Computer forensics, tra mito e realtà

di Emanuele Florindi - Un percorso guidato tra le varie fase delle indagini che conducono al processo per reato informatico. Una definizione di computer forensics e l'avvio delle intercettazioni

Perugia – L’informatica rappresenta un fenomeno cresciuto e diffusosi fino a diventare, nel bene e nel male, uno strumento irrinunciabile del nostro quotidiano: le problematiche giuridiche sollevate dallo sviluppo dell’universo elettronico rappresentano, probabilmente, uno dei terreni di sfida culturale più stimolanti della nostra epoca.

In tale ambito, uno dei temi che più appassionano gli esperti è proprio quello relativo al computer come prova da acquisire, analizzare ed utilizzare in un processo: nei procedimenti per reati informatici, ma non soltanto in quelli, il computer si è spesso rivelato un “testimone chiave” per l’accusa o per la difesa.

In realtà sarebbe più corretto, almeno formalmente, parlare del computer come prova , se non come fonte di prova , ma non di rado l’approccio del perito (nominato dal giudice) o del consulente (nominato da una delle parti) con il computer è più simile a quello di chi interroghi un testimone reticente, piuttosto che quello di chi esamini un reperto inanimato: non basta trovare tracce del reato (o non trovarne), occorre interpretarne i silenzi (i dati sono stati cancellati o non sono mai esistiti?) e, persino, le “rivelazioni” (i dati si trovano lì ad insaputa dell’imputatoindagato o vi sono stati consapevolmente collocati da lui?).

Proprio per questa ragione l’analisi di un computer non dovrebbe mai ridursi ad un “positivo” o a un “negativo”, ma dovrebbe essere sempre adeguatamente motivata, soprattutto in presenza di reati particolarmente odiosi quali quelli di detenzione, cessione o divulgazione di pornografia minorile.

L’analisi non può, quindi, essere ridotta ad attività meramente informatica, in quanto il consulente dovrebbe cercare di ricostruire il comportamento tenuto dall’imputato di fronte al computer, arrivando ad interpretare i risultati dell’analisi alla luce di tale ricostruzione comportamentale, anche e, soprattutto, al fine di valutare se un determinato atto è stato compiuto volontariamente o no.

Non può, poi, non avvertirsi l’esigenza di regole comuni, di procedure certe in assenza delle quali è molto difficile riuscire a garantire un sereno rapporto tra accusa e difesa nella dialettica processuale e preprocessuale. Mai come oggi, infatti, si avverte la necessità della “certezza delle regole” per quanto riguarda l’individuazione e la conservazione dei dati che poi costituiranno l’oggetto su cui si fonderà la valutazione dell’organo giudicante. Il rilevamento, la conservazione ed il trattamento di questi dati e delle informazioni che gli investigatori (ma anche, non dimentichiamolo, i difensori) possono rilevare nel normale svolgimento dell’attività d’indagine esigono un protocollo operativo che ne garantisca integrità non repudiabilità in sede processuale.

L’informatica forense si presenta davvero come una scienza complessa, multidisciplinare e, proprio per questo, estremamente intrigante. Andiamo ora, senza alcuna pretesa di completezza, ad affrontare alcuni degli aspetti più interessanti di questa affascinante disciplina.

Le fase delle indagini preliminari
L’indagine relativa ai reati informatici dipende in gran parte dal tipo di crimine che si vuole reprimere e dagli strumenti forniti all’uopo dal legislatore: diverse sono le tracce lasciate dagli autori e, conseguentemente, diverse devono essere le modalità investigative.

Alcune caratteristiche sono, tuttavia, comuni a prescindere dall’illecito commesso. In primis una particolare esigenza di celerità nell’acquisizione di prove ed informazioni: poche cose sono volatili come le prove informatiche. Basta davvero molto poco per alterarle, modificarle o renderle comunque inservibili, sia volontariamente che involontariamente: è necessario che l’investigatore sia in grado di ricostruire con precisione le modalità con cui è stato commesso il reato anche al fine di valutare adeguatamente la genuinità di eventuali prove raccolte ovvero di scagionare eventuali coimputati.

È in questa fase, in cui l’indagato è generalmente all’oscuro delle indagini, che possono essere disposte intercettazioni telefoniche, informatiche o ambientali, ovvero vengono acquisiti elementi di prova da utilizzare successivamente (accesso a siti, contatti in chat, scambio di materiale attraverso le reti p2p): si tratta di attività che devono seguire dei rigidi protocolli comportamentali la cui violazione potrebbe poi portare all’inutilizzabilità in sede dibattimentale della prova acquisita.

In questa fase non vi è ancora nessun obbligo formale di avvisare l’indagato, ma questi, se ha il sospetto della pendenza di indagini sul suo conto, può presentare un’istanza presso la Procura della Repubblica per sapere se vi sono procedimenti penali a suo carico (art. 335 cpp). In caso positivo questi gli devono essere comunicati, salvo che l’indagine riguardi reati particolarmente gravi ovvero tale informazione sia stata secretata dal PM.

In ogni caso, anche in assenza dello status di imputato o indagato, è possibile svolgere indagini difensive in via preventiva, ad esclusione degli atti che richiedono l’intervento dell’autorità giudiziaria e purché il difensore abbia ricevuto un apposito mandato.

Per esempio, a seguito di uno scambio di insulti in un forum Tizio sospetta che Caio possa averlo querelato: incarica il proprio difensore di svolgere attività investigativa preventiva al fine di acquisire tutti quegli elementi che potrebbero rivelarsi utili per la futura difesa. Il difensore potrà interrogare testimoni (in realtà si tratta di colloqui, ricezione di informazioni e assunzioni di informazioni) e/o acquisire documenti di vario genere (391-bis e seguenti).

Al di fuori di questi, rari, casi il soggetto scopre di essere indagato nel momento in cui riceve la famigerata “informazione di garanzia”.

Avv. Emanuele Florindi
http://www.accademiascienzeforensi.it
http://www.telediritto.it

La trattazione dell’Avv. Florindi proseguirà nelle prossime settimane analizzando le fasi successive dell’indagine: la perquisizione e il sequestro, l’istruzione del processo e il trattamento dei reperti, l’entrata in campo dei periti e l’interpretazione delle prove.

La tua email sarà utilizzata per comunicarti se qualcuno risponde al tuo commento e non sarà pubblicato. Dichiari di avere preso visione e di accettare quanto previsto dalla informativa privacy

  • luigi scrive:
    SE non dicono nulla si tratta di WIN :-)
    "The scripts attempt to exploit vulnerabilities in Adobe's Acrobat Reader and Flash Player to deliver code that injects malicious search results when a user searches Google on Internet Explorer, ScanSafe said."INTERNET EXPLORER perché non consigliatr la gente di cambiare sistema operativo o perlomeno il browser :-)
  • Pinko PALLO scrive:
    DNS???
    Ma che c'entra il DNS?Questo è un servizio che risolve i NOMI in Indirizzi IP (può esserne scelto uno a piacere, tipo OpenDNS, non necessariamente quello dell'ISP) : non influenza assolutamente l'IP del Client di origine!Forse intendevate il PROXY, che invece fà le richieste al posto vostro (anche questo può essere scelto a piacere, non necessariamente quello dell'ISP) : l'host che riceve la richiesta "vede" l'IP del Proxy, non quello del Client di partenza...In ogni caso, l'IP del Client di origine è assegnato dall'ISP.Saluti, RINGHIO.
  • Funz scrive:
    Disconnettere dalla rete gli infetti
    Ci vorrebbe collaborazione tra forze dell'ordine e ISP non per correre dietro agli scariconi, ma molto più semplicemente per bloccare l'acXXXXX alla rete dei computer infetti.Visto che i PC sparaspam e spargimalware sono facilmente identificabili a livello di ISP, basterebbe redirigere qualunque loro acXXXXX web verso una pagina di default dove si spiega la situazione, e si intima di liberarsi del malware prima di riavere l'acXXXXX. Uniche eccezioni al blocco, i siti degli antivirus e SW di sicurezza.Prevedo grossi problemi per quelle LAN che si ritroverebbero tagliate fuori in blocco per un solo PC infetto, ma ciò obbligherebbe i loro gestori a fare più attenzione.Unica criticità: il garantire il riacXXXXX immediato a chi dimostra di essersi "ripulito".-----------------------------------------------------------Modificato dall' autore il 22 maggio 2009 09.08-----------------------------------------------------------
    • sylvaticus scrive:
      Re: Disconnettere dalla rete gli infetti
      molto interessante... adesso faccio spam io.. inseriscila su http://www.kliphoo.com.. un "database di idee" (ci sto ancora lavorando)
    • malus scrive:
      Re: Disconnettere dalla rete gli infetti
      si... e io sono superman!!!
    • Sgabbio scrive:
      Re: Disconnettere dalla rete gli infetti
      Se uno usa un DNS diverso da quello del proprio ISP ?
      • Psyco scrive:
        Re: Disconnettere dalla rete gli infetti
        Ma chi ci' trasi???L'indirizzo Ip della Macchina dove e' Hostato quello e'...Il problema e' che la gente Naviga in rete...come Amministratore.Si e' vero, come Utente, esistono escamotage...ma almeno ci vuole piu' tempo, e magari Si Accorge che c'e' qualcosa che non va...prima di riavviare il Pc!!!Ps: Il DNS, serve se uno volesse uscire Fuori...dal recinto dell'ISP...non vedo che centra con l'Identificare il sito...e bloccarlo...certo new sito, new Ip...ma prima o poi lo beccano...
        • Psyco scrive:
          Re: Disconnettere dalla rete gli infetti
          cercando martuz.cn su freedns si trova cio':Domain Name: martuz.cnROID: 20090513s10001s44729746-cnDomain Status: okRegistrant Organization: ChenRegistrant Name: ChenAdministrative Email: ****************@yahoo.comSponsoring Registrar: 北京新网数码信息技术有限公司Name Server:ns1.everydns.netName Server:ns2.everydns.netName Server:ns3.everydns.netName Server:ns4.everydns.netRegistration Date: 2009-05-13 01:40Expiration Date: 2010-05-13 01:40Si continua cercando i vari dns...su http://www.internic.nete si trova che...Server Name: NS1.EVERYDNS.NET IP Address: 208.76.56.56 Registrar: MONIKER ONLINE SERVICES, INC. Whois Server: whois.moniker.com Referral URL: http://www.moniker.com/whois.html


          Last update of whois database: Fri, 22 May 2009 16:03:23 UTC
Chiudi i commenti