Acquisizione remota di personal object stores: questioni di ripetibilità

• Autore: Corrado Federici
• Carica: L'A. è collaboratore presso il CIRSFID di Bologna
• Pagine: 345-360

Acquisizione remota di personal object stores:

questioni di ripetibilità

CORR ADO FE DER ICI ∗

SOMM ARI O:1. Introduzione – 2. Cloud Data Imager – 3. Accertamenti tecnici non

ripetibili – 4. Classif‌icazione delle acquisizioni di evidenze digitali – 5. Ripetibilità

delle acquisizioni di personal object store – 5.1. Dropbox – 5.2. Microsoft OneDrive –

6. Conclusioni

1. INT RODU ZIO NE

L’avvento del cloud computing ha realizzato una visione dell’informatica

nata negli anni Sessanta del secolo scorso, secondo cui le risorse computazio-

nali vengono vendute a consumo similmente alle utenze domestiche come

l’energia elettrica o il gas. Ciò è stato possibile anche grazie a un radicale ri-

pensamento degli approvvigionamenti di materiali e delle modalità di gestio-

ne dei data center da parte dei pionieri del cloud come Amazon o Google,

che hanno introdotto livelli di automazione talmente spinti da ridurre il co-

sto orario dei propri servizi a pochi centesimi di dollaro1. A tal riguardo, un

ruolo centrale è stato giocato dai personal object stores - POS, architetture in-

formatiche che consentono la memorizzazione aff‌idabile dei contenuti degli

utenti come documenti o video, grazie ad una struttura distribuita in grado di

scalare in modo virtualmente inf‌inito utilizzando hardware a basso costo2.

Se da un lato tutto ciò ha comportato indubbi benef‌ici per l’utente f‌inale

che può disporre di hard disk virtuali sempre accessibili mediante Internet,

dall’altro ha parimenti aumentato la possibilità che tali aree di storage possa-

no essere utilizzate per ospitare digital evidence - DE, ossia dati di possibile

interesse nel processo penale poiché pertinenti a reati sia prettamente infor-

matici sia “tradizionali”. Sfortunatamente per il digital evidence specialist -

DES le architetture distribuite possono comportare diff‌icoltà insormontabi-

li quando si tratti di ricostruire una visione d’insieme perché ogni object (per

esempio un video) può essere costituito da numerosi f‌ile che vengono sparsi

∗L’A. è collaboratore pressoil CIRSFID di Bologna.

1Secondo le tariffe di Amazon Elastic Compute Cloud, il costo orario di una macchina vir-

tuale con una CPU, 2 Giga Bytes di RAM e sistema operativoLinux (t2.small) è di 3 centesimi

di dollaro +IVA(Regione Ue Francoforte, 10/2016).

2Dropbox, Google Drive e Microsoft OneDrive sono tra le soluzioni più note.

Edizioni Scientif‌iche Italiane ISSN 0390-0975 ISBN 978-88-495-3285-2

346 Informatica e diritto /Trattamento e scambio della provadigit ale in Europa

all’interno di una quantità di server anche molto numerosa. Ciò comporta la

quasi certa impossibilità di applicare le classiche procedure della digital foren-

sics (DF) per il repertamento f‌isico delle memorie di massa3, sia perché può

risultare arduo individuare tra tutti i possibili server quali contengano i da-

ti di interesse sia anche per difetti di giurisdizione. È però possibile valutare

una differente strategia che consiste nell’eseguire la copia logica4di contenuti

e metadati5operando da remoto. Infatti i POS sono raggiungibili mediante

un’interfaccia di programmazione basata su web service6che consentono ad

applicazioni create dall’utente di compiere operazioni sugli oggetti come li-

stare il contenuto di una cartella o visualizzare un documento. Un aspetto

di fondamentale interesse per la DF risiede nella proprietà di immutabilità.

Infatti, a differenza dei normali f‌ile per i quali le modif‌iche comportano l’in-

serimento o la cancellazione di un certo numero di byte nella posizione de-

siderata, ogni alterazione di un oggetto7causa dietro le quinte il caricamento

nel POS di una nuova versione dello stesso e conseguente memorizzazione

della versione precedente8. Si intuisce che tale meccanismo, a differenza di

quanto normalmente accade per i f‌ile system tradizionali, potrebbe consenti-

re di ricostruire il percorso delle alterazioni occorse ad un oggetto, sia come

contenuto sia come linea del tempo, con conseguenti potenziali benef‌ici per

il DES in termini di conoscenza del caso.

Lo studio dell’interfaccia di programmazione esposta dalle principali piat-

taforme di personal storage9ha dimostrato che essa può essere idonea per la

realizzazione di innovativi strumenti di DF in grado di creare su dispositi-

vo locale una copia logica fedele dell’area dati in cloud, stante la possibilità

3Si tratta della copia sequenziale a basso livello di tutti i settori del reperto, detta anche

copia bit a bit.

4Copia a livello di singolo oggetto o cartella di un f‌ile system (a differenza della copia bit

a bit restano esclusi i settori non allocati della memoria di massa).

5I “dati relativi ai dati”, come la data di modif‌ica di un oggetto, possono contribuire a

collocare temporalmente le azioni dell’utente cui si riferiscono e risultare talora più utili dei

contenuti stessi.

6I WS sono canali di programmazione basati sui protocolli standarddi Inter net (HTTPS,

XML, JSON) attraverso cui è possibile inviare comandi ad una piattaforma e ricevere

contenuti, metadati ed informazioni di varia natura.

7Si pensi, per esempio, ad un documento di testo all’interno della cartella Dropbox del

prof‌ilo utente.

8Il periodo di mantenimento delle revisioni storiche potrebbe dipendere dal tipo di

servizio sottoscritto.

9Si veda, ad es.: Dropbox, Core API - endpoint reference, 2016.

ISSN 0390-0975 ISBN 978-88-495-3285-2 Edizioni Scientif‌iche Italiane