Linee guida in materia di computer forensics

5,424 views

Published on

Linee guida in tema di computer forenics con cenni di informatica forense.

Published in: Education
0 Comments
3 Likes
Statistics
Notes
  • Be the first to comment

No Downloads
Views
Total views
5,424
On SlideShare
0
From Embeds
0
Number of Embeds
1,043
Actions
Shares
0
Downloads
43
Comments
0
Likes
3
Embeds 0
No embeds

No notes for slide

Linee guida in materia di computer forensics

  1. 1. - A.I.S.F.- ACCADEMIA INTERNAZIONALE DI SCIENZE FORENSI - Computer forensics: utilizzabilità ed analisi della prova digitale I. Profili giuridici dell'acquisizione della prova digitale II. La fase delle indagini III Indagini private IV L'acquisizione delle prove Emanuele Florindi A.I.S.F. – Accademia Internazionale di Scienze Forensi
  2. 2. - A.I.S.F.- ACCADEMIA INTERNAZIONALE DI SCIENZE FORENSI - I. Profili giuridici dell'acquisizione della prova digitale Premessa L’informatica rappresenta un fenomeno cresciuto e diffusosi fino a diventare, nel bene e nel male, un aspetto fondamentale della nostra vita: le problematiche giuridiche sollevate dallo sviluppo di questo nuovo mondo elettronico rappresentano probabilmente uno dei terreni di confronto culturale più vivi di questo inizio di secolo. Una volta avviato, sia pure tra mille difficoltà, il lento, e continuo, cammino che porterà i codici ad adeguarsi alle nuove tecnologie ci si è, però, accorti che nuove problematiche di carattere investigativo, probatorio e processuale vengono a presentarsi con la conseguenza che si sono andate formando nuove professionalità in grado di muoversi, più o meno disinvoltamente, in questa terra di confine. Quando parliamo di informatica forense dobbiamo distinguere tra differenti materie: - Indagini informatiche (Whois database, traceroute, sequestro di siti web); - Prove digitali - computer, network e cloud forensics; - Acquisizione ed analisi di prove digitali (fotografie, registratori, telefoni cellulari...); - esperimenti giudiziali virtuali; - processo civile telematico. - Impiego di sistemi neurali in ambito investigativo.
  3. 3. - A.I.S.F.- ACCADEMIA INTERNAZIONALE DI SCIENZE FORENSI - Civile Raccolta e analisi di documenti elettronici Cause di lavoro Separazioni personali Trattamento di dati personali Obbligazioni in genere Penale Reati informatici Pedopornografia Diritto di autore Minacce Ingiuria e diffamazione Atti persecutori I. Profili giuridici dell'acquisizione della prova digitale Premessa L'informatica forense trova sempre più spesso spazio nel processo, sia in ambito civile che in ambito penale, sia nella fase preprocessuale che in quella processuale vera e propria. Alcuni esempi:
  4. 4. - A.I.S.F.- ACCADEMIA INTERNAZIONALE DI SCIENZE FORENSI - I Profili giuridici dell'acquisizione della prova digitale Il computer come “prova” L'analisi forense di un computer ci pone di fronte ad una notevole serie di problematiche di cui la principale è certamente quella di individuarne la specifica natura dal punto di vista probatorio. Possiamo, infatti, vederlo come una “prova” se lo consideriamo nella sua interezza (la tastiera per le impronte, il case per eventuali graffi o segni di manomissione...), ma può anche essere visto come un “mezzo per la ricerca della prova” quando viene utilizzato nel corso di un'indagine (mezzo per effettuare analisi, ricerche, indagini), ma, la soluzione migliore è certamente quella di scindere tra aspetto fisico ed aspetto logico in quanto quello che realmente ci interessa, almeno di solito, non è tanto il computer FISICAMENTE, quanto il computer LOGICAMENTE ovvero il suo contenuto.
  5. 5. - A.I.S.F.- ACCADEMIA INTERNAZIONALE DI SCIENZE FORENSI - I Profili giuridici dell'acquisizione della prova digitale Il computer come “prova” quello che davvero ci interessa dal punto di vista della forensics è, infatti, DENTRO il computer, rectius, nelle sue memorie (hard disk, ram, rom e memorie esterne) ed a volte anche fuori (cloud, NAS)... Quindi il PC deve essere visto come un mero contenitore? No, perché nei procedimenti per reati informatici il computer si è spesso rivelato un “testimone chiave” e, non di rado, l'approccio del consulente tecnico al computer tende ad avvicinarsi a quello di chi si trovi ad interrogare un testimone reticente: occorre interpretarne i silenzi (i dati sono stati cancellati o non sono mai esistiti?) e, persino, le “rivelazioni” (i dati si trovano lì ad insaputa dell’imputatoindagato o vi sono stati consapevolmente collocati da lui?). La rilevanza del computer varia notevolmente in base al reato per cui si sta procedendo ed alle evidenze che si stanno ricercando ed è necessario procedere avendo cura di salvaguardarle tutte BIOLOGICHE, FISICHE (hardware), LOGICHE (software), LOGICHE (dati)
  6. 6. - A.I.S.F.- ACCADEMIA INTERNAZIONALE DI SCIENZE FORENSI - I Profili giuridici dell'acquisizione della prova digitale Il computer come “prova” La dottrina è discorde sull'approccio da tenere: 1) Scuola rigidamente tecnica: ci si attiene rigidamente ai dati rilevati, senza nessuna interpretazione degli stessi (i.e. Trovate X fotografie del genere di quelle allegate, individuati i programmi X, Y e Z...) In breve il consulente DEVE limitarsi ad estrapolare i dati “grezzi” ed a passarli senza alcun filtro o alcuna analisi al Magistrato o alla P.G. 2) Scuola criminologica: partendo dai dati grezzi (che devono comunque essere individuati, prodotti ed allegati) si procede anche ad un'analisi degli stessi arrivando, dove possibile, a ricostruire il modus operandi dell'utente. Come sono state acquisite le immagini? con quali programmi? Secondo quali schemi comportamentali? Con quali parole chiave? Sono state “trattate” in qualche modo? Sono presenti programmi in grado di interagire con quanto trovato ed in che modo? In ogni caso deve sempre essere ben evidente quali siano le risultanze oggettive e quali le deduzioni. In genere, è il soggetto che conferisce l'incarico a specificare il tipo di approccio richiesto ed è compito del consulente valutare la propria capacità di soddisfare le richieste adattando il proprio “stile” alle esigenze del committente.
  7. 7. - A.I.S.F.- ACCADEMIA INTERNAZIONALE DI SCIENZE FORENSI - I Profili giuridici dell'acquisizione della prova digitale L'approccio al computer A mio avviso è preferibile l'approccio criminologico: l’analisi di un computer non dovrebbe mai ridursi ad un “positivo” o ad un “negativo”, ma dovrebbe essere sempre adeguatamente motivata, soprattutto in presenza di reati particolarmente odiosi quali quelli di detenzione o cessione di pornografia minorile. A ciò deve aggiungersi che la mancanza di un protocollo tecnico che fornisca delle regole certe per tutti gli operatori giuridici in tema di forensics costituisce un notevole ostacolo ad un sereno rapporto tra accusa e difesa, o tra attore e convenuto, nella dialettica processuale e preprocessuale. Mai come oggi, infatti, si avverte l’esigenza della “certezza delle regole” soprattutto per quanto riguarda l’individuazione e la conservazione dei dati che poi costituiranno l’oggetto su cui si fonderà la valutazione dell’organo giudicante. Il rilevamento, la conservazione ed il trattamento dei dati e delle informazioni che gli investigatori (ma anche, non dimentichiamolo, i difensori) possono rilevare nel normale svolgimento dell’attività d’indagine richiedono l’esistenza di un protocollo operativo che ne garantisca l'integrità e, soprattutto, la non repudiabilità in sede processuale. Senza considerare che per chi sbaglia non sempre c'è una seconda possibilità dato che l'alterazione delle prove è spesso irreversibile.
  8. 8. - A.I.S.F.- ACCADEMIA INTERNAZIONALE DI SCIENZE FORENSI - I Profili giuridici dell'acquisizione della prova digitale L'approccio al computer In questa situazione l'analisi non è, e non può più essere, attività meramente informatica, ma deve abbracciare i vari campi dello scibile umano legato alle indagini: diritto, sociologia, criminologia... Sempre più spesso, infatti, uno dei principali compiti del consulente è quello di tentare una ricostruzione del comportamento tenuto dall’imputato di fronte al computer, arrivando ad interpretare i risultati dell’analisi alla luce di tale valutazione comportamentale. In quest'ottica i dati contenuti nel computer dovrebbero rappresentare soltanto una base di partenza, da impiegare per ricostruire il modus operandi del soggetto che lo utilizzava; ovviamente senza esagerare dato che la sfera di cristallo non dovrebbe rientrare nella dotazione hardware del consulente tecnico...
  9. 9. - A.I.S.F.- ACCADEMIA INTERNAZIONALE DI SCIENZE FORENSI - I Profili giuridici dell'acquisizione della prova digitale L'analisi comportamentale Per quanto concerne, poi, la più grave violazione prevista dall'art. 600 ter c.p., la Corte territoriale rileva che il reato risulta già integrato dalla confessata condotta di inoltro dei primi tre messaggi al moderatore della lista, posto che era evidente che essi sarebbero stati inoltrati a tutti i partecipanti la lista stessa. A questo deve aggiungersi che vi è in atti la prova sia della ricezione da parte dell'appellante di ingente materiale illecito veicolato attraverso i messaggi ricevuti in lista sia dell'invio di circa 200 messaggi aventi in allegato materiale illecito. Inoltre, risulta accertato che su uno degli hard disk dell'appellante esistevano 10 filmati che le per caratteristiche tecniche dei programmi in uso (di tipologia "peer to peer") erano accessibili a tutti gli utenti in possesso di analoghi programmi” Cassazione penale sez. III, 29/09/2009, n. 41521. [...]i giudici territoriali hanno sottolineato, con riguardo alla consapevolezza del B. di detenere il materiale pedopornografico contenuto nel proprio computer, come il perito abbia evidenziato che le due immagini erano inserite nella stessa directory; erano entrambe state create il (OMISSIS), modificate il (OMISSIS) e visionate per l'ultima volta il (OMISSIS), cioè meno di un mese prima dell'avvenuto sequestro; non erano state scaricate da internet, nè trasmesse a terzi dall'utilizzatore del computer, ma invece scaricate sul disco fisso in sequestro, assieme ad altre immagini di contenuto pornografico, da un CD rom, ovvero da una chiavetta USB, e copiate sul disco in un arco di tempo di due minuti mediante decompressione dei files e successiva riespansione dell'archivio, per venire poi contenute, con una operazione pertanto certamente volontaria, in una precisa cartella (folder) di una directory, rimanendovi immagazzinate senza mai venir cancellate, fino ad essere da ultimo visionate appunto il (OMISSIS). Ancora, il perito aveva escluso, non essendo stati rinvenuti segni di compromissione dell' hard - disk , che le immagini in questione fossero state trasmesse da un hacker all'insaputa dell'utente, ovvero fossero giunte inavvertitamente sull'HD in sequestro nel corso di un lan - party caratterizzato dallo scambio di files con terzi lungo i canali peer to peer, correttamente concludendo quindi la Corte di appello per la piena sussistenza dell'elemento psicologico del reato contestato. Cass. penale sez. fer.30/07/2009. n. 32344
  10. 10. - A.I.S.F.- ACCADEMIA INTERNAZIONALE DI SCIENZE FORENSI - I Profili giuridici dell'acquisizione della prova digitale L'analisi comportamentale La Corte escludeva che il materiale pedopornografico fosse stato inserito nell' hard disk del computer, in cui erano presenti un virus worm e due virus trojan, da un utilizzatore remoto che pure avrebbe trasferito le immagini su ed o su floppy disk perchè il modem del C. era molto lento, sicché l'utilizzatore avrebbe potuto facilmente accorgersi di tale scaricamento che pure influenzava la velocità operativa del computer. Nè era possibile scaricare filmati se non in varie sessioni con la conseguente necessità di assemblare poi il materiale scaricato, di notevole consistenza. Il materiale pedopornografico era stato acquisito per via telematica con transazioni eseguite con la carta di credito intestata al padre dell'imputato a favore dell'esercente (OMISSIS) in data (OMISSIS) per L. 51.546 e in data (OMISSIS) per L. 70.636. Erano segnalati come elementi a carico: - la presenza di un'e-mail con cui l'imputato aveva chiesto la cancellazione di un addebito perché il download non funzionava, circostanza denotante che egli controllava con cura gli estratti conto; - il sequestro di 17 supporti informatici che smentiva l'addotta buona fede perché era irragionevole ritenere che il ricorrente per 17 volte non avesse controllato quanto era stato scaricato; - C., appartatosi nel corso della seconda perquisizione, era stato visto maneggiare un CD contenente immagini pedopornografiche; - il rinvenimento di molte foto a contenuto pornografico, talune frutto di fotomontaggio in danno di conoscenti del C.. Cassazione penale sez. III, 08 aprile 2009, n. 19989.
  11. 11. - A.I.S.F.- ACCADEMIA INTERNAZIONALE DI SCIENZE FORENSI - II La fase delle indagini Indagini informatiche e raccolta di informazioni E' evidente che gli accertamenti effettuati variano notevolmente in base alle fattispecie ed alle tipologie di intervento, ma, in linea di massima, potremo distinguere tra fattispecie civili e penali. La principale differenza è che, mentre nelle prime abbiamo, almeno, due parti private, nelle seconde una delle parti è necessariamente lo Stato e, quindi, la parte pubblica avrà maggiori margini di manovra, e poteri!, rispetto ad una qualsiasi parte privata. Nelle pagine seguenti verranno analizzati dapprima gli strumenti comuni ad entrambe le fattispecie e poi quelli più specificatamente penalistici. La prima, e più semplice, serie di strumenti è rappresentata da quelli deputati alla raccolta delle informazioni relative alla controparte: database Whois e servizi di traceroute. Il Whois ci permette di sapere a chi è intestato un determinato sito web, o chi gestisce un preciso indirizzo IP, consentendoci, poi di procedere all'identificazione del titolare dell'utenza.
  12. 12. - A.I.S.F.- ACCADEMIA INTERNAZIONALE DI SCIENZE FORENSI - II La fase delle indagini Indagini informatiche e raccolta di informazioni Un primo problema di carattere giuridico sorge quando ci interroghiamo su COME sono stati acquisiti i dati elaborati. A questo punto entrano in gioco tutta una serie di limitazioni alla raccolta delle informazioni tipiche delle differenti situazioni a cui si va a fare riferimento. In ambito lavorativo, ad esempio, esistono severissimi limiti all'attività di telecontrollo del datore di lavoro, limiti ribaditi dal Garante con le linee guida emanate il 1° marzo 2007. Tra le altre cose il Garante si è espressamente riferito ai programmi ed alle apparecchiature preordinate al controllo a distanza e, soprattutto, a quei programmi che consento un controllo indiretto (router, firewall, antivirus...) ed in particolare ci si pone il problema della navigazione web.
  13. 13. - A.I.S.F.- ACCADEMIA INTERNAZIONALE DI SCIENZE FORENSI - II La fase delle indagini Prove virtuali, reati reali Nel caso di indagini per reati telematici le attività vengono regolate dalle norme previste dal codice di procedura penale e da alcune leggi speciali e, naturalmente, questo implica la possibilità di utilizzare strumenti maggiormente invasivi rispetto ad “indagini” effettuate da un privato per far valere un diritto in sede civile, ma restano ferme le esigenze di garantire il corretto trattamento degli elementi probatori. Di particolare rilievo è la possibilità di effettuare attività sotto copertura, per esempio nei casi previsti dall'articolo 14 della 26998 o da quelli previsti dall'articolo 9 della 146 del 2006. In tale situazione è estremamente importante l'analisi degli strumenti software o hardware utilizzati e la corretta gestione degli output ricavati dagli stessi in quanto proprio da questi elementi viene, alla fine, il risultato. Di fatto, l'individuazione di un soggetto che accede ad un sito web o che scambia file attraverso i circuiti p2p non è affatto difficile, ma restano comunque i problemi legati all'utilizzabilità delle prove raccolte e, soprattutto, alla loro valutazione. In particolare, è necessario fare grande attenzione a cristallizzare tutti quei dati che in un secondo momento potranno essere utilizzati per una maggiore comprensione della fattispecie.
  14. 14. - A.I.S.F.- ACCADEMIA INTERNAZIONALE DI SCIENZE FORENSI - II La fase delle indagini Prove virtuali, reati reali In questo caso, ad esempio sarà possibile dimostrare la consapevolezza nell'acquisizione e nella detenzione del filmato pedo. Si osservi, infatti, come sia stata acquisita la prova del nome del filmato conservato presso l'utente e della completa disponibilità del filmato stesso
  15. 15. - A.I.S.F.- ACCADEMIA INTERNAZIONALE DI SCIENZE FORENSI - II La fase delle indagini Prove virtuali, reati reali Tramite questa schermata sarà, invece, possibile dimostrare l'hash del filmato e le sue dimensioni (per eventuali confronti con quanto trovato in sede di analisi) e la circostanza che l'utente a[omissis] era l'unico ad avere, in quel momento, il filmato in condivisione.
  16. 16. - A.I.S.F.- ACCADEMIA INTERNAZIONALE DI SCIENZE FORENSI - II La fase delle indagini Prove virtuali, reati reali In questo modo è stato, invece, possibile tracciare le connessioni in entrata ed in uscita per individuare l'IP di un altro utente, ma indubbiamente
  17. 17. - A.I.S.F.- ACCADEMIA INTERNAZIONALE DI SCIENZE FORENSI - II La fase delle indagini Prove virtuali, reati reali Così è un po' più comodo e...
  18. 18. - A.I.S.F.- ACCADEMIA INTERNAZIONALE DI SCIENZE FORENSI - … così è MOLTO più comodo. II La fase delle indagini Prove virtuali, reati reali
  19. 19. - A.I.S.F.- ACCADEMIA INTERNAZIONALE DI SCIENZE FORENSI - II La fase delle indagini Prove virtuali, reati reali In questo caso, invece, non viene fornita alcuna prova del nome del materiale e, soprattutto, che lo stesso fosse effettivamente presente nell'hard disk del soggetto individuato. Sarà soltanto possibile dimostrare che quell'IP ha generato una risposta positiva alla ricerca effettuata con una parola chiave senza poter neppure appurare se il riscontro positivo è basato sull'hash del file o sul suo nome. Tra l'altro non vi è neppure la prova della effettiva disponibilità del materiale
  20. 20. - A.I.S.F.- ACCADEMIA INTERNAZIONALE DI SCIENZE FORENSI - II La fase delle indagini Prove virtuali, reati reali In questa situazione, in assenza di ulteriori prove della coincidenza tra il filmato ricercato tramite parola chiave e quello detenuto (e condiviso) dall'utente, sarà agevole per la difesa dimostrare la possibilità di un erroneo download dello stesso a causa di un fake ovvero della possibilità di erronea individuazione
  21. 21. - A.I.S.F.- ACCADEMIA INTERNAZIONALE DI SCIENZE FORENSI - II La fase delle indagini Prove virtuali, reati reali E' stato, infatti, già affermato in detta materia da questa Suprema Corte che "Non costituisce "attività di contrasto" soggetta ad autorizzazione dell'autorità giudiziaria, ai sensi della L. 3 agosto 1998, n. 269, art. 14 (recante norme contro lo sfruttamento della prostituzione, della pornografia, del turismo sessuale in danno di minori quali nuove forme di riduzione in schiavitù), quella che consista soltanto nell'accesso a fini investigativi, da parte di personale di polizia giudiziaria, mediante uso di una determinata parola chiave, a "files" condivisi, senza che tale attività sia accompagnata da quella di acquisto simulato o di intermediazione nell'acquisto dei prodotti esistenti in detti "files" (sez. 5, 200421778, Lagazzo, RV 228089). Orbene, la sentenza impugnata ha affermato che l'accertamento della cessione di due foto con contenuto pedopornografico dall'utente che utilizzava il nickname "(OMISSIS)" è stato effettuato dalla polizia giudiziaria mediante il monitoraggio della rete internet, senza alcun contatto con gli utenti eseguito sotto copertura , nè attività di intermediazione o acquisto simulato di materiale pedopornografico.. Cassazione penale sez. III, Data udienza: 05 febbraio 2009, n. 13729
  22. 22. - A.I.S.F.- ACCADEMIA INTERNAZIONALE DI SCIENZE FORENSI - II La fase delle indagini Prove virtuali, reati reali A destra un esempio di verifica dell'IP utilizzato dall'utente per connetters i ad un sito web
  23. 23. - A.I.S.F.- ACCADEMIA INTERNAZIONALE DI SCIENZE FORENSI - II La fase delle indagini Prove virtuali, reati reali Una volta individuato l'indirizzo IP è relativamente semplice individuare, con una buona precisione, la collocazione geografica dell'utente e l'origine della connessione.
  24. 24. - A.I.S.F.- ACCADEMIA INTERNAZIONALE DI SCIENZE FORENSI - IV L'acquisizione delle prove I fase: la raccolta delle prove Parlando di “evidenze digitali” dobbiamo distinguere tra la fase di acquisizione, di conservazione, di trattamento, di analisi, di esposizione e di relazione delle stesse. In genere i contorni tra le differenti fasi non sono marcati e ben definiti tanto che è assai difficile affermare con certezza se una determinata attività appartiene all'una o all'altra; si tratta di una catena di eventi che non possono essere slegati l'uno dall'altro. Per semplice comodità e ben consapevoli che si tratta di una distinzione fittizia, ora distingueremo le varie fasi. Nelle pagine che seguono si farà riferimento alla procedura seguita nel corso di un'indagine criminale, fermo restando che la maggior parte delle osservazioni effettuate sono perfettamente valide, mutatis mutandis, anche nel caso di raccolta di prove da impiegare nel corso di un procedimento civile. In ogni caso una buona prassi è quella di predisporre (anche solo mentalmente, ma in forma scritta è meglio), una checklist contenente le cose da fare, e quelle da non fare!, e seguirla scrupolosamente ogni volta in modo da evitare di non saper spiegare cosa si è fatto e perché.
  25. 25. - A.I.S.F.- ACCADEMIA INTERNAZIONALE DI SCIENZE FORENSI - IV L'acquisizione delle prove I fase: la raccolta delle prove Spesso alcune prove vengono raccolte prima di entrare in contatto con la persona sottoposta ad indagine; quali prove dipende in massima parte dal tipo di indagine dal tipo di crimine e dagli strumenti forniti all’uopo dal legislatore. Un'ulteriore distinzione deve essere fatta tra reati permanenti (i.e. realizzazione di un sito web) e reati istantanei (i.e. ingiurie effettuate in chat, condivisione di materiale pedo) in quanto differenti sono le tracce lasciate dagli autori. Alcune caratteristiche sono, tuttavia, comuni. In primis una particolare esigenza di celerità nell’acquisizione di prove ed informazioni: poche cose sono volatili come le prove informatiche. Basta davvero molto poco per alterarle, modificarle o renderle comunque inservibili, sia volontariamente che involontariamente. In secondo luogo è necessario che l’investigatore conosca con precisione le modalità con cui è stato commesso il reato in quanto vi può essere una notevole differenza nel valore degli elementi di prova raccolti a seconda delle azioni del criminale. Esempio: si sta indagando in merito ad un joe job eseguito a danno di T. e si accerta che il fatto è stato commesso sfruttando una vulnerabilità del server smtp; è perfettamente inutile acquisire i log degli accessi alla casella di posta elettronica di Tizio mentre è necessario concentrare le indagini sull’indirizzo IP dell’effettivo mittente del messaggio.
  26. 26. - A.I.S.F.- ACCADEMIA INTERNAZIONALE DI SCIENZE FORENSI - IV L'acquisizione delle prove I fase: la raccolta delle prove Allo stesso modo, quando si procede all'acquisizione di dati specifici (programmi, e-mail, log, etc...) i dati acquisiti dovranno essere conservati in un supporto non modificabile, per esempio CD-ROM o DVD-ROM, e, possibilmente, firmati con firma digitale o, in alternativa, una volta “chiuso” il supporto ne dovrà essere acquisito l'hash. L'Hash dovrà essere riportato nel verbale. Di fronte ad un computer il codice ci consente di scegliere due differenti strade: l'ispezione o il sequestro, ma è comunque necessario procedere all'analisi dello stesso. A ciò si aggiunga che un'esatta descrizione delle modalità con cui si è giunti all'identificazione dell'imputato e della collocazione degli strumenti informatici è, spesso, necessaria al fine di scagionare eventuali coimputati: Tribunale Penale di Bologna, Sez. I Monocratica, Sentenza 21 luglio 2005 (dep. 22 dicembre 2005), est. di Bari. “... L’esclusiva assunzione di responsabilità da parte del fratello G., come si è sopra detto, è invece riscontrata sia dalla riferibilità a lui delle operazioni di amministrazione dei due siti internet, sia dal possesso – che non risulta avere il fratello - delle idonee capacità di programmazione: del resto i programmi sequestrati presso la comune residenza familiare furono trovati nei dischi rigidi presenti nella stanza nella disponibilità esclusiva di G.” Per tale ragione una verifica delle possibili alternative si rende sempre necessaria. Allo stesso modo una preventiva verifica del modus operandi del soggetto spesso evita di fare un buco nell'acqua...
  27. 27. - A.I.S.F.- ACCADEMIA INTERNAZIONALE DI SCIENZE FORENSI - IV L'acquisizione delle prove Ispezioni e perquisizioni 244 - Casi e forme delle ispezioni 1. L'ispezione delle persone, dei luoghi [103] e delle cose è disposta con decreto motivato quando occorre accertare le tracce e gli altri effetti materiali del reato [3542-3, 364]. 2. Se il reato non ha lasciato tracce o effetti materiali, o se questi sono scomparsi o sono stati cancellati o dispersi, alterati o rimossi, l'autorità giudiziaria descrive lo stato attuale e, in quanto possibile, verifica quello preesistente, curando anche di individuare modo, tempo e cause delle eventuali modificazioni. L'autorità giudiziaria può disporre rilievi segnaletici, descrittivi e fotografici e ogni altra operazione tecnica [359], anche in relazione a sistemi informatici o telematici, adottando misure tecniche dirette ad assicurare la conservazione dei dati originali e ad impedirne l'alterazione (1). (1)L'art. 8 l. 18 marzo 2008, n. 48, ha modificato il presente comma inserendo, in fine, le seguenti parole: «adottando misure tecniche dirette ad assicurare la conservazione dei dati originali e ad impedirne l'alterazione.
  28. 28. - A.I.S.F.- ACCADEMIA INTERNAZIONALE DI SCIENZE FORENSI - IV L'acquisizione delle prove Ispezioni e perquisizioni 247 - Casi e forme delle perquisizioni. 1. Quando vi è fondato motivo di ritenere che taluno occulti sulla persona il corpo del reato o cose pertinenti al reato [253], è disposta perquisizione personale. Quando vi è fondato motivo di ritenere che tali cose si trovino in un determinato luogo [103] ovvero che in esso possa eseguirsi l'arresto dell'imputato [60, 61] o dell'evaso, è disposta perquisizione locale [352, 365]. 1-bis. Quando vi è fondato motivo di ritenere che dati, informazioni, programmi informatici o tracce comunque pertinenti al reato si trovino in un sistema informatico o telematico, ancorché protetto da misure di sicurezza, ne è disposta la perquisizione, adottando misure tecniche dirette ad assicurare la conservazione dei dati originali e ad impedirne l'alterazione (1). 2. La perquisizione è disposta con decreto motivato. 3. L'autorità giudiziaria può procedere personalmente [1034] ovvero disporre che l'atto sia compiuto da ufficiali di polizia giudiziaria delegati [370] con lo stesso decreto. (1)Comma inserito dall'art. 8 l. 18 marzo 2008, n. 48.
  29. 29. - A.I.S.F.- ACCADEMIA INTERNAZIONALE DI SCIENZE FORENSI - IV L'acquisizione delle prove II fase: perquisizione e sequestro La perquisizione rappresenta un momento fondamentale dell'indagine, soprattutto per la labilità e la deperibilità delle prove informatiche: eventuali reperti non individuati in prima battuta sono, probabilmente, destinati a sparire in maniera definitiva. Proprio per tale ragione, nel corso della perquisizione non ci si dovrebbe mai “accontentare” dei risultati trovati facilmente o consegnati spontaneamente, ma è necessario operare per verificare se vi sono componenti hardware nascosti. Oggi è facile procurarsi memorie di massa piccolissime e facilmente occultabili, per non parlare di cellulari, fotocamere ed altri apparecchi che possono agevolmente contenere memorie di massa!
  30. 30. - A.I.S.F.- ACCADEMIA INTERNAZIONALE DI SCIENZE FORENSI - IV L'acquisizione delle prove Memorie di massa - panoramica
  31. 31. - A.I.S.F.- ACCADEMIA INTERNAZIONALE DI SCIENZE FORENSI - IV L'acquisizione delle prove II fase: perquisizione e sequestro Occorre poi verificare l'eventuale presenza di un server di raccolta dati (NAS), eventualmente accessibile tramite Wi-Fi. Grazie alle capacità wireless i dischi operano sia come punto d'accesso Wi-Fi (in standard IEEE 802.11 b/g/n) sia come un nodo Wi-Fi e, potendo essere visti ed utilizzati in rete, possono essere usati per conservare file di vario genere. La distanza a cui possono essere collocati dipende solo dalla potenza del segnale (all'interno di un'abitazione la portata media è di circa 2030 metri, ma, in assenza di ostacoli, o in presenza di amplificatori di segnale, possono essere agevolmente raggiunti e superati i 100 metri)e le loro ridotte dimensioni (mediamente uno di questi è largo meno di 18 cm, profondo 20 cm ed alto 6 per un peso inferiore al chilo) li rendono facilmente occultabili.
  32. 32. - A.I.S.F.- ACCADEMIA INTERNAZIONALE DI SCIENZE FORENSI - IV L'acquisizione delle prove NAS Wi-FI: panoramica
  33. 33. - A.I.S.F.- ACCADEMIA INTERNAZIONALE DI SCIENZE FORENSI - IV L'acquisizione delle prove Rilevare un NAS In alternativa è anche possibile utilizzare un portatile dotato di connessione wi-fi ed amministrato da remoto per svolgere tutta l'attività “sporca”. L'unico modo per individuare simili dispositivi è quello di disporre, in sede di perquisizione, di un sistema in grado di effettuare un'analisi della rete alla ricerca di altri dispositivi collegati. Una volta individuati eventuali "nodi" sospetti è necessario Annotare il MACADDRESS ed andarli a cercare uno per uno per verificare se si tratta di un server NAS, di un computer remoto o di un semplice access point. E sempre che il dispositivo sia fisicamente sulla stessa rete… E' appena il caso di notare che se si stacca la corrente, o se il sistema è spento, ogni ricerca è vana. Una valida alternativa è quella di individuare il router, collegarsi fisicamente ad esso e verificare visivamente quanti componenti risultano connessi, annotare nome, indirizzo e MAC Address ed infine andarli a cercare uno per uno. Di tale operazione dovrà essere dato atto nel verbale.
  34. 34. - A.I.S.F.- ACCADEMIA INTERNAZIONALE DI SCIENZE FORENSI - Profili giuridici dell'acquisizione della prova digitale II fase: perquisizione e sequestro Tutte le operazioni devono essere condotte in modo da “cristallizzare” le prove evitando ogni possibile contaminazione degli elementi probatori: per esempio MAI accendere i computer individuati ed annotare con cura, anche scattando fotografie, la disposizione degli apparati all'interno dell'ufficio o dell'abitazione. Oggetti a prima vista insignificanti possono rappresentare un'ottima fonte di informazioni o, addirittura, contenere elementi di prova. Prescindendo dagli aspetti pratici della perquisizione, soffermiamoci sull'esigenza di acquisire i supporti informatici senza correre il rischio di alterarne in alcun modo il contenuto. In caso di computer spento, nulla quaestio lo si imballa, apponendo i sigilli alla scatola, e lo si porta via, ma l'esperienza insegna che, sempre più spesso, i PC rimango costantemente accesi. Che fare in caso di computer in funzione? L'ottimo sarebbe poter disporre, direttamente in sede di perquisizione, di un soggetto con adeguata competenza che possa procedere ad una sommaria analisi della macchina (annotando tutte le operazioni eseguite) per poi spegnerla in maniera sicura ma nel caso in cui ciò non fosse possibile, la dottrina più autorevole sostiene che, presa nota delle informazioni visualizzate sul monitor e scattate fotografie dello stesso (soprattutto del task manager), si deve staccare direttamente la spina dal computer procedendo anche alla rimozione delle batterie in caso di computer portatile; in questo modo si perde la possibilità di acquisire i dati presenti in RAM, ma allo stato delle cose si tratta della procedura più sicura per personale non qualificato.
  35. 35. - A.I.S.F.- ACCADEMIA INTERNAZIONALE DI SCIENZE FORENSI - Profili giuridici dell'acquisizione della prova digitale II fase: perquisizione e sequestro E' anche possibile procedere a perquisizioni d'iniziativa della P.G. 352. Perquisizioni. 1. Nella flagranza del reato [c.p.p. 382] o nel caso di evasione [c.p. 385], gli ufficiali di polizia giudiziaria procedono a perquisizione personale o locale quando hanno fondato motivo di ritenere che sulla persona si trovino occultate cose o tracce pertinenti al reato che possono essere cancellate o disperse ovvero che tali cose o tracce si trovino in un determinato luogo o che ivi si trovi la persona sottoposta alle indagini o l'evaso. 1-bis. Nella flagranza del reato, ovvero nei casi di cui al comma 2 quando sussistono i presupposti e le altre condizioni ivi previsti, gli ufficiali di polizia giudiziaria, adottando misure tecniche dirette ad assicurare la conservazione dei dati originali e ad impedirne l’alterazione, procedono altresì alla perquisizione di sistemi informatici o telematici, ancorché protetti da misure di sicurezza, quando hanno fondato motivo di ritenere che in questi si trovino occultati dati, informazioni, programmi informatici o tracce comunque pertinenti al reato che possono essere cancellati o dispersi. 2. Quando si deve procedere alla esecuzione di un'ordinanza che dispone la custodia cautelare [c.p.p. 285, 286, 292] o di un ordine che dispone la carcerazione nei confronti di persona imputata o condannata per uno dei delitti previsti dall'articolo 380 ovvero al fermo di una persona indiziata di delitto, gli ufficiali di polizia giudiziaria possono altresì procedere a perquisizione personale o locale se ricorrono i presupposti indicati nel comma 1 e sussistono particolari motivi di urgenza che non consentono la emissione di un tempestivo decreto di perquisizione. ...OMISSIS
  36. 36. - A.I.S.F.- ACCADEMIA INTERNAZIONALE DI SCIENZE FORENSI - Profili giuridici dell'acquisizione della prova digitale II fase: perquisizione e sequestro 354. Accertamenti urgenti sui luoghi, sulle cose e sulle persone. Sequestro. 1. Gli ufficiali e gli agenti di polizia giudiziaria curano che le tracce e le cose pertinenti al reato siano conservate e che lo stato dei luoghi e delle cose non venga mutato [c.p.p. 348] prima dell'intervento del pubblico ministero. In relazione ai dati, alle informazioni e ai programmi informatici o ai sistemi informatici o telematici, gli ufficiali della polizia giudiziaria adottano, altresì, le misure tecniche o impartiscono le prescrizioni necessarie ad assicurarne la conservazione e ad impedirne l’alterazione e l’accesso e provvedono, ove possibile, alla loro immediata duplicazione su adeguati supporti, mediante una procedura che assicuri la conformità della copia all’originale e la sua immodificabilità. 2. Se vi è pericolo che le cose, le tracce e i luoghi indicati nel comma 1 si alterino o si disperdano o comunque si modifichino e il pubblico ministero non può intervenire tempestivamente, ovvero non ha ancora assunto la direzione delle indagini, gli ufficiali di polizia giudiziaria compiono i necessari accertamenti e rilievi sullo stato dei luoghi e delle cose. Se del caso, sequestrano il corpo del reato e le cose a questo pertinenti [c.p.p. 253] (1). 3. Se ricorrono i presupposti previsti dal comma 2, gli ufficiali di polizia giudiziaria compiono i necessari accertamenti e rilievi sulle persone diversi dalla ispezione personale [c.p.p. 245]. Se gli accertamenti comportano il prelievo di materiale biologico, si osservano le disposizioni del comma 2-bis dell'articolo 349.
  37. 37. - A.I.S.F.- ACCADEMIA INTERNAZIONALE DI SCIENZE FORENSI - Profili giuridici dell'acquisizione della prova digitale II fase: la catena di custodia Una volta acquisiti gli elementi presenti deve essere compilato un modulo noto come “catena di custodia” in cui vengono indicati espressamente tutti i soggetti entrati in contatto con le prove e tutte le operazioni compiute sulle stesse. A tal proposito il primo punto di scontro tra accusa e difesa in sede di indagini informatiche è relativo alle modalità con cui viene eseguito il sequestro di evidenze informatiche. Il nodo centrale della questione è “in caso di indagini per reati informatici, è necessario sequestrare tutto il materiale trovato, tutto il computer, solo l'hard disk oppure è sufficiente acquisire una copia dei dati?”. La questione non è di facile soluzione in quanto la scelta fatta nelle concitate fasi del sequestro si riflette necessariamente nelle successive fasi prebattimentali e, spesso, anche nel dibattimento stesso rischiando di pregiudicare l'analisi e, conseguentemente, i diritti di accusa e difesa. In primo luogo dobbiamo osservare che non può esserci una risposta precisa a questa domanda in quanto a reati differenti devono corrispondere differenti tipologie di indagine che richiedono approcci molto diversi e, soprattutto, una modalità di acquisizione della prova modellata sulla fattispecie concreta. E' evidente che, a parità di risultato probatorio, dovrà essere necessariamente privilegiata la modalità di acquisizione meno invasiva e che comporta il minor danno per il soggetto che la subisce. Soggetto che, a volte, non è neppure indagato, ma si trova nella posizione di “persona informata sui fatti” (i.e. sequestro presso terzi in caso di indagini a carico di ignoti)
  38. 38. - A.I.S.F.- ACCADEMIA INTERNAZIONALE DI SCIENZE FORENSI - Profili giuridici dell'acquisizione della prova digitale II fase: perquisizione e sequestro Non può, però, trascurarsi che il mancato sequestro di un componente secondario potrebbe pregiudicare la possibilità di svolgere ulteriori accertamenti. Per esempio il mancato sequestro della tastiera, del mouse o dello stesso mouse pad potrebbe rendere impossibile verificare eventuali tracce (saliva, impronte digitali, tessuto epiteliale...) che, soprattutto in casi particolari, potrebbero servire per individuare in maniera precisa l'autore del reato arrivando magari anche a scagionare l'iniziale imputato. Allo stesso modo la collocazione e lo stato del computer e gli accessori presenti possono fornire molte informazioni utili sulla personalità del presunto reo. A ciò deve aggiungersi che l'acquisizione di copia dei dati immediatamente, direttamente in sede di perquisizione, presenta altri due grossi problemi: 1)richiede, per essere eseguita, la presenza di personale particolarmente esperto in grado di operare, in maniera sicura, su supporti hardware e software sconosciuti e di individuare, in tempi rapidissimi tutti i file di interesse probatorio (ivi compresi quelli cancellati, crittografati o steganografati o altrimenti nascosti). 2)L'operazione, anche se eseguita secondo le best practices della computer forensics, è, di fatto, irripetibile in quanto il materiale, rimasto nella disponibilità dell'imputato, deve considerarsi non più utile per finalità investigative.
  39. 39. - A.I.S.F.- ACCADEMIA INTERNAZIONALE DI SCIENZE FORENSI - Profili giuridici dell'acquisizione della prova digitale II fase: perquisizione e sequestro In tal senso si veda, ad esempio, il Tribunale di Bologna (Sez. I Monocratica, Sentenza 21 luglio 2005). In sede di perquisizione la PG si era limitata ad acquisire una copia dei soli file aventi rilevanza investigativa: più precisamente, al momento della perquisizione domiciliare, l'indagato aveva indicato alla PG operante il programma, masterizzandone le copie da sottoporre a sequestro sotto il diretto controllo degli agenti. In sede processuale la difesa eccepiva la non correttezza del metodo utilizzato dalla PG per estrarre i programmi dal computer, ma il Giudice non accoglieva la tesi, pur ammettendo che le modalità di acquisizione si discostavano dalle best practices, osservando che “non è permesso al Tribunale escludere a priori i risultati di una tecnica informatica utilizzata a fini forensi solo perché alcune fonti ritengono ve ne siano di più scientificamente corrette, in assenza della allegazione di fatti che suggeriscano che si possa essere astrattamente verificata nel caso concreto una qualsiasi forma di alterazione dei dati e senza che venga indicata la fase delle procedure durante la quale si ritiene essere avvenuta la possibile alterazione”. In breve l'utilizzo dello strumento dell'ispezione, con la conseguente acquisizione, mediante masterizzazione, dei soli file pertinenti al reato, andrebbe utilizzata soltanto laddove il computer assuma la veste di mero contenitore della prova del crimine e si ritenga opportuno non operare un sequestro, per esempio perché lo si ritiene sproporzionato al fatto contestato, oppure nel caso di attività presso terzi (banche, provider, etc.) estranei di fatto alla vicenda.
  40. 40. - A.I.S.F.- ACCADEMIA INTERNAZIONALE DI SCIENZE FORENSI - Profili giuridici dell'acquisizione della prova digitale II fase: perquisizione e sequestro Una buona soluzione di compromesso è rappresentata dal sequestro del solo hard disk (oppure dall'acquisizione, con strumenti idonei, di un'immagine dello stesso laddove si ritenga opportuno lasciare l'hard disk nella disponibilità dell'imputato). Tale soluzione, applicabile alla maggior parte dei reati informatici, consente un pieno controllo del contenuto del supporto e la ripetibilità, in qualsiasi momento, dell'analisi eseguita. Di contro richiede, direttamente in sede di perquisizione e sequestro, la presenza di personale esperto in grado di rimuovere e manipolare l'hard disk senza danneggiarlo e, soprattutto, in grado di verificare la presenza di dispositivi in grado di impedire l'accesso ai dati in esso contenuti come, ad esempio, nel caso della tecnologia ABIT Secure IDE o similari. Tale soluzione ha l'avallo della Corte di Cassazione secondo cui, trattandosi di sequestro probatorio, la prova in ordine alla sussistenza del reato è tutelabile limitando il sequestro alla memoria fissa del computer e ad eventuali supporti contenenti elementi utili alle indagini restituendo, invece, tutti gli apparati “neutri” (stampanti, scanner, schede video...); si veda Corte di Cassazione, Sezione III Penale, Sentenza 18 novembre 2003 - 3 febbraio 2004, 1778 (3983/2003).
  41. 41. - A.I.S.F.- ACCADEMIA INTERNAZIONALE DI SCIENZE FORENSI - Profili giuridici dell'acquisizione della prova digitale II fase: perquisizione e sequestro Vi sono, tuttavia, casi in cui è non solo consigliato, ma addirittura necessario procedere al sequestro dell'intero computer e delle relative periferiche. L'analisi dettagliata dell'intera casistica esula dalla portata del presente lavoro, ragion per cui ci si limiterà qui ad osservare come esemplare il caso delle indagini per divulgazione di materiale pedo pornografico. In tali casi, tuttavia, non si dovrà parlare di sequestro probatorio (253 cpp), ma di sequestro preventivo (321 cpp). A ciò si aggiunga che la materiale disponibilità di beni informatici, soprattutto nei casi più gravi di divulgazione, rende possibile per l'imputato protrarre o aggravare le conseguenze del reato. Da ultimo è mia opinione personale che, in presenza di soggetti in possesso di dispositivi tecnologicamente molto avanzati, potrebbe rivelarsi opportuno procedere al sequestro anche dei supporti originali per verificare che gli stessi non siano stati alterati e per utilizzarli per acquisire informazioni in merito al software installato ed alle sue modalità di funzionamento. In tal caso, tuttavia, è sempre opportuno spiegare le ragioni del sequestro di materiale apparentemente inutile o superfluo. A tal proposito è bene ricordare che, in tema di sequestro probatorio, il provvedimento deve dare concretamente contezza ai fini della qualificazione delle cose in sequestro come corpo di reato o come necessarie all'accertamento dello stesso, della relazione di immediatezza descritta nell'art. 253 c.p.p., comma 2, tra la "res" e l'illecito penale. (Vedi Cass., sez. 6^, sent. n. 337, c.c. 29 gennaio 1998, P.M. in proc. Sarnataro, rv.).
  42. 42. - A.I.S.F.- ACCADEMIA INTERNAZIONALE DI SCIENZE FORENSI - Profili giuridici dell'acquisizione della prova digitale II fase: perquisizione e sequestro In ogni caso una volta che il PC è stato spento non deve essere più riavviato, anzi sarebbe buona norma scollegare eventuali cavi di alimentazione e, nel caso dei portatili, rimuovere le batterie. Tutte le operazioni devono essere annotate e deve essere mantenuta una precisa catena di custodia in grado di dimostrare ogni passaggio delle evidenze informatiche. E' possibile che venga effettuata una copia dell'hard disk direttamente in sede di sequestro, soprattutto nel caso di sequestro probatorio. In tal caso è buona norma acquisire l'hash dell'hard disk prima e dopo la copia, stamparlo e farlo sottoscrivere alla controparte. In questo modo sarà possibile dimostrare che la prova non è stata alterata in alcun modo. In relazione alla validità dell'hash la Cassazione ha di recente valutato che l'esperibilità delle procedure di hashing, sequestrato e conservato in copia su un apposito supporto (nella specie Cd-Rom), è una questione di merito, potendosi in sede di legittimità esclusivamente delibare se gli accorgimenti adottati dalla polizia giudiziaria delegata siano o meno idonei "in astratto" a tutelare le finalità indicate dal legislatore negli art. 247, comma 1 bis, e 354, comma 2, c.p.p. (Cassazione penale sez. II, 12/12/2008, n. 11135
  43. 43. - A.I.S.F.- ACCADEMIA INTERNAZIONALE DI SCIENZE FORENSI - Profili giuridici dell'acquisizione della prova digitale II fase: perquisizione e sequestro Non dà luogo ad accertamento tecnico irripetibile la lettura dell'"hard disk" di un computer sequestrato, che è attività di polizia giudiziaria volta, anche con urgenza, all'assicurazione delle fonti di prova. Rigetta,Trib. lib. Napoli, 17 Ottobre 2008 2.3 L'eccezione è palesemente infondata, dappoichè la lettura dell'hard disk non integra affatto atto irripetibile, perchè la lettura di esso ha consentito di ipotizzare l'esistenza del reato a carico del ricorrente, perchè quest'ultimo è del tutto estraneo ai diritti difensivi di altre parti del processo, perchè, l'attività svolta al riguardo dalla P.G. rientra tra quelle svolte dalla stessa ai sensi dell'art. 348 c.p.p. e art. 354 c.p.p., comma 2 e perchè, infine, possibile nel prosieguo del processo ogni attività difensiva dello S.V. il quale, se del caso, potrà far valere, quando sarà e se sarà eventualmente accertata l'alterazione del disco informatico, alterazione allo stato soltanto affermata dalla difesa del ricorrente, peraltro persona diversa dal proprietario del computer, e, si ribadisce, per nulla accertata. Cassazione penale sez. I Data: 25 febbraio 2009 Numero: n. 11503
  44. 44. - A.I.S.F.- ACCADEMIA INTERNAZIONALE DI SCIENZE FORENSI - Profili giuridici dell'acquisizione della prova digitale III fase: L'acquisizione L'analisi dei reperti informatici rappresenta il culmine dell'attività investigativa finalizzata alla repressione della maggior parte dei reati informatici, ma, per quanto apparentemente semplice, questa fase dell'indagine richiede una notevole attenzione e competenza: eventuali errori potrebbero compromettere l'intera indagine, soprattutto in relazione alla successiva utilizzabilità processuale delle prove raccolte. In commercio è facile reperire programmi che consentono di creare un'intera partizione fat32 o ntfs criptata; in alcuni casi, la partizione può comprendere l'intero sistema operativo ed i relativi file di boot, di swap, i file temporanei, eccetera ed è altresì possibile che tale partizione si avvii solo utilizzando un apposito dischetto. In assenza del floppy la partizione appare come spazio non formattato. In fase di analisi è bene ricordare che tutti gli accertamenti effettuati devono essere ripetibili: per nessuna ragione il computer del sospetto dovrebbe essere avviato e, per nessuna ragione, le analisi dovrebbero essere effettuate utilizzando il materiale originale e questo per due ottime ragioni: A) si rischia di danneggiare il supporto; B) si rischia di alterare il materiale.
  45. 45. - A.I.S.F.- ACCADEMIA INTERNAZIONALE DI SCIENZE FORENSI - Profili giuridici dell'acquisizione della prova digitale III fase: L'acquisizione Di recente (05 marzo 2009, n. 14511) la Corte di Cassazione è intervenuta in materia stabilendo che “non rientra nel novero degli atti irripetibili l'attività di estrazione di copia di "file" da un computer oggetto di sequestro , dal momento che essa non comporta alcuna attività di carattere valutativo su base tecnico-scientifica, né determina alcuna alterazione dello stato delle cose, tale da recare pregiudizio alla genuinità del contributo conoscitivo nella prospettiva dibattimentale, essendo sempre comunque assicurata la riproducibilità d'informazioni identiche a quelle contenute nell'originale”. In particolare la Corte ha osservato che il provvedimento di acquisizione di copia di file ritenuti utili ai fini delle indagini ha natura autonoma e distinta rispetto alla misura cautelare reale del sequestro (Cass, Sez. Un., 24 aprile 2008, n. 18253) e, nell'ipotesi in cui la capacità rappresentativa della res sia fornita dal contenuto dell'atto o del documento, l'Autorità giudiziaria procedente acquisisce al procedimento le copie di detti atti o documenti, disponendo la restituzione degli originali. Laddove, invece, l'elemento probatorio sia infungibilmente rappresentato dall'originale del supporto cartaceo o magnetico, si determinano i presupposti per il mantenimento del sequestro. Relativamente all'estrazione di copie non è esperibile una procedura incidentale di controllo di legittimità, in quanto non si è in presenza di un vincolo di indisponibilità del bene equipollente al sequestro.
  46. 46. - A.I.S.F.- ACCADEMIA INTERNAZIONALE DI SCIENZE FORENSI - Profili giuridici dell'acquisizione della prova digitale III fase: L'acquisizione E', però, sempre possibile per la parte far valere eventuali nullità relative all'osservanza delle forme previste a garanzia dell'esercizio dei diritti di difesa nella fase in cui i predetti documenti vengono utilizzati come mezzo di prova (Cass., Sez. 6, 15 settembre 1995, in Cass. pen. 1996, p. 2328). Sotto quest'ultimo profilo occorre ricavare, in via interpretativa, la nozione di "non ripetibilità" in assenza di una definizione legislativa di carattere generale e di un'elencazione normativa di atti tipicamente non ripetibili. La questione riguarda direttamente il "giusto processo" perché ad essa è strettamente correlata l'osservanza di precise garanzie difensive, in quanto la qualificazione come "irripetibile" di un atto comporta la deroga al principio del contraddittorio nella formazione della prova, consentendo che lo stesso, pur se formato nella fase procedimentale, venga utilizzato, previa lettura, per la decisione. Sulla base di tali premesse, per "atto irripetibile" deve intendersi l'atto contraddistinto da un risultato estrinseco ed ulteriore rispetto alla mera attività investigativa, non più riproducibile in dibattimento se non con la perdita dell'informazione probatoria o della sua genuinità. Sotto tale profilo gli accertamenti ex art. 360 c.p.p. consistono in attività di carattere valutativo su base tecnico- scientifica e non in attività di constatazione, raccolta, prelievo dei dati materiali pertinenti al reato.
  47. 47. - A.I.S.F.- ACCADEMIA INTERNAZIONALE DI SCIENZE FORENSI - Profili giuridici dell'acquisizione della prova digitale IV fase: L'analisi, aspetti giuridici ed errori comuni Proprio per questa ragione il primo (e più grave) errore è “Ora lo accendo e do un'occhiata...”. All'avvio del computer il sistema operativo svolge numerose operazioni che si ripercuotono sull'integrità dei dati contenuti in hard disk. Il secondo errore tipico è prendere l'hard disk originale ed installarlo nella macchina deputata all'analisi: all'avvio del proprio sistema operativo è assai probabile (certo se si utilizza Windows) che il S.O. effettui delle operazioni di lettura scrittura sull'hard disk alterandone i dati e la struttura. Se poi ci dimentichiamo l'antivirus attivo ed il programma avvia una scansione sul reperto il disastro è completo. Più sicuro è l'utilizzo di sistemi linux che consentano di montare l'hard disk in sola lettura, ma l'errore è sempre in agguato, quindi la soluzione preferibile è comunque quella di dotarsi di un writer-block, di un dispositivo di clonazione e analisi oppure di una soluzione hardware completa come Khymera-M5.
  48. 48. - A.I.S.F.- ACCADEMIA INTERNAZIONALE DI SCIENZE FORENSI - Profili giuridici dell'acquisizione della prova digitale IV fase: L'analisi, aspetti giuridici ed errori comuni Dunque, per garantire la ripetibilità dell'analisi (vero principio cardine della computer forensic), è necessario operare su di una copia del supporto sequestrato. Naturalmente non è sufficiente un semplice ghost del disco rigido, ma è necessario che si tratti di una “bit stream image” (in gergo si parla spesso di “clonare” un hard disk) che, a differenza della mera copia, consentirà di operare su un disco praticamente identico all'originale, sia in maniera logica che fisica, consentendo, quindi, l'analisi anche di eventuali parti apparentemente vuote. In commercio esistono numerosi prodotti, hardware e software, in grado di clonare un hard disk garantendo la non alterazione dell'originale e l'esatta corrispondenza originale-copia. E' buona norma anche procedere all'acquisizione della “firma” dell'intero supporto acquisito, con un'operazione detta hashing. L'operazione viene compiuta utilizzando un algoritmo MD5, che, generando un'impronta della lunghezza di 128 bit (16 byte), costituisce un riferimento certo alla traccia originale, pur non consentendone la ricostruzione. NOTA BENE: l'immagine bit stream rispetto al semplice Ghost è una garanzia per chi vuol provare che una certa cosa ESISTEVA nell'hard disk, quindi la mancata acquisizione non dovrebbe essere utilizzata dalla difesa per contestare l'operato del CT se non laddove la mancata acquisizione abbia pregiudicato la possibilità di svolgere ulteriori e più approfondite analisi.
  49. 49. - A.I.S.F.- ACCADEMIA INTERNAZIONALE DI SCIENZE FORENSI - Profili giuridici dell'acquisizione della prova digitale IV fase: L'analisi, aspetti giuridici ed errori comuni Se si rendesse necessario avviare il computer, ad esempio nel corso di un'ispezione o per effettuare un'analisi preliminare, è necessario proteggere l'hard disk con un dispositivo FISICO che inibisca la scrittura sullo stesso (write block) o, in alternativa, utilizzare un apparato hardware per effettuare una copia precisa dell'hard disk ed avviare la macchina utilizzando la copia. In merito a quest'ultimo punto si consideri che numerosi software di crittografia o di steganografia consentono di impostare un meccanismo di protezione che danneggia il file protetto in caso di errori nell'inserimento della password (oppure inserendo un'apposita password), quindi, errori di digitazione in sede di ispezione potrebbero in realtà essere tentativi di cancellazione delle tracce del reato. Allo stesso modo un floppy (o un CD) lasciato nel lettore potrebbero avviare una procedura di cancellazione dell'intero hard disk, quindi: non effettuare mai l'avvio del sistema con il disco originale! Una validissima alternativa è quella di utilizzare un programma come VFC (virtual forensic computing) che consente di avviare una macchina virtuale (utilizzando VmWare Player) partendo dall'immagine (Raw o Encase) della stessa.
  50. 50. - A.I.S.F.- ACCADEMIA INTERNAZIONALE DI SCIENZE FORENSI - Profili giuridici dell'acquisizione della prova digitale IV fase: L'analisi, aspetti giuridici ed errori comuni
  51. 51. - A.I.S.F.- ACCADEMIA INTERNAZIONALE DI SCIENZE FORENSI - Profili giuridici dell'acquisizione della prova digitale IV fase: L'analisi, aspetti giuridici ed errori comuni
  52. 52. - A.I.S.F.- ACCADEMIA INTERNAZIONALE DI SCIENZE FORENSI - Profili giuridici dell'acquisizione della prova digitale IV fase: Dar voce ai bit Da un punto di vista civilistico la prova digitale deve essere considerata una prova documentale e, quindi, soggetta alle regole di cui agli articoli 2699 e seguenti del codice civile, nonché dal codice dell'amministrazione digitale (D.Lgs 82 del 2005, art.20 e ss) e dal codice di procedura civile. Tipicamente si tratterà di prove precostituite ed il ruolo del CTU (o CTP) sarà quello di acquisirle e presentarle in maniera intellegibile al Giudice (nonché di spiegare a Giudice ed avvocati cosa queste significhino). In ambito penale (libro III e V c.p.p.) le prove potranno essere acquisite in dibattimento o, più spesso, durante la fase delle indagini preliminari. In quest'ultimo caso potranno essere acquisite e valutate anche con lo strumento dell'incidente probatorio qualora si tratti di un accertamento non ripetibile (art.360 cpp). In ogni caso tutte le fasi dell'analisi dovrebbero poter essere ripetute in caso di contestazioni.
  53. 53. - A.I.S.F.- ACCADEMIA INTERNAZIONALE DI SCIENZE FORENSI - Profili giuridici dell'acquisizione della prova digitale IV fase: Dar voce ai bit In ogni caso non dovrebbero essere ritenute accettabili prove digitali provenienti da fonte non terza, o comunque attendibile, salvo il caso in cui si disponga di un hash di riferimento acquisito in un momento in cui la falsificazione o l'alterazione della prova non sarebbe stata possibile. D'altra parte la facilità di falsificare una prova digitale è lampante: Proprio per questa ragione è necessario osservare scrupolosamente, anche a propria tutela, i principi di conservazione e di trattamento; in primis la catena di custodia.
  54. 54. - A.I.S.F.- ACCADEMIA INTERNAZIONALE DI SCIENZE FORENSI - Profili giuridici dell'acquisizione della prova digitale IV fase: Dar voce ai bit E', quindi, importante che tutte le operazioni compiute siano tracciabili e possano essere adeguatamente giustificate e motivate. “Non so come come ci sono arrivato” non è mai un buon argomento... In genere l'analisi di un'evidenza digitale si svolge in tre fasi: 1) la sua individuazione; 2) la sua valutazione tecnica; 3) la sua “contestualizzazione”. Sulla base di questi elementi è, quasi sempre, possibile stabilire quando, come e perché un determinato file è comparso nell'hard disk. Ovviamente le indagini non vengono svolte “a mano” o “a occhio” (non soltanto almeno), ma si opera avvalendosi di particolari tools in grado di agevolare l'analisi dei dati. Si tratta di programmi specialistici, spesso particolarmente complessi, in grado di svolgere automaticamente un gran numero di operazioni accelerando notevolmente il lavoro, ma in ogni caso l'analisi finale dei risultati dovrebbe sempre essere effettuata da un essere umano...
  55. 55. - A.I.S.F.- ACCADEMIA INTERNAZIONALE DI SCIENZE FORENSI - Profili giuridici dell'acquisizione della prova digitale V Fase: dar voce ai silenzi; crittografia e steganografia Un altro aspetto particolarmente interessante della computer's forensic è rappresentato dalla necessità di dar voce anche ai silenzi della macchina... Non è difficile, infatti, disponendo degli strumenti adeguati occultare un'immagine o un'intera partizione in modo che sia praticamente impossibile individuarla. Sebbene siano numerosi i programmi che svolgono questa funzione qui ci limiteremo a ricordarne 2: PGP Disk: si tratta di un'applicazione contenuta nella suite PGP. E' particolarmente interessante in quanto funziona con la firma elettronica del titolare della coppia di chiavi e consente di inviare in maniera sicura file attraverso un qualsiasi supporto senza dover condividere la chiave di apertura. Ancora più interessante è il programma TrueCript. Il programma si basa sul principio della negazione plausibile: viene creato un disco crittografato al cui interno se ne trova un altro, nel caso in cui l'utente sia costretto a rivelare la password, che non è soltanto crittografato, ma steganografato...
  56. 56. - A.I.S.F.- ACCADEMIA INTERNAZIONALE DI SCIENZE FORENSI - Profili giuridici dell'acquisizione della prova digitale V Fase: dar voce ai silenzi; crittografia e steganografia Si è così avviata una sorta di gioco a guardie e ladri in cui lo Stato cerca di riservarsi il diritto di accedere alle informazioni, anche contro la volontà del titolare delle stesse, e gli utenti tentano di impedirglielo. Ripercorrere le tappe di questa gara sarebbe interessante, ma eccessivamente lungo, ci basti osservare che, come nel paradosso di Zenone, la tartaruga della sicurezza privata è sempre un passo avanti al guerriero Achille (la sicurezza pubblica). Se ciò sia un bene o un male è questione di opinioni... ... resta il fatto che attualmente lo scontro si gioca sul diritto o meno per il cittadino di rifiutarsi di consegnare le proprie password. In Italia non si sono, ancora, verificati casi simili, ma, alla luce dell'articolo 64 e del noto principio nemo tenetur se detegere, sembra ipotizzabile un diritto dell'imputato a non rivelare password o codici di accesso. Da tale rifiuto non sembrerebbero poter scaturire, in teoria!, conseguenze negative per il soggetto laddove dall'esercizio della facoltà di non collaborare con gli organi inquirenti e con l'autorità giudiziaria, non può farsi discendere a carico dell'indagato alcuna conseguenza negativa diversa dall'impossibilità di accedere agli eventuali benefici che dalla collaborazione derivano.
  57. 57. - A.I.S.F.- ACCADEMIA INTERNAZIONALE DI SCIENZE FORENSI - Profili giuridici dell'acquisizione della prova digitale V Fase: dar voce ai silenzi; crittografia e steganografia Intanto, mentre Achille discute sull'esistenza dell'obbligo di fornire la propria password, la tartaruga... ... aumenta il proprio vantaggio.
  58. 58. - A.I.S.F.- ACCADEMIA INTERNAZIONALE DI SCIENZE FORENSI - Profili giuridici dell'acquisizione della prova digitale V Fase: dar voce ai silenzi; crittografia e steganografia Dalla crittografia, scrittura cifrata, si è, infatti, passati alla steganografia, scrittura nascosta, ed il buon “vecchio” PGP Disk (al centro del dibattito nel caso Boucher) viene rapidamente sostituito da TrueCrypt che, per espressa previsione dei programmatori, si basa sul principio della negazione plausibile: viene creato un disco crittografato al cui interno se ne trova un altro. L'utente dispone di due password (nell'esempio passwordA e passwordB): la prima verrà utilizzata per avviare il disco visibile:
  59. 59. - A.I.S.F.- ACCADEMIA INTERNAZIONALE DI SCIENZE FORENSI - Profili giuridici dell'acquisizione della prova digitale V Fase: dar voce ai silenzi; crittografia e steganografia
  60. 60. - A.I.S.F.- ACCADEMIA INTERNAZIONALE DI SCIENZE FORENSI - Profili giuridici dell'acquisizione della prova digitale V Fase: dar voce ai silenzi; crittografia e steganografia L'esistenza di questo volume è quasi impossibile da individuare, e da dimostrare, non differendo lo stesso dai dati casuali presenti in un hard disk... con buona pace dell'interessante dibattito che avremmo potuto tenere su password ed art.64 cpp...
  61. 61. - A.I.S.F.- ACCADEMIA INTERNAZIONALE DI SCIENZE FORENSI - Profili giuridici dell'acquisizione della prova digitale V Fase: dar voce ai silenzi; crittografia e steganografia Crittografia e steganografia non sono scienze nuove dato che già Giulio Cesare era solito utilizzare la crittografia, mentre nell'antichità i messaggi più importanti erano tatuati sulla testa di un messaggero preventivamente rapato. Quando i capelli erano ricresciuti il messaggero, munito di un falso messaggio, partiva per la sua destinazione... L'informatica ha solo semplificato notevolmente il processo consentendo di nascondere un messaggio (o un'immagine) all'interno di un altro file.
  62. 62. - A.I.S.F.- ACCADEMIA INTERNAZIONALE DI SCIENZE FORENSI - Profili giuridici dell'acquisizione della prova digitale V Fase: dar voce ai silenzi; crittografia e steganografia
  63. 63. - A.I.S.F.- ACCADEMIA INTERNAZIONALE DI SCIENZE FORENSI - Profili giuridici dell'acquisizione della prova digitale VI Fase: La relazione In premessa devono essere indicate tutte le attività svolte dal ricevimento del pacco fino all'acquisizione dell'immagine dei supporti. E' possibile, ma non necessario, documentare mediante una videocamera la fase dell'acquisizione. In alternativa è possibile effettuare l'operazione innanzi ad un teste qualificato. In tal caso ne deve essere fatta menzione in relazione. Qualsiasi anomalia deve essere documentata e messa a verbale. In questa fase si deve offrire uno “spaccato” del sistema analizzato e tutti quegli elementi di natura tecnica che possono rivelarsi utili in sede di analisi. Occorre individuare ed indicare programmi, file, cartelle riportando data di creazione, data di modifica e data di ultimo accesso. E' necessario evidenziare ogni anomalia che si riscontri, soprattutto eventuali accessi al disco o ai dati SUCCESSIVI alla data del sequestro. Infine la relazione andrebbe conclusa con un paragrafo riepilogativo in cui si riepiloga quanto individuato e si traggono delle conclusioni.
  64. 64. - A.I.S.F.- ACCADEMIA INTERNAZIONALE DI SCIENZE FORENSI - Profili giuridici dell'acquisizione della prova digitale Errori comuni 1) avviare il PC eo installare l'hard disk rendendo l'accertamento NON ripetibile: inutilizzabilità della prova raccolta ai sensi del 360 cpp. 2) Utilizzare programmi in grado di alterare le proprietà di file e cartelle (i.e. Antivirus) rendendo impossibile una corretta ricostruzione del comportamento del soggetto. 3) sindrome del veggente: trarre conclusioni o, peggio, fare affermazioni che non poggino su solide base oggettive. Distinguere sempre tra: - Prove:(art.187) sono fatti o atti; - indizi (art.192): solo se gravi, precisi e concordanti possono costituire una prova; - presunzioni: l'operazione logica per cui da un fatto noto si risale ad un fatto ignoto. 4) dare per scontato il risultato desiderato (colpevolezza o innocenza) omettendo di verificare la stabilità della relazione. 5) non verificare possibili alternative valide, logiche e plausibili. 6) utilizzare software pirata 7) acquisire prove o informazioni in maniera illegale
  65. 65. - A.I.S.F.- ACCADEMIA INTERNAZIONALE DI SCIENZE FORENSI - Profili giuridici dell'acquisizione della prova digitale Conclusioni In ogni caso, anche in caso di ispezioni, una regola aurea è quella di non utilizzare MAI, per nessuna ragione, l'originale per effettuare attività di analisi. L'originale andrebbe utilizzato soltanto per acquisire l'immagine su cui lavorare e poi riposto al sicuro. Anche nel caso in cui si utilizzi un write blocker, infatti, c'è sempre il rischio di danneggiare accidentalmente il supporto magnetico. Da ultimo occorre sempre agire chiedendosi: - Se io fossi l'avvocatoil consulente della controparte, cosa potrei contestare? - L'analisi è perfettamente ripetibile? - Ho dettagliatamente illustrato le procedure seguite? - Ho motivato le mie conclusioni? Una volta predisposta la relazione è opportuno cercare di smontarla, analizzandola ed evidenziando tutti gli errori, le omissioni o le imprecisioni per poi passare alla loro correzione (SENZA FALSIFICARE NULLA!!!).
  66. 66. - A.I.S.F.- ACCADEMIA INTERNAZIONALE DI SCIENZE FORENSI - Profili giuridici dell'acquisizione della prova digitale Conclusioni Se, per esempio, ci si è accorti di aver montato l'hard disk in scrittura e di averne alterato la struttura è opportuno evidenziare questo aspetto specificando che, in ogni caso, non si è alterato in alcun modo il contenuto dello stesso. A tal proposito si veda quanto affermato dal Tribunale di Bologna: La difesa dell’imputato sia nel corso dell’istruttoria, che nell’arringa finale ha reiteratamente posto in discussione la correttezza sia del metodo utilizzato dalla p.g. per estrarre i programmi dal computer del C., che di quello applicato dalla p.g. e dalle società Infostrada s.p.a. e Tiscali s.p.a. per individuare l’amministratore degli spazi web (uno dei quali contenente il secondo script del programma Vierika). [...] Occorre innanzitutto precisare che non è compito di questo Tribunale determinare un protocollo relativo alle procedure informatiche forensi, ma semmai verificare se il metodo utilizzato dalla p.g. nel caso in esame abbia concretamente alterato alcuni dei dati ricercati. In altre parole, non è permesso al Tribunale escludere a priori i risultati di una tecnica informatica utilizzata a fini forensi solo perché alcune fonti ritengono ve ne siano di più scientificamente corrette, in assenza della allegazione di fatti che suggeriscano che si possa essere astrattamente verificata nel caso concreto una qualsiasi forma di alterazione dei dati e senza che venga indicata la fase delle procedure durante la quale si ritiene essere avvenuta la possibile alterazione. In termini generali, quando anche il metodo utilizzato dalla p.g. non dovesse ritenersi conforme alla migliore pratica scientifica, in difetto di prova di una alterazione concreta, conduce a risultati che sono, per il principio di cui all’art. 192 c.p.p., liberamente valutabili dal giudice alla luce del contesto probatorio complessivo (fermo restando che maggiore è la scientificità del metodo scelto, minori saranno i riscontri che il giudice è chiamato a considerare per ritenere attendibili gli esiti delle operazioni tecniche).
  67. 67. - A.I.S.F.- ACCADEMIA INTERNAZIONALE DI SCIENZE FORENSI - Avv.Emanuele Florindi <avv.emanueleflorindi@eflorindi.it> Grazie per l'attenzione! © 2016 by Emanuele Florindi florindi@ciace-Florindi.it Il presente materiale è soggetto a licenza CC Attribuzione - Condividi allo stesso modo 3.0 Italia (CC BY-SA 3.0). La comunicazione all’autore non è obbligatoria, ma è gradita.

×