I profili legali relativi alla creazione di prodotti dell'IoT

Sicurezza e investigazione digitale

PCI-DSS: dalla teoria alla pratica

Sicurezza nei pagamenti con carte di credito e investigazione digitale, alla scoperta di un metodo e di un’opportunità, e uno standard giunto ormai alla sua terza revisione.

Negli scorsi due articoli abbiamo cercato, in sintesi, di illustrare quale sia il contenuto dello Standard PCI-DSS sottolineando, in particolare, l’importanza, per una organizzazione, che riceva pagamenti con carta di credito e sia stata vittima di una compromissione, di poter disporre di evidenze digitali (digital evidence) utilizzabili al duplice scopo di consentire l’individuazione dell’autore della violazione e quindi di dimostrare di avere rispettato le regole dello standard per non incorrere in sanzioni. Si vuole ora, senza addentrarci in tecnicismi eccessivi, chiarire quali siano gli strumenti, le procedure e le tecniche da impiegare in operazioni di investigazione digitale in ambiente PCI-DSS, quali risultano dalle prescrizioni specifiche cui si è fatto cenno in precedenza.

Cybercrime S.p.A.
Le tecniche o vettori di attacco a sistemi di pagamento mediante carte di credito, e gli strumenti necessari per realizzarli sono, come la cronaca ci dimostra quotidianamente, oltre che sempre più facilmente raggiungibili nel c.d. dark web, sempre più evolute e raffinate e possono comprendere varie fasi. Durante queste l’attaccante, o il criminale, dapprima studia, anche attraverso tecniche di social engineering, il sistema bersaglio, dopo di che, individua una vulnerabilità, umana, organizzativa o in molti casi logica, e la sfrutta a suo vantaggio. Uno degli attacchi di maggiore successo per l’acquisizione fraudolenta dei dati di carte di credito è quello che, sfruttando il fatto che sempre più spesso i POS (point of sale) sono incorporati in sistemi di elaborazione multi purpose e quindi non presidiati da protezioni dedicate distribuisce, tramite le c.d. BotNet, apposito malware. Il più delle volte in forma di trojan horse o key logger, in grado di trasmettere all’attaccante numeri di carte di credito, PIN e altre informazioni sensibili.

Scena Criminis: attenzione ai primi passi
Nello scenario descritto diventa chiaro allora come la ‘scena criminis’ di un reato o di un illecito perpetrato attraverso strumenti elettronici di elaborazione, rilevante in ambito PCI-DSS, consiste il più delle volte in sistemi o supporti funzionanti, ovvero non più in funzione, che contengono o hanno contenuto registrazioni o elaborazioni, memorizzate o meno, in modo permanente o temporaneo, relative all’illecito commesso. Tanto per intenderci, alla luce di quanto illustrato in precedenza, si possono trovare tracce di attività malevole o fraudolente sia nel software sia nell’hardware sia, se presenti, in dispositivi di videoregistrazione delle aree ove si trovava il dispositivo compromesso. Ciò detto, per complicare un poco le cose, si deve tenere presente che, caratteristiche comuni a ogni evidenza digitale per loro stessa natura sono la volatilità e la soggezione ad alterazione, ciò implicando che, se una determinata ‘registrazione o elaborazione’ non è cristallizzata in un certo tempo, ovvero in un certo modo, essa cessa di avere efficacia rappresentativa dei fatti o delle circostanze che avrebbe potuto dimostrare.

Chain custody e metodologie investigative
Si comprende bene quanto sia importante, da un lato, disporre di strumenti e competenze in grado di impedire la dispersione della prova e, dall’altro, documentare quanto più esattamente possibile tutte le attività svolte, componendo così quella che viene definita ‘catena di custodia dell’evidenza digitale’. Le procedure da seguire all’arrivo sulla scena criminis, da parte di chi è chiamato a svolgere l’investigazione, sono declinate nei loro tratti essenziali nel documento Appendix B, Evidence Handling (pagina 12) del documento PFI Program Guide del quale abbiamo avuto modo di parlare in precedenza. In particolare un’analisi approfondita della documentazione di supporto che il PCI Forensics Investigator dovrà necessariamente produrre, per rappresentare lo svolgimento delle operazioni effettuate. Nello specifico i documenti: PFI Preliminary Incident Response Report Template, PFI Final Incident Report Template e PFI Remote Final Incident Report Template, disponibili sul sito del PCI-DSS Consortium.

Keep Calm and Run Forensic Copy
Tra le varie prescrizioni da seguire nel corso delle operazioni di analisi, sono molto importanti, per la rilevanza strategica che possono avere nella eventuale fase processuale, quelle relative alla necessità di documentare quali software si sono impiegati per le varie fasi dell’attività investigativa; quelle che stabiliscono quali operazioni di analisi delle evidenze digitali devono essere svolte su copie forensi delle stesse; e infine quelle che prevedono quali operazioni di investigazione sulle copie forensi debbano svolgersi mediante l’impiego di strumenti elettronici di elaborazione, se possibili non connessi a internet. Solo per inciso, è doveroso ricordare che la Copia Forense o Bit Stream Image di un supporto, è cosa ben diversa dalla semplice copia, come la sua esatta e completa duplicazione o clonazione, settore per settore, bit per bit. Le procedure da ultimo menzionate, suggerite in ambito PCI-DSS, come accennato nei numeri precedenti, non sono le uniche a disciplinare la materia della investigazione digitale, potendosi rinvenire procedure e indicazioni egualmente utilizzabili, anche nella standardizzazione ISO. In particolare, anche la norma ISO/IEC 27037:2012, rubricata: “Information technology – Security techniques – Guidelines for identification, collection, acquisition and preservation of digital evidence” esprime previsioni puntuali ed efficaci relative alle metodologie di investigazione digitale.

Conclusioni
Solo di recente si sta affermando nella giurisprudenza del nostro Paese, non sempre solerte nel recepire in modo adeguato le sollecitazioni provenienti dagli ambienti tecnologici e dell’informatica in particolare, un orientamento che tiene nella debita considerazione sia l’evoluzione della ricerca scientifica in un settore così strategico sia le norme che nel recente passato tale fenomeno hanno tentato di disciplinare. Sino a oggi, l’atteggiamento dei giudici, nonostante le modifiche al codice penale e di procedura penale introdotte con il recepimento in Italia della convenzione di Budapest sul Cybercrime e le norme inequivoche del codice dell’amministrazione digitale in materia di efficacia probatoria del documento informatico, era stato, salvo qualche isola felice, quello di ritenere comunque ammissibili tutte le evidenze digitali acquisite a prescindere dalla applicazione, nella fase acquisitiva, delle best practice in materia di digital forensic. Con ciò di fatto aumentando in modo esponenziale, in forza del fatto che non è difficile creare ad arte evidenze digitali contraffate specialmente per chi non ha scrupoli nel commettere reati, il rischio di irrimediabili errori giudiziari.