Roma – Google cambia le regole della strada di Street View: le passeggiate virtuali non saranno più ancorate ai cursori di movimento ma basterà un doppio click per raggiungere un qualsiasi luogo coperto dal servizio. Adesso il puntatore del mouse si trascina dietro un’ombra, che i creatori chiamano affettuosamente pancake , la cui sagoma varia a seconda degli spostamenti imposti dall’utente donando all’immagine una parvenza tridimensionale.
Se l’oggetto che si desidera vedere si trova nelle vicinanze, sull’ombra del cursore apparirà un lente d’ingrandimento ad indicare Street View eseguirà un semplice zoom senza cambiare il punto di vista, mentre selezionando un obiettivo più distante lo si raggiungerà automaticamente correndo sulla linea di mezzeria .
Inoltre in caso di una scelta sbagliata o di un clic non voluto è stato aggiunto alla barra degli indirizzi un comando di ritorno , che riporta alla posizione precedente: “Ora – spiega BigG – si potrà girovagare su Street View senza timore di perdersi”.
Tuttavia questa novità sembra funzionare solamente se si dispone di dati acquisiti di recente: la celebre Strip di Las Vegas, ad esempio, cala improvvisamente nel buio dopo l’incrocio con la Flamingo Road , e pure Street View perde le funzioni precedentemente acquisite.
Nonostante le recenti traversie affrontate dal servizio made in Mountain View in varie parti del mondo , Google sembra comunque ribadire la sua volontà di non cedere le armi continuando a sviluppare uno dei suoi servizi di maggiore successo e popolarità. (G.P.)
-
Ma ci possiamo fidare dell'HASH?
Non ho letto tutte le discussioni, quindi scusatemi se già qualcuno ha posto la questione, ma perché mi dovrei fidare dell'hash di un hardisk se sappiamo benissimo che è tecnicamente possibile manipolarlo e poi inserire dati in modo tale da generare lo stesso hash precedente?? oppure ci vuole troppa potenza elaborativa ancora non disponibile?-
Re: Ma ci possiamo fidare dell'HASH?
beh considera che le funzioni di hashing non sono invertibili, quindi dall'hash non ricavi i dati che l'hanno generatoinoltre una piccola aggiunta ( un file di pochi byte basta ) dà vita ad un hash completamente differente e molto distante da quello precedentela vedo molto difficile riuscire ad inserire dati nell'hard disk senza modificarne l'hash-
Re: Ma ci possiamo fidare dell'HASH?
Non è del tutto preciso.Ad esempio per l'MD5 è stato dimostrato che è possibile generare collisioni in un tempo ragionevole, e questo non vuol dire che non sia possibile per gli altri algoritmi di hashing, che proprio per la sua natura di "non invertibilità" non hanno una corrispondenza UNIVOCA con il dato di partenza.-
Re: Ma ci possiamo fidare dell'HASH?
Tecnicamente corretto.Ma non è detto che per generare la collisione si possa inserire dati "arbitrariamente scelti e che abbiano una rilevanza probatoria", senza contare che possano non avere senso.-
Re: Ma ci possiamo fidare dell'HASH?
se mi venisse presentato qualcuno che riesce a inserire i dati che vuole in un HD e a generare lo stesso hash, griderei "è arrivato il messia".L'hash non si discute, e poi basta usarne due (solitamente SHA1 e MD5 bastano e avanzano).
-
-
-
-
-
Basterebbe uno Stato più onesto.
E' semplicemente immondo il prezzo che le cancellerie fanno pagare all'indagato/imputato/etc per le copie del materiale sequestrato, uno Stato onesto farebbe pagare il prezzo di mercato dei supporti necessari e la manodopera necessaria ad effettuare l'operazione. E uno Stato non corrotto esigerebbe dai fornitori gli sconti quantità sui supporti acquistati che qualsiasi privato otterrebbe anche con volumi d'acquisto inferiori e passerebbe il risparmio al cittadino.Ma dato che lo Stato Italiano, fin dalle origini, e al cambiare di partiti e governi, ha sempre trattato i cittadini come sudditi, è una vana speranza.-
Re: Basterebbe uno Stato più onesto.
- Scritto da: Bastard Inside
E' semplicemente immondo il prezzo che le
cancellerie fanno pagare
all'indagato/imputato/etc per le copie del
materiale sequestrato, uno Stato onesto farebbe
pagare il prezzo di mercato dei supporti
necessari e la manodopera necessaria ad
effettuare l'operazione. E uno Stato non corrotto
esigerebbe dai fornitori gli sconti quantità sui
supporti acquistati che qualsiasi privato
otterrebbe anche con volumi d'acquisto inferiori
e passerebbe il risparmio al
cittadino.
Ma dato che lo Stato Italiano, fin dalle origini,
e al cambiare di partiti e governi, ha sempre
trattato i cittadini come sudditi, è una vana
speranza.mmmm non ti viene il dubbio che il problema non sia lo Stato Italiano, ma lo Stato in quanto tale???? Scherzo eh.... :-D
-
-
tempi per le analisi
Vorrei sapere se ci sono dei limiti di tempo entro i quali le analisi devono essere concluse oppure se il materiale può rimanere sotto sequestro per un tempo indefinito. Privare un cittadino o un'azienda di dati e strumenti, che potrebbero essere molto importanti, potrebbe causare grosse conseguenze economiche, e non solo. Ho letto di aziende che hanno chiuso i battenti nel frattempo. Possibile che non si riesca a ricolvere in pochi giorni?-
Re: tempi per le analisi
Vorrei sapere se ci sono dei limiti di tempo
entro i quali le analisi devono essere concluse
oppure se il materiale può rimanere sotto
sequestro per un tempo indefinito. Privare un
cittadino o un'azienda di dati e strumenti, che
potrebbero essere molto importanti, potrebbe
causare grosse conseguenze economiche, e non
solo. Ho letto di aziende che hanno chiuso i
battenti nel frattempo. Possibile che non si
riesca a ricolvere in pochi
giorni?In linea di massima si. Il PM stabilisce un tempo entro il quanle il CT deve rispondere al quesito, ma tale termine può essere prorogato. In linea di massima un'analisi accurata di un singolo harddisk non dura più di 60 giorni (dipende molto da cosa si cerca e cosa si trova).In questo periodo la parte può chiedere il dissequestro di tutto o parte del materiale ovvero la copia dei dati necessari al lavoro.Purtroppo dipende al 90% da chi e come procede. In linea di massima ai corsi io consiglio sempre di chiedere alla parte che ha subito il sequestro su quale computer ci sono i dati più importanti e di inziare l'analisi da lì in modo da accelerarne la restituzione (nel caso in cui sia possibile ovvio), ma non c'è alcun obbligo di procedere in questo modo.
-
-
sequestro e restituzione
chiedo ai più esperti cosa succede alle prove raccolte nel momento in cui l'HD originale viene restituito all'indagato?faccio un esempiocarabinieri che bussano a casaperquisiscono il PC.effettuano le rilevazioni del caso (dopo mesi e tramite consulente esterno) senza darne comunicazione all'indagato quindi senza incidente probatorio, tutto documentato (catena di custodia e procedure effettuate per la Computer forensics), pensano di trovare cio che è loro interesse, l'indagato chiede istanza di restituzione che viene accoltarestituzione materiale sequestrato (originale, no copia), procedimento ancora in corso.ora mi chiedo, se tutto il procedimento giudiziario sta in piedi per le prove che si pensano siano state individuate come mai restituiscono il materiale originale ???come è possibile in questo la difesa dell'indagato???grazie -
Competenza
Ci tengo a chiarire che non è una provocazione, ma mi domando qual'è il grado di competenza delle forze dell'ordine su questo argomento e sopratutto sulle procedure corrette da seguire? Su punto informatico ho letto molti articoli e ralativi commenti da parte degli utenti che descrivono una situazione non proprio rosea da questo punto di vista e devo dire che questo mi preoccupa molto perchè dove c'è mancanza di competenza spesso ne paga le conseguenze, in alcuni casi in maniera molto pesante, l'onesto cittadino.-
Re: Competenza
In ogni caso, almeno sulla base della mia
esperienza, non mi è mai capitato di assistere ad
atteggiamenti vessatori o di abuso da parte delle
FdO né prima, né durante né
dopo.
In un paio di occasioni mi è anche capitato di
vederi tranquillizzare l'imputato (mio assistito)
a cui avevano trovato alcuni filmati pedo
scaricati da e-mule dicendogli che era evidente
l'errore e che non doveva
preoccuparsi.Se posso dire la mia... secondo me (poi ovvio, la legge puo' dire altro) il fatto che si "limitino" a portarti via tutto perche' "non sono competenti" e' gia' un atteggiamento, se non vessatorio, dannoso verso la persona (che, da quello che ho capito, al momento della perquisizione potrebbe anche non essere ancora ufficialmente "indagata"). Soprattutto se poi l'accusato non e' un semplice "utilizzatore" di pc, ma magari una persona che con il computer ci lavora. Mi sembra di aver capito che il sequestro in toto del computer "dovrebbe" essere solamente l'ultima opzione in caso di essere impossibilitati ad utilizzare le altre tecniche... ma se queste tecniche non possono essere usate per l'incompetenza (o non conoscenza.. incompetenza sembra brutto) di chi esegue l'operazione.. non si va' comunque a ledere un diritto dell'accusato ?-
Re: Competenza
Se posso dire la mia... secondo me (poi ovvio, la
legge puo' dire altro) il fatto che si "limitino"
a portarti via tutto perche' "non sono
competenti" e' gia' un atteggiamento, se non
vessatorio, dannoso verso la persona (che, da
quello che ho capito, al momento della
perquisizione potrebbe anche non essere ancora
ufficialmente "indagata").Sono d'accxordo con te, purtroppo viviamo in periodo di transizione in cui ancora non si sono sviluppate tutte le competenze (e le sensibilità) necessarie a capire, affrontare e risolvere il problema.In confidenza io credo che tra una decina d'anni questi episodi saranno solo un brutto ricordo, ma al momento purtroppo c'è poco da fare.
Soprattutto se poi l'accusato non e' un semplice
"utilizzatore" di pc, ma magari una persona che
con il computer ci lavora.
Mi sembra di aver capito che il sequestro in toto
del computer "dovrebbe" essere solamente l'ultima
opzione in caso di essere impossibilitati ad
utilizzare le altre tecniche... ma se queste
tecniche non possono essere usate per
l'incompetenza (o non conoscenza.. incompetenza
sembra brutto) di chi esegue l'operazione.. non
si va' comunque a ledere un diritto dell'accusatoSi, ma l'unica soluzione è quella che si sta percorrendo: formazione, formazione e formazione.-
Re: Competenza
- Scritto da: SirParsifal
In confidenza io credo che tra una decina d'anni
questi episodi saranno solo un brutto ricordo, ma
al momento purtroppo c'è poco da
fare.Ni.Dall'Italian Crackdown sono passati 15 anni e se è vero che qualche progresso c'è stato, sicuramente non è stato quello che uno si aspetta in 15 anni-
Re: Competenza
- Scritto da: Momento di inerzia
Dall'Italian Crackdown sono passati 15 anni e se
è vero che qualche progresso c'è stato,
sicuramente non è stato quello che uno si aspetta
in 15
anniDi progressi ce ne sono stati eccome: arresto e carcerazioni sono più facili, e presto le sanzioni per voi sfigati dei computer saranno ancora più pesanti!Un po' di scuola vi farà bene. Scuola Diaz, ovviamente. :D -
Re: Competenza
Illuso.Il 95% dei processi penali italiani non produce effetti per l'imputato.Con la ex-Cirielli il numero è destinato a salire.http://www.ibs.it/code/9788861900301/toghe-rotte-giustizia.htmlOvviamente questo vale per i processi complessi, come quelli con le indagini negli hard disk, i vari incidenti probatori, le perizie e compagnia cantante.Quindi, metti via quel manganello, che per le percosse e l'abuso d'ufficio il proXXXXX è semplicissimo e nel minimo dei 6 anni di prescrizione della ex-Cirielli, vai a finire dritto nel 5% :D
-
-
-
-
-
Articoli per conferenze ?
Non me ne voglia l'Avvocato, ma questi articoli sui massimi sistemi della Computer Forensics credo siano di scarso interesse.Credo che sarebbe più interessante sapere da una voce autorevole cosa fare in caso di perquisizione, cosa rischia, cosa possono chiedere o non chiedere, fare o non fare gli inquirenti, semplicemente conoscere i propri diritti ed i propri doveri.Questi sembrano diretti ad una discussione accademica o a una conferenza per addetti ai lavori, tutte le volte li apro con curiosità e rimango deluso tra i potrebbe, sarebbe, osserviamo..-
Re: Articoli per conferenze ?
Non me ne voglia l'Avvocato, ma questi articoli
sui massimi sistemi della Computer Forensics
credo siano di scarso
interesse.Proposte, idee e suggerimenti sono sempre bene accolti.
Credo che sarebbe più interessante sapere da una
voce autorevole cosa fare in caso di
perquisizione, cosa rischia, cosa possono
chiedere o non chiedere, fare o non fare gli
inquirenti, semplicemente conoscere i propri
diritti ed i propri
doveri.In breve una linea guida per l'imputato su cosa farenon fare in caso di perquisizione.Si potrebbe fare, ma come al imposteresti? Io la vedrei come FAQ, mq credo che sarebbe più da it.diritto che da Punto informatico.Una guida "completa" non è facile, am soprattutto sarebbe necessariamente incompleta perché a casi diversi seguono procedure diverse.
Questi sembrano diretti ad una discussione
accademica o a una conferenza per addetti ai
lavori, tutte le volte li apro con curiosità e
rimango deluso tra i potrebbe, sarebbe,
osserviamo..Ecco non siete mai contenti ;) Da una parte sono troppo preciso e sembra un testo accademico, dall'altra sono troppo vago ;)Scherzi a parte in effetti si tratta di appunti e schemi di materiale utilizzato in lezioni di CF, sia pure depurato degli aspetti più "tecnici" e più "accademici".Scherzi a parte, come lo vedresti il testo di cui parli? L'idea mi piace, ma non saprei come svilupparla (anche in Pm se vuoi).-
Re: Articoli per conferenze ?
Ecco non siete mai contenti ;) Da una parte sono
troppo preciso e sembra un testo accademico,
dall'altra sono troppo vago
;)Ma... sei tu l'autore?-
Re: Articoli per conferenze ?
- Scritto da: reXistenZ
Ecco non siete mai contenti ;) Da una parte sono
troppo preciso e sembra un testo accademico,
dall'altra sono troppo vago
;)
Ma... sei tu l'autore?Ammetto la mia colpa
-
-
Re: Articoli per conferenze ?
Scherzi a parte, come lo vedresti il testo di cui
parli? L'idea mi piace, ma non saprei comeFammi pensare.. un'idea fuori gli schemi sarebbe Come intervista col vampiro ? ;-)- Ciao, sono CSOE, scusa se ti chiamo alle 7 ma ho un problemino, ci sono 5 carabinieri che bussano alla mia porta, che faccio gli apro ? - Risposta.... asdiou .... fhasilefhaskldjfh ... - Senti, non è che mi assisteresti al telefono durante questa perquisizione ? Questi non mi sembrano molto "ferrati", per prima cosa mi hanno chiesto di aprire il freezer..- Risposta.... asdiou .... fhasilefhaskldjfh ... - Questi mi hanno detto che mi portano via...
svilupparla (anche in Pm se vuoi).Oddio, sono rimasto indietro, Pm che cos'è ?-
Re: Articoli per conferenze ?
Fammi pensare.. un'idea fuori gli schemi sarebbe
Come intervista col vampiro ?
;-)Si, il vampiro sarei io? ;)
Oddio, sono rimasto indietro, Pm che cos'è ?Messaggio privato, mi è partita una maiuscola ;)-
Re: Articoli per conferenze ?
Si, il vampiro sarei io? ;)Ovvio, privilegi della Professione (anche qui non ho resistito).Una piccola guida alla sopravvivenza o un dialogo, o dei racconti dei episodi che contengono una qualche informazione sarebbero carini. -
Re: Articoli per conferenze ?
- Scritto da: CSOE
Si, il vampiro sarei io? ;)
Ovvio, privilegi della Professione (anche qui non
ho
resistito).
Una piccola guida alla sopravvivenza o un
dialogo, o dei racconti dei episodi che
contengono una qualche informazione sarebbero
carini.Facciamolo, prepara l'intervista, mandamela poi ci sentiamo su skype o simili e buttiamo giù un articolo a 4 mani (poi vediamo se a PI va bene ;)) -
Re: Articoli per conferenze ?
Bravi CSOE e SirParsifal, ottima idea!!!Ingenuo 2001
-
-
-
Re: Articoli per conferenze ?
- Scritto da: SirParsifal
Proposte, idee e suggerimenti sono sempre bene
accolti.Sapere dove andare a beccare al volo il numero di telefono di un avvocato esperto in materia e di un consulente informatico che possano assistere nelle prime delicate fasi, credo renderebbe molta gente molto più tranquilla tra le 7 e le 8 di mattina ;)
-
-
-
Considerazioni su di un caso concreto
Ho avuto modo di seguire un mio cliente al quale hanno sequestrato apparecchiature informatiche e pongo l'attenzione su di un caso concreto.La procedura per l'analisi dei dati contenuta all'interno dei supporti di memorizzazione (HD, schede di memoria e CD/DVD) è stata svolta con gli strumenti ed i modi corretti.La creazione di una copia durante le fasi di sequesto non è possibile, tale azione richiede dei tempi di esecuzione molto lunghi, la presenza di più persone e di un avvocato o consulente di parte e possono essere necessari anche diversi giorni, ciò dipende dalla capacità dei supporti di memorizzazione.In realtà si potrebbe operare tramite strumenti opportuni creando per ogni supporto di meorizzazione un codice univoco (chiave HASH).Tale operazione "ripetibile" in qualunque momento permette di verificae che i dati non siano stati alterati nel tempo.Ci sono, però, alcune azioni che in alcuni casi non vengono applicate nelle prime fasi del procedimento e che potrebbero portare (a mio parere) anche ad una nullità dell'azione da parte delle forze dell'ordine.Durante il sequestro le apparecchiature vengono individuate tramite il numero seriale ove possibile o usando dati a volte non esattamente "univoci" (ad esempio la marca del DVD-R o CD-R sequestrato).Le apparecchiature stesse non sono state poste in contenitori chiusi e sigillate, pertanto durante le fasi di "trasporto" e di "spostamento" tra i vari uffici, chiunque avrebbe potuto manometterle alterando di fatto lo stato rispetto il momento del sequestro.Non sono un legale, ma ritengo che già questo possa essere una motivazione sufficiente a mettere in dubbio qualunque analisi ispettiva successiva, visto che tra il momento del sequestro e l'effettiva ispezione delle apparecchiature passano diversi mesi.La procedura corretta da applicare dovrebbe garantire:1 - La certezza che le apparecchiature si trovino e permangano nello stato nel quale si trovavano al momento del sequestro, ad esempio conservandole in contenitori chiusi e sigillati, in modo che si possa verificare l'integrità degli stessi in qualunque momento2 - Ove possibile che qualunque analisi venga svolta con criteri e strumenti che ne permettano la "RIPETIBILITA'".Tecnicamente questo è sempre possibile, almeno per i supporti di memorizzazione.3 - Che venga tutelato anche l'indiziato poichè soprattutto nel caso di computer utilizzati per attività commerciali oltre ai file "contententi dati che possano confermare l'ipotesi di reato" sicuramente esistono dati necessari all'attività commericale e pertanto necessari per il corretto svolgimento della stessa o addirittura che hanno rilevanza fiscale.Questo punto soprattutto è quello che non viene assolutamente considerato e che in realtà è quello che causa il maggior danno.Si pensi ad un'azienda che subisce un attacco da parte di hacker ai propri server sui quali viene poi rilevato materiale illegale, il sequestro dei server causa il collasso dell'azienda.E' vero che è possibile chiedere il dissequestro delle apparecchiature dopo che è stato eseguito l'accertamento, ma tale richiesta viene resa esecutiva dopo diversi anni e non è detto che durante le operazioni di analisi le apparecchiature non possano subire danneggiamenti accidentali.La possibilità quanto meno di poter avere una copia dei propri dati, anche in misura parziale, in tempi "ragionevoli" deve essere inserita nelle procedure e garantita al cittadino.Ing. Pierluigi BucoloConsulente informatico-
Re: Considerazioni su di un caso concreto
La creazione di una copia durante le fasi di
sequesto non è possibile, tale azione richiede
dei tempi di esecuzione molto lunghi, la presenza
di più persone e di un avvocato o consulente di
parte e possono essere necessari anche diversi
giorni, ciò dipende dalla capacità dei supporti
di
memorizzazione.Diciamo che non sempre è possibile. HardCopy della Voom consente di "clonare" un hard disk a 7,5 GB al minuto di media. Il Logicube Forensic Talon viaggia sui 4 Gb al minuto. diciamo che il tempo dipende soprattutto dal numero di supporti da acquisire.
In realtà si potrebbe operare tramite strumenti
opportuni creando per ogni supporto di
meorizzazione un codice univoco (chiave
HASH).Esatto.
Tale operazione "ripetibile" in qualunque momento
permette di verificae che i dati non siano stati
alterati nel tempo.Giustissimo.
Durante il sequestro le apparecchiature vengono
individuate tramite il numero seriale ove
possibile o usando dati a volte non esattamente
"univoci" (ad esempio la marca del DVD-R o CD-R
sequestrato).In linea dimassima è consigliabile siglare direttamente i supporti, numerarli e darnbe atto nel verbale. La custodia in cui vengono riposti i CD dovrebbe essere sigillata e siglata e rispetatta la catena di custodia.
Le apparecchiature stesse non sono state poste in
contenitori chiusi e sigillate, pertanto durante
le fasi di "trasporto" e di "spostamento" tra i
vari uffici, chiunque avrebbe potuto manometterle
alterando di fatto lo stato rispetto il momento
del sequestro.Immagino che di catena di custodia non si parli eh.In ogni caso è importante valutare come si è proceduto, caso per caso ed eventualmente verificare dove sono stati tenuti i supporti. Per esempio laddove siano stati conservati in una stana apposita, senza alcuna possibilità di contaminazione è assai difficile sostenere che gli stessi non siano genuini, salvo voler accusare le FdO di aver alterato volontariamente le prove, ma che vantaggio ne trarrebbero?
La procedura corretta da applicare dovrebbe
garantire:
1 - La certezza che le apparecchiature si trovino
e permangano nello stato nel quale si trovavano
al momento del sequestro, ad esempio
conservandole in contenitori chiusi e sigillati,
in modo che si possa verificare l'integrità degli
stessi in qualunque
momentoAnche questa ipotesi ha una debolezza di fondo: quando il consulente analizza il supporto deve rompere il sigillo e, quindi, salvo ritenere ogni accertamento irripetibile la matematica certezza IMHO è praticamente impossibile da ottenere.
2 - Ove possibile che qualunque analisi venga
svolta con criteri e strumenti che ne permettano
la "RIPETIBILITA'".Esatto. Ed occorre darne atto nel verbale di operazioni di analisi.
Tecnicamente questo è sempre possibile, almeno
per i supporti di memorizzazione.Diciamo quasi. Ci sono casi in cui la copia del supporto originale è quasi impossibile o accessivamente complesso (per esempio alcune strutture RAID).
3 - Che venga tutelato anche l'indiziato poichè
soprattutto nel caso di computer utilizzati perCUT
Si pensi ad un'azienda che subisce un attacco da
parte di hacker ai propri server sui quali viene
poi rilevato materiale illegale, il sequestro dei
server causa il collasso
dell'azienda.esatto. Vi è il probelma dela tutela del terzo. Proprio per questa ragione IMHO la soluzione preferibile è l'ispezione, ma non sempre è possibile.
La possibilità quanto meno di poter avere una
copia dei propri dati, anche in misura parziale,
in tempi "ragionevoli" deve essere inserita nelle
procedure e garantita al
cittadino.Sono d'accordo, anche se in genere la mia esperienza è quella di venire incontro a queste esigenze. Per esempio in un'occasione l'imputato aveva un fratello che stava scrivendo la tesi con il PC oggetto di sequestro. Sono stato autorizzato dal PM ad acquisire copia dell'elaborato e degli appunti relativi ed a consegnarlo dietro semplice richiesta.-
Re: Considerazioni su di un caso concreto
La procedura corretta da applicare dovrebbe
garantire:
1 - La certezza che le apparecchiature si
trovino
e permangano nello stato nel quale si trovavano
al momento del sequestro, ad esempio
conservandole in contenitori chiusi e sigillati,
in modo che si possa verificare l'integrità
degli
stessi in qualunque
momento
Anche questa ipotesi ha una debolezza di fondo:
quando il consulente analizza il supporto deve
rompere il sigillo e, quindi, salvo ritenere ogni
accertamento irripetibile la matematica certezza
IMHO è praticamente impossibile da
ottenere.Chiedere che il consulente provveda alla clonazione (ripetibile) dell'hard dik, dopo avere rotto il sigillo, e alla immediata comunicazione dell'hash in presenza di un incaricato dell'imputato, è una cosa fattibile?-
Re: Considerazioni su di un caso concreto
- Scritto da: SirParsifal
Chiedere che il consulente provveda alla
clonazione (ripetibile) dell'hard dik, dopo
avere
rotto il sigillo, e alla immediata comunicazione
dell'hash in presenza di un incaricato
dell'imputato, è una cosa
fattibile?
Sai che mi hai messo in crisi?
Provo a risponderti, ma mi riservo di negare
tutto dopo averci studiato più a lungo
;).
Allora se si ipotizza che l'accertamento è
irripetibile è DIRITTO dell'indagato (e della
persona offesa) sapere la data in cui si
conferirà l'incarico e farvi assitere propri CTP,
ma se accogliamo la tesi (IMHO più corretta) che
l'accertamento è RIPETIBILE possono le parti
assitere?Sono del tutto a digiuno di cultura giuridica, e prassi vorrebbe che io mi documentassi prima di replicare ma, visto che ho di fronte un esperto (a proposito, rinnovo i miei complimenti, fatti in altro loco con altro nick, ma questi son dettagli :) ), ne approfitto per fare un'altra osservazione, con la forte probabilità di sparare una cavolata, e smentendo anche ciò che ho già detto.Non sono più tanto convinto che la (prima) clonazione di un disco fisso sia accertamento ripetibile. Anzi, per me è irripetibile se lo stesso disco fisso non viene sigillato prima e dopo. Solo così diventa ripetibile perché, in caso di contestazioni, è possibile, con i rappresentanti di tutte le parti, procedere a una nuova clonazione con rottura dei sigilli e successivo ripristino degli stessi.Penso per analogia (anche se mi rendo conto che il richiamo alle analogie è quanto meno pericoloso) all'atleta innocente che di fronte alla positività delle prime analisi fa ricorso. Si ripetono le analisi con le seconde provette, opportunamente e preventivamente sigillate con (anche) la sua firma. Solo così può essere sicuro che il suo materiale organico non sia stato contraffatto. Altrimenti, sarebbe sempre latente l'eventualità di un complotto (cosa impedisce che chi ha scambiato le prime provette scambi anche le seconde?). E i dischi fissi non hanno una seconda provetta... Non che così si annulli la possibilità di una contraffazione, ma almeno si riduce tantissimo la probabilità (oltre ogni ragioveole dubbio... :D ).Perdonami, pensieri in libertà. Spero comunque di essere stato chiaro. Ribadisco il concetto: condizione necessaria affinché il calcolo dell'hash sia ripetibile è che la reiterazione dell'accertamento sia eseguita nelle stesse condizioni formali e fattuali, dunque, alla presenza di tutte le parti in causa. Diversamente le parti assenti possono sempre lamentare una ripetibilità a senso unico a favore di chi ha gestito personalmente il possesso del disco la prima volta.-----------------------------------------------------------Modificato dall' autore il 05 giugno 2009 14.51------------------------------------------------------------
Re: Considerazioni su di un caso concreto
Sono del tutto a digiuno di cultura giuridica, e
prassi vorrebbe che io mi documentassi prima di
replicare ma, visto che ho di fronte un esperto
(a proposito, rinnovo i miei complimenti, fatti
in altro loco con altro nick, ma questi son
dettagli :) ), ne approfitto per fare un'altra
osservazione, con la forte probabilità di sparare
una cavolata, e smentendo anche ciò che ho già
detto.Grazie.
Non sono più tanto convinto che la (prima)
clonazione di un disco fisso sia accertamento
ripetibile. Anzi, per me è irripetibile se lo
stesso disco fisso non viene sigillato prima e
dopo. Solo così diventa ripetibile perché, in
caso di contestazioni, è possibile, con i
rappresentanti di tutte le parti, procedere a una
nuova clonazione con rottura dei sigilli e
successivo ripristino degli
stessi.Bravo hai messo il dito nella piaga. E' proprio questo il punto di scontro, ma la mia eccezione a questa tesi è che allora NON esisterebbero accertamenti ripetibili.Semplificando, per la giurisprudezna e la dottrina l'accertamento è irripetibile allorquando nel suo svolgimento la prova viene necessariamente modificata ovvero tali modifiche appaiano probabili.Nel nostro caso le modifiche possono essere causate solo da errori (ed anche gravi) dell'operatore.Considera inoltre che la ripetibilità dell'accertamento è una garanzia forte per l'imputato che avrà il diritto di pretendere che lo stesso sia ripetuto in sede di dibattimento alla presenza delo suo CTP e del perito del giudice cosa che, se si procedesse con l'IRRIPETIBILE non sarebbe possibile.
Penso per analogia (anche se mi rendo conto che
il richiamo alle analogie è quanto meno
pericoloso) all'atleta innocente che di fronte
alla positività delle prime analisi fa ricorso.
Si ripetono le analisi con le seconde provette,
opportunamente e preventivamente sigillate con
(anche) la sua firma.Anche in questo caso abbiamo le 2° provette: l'hard disk originale che NON deve essere stato in alcun modo modificato. Ora concordo che il CTP avrebbe potuto falsificare la prova prima dell'acquisizione, ma che interesse avrebbe a farlo? COnsidera che: il pagamento è lo stesso sia se trova qualcosa che se non trova nulla, se la falsificazione emerge il PM non ci pensa 2 volte ad imputarlo per falso, calunnia, simulaizone di reato e quant'altro gli viene in mente.
Solo così può essere sicuro che il suo materiale
organico non sia stato contraffatto. Altrimenti,
sarebbe sempre latente l'eventualità di un
complotto (cosa impedisce che chi ha scambiato le
prime provette scambi anche le seconde?).In presenza di un complotto, credi sia così difficile falsificare un paio di firme ed un sigillo?Volendo "giocare" alla teoria della cospirazione se io VOGLIo che tu sia imputato e condannato per pedoXXXXXgrafia (dove io sono lo Stato) non ho bisogno di falsificare le prove durante o appena prima dell'acquisizione, ma faccio in modo che siano presenti nel tuo computer al momento della perquisizione.Il vero rischio in sede di analisi è che CTP incompetenti riciclino gli hard disk delle analisi senza averli preventivamente bonificati (con un WIPE certificato o comunque testato) e recuperino immagini o materiale appartenente ad altra persona. In questo caso in sede di perizia emergerà che l'hard disk originale era pulito e che il CTP era un cretino. Questo è l'unico rischio concreto (almeno IMHO).
Perdonami, pensieri in libertà. Spero comunque diCUT
prima volta.Sei stato chiarissimo, spero di esserlo stato anche io. -
Re: Considerazioni su di un caso concreto
Penso per analogia (anche se mi rendo conto che
il richiamo alle analogie è quanto meno
pericoloso) all'atleta innocente che di fronte
alla positività delle prime analisi fa ricorso.
Si ripetono le analisi con le seconde provette,
opportunamente e preventivamente sigillate con
(anche) la sua firma.
Anche in questo caso abbiamo le 2° provette:
l'hard disk originale che NON deve essere stato
in alcun modo modificato. Ora concordo che il CTPQui dissento. Affinché l'analisi delle due provette dia esito positivo, devono essere effettuate due contraffazioni: quella sul contenuto della prima provetta, e quella, distinta, sul contenuto della seconda provetta. Non è cosa da poco se immaginiamo una procedura rigorosa di custodia ed espletamento delle analisi affidati ogni volta a soggetti diversi. Con un disco fisso invece basta una manomissione al momento del primo intervento, e tutti i successivi sono compromessi. Ovviamente, compreso quello eventualmente chiesto dalla difesa con la partecipazione di un suo perito.
avrebbe potuto falsificare la prova prima
dell'acquisizione, ma che interesse avrebbe a
farlo? COnsidera che: il pagamento è lo stesso
sia se trova qualcosa che se non trova nulla, se
la falsificazione emerge il PM non ci pensa 2
volte ad imputarlo per falso, calunnia,
simulaizone di reato e quant'altro gli viene in
mente.Io vedo anche altri interessi o fattori scatenanti. La pressione degli organi inquirenti, il timore di non vedersi più assegnate perizie...Basti solo un nome: Zornitta.
Volendo "giocare" alla teoria della cospirazione
se io VOGLIo che tu sia imputato e condannato perQui ti do ragione. Nei miei ragionamenti sono stato un "estremista" "complottista". :) Del resto, quando si tratta di un evento che potrebbe sconvolgere la propria vita, è difficile stabilire un ragionamento valido per tutti.
Questo è l'unico rischio concreto (almeno IMHO).
Sei stato chiarissimo, spero di esserlo stato
anche
io.Certamente, grazie. Ti prego di considerare le mie elucubrazioni come pensieri di un uomo qualunque, ma consapevole della sua ignoranza in materia, e non come contestazioni alle tue affermazioni, solide e documentate. -
Re: Considerazioni su di un caso concreto
E comunque permettimi di rinnovarti ancora una volta i miei complimenti.Non mi era mai capitato qui su PI di trovare un autore, oltre che bravo e competente, che si impegnasse così diffusamente a rispondere nel forum ai lettori circa tutti i dubbi e osservazioni sollevati.
-
-
-
-
Re: Considerazioni su di un caso concreto
sul discorso del hash del HD.Secondo me, non bisogna solo calcolare un hash ma bisogna fare una copia intera del'hd. L'hash di tutti i dati in un hd cambia anche se si riavvia il sistema operativo quindi capite che non serve a niente.-
Re: Considerazioni su di un caso concreto
Da un punto di vista tecnico, legalmente lascio spazio a chi di mestiere ;-), spiego come avviene l'analisi del contenuto di un HD o supporto di memorizzazione.Mi soffermo sugli Hard Disk per fugare alcuni dubbi che avete posto.Per analizzare il contenuto di un disco ASSOLUTAMENTE non và acceso il computer nel quale è installato, questo comporterebbe un'alterazione del contenuto già ad opera del sistema operativo e quindi renderebbe nulle le prove.La procedura corretta prevede lo smontaggio del disco dal computer (vale anche per i portatili) e il collegamento ad altro computer "già acceso" tramite un dispositivo speciale che BLOCCA qualunque scrittura in modo HARDWARE.Esistono diversi dispositivi certificati proprio ad uso "forensic" che non permettono di alterare il contenuto dell'HD.E fin qui potete osservare che la ripetibilità è garantita.Poi si utilizzano software specifici per creare sul PC da lavoro una copia del disco.L'immagine creata viene poi analizzata in modo automatico e/o manuale tramite gli stessi software alla ricerca di dati che possano confermare l'ipotesi di reato.NOTA: con questi software si trova tanto, per non dire tutto ciò che "normalmente" si pensa non possa essere più visibile.Quando termina la fase di "acquisizione" il software di analisi verifica l'ultima data nella quale è stato operato l'acXXXXX al disco e crea sulla base dei dati acqusiti un codice HASH.Il codice HASH creato diventa così l'elemento che anche a distanza di tempo garantisce la "ripetibilità" dell'analisi.Quindi riassumento la ripetibilità è garantita da:1 - Utilizzo di dispositivi Hardware che non permettono modifiche al contenuto del supporto magnetico.2 - Creazione di una chiave UNICA che OGNI volta che si ripete l'operazione DEVE essere uguale.Alcuni esperti dicono che la chiave HASH potrebbe cambiare se l'operazione di acquisizione si ripete più volte, a causa di possibili errori di lettura dal supporto magnetico.Personalmente non sono daccordo, questa è una ipotesi molto molto rara che può avvenire solo se il supporto magnetico è danneggiato e quindi non leggibile.A questo punto decadono tutte le "regole".Ovviamente la garanzia "tecnica" di ripetibilità se sposata con una procedura che annulli ogni ulteriore dubbio è la soluzione unica a tale problema.Ad esempio la sigillatura dei dispositivi se non per il tempo strettamente necessario a compiere le analisi sugli stessi.
-
-
-
Truecrypt
ma se io utilizzo truecrypt cin una password da 25 caratteri, cosa succede? si attaccano al tram :)un saluto per i computer forensssisss-
Re: Truecrypt
- Scritto da: lll
ma se io utilizzo truecrypt cin una password da
25 caratteri, cosa succede?
si attaccano al tram :)
un saluto per i computer forensssisssManganellate in fronte e cagate in faccia finchè non sputi la password. -
Re: Truecrypt
ma ancora meglio usi un keyfile da 1 Megabyte :Din Italia non essendoci l'obbligo di rilevare la password si attaccano al tram-
Re: Truecrypt
esagerato il keyfile da1 mega :)-
Re: Truecrypt
mica tanto, c'è chi li usa ;)
-
-
-
-
COMPUTER FORENSIC
personalmente ho avuto il dispiacere di vedermi sequestrare il PC in quanto avendo acquistato un mezzo già assicurato, ad un controllo dei carabinieri l'assicurazione risultava falsa, quindi incasinando le cose con la calunia di venirmi a casa in presenza dei miei 2 bambine di 12 e 5 anni a cercarmi "ARMI" ??? iniziavano una vergognosa perquisizione, per poi portarsi via il mio PC e due Stampanti.Dopo 2 anni mi hanno ridato il tutto, ma il PC non funziona più !lamentando l'accaduto con i carabinieri, mi hanno risposto sono cose che succedono nell'esame del disco ??Ma che cavolo di Periti usano nell'arma ?? si esamina rompendo tutto ?comunque questo per sentito dire succede al 99% dei computer sequestrati, ecco perchè in Italia i veri criminali sono impuniti, perchè i CARABINIERI distruggono le prove... hehehe.-
Re: COMPUTER FORENSIC
Così impari a rigare dritto. La prossima volte potremmo gonfiarti di botte di fronte alla tua famiglia. :D
-
-
Ghost4Linux
anche questo può servire:http://sourceforge.net/projects/g4l -
dd+ netcat
http://lenst.det.unifi.it/Members/ronga/resources/dd-gzip-netcat-backup-e-cloning-di-un-hard-disk-
Re: dd+ netcat
Per copie forensi è meglio usare questo:http://dcfldd.sourceforge.net/Si consigliano macchine "carozzate" per trasferire le copie-
Re: dd+ netcat
http://www.freemedialab.org/wiki/doku.php?id=sistema:clonare_supportiDD è un programma veramente duttile e permette di controllare fino in fondo tutto quello che si fa.Ciao
-
-
Re: dd+ netcat
Personalmente il mio consiglio è quello di utilizzare un dispositivo hardware (Hardcopy della Voom, Talon di Logicube o strumenti similari) al fine di ridurre al minimo il rischio di errori.Immaginate che bello se anziché scrivere (NOTA: metto solo parte del comando per comodità) dd if=/dev/hda ... of=/dev/hdb ove hda è l'origine si scrive dd if=/dev/hdb ... of=/dev/hdaCerto si può sempre utilizzare la più sicuradd if=/dev/hda of=/mnt/sda1/pippo/pippo.dd o meglio ancora un'interfaccia grafica, ma l'errore è sempre in agguato.In questi casi è buona norma (leggiù: se non lo fate siete pazzi criminali incuranti della vostra sicurezza ;)) utilizzare almeno un write blocker, ma tanto che dovete fare la spesa molto meglio un copiatore hardware: lì l'unico errore possibile è attaccare al contrario gli hard disk :-
Re: dd+ netcat
Basta che monti hda in sola lettura.Se uno le cose non le sa fare o non le fa o è giusto che spenda soldi in più in soluzioni alla sua portata.-
Re: dd+ netcat
- Scritto da: 4.3BSD
Basta che monti hda in sola lettura.
Se uno le cose non le sa fare o non le fa o è
giusto che spenda soldi in più in soluzioni alla
sua
portata.no, se usi dd accedi direttamente al dispositivo a blocchi e non al filesystem montato, quindi le opzioni di mount (ro in questo caso) sono irrilevanti-
Re: dd+ netcat
- Scritto da: mattomattom atto
- Scritto da: 4.3BSD
Basta che monti hda in sola lettura.
[...]
no, se usi dd accedi direttamente al dispositivo
a blocchi e non al filesystem montato, quindi le
opzioni di mount (ro in questo caso) sono
irrilevantiE aggiungo che, in casi come questo, montare il volume sarebbe deleterio. Molto meglio fare una copia con dd senza montare il volume, fare ulteriori copie dell'immagine per poterle analizzare senza alterare la copia 'master'. Solo le immagini vanno montate, per evitare di alterare il filesystem originale.
-
-
-
-