Street View cambia punto di vista

dd+ netcat
http://lenst.det.unifi.it/Members/ronga/resources/dd-gzip-netcat-backup-e-cloning-di-un-hard-disk

Re: dd+ netcat
Per copie forensi è meglio usare questo:http://dcfldd.sourceforge.net/Si consigliano macchine "carozzate" per trasferire le copie

Re: dd+ netcat
http://www.freemedialab.org/wiki/doku.php?id=sistema:clonare_supportiDD è un programma veramente duttile e permette di controllare fino in fondo tutto quello che si fa.Ciao

Re: dd+ netcat
Personalmente il mio consiglio è quello di utilizzare un dispositivo hardware (Hardcopy della Voom, Talon di Logicube o strumenti similari) al fine di ridurre al minimo il rischio di errori.Immaginate che bello se anziché scrivere (NOTA: metto solo parte del comando per comodità) dd if=/dev/hda ... of=/dev/hdb ove hda è l'origine si scrive dd if=/dev/hdb ... of=/dev/hdaCerto si può sempre utilizzare la più sicuradd if=/dev/hda of=/mnt/sda1/pippo/pippo.dd o meglio ancora un'interfaccia grafica, ma l'errore è sempre in agguato.In questi casi è buona norma (leggiù: se non lo fate siete pazzi criminali incuranti della vostra sicurezza ;)) utilizzare almeno un write blocker, ma tanto che dovete fare la spesa molto meglio un copiatore hardware: lì l'unico errore possibile è attaccare al contrario gli hard disk :

Re: dd+ netcat
Basta che monti hda in sola lettura.Se uno le cose non le sa fare o non le fa o è giusto che spenda soldi in più in soluzioni alla sua portata.

Re: dd+ netcat
- Scritto da: 4.3BSD> Basta che monti hda in sola lettura.> > Se uno le cose non le sa fare o non le fa o è> giusto che spenda soldi in più in soluzioni alla> sua> portata.Quoto!!! Mi basta il write blocker e dcfldd...-----------------------------------------------------------Modificato dall' autore il 05 giugno 2009 10.52-----------------------------------------------------------

Re: dd+ netcat
- Scritto da: 4.3BSD> Basta che monti hda in sola lettura.> > Se uno le cose non le sa fare o non le fa o è> giusto che spenda soldi in più in soluzioni alla> sua> portata.no, se usi dd accedi direttamente al dispositivo a blocchi e non al filesystem montato, quindi le opzioni di mount (ro in questo caso) sono irrilevanti

Ghost4Linux
anche questo può servire:http://sourceforge.net/projects/g4l

COMPUTER FORENSIC
personalmente ho avuto il dispiacere di vedermi sequestrare il PC in quanto avendo acquistato un mezzo già assicurato, ad un controllo dei carabinieri l'assicurazione risultava falsa, quindi incasinando le cose con la calunia di venirmi a casa in presenza dei miei 2 bambine di 12 e 5 anni a cercarmi "ARMI" ??? iniziavano una vergognosa perquisizione, per poi portarsi via il mio PC e due Stampanti.Dopo 2 anni mi hanno ridato il tutto, ma il PC non funziona più !lamentando l'accaduto con i carabinieri, mi hanno risposto sono cose che succedono nell'esame del disco ??Ma che cavolo di Periti usano nell'arma ?? si esamina rompendo tutto ?comunque questo per sentito dire succede al 99% dei computer sequestrati, ecco perchè in Italia i veri criminali sono impuniti, perchè i CARABINIERI distruggono le prove... hehehe.

Re: COMPUTER FORENSIC
Così impari a rigare dritto. La prossima volte potremmo gonfiarti di botte di fronte alla tua famiglia. :D

Truecrypt
ma se io utilizzo truecrypt cin una password da 25 caratteri, cosa succede? si attaccano al tram :)un saluto per i computer forensssisss

Re: Truecrypt
- Scritto da: lll> ma se io utilizzo truecrypt cin una password da> 25 caratteri, cosa succede?> > si attaccano al tram :)> un saluto per i computer forensssisssManganellate in fronte e cagate in faccia finchè non sputi la password.

Re: Truecrypt
ma ancora meglio usi un keyfile da 1 Megabyte :Din Italia non essendoci l'obbligo di rilevare la password si attaccano al tram

Re: Truecrypt
esagerato il keyfile da1 mega :)

Re: Truecrypt
mica tanto, c'è chi li usa ;)

Re: Truecrypt
> in Italia non essendoci l'obbligo di rilevare la> password si attaccano al> tramFai molta attenzione, perchè se ne è già discusso sul forum.La password come stringa di caratteri non è obbligatorio rivelarla. Tuttavia la crittografia di un file equivale alla chiusura in cassaforte di un documento cartaceo.Se tale documento è oggetto di sequestro in quanto ritenuto fonte di prova, sei tenuto non a rivelare il codice della cassaforte ma solo ad aprirla e a consegnare il documento.Tenere cifrato un file equivale a rifiutarsi di consegnare all'autorità una prova durante un sequestro. Non sono un avvocato, ma ipotizzo resistenza a pubblico ufficiale.

Re: Truecrypt
dirà che si è dimenticato la password...

Re: Truecrypt
tutto dipende da come è congegnato il meccanismo giuridicoin Italia non so se valga la norma secondo cui l'indagato non è obbligato a fornire elementi che lo possano incriminare, mi pare che ci siasapevo che negli USA prima del patriot act era così, idem in Inghilterraanche a me suona strana che l'Italia sia così garantista ( visto che il nostro ordinamento giuridico è nato durante il fascismo ), però leggendo i vari articoli qui su PI su questo tema e commenti di gente che sembra saperne parecchio, sembra che l'Italia sia allineata alle altre giurisdizioni garantiste su questo tema

Re: Truecrypt
- Scritto da: djechelon> Tuttavia la crittografia> di un file equivale alla chiusura in cassaforte> di un documento> cartaceo.> Se tale documento è oggetto di sequestro in> quanto ritenuto fonte di prova, sei tenuto non a> rivelare il codice della cassaforte ma solo ad> aprirla e a consegnare il> documento.Ok, basta avere il doppio fondo nella cassaforte:http://www.truecrypt.org/docs/?s=plausible-deniability 8)

Considerazioni su di un caso concreto
Ho avuto modo di seguire un mio cliente al quale hanno sequestrato apparecchiature informatiche e pongo l'attenzione su di un caso concreto.La procedura per l'analisi dei dati contenuta all'interno dei supporti di memorizzazione (HD, schede di memoria e CD/DVD) è stata svolta con gli strumenti ed i modi corretti.La creazione di una copia durante le fasi di sequesto non è possibile, tale azione richiede dei tempi di esecuzione molto lunghi, la presenza di più persone e di un avvocato o consulente di parte e possono essere necessari anche diversi giorni, ciò dipende dalla capacità dei supporti di memorizzazione.In realtà si potrebbe operare tramite strumenti opportuni creando per ogni supporto di meorizzazione un codice univoco (chiave HASH).Tale operazione "ripetibile" in qualunque momento permette di verificae che i dati non siano stati alterati nel tempo.Ci sono, però, alcune azioni che in alcuni casi non vengono applicate nelle prime fasi del procedimento e che potrebbero portare (a mio parere) anche ad una nullità dell'azione da parte delle forze dell'ordine.Durante il sequestro le apparecchiature vengono individuate tramite il numero seriale ove possibile o usando dati a volte non esattamente "univoci" (ad esempio la marca del DVD-R o CD-R sequestrato).Le apparecchiature stesse non sono state poste in contenitori chiusi e sigillate, pertanto durante le fasi di "trasporto" e di "spostamento" tra i vari uffici, chiunque avrebbe potuto manometterle alterando di fatto lo stato rispetto il momento del sequestro.Non sono un legale, ma ritengo che già questo possa essere una motivazione sufficiente a mettere in dubbio qualunque analisi ispettiva successiva, visto che tra il momento del sequestro e l'effettiva ispezione delle apparecchiature passano diversi mesi.La procedura corretta da applicare dovrebbe garantire:1 - La certezza che le apparecchiature si trovino e permangano nello stato nel quale si trovavano al momento del sequestro, ad esempio conservandole in contenitori chiusi e sigillati, in modo che si possa verificare l'integrità degli stessi in qualunque momento2 - Ove possibile che qualunque analisi venga svolta con criteri e strumenti che ne permettano la "RIPETIBILITA'".Tecnicamente questo è sempre possibile, almeno per i supporti di memorizzazione.3 - Che venga tutelato anche l'indiziato poichè soprattutto nel caso di computer utilizzati per attività commerciali oltre ai file "contententi dati che possano confermare l'ipotesi di reato" sicuramente esistono dati necessari all'attività commericale e pertanto necessari per il corretto svolgimento della stessa o addirittura che hanno rilevanza fiscale.Questo punto soprattutto è quello che non viene assolutamente considerato e che in realtà è quello che causa il maggior danno.Si pensi ad un'azienda che subisce un attacco da parte di hacker ai propri server sui quali viene poi rilevato materiale illegale, il sequestro dei server causa il collasso dell'azienda.E' vero che è possibile chiedere il dissequestro delle apparecchiature dopo che è stato eseguito l'accertamento, ma tale richiesta viene resa esecutiva dopo diversi anni e non è detto che durante le operazioni di analisi le apparecchiature non possano subire danneggiamenti accidentali.La possibilità quanto meno di poter avere una copia dei propri dati, anche in misura parziale, in tempi "ragionevoli" deve essere inserita nelle procedure e garantita al cittadino.Ing. Pierluigi BucoloConsulente informatico

Re: Considerazioni su di un caso concreto
> La creazione di una copia durante le fasi di> sequesto non è possibile, tale azione richiede> dei tempi di esecuzione molto lunghi, la presenza> di più persone e di un avvocato o consulente di> parte e possono essere necessari anche diversi> giorni, ciò dipende dalla capacità dei supporti> di> memorizzazione.Diciamo che non sempre è possibile. HardCopy della Voom consente di "clonare" un hard disk a 7,5 GB al minuto di media. Il Logicube Forensic Talon viaggia sui 4 Gb al minuto. diciamo che il tempo dipende soprattutto dal numero di supporti da acquisire.> In realtà si potrebbe operare tramite strumenti> opportuni creando per ogni supporto di> meorizzazione un codice univoco (chiave> HASH).Esatto.> Tale operazione "ripetibile" in qualunque momento> permette di verificae che i dati non siano stati> alterati nel tempo.Giustissimo.> Durante il sequestro le apparecchiature vengono> individuate tramite il numero seriale ove> possibile o usando dati a volte non esattamente> "univoci" (ad esempio la marca del DVD-R o CD-R> sequestrato).In linea dimassima è consigliabile siglare direttamente i supporti, numerarli e darnbe atto nel verbale. La custodia in cui vengono riposti i CD dovrebbe essere sigillata e siglata e rispetatta la catena di custodia.> Le apparecchiature stesse non sono state poste in> contenitori chiusi e sigillate, pertanto durante> le fasi di "trasporto" e di "spostamento" tra i> vari uffici, chiunque avrebbe potuto manometterle> alterando di fatto lo stato rispetto il momento> del sequestro.Immagino che di catena di custodia non si parli eh.In ogni caso è importante valutare come si è proceduto, caso per caso ed eventualmente verificare dove sono stati tenuti i supporti. Per esempio laddove siano stati conservati in una stana apposita, senza alcuna possibilità di contaminazione è assai difficile sostenere che gli stessi non siano genuini, salvo voler accusare le FdO di aver alterato volontariamente le prove, ma che vantaggio ne trarrebbero?> La procedura corretta da applicare dovrebbe> garantire:> 1 - La certezza che le apparecchiature si trovino> e permangano nello stato nel quale si trovavano> al momento del sequestro, ad esempio> conservandole in contenitori chiusi e sigillati,> in modo che si possa verificare l'integrità degli> stessi in qualunque> momentoAnche questa ipotesi ha una debolezza di fondo: quando il consulente analizza il supporto deve rompere il sigillo e, quindi, salvo ritenere ogni accertamento irripetibile la matematica certezza IMHO è praticamente impossibile da ottenere.> 2 - Ove possibile che qualunque analisi venga> svolta con criteri e strumenti che ne permettano> la "RIPETIBILITA'".Esatto. Ed occorre darne atto nel verbale di operazioni di analisi.> Tecnicamente questo è sempre possibile, almeno> per i supporti di memorizzazione.Diciamo quasi. Ci sono casi in cui la copia del supporto originale è quasi impossibile o accessivamente complesso (per esempio alcune strutture RAID).> 3 - Che venga tutelato anche l'indiziato poichè> soprattutto nel caso di computer utilizzati perCUT> Si pensi ad un'azienda che subisce un attacco da> parte di hacker ai propri server sui quali viene> poi rilevato materiale illegale, il sequestro dei> server causa il collasso> dell'azienda.esatto. Vi è il probelma dela tutela del terzo. Proprio per questa ragione IMHO la soluzione preferibile è l'ispezione, ma non sempre è possibile.> La possibilità quanto meno di poter avere una> copia dei propri dati, anche in misura parziale,> in tempi "ragionevoli" deve essere inserita nelle> procedure e garantita al> cittadino.Sono d'accordo, anche se in genere la mia esperienza è quella di venire incontro a queste esigenze. Per esempio in un'occasione l'imputato aveva un fratello che stava scrivendo la tesi con il PC oggetto di sequestro. Sono stato autorizzato dal PM ad acquisire copia dell'elaborato e degli appunti relativi ed a consegnarlo dietro semplice richiesta.

Re: Considerazioni su di un caso concreto
> > La procedura corretta da applicare dovrebbe> > garantire:> > 1 - La certezza che le apparecchiature si> trovino> > e permangano nello stato nel quale si trovavano> > al momento del sequestro, ad esempio> > conservandole in contenitori chiusi e sigillati,> > in modo che si possa verificare l'integrità> degli> > stessi in qualunque> > momento> Anche questa ipotesi ha una debolezza di fondo:> quando il consulente analizza il supporto deve> rompere il sigillo e, quindi, salvo ritenere ogni> accertamento irripetibile la matematica certezza> IMHO è praticamente impossibile da> ottenere.Chiedere che il consulente provveda alla clonazione (ripetibile) dell'hard dik, dopo avere rotto il sigillo, e alla immediata comunicazione dell'hash in presenza di un incaricato dell'imputato, è una cosa fattibile?

Re: Considerazioni su di un caso concreto
- Scritto da: SirParsifal> > Chiedere che il consulente provveda alla> > clonazione (ripetibile) dell'hard dik, dopo> avere> > rotto il sigillo, e alla immediata comunicazione> > dell'hash in presenza di un incaricato> > dell'imputato, è una cosa> > fattibile?> Sai che mi hai messo in crisi?> Provo a risponderti, ma mi riservo di negare> tutto dopo averci studiato più a lungo> ;).> Allora se si ipotizza che l'accertamento è> irripetibile è DIRITTO dell'indagato (e della> persona offesa) sapere la data in cui si> conferirà l'incarico e farvi assitere propri CTP,> ma se accogliamo la tesi (IMHO più corretta) che> l'accertamento è RIPETIBILE possono le parti> assitere?Sono del tutto a digiuno di cultura giuridica, e prassi vorrebbe che io mi documentassi prima di replicare ma, visto che ho di fronte un esperto (a proposito, rinnovo i miei complimenti, fatti in altro loco con altro nick, ma questi son dettagli :) ), ne approfitto per fare un'altra osservazione, con la forte probabilità di sparare una cavolata, e smentendo anche ciò che ho già detto.Non sono più tanto convinto che la (prima) clonazione di un disco fisso sia accertamento ripetibile. Anzi, per me è irripetibile se lo stesso disco fisso non viene sigillato prima e dopo. Solo così diventa ripetibile perché, in caso di contestazioni, è possibile, con i rappresentanti di tutte le parti, procedere a una nuova clonazione con rottura dei sigilli e successivo ripristino degli stessi.Penso per analogia (anche se mi rendo conto che il richiamo alle analogie è quanto meno pericoloso) all'atleta innocente che di fronte alla positività delle prime analisi fa ricorso. Si ripetono le analisi con le seconde provette, opportunamente e preventivamente sigillate con (anche) la sua firma. Solo così può essere sicuro che il suo materiale organico non sia stato contraffatto. Altrimenti, sarebbe sempre latente l'eventualità di un complotto (cosa impedisce che chi ha scambiato le prime provette scambi anche le seconde?). E i dischi fissi non hanno una seconda provetta... Non che così si annulli la possibilità di una contraffazione, ma almeno si riduce tantissimo la probabilità (oltre ogni ragioveole dubbio... :D ).Perdonami, pensieri in libertà. Spero comunque di essere stato chiaro. Ribadisco il concetto: condizione necessaria affinché il calcolo dell'hash sia ripetibile è che la reiterazione dell'accertamento sia eseguita nelle stesse condizioni formali e fattuali, dunque, alla presenza di tutte le parti in causa. Diversamente le parti assenti possono sempre lamentare una ripetibilità a senso unico a favore di chi ha gestito personalmente il possesso del disco la prima volta.-----------------------------------------------------------Modificato dall' autore il 05 giugno 2009 14.51-----------------------------------------------------------

Re: Considerazioni su di un caso concreto
sul discorso del hash del HD.Secondo me, non bisogna solo calcolare un hash ma bisogna fare una copia intera del'hd. L'hash di tutti i dati in un hd cambia anche se si riavvia il sistema operativo quindi capite che non serve a niente.

Re: Considerazioni su di un caso concreto
Da un punto di vista tecnico, legalmente lascio spazio a chi di mestiere ;-), spiego come avviene l'analisi del contenuto di un HD o supporto di memorizzazione.Mi soffermo sugli Hard Disk per fugare alcuni dubbi che avete posto.Per analizzare il contenuto di un disco ASSOLUTAMENTE non và acceso il computer nel quale è installato, questo comporterebbe un'alterazione del contenuto già ad opera del sistema operativo e quindi renderebbe nulle le prove.La procedura corretta prevede lo smontaggio del disco dal computer (vale anche per i portatili) e il collegamento ad altro computer "già acceso" tramite un dispositivo speciale che BLOCCA qualunque scrittura in modo HARDWARE.Esistono diversi dispositivi certificati proprio ad uso "forensic" che non permettono di alterare il contenuto dell'HD.E fin qui potete osservare che la ripetibilità è garantita.Poi si utilizzano software specifici per creare sul PC da lavoro una copia del disco.L'immagine creata viene poi analizzata in modo automatico e/o manuale tramite gli stessi software alla ricerca di dati che possano confermare l'ipotesi di reato.NOTA: con questi software si trova tanto, per non dire tutto ciò che "normalmente" si pensa non possa essere più visibile.Quando termina la fase di "acquisizione" il software di analisi verifica l'ultima data nella quale è stato operato l'acXXXXX al disco e crea sulla base dei dati acqusiti un codice HASH.Il codice HASH creato diventa così l'elemento che anche a distanza di tempo garantisce la "ripetibilità" dell'analisi.Quindi riassumento la ripetibilità è garantita da:1 - Utilizzo di dispositivi Hardware che non permettono modifiche al contenuto del supporto magnetico.2 - Creazione di una chiave UNICA che OGNI volta che si ripete l'operazione DEVE essere uguale.Alcuni esperti dicono che la chiave HASH potrebbe cambiare se l'operazione di acquisizione si ripete più volte, a causa di possibili errori di lettura dal supporto magnetico.Personalmente non sono daccordo, questa è una ipotesi molto molto rara che può avvenire solo se il supporto magnetico è danneggiato e quindi non leggibile.A questo punto decadono tutte le "regole".Ovviamente la garanzia "tecnica" di ripetibilità se sposata con una procedura che annulli ogni ulteriore dubbio è la soluzione unica a tale problema.Ad esempio la sigillatura dei dispositivi se non per il tempo strettamente necessario a compiere le analisi sugli stessi.

Re: Considerazioni su di un caso concreto
- Scritto da: pbucolo> > Alcuni esperti dicono che la chiave HASH potrebbe> cambiare se l'operazione di acquisizione si> ripete più volte, a causa di possibili errori di> lettura dal supporto> magnetico.> > Personalmente non sono daccordo, questa è una> ipotesi molto molto rara che può avvenire solo se> il supporto magnetico è danneggiato e quindi non> leggibile.> > A questo punto decadono tutte le "regole".> Quindi un hard disk che l'indagato sta cercando di distruggere a martellate prima che questo venga sequestrato, rientrerebbe in questo caso ipotetico.E magari ci rientra pure un hard disk che dopo essere stato requisito in sede di perquisizione, messo nel sacchetto piombato e portato in sede per le analisi, subisca urti accidentali nel tragitto, causandone un danneggiamento.

Articoli per conferenze ?
Non me ne voglia l'Avvocato, ma questi articoli sui massimi sistemi della Computer Forensics credo siano di scarso interesse.Credo che sarebbe più interessante sapere da una voce autorevole cosa fare in caso di perquisizione, cosa rischia, cosa possono chiedere o non chiedere, fare o non fare gli inquirenti, semplicemente conoscere i propri diritti ed i propri doveri.Questi sembrano diretti ad una discussione accademica o a una conferenza per addetti ai lavori, tutte le volte li apro con curiosità e rimango deluso tra i potrebbe, sarebbe, osserviamo..

Re: Articoli per conferenze ?
> Non me ne voglia l'Avvocato, ma questi articoli> sui massimi sistemi della Computer Forensics> credo siano di scarso> interesse.Proposte, idee e suggerimenti sono sempre bene accolti.> Credo che sarebbe più interessante sapere da una> voce autorevole cosa fare in caso di> perquisizione, cosa rischia, cosa possono> chiedere o non chiedere, fare o non fare gli> inquirenti, semplicemente conoscere i propri> diritti ed i propri> doveri.In breve una linea guida per l'imputato su cosa farenon fare in caso di perquisizione.Si potrebbe fare, ma come al imposteresti? Io la vedrei come FAQ, mq credo che sarebbe più da it.diritto che da Punto informatico.Una guida "completa" non è facile, am soprattutto sarebbe necessariamente incompleta perché a casi diversi seguono procedure diverse. > Questi sembrano diretti ad una discussione> accademica o a una conferenza per addetti ai> lavori, tutte le volte li apro con curiosità e> rimango deluso tra i potrebbe, sarebbe,> osserviamo..Ecco non siete mai contenti ;) Da una parte sono troppo preciso e sembra un testo accademico, dall'altra sono troppo vago ;)Scherzi a parte in effetti si tratta di appunti e schemi di materiale utilizzato in lezioni di CF, sia pure depurato degli aspetti più "tecnici" e più "accademici".Scherzi a parte, come lo vedresti il testo di cui parli? L'idea mi piace, ma non saprei come svilupparla (anche in Pm se vuoi).

Re: Articoli per conferenze ?
> Ecco non siete mai contenti ;) Da una parte sono> troppo preciso e sembra un testo accademico,> dall'altra sono troppo vago> ;)Ma... sei tu l'autore?

Re: Articoli per conferenze ?
- Scritto da: reXistenZ> > Ecco non siete mai contenti ;) Da una parte sono> > troppo preciso e sembra un testo accademico,> > dall'altra sono troppo vago> > ;)> > Ma... sei tu l'autore?Ammetto la mia colpa

Re: Articoli per conferenze ?
> Scherzi a parte, come lo vedresti il testo di cui> parli? L'idea mi piace, ma non saprei comeFammi pensare.. un'idea fuori gli schemi sarebbe Come intervista col vampiro ? ;-)- Ciao, sono CSOE, scusa se ti chiamo alle 7 ma ho un problemino, ci sono 5 carabinieri che bussano alla mia porta, che faccio gli apro ? - Risposta.... asdiou .... fhasilefhaskldjfh ... - Senti, non è che mi assisteresti al telefono durante questa perquisizione ? Questi non mi sembrano molto "ferrati", per prima cosa mi hanno chiesto di aprire il freezer..- Risposta.... asdiou .... fhasilefhaskldjfh ... - Questi mi hanno detto che mi portano via...> svilupparla (anche in Pm se vuoi).Oddio, sono rimasto indietro, Pm che cos'è ?

Re: Articoli per conferenze ?
> Fammi pensare.. un'idea fuori gli schemi sarebbe> Come intervista col vampiro ?> ;-)Si, il vampiro sarei io? ;)> > Oddio, sono rimasto indietro, Pm che cos'è ?Messaggio privato, mi è partita una maiuscola ;)

Re: Articoli per conferenze ?
- Scritto da: SirParsifal> Proposte, idee e suggerimenti sono sempre bene> accolti.Sapere dove andare a beccare al volo il numero di telefono di un avvocato esperto in materia e di un consulente informatico che possano assistere nelle prime delicate fasi, credo renderebbe molta gente molto più tranquilla tra le 7 e le 8 di mattina ;)

Competenza
Ci tengo a chiarire che non è una provocazione, ma mi domando qual'è il grado di competenza delle forze dell'ordine su questo argomento e sopratutto sulle procedure corrette da seguire? Su punto informatico ho letto molti articoli e ralativi commenti da parte degli utenti che descrivono una situazione non proprio rosea da questo punto di vista e devo dire che questo mi preoccupa molto perchè dove c'è mancanza di competenza spesso ne paga le conseguenze, in alcuni casi in maniera molto pesante, l'onesto cittadino.

Re: Competenza
> In ogni caso, almeno sulla base della mia> esperienza, non mi è mai capitato di assistere ad> atteggiamenti vessatori o di abuso da parte delle> FdO né prima, né durante né> dopo.> In un paio di occasioni mi è anche capitato di> vederi tranquillizzare l'imputato (mio assistito)> a cui avevano trovato alcuni filmati pedo> scaricati da e-mule dicendogli che era evidente> l'errore e che non doveva> preoccuparsi.Se posso dire la mia... secondo me (poi ovvio, la legge puo' dire altro) il fatto che si "limitino" a portarti via tutto perche' "non sono competenti" e' gia' un atteggiamento, se non vessatorio, dannoso verso la persona (che, da quello che ho capito, al momento della perquisizione potrebbe anche non essere ancora ufficialmente "indagata"). Soprattutto se poi l'accusato non e' un semplice "utilizzatore" di pc, ma magari una persona che con il computer ci lavora. Mi sembra di aver capito che il sequestro in toto del computer "dovrebbe" essere solamente l'ultima opzione in caso di essere impossibilitati ad utilizzare le altre tecniche... ma se queste tecniche non possono essere usate per l'incompetenza (o non conoscenza.. incompetenza sembra brutto) di chi esegue l'operazione.. non si va' comunque a ledere un diritto dell'accusato ?

Re: Competenza
> Se posso dire la mia... secondo me (poi ovvio, la> legge puo' dire altro) il fatto che si "limitino"> a portarti via tutto perche' "non sono> competenti" e' gia' un atteggiamento, se non> vessatorio, dannoso verso la persona (che, da> quello che ho capito, al momento della> perquisizione potrebbe anche non essere ancora> ufficialmente "indagata").Sono d'accxordo con te, purtroppo viviamo in periodo di transizione in cui ancora non si sono sviluppate tutte le competenze (e le sensibilità) necessarie a capire, affrontare e risolvere il problema.In confidenza io credo che tra una decina d'anni questi episodi saranno solo un brutto ricordo, ma al momento purtroppo c'è poco da fare.> Soprattutto se poi l'accusato non e' un semplice> "utilizzatore" di pc, ma magari una persona che> con il computer ci lavora.> Mi sembra di aver capito che il sequestro in toto> del computer "dovrebbe" essere solamente l'ultima> opzione in caso di essere impossibilitati ad> utilizzare le altre tecniche... ma se queste> tecniche non possono essere usate per> l'incompetenza (o non conoscenza.. incompetenza> sembra brutto) di chi esegue l'operazione.. non> si va' comunque a ledere un diritto dell'accusatoSi, ma l'unica soluzione è quella che si sta percorrendo: formazione, formazione e formazione.

Re: Competenza
- Scritto da: SirParsifal> In confidenza io credo che tra una decina d'anni> questi episodi saranno solo un brutto ricordo, ma> al momento purtroppo c'è poco da> fare.Ni.Dall'Italian Crackdown sono passati 15 anni e se è vero che qualche progresso c'è stato, sicuramente non è stato quello che uno si aspetta in 15 anni

sequestro e restituzione
chiedo ai più esperti cosa succede alle prove raccolte nel momento in cui l'HD originale viene restituito all'indagato?faccio un esempiocarabinieri che bussano a casaperquisiscono il PC.effettuano le rilevazioni del caso (dopo mesi e tramite consulente esterno) senza darne comunicazione all'indagato quindi senza incidente probatorio, tutto documentato (catena di custodia e procedure effettuate per la Computer forensics), pensano di trovare cio che è loro interesse, l'indagato chiede istanza di restituzione che viene accoltarestituzione materiale sequestrato (originale, no copia), procedimento ancora in corso.ora mi chiedo, se tutto il procedimento giudiziario sta in piedi per le prove che si pensano siano state individuate come mai restituiscono il materiale originale ???come è possibile in questo la difesa dell'indagato???grazie

tempi per le analisi
Vorrei sapere se ci sono dei limiti di tempo entro i quali le analisi devono essere concluse oppure se il materiale può rimanere sotto sequestro per un tempo indefinito. Privare un cittadino o un'azienda di dati e strumenti, che potrebbero essere molto importanti, potrebbe causare grosse conseguenze economiche, e non solo. Ho letto di aziende che hanno chiuso i battenti nel frattempo. Possibile che non si riesca a ricolvere in pochi giorni?

Re: tempi per le analisi
> Vorrei sapere se ci sono dei limiti di tempo> entro i quali le analisi devono essere concluse> oppure se il materiale può rimanere sotto> sequestro per un tempo indefinito. Privare un> cittadino o un'azienda di dati e strumenti, che> potrebbero essere molto importanti, potrebbe> causare grosse conseguenze economiche, e non> solo. Ho letto di aziende che hanno chiuso i> battenti nel frattempo. Possibile che non si> riesca a ricolvere in pochi> giorni?In linea di massima si. Il PM stabilisce un tempo entro il quanle il CT deve rispondere al quesito, ma tale termine può essere prorogato. In linea di massima un'analisi accurata di un singolo harddisk non dura più di 60 giorni (dipende molto da cosa si cerca e cosa si trova).In questo periodo la parte può chiedere il dissequestro di tutto o parte del materiale ovvero la copia dei dati necessari al lavoro.Purtroppo dipende al 90% da chi e come procede. In linea di massima ai corsi io consiglio sempre di chiedere alla parte che ha subito il sequestro su quale computer ci sono i dati più importanti e di inziare l'analisi da lì in modo da accelerarne la restituzione (nel caso in cui sia possibile ovvio), ma non c'è alcun obbligo di procedere in questo modo.

Re: tempi per le analisi
> In linea di massima si. Il PM stabilisce un tempo> entro il quanle il CT deve rispondere al quesito,> ma tale termine può essere prorogato. In linea di> massima un'analisi accurata di un singolo> harddisk non dura più di 60 giorni (dipende molto> da cosa si cerca e cosa si> trova).> In questo periodo la parte può chiedere il> dissequestro di tutto o parte del materiale> ovvero la copia dei dati necessari al> lavoro.> > Purtroppo dipende al 90% da chi e come procede.> In linea di massima ai corsi io consiglio sempre> di chiedere alla parte che ha subito il sequestro> su quale computer ci sono i dati più importanti e> di inziare l'analisi da lì in modo da accelerarne> la restituzione (nel caso in cui sia possibile> ovvio), ma non c'è alcun obbligo di procedere in> questo> modo.Sono d'accordo con te!Nelle perizie fatte da me le procure mi davano sempre 30 giorni per eseguire le mere copie degli hard disk (senza analisi). 60 giorni per una perizia con analisi. I 60 giorni vengono comunque sempre prorogati quando c'erano 2 o più dispositivi di medie/grandi dimensioni (250GB in su) o se c'erano anche una quantità spropositata di CD e DVD...

Re: tempi per le analisi
> Sono d'accordo con te!> Nelle perizie fatte da me le procure mi davano> sempre 30 giorni per eseguire le mere copie degli> hard disk (senza analisi). 60 giorni per una> perizia con analisi. I 60 giorni vengono comunque> sempre prorogati quando c'erano 2 o più> dispositivi di medie/grandi dimensioni (250GB in> su) o se c'erano anche una quantità spropositata> di CD e> DVD...Oddio, spero non vengano mai a casa mia. Ho tre dischi da 500Gb, uno da 360Gb, uno da 120Gb, uno da 80Gb, altri di tagli inferiori, centinaia di cd e dvd, chissà quando li rivedrei! Del resto, al giorno d'oggi non penso di essere l'unico a possedere tanti dispositivi...

Ma una unita' wireless?
Adesso faccio la domanda scema:computer ufficiale in casamemoria di massa in cantina, wirelessarrivano gli uomini in nero, portano via il computer e quei 4 cd che trovano nei cassetticome la trovano l'unita' esterna wireless?In casa non c'e', e le pertinenze dell'abitazione non sempre vengono perquisite.Senza contare che ci si puo' sempre avvalere di un disco di rete remoto, con connessione criptata.Cioe', chi ha dati da nascondere, non li tiene sul computer.Cosi' come la posta compromettente resta sul server di posta IMAP e non la scarico in locale.

Re: Ma una unita' wireless?
ma casa tua è peggio di Fort Meade :Dloro vanno a caccia di criminali comuni mica di superspie ;)P.S. alla fine hai confessato, hai una cantina e scommetto che è lì dove tieni il pc con linux :D :D-----------------------------------------------------------Modificato dall' autore il 05 giugno 2009 17.19-----------------------------------------------------------

Re: Ma una unita' wireless?
- Scritto da: pabloski> ma casa tua è peggio di Fort Meade :DChe c'entra casa mia, io ipotizzavo soltanto una situazione praticabile da qualunque utonto medio con la tecnologia attualmente disponibile in qualunque mediaworld. > loro vanno a caccia di criminali comuni mica di> superspie> ;)Criminali non informatici mica lasciano prove nel computer.Sono i criminali informatici quelli che si mettono in condizione di non farsi sgamare.> P.S. alla fine hai confessato, hai una cantina e> scommetto che è lì dove tieni il pc con linux :D> :DCertamente.Il kernel deve essere rigorosamente compilato al fresco. ;)

Re: Ma una unita' wireless?
> Adesso faccio la domanda scema:> computer ufficiale in casa> memoria di massa in cantina, wireless> arrivano gli uomini in nero, portano via il> computer e quei 4 cd che trovano nei> cassettiBella ipotesi. Io la uso come caso di scuola.Per non saper né leggere né scrivere la priam cosa che consiglio di fare è verificare la rete WI-Fi e fare una bella scansione delle periferiche collegate (spesso basta un ettercap).Poi si verifica il router e gli evntuali log alla ricerca di connesioni in corso o passate.Si annotano i MAC address delle periferiche collegate e non si torna a casa finché tutte non sono presenti all'appello.Man man che le trovi segni il macaddress e spunti la lista.Lo so potresti avere il disco su una seconda (o una terza) rete Wi-Fi scollegata dalla prima e non riferibile a te ed allora potresti fregarmi (salvo che io probabilmente troverò poi riferimneti ad un disco di rete all'interno del computer e, probabilmente, qualche traccia del materaile che ci hai trasferito. Se così non fosse sei stato può furbo e più bravo di me, tanto di cappello.D'altra parte perché scomodarsi a mettere un disco in cantina quando una schedina microSD di 4 GB è tanto più comoda e semplice da occultare? Alla peggio la butti nel water e tiri lo scarico, senza inventare solzioni quasi fantascientifiche ;)Un adattatore SDmicro SD e via.Un mio amico dice che tanto in questi casi è questione di XXXX, o ce l'hai o te lo fanno ;)Tieni presente, però, che se l'indagine è fatta bene un minimo di intercettazione dovrebbero averla fatta e, quindi, dovrebbero sapere che c'è una periferica fuori casa. > Cioe', chi ha dati da nascondere, non li tiene> sul> computer.> Cosi' come la posta compromettente resta sul> server di posta IMAP e non la scarico in> locale.Non credere che tutti i criminali informatici siano questi geni della lampada... In un caso uno aveva registrato il sito pedo a suo nome fornendo tutti i dati corretti e non contento (sai mai che la PG potesse avere qualche dubbio) aveva lasciato negli header html della pagina il proprio nome e cognome...La realtà è che il criminale, coem tutti, deve adattare le proprie esigenze di sicurezza alle proprie esigenze di operatività e quindi primo o poi sbaglia.

Re: Ma una unita' wireless?
- Scritto da: SirParsifal> In un caso uno> aveva registrato il sito pedo a suo nome fornendo> tutti i dati corretti e non contento (sai mai che> la PG potesse avere qualche dubbio) aveva> lasciato negli header html della pagina il> proprio nome e> cognome...Questo oltre che ad essere un maledetto disgraziato e' pure totalmente idiota.(A meno che non sia una strategia per potersi in seguito avvalere della totale infermita' mentale)

Re: Ma una unita' wireless?
non sono come funzionano i permessi per le perquisizioni, ma forse il permesso deve anche essere allargato alla cantina e non solo alla casa.Se il permesso non fosse allargato forse i carabinieri/poliziotti non potrebbero perquisirla.Poi hai ragione chi fa dei reati informatici non è cosi scemo che conserva tutto in locale!Ma magari i criminali informatici potrebbero essere utonti e magari non sapere nemmeno che su quel pc possano esserci le prove per incriminarli

Re: Ma una unita' wireless?
ti perquisiscono TUTTI i locali a cui hai acXXXXX...casa, cantina, seconda casa, ufficioe ovviamente tu devi collaborare attivamente a farti incastrare

Basterebbe uno Stato più onesto.
E' semplicemente immondo il prezzo che le cancellerie fanno pagare all'indagato/imputato/etc per le copie del materiale sequestrato, uno Stato onesto farebbe pagare il prezzo di mercato dei supporti necessari e la manodopera necessaria ad effettuare l'operazione. E uno Stato non corrotto esigerebbe dai fornitori gli sconti quantità sui supporti acquistati che qualsiasi privato otterrebbe anche con volumi d'acquisto inferiori e passerebbe il risparmio al cittadino.Ma dato che lo Stato Italiano, fin dalle origini, e al cambiare di partiti e governi, ha sempre trattato i cittadini come sudditi, è una vana speranza.

Re: Basterebbe uno Stato più onesto.
- Scritto da: Bastard Inside> E' semplicemente immondo il prezzo che le> cancellerie fanno pagare> all'indagato/imputato/etc per le copie del> materiale sequestrato, uno Stato onesto farebbe> pagare il prezzo di mercato dei supporti> necessari e la manodopera necessaria ad> effettuare l'operazione. E uno Stato non corrotto> esigerebbe dai fornitori gli sconti quantità sui> supporti acquistati che qualsiasi privato> otterrebbe anche con volumi d'acquisto inferiori> e passerebbe il risparmio al> cittadino.> Ma dato che lo Stato Italiano, fin dalle origini,> e al cambiare di partiti e governi, ha sempre> trattato i cittadini come sudditi, è una vana> speranza.mmmm non ti viene il dubbio che il problema non sia lo Stato Italiano, ma lo Stato in quanto tale???? Scherzo eh.... :-D

Ma ci possiamo fidare dell'HASH?
Non ho letto tutte le discussioni, quindi scusatemi se già qualcuno ha posto la questione, ma perché mi dovrei fidare dell'hash di un hardisk se sappiamo benissimo che è tecnicamente possibile manipolarlo e poi inserire dati in modo tale da generare lo stesso hash precedente?? oppure ci vuole troppa potenza elaborativa ancora non disponibile?

Re: Ma ci possiamo fidare dell'HASH?
beh considera che le funzioni di hashing non sono invertibili, quindi dall'hash non ricavi i dati che l'hanno generatoinoltre una piccola aggiunta ( un file di pochi byte basta ) dà vita ad un hash completamente differente e molto distante da quello precedentela vedo molto difficile riuscire ad inserire dati nell'hard disk senza modificarne l'hash

Re: Ma ci possiamo fidare dell'HASH?
Non è del tutto preciso.Ad esempio per l'MD5 è stato dimostrato che è possibile generare collisioni in un tempo ragionevole, e questo non vuol dire che non sia possibile per gli altri algoritmi di hashing, che proprio per la sua natura di "non invertibilità" non hanno una corrispondenza UNIVOCA con il dato di partenza.

Re: Ma ci possiamo fidare dell'HASH?
Tecnicamente corretto.Ma non è detto che per generare la collisione si possa inserire dati "arbitrariamente scelti e che abbiano una rilevanza probatoria", senza contare che possano non avere senso.