Facebook Forensics

di Fabio Massa

Il social network Facebook®, con oltre un miliardo di utenti in tutto il mondo, ha acquisito il primato in qualità di mezzo di comunicazione digitale più famoso a livello globale. Una quantità impressionante di importanti informazioni personali e commerciali viene scambiata tra gli utenti quotidianamente, a tal punto da divenire anche un ottimo mezzo di acquisizione di fonti probatorie nel caso di indagini investigative criminali. Purtroppo, l’aspetto negativo per gli investigatori è l’impossibilità di avere un accesso diretto alle informazioni relative agli utenti e al traffico dati da loro generato, che viene conservato e amministrato esclusivamente dal gestore del servizio.

Sono innegabili le problematiche relative alle acquisizioni dei profili utente oggetto di indagine, con le quali gli investigatori devono confrontarsi quotidianamente. Le difficoltà sono principalmente inerenti alle tempistiche di acquisizione del profilo utente Facebook che è soggetto ad una serie di passaggi burocratici ed alle leggi vigenti a Menlo Park (California), sede legale di Facebook, che possono non essere compatibili con le rogatorie internazionali richieste dalle autorità giudiziarie italiane. I casi di indagine forense che interessano i profili utente Facebook spaziano dal grooming alla pedopornografia, dallo stalking all’omicidio, dal cyberbullismo alla diffamazione, e in molti casi all’istigazione al suicidio o a semplici contenziosi commerciali e professionali. È evidente, quindi, che l’acquisizione di un profilo o delle credenziali di accesso sia fortemente condizionata dal gestore dei servizi. Ciò è in evidente contraddizione con le linee guida per la raccolta delle prove, in quanto l’investigatore non è in grado di dimostrare che le prove trasmesse da Facebook siano realmente autentiche, complete ed affidabili.

A supporto delle indagini tradizionali, e per sopperire alle problematiche inerenti al vincolo del rilascio delle informazioni probatorie da parte di Facebook, le attività investigative di natura forense sono basate principalmente sull’analisi forense di macchine fisiche, virtuali, smartphone, tablet e di qualsiasi dispositivo fisico digitale capace di supportare l’installazione di un client Facebook che consenta di navigare ed iscriversi sul famoso social network di Mark Zuckerberg. Al contrario di quanto comunemente ritenuto, i server di Facebook non sono gli unici detentori delle informazioni condivise sul social network; in realtà, moltissime informazioni vitali per le investigazioni digitali sono reperibili nei computer e nei dispositivi digitali a disposizione degli utenti.
Nel caso di analisi forense o di un semplice triage dei dispositivi oggetto di indagine è possibile in molte circostanze ottenere sia le credenziali di accesso al profilo utente sia la maggior parte delle informazioni condivise e della messaggeria istantanea dell’utente e di terze parti che hanno avuto qualsiasi tipologia di interazione con esso. Queste informazioni sono reperibili in alcune aree di memoria del sistema operativo, nella Random Access Memory, nello spazio non allocato delle memorie di massa installate nei computer o nell’area di memoria dei dispositivi mobili di comunicazione.
Un’attenta analisi dei risultati estratti da queste aree di memoria comparati ed integrati da ulteriori informazioni reperibili nei client di posta elettronica dell’utente, come ad esempio le notifiche email automatiche di Facebook (se sono state attivate), o le foto condivise e scaricate da Facebook, costituiscono validi punti di partenza per un’analisi forense. Tralasciando le numerose possibilità di acquisizione dei dati dei profili tramite varie tecniche di intercettazione, come ad esempio lo sniffing del traffico WiFi o il “friend in the middle attack”, tramite un’estensione di terze parti in combinazione di un componente crawler tradizionale, in questo contesto saranno descritte le tecniche di analisi forense per il recupero delle evidenze probatorie relative ad attività Facebook.

Acquisizione dei dati

Generalmente ci sono sei categorie di record Facebook che possono essere individuati ed estratti durante l’analisi di un disco rigido, di una macchina virtuale o della Random Access Memory.

 

…continua su EDICOLeA

 


Articoli pubblicati da Fabio Massa

 

 

Exit mobile version