Analisi Forense su sistemi di Cloud

Transcript

1 Analisi Forense su sistemi di Cloud Arianna Del Soldato CNR, Istituto di Informatica e Telematica, Pisa, Italy INFORMAZIONI Article history: Keywords: Cloud Computing Digital Forensics Best Practice Normative Contratto di servizio ABSTRACT Il Cloud Computing è un modello di elaborazione distribuito che consente l accesso condiviso e su richiesta, mediante rete, a risorse configurabili e delocalizzate. Esso ha permesso di ridurre i costi di gestione, di migliorare la produttività personale e lavorativa e, forse, anche la qualità della vita degli utenti. Questo documento prende in esame i vari modelli di sviluppo e di servizio del Cloud Computing fornendone le definizioni e analizzandone i benefici e i problemi derivanti dal suo utilizzo. Successivamente, fornisce una panoramica sui vari aspetti tecnici e procedurali che caratterizzano l analisi forense digitale approfondendo, in particolare, come le metodologie standard si applichino ai vari modelli del Cloud Computing, esaminando le possibili problematiche e fornendo possibili soluzioni. Infine, prende in considerazione le possibili problematiche incontrate dall analista forense nel corso delle investigazioni su sistemi di Cloud Computing in relazione alle norme vigenti in materia. 1. Introduzione Il Cloud Computing è una innovazione tecnologica molto importante, che ha reso molto più efficiente la possibilità di accedere a dati, documenti e programmi a basso costo, da qualsiasi parte del mondo, anche grazie alla diffusione sempre più capillare dei dispositivi mobili e dei personal computer. Questa nuova tecnologia ha anche permesso di ridurre i costi di gestione, di migliorare la produttività personale e lavorativa e, forse, anche la qualità della vita degli utenti. Il Cloud Computing introduce un nuovo modo di implementare architetture di tipo complesso e di realizzarle a basso costo, dunque accessibili facilmente da parte di aziende ma anche da privati. La sua evoluzione, infatti, è stata possibile grazie ai progressi avvenuti nel campo delle tecnologie di virtualizzazione delle macchine, alla disponibilità di connessioni a Internet a banda larga e di protocolli per l interconnessione di sistemi eterogenei come i servizi Web. Ha poi sfruttato ampiamente un nuovo modo di utilizzare i servizi attraverso nuovi dispositivi mobili di ogni tipo. Tutto ciò ha contribuito alla sua rapida diffusione. Le caratteristiche e i benefici ottenuti utilizzando sistemi di Cloud hanno contribuito, inoltre, ad accumulare un numero sempre maggiore di dati digitali che rappresentano un patrimonio prezioso e una risorsa strategica per privati e aziende. Insieme ai riconosciuti benefici sia in campo economico che sociale, è inoltre opportuno rilevare come il Cloud Computing abbia evidenziato problemi concernenti la riservatezza e la sicurezza dei dati, nonché la permeabilità agli attacchi informatici. La creazione di grandi aggregazioni di dati ha generato obiettivi ben visibili e appetibili da parte di criminali informatici. Per questo motivo, il mondo investigativo dell analisi forense digitale sui sistemi di Cloud Computing sta cercando di adeguare le procedure investigative standard a questo nuovo paradigma rendendolo, conseguentemente, affascinante anche dal punto di vista giuridico. 2. Il Cloud Computing Cos è il Cloud Computing? Il Cloud Computing è un termine che identifica un nuovo modo di fruizione di servizi IT. Pur in difetto di una definizione univoca, appare particolarmente interessante la definizione fornita dal National Institute of Standards and Technology (NIST) che lo definisce come un modello per abilitare un accesso pratico, on-demand, via rete, ad un insieme di risorse informatiche condivise (reti, server, storage dei dati, applicazioni e servizi) e configurabili che possono essere rilasciate in tempo breve e con una minima gestione o interazione con il Provider.

2 2 Il NIST caratterizza il concetto di Cloud Computing per cinque peculiarità: Offerta di servizi on-demand che possono essere fruiti dall utente in maniera indiretta e automatica. Accesso alle risorse distribuite tramite rete e senza limiti dalla piattaforma del client (personal computer, cellulari, tablet, server) Condivisione delle risorse gestite dal Cloud Provider 1 come virtualizzazioni di risorse fisiche delocalizzate su diversi data center e/o nazioni, per servire fruitori di servizio diversi. L utente che usufruisce delle risorse virtualizzate non è a conoscenza né della loro origine né ha modo di capire se le risorse fisiche che vi concorrono sono dinamicamente reimpostate dal sistema di Cloud. Elasticità dei servizi erogati tramite Cloud, cioè le risorse che il Cloud mette a disposizione dell utente sono dinamicamente rese fruibili sotto forma di servizi a consumo in modalità pay-per-use in modo da garantire, in ogni momento, la qualità stabilita dal servizio. Capacità del Cloud Provider di controllare e ottimizzare sia la qualità dei servizi offerti (storage, larghezza di banda, ecc.), sia l impiego effettivo delle risorse da parte del cliente. Il paradigma del Cloud Computing si fonda, in realtà, su due paradigmi già conosciuti dagli anni 60: quello del Grid computing, cioè l uso di infrastrutture di calcolo distribuito per l elaborazione di quantità ingenti di dati mediante l uso di grandi quantità di risorse, e quello dell Utility Computing, cioè l incapsulamento di risorse informatiche come potenza di calcolo o storage di dati all interno di un servizio erogato a consumo. Le risorse tecnologiche di quegli anni, però, non consentivano la diffusione e la commercializzazione di questi paradigmi, ma già negli anni ottanta, si poteva assistere a scenari di Cloud abusivo. L elevato costo dell hardware, che impediva di disporre di computer domestici potenti e la possibilità di accedere a macchine remote tramite modem, spostò l interesse dallo storage dei dati in locale all utilizzo della rete per accedere a macchine più potenti e costose, nella maggioranza dei casi mantenute da istituzioni militari o enti di ricerca, delle quali si tentava di utilizzare le risorse 2. Negli ultimi vent anni, però, il fenomeno della diffusione di Internet, così come il calo dei costi dei supporti di memoria (hard disk, chiavette USB, hard disk esterni, sistemi RAID), ha influito notevolmente sulla diffusione della tecnologia informatica anche fuori dall ambiente universitario e di ricerca facendola diventare un bene alla portata di tutti. Questo aspetto, se da un lato ha consentito all utilizzatore informatico di riappropriarsi dei propri dati, dall altro lo ha portato a produrre e accumulare un quantitativo enorme di dati (documenti, fotografie digitali, immagini, ecc.), ad avere uno o più account di posta per comunicare (anche al di fuori dell ambiente professionale) e, soprattutto, ad usufruire di servizi on-line che gli consentono di gestire questi dati come ad esempio, spostare il suo patrimonio fotografico su Flickr, la sua su Gmail, Yahoo o Hotmail, o a sincronizzare i propri cellulari con il sistema di Google. Questo comportamento lo ha portato in qualche modo a riabbandonare i suoi dati nella nuvola e a riutilizzare i grandi sistemi come faceva una volta, nel tentativo di esaudire la sua crescente necessità di spazio in cui salvare i propri dati, al minor costo possibile e, soprattutto, in modo che siano facilmente accessibili da qualsiasi luogo in cui si trovi. L utente, in questo modo, si è trovato così ad utilizzare servizi di Cloud Computing spesso inconsapevolmente e ignorando la tecnologia che li rende possibili. A differenza dei classici sistemi Client Server, infatti, nel paradigma del Cloud il concetto di servizio richiesto è ampliato al punto di poter rappresentare risorse di varia natura come: dati, software, hardware e comunicazioni. La diffusione del Cloud Computing è dovuta principalmente ai numerosi vantaggi che offre ai clienti privati e alle aziende tra cui possiamo citare: L utilizzo versatile dei servizi a basso costo; Lo storage illimitato dei dati o comunque di grandi quantità di spazio gratuito per singolo utente; Una modalità di accesso ai dati semplice tramite registrazione di un account con un indirizzo valido, utilizzando applicazioni create dal Cloud Provider o messe a disposizione attraverso il suo sito Web; La facilità di accesso ai servizi da qualsiasi piattaforma e dispositivo mobile che disponga di una connessione ad Internet; La possibilità di salvare e utilizzare i dati anche in locale; La possibilità di condividere dati e servizi tra diversi dispositivi dello stesso utente (collegandosi con lo stesso account) e tra utenti diversi (inviando la URI dalla quale poter scaricare i dati agli utenti non registrati o creando cartelle condivise); La centralizzazione dell installazione e degli aggiornamenti dei sistemi hardware e software, con conseguente abbattimento dei costi relativi all infrastruttura 3 tecnica e al personale. 1 Inteso come la ditta privata, l ente accademico e/o istituzionale che offre il servizio di Cloud. 2 G. Ziccardi, Cloud Computing tra criminalità investigazioni e (r)esistenza elettronica. 3 Si può definire come infrastruttura del Cloud l insieme di hardware e software che consentono di realizzare le cinque caratteristiche del Cloud Computing descritte in questa sezione.

3 3 Utilizzando i sistemi di Cloud dunque, l utente può concentrarsi sul proprio lavoro e/o sullo svago, piuttosto che sull infrastruttura e sulle tecnologie che sta utilizzando. E opportuno, pertanto, evidenziare come, insieme ai riconosciuti benefici sia in ambito economico che sociale, il Cloud Computing abbia evidenziato problemi riguardanti la riservatezza, la sicurezza dei dati (rischio di mancata protezione dei dati) e la permeabilità ad attacchi informatici dovuti principalmente alla mancanza di controllo sui dati personali e alle mancate informazioni riguardanti come, dove e da chi, i dati sono gestiti e processati. Per questo motivo, e al fine di parlare di Digital Forensics sui sistemi di Cloud, è utile individuare i modelli di sviluppo e i diversi modelli di erogazione dei servizi offerti dal Cloud Computing, per meglio comprendere come e dove possano essere effettuate le indagini e quali possano essere le relative problematiche e soluzioni possibili Modelli di sviluppo I modelli di sviluppo dei sistemi di Cloud Computing differiscono per la tipologia di gestione e per la dislocazione delle risorse computazionali che forniscono i servizi agli utenti, oltre che per la classificazione degli utenti stessi Cloud Pubblico Nel Cloud Pubblico le risorse computazionali e l infrastruttura sono resi disponibili tramite Internet a qualsiasi utente ne voglia far uso. Le risorse sono gestite e sono di proprietà di un Cloud Provider il quale fornisce i servizi di Cloud agli utenti attraverso applicazioni Web Cloud Privato Nel Cloud Privato le risorse computazionali e l infrastruttura sono a disposizione di un unica organizzazione che lo richiede. Può essere gestito dall organizzazione stessa o da una terza parte e l infrastruttura può essere dislocata sia internamente che esternamente all organizzazione stessa. Il modello Privato può essere utilizzato da un organizzazione che vuole mantenere il completo controllo sull infrastruttura e sui dati Cloud Comunitario Il Cloud Comunitario è una via di mezzo tra quello Pubblico e quello Privato per quanto riguarda il target degli utilizzatori dei servizi. E come il Cloud Privato ma l infrastruttura e le risorse computazionali, invece che essere a disposizione di una sola organizzazione, sono a disposizione di due o più organizzazioni che hanno attività o interessi condivisi al suo interno e con requisiti di sicurezza e di privacy comuni. A differenza di quello Privato, i costi sono ripartiti tra più entità, che avendo requisiti simili, possono usufruire dei benefici dei sevizi di Cloud tagliati su misura secondo le loro esigenze mantenendo un adeguato livello di privacy e sicurezza dei loro dati Cloud Ibrido Il Cloud Ibrido è il più complesso in quanto integra due o più sistemi di Cloud che possono essere sia Privati, che Pubblici che Comunitari. Ogni entità rimane singola ma ha in comune con le altre la tecnologia (standard o proprietaria) che consente la portabilità dei dati e delle applicazioni tra le strutture stesse Modelli di servizio I diversi modelli di Cloud Computing differiscono per lo scopo per il quale le risorse vengono utilizzate, per il loro livello di astrazione nonché per il controllo sull infrastruttura. Tutti i modelli di servizio possono implementare i modelli di sviluppo descritti nella sezione precedente SaaS Software as a Service Offre una o più applicazioni, corredate dalle risorse computazionali necessarie per la loro esecuzione, rese disponibili dal Cloud Provider on-demand da remoto su un Client 4 senza necessità di installazione e di aggiornamento. Questo modello consente di ridurre i costi dell hardware, dello sviluppo e mantenimento del software nonché di ottimizzare il tempo e l impiego del personale. Il fruitore del servizio non gestisce né controlla l infrastruttura sottostante, ovvero le strutture di rete, i server, i sistemi operativi e le singole applicazioni PaaS Platform as a Service Offre una piattaforma di sviluppo preconfigurata sulla quale possono essere sviluppate o installate applicazioni da remoto. Consente di ridurre i costi per l acquisto, l housing e la gestione dell hardware e del software che costituiscono la piattaforma, nonché di tutti gli strumenti di sviluppo per programmi e database. Il fruitore del servizio ha il controllo sulle applicazioni e sulle applicazioni di configurazione della piattaforma IaaS Infrastructure as a Service Offre un intera infrastruttura informatica composta da server, software, connettività Internet, routing, 4 Sistema hardware e software impiegato dall utente per usufruire dei servizi di Cloud

4 4 firewalling e load balancing 5 ed altre risorse computazionali fondamentali, sulla quale può essere installato ed eseguito qualsiasi tipo di software, inclusi sistemi operativi e applicazioni. Consente al fruitore di ottenere una soluzione scalabile per le proprie necessità senza dover comprare e gestire hardware, licenze installazioni e migrazioni e di ottenerle virtualizzate sottoscrivendo un contratto con il Provider in base alle proprie necessità. Il fruitore non gestisce né controlla l infrastruttura ma ha il controllo sui sistemi operativi, sullo storage dei dati e sulle applicazioni installate, oltre che un possibile controllo, anche se limitato, su alcune strutture di rete come gli host e i firewall. Il NIST raffigura le differenze tra il campo di azione e di controllo del fruitore e del Provider a seconda dei modelli di Cloud descritti sopra. Fig. 1 - Differenze di azione e controllo tra I diversi modelli di servizio del Cloud 6 In generale, più alto è il supporto offerto dal Provider, più basso è il raggio di azione e di controllo che ha il fruitore sul sistema. I due livelli più bassi rappresentano gli elementi fisici che compongono l ambiente di Cloud, mentre i rimanenti livelli rappresentano gli elementi logici. 5 Distribuzione del carico tra i server che si scambiano le attività con alta dinamicità e frequenza al fine di aumentare l efficienza del Cloud 6 Facility: riscaldamento, impianto di condizionamento, energia elettrica, ecc; Hardware: computer, reti, componenti per lo storage dei dati; Virtualized infrastucture: e elementi software, macchine virtuali, virtual data storage, componenti vistuali di rete tutto ciò che realizza la piattaforma; Platform architetture: compilatori, librerie, utility, middleware e altri strumenti software e di sviluppo necessari per l installazione delle applicazioni; Application: applicazioni software installate come il client software 3. Analisi forense digitale Il concetto di analisi forense digitale (Digital Forensics) nasce come generalizzazione del concetto di Computer Forensics nel momento in cui l attenzione rivolta dalla scienza forense si è spostata dal personal computer al mondo del dato digitale più in generale. Come definizione tecnica unitaria che può abbracciare entrambe i concetti possiamo prendere in considerazione quella data da G. Ziccardi, il quale definisce la Computer Forensics quella scienza che studia il valore che un dato correlato ad un sistema informatico o telematico può avere in un ambito sociale, giuridico, o legale che dir si voglia 7. Intendendo in questo caso come valore, dal punto di vista esclusivamente tecnologico, la capacità di resistenza ad eventuali contestazioni e capacità di convincimento del giudice e delle parti processuali o di altri soggetti in ordine alla genuinità, non ripudiabilità, imputabilità e integrità del dato stesso e dei fatti dallo stesso dimostrati. Nel mondo investigativo l analisi forense digitale ha assunto, negli ultimi anni, un ruolo sempre più importante. La ricerca delle prove digitali, infatti, è diventata imprescindibile dalla quasi totalità dei casi legali in cui reperire prove e informazioni rilevanti sull indagato non vuol dire più solo cercare le prove di natura fisica come impronte, residui organici o polvere da sparo negli spazi fisici dove l indagato svolge la sua vita quotidiana (casa, ufficio, ecc.), ma piuttosto cercare negli spazi logici forniti dagli strumenti tecnologi (personal computer, server, software, memorie di massa e dispositivi mobili) elementi della sua vita digitale costituita da tutte le sue informazioni digitali che la rappresentano come le fotografie digitali, la corrispondenza , l archivio dei documenti personali e lavorativi. La Digital Forensics si è evoluta dagli anni '80 grazie alla continua corsa delle forze dell ordine ad avere armi necessarie per contrastare i crimini informatici. In quegli anni il miglioramento delle tecniche e degli strumenti a disposizione avveniva perlopiù in concomitanza ad avvenimenti eclatanti, questo fino al 21 secolo??, quando si è reso necessario introdurre degli standard e formare un gruppo di lavoro sulla Digital Evidence (SWGDE), che nel 2002 ha prodotto un documento intitolato Procedure ottimali per la Computer Forensics, seguito a poi nel 2005 dalla pubblicazione della normativa ISO Requisiti generali per la competenza dei laboratori di prova e di taratura e successivamente dalla ISO/IEC Information Technology Security Technique Guidelines for identification, collection, acquisition and preservation od digital evidence. Un altro punto fondamentale è stato 7 Ziccardi, Scienze forensi e tecnologie informatiche: computer and network forensics.

5 5 raggiunto con la formulazione della Legge 48 del 2008 del codice penale, che ha introdotto nel nostro sistema giuridico una nozione unitaria di documento informatico come rappresentazione informatica di atti, fatti o dati giuridicamente rilevanti. La Legge 48 introducendo in qualche modo il concetto di scena del crimine virtuale e quindi anche di ispezione e perquisizione in ambito virtuale ha spostato l analisi forense della scena del crimine, dai luoghi fisici agli strumenti tecnologici utilizzati dall indiziato. Le sezioni che seguono fanno una panoramica sui vari aspetti che caratterizzano la Digital Forensics in relazione agli approcci tecnici e alle metodologie di analisi Classificazione della Digital Forensics Le classificazioni della Digital Forensics dipendono dall approccio tecnico relativo all analisi dei sistemi informatici utilizzati nella ricerca dell evidenza digitale. Tra le classificazioni più note troviamo quella descritta di seguito, che deriva dallo stato di funzionamento dei sistemi oggetto di analisi: Analisi post-mortem: analisi eseguita a dispositivo spento Live forensics: comprende tecniche di analisi su sistemi attivi per tutti quei dati che si perderebbero spegnendo il dispositivo (RAM, chiavi di cifratura contenute nella memoria temporanea) La seguente classificazione campo di applicazione tra cui: dipende invece dal Disk forensics: estrazione di informazioni dalle memorie di massa Memory forensics: estrazione di informazioni contenute nella RAM di un computer Network forensics: analisi dei sistemi di rete 3.2. Fasi operative dell indagine forense digitale Il processo dell indagine forense si può considerare composto da quattro fasi operative: identificazione e raccolta, estrazione, analisi, documentazione. L analista forense provvede a creare una copia autenticata dei dati non volatili e garantendo che le prove acquisite siano identiche all originale 8. Inoltre deve garantire una catena di custodia al fine di garantire la conservazione dei dati che possono costituire una prova fino al momento in cui saranno portati in un ambiente dove saranno presentati, valutati ed eventualmente contestati Estrazione In questa fase viene estratto il contenuto informativo di interesse preservando l integrità della sorgente. L estrazione è effettuata dalla copia forense in modo da lasciare inalterata l evidenza digitale presente sulla sorgente. In questa fase, l analista forense deve assicurarsi che le azioni effettuate sul dato siano accettabili (o resistenti) cioè che abbiano la possibilità di provare scientificamente, in ogni momento, che il dato sia integro, non ripudiabile, correlabile direttamente ad un determinato soggetto e che abbia valori di luogo e di tempo ben identificabili (costruzione della time-line) Analisi In questa fase vengono analizzate le prove e vengono collegati i dati a fatti naturali che costituiscono la base dell oggetto della discussione. Viene cioè data voce alle prove Documentazione In questa fase viene stilata una reportistica che illustra la metodologia di acquisizione (che deve essere eseguita seguendo la Best Practice 10 ), vengono evidenziate le problematiche tecniche eventualmente verificatesi, e vengono delineate l analisi dei fatti e il valore tecnico dei contenuti. L analista forense rappresenta, quindi, il garante della veridicità, affidabilità e consistenza delle prove e di conseguenza diventa importante che egli sia sempre aggiornato sulle tecnologie utilizzate. La sezione successiva prenderà in esame gli aspetti della Digital Forensics nel contesto del Cloud Computing che possiamo affermare rappresenti l evoluzione tecnologica del momento Identificazione e raccolta delle fonti di prova La fase di identificazione avviene in corrispondenza dell analisi della scena del crimine. In questa fase sono individuate le strutture di calcolo che possono essere rilevanti per l investigazione, ovvero dove cercare quei dati che possono essere utilizzati come fonte di prova, indizio o testimonianza. L acquisizione dei dati deve essere effettuata senza alterare il sistema informatico oggetto di analisi su cui si trovano le fonti di prova. 8 Calcolando un digest della prova ed eventualmente confrontandolo con il digest della sorgente probatoria per maggiore sicurezza si possono calcolare i digest con due algoritmi diversi 9 C. Maioli. Dare voce alle prove: elementi di Informatica Forense in Internet. Cit. 10 ISO/IEC 27037: 2012 Information Tchnology Security Technique Guideline for identification, collection and preservation of digital evidence

6 6 4. Forensics e Cloud Computing La modernità del concetto di Cloud e la complessità delle sue strutture hanno fatto in modo che, al momento, non sia stata ancora delineata una Best Practice per l analisi forense su di esso. L analisi forense e le procedure investigative sul Cloud fanno, quindi, attualmente riferimento all approccio standard della Digital Forensics con le dovute integrazioni determinate dalla virtualizzazione delle risorse. In questa sezione analizzeremo come è possibile applicare i concetti della Digital Forensics su sistemi e servizi di Cloud Computing ed esamineremo le problematiche che si possono incontrare nelle varie fasi di analisi e nei diversi modelli di Cloud. Appare evidente come nell investigazione in ambiente Cloud assumano un importanza rilevante sia l aspetto legislativo e le policy del Cloud Provider che, soprattutto, la ripartizione di ogni risorsa fisica in più risorse virtuali, che il Provider può avere delocalizzato su più piattaforme fisiche geograficamente separate e talvolta fisicamente distanti migliaia di chilometri le une dalle altre. È necessario, quindi, capire se ci sono dei rapporti di collaborazione tra i Paesi interessati in ambito di criminalità cibernetica (soprattutto per evitare ritardi burocratici eccessivi in relazione alla conservazione dei dati sui server) e analizzare il contratto di fornitura stipulato tra il fruitore e il Provider per capire quali siano le responsabilità dei contraenti sui dati gestiti nel Cloud e le caratteristiche tecniche dell infrastruttura. Andiamo adesso ad analizzare le varie fasi della Digital Forensics in ambiente Cloud dall identificazione e raccolta delle fonti di prova alla produzione della documentazione Il Cloud Computing nelle fasi della Digital Forensics Andiamo adesso ad analizzare le varie fasi della Digital Forensics in ambiente Cloud dall identificazione e raccolta delle fonti di prova alla produzione della documentazione Identificazione e raccolta In questa fase è necessario individuare il Fornitore di Cloud e capire dove hanno sede le strutture tecnologiche contenenti le possibili fonti di prova. La fase di identificazione dei sistemi di interesse risulta difficoltosa per il fatto che i dati potrebbero essere suddivisi su diverse risorse virtualizzate, anche in relazione al particolare momento di interesse, addirittura su diversi Cloud Provider e in diversi Paesi. Entrano allora in gioco i limiti giurisdizionali, gli accordi internazionali e le differenze di normativa sul data redemption. Anche il repertamento fisico che nell analisi tradizionale avviene solo inviando esperti in loco diventa difficoltoso e di conseguenza la gestione della catena di custodia, diventa una fase delicata per scongiurare la perdita di dati anche perché le macchine virtuali sono semplici file su hard disk e, come tali, possono essere cancellati, salvati e modificati Estrazione La caratteristica intrinseca del Cloud ovvero la condivisione delle risorse, rende difficile la fase di estrazione dei dati che potrebbero appartenere a fruitori (persone fisiche o aziende) che non sono convolti nell investigazione ma che stanno condividendo delle risorse che invece soggette ad indagine forense. In questa fase è predominante la Live Forensics sui Client, dato che la maggioranza dei servizi di Cloud sono fruibili dal consumatore utilizzando particolari Browser o applicazioni da montare su un normale Internet Browser. A seconda dei modelli di Cloud può essere effettuata anche la disk forensics sulle macchine virtuali Analisi Considerata l eterogeneità delle tecnologie e la complessità delle architetture di Cloud, un aspetto problematico in questa fase risulta la costruzione della timeline e in particolare stabilire con certezza gli orari in cui si sono verificati eventi digitali determinanti ai fini processuali. Non possiamo, infatti, essere sicuri che il Provider di una struttura di Cloud complessa possa garantire la sincronizzazione dei clock delle apparecchiature (server, apparati di rete, firewalls ecc.) toccate dal percorso logico attraversato dai dati, lasciando tracce utili ai fini investigativi e forensi. Inoltre, dal momento che i dati possono essere duplicati da un server ad un altro nel tempo, risulta impossibile ottenere una fotografia del sistema in un determinato momento Documentazione Nella fase di documentazione nasce il problema relativo al report fotografico visto che le Best Practice impongono che sulla scena ci siano solo persone autorizzate. Sarà difficile, infatti, redigere una documentazione nella quale poter annotare tutti i soggetti che sono entrati in contatto con le fonti di prova e tutti quegli eventi che hanno potuto incidere sulle informazioni contenute nella fonte dal momento dell acquisizione alla copia, analisi, ecc Il Cloud Computing nelle aree di applicazione Le varie fasi di analisi della Digital Forensics riguardano principalmente due campi di applicazione della Digital Forensics: la disk forensics e la network forensics

7 7 approcciate con le tecniche di analisi della live forensics. Andiamo adesso ad analizzare queste aree Disk forensics Le operazioni della disk forensics, che nella Digital Forensics secondo le Best Practice dovrebbero essere eseguite a macchine spente, diventano impraticabili nei sistemi di Cloud perché l operazione di spegnimento dei server dell infrastruttura implicherebbe il blocco di tutti i servizi virtuali presenti sulla risorsa fisica, con impatti insostenibili sul business di determinati fruitori (basti pensare alla gestione dei dati sanitari o a movimenti bancari). Un altro limite rispetto alla Digital Forensics tradizionale riguarda il recupero dei dati cancellati sui server. Questo è dovuto al fatto che, ai dati cancellati sul Cloud, possano non corrispondere dati effettivamente cancellati sui server che supportano l accesso a tali dati; viceversa, può succedere che un dato disponibile come servizio nel Cloud non abbia un corrispondente su un server, ma potrebbe essere frutto di una elaborazione di dati distribuiti e come tale potrebbero esistere nel Cloud solo per un periodo di tempo limitato. Inoltre, la memoria occupata dal dato cancellato viene riallocata, anche parzialmente, per memorizzare altri dati che possono appartenere ad un fruitore di servizio diverso, rendendo ancora più difficoltoso il reperimento. Alcuni dati cancellati, però, possono ancora essere presenti nella memoria Snapshot. La sfida è recuperare i dati cancellati, identificarne il proprietario e utilizzare questi dati per ricostruire gli eventi nel Cloud. E necessario allora restringere il campo applicativo della disk forensics alle macchine virtuali e supportare le indagini con la network forensics direttamente sul sistema di virtualizzazione, tenendo presente la possibilità che le macchine virtuali possano migrare tra un nodo e l altro dell infrastruttura. Nell analisi delle macchine virtuali c è il vantaggio che, a differenza dei sistemi fisici nei quali lo spegnimento della macchina comporta la perdita dei dati volatili, è possibile sospendere la macchina in modo da poter acquisire anche i dati volatili da poter poi analizzare senza dover ricorrere a tecniche invasive come il dump della memoria. Inoltre, è possibile dare evidenza forense della corretta duplicazione delle macchine producendo un hash dei volumi. In molti casi, è possibile duplicare e analizzare le copie direttamente sul Cloud in modo da avere un ambiente in cui operare identico all originale Network forensics In questa area di applicazione, l analista deve replicare le attività della network forensics classica nel mondo virtualizzato. Questo si rende necessario poiché dal momento che una risorsa viene virtualizzata, non viene solo ripartita su più istanze virtuali (eventualmente distribuite su più server), ma viene anche creata una infrastruttura virtuale di rete che serve per far comunicare le macchine virtuali sia tra di loro che con il mondo esterno. L hipervisor 11 infatti, integra il sistema con un virtual switch il quale, replicando l attività svolta dagli switch layer 2/3 reali, ha il compito di instradare il traffico di rete a ciascuna risorsa senza conflitti o duplicazioni di dati, tenendo conto della suddivisione delle risorse. Per poter analizzare il traffico di rete è necessario attivare una porta di span attraverso il virtual switch, in modo da instradare il traffico interessato su una particolare porta dalla quale raccogliere i dati per la successiva analisi tramite il comando tcpdump. La network forensics su un sistema Cloud può essere utile eseguita preventivamente alla Disk Forensics per individuare le macchine virtuali da analizzare. Essa può essere applicata anche per i dati in transito da e verso il Cloud. L attività può essere eseguita durante l utilizzo del servizio da parte del sospettato (attraverso intercettazione di comunicazioni) oppure a seguito del sequestro del Client, ma in questo caso l interazione deve avvenire in modo controllato per assicurarsi che non vengano alterati i dati sul Cloud. Un altra strategia da seguire è l analisi dei log eventualmente forniti dal Cloud Provider. Questa strada è difficilmente percorribile poiché, anche superando le resistenze del Provider, l analista si troverebbe a processare una mole considerevole di dati, la maggior parte delle volte strutturati in formato proprietario e dei quali sarà difficile valutare l attendibilità e l autenticità I modelli di Cloud e la Digital Forensics In questa sezione vedremo quali possono essere le ripercussioni dell analisi forense per i diversi modelli di Cloud SaaS In scenari di SaaS con modello di sviluppo Privato, il Provider e il fruitore sono sotto la stessa autorità, per cui è possibile conoscere l esatta posizione dei server e dei dati, di conseguenza siamo in un contesto in cui l analista forense può eseguire le sue attività di analisi. Nel caso di modello Pubblico, invece, ci troviamo in un contesto in cui non vi è alcun controllo sull infrastruttura e i sistemi che erogano i servizi di Cloud sono di difficile accesso. In questo caso, la maggiore fonte utile di informazioni è il Client dal quale più fondamentale cercare di ottenere informazioni possibile analizzando i Browser per ricavarne dati (cookies, cronologia, connessioni aperte verso sistemi di Cloud, password salvate nella cache del browser e file temporanei) e analizzare le tracce lasciate 11 Strato di sofware che appoggia direttamente sull hardware e ha il compito di creare le risorse virtuali; è analogo al kernel in un sistema operativo tradizionale.

8 8 dalle comunicazioni di rete con il Cloud. L attività dell analista si può concentrare anche sull analisi degli eventuali log forniti dal Provider. Nel caso in cui non si riesca ad ottenere dal Provider i log, non sarà possibile dimostrare l avvenuto accesso ad una risorsa da parte di un utente in un determinato periodo di tempo, né tantomeno vi sarà la possibilità di installare sistemi di logging lato utente. Anche nel caso di una fraudolenta sottrazione delle credenziali di accesso al sistema, non è possibile risalire all autore o determinare a quali dati abbia eseguito un accesso non autorizzato. Inoltre, anche nel caso in cui non ci sia resistenza da parte del Provider nel rilasciare i log, la difficile verifica della sicurezza dei sistemi di logging (anche se dichiarati cifrati) inserirebbe un punto di debolezza in fase di analisi. Una possibile soluzione potrebbe essere quella di avere sul Client strumenti che permettano di determinare la reperibilità del dato, cioè di sapere se un determinato Server possiede un certo dato e se è ottenibile senza modifiche o strumenti che siano in grado di provare la detenzione di un dato, cioè consentano di sapere se un server (magari non autorizzato) possiede o meno i dati originali PaaS Come nel modello SaaS siamo in assenza di controllo sull infrastruttura ma vi è il controllo da parte del fruitore sulle applicazioni e su come le applicazioni si interfacciano con l infrastruttura del Cloud. In questo caso è possibile, analizzare gli eventuali log delle applicazioni generati e memorizzati da un sistema di logging predisposto dal fruitore del servizio per l accesso e le modifiche ai dati. Per garantire l autenticità dei dati raccolti al momento della loro verifica e analisi, sarebbe buona norma che i log fossero memorizzati su unità di storage esterne e cifrati durante il trasferimento verso l esterno. In questo modo gli eventi fraudolenti possono essere identificati perché, anche in caso di manomissione dei log esterni, chi esegue l attacco non ha modo di modificare il registro dei log del fruitore. Anche in questo caso, rimane la possibilità di effettuare le analisi sul Client e sulle connessioni di rete IaaS A differenza del Saas e del PaaS il fruitore ha il controllo dei sistemi montati sull infrastruttura. In questo modello è possibile svolgere maggiormente le attività standard di analisi forense avendo accesso ai file di log ed eseguendo una copia delle macchine virtuali, per poi analizzarle come in un sistema tradizionale. E possibile effettuare attività di Computer Forensics senza spegnere la macchina utilizzando il metodo dello Snapshot, supportato dai sistemi più diffusi di virtualizzazione, il quale consente di congelare gli stati del sistema e di fare un istantanea. Con il metodo dello Snapshot l analista può disporre di un clone dei dati di una determinata macchina e del contenuto della RAM pur garantendo la continuità del servizio del Cloud. Poiché le macchine virtuali sono, comunque, sotto il controllo del Cloud Provider, è necessario che questo conceda la possibilità di comprendere la volatilità dei dati e il loro grado di permanenza nel sistema. Come abbiamo visto nelle sezioni precedenti, le caratteristiche intrinseche del Cloud Computing come la condivisione dei dati, la loro continua migrazione tra i nodi dell infrastruttura e la loro delocalizzazione, nonché la notevole mole di dati eterogenei trattati rendono difficile l applicazione delle metodologie standard della Digital Forensics ai reperti di una indagine giuridica. Queste caratteristiche possono tuttavia essere a loro volta utilizzate a vantaggio dell investigazione digitale conducendo gli analisti forensi a considerare la Digital Forensics sui sistemi di Cloud come una Forensics as a Service. Anche le soluzioni dell analisi forense potrebbero, quindi, venire dalle nuvole: disporre di una postazione di lavoro di analisi virtualizzata in un Cloud potrebbe rivelarsi vantaggioso (per esempio per effettuare il recupero dei dati in transito). Inoltre, si potrebbero allocare nel sistema di Cloud anche le risorse necessarie all analisi. L elasticità dei servizi offerti dal sistema porterebbe ad avere strumenti di analisi altrettanto elastici oltretutto fruibili on-demand e la condivisione delle risorse potrebbe contribuire a ridurre i costi sostenuti dagli analisti forensi. Le piccole e medie imprese che non possono economicamente permettersi competenze interne o esterne potrebbero usufruire dei servizi di Forensics a basso costo. Le grandi capacità di storage caratteristiche del Cloud permetterebbero di replicare i dati repertati durante un indagine diminuendo il rischio di cancellazione permanente della digital evidence. Inoltre, una IaaS che offre un servizio di clonazione di una macchina virtuale potrebbe essere utile per ottenere l immagine live di una macchina virtuale da analizzare successivamente, facendo risparmiare tempo sia nella fase di acquisizione che in quelle successive, attraverso una possibile analisi parallela su cloni della stessa macchina. Anche la possibilità di dare un versionamento ai dati potrebbe essere utile all analisi forense per poter conservare ed eventualmente recuperare vecchie versioni di una digital evidence. Infine, l attività forense potrebbe beneficiare della scalabilità e della flessibilità dell uso delle risorse del Cloud Computing per eseguire le analisi sui log. Il servizio potrebbe essere scalato in base alla mole di dati da analizzare in modo da incrementare l efficienza nell indicizzazione e nella ricerca.

9 9 Un impedimento alla realizzazione di un sistema simile risulta comunque essere uno dei limiti del Cloud per quanto riguarda la riservatezza dei dati. 5. L analista forense e le normative nella nuvola La crescente diffusione e l utilizzo delle tecnologie legate al paradigma del Cloud Computing sia da parte di singoli utenti che delle imprese, lo ha reso affascinante anche dal punto di vista giuridico. La crescita nel tempo della complessità dell argomento Cloud Computing nell ambito giuridico è principalmente dovuta al fatto che questa nuova tecnologia non è nata con particolare attenzione ai profili normativi (specialmente quelli legati alla privacy) e che i legislatori di tutto il mondo non sono intervenuti tempestivamente per dettare norme specifiche in materia di Cloud. Il Cloud Computing nasce, infatti, allo scopo di garantire la condivisione delle risorse ma con scarsa attenzione alla riservatezza, alla sicurezza e alla penetrabilità ad attacchi informatici. La creazione di grandi aggregazioni di dati genera obiettivi ben visibili ed appetibili da parte di criminali informatici. L ambiente del Cloud può diventare per un criminale uno spazio appetibile dove poter rubare i dati, ma anche dove nascondere informazioni criminali, specialmente se il sistema di Cloud è gestito da un Provider che non pone adeguata attenzione alle misure di sicurezza tecniche e organizzative per proteggere i dati, o ha sede in Paesi con normative sulla criminalità informatica scarsamente rigide. La delocalizzazione dei data center, che consente al Cloud Provider di poter spostare le infrastrutture dove le spese sono più basse e la condivisione delle risorse, se da una parte costituisce un vantaggio anche dal punto di vista dell utente, allo stesso tempo è anche foriero di importanti criticità in relazione ai profili giuridici. Le diverse giurisdizioni in cui l analista si imbatte durante l analisi forense in un sistema di Cloud Computing costituisce un limite intrinseco. L analista forense deve, infatti, assicurare che le attività intraprese non violino la legge e le normative vigenti nei vari Paesi coinvolti dalla struttura di Cloud, operando in modo tale che la traccia digitale assuma un valore probatorio, e rispettando la riservatezza di fruitori terzi che eventualmente stanno condividendo la risorsa oggetto di indagine. In assenza di norme specifiche riguardanti il paradigma del Cloud, appare opportuno che l analista forense affermi una prassi che tenga conto delle norme vigenti e ponga attenzione alle garanzie sui dati trattati, conservati e utilizzati nella nuvola. Inoltre, è opportuno concentrare l attenzione sul rapporto contrattuale tra il fruitore e il Provider che spesso si contraddistingue per la scarsa trasparenza sulla collocazione delle macchine e per le scarse garanzie sul servizio fornito e sulle responsabilità del Provider (cosa che fa da contraltare alla gratuità della gran parte dei servizi forniti). Nelle sezioni precedenti di questo documento è stato sottolineato come diversi modelli di Cloud in cui un analista può imbattersi portano anche ad adottare approcci diversi all analisi forense. In un ambiente di Cloud Privato, poiché l infrastruttura è utilizzata e gestita internamente, il contesto si può considerare assimilabile ad un tradizionale network interno, per cui non si pongono i problemi legati al coinvolgimento di un soggetto esterno sul trattamento dei dati. In questo caso, infatti, il fruitore ed il Cloud Provider hanno la possibilità di negoziare il contratto di servizio che regola il loro rapporto e a questo l analista forense può fare riferimento per capire se e dove può cercare le prove. Nel caso del Cloud Pubblico, invece, il fruitore non ha la possibilità di negoziare i termini e le condizioni d uso e spesso si trova di fronte alla scelta di utilizzare il servizio così com è o non utilizzarlo affatto. In questo caso, l analista si dovrà interrogare sulla qualificazione giuridica del Cloud Provider che fornisce il servizio. In particolare, dovrà verificare nel contratto se sono indicati i Paesi in cui sono situati i server che ospitano i dati per poter capire da chi saranno giudicate le eventuali controversie, se da un giudice italiano o un giudice straniero (con l aggravio di costi e tempo). Vi è infatti una grande differenza tra le norme applicabili nei Paesi facenti parte l UE e le leggi applicate negli Stati Uniti d America o altri Paesi. Secondo la disciplina generale il contratto si ritiene concluso nel luogo in cui si trova il proponente al momento in cui ha notifica dell accettazione (L. n 218/1995 che rinvia al regolamento CE n 593/2008 che riconosce efficacia generale della Convenzione di Bruxelles in tema di competenza giurisdizionale nei contratti conclusi dai consumatori). E. Bellisario fa notare come la convenzione di Bruxelles disponga che in caso di beni mobili e servizi, se vi è stata una forma di pubblicità nel Paese del consumatore e questi ha concluso nel proprio Paese gli atti del contratto, si debbano rispettare le norme imperative e la giurisdizione del Paese di residenza abituale del consumatore 12. Si può, poi convenire che un sito Internet realizzi in qualche modo una forma di comunicazione pubblicitaria. In questo senso si è indirizzata anche l Unione Europea con la normativa in fatto di commercio elettronico, per cui l analista forense deve considerare particolarmente importante lo status di consumatore ai fini della determinazione della legge applicabile. Al fine dell indagine sulla violazione di dati personali, inoltre, assume un importanza particolare la responsabilità 13 delle tecnologie informatiche per cui, sia il fruitore, sia il Cloud Provider e gli eventuali 12 E. Bellisario. Cloud Computing cit. 13 Intesa come la capacità di stabilire che cosa ha fatto un entità in un determinato momento nel passato e come lo ha fatto.

10 10 subcontraenti, possono avere ciascuno un certo grado di responsabilità operativa. I Cloud Provider sono, infatti, coinvolti nella gestione dei dati personali del fruitore o di quelli di cui è titolare, in special modo quando forniscono lo storage dei dati. Il gruppo di lavoro 29 sottolinea come Gli incaricati del trattamento sono responsabili dell adozione di misure di sicurezza in linea con quanto previsto dalla normativa UE applicata nelle giurisdizioni del responsabile del trattamento e dell incaricato del trattamento. Inoltre, gli incaricati del trattamento sono tenuti ad assistere il responsabile del trattamento nel rispettare i diritti (esercitati) degli interessati 14. Il quadro giuridico pertinente è quello relativo alla direttiva sulla protezione dei dati 95/46/CE, che si applica a tutti i casi di trattamento di dati personali nell ambito di servizi di Cloud Computing. La direttiva e-privacy 2002/58/CE (modificata dalla direttiva 2009/136/CE) si applica al trattamento di dati personali in relazione alla fornitura di servizi di comunicazione elettronica disponibili al pubblico nelle reti pubbliche di comunicazione (operatori delle telecomunicazioni) e pertanto l analista la può ritenere pertinente nel caso in cui tali servizi siano forniti mediante una soluzione Cloud 15. Il Gruppo di lavoro articolo 29 per la protezione dei dati, nel parere del 05/2012, propone che il Cloud Provider si possa considerare esso stesso il responsabile dei dati, nel caso in cui non si attenga alle dichiarazioni contenute nel contratto di servizio e di conseguenza sia soggetto alle norme specifiche sul trattamento. In ogni caso sorge un problema derivante dal fatto che utilizzare un servizio di Cloud vuol dire, molto spesso, trasferire i dati al di fuori dei confini Italiani, e che gran parte dei Provider e dei loro data center si trovano al di fuori dei confini dell Unione Europea (UE). In questo senso, l analista forense deve tenere conto che il D. Lgs. 196/2003 riprendendo la normativa comunitaria (Dir. n. 95/47/CE), distingue tra il trasferimento dei dati all interno dell Unione Europea e quello verso Paesi terzi. In particolare l art. 45 prevede che il trasferimento dei dati verso Paesi extra UE sia proibito a meno che il Paese terzo non assicuri un livello di tutela delle persone adeguato. Importante è anche l art. 43 il quale prevede i contesti particolari nei quali è consentito il trasferimento dei dati oggetto di trattamento in Paesi extra UE. Un altro problema si pone all analista in relazione alle norme che disciplinano la data redemption intesa come raccolta automatizzata dei dati degli utenti per poter supportare gli organismi di indagine in caso di eventuali investigazioni. A livello comunitario, sia con le dovute differenze tra le diverse legislazioni, si è affermato il principio per cui vanno adeguati gli interessi contrapposti 14 Article 29 data protection working party, 01037/12/EN WP 196 Opinion 05/2012 on Clou Computing. 15 E. Bellisario, Cloud Computing cit. tra la sicurezza degli individui e la loro riservatezza. La normativa di riferimento è la Direttiva 2006/24/CE che disciplina i tempi di conservazione delle informazioni e dei dati degli utenti. In Italia la data redemption è regolata dal D. Lgs. 109/2008, mentre, gli art. 122, 123 e 132 del D. Lgs. 196/2003 regolano l uso delle rete elettronica per quanto riguarda l accesso ai dati archiviati in un terminale di un utente e la loro archiviazione. In un indagine forense è opportuno tenere presente che per l accertamento e la repressione dei reati, per finalità di sicurezza pubblica l art, 132 prevede che i dati relativi al trasferimento telematico, esclusi comunque i contenuti della comunicazione, sono conservati dal Provider per 12 mesi dalla data della comunicazione. Il Provider deve rispettare le normative sopra citate anche nel caso in cui sia stabilito in un Paese extra UE e impieghi, per il trattamento, strumenti situati in Italia, anche diversi da quelli elettronici, salvo che essi siano utilizzati solo ai fini di transito nel territorio UE (art. 5 comma 2, D. Lgs. 196/2003). Come abbiamo visto anche nelle sezioni precedenti, l investigazione forense sui sistemi di Cloud coinvolge principalmente il Cloud Provider e il fruitore dei servizi. Per poter svolgere una corretta investigazione, sarebbe quindi utile avere a disposizione contratti di fornitura di servizio stilati in modo da facilitare l indagine forense magari corredati di documenti tecnici e SLA (Service Level Agreement) che specifichino anche le procedure da seguire nelle fasi di investigazione forense come ad esempio: i servizi e le procedure per consentire l accesso ai dati da parte del fruitore, i limiti di responsabilità del Cloud Provider e del Fruitore, la condotta investigativa da seguire in un ambiente multi giurisdizionale per non violare le leggi vigenti e rispettare la riservatezza dei fruitori. Nel contratto dovrebbero, inoltre, essere chiaramente indicati: la dislocazione delle infrastrutture del Cloud, gli eventuali subfornitori, i Paesi coinvolti, le politiche che regolano la data redemption, la garanzia dell osservanza dei principi di specificazione e limitazione, una garanzia della legittimità dei trasferimenti transfrontalieri, la completezza e l affidabilità dei meccanismi di logging, l adozione di misure di sicurezza fisica secondo la certificazione SAS 70 o ISO 9000, e più in generale le misure tecniche e organizzative adottate dal Provider. Spesso, invece, l analista forense si trova di fronte a contratti d uso in cui sono presenti delle clausole vessatorie 16 che contengono disposizioni in grado di determinare uno squilibrio tra il fruitore ed il Cloud Provider stesso in termini di responsabilità, recesso del contratto, limitazioni a carico del consumatore di opporre 16 Intendendo come vessatoria una clausola che da squilibrio normativo e non economico, cioè che realizza a carico di una parte e a favore dell altra un significativo squilibrio dei diritti e degli obblighi (E. Bellisario. Cloud Computing).

11 11 eccezioni alla competenza dell attività giudiziaria, all adduzione delle prove ecc. In questi casi l analista forense può tenere in considerazione che, in presenza di clausole vessatorie e se il fruitore è un singolo consumatore, entra in gioco l art. 36 D.Lgs. 206/2005 per cui queste possono ritenersi nulle, mentre si può ritenere valido l accordo per il resto, a meno che le clausole in questione siano oggetto di trattativa individuale. Sotto questo aspetto è significativo il fatto che, nella maggioranza dei casi, l adesione ad un sevizio di Public Cloud avviene mediante registrazione dell utente sul sito Internet del Provider non prevedendo alcuna trattativa individuale rispetto alle condizioni d uso disponibili sul sito stesso. L assenza di un armonizzazione delle norme in materia di Cloud, così come la mancanza di accordi internazionali, rende difficile l approccio legale al Cloud Computing da parte dell analista forense. La necessità di sviluppare un ampia strategia comune europea sul Cloud Computing è stata evidenziata dalla Commissione Europea sul digitale 17. L interesse da parte del mondo giuridico alle tecnologie legate al Cloud sta crescendo a tal punto che si sta sviluppando addirittura l idea di servizio che potremmo definire LaaS Law as a Service. Il Consiglio degli Ordini Forensi d Europa (CCBE) ha emanato delle Linee Guida per richiamare l attenzione sulle problematiche in cui possono incorrere gli avvocati quando considerino l utilizzo del Cloud Computing, analizzandone sia i rischi che i benefici. Tra i benefici presi in particolare considerazione vi sono: la riduzione dei costi, nel caso di uffici legali dotati di infrastrutture informatiche o di nuovi professionisti che vogliano creare un sistema efficace di gestione da zero; la semplicità di accesso ai servizi tramite Internet nel caso di lavoro fuori sede (con conseguente beneficio da parte dei loro assistiti); la facilitazione del lavoro collaborativo tra uffici dislocati di studi legali. Ciò non di meno, insieme ai molti significativi vantaggi che il Cloud Computing comporta, il documento evidenzia, come anche per il mondo giuridico, l utilizzo dei servizi di Cloud comporti un insieme di rischi legati principalmente alla protezione dei dati, agli obblighi professionali di riservatezza e ad altri obblighi normativi ai quali sono soggetti gli avvocati, come per esempio il segreto professionale. Non per ultimo il fatto che una temporanea indisponibilità dei servizi di Cloud potrebbe causare una significativa interruzione dell attività professionale con le conseguenze del caso. 17 Clouds for Europe: From Cloud-Friendly to Cloud- Active, Digital Agenda Assembly Conclusioni In questo documento è emerso come la Digital Forensics sul Cloud sia una gestione multidisciplinare e non meramente tecnica. Le caratteristiche intrinseche del Cloud mettono alla prova molti aspetti sia tecnici che legali dell analisi forense classica. Molti aspetti caratteristici del Cloud Computing come la replicazione e la condivisione delle risorse, nonché la loro dislocazione, che hanno fatto del Cloud il paradigma tecnologico del momento offrono anche un opportunità unica che può migliorare in modo significativo l efficienza e l efficacia dell investigazione digitale. In questo senso è già emerso il concetto di Forensics as a Service come sistema di analisi forense basato su Cloud Computing e di Law as a Service come sistema di erogazione di servizi basati su Cloud Computing ad uso degli avvocati e dei giuristi. Gli stessi aspetti del Cloud Computing sono anche forieri di importanti criticità in relazione ai profili giuridici e alla protezione dei dati. Al fine di agevolare l analisi forense sui sistemi di Cloud nonché di promuovere la diffusione di questo nuovo paradigma nei vari campi di applicazione, sono necessari accordi interazionali ed è necessaria una maggiore collaborazione tra le forze dell ordine, le autorità locali e le istituzioni internazionali. In particolare appare raccomandabile che venga posta una particolare attenzione preventiva agli aspetti tecnici e legali che dovranno essere formalizzati nei contratti di servizio. In questo senso, il contratto dovrebbe essere stilato in modo che sia stabilito un maggior equilibrio di responsabilità tra il Provider e il fruitore dei servizi, che dia garanzie sul trattamento dei dati e che obblighi il Provider ad adottare determinate misure tecniche e organizzative. R IFERIMENTI Aspetti giuridici del commercio elettronico, Direttiva 2000/31/CE del Parlamento europeo e del Consiglio, dell'8 giugno 2000, ociety/other_policies/l24204_it, 5 gennaio 2005 G. Ziccardi, Scienze forensi e tecnologie informatiche: la computer and network forensics, in <<Informatica e diritto>>, cap. Scienze forensi e tecnologie informatiche: la computer and network forensics, pp , 2 maggio 2007 M. Mattiucci, La L. 48/2008 ed il reperimento delle fonti di prova da sistemi digitali, gennaio 2010 G. Ziccardi, Cloud Computing tra criminalità investigazioni e (r)esistenza elettronica, Convegno Amadir, Roma, 25 marzo 2011

12 12 P. Mell, T. Grance, The NIST Definition of Cloud Computing - Special Publication , s.l., settembre 2011 <<AA.VV.>>, Computer Forensics e Indagini Digitali. Manuale tecnico-giuridico e casi pratici, vol. I, II e III, s.l., Esperta S.r.l., novembre 2011 W. Jansen, T. Grace, Guidelines for security and Privacy in Public Cloud Computing - Special Publication , s.l., dicembre 2011 M. Michelini, A. Silvia, Corso di perfezionamento in Computer Forensics ed Investigazioni digitali, Università degli studi di Milano, Milano, a.a. 2010/2011 C. Bareato, R. Marco, Digital forensics e investigazioni sul Cloud, Corso di perfezionamento in Computer Forensics ed Investigazioni digitali, Università degli studi di Milano, Milano, a.a. 2010/2011 E. Bellisario, Diritto sulle nuvole Profili giuridici e Cloud Computing. Informatica giuridica, collana diretta da Michele Iaselli, n. 17, ALTALEX 2011 F. Filacchione, An Overview on Cloud Forencsis in <<Haking Extra>>, n. 4/12, Software Press, Poland, aprile 2012 Clouds for Europe: From Cloud-Friendly to Cloud- Active, Digital Agenda Assembly 2012, Workshop 6, Bruxelles, giugno 2012 V. E. Vertua, Cloud Computing Principali aspetti normativi civilistico-contrattuali, Corso di perfezionamento in Computer Forensics ed Investigazioni digitali, Università degli studi di Milano, Milano, 24 gennaio 2012 F. Ktaguji, Analisi forense di sistemi di file sharing, Università degli Studi di Genova Facoltà di Ingegneria, 28 settembre 2012 CCBE, Linee guida del CCBE sull utilizzo dei servizi di Cloud Computing da parte degli avvocati, s.l., settembre 2012 Article 29 data protection working party, 01037/12/EN WP 196 Opinion 05/2012 on Cloud Computing, s.l., Adopted July 1 st 2012 M. Mattiucci, Cloud Computing e Digital Forensics, marzo 2012 G. B. Gallus, Diritto penale e processuale e digital forensics, Corso di perfezionamento in Computer Forensics ed Investigazioni digitali, Università degli studi di Milano, Milano, 24 gennaio 2013 C. Maioli, Dar voce alle prove: elementi di Informatica forense, in Internet, Università di Bologna, doc, s.d. <<A.A.V.V.>>, Cloud Forensics, in <<Advanced Digital Forensics>>, cap. 2, orensics_an_overview_7th_ifip.pdf, s.d.