Computer forensics: la perquisizione

di Emanuele Florindi - Un percorso guidato tra le varie fase delle indagini che conducono al processo per reato informatico. L'arrivo delle forze dell'ordine a casa dell'indagato

Perugia - La scorsa settimana, l'Avv. Florindi ha illustrato le modalità di avvio delle indagini, fino al momento dell'emissione del cosiddetto "avviso di garanzia". La trattazione riprende da questo punto.

La perquisizione ed il sequestro
Tipicamente la poco simpatica notizia dell'informazione di garanzia arriva congiuntamente ad un decreto di perquisizione e sequestro, ma non è detto. Un soggetto potrebbe subire una perquisizione senza aver ancora assunto formalmente lo status di indagato. ╚ il caso classico della perquisizione presso terzi, tipicamente nel caso di indagini a carico di ignoti oppure nel caso in cui l'autore del reato non sia il proprietario del bene sequestrato (per esempio un dipendente commette un reato informatico con il computer dell'ufficio).

L'apparente paradosso è che, almeno secondo me, la prassi di aprire un procedimento nei confronti di ignoti rappresenta la soluzione giuridicamente più corretta nella maggior parte dei reati informatici. L'alternativa, infatti, sarebbe quella di iscrivere al registro degli indagati il titolare dell'utenza telefonica utilizzata per commettere il reato ed individuata sulla base dell'indirizzo IP. ╚ appena il caso di notare che una simile soluzione appare, se non scorretta da un punto di vista strettamente giuridico, quantomeno ingiusta nei confronti di un soggetto che viene ad essere indagato per il semplice fatto di aver stipulato un contratto. ╚ il caso di ricordare che, mentre nel diritto civile vi sono varie forme di responsabilità per fatto altrui, nel diritto penale la responsabilità è strettamente personale.
Facciamo un esempio: Tizio, studente, convive con altri sei studenti in un appartamento. Il contratto di locazione è a nome di Mevio mentre l'utenza telefonica è intestata a Caio. Pippo, utilizzando un programma di P2P, scambia materiale illegale finché un bel giorno il suo IP viene individuato e vengono avviate delle indagini. Chi deve essere iscritto nel registro degli indagati?

Secondo me nessuno, almeno fino alla perquisizione si dovrebbe procedere nei confronti di ignoti e poi, in quella sede o successivamente, si cercherà di capire chi, tra i coinquilini, ha commesso il reato. ╚ ovvio che non appena la responsabilità di Pippo inizia a delinearsi questi deve essere iscritto nel registro degli indagati ed acquisire i relativi diritti. Ovviamente non si tratta dell'unica strada percorribile, dato che è ben possibile iscrivere tutti i coinquilini al registro degli indagati e, come avrebbe detto Amaury, lasciare che sia poi Dio a riconoscere i suoi.

In ogni caso la perquisizione rappresenta un momento fondamentale dell'indagine, soprattutto per la labilità e la deperibilità delle prove informatiche: eventuali reperti non individuati in prima battuta sono probabilmente destinati a sparire in maniera definitiva. Si tratta della sede dove devono essere compiute quelle operazioni in grado di "cristallizzare" le prove evitando ogni possibile contaminazione degli elementi probatori: per esempio, è necessario evitare di accendere i computer trovati spenti e ponderare bene se, come e quando spegnere quelli trovati accesi. Laddove possibile, sarebbe opportuno annotare con cura, eventualmente anche scattando fotografie o utilizzando una videocamera, la disposizione degli apparati all'interno dell'ufficio o dell'abitazione: oggetti a prima vista insignificanti possono rappresentare un'ottima fonte di informazioni o, addirittura, essere elementi di prova: il mouse era a destra o a sinistra?

In questa fase l'imputato, ma anche chi abbia la materiale disponibilità dei luoghi, ha la facoltà di farsi assistere o rappresentare da una persona di fiducia "purché prontamente reperibile e idonea". Quindi già in questa fase è possibile nominare il proprio difensore e, eventualmente, richiederne l'intervento in loco. Colgo l'occasione per sfatare il mito della perquisizione notturna: le perquisizioni presso il domicilio devono essere svolte tra le ore 7:00 e le ore 20:00 (art. 251 cpp) salvo casi di particolare urgenza in cui l'autorità giudiziaria può disporre per iscritto che le operazioni vengano svolte al di fuori di questi termini temporali.

Una volta sbrigate tutte le formalità, si procede alla caccia al "tesoro" ed all'acquisizione dei supporti informatici. In caso di computer spento, nessun problema: si prende l'hard disk, lo si clona, si acquisisce il relativo hash, lo si annota nel verbale e si imballa l'originale preferibilmente apponendo i sigilli alla scatola.

Laddove ve ne sia la possibilità è sempre buona norma verificare che l'hard disk (il clone non l'originale!) sia leggibile e che non vi siano nel PC schede particolari, in grado di inibire l'accesso all'hard disk ove non presenti. A tal proposito è assai utile la lettura dei manuali delle schede o una verifica tramite internet delle caratteristiche dei componenti. In caso di dubbio è opportuno prelevare tutto il materiale spiegandone le ragioni. In ogni caso la prassi ci insegna che di solito è sufficiente l'hard disk (meglio ancora un suo clone, ma su questo torneremo poi).

Purtroppo sempre più spesso, i PC rimangono costantemente accesi. Che fare in caso di computer in funzione? L'ottimo sarebbe poter disporre, direttamente in sede di perquisizione, di un soggetto con adeguata competenza che, alla presenza della parte, possa analizzare (con le modalità proprie dell'ispezione) la macchina accesa, verificare i processi in esecuzione e procedere infine allo spegnimento della macchina (annotando e riprendendo tutte le operazioni eseguite), ma nel caso in cui ciò non fosse possibile o non si fosse certi dell'assenza di sistemi di sicurezza particolari, la soluzione pratica migliore è quella di staccare direttamente la spina dal computer procedendo anche alla rimozione delle batterie in caso di computer portatile.

Tralasciamo, per semplicità, l'ipotesi in cui si rilevi la presenza di partizioni o dischi virtuali in mount, dato che questa fattispecie richiede un approccio completamente differente rendendo necessaria l'ispezione della macchina direttamente in loco.

Avv. Emanuele Florindi
http://www.accademiascienzeforensi.it
http://www.telediritto.it

La trattazione dell'Avv. Florindi proseguirà nelle prossime settimane analizzando le fasi successive dell'indagine: le differenze tra sequestro e copia, l'istruzione del processo e il trattamento dei reperti, l'entrata in campo dei periti e l'interpretazione delle prove.
244 Commenti alla Notizia Computer forensics: la perquisizione
Ordina
  • Sentivo parlare di copiatura degli hd tramite hash... non ho capito bene potete spiegarmi o mandarmi su un sito dove è spiegato??
    non+autenticato
  • - Scritto da: Nermo
    > Sentivo parlare di copiatura degli hd tramite
    > hash... non ho capito bene potete spiegarmi o
    > mandarmi su un sito dove è spiegato??

    http://it.wikipedia.org/wiki/Hash

    Nel linguaggio scientifico, l'hash è una funzione operante in un solo senso (ossia, che non può essere invertita), atta alla trasformazione di un testo di lunghezza arbitraria in una stringa di lunghezza fissa, relativamente limitata. Tale stringa rappresenta una sorta di "impronta digitale" del testo in chiaro, e viene detta valore di hash, checksum crittografico o message digest.
    krane
    22544
  • Avevo alcune domande per coloro che hanno subito le perquisizioni... fondamentalmente quali erano le accuse?? p2p??attacchi DDOS?? Truffa??
    non+autenticato
  • L ultima in elenco, almeno credo...
    non+autenticato
  • Trovo questa puntata estremamente superficiale.

    Non vengono presi in considerazione decine di casi possibili, dal reperimento di materiale (leggasi dischi o memorie) occultato, alla presenza di crittografia, ai supporti sparsi per la stanza, alle modalità di spegnimento, al fatto se sia sempre possibile procedere alla clonazione dell'originale, quando sia possibile fare il sequestro fisico dell'apparato.

    No decisamente è meno di una introduzione generica all'argomento.

    Andrea
    non+autenticato
  • > Trovo questa puntata estremamente superficiale.
    Trovo queto commento estrememante scorretto.
    Si tratta di un articolo divulgativo e dell'articolo divulgativo ha il taglio ed i contenuti.

    E' evidente che
    > Non vengono presi in considerazione decine di
    > casi possibili, dal reperimento di materiale
    > (leggasi dischi o memorie) occultato, alla
    > presenza di crittografia, ai supporti sparsi per
    > la stanza, alle modalità di spegnimento, al fatto
    > se sia sempre possibile procedere alla clonazione
    > dell'originale, quando sia possibile fare il
    > sequestro fisico dell'apparato.
    dato che lo scopo non era fare un trattato di CF, ma semplicemente di dare un'idea di quel che, in linea di massima accade. Altrimenti avrei dovuto dedicare una cinquantina di pagine soltanto alla differenza tra la perquisizione e l'ispezione ed ai singoli casi in cui sarebbe opportuno procedere con uno piuttosto che con l'altra.
    Tra l'altro questo è oggetto della prossima "puntata". Dato che l'articolo originario è piuttosto lungo si è, infatti, deciso di pubblicarlo a puntate.

    Tra l'altro mi sembra parecchio strano che tu prenda una simile posizione contro un articolo divulgativo pubblicato su una rivista che comunque NON è una rivista scientifica e richiede allo stesso taglio ed argomenti più propri di un trattato vero e proprio. Questo mi induce a supporre che si tratti di un fake.

    In ogni caso la problematica del sequestro e della copia è affrontata nella prossima parte.

    >No decisamente è meno di una introduzione generica >all'argomento
    E quello doveva essere dato che per un tratato serio sulla forensic non basterebbe 3\400 pagine.
  • Non mi pare di aver detto nulla di scorretto. Diretto si ma scorretto no.

    La prima puntata mi era piaciuta molto, e quindi sono rimasto molto stupito nel vedere questa parte così abbozzata.

    Tanto più che si tratta di una delle fasi più delicate dell'indagine, dove si commettono una marea di errori che poi si riflettono sull'andamento dell'intero caso.

    Non si dice di scrivere un compendio completo, ma mi pare che con la giustificazione "è un articolo divulgativo" spesso si piantino quattro concetti su una pagina.
    Scrivere un articolo divulgativo è invece difficile dato che occorre semplificare i concetti senza però banalizzarli e dare quindi informazioni sbagliate. Se poi la platea è quella di punto informatico (notoriamente vasta)è anche una responsabilità.

    Facciamo due esempi. Nell'articolo si dice che il disco va copiato. Non è sempre vero, ci sono sistemi che non è possibile copiare e non solo perché sono accesi. Si pensi all'AS/400 che si trova in molte aziende d'Italia. Farne una bit-a-bit è un incubo. Oppure si pensi se il reato coninvolga la presenza di materiare pedopornografico. Il computer sarà certamente sequestrato perché in caso fosse presente materiale di questo genere il pc dovrà essere confiscato.

    Ripeto non si dice di scrivere 300 pagine, ma di far passare al grande pubblico concetti semplici ma essenziali, come ad esempi che un pc sequestrato non sia da prendere sottobraccio ma da repertare come si dovrebbe fare con una prova fisica comune. Quanto ho consumato tre righe? Eppure è importante.

    Mi spiace se l'ha presa sul personale, ma se qualcuno scrive un articolo deve anche accettare le critiche negative.

    Andrea Ghirardini

    P.S. No non è un fake
    non+autenticato
  • - Scritto da: Andrea Ghiardini
    > Non mi pare di aver detto nulla di scorretto.
    > Diretto si ma scorretto
    > no.
    Vedi Andrea, io credo che accusare di superficialità un articolo, soprattutto senza aver letto le parti successive, non sia solo "diretto", ma pecchi di correttezza nei confronti dell'autore.

    > La prima puntata mi era piaciuta molto, e quindi
    > sono rimasto molto stupito nel vedere questa
    > parte così abbozzata.

    COnsidera che manca anvcora tutta la parte sulla acquisizione (sequestro o copia) e che mi sono interrogato a lungo su quanto scendere nel dettaglio. Per esempio ho cassato tutta la giurisprudenza in materia di acquisizione, sequestro e iscrizione nel registro degli idagati ritenendo che questa non fosse la sede adatta. Io credo che su PI sia necessario fornire i concetti di base, un'introduzione al problema. Poi per approfondire non mancano le occasioni (tra cui il tuo libro).

    COnsidera poi che sono pur sempre un avvocato, quindi preferisco muovermi sul mio terreno (la parte giuridica) piuttosto che affrontare questioni e problemnatiche di so di non avere le necessarie competenze informatiche.

    > Tanto più che si tratta di una delle fasi più
    > delicate dell'indagine, dove si commettono una
    > marea di errori che poi si riflettono
    > sull'andamento dell'intero
    > caso.
    Proprio per questa ragione (forse sbagliando) PI ha pensato di dividerla in due parti, se vuoi posso anticiparti tutto il materiale, così da poter avere una visione di insieme dell'articolo.
    Ribadisco che la mia intenzione non era fare una guida o un how to sulla perquisizione, ma fornire uno spaccato su quello che generalmente accade in caso di perquisizione domestica.

    > Non si dice di scrivere un compendio completo, ma
    > mi pare che con la giustificazione "è un articolo
    > divulgativo" spesso si piantino quattro concetti
    > su una pagina.
    Il problema è bilanciare gli spetti tecnici, quelli legali con il traget medio che, ovviamente non è composto da esperti.
    Vedi in questa fase avreiu potuto\dovuto parlare delle problematiche legate alle reti WI-Fi ed all'analisi delle possibilità di accessi abusivi alle stesse, ma questo mi avrebbe costretto a fare una digressione sulle intercettazioni informatiche ex 266 bis e sulla loro utilizzabilità (problema di concorso di norme tra 266 e 266bis).
    Sono questioni che affronto abitualmente a convegni e corsi, ma non mi sembrano adatti ad un articolo che vuol essere solo uno spaccato della realtà.
    Anche perché la stessa accusa mi potrebbe essere mossa da colleghi avvocati ed allora cosa dovrei fare? scrivere un trattato che appaia blindato verso ogni critica? Lo potrei fare, ma lo leggeremmo in 4 o 5 (forse 6, ma io non sono sicuro che riuscirei a leggerlo tutto).

    > Scrivere un articolo divulgativo è invece
    > difficile dato che occorre semplificare i
    > concetti senza però banalizzarli e dare quindi
    > informazioni sbagliate. Se poi la platea è quella
    > di punto informatico (notoriamente vasta)è anche
    > una responsabilità.
    Non mi sembra di aver dato informazioni sbagliate. Ti ricordo che siamo ancora fermi alla fase della perquisizione, ancora il sequestro NON l'abbiamo toccato, ma solo accennato.
    Ovvio che qualcuno pensa di poter fare forensic sulla base di un singolo articolo di una paginetta non può certo dirsi un genio, non credi?
    Tra l'altro, nelle prossime puntata mi sarebbe piaciuto affrontare in maniera più dettagliata il problema del software utilizzato in sede di analisi (open o closed?), ma, per le ragioni già espèoste, mi sono limitato ad accennare al problema.

    > Facciamo due esempi. Nell'articolo si dice che il
    > disco va copiato. Non è sempre vero, ci sono
    > sistemi che non è possibile copiare e non solo
    > perché sono accesi. Si pensi che si
    > trova in molte aziende d'Italia. Farne una
    > bit-a-bit è un incubo. Oppure si pensi se il
    > reato coninvolga la presenza di materiare
    > pedopornografico. Il computer sarà certamente
    > sequestrato perché in caso fosse presente
    > materiale di questo genere il pc dovrà essere
    > confiscato.
    Esatto, questo aspetto sarà oggetto della prossima puntata anche se non con la profondità che meriterebbe (per esempio non tocco il problema del sequestro cautelare\probatorio perché dovrei dedicare un singolo articolo alle differenze ed alle problematiche tra le due tipologie di sequestro. Una per tutte il sequestro probatorio 253 cpp è disposto dal PM mentre il sequestro preventivo (321 cpp) è dispoto da GIP (salvo i casi di urgenza ex 321 comma 3bis). Ora potrei io in coscienza affrontare questa questione (che mi porterebbe ad analizzare il concetto di "urgenza") in meno di 5\6 pagine e senza riferimneti giurisprudenziali? No, ma allora l'articolo sarebbe necessariamentew molto più complesso (salvo farcirlo di note che spiegano passo a passo i singoli articoli) e IMHO fori tema.

    > Ripeto non si dice di scrivere 300 pagine, ma di
    > far passare al grande pubblico concetti semplici
    > ma essenziali, come ad esempi che un pc
    > sequestrato non sia da prendere sottobraccio ma
    > da repertare come si dovrebbe fare con una prova
    > fisica comune. Quanto ho consumato tre righe?
    > Eppure è importante.
    E difatti ho scritto:
    Una volta sbrigate tutte le formalità, si procede alla caccia al "tesoro" ed all'acquisizione dei supporti informatici. In caso di computer spento, nessun problema: si prende l'hard disk, lo si clona, si acquisisce il relativo hash, lo si annota nel verbale e si imballa l'originale preferibilmente apponendo i sigilli alla scatola
    Non mi sembra di aver scritto che lo si prende sottobraccio e lo si porta via, ma di aver indicato la procedura più corretta.

    > Mi spiace se l'ha presa sul personale, ma se
    > qualcuno scrive un articolo deve anche accettare
    > le critiche negative.
    Accetto volentieri le critiche, ma purché fondate e costruttive, cosa che in questo caso non mi pare proprio.
    Infatti accetto ben volentieri le critiche e non la butto affatto sul personale. Infatti non ti (possiamo usare il tu?) ho accusato di essere scorretto, ma ho detto che lo era il tuo commento. Nulla di personale, ci mancherebbe (tra l'altro la base della netiquettew non è che si discutono le idee e non le persone?Occhiolino).

    Anzi ritengo le tue osservazioni molto interessanti, ma dirette verso un obiettivo sbagliato.

    Ribadisco NON si tratta né era mia intenzione scrivere un manuale operativo, ma di come si dovrebbero svolgere le cose da un punto di vista processual penalistico. Soprattutto lo scopo non è quello di formare forenser, ma di far capire ai lettori cosa accade generalmente in sede di indagini e sequestro.

    Cordialmente.
  • Probabilmente allora tutto si sarebbe risolto nel titolare l'articolo "Perquisizione parte I".

    Il lettore non può sapere se la prossima parte dell'articolo riguarderà lo stesso argomento o chissà quale altra sfaccettatura della materia. Abbi pazienza ma di "Oracolo di Delphi" uno ce n'è stato e pure qualche anno fa...

    Sarò pure insistente ma altrimenti sembra un articolo lasciato i sospeso...

    Andrea
    non+autenticato
  • Non entro nel merito della critica però volevo sottolineare, almeno dal mio punto di vista, l'utilità di articoli come questo per l'utente medio quale sono io che ha molto da imparare e da appredere su queste procedure ignote ai più. Magari l'articolo non entrerà troppo nello specifico, non ho le competenze per dirlo, ma il suo obbiettivo lo raggiunge pienamente ovvero portare a galla una realtà e un modo di agire da parte dei rappresentati dello stato che la maggior parte degli utenti ignora.
    Continuate così perchè articoli del genere oltre che interessanti sono molto utili e purtroppo non ce ne sono molti in rete che trattano di questo argomento.
    non+autenticato
  • > Probabilmente allora tutto si sarebbe risolto nel
    > titolare l'articolo "Perquisizione parte
    > I".
    > Il lettore non può sapere se la prossima parte
    > dell'articolo riguarderà lo stesso argomento o
    > chissà quale altra sfaccettatura della materia.
    > Abbi pazienza ma di "Oracolo di Delphi" uno ce
    > n'è stato e pure qualche anno
    > fa...
    Non credo ci voglia l'oracolo per leggere: La trattazione dell'Avv. Florindi proseguirà nelle prossime settimane analizzando le fasi successive dell'indagine: le differenze tra sequestro e copia, l'istruzione del processo e il trattamento dei reperti, l'entrata in campo dei periti e l'interpretazione delle prove

    > Sarò pure insistente ma altrimenti sembra un
    > articolo lasciato i sospeso...
    Sinceramente a me sembrano critiche gratuite, tanto per criticare e questo dispiace sempre.

    Cordialmente.
  • - Scritto da: Andrea Ghiardini
    > Probabilmente allora tutto si sarebbe risolto nel
    > titolare l'articolo "Perquisizione parte I".

    > Il lettore non può sapere se la prossima parte
    > dell'articolo riguarderà lo stesso argomento o
    > chissà quale altra sfaccettatura della materia.
    > Abbi pazienza ma di "Oracolo di Delphi" uno ce
    > n'è stato e pure qualche anno fa...

    > Sarò pure insistente ma altrimenti sembra un
    > articolo lasciato i sospeso...

    > Andrea

    A me dai la sensazione di voler fare pubblicita' ai tuoi libri ed articoli parlando male di quelli altrui.
    krane
    22544
  • - Scritto da: SirParsifal
    >Altrimenti avrei dovuto
    > dedicare una cinquantina di pagine soltanto alla
    > differenza tra la perquisizione e l'ispezione ed
    > ai singoli casi in cui sarebbe opportuno
    > procedere con uno piuttosto che con
    > l'altra.

    Non capisco una cosa: perché parli in prima persona?

    Sei tu l'autore dell'articolo?
    non+autenticato
  • Io ho una serie di telecamere nascoste in casa che riprendono tutto e tutte le sere faccio un ghost in caso di errori porto il materiale al mio avvocato e prenoto un'ottima vacanza

    baci baci baci
    non+autenticato
  • Io mi son trovato i carabinieri in casa (per un reato commesso da un pc zombificato) non hanno clonato un bel niente, si son presi gli HD e bona lì...
    Quando li hanno esaminati non mi hanno nemmeno dato la possibilità di fare intervenire un perito di mia fiducia (come sarebbe mio diritto)....
    non+autenticato
  • Scusa se mi permetto ma che reato era?? P2p?? Perche in questo caso non è la polizia postale che dovrebbe intervenire??
    non+autenticato
CONTINUA A LEGGERE I COMMENTI
1 | 2 | 3 | 4 | 5 | 6 | Successiva
(pagina 1/6 - 27 discussioni)