La digital forensics rientra tra le tecniche investigative più interessanti e di utilità crescente. La ricerca di indizi e l’acquisizione della prova attraverso l’analisi dei dati in forma elettronica sui dispositivi interessa non solamente i computers, ma anche i dispositivi di diverso tenore, compreso cellulari, palmari, etc.
Recentemente la digital forensics ha catalizzato l’attenzione del grande pubblico per la rilevanza che assume nelle indagini e nel procedimento penale anche dei crimini violenti, come per l’omicidio di Garlasco.
E’ di applicazione diffusa, non solo per i reati informatici.
Per la verità si tratta di tecnica investigativa utilizzata anche al di là delle ipotesi di reato, come avviene in contesti industriali o comunque aziendali (spionaggio industriale, concorrenza sleale, etc.), nei rapporti con i dipendenti (nei casi di licenziamento a seguito, ad esempio, di navigazione su Internet e download di file estranei all’attività lavorativa da parte del lavoratore, durante l’orario di lavoro; etc.), nei casi di accertamento delle responsabilità in sede civile, e così via.
Riscontri di grande rilevanza si ottengono proprio analizzando i dispositivi che più si utilizzano, giacché sono costantemente sottomano, come avviene per cellulari, palmari, PDA, etc.
La “mobile forensics” richiede un’attenzione particolare rispetto alla “digital forensics” in generale.
Soluzioni tecnologiche mirate alla mobile forensics sono state approntate da imprese specializzate, come per la soluzione commercializzata con il marchio “.XRY”, che offre un importante aiuto al digital forenser chiamato ad analizzare i dispositivi mobile.
Benedetta Perilli, per La Repubblica, ne offre una descrizione ponendo provocatoriamente l’attenzione sulle ripercussioni sociali a fronte della possibile violazione della privacy, prospettando solo uno degli scenari possibili, legato alle infedeltà coniugali.
L’articolo, che ha il pregio di avvicinare il grande pubblico a tematiche di settore come questa, mi sembra che contenga un’imprecisione vistosa nella parte in cui attribuisce la paternità di XRY ad una società di consulenza australiana Khor Wills & Associates, anziché alla produttrice svedese Micro Systemation (come invece risulta da questo link - e in particolare questo – nonché da questo documento tecnico).
Per avere un’idea del funzionamento di XRY si può consultare anche questo post.
Peraltro, l’offerta dei tools di mobile forensics è varia e, come ricorda un commento reperito in rete, a seguito di prove tecniche per testare la loro funzionalità, è sempre opportuno che l’analista ricorra per il medesimo caso a software diversi, cumulativamente (una prova tecnica con 5 tools diversi ha dato risposte differenti e non tutto ciò che è stato rilevato in un test veniva rilevato anche negli altri test).
Avv. Fabio Bravo
Riprendendo la notizia del nuovo accordo sui micropagamenti elettronici tramite telefono cellulare che vede la partecipazione di Telecom Italia e Movincom, segnalo questo articolo pubblicato su Key4Biz, nonché quest’altro breve post, dedicato al rapporto tra mobile payment e sistemi di pagamento elettronico attraverso carte di credito.
Qui si possono consultare informazioni tecniche sul funzionamento dell’mPayment suggerito da Movincom.
Per una dimostrazione, invece, è possibile consultare questo link.
Altre informazioni di dettaglio sono consultabili nel documento in PDF messo a disposizione sempre dal Consorzio Movincom.
Il settore dei pagamenti elettronici tramite cellulare merita grande attenzione, in quanto potrebbe essere il fattore innovativo che potrebbe determinare il decollo del commercio elettronico nel nostro Paese, tendenzialmente refrattario all’uso disinvolto delle carte di credito.
Con i mobile payments, infatti, si avrebbero innegabili vantaggi:
1) il cellulare ha una ampia diffusione in Italia;
2) l’uso del cellulare, stante l’associazione biunivoca tra SIM e suo titolare, consente anche di accertare l’identità del soggetto che compie l’operazione giuridico-economica via Internet (es. acquisto di un bene via Internet e pagamento del prezzo). Il sistema di pagamento potrebbe essere usato, contestualmente, anche come sistema di autenticazione e accertamento dell’identità tramite Internet, come già si fa, ad esempio, nel caso di utilizzo del wi-fi nelle aree pubbliche;
3) l’uso del telefono cellulare avrebbe il vantaggio di avere connaturata la possibilità del pagamento, ove lo stesso avvenisse addebitando l’importo in bolletta o scalandolo dal traffico telefonico prepagato.
Vi sono, poi, altri vantaggi sul piano commerciale, ben rimarcati da Movincom, per le imprese che decidono di avvalersi del sistema di pagamento elettronico tramite cellulare sono :
Attivazione di un nuovo canale di vendita accessibile ai propri clienti in qualsiasi momento e in qualsiasi luogo Abbattimento costi fissi infrastrutturali e contemporaneo ampliamento della rete di vendita virtuale: il Punto Vendita è sul cellulare Acquisizione nuova clientela grazie ad un’offerta differenziante e all’effetto “acquisto ad impulso” consentito dal telefono cellulare Accesso, come consorziati, agli accordi quadro che verranno stipulati con gli altri operatori di filiera, in particolare con gli operatori di pagamento e gli operatori Telco Presidio di un business (mobile business) con alte potenzialità di crescita e margini sostenuti Velocizzazione del processo di acquisto ‘all-in-one’: esigenza, selezione, acquisto, pagamento, fruizione. Forte ritorno mediatico e comunicativo Costruzione base di conoscenza per operazioni di marketing personalizzato One2One (CRM, Promozioni, Cross Selling) Abbattimento costi di gestione contante e gestione contabile (riconciliazioni/quadrature)
V’è però anche un grosso limite, dato dal fatto che il cellulare, generalmente, potrà essere usato per pagamenti non significativi, soprattutto là dove gli utenti ricorrono alle schede prepagate e non al servizio in abbonamento. Il credito telefonico solitamente disponibile, infatti, appare per lo più modesto e, salve rare eccezioni, finisce per consentire solo transazioni economiche di valore molto contenuto, mediamente fino a 10-20 euro, oltre il quale è facile pensare che si ricorrerà alle carte prepagate o alle carte di credito.
Sarà interessante vedere gli sviluppi concreti di tali forme di pagamento nel nostro Paese e studiarne sin da ora le implicazioni giuridiche.
Fabio Bravo
La proroga della legge Pisanu fino al 31.12.2009 rinnova le discussioni sui temi dell’identificazione degli utenti che, per collegarsi ad Internet, si connettono agli hot spot (pubblici o privati) tramite apparecchi wi-fi.
Le precisazioni di Marco Scialdone e Stefano Quintarelli rinnovano le considerazioni già emerse in occasione della diffusione dell’interpretazione da parte del Ministero dell’Interno, veicolata anche tramite il Ministro delle Comunicazioni, in ordine alla possibilità di assolvere all’obbligo di identificazione dell’utente ricorrendo alla registrazione del proprio numero telefonico, tramite sms su SIM di un operatore nazionale (dato che, al momento del rilascio della SIM, occorre assolvere per legge agli obblighi di identificaizone dell’utente mediante previa acquisizione di copia del documento di identità).
Si legge sull’articolo di SuperCom (Key4Biz) di un anno fa (09.01.08), che
È comunque necessario che la messaggeria sia veicolata attraverso una carta sim rilasciata all’utente rispettando le disposizioni relative all’identificazione dell’utente, stabilite dall’art. 55 del Dl 259/03 in base al quale ogni impresa è tenuta a rendere disponibili, anche per via telematica, al centro di elaborazione dati del Ministero dell’interno gli elenchi di tutti i propri abbonati e di tutti gli acquirenti del traffico prepagato della telefonia mobile, che sono identificati al momento dell’attivazione del servizio. L’utente è dunque identificato prima dell’attivazione del servizio e vengono di fatto escluse le sim rilasciate da Paesi stranieri.
Il meccanismo della identificazione mediante altro operatore ricorda quello già usato in altri settori, come ad esempio nel collocamento via Internet di prodotti assicurativi, là dove occorre assolvere all’obbligo di previa identificazione del contraente, come prescritto dalla normativa antiriciclaggio.
Quest’ultima, sintetizzando, è stata interpretata, in sede istituzionale, consentendo agli operatori (es. compagnie di assicurazione) di avvalersi della previa identificazione già effettuata da altro operatore economico, quale ad esempio l’istituto di credito usato per l’effettuazione del bonifico per il pagameto dei premi assicurativi o, a determinate condizioni, dall’ente certificatore di firma digitale (ove il contraente, nel richiedere la polizza, ricorra alla sottoscrizione con firma digitale). Sul punto rinvio a quanto ho già avuto modo di scrivere nelle diverse pubblicazioni in cui ho affrontato l’argomento.
Nel caso degli hot spot, il meccanismo è in parte simile. Ci si avvale della previa identificazione effettuata dal gestore telefonico, tramite la propria rete di distribuzione.
A parte la debolezza di un simile sistema di identificazione (abbondano i casi in cui vengono attivate SIM a nome di soggetti completamente ignari, ricorrendo a copie di certificati di identità che gli operatori economici, appartenenti alla rete distributive, neanche controllano pur di vendere il prodotto), il meccanismo poteva essere congegnato diversamente, almeno in parte.
Sono sorti dubbi, infatti, sulla necessità dell’SMS (che comunque ha un costo per l’utente), dato che sarebbe sufficiente:
a) la chiamata senza risposta dell’utente ad un numero a ciò dedicato, appositamente attivato da chi fornisce il servizio wi-fi tramite l’hot spot;
b) la successiva trasmissione della password di accesso, mediante SMS che il fornitore del servizio wi-fi automaticamente trasmette all’utente, utilizzando lo stesso numero corrispondente alla SIM usata dall’utente per effettuare la chiamata senza risposta. In questo modo si ha un solo SMS, quello dell’operatore verso l’utente, con risparmio dei costi per quest’ultimo.
Sembra sia nata una questione su chi abbia indotto il Ministero dell’Interno ad applicare, anche alla legge Pisanu, lo schema, già utilizzato per la normativa antiriciclaggio, che esenta il gestore dalla necessità di procedere ad autonoma identificazione quando possa avvalersi dell’identificazione effettuata per legge da altro operatore.
La contesa sembra interessare il consorzio Roma Wireless e Assoprovider. Ecco dove rinvenire il resoconto.
Abbiamo dato rilievo, nel precedente post, alle innovazioni più significative del 2008.
Voglio riprendere il tema dei chip commestibili (o edibili) introdotti per le applicazioni mediche-farmacologiche.
La Proteus Biomedical ha realizzato un sistema che, schematizzando e semplificando, funziona così:
1) la pasticca da ingerire, contenente il prodotto farmaceutico (medicina), contiene un microchip quadrato di appena 1 mm. per lato;
2) il chip, da ingerire insieme alla medicina, è fatto con sostanze tali da renderlo «commestibile»;
3) il chip ingerito rileva, con un tracciamento costante, tutti i dati relativi alle risposte del soggetto al farmaco ingerito (tra cui: pressione del sangue, ritmi respiratori, angolo del corpo per determinare la posizione eretta o supina, etc.);
4) i dati rilevati costantemente dal chip vengono «catturati» da un ulteriore dispositivo, a forma di cerotto, che si colloca sulla pelle del paziente. Tale dispositivo serve ad amplificare il segnale del chip interno ed a trasmetterlo ad un ulteriore dispositivo di elaborazione e di comunicazione esterno al corpo;
5) i dati prelevati dal chip, inviati al dispositivo a forma di «cerotto» e da questo amplificati, vengono strasmessi via Bluetooth ad un sistema di memorizzazione on-line, che può elaborare le informazioni e controllare costantemente la risposta del paziente al prodotto farmaceutico ingerito ed avvertirlo, anche via sms, in caso di necessità o qualora debba riprendere il farmaco.
Sotto un profilo terapeutico l’innovazione è di forte impatto, soprattutto nei casi più gravi.
Le riposte al farmaco vengono constantemente monitorate e ciò consente di avere cura attimo dopo attimo dello stato di salute del paziente. Il sistema, poi, è in grado di interagire con il paziente, ad esempio nel ricordargli via sms (o con altro eventuale sistema) l’assunzione del farmaco secondo la prescrizione medica o se deve interrompere o no l’assunzione del farmaco in relazione alle sue risposte corporee, previa consultazione del medico curante, ad esempio, oppure se deve variare il dosaggio (la posologia).
Il sistema, tuttavia, è di forte impatto anche per la protezione dei dati personali (privacy).
Ciò su cui va posta molta attenzione, infatti, è il fatto che:
1) il monitoraggio è costante e, pertanto, v’è un continuo trattamento di dati personali;
2) si tratti di dati attinenti alla salute e, pertanto, al trattamento occorre porre l’elevato grado di attenzione che la normativa in materia di protezione dei dati personali impone per tali dati;
3) oltre ai dati relativi allo stato di salute v’è la seria possibilità che il trattamento dei dati in questione dia ulteriori informazioni rispetto a quelle relative allo stato di salute ed alla risposta del paziente al farmaco (es. il monitoraggio costante dei ritmi respiratori, della pressione del sangue e dell’angolo del corpo lascia informazioni, per chi ha accesso ai dati, non solo sullo stato di veglia o di sonno del paziente, ma anche sulla sua attività sportiva e su quella sessuale, tanto per fare degli esempi. Poiché il monitoraggio è costante, possono essere in tal modo apprese abitudini e stili di vita del soggetto. Andrebbero adottati, in tal caso, sistemi crittografici per i dati tratati e di mascheramento dell’identità del soggetto, al fine di evitare, per chi non ha le relative autorizzazioni, di risalire all’identità del soggetto interessato);
4) le informazioni vengono trattate anche via Internet e/o via sms, o con altri sistemi di comunicaizone a distanza, e rese disponibili in un “online repository“. Occorre pertanto prestare molta attenzione al flusso dei dati e ai criteri di accesso.
Da questa fonte (“Wired”) riporto alcuni passaggi:
A biomedical company has created a system to embed tiny computers and sensors into drugs and link them to a cellphone or the internet in a bid to make the monitoring of drug efficacy foolproof.
(…)
“We are enabling intelligent medicine by adding sensors to existing therapies so it can be personalized to every individual on a cost-effective basis,” says George Savage, co-founder and chief medical officer of Proteus Biomedical.
(…)
Proteus’ product consists of two parts: an ingestible sensor chip and an external band-aid-like patch. The chips are just 1mm square and 200 microns thick and are attached to pills with a bio-compatible glue. When swallowed the chips send a signal to the patch. The patch has accelerometers and amplifiers to track heart rate, respiratory rate, temperature and body angle to determine if the patient is lying down or standing up.
That information is transmitted via Bluetooth to an online repository and can show how the body is responding to the drug, says Savage.
“This provides automated physiological data that gets uploaded with a time stamp to the internet,” he says. “So when physicians see a patient for a few minutes they know exactly what is going on.”
Commenti recenti