Computer forensics: dar voce ai bit

di Emanuele Florindi - Un percorso guidato tra le varie fase delle indagini che conducono al processo per reato informatico. Come si svolgono le perizie?

Perugia – Nelle scorse settimane l’Avv. Florindi ha illustrato le modalità di avvio delle indagini, fino al momento dell’emissione del cosiddetto “avviso di garanzia”, nonché l’avvio della perquisizione con le diverse modalità di raccolta delle prove. La trattazione si conclude questa settimana con una breve rappresentazione delle modalità di analisi tipicamente adottate dai periti tecnici.

Dar voce ai bit
L’analisi dei reperti informatici rappresenta il culmine dell’attività investigativa finalizzata alla repressione della maggior parte dei reati informatici, ma, per quanto apparentemente semplice, questa fase dell’indagine richiede una notevole attenzione e competenza: eventuali errori commessi in questa sede potrebbero compromettere l’intera indagine, soprattutto in relazione alla successiva utilizzabilità processuale delle prove raccolte.

Non sempre le prove sono immediatamente individuabili, essendo possibile che le stesse siano dissimulate all’interno di altri files (steganografia), protette da meccanismi di crittografia o conservate all’interno di client di posta elettronica o client newsgroup. Ad esempio, l’analisi dell’hard disk rappresenta spesso la prova del nove nel corso di un’indagine per pedopornografia: non importa quali e quante prove si siano raccolte nelle precedenti fasi investigative, è necessario dimostrare che il materiale è stato consapevolmente acquisito e, eventualmente, consapevolmente ceduto a terzi. Proprio per tale ragione non è sufficiente verificare la mera presenza di immagini o filmati, ma è necessario dimostrare che il materiale è stato consapevolmente e volontariamente trattato.

A ciò si aggiunga che è facile reperire programmi che consentono di creare un’intera partizione fat32 o ntfs criptata: in alcuni casi, la partizione può comprendere l’intero sistema operativo ed i relativi file di boot, di swap, i file temporanei eccetera, ed è altresì possibile che tale partizione si avvii solo utilizzando un apposito dischetto di boot. In assenza del floppy la partizione appare come spazio non formattato.

In relazione a programmi di crittografia e steganografia è bene ricordare che si tratta di programmi perfettamente legittimi il cui utilizzo, almeno in assenza di ulteriori elementi a carico, non può essere valutato a sfavore dell’imputato. Tra l’altro è opportuno ricordare che, secondo la legge italiana, l’imputato ha il pieno diritto di rifiutarsi di consegnare le eventuali password necessarie ad accedere a file e/o cartelle crittografate, tuttavia tale comportamento può essere valutato negativamente dal giudice nel caso di un’eventuale condanna.

Una volta effettuata la copia dell’hard disk è possibile procedere all’analisi del suo contenuto ed anche le operazioni compiute in questa fase dovrebbero essere dettagliatamente documentate e ripetibili. In particolare la dottrina americana ha contestato l’utilizzo di software proprietari per eseguire l’analisi e generare un rapporto: in linea di massima si sostiene che quando ci si avvale di tali programmi non è possibile sapere come si è arrivati ad un determinato risultato (per esempio il recupero di una cartella cancellata).

A mio avviso, laddove l’accertamento sia ripetibile, la questione è facilmente risolvibile in quanto la possibilità di ripetere l’esame in sede di dibattimento è di per sé idonea garanzia del rispetto del diritto di difesa dell’imputato. In breve, il corretto interrogativo dovrebbe essere non che tool è stato utilizzato, ma se l’analista aveva o meno il necessario background tecnico e legale.

Ciò che in realtà veramente conta è, infatti, la preparazione e lo scrupolo del soggetto che fisicamente esegue l’analisi. Si prenda, ad esempio, un’indagine in tema di detenzione di materiale pedopornografico: l’approccio più corretto porta a richiedere, spesso sin dalle fase delle indagini preliminari, non soltanto di valutare la presenza di materiale, ma anche di escludere (o confermare!) che la detenzione dello stesso sia avvenuta inconsapevolmente, ad esempio perché si è erroneamente scaricato un filmato pedo pornografico dai circuiti del p2p, ovvero se si è involontariamente acceduto ad un sito pedopornografico.

Avv. Emanuele Florindi
http://www.accademiascienzeforensi.it
http://www.telediritto.it

La tua email sarà utilizzata per comunicarti se qualcuno risponde al tuo commento e non sarà pubblicato. Dichiari di avere preso visione e di accettare quanto previsto dalla informativa privacy

  • vavava scrive:
    BUFALA !!!
    E' in amministrazione controllata per fallimento !Pertanto non può più indire NESSUNA azione legale anche perchè e inoltre NON è più proprietaria di UNIX in quanto è ritornato TUTTO in mano ad Novell la cui Microsoft versò la bellezza di 15Miliardi come prima trance per i diritti.Infatti la GulfCap vuole solo i fabbricati e macchinari (asset) che sono rimasti MA stanno solo cercando di non liquidarla troppo facilmente perchè POI le banche dovranno segnare le PERDITE sui libri contabili, perdite ENORMI e INSANABILI, basti pensare che non basterebbe (senza contare gli interessi) il capitale di IBM e Google per liquidarle !!! Non è il momento più opportuno per le banche (rotfl)Insomma la classica bufala per spaventare gli utenti Linux (che chiede ora i danni alla SCO) o di chi NON conosce l'inglese !Ciao
  • Newmann scrive:
    Non si riesumano i cadaveri
    Vogliono solo cercare di fare spot pubblicitari.
  • zaur scrive:
    Grandi!
    ...si sono ricompattati in SCO http://yep.it/sco
  • lufo88 scrive:
    soluzione
    "o liquidare definitivamente l'azienda mettendo la parola fine alla sua controversa campagna legale anti-Linux."Così la finiamo di far perdere tempo.
  • Bic Indolor scrive:
    Ma questo McBride...
    ...chi è?Se si è venduto anche l'ultimo pezzo di azienda che funzionava normalmente per pagarsi la causa più persa ed inutile del mondo, uno che non sa fare 2+2 pensa che sia pazzo.Ma anche se, come si sospettava all'inizio, la causa fosse stata foraggiata da microsoft per rallentare o fermare lo sviluppo di linux, dopo aver fallito peggio che miseramente ed essere stato scaricato dai suoi finanziatori avrebbe dovuto smettere questa strada. Ma allora chi c'è dietro veramente?
    • palle scrive:
      Re: Ma questo McBride...
      - Scritto da: Bic Indolor
      ...chi è?

      Se si è venduto anche l'ultimo pezzo di azienda
      che funzionava normalmente per pagarsi la causa
      più persa ed inutile del mondo, uno che non sa
      fare 2+2 pensa che sia
      pazzo.
      Ma anche se, come si sospettava all'inizio, la
      causa fosse stata foraggiata da microsoft per
      rallentare o fermare lo sviluppo di linux, dopo
      aver fallito peggio che miseramente ed essere
      stato scaricato dai suoi finanziatori avrebbe
      dovuto smettere questa strada.


      Ma allora chi c'è dietro veramente?Microsoft.
      • Eugenio Odorifero scrive:
        Re: Ma questo McBride...

        Microsoft.Che però ha fatto accordi con Novell.Accidenti, e io che credevo che gli inciuci fossero una roba tutta italiana. O siamo stati dei cattivi maestri?
        • Barbapuzzol o scrive:
          Re: Ma questo McBride...
          - Scritto da: Eugenio Odorifero

          Microsoft.

          Che però ha fatto accordi con Novell.
          Accidenti, e io che credevo che gli inciuci
          fossero una roba tutta italiana. O siamo stati
          dei cattivi
          maestri?E' il "piano B", se MS non riesce a uccidere GNU-Linux, vuole almeno che più aziende possibili stringano accordi preventivi pagando qualcosa (e legandosi un minimo le mani) per la tranquillità di non essere trascinate in estenuanti azioni legali, non tutti hanno i mezzi di IBM.
        • pippuz scrive:
          Re: Ma questo McBride...
          - Scritto da: Eugenio Odorifero

          Microsoft.

          Che però ha fatto accordi con Novell.l'espressione "pararsi il sederino" (per non essere volgari) in tutti i casi?
          Accidenti, e io che credevo che gli inciuci
          fossero una roba tutta italiana. O siamo stati
          dei cattivi maestri?come in Italia, ognuno ha il suo tornaconto, e le allodole per gli specchietti ci sono sempre
        • vavava scrive:
          Re: Ma questo McBride...
          - Scritto da: Eugenio Odorifero

          Microsoft.

          Che però ha fatto accordi con Novell.
          Accidenti, e io che credevo che gli inciuci
          fossero una roba tutta italiana. O siamo stati
          dei cattivi
          maestri?Accordi con Novell in quanto ora possiede tutti i diritti su UNIX e molte parti di Windows hanno codice UNIX. SCO ora è una scatola vuota, per questo la GulfCap vuole solo gli asset e non l'azienda.Ciao
    • Cell scrive:
      Re: Ma questo McBride...

      Ma allora chi c'è dietro veramente?Piuttosto: ma che potrebbe avere sempre sotto il naso? Coca?
    • Federico scrive:
      Re: Ma questo McBride...
      - Scritto da: Bic Indolor
      ...chi è?

      Se si è venduto anche l'ultimo pezzo di azienda
      che funzionava normalmente per pagarsi la causa
      più persa ed inutile del mondo, uno che non sa
      fare 2+2 pensa che sia
      pazzo.E a che gli serve la divisione UNIX? Nessun nuovo cliente comprerebbe il supporto tecnico da una scoietà sull'orlo del fallimento, e i clienti vecchi ormai li staranno abbandonando.
      Ma anche se, come si sospettava all'inizio, la
      causa fosse stata foraggiata da microsoft per
      rallentare o fermare lo sviluppo di linux,Sembrava abbastanza certo...
      aver fallito peggio che miseramente ed essere
      stato scaricato dai suoi finanziatori avrebbe
      dovuto smettere questa strada.M$ purtroppo non è stupida come SCO. Non credo si siano impegnati a sostenere l'intera causa indipendentemente da come sarebbe finita e quanto sarebbe durata.
      Ma allora chi c'è dietro veramente?La disperazione.
      • Shu scrive:
        Re: Ma questo McBride...
        - Scritto da: Federico
        M$ purtroppo non è stupida come SCO. Non credo si
        siano impegnati a sostenere l'intera causa
        indipendentemente da come sarebbe finita e quanto
        sarebbe
        durata.Io credo che non sia affatto stupida.Penso che stia finanziando questa causa SCO-IBM fin dall'inizio, e che la stia facendo durare il più possibile, perché così può continuare a spargere FUD ("Linux contiene codice brevettato da Unix").Contemporaneamente sta spingendo l'accordo con Novel che praticamente dice "Linux contiene codice brevettato da MS").Questo serve essenzialmente a dire ai loro clienti "non usate Linux, perché ci sono ancora molti dubbi sul fatto che non contenga codice brevettato da altri, e potrebbe morire da un giorno all'altro. Guardate: abbiamo un proXXXXX in corso e un contratto con un produttore Linux a dimostrarlo".Bye.
        • Federico scrive:
          Re: Ma questo McBride...
          Da quel che ho capito io la causa è finita nel peggiore dei modi per loro: non solo hanno torto, ma il giudice ha deciso che comunque siano andate le cose loro non possono accampare nemmeno mezzo diritto su UNIX.Se anche trovassero i soldi per andare in appello, per me, potrebbero solo sperare di ridurre un pochettino i danni. Penso che ormai non contino più nulla nè per M$ nè per i concorrenti nè per i potenziali clienti. Io ero convinto che si fossero sciolti. Forse solo i giornalisti di PI sanno che SCO esiste ancora :)
      • uindovs ambassador scrive:
        Re: Ma questo McBride...


        E a che gli serve la divisione UNIX? Nessun nuovo
        cliente comprerebbe il supporto tecnico da una
        scoietà sull'orlo del fallimento, e i clienti
        vecchi ormai li staranno
        abbandonando.Nessuno tranne per esempio la nostra Guardia di Finanza
        • Federico scrive:
          Re: Ma questo McBride...
          Ah si? Ma la cosa non mi stupisce: se la stupidità facesse XXXXXXXXXXre, i dirigenti della PA italiana sarebbero in orbita.
  • paoloholzl scrive:
    Strano ... ma non le è bastato?
    Non mi stupisce per loro, penso lo facciano perché non hanno alternative.Sono invece quelli di GulfCap che mi piacerebbe sapere da dove saltano fuori e da dove arrivano i soldi che ci metteranno ...
    • GeneraleClu ster scrive:
      Re: Strano ... ma non le è bastato?
      E' una delle "sorelle" del petrolio, al momento ha tanti di quei soldi da poterci tappezzare il pianeta. Purtroppo.
      • palle scrive:
        Re: Strano ... ma non le è bastato?
        - Scritto da: GeneraleClu ster
        E' una delle "sorelle" del petrolio, al momento
        ha tanti di quei soldi da poterci tappezzare il
        pianeta.
        Purtroppo.Non c'entra nulla con la Gulf, intesa come compagnia petrolifera.E' solo una banca d'affari texana, con soci molto ma molto dubbi...
        • pabloski scrive:
          Re: Strano ... ma non le è bastato?
          dubbi? lo sappiamo come gira il mondo :Dda 10 anni c'è un mucchio di gente con le pezze al XXXX che diventa miliardaria dall'oggi al domanii cartelli si espandono a quanto vedo e hanno bisogno di manovalanza per riciclare i loro ingenti profitti
        • Federico scrive:
          Re: Strano ... ma non le è bastato?
          - Scritto da: palle
          E' solo una banca d'affari texana, con soci molto
          ma molto
          dubbi...Cioè?
          • palle scrive:
            Re: Strano ... ma non le è bastato?
            - Scritto da: Federico
            - Scritto da: palle

            E' solo una banca d'affari texana, con soci
            molto

            ma molto

            dubbi...

            Cioè?Finanziano cose strane e fanno consulenze per acquisizioni di aziende e transazioni finanziare. Hanno soci e finanziatori in America centrale e meridionale, in paesi arabi e in Asia. Puzza tanto di riciclaggio.
    • vavava scrive:
      Re: Strano ... ma non le è bastato?
      - Scritto da: paoloholzl
      Non mi stupisce per loro, penso lo facciano
      perché non hanno
      alternative.

      Sono invece quelli di GulfCap che mi piacerebbe
      sapere da dove saltano fuori e da dove arrivano i
      soldi che ci metteranno
      ...E' una bufala, la GulfCap vuole solo ASSET, ovvero i fabbricati e macchinari e non vuole la ditta stessa. Inoltre propone una cifra per la svendita che non basterebbe ad ripagare un MILIONESIMO della perdita con interessi presso le banche.Ciao
  • Federico scrive:
    hahahaha
    E' un po' come se un meccanico vendesse l'officina per pagare gli avvocati per far causa alla FIAT. :)L'idiozia della dirigenza SCO si è capita già da anni. Questa cretinata è iniziata quando hanno accettato soldi da M$ (che ha comprato loro servizi che non ha mai usato) per iniziare questa folle causa contro IBM, SuSE (ora Novell) e Red Hat... nonchè decine di grossissime aziende (tipo General Motors) che, siccome utilizzano GNU/Linux, secondo questi pazzi dovevano pagargli le licenze... hehehehe.Ma il modo in cui hanno condotto il proXXXXX è comico. Per mesi hanno detto: "in Linux ci sono righe di codice che ci appartengono". E Linus Torvalds, fin dall'inizio, rispose: "Non mi risulta ma diteci quali sono, ne parleremo". Nessuna risposta. Solo dopo mesi, durante una conferenza stampa, hanno mostrato una funzione a titolo di esempio. Ma la funzione non era più in Linux da diversi anni, perchè fatta male, e inoltre era presente in decine di libri didattici. A queste osservazioni non risposero mai. Dopo più di un anno il giudice si infuriò, perchè si stava parlando del nulla: come si fa a stabilire se un codice è stato rubato, se non si sa nemmeno di quale codice stiamo parlando? E gli impose di presentare tutta la documentazione all'udenzia successiva. Ma all'udienza successiva SCO disse: "ma veramente c'è un nostro avvocato che ha perso l'aereo, non ha potuto venire, la documentazione ce l'ha lui...".
    • dejv scrive:
      Re: hahahaha
      se "non ha potuto venire" mi sa che non ha perso l'aereo.. ha semplicemente avuto problemi di erezione
      • SauroS scrive:
        Re: hahahaha
        anche di grammatica... ;)
        • Federico scrive:
          Re: hahahaha
          Dopo una certa ora della notte il verbo essere e il verbo avere diventano intercambiabili, come i modi e i tempi dei verbi, le lettere e a volte perfino i concetti :)E comunque ho fatto meno errori di sintassi rispetto a quanti ne facciano i programmatori M$ :)
          • non autenticat o scrive:
            Re: hahahaha
            non credo sia un errore di grammatica; quando ci sono due verbi che accettano uno essere e l'altro avere, si può mettere uno qualunque degli ausiliari (almeno così mi ricordo io... ma potrei anche sbagliarmi)
          • anony mo scrive:
            Re: hahahaha
            Assolutamente no...Volere, potere, dovere sono verbi fraseologici che prendono l'ausiliare del verbo che reggono nella frase in questione.Pertanto:io SONO andato
            sono potuto andare;io HO mangiato
            ho potuto mangiare.Purtroppo oggi si sente molto spesso la versione scorretta, che grammaticalmente resta in-accettabile (col trattino per evitare che qualcuno pensi che voglia esprimere un giudizio di carattere extragrammaticale).
          • Luca scrive:
            Re: hahahaha
            Badate bene che i verbi servili ammettono anche l'ausiliare avere:«Se il verbo che segue il servile è intransitivo, si può usare sia "essere" che "avere": es. "è dovuto uscire" o "ha dovuto uscire".»http://www.accademiadellacrusca.it/faq/faq_risp.php?id=3934&ctg_id=93«i cosiddetti verbi servili (in particolare i più comuni dovere, potere e volere) usati da soli richiedono lausiliare avere, quando invece accompagnano linfinito di un altro verbo *possono* assumerne lausiliare (sono dovuto andare)»http://www.accademiadellacrusca.it/faq/faq_risp.php?id=5060&ctg_id=93-- Luca
  • Bastard Inside scrive:
    Sublime sprezzo...
    ...del ridicolo :-P
Chiudi i commenti