Computer forensics: cloni e originali

di Emanuele Florindi - Un percorso guidato tra le varie fase delle indagini che conducono al processo per reato informatico. Quando occorre sequestrare computer e periferiche, e quando invece basta copiare l'hard disk?

Perugia - Nelle scorse settimane l'Avv. Florindi ha illustrato le modalità di avvio delle indagini, fino al momento dell'emissione del cosiddetto "avviso di garanzia", nonché l'avvio della perquisizione. La trattazione riprende tracciando una panoramica sulle differenti modalità di conduzione di quest'ultima.

Sequestro o semplice copia?
Per prima cosa, mi si permetta, in questa sede, di osservare che anche il sequestro di materiale apparentemente inutili (che tanta ilarità suscita) potrebbe avere un suo valido motivo: per esempio elementi hardware come la tastiera o il mouse potrebbero, in caso di dubbio, rivelare utili elementi in ordine al loro utilizzatore (impronte digitali, tracce di fluidi corporei) e lo stesso, vituperato, tappetino del mouse potrebbe contenere informazioni interessanti di natura biologica. Non dobbiamo, infatti, dimenticare che l'ambiente "informatico" non è il solo in cui bisogna cercare riscontri.

Il tipico punto di scontro tra accusa e difesa in questa sede è relativo alle modalità con cui si procederà al sequestro di evidenze informatiche. Il nodo centrale della questione è "in caso di indagini per reati informatici, è necessario sequestrare tutto il computer, solo l'hard disk oppure è sufficiente acquisire una copia dei dati?". La questione non è di facile soluzione in quanto la scelta fatta nelle concitate fasi del sequestro si riflette necessariamente nelle successive fasi predibattimentali e, spesso, anche nel dibattimento rischiando di pregiudicare l'analisi e, conseguentemente, i diritti di accusa e difesa.
In primo luogo dobbiamo osservare che non può esserci una risposta precisa a questa domanda in quanto a reati differenti devono corrispondere differenti tipologie di indagine che richiedono approcci diversi e, soprattutto, una modalità di acquisizione della prova modellata sulla fattispecie concreta. Č evidente che, a parità di risultato probatorio, dovrà essere necessariamente privilegiata la modalità di acquisizione meno invasiva e che comporta il minor danno per il soggetto che la subisce. Soggetto che, a volte, non è neppure indagato, ma si trova nella posizione di "persona informata sui fatti".

Logicamente la soluzione con il minor impatto in termini di disagi per la persona sottoposta ad indagine è l'acquisizione, direttamente in sede di ispezione/perquisizione, dei dati costituenti tracce del reato o corpo del reato ad opera della PG procedente. Si tratta della soluzione preferibile ed andrebbe adottata ogni qual volta le circostanze la rendano possibile, ma presenta almeno due grossi problemi:
1) richiede, per essere eseguita, la presenza di personale esperto in grado di operare, in maniera sicura, su supporti hardware e software sconosciuti e di individuare, in tempi rapidissimi, tutti i file di interesse probatorio (ivi compresi quelli cancellati, crittografati o steganografati) per poi procedere alla loro cristallizzazione direttamente nel luogo in cui si trovano.

2) L'operazione, anche se eseguita secondo le best practices della computer forensics, è, di fatto, irripetibile in quanto il materiale, rimasto nella disponibilità dell'imputato, deve considerarsi non più utile per finalità investigative.
In breve l'utilizzo dello strumento dell'ispezione, con la conseguente acquisizione, mediante masterizzazione, dei soli file pertinenti al reato, andrebbe utilizzata soltanto laddove il computer assuma la veste di mero contenitore della prova del crimine e si ritenga opportuno non operare un sequestro, per esempio perché lo si ritiene sproporzionato al fatto contestato, oppure nel caso di attività presso terzi (banche, provider etc) estranei di fatto alla vicenda.

La soluzione preferibile è rappresentata dal sequestro del solo hard disk (oppure dall'acquisizione, con strumenti idonei, di un'immagine dello stesso laddove si ritenga opportuno lasciare l'hard disk nella disponibilità dell'imputato). Tale soluzione, applicabile alla maggior parte dei reati informatici, consente un pieno controllo del contenuto del supporto e la ripetibilità, in qualsiasi momento, dell'analisi eseguita. Di contro richiede, in sede di perquisizione e sequestro, la presenza di personale in grado di rimuovere e maneggiare l'hard disk senza danneggiarlo e, soprattutto, in grado di verificare la presenza di dispositivi in grado di impedire l'accesso ai dati in esso contenuti.

Avv. Emanuele Florindi
http://www.accademiascienzeforensi.it
http://www.telediritto.it

La trattazione dell'Avv. Florindi proseguirà nelle prossime settimane analizzando le fasi successive dell'indagine: l'istruzione del processo e il trattamento dei reperti, l'entrata in campo dei periti e l'interpretazione delle prove.
81 Commenti alla Notizia Computer forensics: cloni e originali
Ordina
  • Non ho letto tutte le discussioni, quindi scusatemi se già qualcuno ha posto la questione, ma perché mi dovrei fidare dell'hash di un hardisk se sappiamo benissimo che è tecnicamente possibile manipolarlo e poi inserire dati in modo tale da generare lo stesso hash precedente?? oppure ci vuole troppa potenza elaborativa ancora non disponibile?
    non+autenticato
  • beh considera che le funzioni di hashing non sono invertibili, quindi dall'hash non ricavi i dati che l'hanno generato

    inoltre una piccola aggiunta ( un file di pochi byte basta ) dà vita ad un hash completamente differente e molto distante da quello precedente

    la vedo molto difficile riuscire ad inserire dati nell'hard disk senza modificarne l'hash
  • Non è del tutto preciso.

    Ad esempio per l'MD5 è stato dimostrato che è possibile generare collisioni in un tempo ragionevole, e questo non vuol dire che non sia possibile per gli altri algoritmi di hashing, che proprio per la sua natura di "non invertibilità" non hanno una corrispondenza UNIVOCA con il dato di partenza.
    non+autenticato
  • Tecnicamente corretto.
    Ma non è detto che per generare la collisione si possa inserire dati "arbitrariamente scelti e che abbiano una rilevanza probatoria", senza contare che possano non avere senso.
    non+autenticato
  • se mi venisse presentato qualcuno che riesce a inserire i dati che vuole in un HD e a generare lo stesso hash, griderei "è arrivato il messia".

    L'hash non si discute, e poi basta usarne due (solitamente SHA1 e MD5 bastano e avanzano).
  • E' semplicemente immondo il prezzo che le cancellerie fanno pagare all'indagato/imputato/etc per le copie del materiale sequestrato, uno Stato onesto farebbe pagare il prezzo di mercato dei supporti necessari e la manodopera necessaria ad effettuare l'operazione. E uno Stato non corrotto esigerebbe dai fornitori gli sconti quantità sui supporti acquistati che qualsiasi privato otterrebbe anche con volumi d'acquisto inferiori e passerebbe il risparmio al cittadino.
    Ma dato che lo Stato Italiano, fin dalle origini, e al cambiare di partiti e governi, ha sempre trattato i cittadini come sudditi, è una vana speranza.
    non+autenticato
  • Adesso faccio la domanda scema:

    computer ufficiale in casa
    memoria di massa in cantina, wireless

    arrivano gli uomini in nero, portano via il computer e quei 4 cd che trovano nei cassetti

    come la trovano l'unita' esterna wireless?

    In casa non c'e', e le pertinenze dell'abitazione non sempre vengono perquisite.

    Senza contare che ci si puo' sempre avvalere di un disco di rete remoto, con connessione criptata.

    Cioe', chi ha dati da nascondere, non li tiene sul computer.
    Cosi' come la posta compromettente resta sul server di posta IMAP e non la scarico in locale.
  • ma casa tua è peggio di Fort MeadeA bocca aperta

    loro vanno a caccia di criminali comuni mica di superspieOcchiolino

    P.S. alla fine hai confessato, hai una cantina e scommetto che è lì dove tieni il pc con linuxA bocca apertaA bocca aperta
    -----------------------------------------------------------
    Modificato dall' autore il 05 giugno 2009 17.19
    -----------------------------------------------------------
  • - Scritto da: pabloski
    > ma casa tua è peggio di Fort MeadeA bocca aperta

    Che c'entra casa mia, io ipotizzavo soltanto una situazione praticabile da qualunque utonto medio con la tecnologia attualmente disponibile in qualunque mediaworld.

    > loro vanno a caccia di criminali comuni mica di
    > superspie
    >Occhiolino

    Criminali non informatici mica lasciano prove nel computer.
    Sono i criminali informatici quelli che si mettono in condizione di non farsi sgamare.

    > P.S. alla fine hai confessato, hai una cantina e
    > scommetto che è lì dove tieni il pc con linuxA bocca aperta
    >A bocca aperta

    Certamente.
    Il kernel deve essere rigorosamente compilato al fresco. Occhiolino
  • > Adesso faccio la domanda scema:
    > computer ufficiale in casa
    > memoria di massa in cantina, wireless
    > arrivano gli uomini in nero, portano via il
    > computer e quei 4 cd che trovano nei
    > cassetti
    Bella ipotesi. Io la uso come caso di scuola.
    Per non saper né leggere né scrivere la priam cosa che consiglio di fare è verificare la rete WI-Fi e fare una bella scansione delle periferiche collegate (spesso basta un ettercap).

    Poi si verifica il router e gli evntuali log alla ricerca di connesioni in corso o passate.
    Si annotano i MAC address delle periferiche collegate e non si torna a casa finché tutte non sono presenti all'appello.
    Man man che le trovi segni il macaddress e spunti la lista.

    Lo so potresti avere il disco su una seconda (o una terza) rete Wi-Fi scollegata dalla prima e non riferibile a te ed allora potresti fregarmi (salvo che io probabilmente troverò poi riferimneti ad un disco di rete all'interno del computer e, probabilmente, qualche traccia del materaile che ci hai trasferito. Se così non fosse sei stato può furbo e più bravo di me, tanto di cappello.

    D'altra parte perché scomodarsi a mettere un disco in cantina quando una schedina microSD di 4 GB è tanto più comoda e semplice da occultare? Alla peggio la butti nel water e tiri lo scarico, senza inventare solzioni quasi fantascientificheOcchiolino

    Un adattatore SD\micro SD e via.

    Un mio amico dice che tanto in questi casi è questione di culo, o ce l'hai o te lo fannoOcchiolino

    Tieni presente, però, che se l'indagine è fatta bene un minimo di intercettazione dovrebbero averla fatta e, quindi, dovrebbero sapere che c'è una periferica fuori casa.

    > Cioe', chi ha dati da nascondere, non li tiene
    > sul
    > computer.
    > Cosi' come la posta compromettente resta sul
    > server di posta IMAP e non la scarico in
    > locale.
    Non credere che tutti i criminali informatici siano questi geni della lampada... In un caso uno aveva registrato il sito pedo a suo nome fornendo tutti i dati corretti e non contento (sai mai che la PG potesse avere qualche dubbio) aveva lasciato negli header html della pagina il proprio nome e cognome...

    La realtà è che il criminale, coem tutti, deve adattare le proprie esigenze di sicurezza alle proprie esigenze di operatività e quindi primo o poi sbaglia.
  • D'accordo con SirParsifal... i casi di questo tipo vanno cmq studiati, ma nella realtà dei fatti gli indagati sono dei normali utOnti, con dati sensibili a portata di mano, password (quando ci sono) semplicissime e via dicendo.

    I veri problemi ci sono nelle aziende medio/grandi, con ambienti di rete misti e piuttosto estesi. Nascondere qualcosa li dentro è abbastanza semplice, il sequestro non è applicabile e l'acquisizione dei dati richiede tempi lunghissimi...
  • - Scritto da: SirParsifal
    > In un caso uno
    > aveva registrato il sito pedo a suo nome fornendo
    > tutti i dati corretti e non contento (sai mai che
    > la PG potesse avere qualche dubbio) aveva
    > lasciato negli header html della pagina il
    > proprio nome e
    > cognome...

    Questo oltre che ad essere un maledetto disgraziato e' pure totalmente idiota.
    (A meno che non sia una strategia per potersi in seguito avvalere della totale infermita' mentale)
  • non sono come funzionano i permessi per le perquisizioni, ma forse il permesso deve anche essere allargato alla cantina e non solo alla casa.
    Se il permesso non fosse allargato forse i carabinieri/poliziotti non potrebbero perquisirla.

    Poi hai ragione chi fa dei reati informatici non è cosi scemo che conserva tutto in locale!
    Ma magari i criminali informatici potrebbero essere utonti e magari non sapere nemmeno che su quel pc possano esserci le prove per incriminarli
  • ti perquisiscono TUTTI i locali a cui hai accesso...
    casa, cantina, seconda casa, ufficio
    e ovviamente tu devi collaborare attivamente a farti incastrare
    non+autenticato
  • Vorrei sapere se ci sono dei limiti di tempo entro i quali le analisi devono essere concluse oppure se il materiale può rimanere sotto sequestro per un tempo indefinito. Privare un cittadino o un'azienda di dati e strumenti, che potrebbero essere molto importanti, potrebbe causare grosse conseguenze economiche, e non solo. Ho letto di aziende che hanno chiuso i battenti nel frattempo. Possibile che non si riesca a ricolvere in pochi giorni?
  • > Vorrei sapere se ci sono dei limiti di tempo
    > entro i quali le analisi devono essere concluse
    > oppure se il materiale può rimanere sotto
    > sequestro per un tempo indefinito. Privare un
    > cittadino o un'azienda di dati e strumenti, che
    > potrebbero essere molto importanti, potrebbe
    > causare grosse conseguenze economiche, e non
    > solo. Ho letto di aziende che hanno chiuso i
    > battenti nel frattempo. Possibile che non si
    > riesca a ricolvere in pochi
    > giorni?
    In linea di massima si. Il PM stabilisce un tempo entro il quanle il CT deve rispondere al quesito, ma tale termine può essere prorogato. In linea di massima un'analisi accurata di un singolo harddisk non dura più di 60 giorni (dipende molto da cosa si cerca e cosa si trova).
    In questo periodo la parte può chiedere il dissequestro di tutto o parte del materiale ovvero la copia dei dati necessari al lavoro.

    Purtroppo dipende al 90% da chi e come procede. In linea di massima ai corsi io consiglio sempre di chiedere alla parte che ha subito il sequestro su quale computer ci sono i dati più importanti e di inziare l'analisi da lì in modo da accelerarne la restituzione (nel caso in cui sia possibile ovvio), ma non c'è alcun obbligo di procedere in questo modo.
  • > In linea di massima si. Il PM stabilisce un tempo
    > entro il quanle il CT deve rispondere al quesito,
    > ma tale termine può essere prorogato. In linea di
    > massima un'analisi accurata di un singolo
    > harddisk non dura più di 60 giorni (dipende molto
    > da cosa si cerca e cosa si
    > trova).
    > In questo periodo la parte può chiedere il
    > dissequestro di tutto o parte del materiale
    > ovvero la copia dei dati necessari al
    > lavoro.
    >
    > Purtroppo dipende al 90% da chi e come procede.
    > In linea di massima ai corsi io consiglio sempre
    > di chiedere alla parte che ha subito il sequestro
    > su quale computer ci sono i dati più importanti e
    > di inziare l'analisi da lì in modo da accelerarne
    > la restituzione (nel caso in cui sia possibile
    > ovvio), ma non c'è alcun obbligo di procedere in
    > questo
    > modo.
    Sono d'accordo con te!
    Nelle perizie fatte da me le procure mi davano sempre 30 giorni per eseguire le mere copie degli hard disk (senza analisi). 60 giorni per una perizia con analisi. I 60 giorni vengono comunque sempre prorogati quando c'erano 2 o più dispositivi di medie/grandi dimensioni (250GB in su) o se c'erano anche una quantità spropositata di CD e DVD...
    Prozac
    5040
  • > Sono d'accordo con te!
    > Nelle perizie fatte da me le procure mi davano
    > sempre 30 giorni per eseguire le mere copie degli
    > hard disk (senza analisi). 60 giorni per una
    > perizia con analisi. I 60 giorni vengono comunque
    > sempre prorogati quando c'erano 2 o più
    > dispositivi di medie/grandi dimensioni (250GB in
    > su) o se c'erano anche una quantità spropositata
    > di CD e
    > DVD...

    Oddio, spero non vengano mai a casa mia. Ho tre dischi da 500Gb, uno da 360Gb, uno da 120Gb, uno da 80Gb, altri di tagli inferiori, centinaia di cd e dvd, chissà quando li rivedrei!
    Del resto, al giorno d'oggi non penso di essere l'unico a possedere tanti dispositivi...
  • > Oddio, spero non vengano mai a casa mia. Ho tre
    > dischi da 500Gb, uno da 360Gb, uno da 120Gb, uno
    > da 80Gb, altri di tagli inferiori, centinaia di
    > cd e dvd, chissà quando li rivedrei!
    >
    > Del resto, al giorno d'oggi non penso di essere
    > l'unico a possedere tanti
    > dispositivi...
    Già... Al giorno d'oggi diventa sempre più lungo eseguire le perizie... Io, comunque, non sono mai andato oltre i 4 mesi... (una proroga di 60 giorni o due di 30).
    Prozac
    5040
  • > Già... Al giorno d'oggi diventa sempre più lungo
    > eseguire le perizie... Io, comunque, non sono mai
    > andato oltre i 4 mesi... (una proroga di 60
    > giorni o due di
    > 30).
    Io sono arrivato a 180 Sorpresa, ma era un vero incubo compreso materiale steganografato.
  • > Io sono arrivato a 180 Sorpresa, ma era un vero incubo
    > compreso materiale
    > steganografato.
    Non ti invidio per niente Occhiolino
    Prozac
    5040
  • - Scritto da: Prozac
    > > Io sono arrivato a 180 Sorpresa, ma era un vero
    > incubo
    > > compreso materiale
    > > steganografato.
    > Non ti invidio per niente Occhiolino
    Bhé il risultato è stato buono 2 anni e 6 mesi (slo perché gli hanno dato le generiche) Con la lingua fuori
  • - Scritto da: SirParsifal

    > Bhé il risultato è stato buono 2 anni e 6 mesi
    > (slo perché gli hanno dato le generiche)
    >Con la lingua fuori

    Per quale reato?
    non+autenticato
  • - Scritto da: nemo
    > - Scritto da: SirParsifal
    >
    > > Bhé il risultato è stato buono 2 anni e 6 mesi
    > > (slo perché gli hanno dato le generiche)
    > >Con la lingua fuori
    >
    > Per quale reato?
    Bene dai!!! Ipotizzo il reato: Detenzione di materiale Pedo-pornografico...
    Prozac
    5040
  • chiedo ai più esperti cosa succede alle prove raccolte nel momento in cui l'HD originale viene restituito all'indagato?

    faccio un esempio
    carabinieri che bussano a casa
    perquisiscono il PC.
    effettuano le rilevazioni del caso (dopo mesi e tramite consulente esterno) senza darne comunicazione all'indagato quindi senza incidente probatorio, tutto documentato (catena di custodia e procedure effettuate per la Computer forensics), pensano di trovare cio che è loro interesse, l'indagato chiede istanza di restituzione che viene accolta
    restituzione materiale sequestrato (originale, no copia), procedimento ancora in corso.

    ora mi chiedo, se tutto il procedimento giudiziario sta in piedi per le prove che si pensano siano state individuate come mai restituiscono il materiale originale ???
    come è possibile in questo la difesa dell'indagato???

    grazie
    non+autenticato
CONTINUA A LEGGERE I COMMENTI
1 | 2 | 3 | Successiva
(pagina 1/3 - 12 discussioni)