Giuseppe Vaciago, Digital Forensics: aspetti tecnici e profili processuali

8,589 views

Published on

0 Comments
2 Likes
Statistics
Notes
  • Be the first to comment

No Downloads
Views
Total views
8,589
On SlideShare
0
From Embeds
0
Number of Embeds
5,519
Actions
Shares
0
Downloads
92
Comments
0
Likes
2
Embeds 0
No embeds

No notes for slide

Giuseppe Vaciago, Digital Forensics: aspetti tecnici e profili processuali

  1. 1. Cenni  introdu+vi  di  Digital  Forensics:  aspe+  tecnici  e   profili  processuali   Giuseppe  Vaciago     Università  degli  Studi  di  Milano         15  maggio  2012    
  2. 2. Agenda  ①  Introduzione q  Definizione di digital forensics q  Origini della digital Forensics q  Definizione di digital evidence q  Classificazioni della digital evidence②  Casistica q  Il caso “Amero” q  Il caso “Garlasco”③  Le cinque fasi della digital forensics q  Individuazione della digital evidence q  Acquisizione della digital evidence q  Conservazione della digital evidence q  Analisi della digital evidence q  Presentazione della digital evidence④  Le indagini digitali e la crittografia q  La crittografia q  Il caso “Boucher” q  Key mandatory disclosure laws q  L’intervento della Corte Costituzionale tedesca⑤  Conclusioni
  3. 3. Cosa  è  la  digital  forensics  ?  Come   Sherlock   Holmes   nel   XIX   secolo   si   serviva   costantemente   dei   suoi  apparecchi   per   l’analisi   chimica,   oggi   nel   XXI   secolo   egli   non   mancherebbe   di  effe=uare  un’accurata  analisi  di  computer,  di  telefoni  cellulari  e  di  ogni  ?po  di  apparecchiatura  digitale  (Ralph  Losey).                    Scopo   della   digital   forensics   è   quello   di   conservare,   iden?ficare,   acquisire,  documentare   o   interpretare   i   da?   presen?   in   un   computer.   A   livello   generale  si  tra=a  di  individuare  le  modalità  migliori  per:  -­‐  acquisire  le  prove  senza  alterare  il  sistema  informa?co  in  cui  si  trovano;  -­‐  garan?re  che  le  prove  acquisite  su  altro  supporto  siano  iden?che  a  quelle  originarie;  -­‐  analizzare  i  da?  senza  alterarli  (Cesare  Maioli)  
  4. 4. Cosa  è  la  digital  evidence?  Digital  evidence  è  una  qualsiasi  informazione,  con  valore  probatorio,  che  sia  o   meno   memorizzata   o   trasmessa   in   un   formato   digitale.   Definizione   dello  Scien?fic  Working  Group  on  Digital  Evidence  (SWGDE).    
  5. 5. Le  classificazioni  della  digital  evidence  Si  possono  avere  tre  diverse  ?pologie  di  prova  digitale:    Creata   dall’uomo:   ogni   dato   digitale   che   figuri   come   il   risultato   di   un  intervento  o  di  un’azione  umana  e  può  essere  di  due  ?pi:    a)  Human  to  human  (mail)  b)  Human  to  PC  (documento  word)  
  6. 6. Le  classificazioni  della  digital  evidence  Creata   autonomamente   dal   computer:   ogni   dato   che   figuri   come   il   risultato  di   un   processo   su   dei   da?   effeMuato   da   un   soNware   secondo   un   preciso  algoritmo   e   senza   l’intervento   umano   (tabula?   telefonici,   file   di   log   di   un  Internet  Service  Provider)  
  7. 7. Le  classificazioni  della  digital  evidence  Creata   sia   dall’essere   umano   che   dal   computer:   foglio   di   calcolo   eleMronico  dove   i   da?   vengono   inseri?   dall’essere   umano,   mentre   il   risultato   viene  effeMuato  dal  computer  
  8. 8. Le  complessità  della  digital  evidence  (Caso  Julie  Amero)  Una   prima   caraMeris?ca   è   data   dalla   complessità   della   digital   evidence.   Il  caso  Amero  ne  è  una  dimostrazione.   Julie   Amero   è   una   supplente   della   Kelly   School   di   Norwich   del   Connec?cut   che   venne   condannata   per   aver   mostrato   a   ragazzi   minori   di   16   anni   immagini  pornografiche.  
  9. 9. Il  caso  “Amero”:  la  scansione  temporale   19/10/04   26/10/04   05/01/07   10/11/08  Lezione  di  Julie  Amero.   La  Polizia  visiona  il   La  Corte  condanna   Julie  Amero  oMenne  un   Immagini  “inadaMe”   contenuto  dell’hard   Julie  Amero  per  il  reato   nuovo  processo  in  cui  appaiono  come  pop-­‐up   disk,ma  non  ne  esegue   di  offesa  alla  morale  a   venne  condannata  alla   dal  PC  dell’insegnante   una  copia  bit-­‐stream   minorenni   pena  di  100  dollari   Il  docente  ?tolare  si  reca  in   La  difesa    chiede  un  nuovo  processo   aula  e  nota  che  la  cache  file   in  quanto  la  prova  non  era  stata   con?ene  file  pornografici  e   acquisita  correMamente  e  il  computer   avvisa  il  preside   era  infeMo  (mousetrapping)   20/10/04   01/06/08  
  10. 10. L’alibi  informaTco  (Caso  Garlasco)  Un’ulteriore,   ma   fondamentale   elemento   della   digital   evidence   è  l’alterabilità   e   la   capacità   di   contenere   un   innumerevole   numero   di  informazioni.  Il  caso  di  “Garlasco”  ne  è  un  chiaro  esempio.  Alberto   Stasi   è   stato   assolto   in   primo   grado   dall’accusa   di   omicidio  volontario  della  fidanzata  Chiara  Poggi  e  nel  dicembre  del  2011  la  sentenza  è  stata  confermata  in  appello.  
  11. 11. Il  caso  di  “Garlasco”:  l’”alibi  informaTco”   13/08/07   14/08/07   29/08/07   17/12/09  Chiara  Poggi  muore  il   Stasi  consegna   Carabinieri  dopo  aver   Il  Giudice  Vitelli  di  13  agosto  2007  tra  le   volontariamente  il  suo   lavorato  sul  PC  lo   Vigevano  assolve  Stasi  ore  10.30  e  le  ore  12.   PC  ai  Carabinieri   consegnano  ai  RIS   dall’accusa  di  omicidio   -­‐ Stasi  si  sveglia  alle  9     Dalla  perizia  richiesta  dal   -­‐ Telefona  a  Chiara  Poggi   Giudice  emerge  che  Stasi  ha   -­‐ Lavora  alla  tesi   lavorato  alla  tesi  durante   -­‐ Va   a   casa   sua   verso   alle   l’arco  temporale  in  cui  è   13.30   stata  uccisa  Chiara  Poggi     13/08/07   17/03/09  
  12. 12. Le  cinque  fasi  delle  indagini  digitali   Il  fine  ul?mo  di  ogni  inves?gazione  digitale  consiste  nel  recupero  di  tue  i   da?   che   possano   cos?tuire   una   prova   u?lizzabile   durante   il   processo.   Per   raggiungere  tale  fine  è  necessario:     1.  individuare   il   supporto   informaTco   che   con?ene   il   dato   digitale   u?le   all’indagine,  al  fine  di  iden?ficare  il  potenziale  criminale;   2.  acquisire   tale   dato   aMraverso   l’interceMazione   nel   caso   di   flussi   di   comunicazioni  in  Rete,  ovvero  aMraverso  il  sequestro  e  la  duplicazione   del  supporto  di  memorizzazione  su  cui  è  archiviato  il  dato;   3.  conservare  in  un  luogo  idoneo  tue  i  da?  digitali  acquisi?  e  duplica?;   4.  effeYuare,   esclusivamente   sulla   copia   del   supporto   informa?co,   le   opportune  analisi  che  consentano  di  recuperare  le  informazioni  u?li  al   Pubblico   Ministero   e   all’avvocato   durante   la   fase   delle   indagini   preliminari,  e  al  Giudice  durante  la  fase  dibaementale;   5.  presentare   i   risultaT   dell’indagine   durante   la   fase   diba+mentale   o   nella  relazione  tecnica.  
  13. 13. I.  Individuazione  della  digital  evidence:  indirizzo  IP  e  file  di  log   I   da?   digitali   che   sono   di   norma   richies?   in   ambito   inves?ga?vo,   possono   generalmente   dividersi   fra   quelli   che   consentono   l’iden?ficazione   di   un   potenziale  criminale  (Indirizzo  IP)  e  quelli  che  ne  determinano  la  sua  aevità   on  line  (file  di  log).     L’indirizzo   IP   si   oeene   generalmente   aMraverso   una   richiesta   da   parte   dell’Autorità  Giudiziaria,  agli  internet  service  providers  che  offrono  servizi   di  posta  eleMronica  e/o  ospitano  contenu?  genera?  dagli  uten?.  Una  volta   oMenuto   tale   dato,   sarà   possibile   oMenere,   dai   fornitori   di   conne+vità,   l’esaMa   ubicazione   dell’intestatario   della   faMura   da   cui   è   avvenuta   la   connessione.   I   file   di   log,   invece,   saranno   richies?   agli   Internet   Service   Provider  in  base  al  ?po  di  esigenza  inves?ga?va.     In  Italia,  tale  richiesta  è  solitamente  effeMuata  soMo  la  forma  di  “ordine  di   esibizione  di  documenT  e  a+  rilevanT”  ai  sensi  degli  art.  256  c.p.p.  e  art.   132,  comma  1  e  3,  D.lgs  196/03.  
  14. 14. I.  Individuazione  della  digital  evidence:  ispezione  Art.  244  c.p.p.:    Casi  e  forme  delle  ispezioni    1.  L ispezione  delle  persone,  dei  luoghi  e  delle  cose  è  disposta  con  decreto  moTvato  quando  occorre  accertare  le  tracce  e  gli  altri  effe+  materiali  del  reato.    2.   Se   il   reato   non   ha   lasciato   tracce   o   effe+   materiali,   o   se   ques?   sono  scomparsi   o   sono   sta?   cancella?   o   dispersi,   altera?   o   rimossi,   l autorità  descrive  lo  stato  aYuale  e,  in  quanto  possibile,  verifica  quello  preesistente,  curando   anche   di   individuare   modo,   tempo   e   cause   delle   eventuali  modificazioni.   L autorità   giudiziaria   può   disporre   rilievi   segnale?ci,  descrievi  e  fotografici  e  ogni  altra  operazione  tecnica.  La  legge  48/2008  di  ra?fica  della  convenzione   Cybercrime  ha  modificato  l’ar?colo   244   c.p.p.   sancendo   che:   è   disposta   l ispezione,   anche   in  relazione   a   sistemi   informa?ci   o   telema?ci,   adoMando   misure   tecniche  direMe   ad   assicurare   la   conservazione   dei   da?   originali   e   ad   impedirne  l’alterazione .  
  15. 15. I.  Individuazione  della  digital  evidence:  ispezione  -­‐  caraYerisTche   IrripeTbilità   Mancanza  della  genuinità   Il  PC  non  viene   della  prova   sequestrato   UTle  nel  caso  di  reaT  facilmente   idenTficabili  La   Suprema   Corte   ha   ritenuto   che   non   cosTtuisce   sequestro   probatorio  l’acquisizione,   mediante   riproduzione   su   supporto   cartaceo,   dei   da?  informa?zza?   contenu?   in   un   archivio   informa?co   visionato   nel   corso   di  un’ispezione  legiemamente  effeMuata,  in  quanto  non  vi  è  alcuna  apprensione  dell’archivio  informa?co,  ma  una  semplice  estrazione  di  copia  dei  da?  in  esso  contenu?  (Cass.  Pen.,  Sez.  III,  26  gennaio  2000,  n.  384).  
  16. 16. I.  Individuazione  della  digital  evidence:  perquisizione  La  perquisizione  ha  lo  scopo  di  ricercare  il  corpo  del  reato  o  le  cose  che  ad  esso  si  riferiscono,  qualora  si  ritengano,  con   fonda?  mo?vi ,  nascoste  sulla  persona  o  in  un  determinato  luogo.    Nel   procedere   alla   perquisizione   locale,   l’autorità   giudiziaria   può  disporre  con  decreto  moTvato,  ai  sensi  dell’ar?colo  250,  comma  III°  c.p.p.,   che   siano   perquisite   le   persone   presen?   o   sopraggiunte,  quando   ri?ene   che   le   stesse   possano   occultare   il   corpo   del   reato   o  cose  per?nen?  al  reato.    La   legge   48/2008   di   ra?fica   della   convenzione   Cybercrime ha  modificato   l’ar?colo   247   c.p.p.   sancendo   che   disposta   la  perquisizione,   adoMando   misure   tecniche   direMe   ad   assicurare   la  conservazione  dei  da?  originali  e  ad  impedirne  l’alterazione.  
  17. 17. I.  Individuazione  della  digital  evidence:  accertamenT  urgenT  ex  354  c.p.p.  Qualora   vi   sia   il   concreto   rischio   che   le   cose,   le   tracce   e   i   luoghi  per?nen?   al   reato   si   alterino   e   il   Pubblico   Ministero   non   possa  intervenire   tempes?vamente,   o   non   abbia   ancora   assunto   la  direzione  delle  indagini,  gli  ufficiali  di  Polizia  Giudiziaria  compiono  ai  sensi   dell’art.   354   c.p.p.   i   necessari   accertamenT   sullo   stato   dei  luoghi   e   delle   cose   e,   se   del   caso,   sequestrano   il   corpo   del   reato   e   le  cose  a  questo  per?nen?.    La   legge   48/08,   stabilisce   che   “in   relazione   ai   da?,   alle   informazioni   e  ai   programmi   informa?ci   o   ai   sistemi   informa?ci   o   telema?ci,   gli  ufficiali   della   polizia   giudiziaria   adoMano,   altresì,   le   misure   tecniche   o  impar?scono   le   prescrizioni   necessarie   ad   assicurarne   la  conservazione  e  ad  impedirne  l’alterazione  e  l’accesso  e  provvedono,  ove  possibile,  alla  loro  immediata  duplicazione  su  adegua?  suppor?,  mediante   una   procedura   che   assicuri   la   conformità   della   copia  all’originale  e  la  sua  immodificabilità”.  
  18. 18. I.  Individuazione  della  digital  evidence:  accertamenT  urgenT  ex  354  c.p.p.   Cassazione  Penale,  16  marzo  2009,  n.  11503     La   leYura   dellhard   disk   non   integra   affaYo   aYo   irripeTbile,   perché   la   leMura   di   esso   ha   consen?to   di   ipo?zzare   lesistenza   del   reato   a   carico   del   ricorrente,   perché   questul?mo   è   del   tuMo   estraneo   ai   dirie  difensivi  di  altre  par?  del  processo,  perché,  laevità  svolta  al   riguardo   dalla   P.G.   rientra   tra   quelle   svolte   dalla   stessa   ai   sensi   dellart.   348   c.p.p.   e   art.   354   c.p.p.,   comma   2   e   perché,   infine,   possibile  nel  prosieguo  del  processo  ogni  a+vità  difensiva  dello  S.V.   il   quale,   se   del   caso,   potrà   far   valere,   quando   sarà   e   se   sarà   eventualmente   accertata   lalterazione   del   disco   informaTco,   alterazione  allo  stato  soltanto  affermata  dalla  difesa  del  ricorrente,   peraltro   persona   diversa   dal   proprietario   del   computer,   e,   si   ribadisce,  per  nulla  accertata.  
  19. 19. II.  Acquisizione  della  digital  evidence:  sequestro   Il  codice  di  procedura  penale  prevede  tre  forme  di  sequestro   PrevenTvo   Probatorio   ConservaTvo  Si  applica  quando  vi  è  pericolo   Assicura   le   prove   necessarie   Assicura   l adempimento   delle  che   la   libera   disponibilità   di   per   l’accertamento   del   reato   obbligazioni   rela?ve   alle   pene  una   cosa   per?nente   al   reato   assumendo  nell ambito  della   p e c u n i a r i e ,   a l l e   s p e s e  possa  aggravare  o  protrarre  le   f a s e   i n v e s ? g a ? v a   u n a   processuali  ed  alle  obbligazioni  conseguenze   del   reato,   o   notevole   importanza   (art.   civili   derivan?   dal   reato   (art.  agevolare   la   commissione   di   253  c.p.p.)   316  c.p.p.)  altri  rea?  (art.  321  c.p.p.)  
  20. 20. II.  Acquisizione  della  digital  evidence:  sequestro  –  materialità  CaraMeris?ca   comune   sia   del   corpo   del   reato   che   delle   cose   per?nen?   ad   esso,  è  la  materialità  dell’oggeYo  da  porre  soYo  vincolo  d’indisponibilità.  La  prova  digitale,  tuMavia,  è  connotata  dall’immaterialità  e  dalla  facile  alterabilità.    La   giurisprudenza,   non   soffermandosi   neppure   sulla   vexata   quaes?o  dell immaterialità  del  dato  informa?co,  si  è  posta  la  ques?one  della  legiemità  del   sequestro   dell’hard   disk   quale   unico   elemento   u?le   da   acquisire   durante   la  fase   di   indagini   o   di   tuYe   le   periferiche   ad   esso   collegate   (monitor,   stampante    tappe?ni,  mouse,  webcam,  cuffie  etc..).    L’art.   19   della   Convenzione   sul   Cybercrime   chiarisce   espressamente   che   il  sequestro   di   strumen?   informa?ci   può   riguardare   indis?ntamente   sia  l’hardware   (sistema   informa?co,   o   supporto   di   memorizzazione)   sia   daT  digitali  in  esso  contenu?  e  presen?  all’interno  del  territorio  nazionale.  
  21. 21. II.  Acquisizione  della  digital  evidence:  sequestro  o  copia  bit-­‐stream?   3  ragioni  a  favore  del  sequestro  fisico  dell’hard  disk:     1.   Molto   spesso,   si   procede   al   sequestro   di   materiale   informa?co   nell’ambito  di  indagini  legate  al  contrasto  della  pirateria  informa?ca  (legge   633/41   e   successive   modifiche)   o   della   pedo-­‐ponografia   (arM.   603-­‐ter   e   quater  c.p.):  in  entrambi  i  casi  è  prevista,  in  caso  di  condanna,  la  confisca   degli   strumen?   e   dei   materiali   u?lizza?   per   compiere   i   rela?vi   rea?   (art.   171-­‐sexies  legge  633/31  e  art.  600-­‐sep?es  c.p.).     2.   L’indagato,   ai   sensi   dell’ar?colo   258   c.p.p.,   ha   diriMo   di   chiedere   all’Autorità   Giudiziaria   che   sia   estraMa   gratuitamente   la   copia   dei   da?   contenu?   all’interno   dell’hard   disk,   a   condizione   che   sia   in   grado   di   dimostrare  la  legiemità  del  possesso  del  supporto.     3.  La  terza,  già  menzionata,  è  che  un  procedimento  di  copia  forense  di  un   hard   disk   può   avere   una   durata   incompa?bile   con   l’esecuzione,   in   tempi   ragionevoli,  del  mezzo  di  ricerca  della  prova  .  
  22. 22. II.  Acquisizione  della  digital  evidence:  sequestro  presso  provider  L ar?colo   254-­‐bis   c.p.p.,   prevede   nel   caso   di   sequestro   di   daT   informaTci  presso   fornitori   di   servizi   informaTci,   telemaTci   e   di   telecomunicazioni,  l autorità   giudiziaria,   quando   dispone   il   sequestro,   presso   i   fornitori   di  servizi  informa?ci,  può  disporre  che  la  loro  acquisizione  avvenga  mediante  copia   di   essi   su   adeguato   supporto,   con   una   procedura   che   assicuri   la  conformità  dei  daT  acquisiT  a  quelli  originali  e  la  loro  immodificabilità.      In  questo  caso  è,  comunque,  ordinato  al  fornitore  dei  servizi  di  conservare  e  proteggere  adeguatamente  i  da?  originali.  
  23. 23. II.  Acquisizione  della  digital  evidence:  sequestro  di  corrispondenza  L’ar?colo   254   c.p.p.,   prevede   che   le   carte   e   gli   altri   documen?  sequestra?   che   non   rientrano   fra   la   corrispondenza   sequestrabile  sono   immediatamente   resTtuiT   all’avente   diriYo   e   non   possono  comunque  essere  u?lizza?.    La   legge   48/2008   ha   assimilato   la   corrispondenza   cartacea   a   quella  telema?ca   consentendo   all’autorità   giudiziaria   di   disporre   il  sequestro  presso  il  server  che  ospita  la  corrispondenza  eleYronica  dell’indagato   ordinando   una   copia   del   contenuto   presente  all interno  del  server.  
  24. 24. II.  Acquisizione  della  digital  evidence:  sequestro  di  corrispondenza   Tribunale  di  Brescia,  4  oYobre  2006  Il   sequestro   di   un   intero   hard-­‐disk   consente   certamente   l acquisizione   di  elemen?  probatori,  ma  implica  anche  l’acquisizione  di  daT  che  esulano  dal  contesto   per   il   quale   l aYo   e   disposto,   sicché,   come   è   immediatamente  percepibile,  tale  genere  di  sequestro  esige  un  ambito   di   correMa   e   ristreMa  opera?vità   per   evitare   connotazioni   di   spropositata  affli+vità   e   di   lesione  di  beni  cosTtuzionalmente  prote+.  SoMo  questo  profilo  merita  par?colare  segnalazione   la   compressione   della   libertà   e   segretezza   della  corrispondenza   conservata   nel   disco   fisso,   con   conoscenza   dei   messaggi  tue   trasmessi   e   ricevu?,   compresi   quelli   des?na?   a   soggee   del   tuMo  estranei  alle  indagini.      Tale  decisione  è  stata  confermata  dalla  Corte  di  Cassazione  (Cass.  pen.,  sez.   VI,  31  maggio  2007,  n.  40380).  
  25. 25. II.  Acquisizione  della  digital  evidence:  remote  forensics  La   Convenzione   sul   Cybercrime   ha   deMato   alcune   norme   che   potrebbero  permeMere  un’aevità  inves?ga?va  da  remoto:    L’art.   18   (ProducTon   order)   ha   introdoMo   la   possibilità   per   l’Autorità  Giudiziaria  di  ordinare  a  qualunque  soggeMo  di  fornire  i  da?  digitali  presen?  all’interno  di  un  sistema  informa?co  in  suo  possesso  o  soMo  il  suo  controllo.  L’art.   19   (Search   and   seizure   of   stored   computer   data)   stabilisce   che   la  Polizia  Giudiziaria  è  autorizzata  ad  estendere  la  ricerca  su  da?  che  risiedono  all’interno   di   un   altro   server,   salvo   che   non   si   trovi   al   di   fuori   del   territorio  nazionale.  L’art.  20  (Real-­‐Tme  collecTon  of  traffic  data),  infine,  prevede  la  possibilità  di  raccogliere  in  tempo  reale  i  traffic  data,  che  servono  a  monitorare  in  tempo  reale  l’aevità  dell’indagato  in  Rete.  
  26. 26. II.  Acquisizione  della  digital  evidence:  remote  forensics     Cassazione  Penale,  Sez.  V,  14  oYobre  2009,  n.  16556    La   giurisprudenza   di   legiemità   ha   ritenuto   legiemo   un   decreto   del   Pubblico  Ministero   che,   ai   sensi   dell’art.   234   c.p.p.,   disponeva   l’acquisizione   in   copia  aMraverso  l’installazione  di  un  captatore  informa?co,  della  documentazione  informa?ca   memorizzata   nel   personal   computer   in   uso   all’imputato   e  installato  presso  un  ufficio  pubblico.    La  Suprema  Corte  ha,  infae,  evidenziato  come  il  provvedimento  del  Pubblico  Ministero  non  avesse  riguardato  un  flusso  di  comunicazioni,  ma  la  semplice  estrapolazione  di  daT  già  formaT  e  contenuT  nella  memoria  del  “personal  computer”,  ossia  “un  flusso  unidirezionale  di  daT”  confinaT  all’interno  dei  circuiT  del  computer.  
  27. 27. III.  Conservazione  della  digital  evidence:  custodia  e  apposizione  sigilli   Art.  259  c.p.p.:   Custodia  delle  cose  sequestrate   Quando   la   custodia   riguarda   da?,   informazioni   o   programmi   informa?ci,   il   custode   è   altresì   avver?to   dell obbligo   di   impedirne   l alterazione   o   l accesso  da  parte  di  terzi.       Art.  260  c.p.p.   Apposizione  dei  sigilli  alle  cose  sequestrate   Lautorità   giudiziaria   fa   estrarre   copia   dei   documen?   […]   Quando   si   traMa   di   da?,   di   informazioni   o   di   programmi   informa?ci,   la   copia   deve   essere   realizzata   su   adegua?   suppor?,   mediante   procedura   che   assicuri   la   conformità  della  copia  all originale  e  la  sua  immodificabilità;  in  tali  casi,  la   custodia   degli   originali   può   essere   disposta   anche   in   luoghi   diversi   dalla   cancelleria  o  dalla  segreteria.    
  28. 28. III.  Conservazione  della  digital  evidence:  custodia  e  apposizione  sigilli   Se  il  bit  è  eterno,  il  suo  supporto  non  lo  è  affaMo.  I  suppor?  digitali  durano   meno  di  quelli  analogici  e  i  disposi?vi  per  leggere  i  suppor?  durano  ancora   meno.   Domesday  Book    (1086):  Inchiostro  su  pergamena:  leggibile  dopo  oltre  900   anni.             Domesday  Book    2  (1983):  LaserDisc:  illeggibile    dopo  15  anni.  
  29. 29. IV.  Analisi  della  digital  evidence  L autorità   giudiziaria,   dopo   aver   acquisito   la   prova   informa?ca  aMraverso   la   copia   del   supporto   di   memorizzazione   durante  l’ispezione  ed  il  sequestro  probatorio  durante  la  perquisizione,  dovrà  procedere  all’analisi  dei  daT  in  essa  contenuT   AccertamenT  tecnici  (arM.   Incidente  probatorio   Perizia     359  e  360  c.p.p.)     (arM.  392  e  ss.  c.p.p.)   (arM.  220  e  ss.  c.p.p.).   l o   s t u d i o   e   l a   r e l a ? v a   Offre   la   possibilità   alle   par?   Viene   disposta   quando   elaborazione   criTca   dei   daT,   di   chiedere   un assunzione   occorre   svolgere   indagini   o   necessariamente   soggeevi   e   anTcipata   della   prova,   in   acquisire   daT   e   valutazioni   per   lo   più   su   base   tecnico   modo   tale   da   poterla   poi   che   richiedono   specifiche   scien?fica.   Possono   riguardare   u ? l i z z a r e   n e l   f u t u r o   c o m p e t e n z e   t e c n i c h e ,   ae  ripeTbili  e  non  ripeTbili   dibaemento   scien?fiche  o  ar?s?che  
  30. 30. IV.  Analisi  della  digital  evidence  –  a9o  ripe;bile  o  irripe;bile?   ATTO  RIPETIBILE   Cass.  Pen.  Sez.  I,  5  marzo  2009,  n.  14511;  conformi  Cass.  Pen.  Sez.  I,  26  febbraio   2009,  n.  11863  Cass.  Pen.  Sez.  III,  02  luglio  2009,  n.  38087;  Cass.  Pen.  Sez.  III,  25   febbraio  2009,  n.  11503     FaYo:   La   Polizia   Giudiziaria   preleva   (copia),   ai   sensi   dell’art.   258   c.p.p.   alcuni   file   dall’hard  disk  dell’indagato  senza  il  rispeMo  di  alcuna  procedura  di  digital  forensics.     La   Corte   ha   affermato   il   principio   secondo   cui   “è   da   escludere   che   l’aSvità   di   estrazione  di  copia  di  file  da  un  computer  cos?tuisca  un  a=o  irripe?bile  [...],  a=eso  che   non   comporta   alcuna   aSvità   di   cara=ere   valuta?vo   su   base   tecnico-­‐scien?fica   né   determina   alcuna   alterazione   dello   stato   delle   cose,   tale   da   recare   pregiudizio   alla   genuinità   del   contributo   conosci?vo   nella   prospeSva   dibaSmentale,   essendo   sempre   comunque   assicurata   la   riproducibilità   di   informazioni   iden?che   a   quelle   contenute   nell’originale”.   ATTO  IRRIPETIBILE   Cass.  Pen.  Sez.  III,  09  giugno  2009,  n.  28524   FaYo:   L’avvocato   della   difesa   aveva   richiesto   di   poter   effeMuare   una   copia   bit-­‐stream   dell’hard  disk  ai  sensi  dell’art.  258  c.p.p.  e  non  gli  era  stata  concessa.     “L’esame   dell’hard   disk   di   un   computer   in   sequestro   e   la   conseguente   estrazione   di   copia  dei  da?  ivi  contenu?  non  sono  aSvità  che  le  par?  possono  compiere  durante  il   termine   per   comparire   all’udienza   dibaSmentale   senza   contraddi=orio   e   alla   sola   presenza   del   custode,   in   quanto   implicano   accertamen?   ed   interven?   di   persone   qualificate   e   l’u?lizzo   di   apposi?   strumen?,   sì   che   devono   essere   necessariamente   svol?  in  dibaSmento,  nel  contraddi=orio  e  so=o  la  direzione  del  giudice”.  
  31. 31. V.  Presentazione  della  digital  evidence  Questa  fase,  infae,  sebbene  sia  spesso  la  più  noiosa  per  un  informa?co,  è  di  fondamentale   importanza   per   Pubblici   Ministeri,   Giudici   e   avvoca?,   in  quanto   l’esito   del   processo   dipenderà   non   solo   dai   risulta?   raggiun?,   ma  anche   dal   grado   di   chiarezza   e   di   comprensione   del   documento    (annotazione  di  PG,  verbale  di  ispezione  o  relazione  tecnica).     5  Consigli  operaTvi    1.  Presenza  di  un  indice  2.  Presenza  di  glossario  e  di  note  di  riferimento  in  caso  di  termini  tecnici  3.  Timeline  table  e  diagrammi  di  flusso  4.  Slides  di  presentazione  con  foto  5.  Eventuale  videoregistrazione  delle  operazioni  compiute  TuMo   questo   nel   pieno   rispeMo   delle   esigenze   di   tempo   e   delle   risorse   a  disposizione…    
  32. 32. V.  Presentazione  della  digital  evidence:  “Murtha  Case”  La  cultura  audiovisiva  sta  cambiando  il  mondo  e  la  gius?zia.  È  difficile  dire  se  questo  sia  un  bene,  ma  è  sicuramente  un  dato  di  faMo.  S?amo  assistendo,  aMraverso  il  computer,  a  una  mol?plicazione  del  conceMo  d’immagine:   abbiamo   video   e   foto   digitali,   scene   del   crimine  elaborate   digitalmente,   animazioni   al   computer,   presentazioni  mul?mediali,  slides  e  molto  di  più.  
  33. 33. Indagini  digitali:  criYografia    Un   classico   metodo   per   nascondere   un   file   è   quello   di   u?lizzare   la  criMografia:    La   criMografia   traMa   delle   "scriYure   nascoste"   (significato   e?mologico  della  parola)  ovvero  dei  metodi  per  rendere  un  messaggio  "offuscato"  in  modo  da  non  essere  comprensibile  a  persone  non  autorizzate  a  leggerlo.  La   parola   criMografia   deriva   dalla   parola   greca   kryptós   che   significa  nascosto  e  dalla  parola  greca  gráphein  che  significa  scrivere.  La   criMografia   è   la   controparte   della   criManalisi   ed   assieme   formano   la  criMologia.  
  34. 34. Indagini  digitali:  criYografia     Decifrare  un  testo  criYografato  è  semplice.     Il  problema  è:  in  questo  tempo?      Ad  esempio  una  chiave  di  cifratura  a  20-­‐bit  consente  fino  a  un  milione  di  combinazioni   possibili,   per   cui   con   un   normalissimo   computer   porta?le  che   processa   circa   un   milione   di   operazioni   al   secondo,   il   tempo   di  cifratura  massimo  sarà  addiriMura  inferiore  al  secondo.    TuMavia   con   un   sistema   di   cifratura   con   una   chiave   a   56-­‐bit   lo   stesso  elaboratore   potrebbe   impiegare   fino   a   2285   anni   per   verificare   tuMe   le  combinazioni  possibili.    Per   rendersi   conto   della   complessità   di   tale   operazione   bas?   considerare  che   la   più   diffusa   versione   del   soNware   di   cifratura   PGP   (PreMy   Good  Privacy)  al  momento  aMuale  si  basa  su  una  chiave  di  1024-­‐bit  .  
  35. 35. Indagini  digitali:  True  Crypt  
  36. 36. Indagini  digitali:  Il  caso  “Boucher”:  la  scansione  temporale   17/12/06   26/10/04   12/01/07   19/02/09  Il  notebook  di  Boucher   La  Polizia  visiona  il   Il  Grand  Jury  del   Il  Giudice  Sessions  rivede  la   contenente  immagini   contenuto  dell’hard   Vermont  emeMe  un   decisione  di  Niedermeier,   pedo-­‐pornografiche   disk,ma  non  ne  esegue   subpoena  ordinando  di   ma  riconosce  il  5°   viene  sequestrato   una  copia  bit-­‐stream   rivelare  la  password     emendamento   Quando  il  computer  viene   Il  Giudice  distreMuale  del  Vermont   riacceso  la  Polizia  scopre   Niedermeier  annulla  la  decisione  del   che  una  par?zione  dell’hard   Grand  Jury  sostenendo  che  era  in   disk  era  stato  criMografata   violazione  del  5°  emendamento 29/12/06   01/06/08  
  37. 37. Indagini  digitali:  “Mandatory  Key  Disclosure  Laws”  A   livello   internazionale   alcuni   Sta?   hanno   previsto   delle   specifiche  disposizioni   norma?ve   che   impongono   di   rivelare   la   chiave   di   cifratura   alle  forze  di  polizia.      In  Australia,  le  forze  dell’ordine  hanno  il  potere  di  chiuedere  a  chiunque  la  chiave  di  cifratura.    In  Belgio  e  in  Francia  invece  è  possibile  ordinare  solo  a  terzi  (vedi  fornitori  di  conneevità  e  Internet  Service  Providers)  di  rivelare  la  chiave  di  cifratura.    L’Italia  non  ha  un  norma?va  in  questo  senso….forse  perché  non  serve  ?    
  38. 38. Indagini  digitali:  “Mandatory  Key  Disclosure  Laws”   Tali  strumen?  legisla?vi  non  funzionano.  Perché?   1.  Ragioni  tecniche:  un  soggeMo  esperto  può  sempre  trovare  un  metodo   per  nascondere  un  file.     2.   Possibile   violazione   della   Convenzione   Europea   sui   Diri+   dell’Uomo:   Ar?olo   6   Ogni   persona   accusata   di   un   reato   è   presunta   innocente   fino   a   quando  la  sua  colpevolezza  non  sia  stata  legalmente  accertata.  
  39. 39. Indagini  digitali:  Keylogger     Una  soluzione  di  natura  tecnica  esiste  ?   Un  keylogger  è,  nel  campo  dellinforma?ca,  uno  strumento  in  grado   di   interceMare   tuMo   ciò   che   un   utente   digita   sulla   tas?era   del   proprio  computer.  Esistono  vari  ?pi  di  keylogger:   Hardware:  vengono  collega?  al  cavo  di  comunicazione  tra  la  tas?era   ed  il  computer  o  allinterno  della  tas?era.   SoNware:  programmi  che  controllano  e  salvano  la  sequenza  di  tas?   che  viene  digitata  da  un  utente.  
  40. 40. Garanzie  dell’indagato  vs  indagini  digitali:  Legge  Nord  Wessalia  q  La   Germania   ha   introdoMo   il   20   dicembre   2006   un   emendamento   alla   legge   sulla   protezione   della   Cos?tuzione   nel   Nord   Reno-­‐ Wes}alia  che  consen?va  l’accesso  segreto  a  sistemi  informa?ci  e   il   monitoraggio   segreto   della   Rete   aMraverso   sistemi   keylogger   installa?  in  forma  di  trojan  horse.    q  La  Corte  Cos?tuzionale  tedesca  il  27  febbraio  2008  ha  dichiarato   incos?tuzionale   tale   emendamento   sostenendo   che   violava   il   “diriYo  alla  riservatezza  ed  alla  integrità  dei  sistemi  informaTci”.  
  41. 41. Garanzie  dell’indagato  vs  Indagini  digitali:  Cass.  Pen.  14  oYobre  2009   q  La   Corte   di   Cassazione   ha   ritenuto   legiemo   il   decreto   del   Pubblico  Ministero,  che  ai  sensi  dell’art.  234  c.p.p.,  ha  consen?to   l’acquisizione   in   copia   aMraverso   l’installazione   di   un   captatore   informa?co   della   documentazione   informa?ca   memorizzata   nel   personal   computer   in   uso   all’imputato   e   installato   presso   un   ufficio  pubblico  ritenendo  per  di  più  ripe?bile  tale  aMo.  
  42. 42. Privacy  vs  Security  Face  RecogniTon  Project   Alessandro  Acquis?   Date  Check   Intelius  
  43. 43. Privacy  vs  Security   Face  RecogniTon  Project  -­‐  Alessandro  Acquis?   CCTV  –  Fair  Fax  Media  
  44. 44. Grazie  per  l’aMenzione   Giuseppe  Vaciago     Mail:  giuseppe.vaciago@htlaw.it   Blog:  h=p://infogiuridica.blogspot.it   Linkedin:  h=p://it.linkedin.com/in/vaciago  

×