Giuseppe Vaciago Profili giuridici dell'indagine digitale 08 09 18 Ordine Bergamo

1,918
-1

Published on

Published in: Technology
0 Comments
3 Likes
Statistics
Notes
  • Be the first to comment

No Downloads
Views
Total Views
1,918
On Slideshare
0
From Embeds
0
Number of Embeds
2
Actions
Shares
0
Downloads
0
Comments
0
Likes
3
Embeds 0
No embeds

No notes for slide

Giuseppe Vaciago Profili giuridici dell'indagine digitale 08 09 18 Ordine Bergamo

  1. 1. Profili giuridici dell’indagine digitale Giuseppe Vaciago Ordine degli Avvocati di Bergamo Auditorium del Collegio Sant’Alessandro <ul><li>Agenda: </li></ul><ul><li>Accesso abusivo a sistema informatico </li></ul><ul><li>Computer forensics </li></ul><ul><li>Profili giuridici dell’indagine digitale </li></ul><ul><li>Casistica giurisprudenziale </li></ul><ul><li>Conclusioni </li></ul>
  2. 2. Art. 615-ter: Accesso abusivo ad un sistema informatico o telematico Chiunque abusivamente si introduce in un sistema informatico o telematico protetto da misure di sicurezza ovvero vi si mantiene contro la volontà espressa o tacita di chi ha il diritto di escluderlo , è punito con la reclusione fino a tre anni. La pena è della reclusione da uno a cinque anni: 1) se il fatto è commesso da un Pubblico Ufficiale 2) se il colpevole per commettere il fatto usa violenza sulle cose o alle persone, ovvero se è palesemente armato; 3) se dal fatto deriva la distruzione o il danneggiamento del sistema Nel caso previsto dal primo comma il delitto è punibile a querela della persona offesa; negli altri casi si procede d’ufficio. Accesso abusivo a sistema telematico
  3. 3. Accesso abusivo a sistema telematico Tribunale Bologna, 21 luglio 2005 Il caso riguardava un hacker che, dopo aver creato un virus denominato “ Vierika ”, lo aveva diffuso tramite un noto provider a circa 900 utilizzatori. Il virus, inviato come attachment di una mail , una volta eseguito, andava ad agire sul registro di configurazione di windows portando al livello minimo le impostazioni di protezione del browser Internet Explorer e inserendo come home page del predetto browser una determinata pagina web scelta dall’imputato.
  4. 4. Accesso abusivo a sistema telematico
  5. 5. Accesso abusivo a sistema telematico Quando l’utente accedeva in rete, veniva scaricato in modo automatico dal sito web un comando che creava nella prima partizione del primo disco rigido del computer il file c:Vierika.JPG.vbs, producendo un effetto di mass-mailing . Veniva, infatti, inviata agli indirizzi contenuti nella rubrica di Outlook una mail contenente l’attachment sopra descritto, in modo che il virus si potesse autoreplicare .
  6. 6. Sentenza di I° grado (21 luglio 2005) : l’imputato veniva condannato alla pena di 6 mesi di reclusione convertito in pena pecuniaria ai sensi degli articoli 110 c.p. 615-ter e quinquies c.p., 81 cpv, Sentenza di Appello (30 gennaio 2008) : mancando la prova del danneggiamento del sistema informatico , viene a cadere l’ipotesi aggravata di accesso abusivo a sistema informatico e l’imputato viene assolto dal capo di imputazione relativo al 615-ter per difetto di querela Accesso abusivo a sistema telematico
  7. 7. Computer Forensics <ul><li>La Computer Forensics individua le modalità migliori per: </li></ul><ul><li>acquisire le prove senza alterare o modificare il sistema informatico su cui si trovano; </li></ul><ul><li>garantire che le prove acquisite su altro supporto siano identiche a quelle originarie; </li></ul><ul><li>analizzare i dati senza alterarli. </li></ul>
  8. 8. La funzione o “impronta” di Hash L’impronta di Hash garantisce durante un’analisi forense di supporti alterabili l’ intangibilità dei dati in essi contenuti. L’Hash è una funzione univoca operante in un solo senso (ossia, che non può essere invertita), attraverso la quale viene trasformato un documento di lunghezza arbitraria in una stringa di lunghezza fissa, relativamente limitata. Tale stringa rappresenta una sorta di “impronta digitale” del testo in chiaro, e viene detta valore di Hash o Message Digest. Se il documento venisse alterato anche in minima parte, cambierebbe di conseguenza anche l’impronta. In altre parole, calcolando e registrando l’impronta, e successivamente ricalcolandola, è possibile mostrare al di là di ogni dubbio che i contenuti del file, oppure del supporto, abbiano subito o meno modifiche, anche solo accidentali.
  9. 9. Profili giuridici dell’indagine digitale: ispezione o perquisizione ? un decreto di ispezione (art 244 e seguenti c.p.p.) o di (artt. 247 e seguenti c.p.p.) e contestuale acquisizione di eventuali elementi utili a ricostruire accertare le tracce e gli altri effetti materiali del reato un decreto perquisizione e contestuale sequestro (artt. 253 e seguenti c.p.p.) a carico del soggetto indagato, finalizzato ad acquisire il corpo del reato e le cose pertinenti ad esso In tutte e due i decreti il Pubblico Ministero dispone che l’atto sia compiuto da ufficiali di polizia giudiziaria delegati Il Pubblico Ministero può emettere:
  10. 10. Helix Helix è una particolare distribuzione di Linux che contiene al suo interno numerosi strumenti (tools) particolarmente utili per effettuare una vera e propria indagine informatica.
  11. 11. Mezzi di ricerca della prova digitale: perquisizione Durante la perquisizione ed il successivo sequestro quale procedura deve seguire la Polizia Giudiziaria per garantire la “Catena di Custodia” ? <ul><li>Computer acceso </li></ul><ul><li>Computer spento </li></ul><ul><li>Operazioni da compiere per garantire la catena di custodia </li></ul>
  12. 12. Mezzi di ricerca della prova digitale: perquisizione Computer spento <ul><li>Estrarre i floppy disk in esso contenuti </li></ul><ul><li>Estrarre i cd rom utilizzando l’apposito foro </li></ul><ul><li>Identificazione del numero e delle caratteristiche tecniche dei dischi fissi presenti nel computer </li></ul>
  13. 13. Computer Acceso <ul><li>Accedere al sistema, ove possibile, con il ruolo di amministratore </li></ul><ul><li>Salvare gli elementi utili reperiti con un supporto vergine </li></ul><ul><li>Procedere ad un’analisi di tutti i processi ancora in esecuzione e della RAM , ove fosse possibile reperirne il contenuto </li></ul><ul><li>Nel caso in cui siano presenti connessione attive che possano ricondurre alla presenza di programmi file-sharing, analizzare l’attività di download e le informazioni relative agli utenti </li></ul><ul><li>Redigere un verbale con appositi screenshot </li></ul><ul><li>Tutte le attività svolte durante l’analisi forense devono essere accuratamente registrate in un file di log </li></ul>Profili giuridici dell’indagine digitale: perquisizione
  14. 14. Mezzi di ricerca della prova: Catena di custodia <ul><li>Individuazione e identificazione dei supporti da sequestrare anche attraverso video e foto , attraverso le loro caratteristiche tecniche (marca, modello, numero seriale ed etichette apposte) </li></ul>3. Imballaggio dei supporti e apposizione delle etichette indicando il soggetto che ha raccolto le prove e le modalità e il luogo in cui sono state reperite 2. Utilizzo di un dispositivo dei dati( write blocker ) 4. Apposizione dei sigilli al materiale informatico 5. Redazione del verbale di sequestro in cui viene trascritto l’algoritmo di hash 2. Calcolo dell’algoritmo di hash sui supporti
  15. 15. Perizia o accertamento tecnico non ripetibile : Catena di custodia Wiping (Cancellazione a basso livello) dell’hard disk di destinazione Utilizzo di un dispositivo hardware o software per bloccare la scrittura dei dati( write blocker ) Copia Bit Stream dell’immagine del disco di sorgente Verifica dell’algoritmo di Hash Apertura dei sigilli
  16. 16. Perizia: attività del computer forenser Analisi dei file cancellati Individuazione della timeline Descrizione accurata della parte logica (volumi e dischi) del supporto e del tipo di OS Particolare attenzione a: 1. File (.mp3, mpg, .dbx, .pst, etc) 2. Link locali e remoti nella cartella preferiti 3. Cronologia Internet e relativi cookies 4. File steganografati , criptati
  17. 17. Sequestro e copia forense dell’hard disk Tribunale di Torino, 7 febbraio 2000 A favore dell’acquisizione dell’immagine dell’hard disk: “ nulla avrebbe potuto impedire agli agenti di Polizia Giudiziaria, per di più appartenenti a Sezione specializzata nell’ambito dei reati informatici, di procedere a copia integrale dell’hard disk , con specificazione verbale di ogni singola operazione ”.
  18. 18. Le fonti normative Corte di Cassazione, 7 marzo 2003 Il Tribunale del Riesame di Siracusa, in un’indagine legata alla diffusione di materiale pedo-pornografico, aveva qualificato come “cosa pertinente al reato”, il materiale informatico utilizzato per “scaricare” i files in questione tra cui lo schermo, la stampante ed lo scanner dell’indagato. Nel successivo ricorso in Cassazione, la Corte ha parzialmente accolto il ricorso, dissequestrando lo schermo, la stampante e lo scanner , ma ritenendo legittimo il vincolo sulla memoria fissa del computer o su eventuali supporti (floppy disk, cd), non prendendo in considerazione l’ipotesi fornita dall’indagato di effettuare una copia dei dati in essi contenuti.
  19. 19. Sequestro di corrispondenza telematica Tribunale di Brescia, 4 ottobre 2006 Il sequestro di un intero hard-disk consente certamente l’acquisizione di elementi probatori, ma implica anche l’ acquisizione di dati che esulano dal contesto per il quale l’atto e disposto , sicché, come è immediatamente percepibile, tale genere di sequestro esige un ambito di corretta e ristretta operatività per evitare connotazioni di spropositata afflittività e di lesione di beni costituzionalmente protetti . Sotto questo profilo merita particolare segnalazione la compressione della libertà e segretezza della corrispondenza conservata nel disco fisso , con conoscenza dei messaggi tutti trasmessi e ricevuti, compresi quelli destinati a soggetti del tutto estranei alle indagini
  20. 20. La legge 48/2008 di ratifica della convenzione “Cybercrime” Art. 244 c.p.p. (Ispezione) : … è disposta l’ispezione, anche in relazione a sistemi informatici o telematici, adottando misure tecniche dirette ad assicurare la conservazione dei dati originali e ad impedirne l’alterazione Art. 247 c.p.p. (Perquisizione) : e è disposta la perquisizione, adottando misure tecniche dirette ad assicurare la conservazione dei dati originali e ad impedirne l’alterazione Art. 254 c.p.p. (Sequestro di dati informatici presso fornitori di servizi informatici, telematici e di telecomunicazioni) . – … l’autorità giudiziaria, quando dispone il sequestro, presso i fornitori di servizi informatici, può disporre che la loro acquisizione avvenga mediante copia di essi su adeguato supporto, con una procedura che assicuri la conformità dei dati acquisiti a quelli originali e la loro immodificabilità . In questo caso è, comunque, ordinato al fornitore dei servizi di conservare e proteggere adeguatamente i dati originali Art. 354 c.p.p. (Accertamenti urgenti sui luoghi, sulle cose e sulle persone) : …. gli ufficiali della polizia giudiziaria adottano, altresì, le misure tecniche o impartiscono le prescrizioni necessarie ad assicurarne la conservazione e ad impedirne l’alterazione e l’accesso e provvedono, ove possibile, alla loro immediata duplicazione su adeguati supporti, mediante una procedura che assicurila conformità della copia all’originale e la sua immodificabilità. Se del caso, sequestrano il corpo del reato e le cose a questo pertinenti.
  21. 21. Grazie per l’attenzione e per ulteriori chiarimenti Giuseppe Vaciago Mail: [email_address] Blog: http://infogiuridica.blogspot.it

×