Computer forensics: dar voce ai bit

Perugia – Nelle scorse settimane l’Avv. Florindi ha illustrato le modalità di avvio delle indagini, fino al momento dell’emissione del cosiddetto “avviso di garanzia”, nonché l’avvio della perquisizione con le diverse modalità di raccolta delle prove. La trattazione si conclude questa settimana con una breve rappresentazione delle modalità di analisi tipicamente adottate dai periti tecnici.

Dar voce ai bit
L’analisi dei reperti informatici rappresenta il culmine dell’attività investigativa finalizzata alla repressione della maggior parte dei reati informatici, ma, per quanto apparentemente semplice, questa fase dell’indagine richiede una notevole attenzione e competenza: eventuali errori commessi in questa sede potrebbero compromettere l’intera indagine, soprattutto in relazione alla successiva utilizzabilità processuale delle prove raccolte.

Non sempre le prove sono immediatamente individuabili, essendo possibile che le stesse siano dissimulate all’interno di altri files (steganografia), protette da meccanismi di crittografia o conservate all’interno di client di posta elettronica o client newsgroup. Ad esempio, l’analisi dell’hard disk rappresenta spesso la prova del nove nel corso di un’indagine per pedopornografia: non importa quali e quante prove si siano raccolte nelle precedenti fasi investigative, è necessario dimostrare che il materiale è stato consapevolmente acquisito e, eventualmente, consapevolmente ceduto a terzi. Proprio per tale ragione non è sufficiente verificare la mera presenza di immagini o filmati, ma è necessario dimostrare che il materiale è stato consapevolmente e volontariamente trattato.

A ciò si aggiunga che è facile reperire programmi che consentono di creare un’intera partizione fat32 o ntfs criptata: in alcuni casi, la partizione può comprendere l’intero sistema operativo ed i relativi file di boot, di swap, i file temporanei eccetera, ed è altresì possibile che tale partizione si avvii solo utilizzando un apposito dischetto di boot. In assenza del floppy la partizione appare come spazio non formattato.

In relazione a programmi di crittografia e steganografia è bene ricordare che si tratta di programmi perfettamente legittimi il cui utilizzo, almeno in assenza di ulteriori elementi a carico, non può essere valutato a sfavore dell’imputato. Tra l’altro è opportuno ricordare che, secondo la legge italiana, l’imputato ha il pieno diritto di rifiutarsi di consegnare le eventuali password necessarie ad accedere a file e/o cartelle crittografate, tuttavia tale comportamento può essere valutato negativamente dal giudice nel caso di un’eventuale condanna.

Una volta effettuata la copia dell’hard disk è possibile procedere all’analisi del suo contenuto ed anche le operazioni compiute in questa fase dovrebbero essere dettagliatamente documentate e ripetibili. In particolare la dottrina americana ha contestato l’utilizzo di software proprietari per eseguire l’analisi e generare un rapporto: in linea di massima si sostiene che quando ci si avvale di tali programmi non è possibile sapere come si è arrivati ad un determinato risultato (per esempio il recupero di una cartella cancellata).

A mio avviso, laddove l’accertamento sia ripetibile, la questione è facilmente risolvibile in quanto la possibilità di ripetere l’esame in sede di dibattimento è di per sé idonea garanzia del rispetto del diritto di difesa dell’imputato. In breve, il corretto interrogativo dovrebbe essere non che tool è stato utilizzato, ma se l’analista aveva o meno il necessario background tecnico e legale.

Ciò che in realtà veramente conta è, infatti, la preparazione e lo scrupolo del soggetto che fisicamente esegue l’analisi. Si prenda, ad esempio, un’indagine in tema di detenzione di materiale pedopornografico: l’approccio più corretto porta a richiedere, spesso sin dalle fase delle indagini preliminari, non soltanto di valutare la presenza di materiale, ma anche di escludere (o confermare!) che la detenzione dello stesso sia avvenuta inconsapevolmente, ad esempio perché si è erroneamente scaricato un filmato pedo pornografico dai circuiti del p2p, ovvero se si è involontariamente acceduto ad un sito pedopornografico.

Avv. Emanuele Florindi
http://www.accademiascienzeforensi.it
http://www.telediritto.it