primi mesi del 2007, più volte Andrea (Ghirardini) e io ci siamo ritrovati a ragionare sulla piega che doveva o poteva prendere il progetto. Il fatto di muoverci in un ambito in rapida evoluzione, che in Italia sta lentamente prendendo piede, ma che è ancora lontano dal poter vantare un metodo univoco e condiviso; il fatto di essere i primi a scrivere e pubblicare in Italia sull'argomento, non avendo cioè punti di riferimento letterari; tutto questo ci portava a pensare che non era possibile fare del libro un'opera a 360°, e che alcune cose andavano necessariamente messe in secondo piano in favore di altre. Ci piacerebbe quindi capire meglio cosa intendi con la tua critica di scarsa "accuratezza tecnica". Questo ci aiuterebbe a migliorare il testo in vista di possibili nuove edizioni. Abbiamo infatti la presunzione di aver fatto un buon lavoro, ma buon lavoro non significa perfetto. Che cosa lamenti nel dettaglio? Errori logici o di contenuto? Refusi? Mancanza di nozioni utili a portare anche i meno esperti alla padronanza di tutti i concetti introdotti? In quest'ultimo caso tieni presente che è un libro nato per chi di computer già ne mastica... Per quanto riguarda le "esperienze personali" mi permetto di risponderti che non trovo affatto siano in numero esagerato e che ritengo contribuiscano a dare un tono meno "protocollare" a un libro che di protocollo è intriso per diverse ragioni. Sull'"inverosimili" mi sembra invece più giusto lasciare che sia Andrea a rispondere.
ho comprato il libro e sono deluso. Mi aspettavo qualcosa di più. Per esempio una maggiore accuratezza tecnica piuttosto che le "esperienze personali", tra l'altro inverosimili.
Ho acquistato il libro che spero di avere tempo di leggere durante le vacanze.
Sono molto interessato alla materia che ho iniziato ad apprezzare partecipando ad alcuni convegni di informatica giuridica.
Complimenti!
E' un lavoro duro e impegnativo.
I risultati sono la nostra principale ricompensa.
Meno male che molto spesso i delinquenti sono stupidi!
Volevo segnalare a tale proposito un sito di riferimento per la Forensic Analysis: www.icaa-italia.org.
Dove a mio avviso viene analizzato il rapporto giuridico di questa materia da professionisti del campo criminologico come il Prof Marco STRANO.