Skip to content

CYBERSTALKING: Quando Facebook diventa oggetto di indagine

aprile 12, 2014

Facebook, il social network più famoso e discusso della rete, ha da poco compiuto 10 anni. L’invenzione di Mark Zuckenberg, complice l’avvento del WEB 2.0, ha rivoluzionato il modo di comunicare e condividere contenuti in rete. Tramite questa piattaforma, che attualmente conta oltre un miliardo di iscritti, gli utenti dispongono di una vera e propria vetrina digitale, attraverso la quale transitano quotidianamente enormi quantità di informazioni pubbliche, private, personali e commerciali.

Come è noto anche ai non addetti, questa estrema facilità di comunicazione semplifica e in qualche modo agevola la commissione di reati.

Nell’ambito di uno studio condotto nel 2002 da Leroy McFarlane e Paul Bocij[1], si evidenzia come il WEB 2.0 e l’avvento del social networking abbiano addirittura incoraggiato anche l’individuo più insospettabile a delinquere. Le nuove tecnologie, infatti, creano spesso nell’individuo l’illusione dell’anonimato, spingendolo a commettere azioni criminose senza avvertire la paura di ricevere sanzioni.

Nel caso di un indagato è perfino possibile creare falsi alibi, ad esempio, un accesso alla propria casella di posta elettronica dal proprio luogo di residenza, può smentire l’effettiva presenza di un presunto colpevole sul luogo di un delitto.

Il reato più comune commesso in rete è probabilmente quello di stalking. Con questo termine si identifica qualsiasi tipo di molestia ripetuta in maniera ossessiva (pedinamento, minaccia verbale, minaccia fisica) che genera stati di ansia e paura in chi la subisce, con conseguenze che possono essere anche molto gravi.

Lo stalking on line viene definito CYBERSTALKING[2], e il cyberstalker è uno stalker a tutti gli effetti che si serve del web come ulteriore mezzo e facilitazione per importunare la vittima (anche due soli episodi di minaccia o molestia possono valere ad integrare il reato di atti persecutori previsto dall’art. 612 bis c.p. laddove abbiano indotto un perdurante stato d’ansia o di paura nella vittima[3]).

Secondo il codice di procedura penale articolo 247 par. 1-bis “…Quando vi è fondato motivo di ritenere che dati, informazioni, programmi informatici o tracce comunque pertinenti al reato si trovino in un sistema informatico o telematico, ancorché protetto da misure di sicurezza, ne è disposta la perquisizione, adottando misure tecniche dirette ad assicurare la conservazione dei dati originali e ad impedirne l’alterazione”.

Proprio in quanto piattaforma di social networking più famosa del web, Facebook è inevitabilmente oggetto di analisi forense.

Cosa cerchiamo?

Tracce di attività come la ricerca di utenti/amici, la generazione di post e commenti sulla propria e sulla bacheca altrui, la creazione di eventi, tag su foto e video, l’invio di messaggi a gruppi di utenti e la chat in generale, costituiscono le evidenze che l’analista forense si propone di ottenere nell’ambito di questa analisi specifica.

Situazioni di indagine che possono considerarsi favorevoli si verificano nel momento in cui l’analista è a conoscenza delle credenziali di accesso relative all’account in esame, o indaga su un sistema attivo (quindi acceso e operativo: live analysis), qualora l’utente abbia lasciato una sessione aperta o venga colto in flagranza di reato.

In realtà ci si trova spesso di fronte all’ analisi post-mortem di un dispositivo, caso in cui l’indagine viene condotta a sistema spento, in un momento successivo all’eventuale commissione del reato da parte dell’indagato. Questo tipo di analisi è l’unica conducibile in mancanza delle credenziali di accesso dell’account in esame, in quanto il traffico generato sul social network è accessibile esclusivamente dall’utente proprietario e dal gestore della piattaforma.

Il profilo di interesse potrebbe essere acquisito contattando direttamente la sede legale di Facebook, ma in questo caso bisognerebbe fare i conti con una serie di formalità e passaggi burocratici che farebbero soltanto perdere tempo ai fini dell’indagine.

Si evince inoltre che l’acquisizione di un profilo utente è fortemente condizionata dal gestore. Per l’analista si rivela quindi impossibile a questo punto dimostrare l’autenticità e l’affidabilità delle evidenze ottenute contattando il gestore della piattaforma.

Nel caso di un’analisi post-mortem, si lavora sull’estrazione di tracce conservate all’interno dei dispositivi di memorizzazione oggetto di sequestro, installati nei personal computer utilizzati per l’accesso a Facebook.

Per un esperto forense è facile dimostrare la validità probatoria delle evidenze ottenute tramite questo tipo di analisi. Per contro le probabilità di ottenere evidenze di interesse sono scarse, soprattutto per quanto riguarda le sessioni di chat, di cui nella maggior parte dei casi si riescono ad estrarre pochi messaggi isolati che spesso non contribuiscono a ricostruire la scena di un “cyber crime”.

I risultati significativi che si possono ottenere provengono, come accennato, dall’analisi della memoria di massa del dispositivo in esame, in particolare analizzando la cache dei browser installati oppure i dump della memoria, soprattutto nel caso di dispositivi mobili (iPhone/Android).

In questa sede concentreremo l’attenzione su alcuni aspetti fondamentali di validità generale, in particolare sull’estrazione delle evidenze più facilmente reperibili nell’ambito di casi tipici di indagine (analisi post-mortem di un Hard Disk).

E’ opportuno precisare che commenti, messaggi e chat vengono visualizzati tramite il web browser. Parliamo quindi in sostanza di testo all’interno di codice HTML.

Vediamo alcuni esempi rapidi ma significativi, tratti da uno studio del Valkyrie-X Security Research Group[4].

Nel primo esempio riportato (Fig.1) si nota come dall’analisi della cache dei browser, effettuata tramite il software CacheBack[5], emergano chiaramente ricerche di altri profili effettuate tramite l’account di test (le chiavi di ricerca compaiono come valori dell’attributo “value”), utilizzando volta per volta il nome utente come keyword.

Facebook cache cacheback

Fig. 1 – Analisi di keyword all’interno della cache del browser.

L’esempio successivo mostra l’effettiva reperibilità di commenti ad un post in bacheca. Anche in questo caso, le evidenze riportate sono state estratte tramite l’analisi della cache del browser (Fig. 2).

Facebook commenti 1Facebook commenti 2Fig. 2 – Post e commenti all’interno del codice.

E’ importante notare come il testo sia preceduto dalla chiave “text”, e ancor prima, dal nome dell’utente che lo ha inviato. Da ciò emerge che, per effettuare una ricerca di messaggi di testo/commenti all’interno del codice, può rivelarsi fondamentale conoscere i nomi degli utenti in contatto con l’indagato, al fine di evitare false evidenze (la chiave “text” è molto comune all’interno del codice).

Uno degli aspetti più importanti è senz’altro la ricerca e l’analisi delle sessioni di chat, dove i messaggi vengono conservati in file di piccole dimensioni, nominati “P_<numero>”, con estensione htm o txt e reperibili in RAM, nella cache del browser e nei pagefile.

Internet Evidence Finder di JadSoftware[6], software che approfondiremo in uno dei prossimi articoli, si rivela in questo caso un’ottima scelta per qualità di risultati e report forniti all’analista.

Non sempre si riesce ad ottenere una quantità significativa di occorrenze, tuttavia, i messaggi che si ricavano, vengono mostrati in chiaro corredati di dettagli relativi a data di trasmissione, identificativo, nome mittente e destinatario (Fig. 3).

Fig. 3 – Analisi di evidenze ottenute con Internet Evidence Finder.

E’ opportuno ribadire che il caso di analisi più comune in ambito Facebook è l’indagine post-mortem, conducibile su personal computer e, in generale, su dispositivi digitali che consentono l’accesso alla rete internet e alla piattaforma in esame tramite browser o client installato.

E’ possibile condurre un’indagine di questo tipo in quanto la modalità di utilizzo del social network comporta un traffico di informazioni che non rimane memorizzato esclusivamente all’interno dei server di Facebook, in alcuni casi infatti può bastare lavorare sulla cache del browser utilizzato dall’utente per estrarre, almeno in parte, evidenze significative.

Purtroppo, come evidenziato in precedenza, spesso non è possibile ricostruire lo scenario completo di un crimine tramite l’analisi post-mortem in quanto, ad esempio, lo storico di tutti i messaggi inviati e ricevuti tramite l’account dell’indagato non è reperibile in queste condizioni.

Ci si augura dunque di operare in situazioni ideali o quantomeno favorevoli, in cui si possano ottenere dati di interesse in RAM e un’ elevata e significativa quantità di informazioni conservate all’interno del browser.

Tralasciando inoltre le possibilità di acquisizione di dati del profilo di interesse tramite varie tecniche di intercettazione (WiFi sniffing, friend in the middle attack), possiamo concludere che un’attenta analisi di risultati “post-mortem”, confrontati ed integrati con ulteriori informazioni reperibili come ad esempio l’analisi del client di posta elettronica (notifiche email attive o foto condivise sul social network e successivamente scaricate in locale), contribuiscono a dettagliare ulteriormente lo scenario ricostruibile.

 

 

 

[1] P. Bocij and L. McFarlane, 2002. “Online harassment: Towards a definition of cyberstalking,” Prison Service Journal, volume 139, pp. 31-38

[2] Condotta persecutoria e assillante fatta attraverso il social network integrante la fattispecie di reato delineata nell’art. 612 bis C.P.

[3] Corte di Cassazione, sezione V penale – sentenza 5 luglio 2010, n.25527

[4] http://www.vxrl.org

[5] http://www.cacheback.ca

[6] http://www.jadsoftware.com

From → Download

Lascia un commento

Rispondi

Inserisci i tuoi dati qui sotto o clicca su un'icona per effettuare l'accesso:

Logo WordPress.com

Stai commentando usando il tuo account WordPress.com. Chiudi sessione /  Modifica )

Google+ photo

Stai commentando usando il tuo account Google+. Chiudi sessione /  Modifica )

Foto Twitter

Stai commentando usando il tuo account Twitter. Chiudi sessione /  Modifica )

Foto di Facebook

Stai commentando usando il tuo account Facebook. Chiudi sessione /  Modifica )

w

Connessione a %s...

%d blogger hanno fatto clic su Mi Piace per questo: