Paper. What i write

Il testo affronta la ricostruzione della sequenza temporale degli eventi come elemento primario nell'interpretazione della scena criminis e, più in generale, nella risoluzione di qualsiasi caso di natura legale o professionale. Nell'informatica forense la timeline è definita come la rappresentazione cronologica e concatenata degli eventi occorsi su un sistema — una sorta di "fotografia" della sua vita operativa. Il lavoro si rivolge esplicitamente sia ai consulenti tecnici di parte e ai periti, sia agli operatori del settore giuridico, e si propone di tradurre l'attività tecnica in un oggetto dotato di valore probatorio.

Il primo modello di timeline è il log file, efficace per ricostruire le azioni di chi viola un sistema. In sua assenza o in caso di sistemi di rilevamento compromessi, i timestamp associati ai file costituiscono una valida alternativa, pur con il limite della loro natura "unidimensionale" (registrano l'ultima operazione) e con il rischio del problema della riduzione di audit, ossia l'oscuramento dell'obiettivo investigativo dovuto all'eccesso di dati su supporti di grande capacità. I timestamp possono provenire da metadati di file system, metadati dei file, log di sistema, dispositivi di rete, database e documenti.

Viene approfondita la criticità della correlazione temporale tra sistemi diversi. Gli errori sono classificati come sistemici (orologio impreciso, riferimento inesatto, clock skew, errata conversione GMT/ora locale/ora legale) o interventistici (manomissione dolosa, ad esempio da parte di un dipendente malevolo o di un intruso). Si richiamano UTC, i time server del NIST e il protocollo NTP, con la struttura gerarchica a strati e la sua precisione. Gli autori sottolineano come, finché l'indagine resta su un solo dispositivo, l'incoerenza interna sia tollerabile, mentre il confronto tra timeline di sistemi distinti renda necessario tradurre i timestamp verso un riferimento comune; si accenna inoltre ai modelli di Stevens e Buchholz e alla possibilità di misurare i clock remoti tramite dati di rete (header e-mail, cookie, cache HTTP).

L'analisi temporale è suddivisa in quattro classi: (1) timestamp del file system, con i quattro valori MACE estratti dalla MFT; (2) timestamp interni a file, log, journal, registri e database; (3) riscontro con altri riferimenti temporali rilevabili (es. data di rilascio del software rispetto alla creazione di un file, utile alla verifica di un alibi informatico); (4) contestualizzazione rispetto a fatti del mondo reale. Le ultime due, pur non strumentali, sono ritenute essenziali per l'attendibilità complessiva.

La parte applicativa è condotta sull'immagine pubblica domexusers (Windows XP SP3, repository Digital Corpora di Simson Garfinkel), scelta per la ripetibilità delle prove. Vengono evidenziati i limiti dell'analisi tradizionale basata sul solo file system (alterazione dei timestamp da parte di antivirus o servizi, mancato aggiornamento del last access, sovrascrittura nel tempo) e le tecniche di anti-forensics (es. timestomp). La soluzione proposta è l'estensione a fonti eterogenee tramite supertimeline. Il workflow operativo comprende: il montaggio in sola lettura dell'immagine nei formati RAW, EWF e AFF (xmount, mount_ewf.py, affuse, con opzioni show_sys_files e streams_interface), l'accesso a metafile riservati come $MFT e $UsnJrnl; la generazione della supertimeline con log2timeline (framework modulare in Perl di Kristinn Gudjonsson, v. 0.60, con preprocessing automatico di hostname e timezone); la parsificazione della MFT con confronto $STDInfo/$FILEname per rilevare il timestomping; il carving sulle aree non allocate con Photorec; l'unificazione e la riduzione dei risultati con l2t_process (deduplica, filtri per keyword e intervallo temporale). Si illustrano infine gli strumenti di raffinamento e visualizzazione (fls e mactime della TSK per i summary orari/giornalieri, grep, Mandiant Highlighter, fogli di calcolo, Smile e BeeDocs) e si forniscono note pratiche sulla sincronizzazione, incluso l'espediente del timestamp UNIX GMT iniettato dai server nei redirect di Google+ per validare l'ora di sistema.

La trattazione giuridica distingue fonte di prova, mezzo di prova ed elemento di prova, e ricostruisce la nozione di indizio, valutabile (non numerabile) e dotato di rilevanza solo se grave, preciso e concordante ai sensi dell'art. 192, comma 2, c.p.p.: la gravità attiene alla resistenza alle obiezioni, la precisione all'univocità interpretativa, la concordanza alla convergenza verso la medesima conclusione. Particolare attenzione è dedicata all'alibi informatico, alla distinzione tra alibi "fallito" e "falso" e al principio — affermato dalla Cassazione a Sezioni Unite (1992) — per cui la falsità dell'alibi non determina inversione dell'onere della prova, nel rispetto della presunzione di innocenza e del diritto di difesa. Si rimarca la necessità di incrociare le risultanze digitali con quelle della realtà, verificando anche l'eventuale uso promiscuo del terminale.

Gli autori concludono che il primo obiettivo della computer forensics è riordinare gli eventi secondo il loro ordine naturale, ricomponendo il "puzzle" probatorio in una timeline coerente che accresca attendibilità e certezza di tutte le altre risultanze e ne sostenga la tenuta nel contraddittorio processuale.