Computer forensics: la raccolta

di Emanuele Florindi - Un percorso guidato tra le varie fase delle indagini che conducono al processo per reato informatico. Una definizione di computer forensics e l'avvio delle intercettazioni

Perugia - Nelle scorse settimane l'Avv. Florindi ha illustrato le modalità di avvio delle indagini, fino al momento dell'emissione del cosiddetto "avviso di garanzia", nonché l'avvio della perquisizione con le diverse modalità di raccolta delle prove. La trattazione riprende tracciando una panoramica sulle differenti possibilità che si presentano agli investigatori in questa fase.

Cloni e copie
Proprio in merito all'acquisizione si ha il principale confronto tra differenti correnti: una prima che vede nell'analisi un accertamento irripetibile ed una seconda che, invece, lo considera ripetibile.

La differenza non è soltanto terminologica, ma ha pesanti ricadute in sede processuale: l'accertamento ripetibile, infatti, può sì essere compiuto senza dare alcuna comunicazione alle parti ma, di contro, la difesa potrà sempre richiedere, in sede dibattimentale, che l'accertamento venga ripetuto alla presenza delle parti e di un perito nominato dal Giudice.
L'accertamento non ripetibile, invece, parte dal presupposto che la cosa sia soggetta a modifica e prevede che il PM dia avviso alla persona offesa ed alla persona sottoposta alle indagini del luogo, del giorno e dell'ora previsti per il conferimento dell'incarico affinché questi possano partecipare con propri consulenti. Prima dell'inizio delle operazioni l'indagato può formulare riserva di incidente probatorio e, in tal caso, si procederà alle operazioni in tale sede.

Non vi è dubbio che tale pratica sembri offrire le maggiori garanzie difensive, ma vi sono almeno due elementi che bisogna tenere in considerazione: in primo luogo si tratta di un accertamento tecnicamente ripetibile (salvo grossolani errori del consulente), quindi non è tecnicamente possibile parlare di accertamento non ripetibile. In secondo luogo l'utilizzo di un simile strumento, laddove si proceda contro ignoti, rappresenterebbe una grave lesione al diritto alla difesa per il soggetto che, successivamente iscritto nel registro degli indagati, non soltanto non avrebbe alcuna possibilità di ottenere una nuova analisi del supporto in sede di dibattimento, ma ben potrebbe trovarsi di fronte ad un reperto ormai alterato: la valutazione dell'accertamento come non ripetibile, consentirebbe di effettuare anche operazioni in grado di provocare modifiche (per esempio l'avvio della macchina da analizzare senza alcuna cautela).

Proprio per tali ragioni è preferibile, a mio avviso, procedere con la formula dell'accertamento ripetibile fermo restando il fatto che, in presenza di errori o attività che apportino modifiche alla struttura del reperto, lo stesso dovrebbe essere considerato "inquinato" e le risultanze in esso contenute non più genuine né utilizzabili in dibattimento.

Dunque, per garantire la ripetibilità dell'analisi (vero principio cardine della computer forensics), è necessario operare sempre su di una copia del supporto sequestrato. Naturalmente non è sufficiente un semplice ghost del disco rigido, ma è necessario che si tratti di una perfetta duplicazione (in gergo si parla spesso di clonare un hard disk) che, a differenza della mera copia, consentirà di operare su un hard disk praticamente identico all'originale, consentendo, quindi, l'analisi anche di eventuali aree apparentemente vuote.

In commercio esistono numerosi prodotti, hardware e software, in grado di clonare un hard disk garantendo la non alterazione dell'originale e l'esatta corrispondenza originale-copia. Si può trattare di prodotti software commerciali (Encase, ForensicToolkit), open source (dd, aimage, dcfldd, AFF) oppure di apparecchi hardware (hardcopy, diskjokey, i vari prodotti Logicube). Più economici i prodotti software (soprattutto quelli open source), più sicuri gli apparecchi hardware, ormai realizzare la copia garantendo la ripetibilità dell'accertamento non dovrebbe più rappresentare un problema.

Č poi buona norma procedere all'acquisizione della firma digitale dell'intero supporto acquisito, con un'operazione detta hashing a senso unico. L'operazione viene tipicamente compiuta utilizzando un algoritmo di classe MD5 che, generando un'impronta della lunghezza di 128 bit (16 byte), costituisce un riferimento certo alla traccia originale, pur non consentendone la ricostruzione.

Se si rendesse necessario avviare il computer, ad esempio nel corso di un'ispezione o per effettuare un'analisi preliminare, è necessario proteggere l'hard disk con un dispositivo che inibisca la scrittura sullo stesso (write block) o, in alternativa, utilizzare un apparato hardware per effettuare una copia precisa dell'hard disk ed avviare la macchina utilizzando tala copia. L'alternativa più valida è però quella di avviare la macchina in modalità virtuale, per esempio utilizzando VmWare, dopo aver effettuato una copia del disco rigido.

In merito a quest'ultimo punto, si consideri che numerosi software di crittografia o di steganografia consentono di impostare un meccanismo di protezione che danneggia il file protetto in caso di errori nell'inserimento della password (oppure inserendo un'apposita password): quindi, errori di digitazione in sede di ispezione potrebbero portare alla cancellazione delle tracce del reato. Allo stesso modo un floppy (o un CD) lasciato nel lettore potrebbero avviare una procedura di cancellazione dell'intero hard disk. Quindi: l'avvio del sistema con il disco originale installato e collegato è decisamente sconsigliato!

Avv. Emanuele Florindi
http://www.accademiascienzeforensi.it
http://www.telediritto.it

La trattazione dell'Avv. Florindi si concluderà la prossima settimana con una trattazione delle possibili metodologie di interpretazione delle prove fin qui acquisite nel corso dell'indagine.
71 Commenti alla Notizia Computer forensics: la raccolta
Ordina
  • Avevo alcune domande per coloro che hanno subito le perquisizioni... fondamentalmente quali erano le accuse?? p2p??attacchi DDOS?? Truffa??
    non+autenticato
  • Sui dischi ssd o le chiavette USB basta una sovrascrittura per renderne irrecuperabile il contenuto, o come per i comuni hard disk occorre eseguire + sovrascritture (addirittura 35 per il metodo Gutmann)?
    non+autenticato
  • Con i software attuali non è possibile.
    non+autenticato
  • Se per quello con un software non recuperi nemmeno i dati sovrascritti su hard disk tradizionali.
    Ci vuole una apparecchiatura hardware.

    Chiedevo se per le caratteristiche tecniche degli SSD le sovrascritture sono esatte o rimangono tracce, è una domanda per esperti.
    non+autenticato
  • Ammettiamo che l'hd contenga dei (presunti) dati sovrascritti che, una volta recuperati con tecniche da laboratorio più o meno discutibili, costituiscono corpo del reato.

    La copia bit-a-bit ed il cloning non restituiscono tali informazioni.

    In questo caso, quali garanzie per l'indagato?
    non+autenticato
  • - Scritto da: Forsythe
    > Ammettiamo che l'hd contenga dei (presunti) dati
    > sovrascritti che, una volta recuperati con
    > tecniche da laboratorio più o meno discutibili,
    > costituiscono corpo del
    > reato.
    >
    > La copia bit-a-bit ed il cloning non
    > restituiscono tali
    > informazioni.
    >
    > In questo caso, quali garanzie per l'indagato?
    Quelle date dalla certificazione del laboratorio che effettua il recupero e consegna un hard disk contenente la copia recuperata dell'originale. In questo caso si dovrebbe, già in sede di laboratorio, allegare l'hash del nuovo supporto che integra e sostituisce quello danneggiato.
    In un caso simili si è proceduto così:
    Hard disk illegibile.
    ALla presenza del CTP del PM e di quello della difesa ed in sede di incidente probatorio il Perito del GIP ha individuato una ditta in grado di operare sul supporto.
    Apposizione dei sigilli e delle firme sulla scatola del supporto e consgna tramite corrire speciale incaricato dalla ditta in questione.
    Arrivo in sede, verifica da parte della ditta dell'integrità dei sigilli.
    Recuypero del disco e creazione del nuovo disco. Hash del nuovo disco, ed invio (sempre per il tramite del medesimo corriere) al Perito.
    Analisi.
  • In caso di dati sovrascritti non c'è proprio nulla da recuperare, nulla perlomeno che sia proponibile come oggetto dotato di forza probatoria. Qualunque tesi contraria ha il valore di "racconto mitologico".
    non+autenticato
  • Scusa ho dato per scontato che NON fossero dati sosvrascritti, ma per imprecisione ci si riferisse a dati illegibili (i.e. hard disk danneggiato). Questa è l'unica ragione per cui si manda un hd presso un laboratorio.

    Mi aveva tratto in inganno questa affermazione:
    > Ammettiamo che l'hd contenga dei (presunti) dati
    > sovrascritti che, una volta recuperati con
    > tecniche da laboratorio più o meno discutibili,
    > costituiscono corpo del
    > reato
    .
    quindi avevo dato per scontato che i dati fossero stati recuperati.
  • Ottimo articolo, come i precedenti, ma questa volta la questione mi è diventata ancora più chiara.
  • Grazie a te, una bella serie di articoli chiari!
  • Segnalo che il problema dell'"accertamento" ripetibile o meno che sia non si pone - secondo l'ultima sentenza della Corte di Cassazione 14511/09 - con riferimento alla copia di bitstream di supporto digitale. E non si pone nemmeno il problema dell'avviso di cui al 360 cpp (e dell'omologo di cui al 391-decies terzo comma cpp).

    E questo per un semplice ragionamento (sempre secondo la Cassazione): la copia del supporto non è accertamento (secondo il significato riconosciuto graniticamente al termine contenuto nel 360 cpp). L'accertamento, infatti, presuppone una contestuale valutazione del materiale probatorio ad opera di quello che gli anglofoni chiamano expert witness, ossia del consulente tecnico e del perito (non ovviamente dell'ausiliare di PG che non può compiere nessuna valutazione, ma può se del caso eseguire la copia).

    Secondo la mia modesta considerazione si può discutere della irripetibilità della copia solo de iure condendo.
    Per il resto - attualmente - la prova della cattiva qualità della copia deve essere allegata da chi la sostiene e ciò passa la palla al giudicante. Bisogna sempre ricordare, infatti, che nel processo penale non esiste una prova legale (alla quale il giudice, cioé, deve attenersi rigorosamente), ma anzi il giudice penale ha il potere di valutare la scientificità del metodo adottato e valuta "liberamente" (ossia senza alcun vincolo dettato dalla legge... se non quello della coerenza della motivazione) tutti i risultati istruttori.

    saluti

    francesco paolo micozzi
    non+autenticato
  • - Scritto da: Francesco Paolo Micozzi
    > Segnalo che il problema dell'"accertamento"
    > ripetibile o meno che sia non si pone - secondo
    > l'ultima sentenza della Corte di Cassazione
    > 14511/09 - con riferimento alla copia di
    > bitstream di supporto digitale. E non si pone
    > nemmeno il problema dell'avviso di cui al 360 cpp
    > (e dell'omologo di cui al 391-decies terzo comma
    > cpp).
    GARZIE! QUesta mi era sfuggita. Sai dove posso trovare il testo completo?

    > E questo per un semplice ragionamento (sempre
    CUT
    > Per il resto - attualmente - la prova della
    > cattiva qualità della copia deve essere allegata
    > da chi la sostiene e ciò passa la palla al
    > giudicante. Bisogna sempre ricordare, infatti,
    > che nel processo penale non esiste una prova
    > legale (alla quale il giudice, cioé, deve
    > attenersi rigorosamente), ma anzi il giudice
    > penale ha il potere di valutare la scientificità
    > del metodo adottato e valuta "liberamente" (ossia
    > senza alcun vincolo dettato dalla legge... se non
    > quello della coerenza della motivazione) tutti i
    > risultati
    > istruttori.
    In brevo quello che ha stabilito il Giudice di Bologna nel "caso Vierika", giusto?
  • - Scritto da: SirParsifal

    > GARZIE! QUesta mi era sfuggita. Sai dove posso
    > trovare il testo
    > completo?

    Ho inserito l'intero passaggio della sentenza che ho richiamato anche nel mio blog.

    >
    > > E questo per un semplice ragionamento (sempre
    > CUT
    > > Per il resto - attualmente - la prova della
    > > cattiva qualità della copia deve essere allegata
    > > da chi la sostiene e ciò passa la palla al
    > > giudicante. Bisogna sempre ricordare, infatti,
    > > che nel processo penale non esiste una prova
    > > legale (alla quale il giudice, cioé, deve
    > > attenersi rigorosamente), ma anzi il giudice
    > > penale ha il potere di valutare la scientificità
    > > del metodo adottato e valuta "liberamente"
    > (ossia
    > > senza alcun vincolo dettato dalla legge... se
    > non
    > > quello della coerenza della motivazione) tutti i
    > > risultati
    > > istruttori.
    > In brevo quello che ha stabilito il Giudice di
    > Bologna nel "caso Vierika", giusto?

    Più o meno si.
    Saluti
    Francesco Paolo Micozzi
    non+autenticato
  • - Scritto da: Francesco Paolo Micozzi

    > Ho inserito l'intero passaggio della sentenza che
    > ho richiamato anche nel mio
    > blog.
    >

    Dimenticavo il link scusa: http://www.micozzi.it/?p=214
    saluti
    francesco
    non+autenticato
CONTINUA A LEGGERE I COMMENTI
Successiva
(pagina 1/2 - 7 discussioni)