Computer forensics: dar voce ai bit

di Emanuele Florindi - Un percorso guidato tra le varie fase delle indagini che conducono al processo per reato informatico. Come si svolgono le perizie?

Perugia - Nelle scorse settimane l'Avv. Florindi ha illustrato le modalità di avvio delle indagini, fino al momento dell'emissione del cosiddetto "avviso di garanzia", nonché l'avvio della perquisizione con le diverse modalità di raccolta delle prove. La trattazione si conclude questa settimana con una breve rappresentazione delle modalità di analisi tipicamente adottate dai periti tecnici.

Dar voce ai bit
L'analisi dei reperti informatici rappresenta il culmine dell'attività investigativa finalizzata alla repressione della maggior parte dei reati informatici, ma, per quanto apparentemente semplice, questa fase dell'indagine richiede una notevole attenzione e competenza: eventuali errori commessi in questa sede potrebbero compromettere l'intera indagine, soprattutto in relazione alla successiva utilizzabilità processuale delle prove raccolte.

Non sempre le prove sono immediatamente individuabili, essendo possibile che le stesse siano dissimulate all'interno di altri files (steganografia), protette da meccanismi di crittografia o conservate all'interno di client di posta elettronica o client newsgroup. Ad esempio, l'analisi dell'hard disk rappresenta spesso la prova del nove nel corso di un'indagine per pedopornografia: non importa quali e quante prove si siano raccolte nelle precedenti fasi investigative, è necessario dimostrare che il materiale è stato consapevolmente acquisito e, eventualmente, consapevolmente ceduto a terzi. Proprio per tale ragione non è sufficiente verificare la mera presenza di immagini o filmati, ma è necessario dimostrare che il materiale è stato consapevolmente e volontariamente trattato.
A ciò si aggiunga che è facile reperire programmi che consentono di creare un'intera partizione fat32 o ntfs criptata: in alcuni casi, la partizione può comprendere l'intero sistema operativo ed i relativi file di boot, di swap, i file temporanei eccetera, ed è altresì possibile che tale partizione si avvii solo utilizzando un apposito dischetto di boot. In assenza del floppy la partizione appare come spazio non formattato.

In relazione a programmi di crittografia e steganografia è bene ricordare che si tratta di programmi perfettamente legittimi il cui utilizzo, almeno in assenza di ulteriori elementi a carico, non può essere valutato a sfavore dell'imputato. Tra l'altro è opportuno ricordare che, secondo la legge italiana, l'imputato ha il pieno diritto di rifiutarsi di consegnare le eventuali password necessarie ad accedere a file e/o cartelle crittografate, tuttavia tale comportamento può essere valutato negativamente dal giudice nel caso di un'eventuale condanna.

Una volta effettuata la copia dell'hard disk è possibile procedere all'analisi del suo contenuto ed anche le operazioni compiute in questa fase dovrebbero essere dettagliatamente documentate e ripetibili. In particolare la dottrina americana ha contestato l'utilizzo di software proprietari per eseguire l'analisi e generare un rapporto: in linea di massima si sostiene che quando ci si avvale di tali programmi non è possibile sapere come si è arrivati ad un determinato risultato (per esempio il recupero di una cartella cancellata).

A mio avviso, laddove l'accertamento sia ripetibile, la questione è facilmente risolvibile in quanto la possibilità di ripetere l'esame in sede di dibattimento è di per sé idonea garanzia del rispetto del diritto di difesa dell'imputato. In breve, il corretto interrogativo dovrebbe essere non che tool è stato utilizzato, ma se l'analista aveva o meno il necessario background tecnico e legale.

Ciò che in realtà veramente conta è, infatti, la preparazione e lo scrupolo del soggetto che fisicamente esegue l'analisi. Si prenda, ad esempio, un'indagine in tema di detenzione di materiale pedopornografico: l'approccio più corretto porta a richiedere, spesso sin dalle fase delle indagini preliminari, non soltanto di valutare la presenza di materiale, ma anche di escludere (o confermare!) che la detenzione dello stesso sia avvenuta inconsapevolmente, ad esempio perché si è erroneamente scaricato un filmato pedo pornografico dai circuiti del p2p, ovvero se si è involontariamente acceduto ad un sito pedopornografico.

Avv. Emanuele Florindi
http://www.accademiascienzeforensi.it
http://www.telediritto.it
37 Commenti alla Notizia Computer forensics: dar voce ai bit
Ordina
  • ------------------
    -----------------------
    ------------------
    -----------------------------------------------------------
    Modificato dall' autore il 22 giugno 2009 09.54
    -----------------------------------------------------------
  • Cito:

    "Tra l'altro è opportuno ricordare che, secondo la legge italiana, l'imputato ha il pieno diritto di rifiutarsi di consegnare le eventuali password necessarie ad accedere a file e/o cartelle crittografate, tuttavia tale comportamento può essere valutato negativamente dal giudice nel caso di un'eventuale condanna."

    Come si può avere "pieno diritto" e poi essere "valutato negativamente"?

    Allora diciamo che "E' magnanimamente concesso di rifiutarsi di consegnare le password, salvo poi, in base al Nostro arbitrario giudizio, e mutevole umore, di aggravare la punizione in un secondo momento."

    Ingenuo 2001
    non+autenticato
  • > "Tra l'altro è opportuno ricordare che, secondo
    > la legge italiana, l'imputato ha il pieno diritto
    > di rifiutarsi di consegnare le eventuali password
    > necessarie ad accedere a file e/o cartelle
    > crittografate, tuttavia tale comportamento può
    > essere valutato negativamente dal giudice nel
    > caso di un'eventuale
    > condanna."
    > Come si può avere "pieno diritto" e poi essere
    > "valutato
    > negativamente"?
    Semplice se non collabori eserciti un tuo diritto, ma non puoi poi pretendere questa condotta non venga eventualmente valutata dal Giudice se, nonostante la tua non collaborazione, il reato viene provato. In breve il comportamento collavborativo del colpevole può essere valutato a favore del reo e viceversa.
    Si tratta di una pura e semplice scelta di startegia processuale.
  • > Semplice se non collabori eserciti un tuo
    > diritto, ma non puoi poi pretendere questa
    > condotta non venga eventualmente valutata dal
    > Giudice se, nonostante la tua non collaborazione,
    > il reato viene provato. In breve il comportamento
    > collavborativo del colpevole può essere valutato
    > a favore del reo e
    > viceversa.
    > Si tratta di una pura e semplice scelta di
    > startegia
    > processuale.

    Bisogna pero' che prima dimostrino che quel disco/supporto sia criptato. Altrimenti come si potrebbe dare la password di un qualcosa che non richiede password?

    Anche di questo, quindi, il giudice dovrebbr tenerne conto.

    In assenza di questa dimostrazione, non fornire una password non puo' essere considerato ne una aggravante ne altro. Sbaglio ?
  • > Bisogna pero' che prima dimostrino che quel
    > disco/supporto sia criptato. Altrimenti come si
    > potrebbe dare la password di un qualcosa che non
    > richiede password?
    Esatto.

    > In assenza di questa dimostrazione, non fornire
    > una password non puo' essere considerato ne una
    > aggravante ne altro. Sbaglio?
    Direi che per chiedere la password è. per prima cosa necessario sapere che (se) c'è qualcosa che richiede una password.
    Altrimenti si dovrebbe chiedeere anche la chiave ed iul codice della cassaforte.

    Immagina la scena: Ci dia la combinazione della cassaforte.
    Ma io non una cassaforte!
    Non importa ci dia la com,binazione che avrebbe se avesse una cassaforteOcchiolino
  • > Immagina la scena: Ci dia la combinazione della
    > cassaforte.
    > Ma io non una cassaforte!
    > Non importa ci dia la com,binazione che avrebbe
    > se avesse una cassaforte
    >Occhiolino

    :DA bocca apertaA bocca aperta
    Beh.. in Italia tutto è possibileOcchiolino
  • Ogni volta leggo riferimenti più o meno velati a questo software (o altri, più o meno "open") che magicamente riesce a cifrare interi dischi dati, dando all'utente finale il potere di decidere chi debba e chi non debba accedere al suo contenuto.


    Io posso dirvi con certezza tot. cose:

    1-Se vi stanno tenendo d'occhio da settimane, mesi o anni la vostra "password" o la chiave di cifratura usata per loro non è un mistero: gli basta insersi sul vostro pc con un banalissimo trojan/keylogger quando la partizione è aperta.

    2-Ci sono dei bug nel programma e in certe condizioni (moltissimi casi) si possono sfruttare per violare la sicurezza della cifratura.
    Ora qualcuno verrà a dire che bug non ce ne sono: allora chiedetevi come mai escono di continuo nuove versioni... il software "perfetto" non esiste.

    3-Scrive l'avvocato che "secondo la legge italiana, l'imputato ha il pieno diritto di rifiutarsi di consegnare le eventuali password ".
    Vero, quello che invece non evidenzia con abbastanza forza è il trattamento riservato a chi "fa il furbo"... alla fine la password o il disco chiave lo fornite di vostra sponte, a meno che non siate abbastanza facoltosi da avere un paio di avvocati con le balle quadrate durante la perquisizione, il primo interrogatorio e tutte le successive chiamate, anche a orari assurdi...

    4-"Loro" sanno che siete colpevoli marci.
    Voi sapete di aver commesso le peggiori nefandezze.
    Però, per fortuna o altro, riuscite a farla franca.
    Ecco, in quest'ultimo caso la prima volta che attivate la connessione e per tutti gli anni successivi, potete star certi che qualche incaricato "scornato" dal suo fallimento vi starà con il fiato sul collo, facendo tutto e di più per incastrarvi.
    Hanno fallito la prima volta? Riproveranno in seguito. Tanto le spese legali le pagate voiOcchiolino
    non+autenticato
  • > Io posso dirvi con certezza tot. cose:
    >
    > 1-Se vi stanno tenendo d'occhio da settimane,
    > mesi o anni la vostra "password" o la chiave di
    > cifratura usata per loro non è un mistero: gli
    > basta insersi sul vostro pc con un banalissimo
    > trojan/keylogger quando la partizione è
    > aperta.

    Questo mi sembra il minimo per una indagine fatta bene, ma se spendono tempo e danaro si suppone che il reato sia grave... mafia, terrorismo, corruzione

    > 2-Ci sono dei bug nel programma e in certe
    > condizioni (moltissimi casi) si possono sfruttare
    > per violare la sicurezza della
    > cifratura.
    > Ora qualcuno verrà a dire che bug non ce ne sono:
    > allora chiedetevi come mai escono di continuo
    > nuove versioni... il software "perfetto" non
    > esiste.

    Qui ci starebbero bene alcuni riferimenti ai "moltissimi casi", a quali bug sono presenti e sono noti, e noti a chi?
    Ci sono task force nelle agenzie di sicurezza che lavorano alla ricerca dei bachi? In quelle americane può essere plausibile.
    E questi bug sono noti sempre e solo a CIA, NSA etc.?
    O chi produce sw open source come True Crypt fornisce informazioni riservate liberamente o coattamente?
    O anche nei sw oper source sono presenti backdoor tanto l'utilizzatore medio non lo scoprirà mai?

    > 3-Scrive l'avvocato che "secondo la legge
    > italiana, l'imputato ha il pieno diritto di
    > rifiutarsi di consegnare le eventuali password
    > ".
    > Vero, quello che invece non evidenzia con
    > abbastanza forza è il trattamento riservato a chi
    > "fa il furbo"... alla fine la password o il disco
    > chiave lo fornite di vostra sponte, a meno che
    > non siate abbastanza facoltosi da avere un paio
    > di avvocati con le balle quadrate durante la
    > perquisizione, il primo interrogatorio e tutte le
    > successive chiamate, anche a orari
    > assurdi...

    Ho scritto un commento a questo in un altro post, un commento più filosofico che pratico: se ho un diritto non dovrei essere punibile per averlo applicato, altrimenti non sarebbe un diritto ma una "concessione regale"

    > 4-"Loro" sanno che siete colpevoli marci.
    > Voi sapete di aver commesso le peggiori
    > nefandezze.
    > Però, per fortuna o altro, riuscite a farla
    > franca.
    > Ecco, in quest'ultimo caso la prima volta che
    > attivate la connessione e per tutti gli anni
    > successivi, potete star certi che qualche
    > incaricato "scornato" dal suo fallimento vi starà
    > con il fiato sul collo, facendo tutto e di più
    > per
    > incastrarvi.
    > Hanno fallito la prima volta? Riproveranno in
    > seguito. Tanto le spese legali le pagate voi
    >Occhiolino
    non+autenticato
  • Occhio perché TrueCrypt è un software proprietario.

    Chi usa GNU/Linux ha a disposizione strumenti sicuramente migliori che non pongono i problemi che tu citi.
    non+autenticato
  • Scusa eh ma:

    "T r u e C r y p t
    Free open-source disk encryption software for Windows Vista/XP, Mac OS X, and Linux"

    http://www.truecrypt.org/

    E da qui si possono scaricare i sorgenti:

    http://www.truecrypt.org/downloads2

    Dov'è che si evince che è proprietario?

    Grazie!

    - Scritto da: AAA
    > Occhio perché TrueCrypt è un software
    > proprietario.
    >
    > Chi usa GNU/Linux ha a disposizione strumenti
    > sicuramente migliori che non pongono i problemi
    > che tu
    > citi.
    non+autenticato
  • - Scritto da: AAA
    > Occhio perché TrueCrypt è un software
    > proprietario.

    Si, è un software proprietario della TrueCrypt Foundation, ma a differenza degli altri software proprietari viene distribuito gratuitamente e il sorgente è liberamente scaricabile.


    >
    > Chi usa GNU/Linux ha a disposizione strumenti
    > sicuramente migliori che non pongono i problemi
    > che tu
    > citi.

    Per esperienza personale (mi diletto nel campo del data recovery) ti posso assicurare che i sistemi linux sono i primi a cader vittima dell'analisi forense, in quanto gli utenti hanno molta meno dimestichezza nel loro utilizzo e le informazioni per mantenere al sicuro i dati si trovano con molta più difficoltà.
    I software vanno saputi usare, altrimenti le loro potenzialità non servono a nulla e i software per sistemi Win sono più semplici e alla portata di tutti.

    A parte quanto sopra, una persona che sappia dove metter mano non ha problemi nè su Linux nè su sistemi M$ o Mac...
    non+autenticato
  • Perdonami, ma chi se ne frega dei bug del software. L'importante è la forza della criptatura. Una volta criptato un disco è indipendente dal software. Per aprirlo non devi micca per forza utilizzare lo stesso software che usi per criptarlo. L'importante è usare lo stesso algorimo e la stessa password. Poi magari sai di un bug negli algoritmi di truecrypt che è sfuggito al resto del mondo, ma io non credo...
    non+autenticato
  • > 3-Scrive l'avvocato che "secondo la legge
    > italiana, l'imputato ha il pieno diritto di
    > rifiutarsi di consegnare le eventuali password
    > ".
    Perdonami, ma la frase completa è "Tra l'altro è opportuno ricordare che, secondo la legge italiana, l'imputato ha il pieno diritto di rifiutarsi di consegnare le eventuali password necessarie ad accedere a file e/o cartelle crittografate, tuttavia tale comportamento può essere valutato negativamente dal giudice nel caso di un'eventuale condanna" quindi viene messo in evidenza che tale comportamento non è privo di conseguenze.

    > Vero, quello che invece non evidenzia con
    > abbastanza forza è il trattamento riservato a chi
    > "fa il furbo"... alla fine la password o il disco
    > chiave lo fornite di vostra sponte, a meno che
    > non siate abbastanza facoltosi da avere un paio
    > di avvocati con le balle quadrate durante la
    > perquisizione, il primo interrogatorio e tutte le
    > successive chiamate, anche a orari
    > assurdi...
    Non mi risulta che in Italia usino interrogatori notturni o altri sistemi più o meno velati di tortura.
    Andiamoci piano con certe affermazioni.
    Il rifiuto di consegnare una password può avere conseguenze processuali ai sensi del 133 cp, può essere alla base di una misura cautelare (ma non se preso da solo), ma la Magistratura italiana non utilizza metodi da Stasi o Kbg per estorcere password o informazioni.
  • mi rimane sempre difficile ogni volta che passo davanti ad un internet point chiuso domandarmi che genere di terribile nefandezza si puo fare con internet-
    me ne fa un esempio? grazie
  • "stanno fuori di testa" non mi pare, signor Elias, il modo migliore di esprimersi in presenza di professionisti affermati del settore.





































































































    (don't feed the trollOcchiolino)
    non+autenticato
  • Questo articolo è comparso su un blog di una organizzazione di avvocati !? che afferma voler difendere gli articoli 21 e 33 (libertà espressione e insegnamento)e poi,in maniera un pò schizzoide, propone l'applicazione in rete del ridicolo DDL CARLUCCI !! Secondo questa associazione in rete dovrebbero scrivere o interagire solo persone con determinati requisiti,alla loro "altezza "-""di chi chi pubblica in rete riflessioni, studi veramente fuori del coro – quelli “negazionisti” sono solo una parte""

    http://21e33.blogspot.com/2009/06/la-disinformazio...

    da quello che ho capito la cosa è preoccupante! si sono organizzati e terranno anche una conferenza a Roma!

    Stanno fuori di testa!
CONTINUA A LEGGERE I COMMENTI
Successiva
(pagina 1/2 - 7 discussioni)