Embed Size (px)
Citation preview
Le prove digitali sulla scena del crimine
International Information System
Forensics Association Italian Chapter
www.iisfa.it
Gerardo Costabile - [email protected]
2
• Strumento per comunicare o
“agevolare” le varie fasi
• Parte “attiva” dell’azione
criminale..
• Obiettivo di atti criminali�.
• Contenitore per attività illecita di
tipo “comune”..
• Alibi informatico
Il «ruolo» del sistema informatico
3
www.iisfa.it
«La computer forensics è un processo teso alla
“manipolazione controllata” e più in generale al
trattamento di dati e/o informazioni digitali e/o sistemi
informativi per finalità investigative e di giustizia,
adottando procedure tecnico-organizzative tese a fornire
adeguate garanzie in termini di integrità, “autenticità” e
disponibilità delle informazioni e dei dati in parola. Tale
disciplina, secondo alcuni una scienza chiamata anche
informatica forense, non può limitare il proprio raggio
d’azione alle sole indagini relative ai c.d. reati
informatici.»
Computer Forensics:
una definizione
4
www.iisfa.it
• Una digital evidence può quindi essere estratta da:
– Un dispositivo di memorizzazione digitale
• Personal computer, notebook, hard disk esterno, NAS, floppy,
nastro, CD/DVD, memory card, USB drive,…
• Telefoni cellulari, SIM, SmartPhone, Tablet, Navigatori satellitari,…
– Una Rete Intranet/Internet
• Intercettazione di traffico dati
• Pagine Web, Blog, Social Network, Chat/IM,
Digital Evidence
5
www.iisfa.it
• Esistono linee guida dettagliate con le corrette metodologie di
acquisizione:
– RFC3227 - Guidelines for Evidence Collection and Archiving (2002)
– USA – Department of Justice - Searching and Seizing Computers (2002)
– USA – IACP - Best Practices for Seizing Electronic Evidence (2006)
– USA – DoJ – Electronic Crime Scene Investigation v. 2 (2008)
– UK – ACPO – Computer Based Evidence Guidelines v.4 (2008)
Best Practices internazionali
6
www.iisfa.it
Linee Guida: gli USA
• Gli Stati Uniti, che hanno molta più esperienza tecnica
rispetto all’Europa in ordine alle nuove tecnologie, anche
investigative, pur con le dovute differenze sul piano
giuridico, hanno modificato negli ultimi anni il loro approccio
alle linee guida sulla computer forensics. Infatti, mentre le
prime pubblicazioni degli anni ’90 erano molto più
dettagliate e procedurali, nell’ultimo decennio si è dato
maggior rilievo alla codifica di principi di massima e di
un codice etico, lasciando allo stato dell’arte della prassi ed
della tecnica un maggior dettaglio per gli addetti ai lavori.
7
www.iisfa.it
In Italia�.
• uno dei rischi maggiori, se non si decide di filtrare questa
tendenza prevalentemente tecnica con gli aspetti giuridici
italiani ed europei, è quello di credere che le indagini possano
(ed in taluni casi debbano) essere guidate dagli informatici di
professione, scherlok holmes per passione. E’ di fondamentale
importanza, invece, che l’investigatore (accusa o difesa che sia)
valuti l’approccio tecnico più adeguato alla luce delle molteplici
scale di grigio, considerando di volta in volta con il supporto del
tecnico le migliori azioni (rectius: quelle più adeguate) rispetto al
contesto tecnico-operativo ma anche giuridico.
8
www.iisfa.it
Linee guida e indifferenza qualitativa
delle varie misure tecniche
• Questa “nuova” visione si discosta definitivamente dalla linea difensiva di
alcuni processi italiani, dove si è tentato di affrontare in modo rigido
il tema degli standard investigativi, senza peraltro sostenere quali siano
le buone pratiche e quanto (e come) le azioni degli investigatori si erano
discostate dalle asserite linee guida.
• In un modello maturo di computer forensics, pur essendo necessario
tracciare un percorso formativo, di principi e di prassi, talvolta duro nel
merito e del metodo, dovrà sancirsi una sorta di indifferenza qualitativa
rispetto alla tecnica da utilizzare, pur condividendo la necessità di adottare
procedure tecnico-organizzative tese a fornire adeguate garanzie in termini
di integrità, “autenticità” e disponibilità delle informazioni e dei dati in
parola, assicurando, di fatto, “la conservazione dei dati originali e ad
impedirne l’alterazione” (come richiesto dalla legge n. 48 del 2008)
9
www.iisfa.it
• Identificazione
• Repertamento
• Acquisizione
• Analisi
• Presentazione
• Valutazione
• Presentazione
Le fasi della digital forensics
Conserv
azio
ne
Cate
na d
i
custo
dia
10
www.iisfa.it
• La digital evidence deve essere trattata e conservata molto attentamente
per evitare contaminazioni, danni e qualsiasi azione che potrebbe
renderla inutilizzabile
• Tutte le azioni compiute devono essere attentamente documentate
• Si deve predisporre una catena di custodia che identifichi tutte le persone
che hanno avuto accesso al supporto originale
• La catena di custodia deve contenere alcune informazioni fondamentali,
come:
– Dati identificativi del caso (numero, investigatore, natura e breve descrizione)
– Dati identificativi del supporto (produttore, modello, numero di serie)
– Dati identificati del sequestro (data e ora di inizio custodia, luogo)
• Ogni volta che i supporti oggetto di indagini sono affidati a un nuovo
investigatore, nella catena di custodia dovrà essere aggiunta
un’informazione contenente:
– Nome della persona che ha preso in carico il supporto
– Data e ora di consegna e data e ora di restituzione
Catena di custodia: di cosa si tratta?
11
www.iisfa.it
Catena di custodia: esempio
12
www.iisfa.it
• Una digital evidence è fragile per natura, ovvero
facilmente modificabile
– Se il dispositivo che contiene le informazioni di interesse viene
spento, i dati che non sono stati salvati possono andare
definitivamente persi
– Se il dispositivo viene rivenuto spento, l’accensione comporta
modifiche al sistema e/o ai dati in esso contenuti
– Se il dispositivo è connesso ad Internet o ad una rete aziendale,
possono avvenire accessi dall’esterno con l’obiettivo di cancellare
le informazioni
– Se la digital evidence di trova su Internet (sito web, profilo di social
network, ecc.), può essere modificata e/o rimossa dall’owner della
pagina
Digital Evidence
13
www.iisfa.it
• I dati digitali possono essere divisi in due categorie
• Dati volatili:
– Dati che sono facilmente alterabili/persi in caso di spegnimento
del dispositivo che li conserva
– Utenti connessi, file aperti, informazioni di rete, processi in
esecuzione, mapping dei processi sulle porte, contenuto della
RAM, contenuto della clipboard, servizi in esecuzione, comandi
di shell
• Dati non volatili
– Dati conservati in memorie di massa e che non vanno persi in
caso di spegnimento del dispositivo che li conserva
– File di dati e di programma, file nascosti, slack space, file di
swap, file index.dat, cluster non allocati, partizioni non
utilizzate, partizioni nascoste, registro di configurazione, eventi
Digital Evidence
14
www.iisfa.it
La P.G. che interviene su
una scena del crimine e
rinviene:
– Un notebook acceso
– Un hard disk esterno
– Un telefono cellulare
– Un tablet
– A seguito di un atto, si
accorge di un profilo
Case study
Identificazione
15
www.iisfa.it
• A seconda della tipologia di dispositivo e/o
localizzazione, si possono identificare delle “best
practices” per il repertamento
• Analizziamo in dettaglio 5 casi:
– Notebook spento/Hard disk esterno (Post Mortem
Forensics)
– Notebook acceso (Live Forensics)
– Cellulare/Tablet acceso
– Cellulare/Tablet spento
Case study
Repertamento
16
www.iisfa.it
• Mettere in sicurezza la scena e prendere il controllo dell’area che
contiene il dispositivo
• Allontanare le persone presenti dal computer e dai dispositivi di
alimentazione
• Fotografare o fare una ripresa video della scena del crimine e di tutte le
componenti interessate.
• Se non è disponibile una fotocamera, disegnare la scena
• Assicurarsi che il computer sia effettivamente spento. Alcuni screen
saver o modalità del computer (es. stand-by) possono far apparire il
computer come spento quando è ancora acceso
• NON ACCENDERE IL NOTEBOOK PER NESSUN
MOTIVO
Case study
Repertamento di un notebook spento
17
www.iisfa.it
• Rimuovere la batteria, verificando prima che il notebook non si trovi in
standby
• Scollegare l’alimentazione e gli altri dispositivi dal lato del computer (per
evitare problemi in caso di UPS)
• Etichettare le porte e i cavi in modo tale da poter ricostruire il computer
successivamente
• Assicurarsi che tutte gli oggetti siano stati siglati e compilare un report di
sequestro per ciascuno
• Ricercare sulla scena del crimine diari, appunti o pezzi di carta con
password, che spesso si trovano attaccati o vicini al computer
• Valutare se chiedere all’utente informazioni sul setup del sistema, incluse
password di accesso
• Prendere nota dettagliata di tutte le operazioni compiute in relazione ai
dispositivi informatici
Case study
Repertamento di un notebook spento
18
www.iisfa.it
• L’originale non deve mai essere utilizzato per l’analisi dei dati
• Per garantire l’acquisizione di tutti i dati presenti sul dispositivo è
opportuno (ove possibile) effettuare una copia bit-a-bit (o bit-stream o
copia forense o immagine) del supporto originale, ovvero una copia
esatta del supporto originale
• L’acquisizione viene solitamente effettuata leggendo ogni bit del
supporto originale (prevenendo qualsiasi possibile scrittura) e scrivendo
un file immagine su un supporto esterno (disco USB o network)
• Il formato “immagine” più utilizzato è il formato RAW (o dd, dal nome del
tool Linux utilizzato per effettuare la copia)
• La duplicazione può essere effettuata via software o via hardware
Case study
Copia forense
19
Acquisizione “post-mortem”L’acquisizione “post-mortem” mira a recuperare
da un sistema non attivo le informazioni che si
caratterizzano per la loro non volatilità, quali il
contenuto delle memorie flash o dei dischi
magnetici.
Un passo fondamentale dell’acquisizione “post-mortem” è la creazione di
immagini “fisiche” dei dispositivi per una successiva analisi. Tale tipo di
copia, che può essere eseguita con apposite apparecchiature e/o con
appositi software:
• Avviene in modalità “sola lettura”, evitando così d’introdurre alterazioni ai
dati;
• Consente di creare più copie per usi futuri
• Deve integrare processi il controllo della correttezza della copia e della
sua integrità, attraverso l’uso di algoritmi di hash.
Un evidenza particolarmente interessante è rappresentata dalla
memoria virtuale, cioè quella porzione di memoria che il sistema
operativo mantiene sul disco fisso del computer.
Essendo la memoria virtuale un’espansione della memoria RAM,
dalla sua analisi è possibile recuperare dati quali password, chiavi
crittografiche e dati dell’utente.
Si noti che, su sistemi particolarmente sicuri, la memoria virtuale può
essere cifrata.
File e cartelle visibili
File nascostiFile di
sistema
Spazio disco non allocato
Swap file Metadata
Partizioni nascoste
Partizioni inutilizzate
Registro degli eventi
20
www.iisfa.it
• E’ la soluzione ideale in termini di velocità e affidabilità
• I prodotti sono molto costosi e bisogna seguire l’evoluzione della
tecnologia …. (IDE, SATA, SCSI, ?)
Acquisizione hardware
21
www.iisfa.it
• Durante la fase di acquisizione dei dati dall'hard disk, è necessario
garantire un blocco dell'accesso in scrittura per mantenere l'integrità della
digital evidence
• Collegando direttamente l'hard disk a un computer di acquisizione
possono esserci modifiche ai dati in esso contenuti (es. data di ultimo
accesso o modifica di un file)
Write blocker hardware
22
23
www.iisfa.it
• Come posso verificare la conformità e la
successiva integrità della copia?
• Verifica bit a bit: Richiede tempi molto lunghi
ed e possibile solo disponendo dell'originale
• Usando funzioni di hash
Verifica dell’integrità della copia
24
www.iisfa.it
Fonte: Wikipedia
• Nel linguaggio scientifico, l'hash è una funzioneunivoca operante in un solo senso (ossia, che non può essere invertita), atta alla trasformazione di un testo di lunghezza arbitraria in una stringa di lunghezza fissa, relativamente limitata. Tale stringa rappresenta una sorta di "impronta digitale" del testo in chiaro, e viene detta valore di hash, checksum crittografico o message digest.
25
www.iisfa.it
Fonte: Wikipedia
26
www.iisfa.it
Un piccolo esperimento
• Prendiamo una presentazione powerpoint
• Calcoliamo la sua “impronta digitale” con
la funzione di hash MD5 (The Internet
Engineering Task Force – RFC 1321 –
Aprile 1992)
• Analizziamo i risultati
27
www.iisfa.it
Gerardo
Ecco i risultati - fidatevi ☺
28
www.iisfa.it
Prima del trascinamento
29
www.iisfa.it
Gerardo
Dopo il trascinamento
sul pen drive
30
www.iisfa.it
Raffronto
31
www.iisfa.it
• Mettere in sicurezza la scena e prendere il controllo dell’area che
contiene il dispositivo
• Allontanare le persone presenti da tutti i computer e i dispositivi di
alimentazione
• Fotografare o fare una ripresa video della scena del crimine e di tutte le
componenti interessate.
• Se non è disponibile una fotocamera, disegnare la scena e etichettare le
porte e i cavi in modo tale che il sistema possa essere ricostruito
successivamente
• Valutare se chiedere all’utente informazioni sul setup del sistema, incluse
password di accesso
• Registrare le informazioni presenti sul monitor, effettuando fotografie e
trascrivendo il testo visibile
• Non toccare la tastiera o fare click con il mouse
Case study
Repertamento di un notebook acceso
32
Acquisizione “live”L’acquisizione “live” si occupa dell’estrazione di evidenze da
sistemi funzionanti e che possono rivelarsi utili, ad esempio, per:
• Recuperare tracce delle ultime attività degli utenti e del
sistema;
• Rilevare la presenza di eventuale “malware” in azione
L’acquisizione “live” si basa tipicamente sull’esecuzione di
software sulla macchina d’acquisire.
• L’esecuzione di tale software ha degli effetti sullo stato della
macchina � necessità di utilizzare degli strumenti “testati” e
documentati.
• I tool di sistema a bordo della macchina potrebbero essere
infetti, alterati e non garantire la correttezza dei risultati �
utilizzo di un insieme di tool “esterni”, dipendenti il meno
possibile dai programmi disponibili sulla macchina.
Esistono suite software integrate e kit di “pronto intervento” per
l’acquisizione forense “live”, che permettono il salvataggio delle
evidenze raccolte su di supporti di memoria esterni.
System timeUtenti
autenticatiFile aperti
Informazioni sulla rete
Connessioni alla rete
Informazioni sui processi
Associazione processo-
porta
Memoria dei processi
Stato della rete
Contenuti degli appunti
Informazioni sui
driver/servizi
Cronologia dei comandi
Volumi montati
Cartelle condivise
33
www.iisfa.it
• Assicurare che tutte le azioni eseguite e le modifiche apportate al
sistema siano note e registrate
• Se non è disponibile uno specialista per l’analisi live, scollegare
l’alimentazione e gli altri dispositivi dal lato del computer (per evitare
problemi in caso di UPS) senza chiudere alcun programma
• Rimuovere tutte le altre connessioni in uscita dal computer verso la rete
o verso altri dispositivi esterni
• Assicurarsi che tutte gli oggetti siano stati siglati e compilare un report di
sequestro per ciascuno
• Ricercare sulla scena del crimine diari, appunti o pezzi di carta con
password, che spesso si trovano attaccati o vicini al computer
• Prendere nota dettagliata di tutte le operazioni compiute in relazione ai
dispositivi informatici
Case study
Repertamento di un notebook acceso
34
www.iisfa.it
• Un intervento di live forensics si rende necessario (o
molto utile) quando:– Il sistema non è fisicamente rimovibile
– Il sistema non può essere spento
• Militari
• Videosorveglianza
• Strumenti medicali
• Database server condivisi
• Server in hosting/housing
– Il sistema non può essere acquisito nella sua interezza
– Le informazioni “volatili” sono rilevanti rispetto alle indagini (es.
traffico di dati di rete in corso, come il trasferimento di un file)
– Siamo in presenza di volumi cifrati (BitLocker, TrueCrypt, PGP, ecc.)
Live Forensics:
necessità vs. invasività
35
www.iisfa.it
I cellulari: sistemi operativi
36
www.iisfa.it
• Segnalare la posizione in cui il telefono è stato rinvenuto
• Annotare eventuali problemi fisici evidenti riscontrati (per esempio display rotto)
• Fotografare tutti gli aspetti esterni del telefono
• Documentare le informazioni presenti sullo schermo (se il telefono viene
rinvenuto acceso)
• Effettuare videoriprese dell’ambiente in cui il dispositivo è stato sequestrato
• Sequestrare, unitamente al dispositivo, anche:
– i cavi di connessione
– il caricabatteria
– gli imballaggi
– le memorie di massa o rimovibili
– i manuali d’uso
– i supporti contenenti il software del telefono
– le bollette telefoniche associate all’utenza
– la confezione della SIM (che riporta il PIN e il PUK di fabbricazione)
Case study
Repertamento di un cellulare
37
www.iisfa.it
• Se il telefono viene rinvenuto
acceso, il primo problema da
affrontare è quello di
garantire l’isolamento dalla
rete cellulare
• L’isolamento del telefono
può essere effettuato:
– Spegnendo il dispositivo
– Utilizzando un jammer device
– Riponendo il dispositivo in un
contenitore schermato
– Richiedendo il blocco al Network
Service Provider
Case study
Isolamento di un dispositivo cellulare
38
www.iisfa.it
Jammer
39
www.iisfa.it
Gabbia di Faraday
40
www.iisfa.it
Tenda «Faraday»
41
www.iisfa.it
• Se il telefono è stato rinvenuto spento,
la soluzione più opportuna è quella di
inserire una SIM clone (ovvero una SIM
su cui siano stati impostati
forzatamente l’ICCID e l’IMSI della SIM
originale)
• In alcuni modelli, la rimozione della
SIM originale può comportare la
perdita di alcune informazioni (es. lista
delle ultime chiamate effettuate,
ricevute e perse)
Case study
Clonatura della SIM
42
www.iisfa.it
• L’acquisizione delle informazioni si può effettuare utilizzando:
– un software di acquisizione installato su un personal computer
oppure
– un dispositivo hardware dedicato all’estrazione dei dati
• In entrambi i casi, è necessario garantire una connessione tra
il telefono cellulare e lo strumento di acquisizione
• A seconda del modello la connessione si può realizzare
tramite:
– Cavo
• Più sicura, affidabile e con minor impatto sui dati
– IrDA
– Bluetooth
• Da utilizzare come extrema ratio, poiché genera modifiche al dispositivo durante la fase di
attivazione e autenticazione della connessione
Case study
Acquisizione dei dati
43
www.iisfa.it
Spegnimento vs. Isolamento
• Lo spegnimento del dispositivo potrebbe attivare il codice di
autenticazione del telefono (es. il PIN della scheda SIM oppure il codice di
sblocco del telefono). In alcuni casi questi codici potrebbero essere molto
complessi o impossibili da recuperare, rendendo quindi di fatto
impossibile un’analisi forense
• L’isolamento del telefono mediante jammer o gabbia di Faraday
comporta un maggior consumo di batteria da parte del dispositivo che
cercherà di connettersi (senza successo) alla rete. Queste tecniche devono
quindi essere accompagnate dalla connessione del dispositivo con una
fonte di carica (corrente elettrica o batterie esterne)
• La modalità Airplane garantisce l’isolamento senza spreco ulteriore di
batteria, tuttavia richiede l’interazione da parte dell’operatore con la
tastiera del telefono. Potrebbe comportare dei rischi se non si ha
familiarità con lo specifico dispositivo (p.es. errori di attivazione).
44
www.iisfa.it
Acquisizione di dispositivi mobile
• L’analisi di uno dispositivo mobile a fini probatori riguarda
tipicamente quattro aree di ricerca, ovvero:
– La memoria interna del terminale radiomobile
– La scheda SIM
– La memoria rimovibile aggiuntiva (es. SD Card)
– Il Network Service Provider
• Per la memoria interna, in base al tipo di dispositivo, al sistema
operativo installato e agli strumenti di analisi disponibili si possono
effettuare due tipi di acquisizione:
– Logica, ovvero acquisizione dei file attualmente presenti nel file system
– Fisica, ovvero acquisizione dell’intero contenuto della memoria NAND
presente nel dispositivo
45
www.iisfa.it
• Gli accertamenti tecnici su Internet,
ovvero acquisizione di informazioni sul
Web, possono essere suddivisi in 4 fasi
– Identificare le informazioni• Pagina web, Email, Chat/IM, P2P, Social Network, Forum, Blog,
VoIP
– Acquisire le informazioni su Internet
– Analizzare le digital evidence
– Documentare le evidenze (trasversale)
Internet
Acquisizione di informazioni on-line
46
www.iisfa.it
• Le digital evidence, su Internet, presentano
diversi problemi:– Non è facile comprendere dove si trovino
– Possono trovarsi su sistemi ubicati in Italia o all’estero
– Spesso è difficile procedere con un sequestro tradizionale
per motivi tecnici (es. sistemi virtualizzati, database molto
grandi, ecc.) e/o procedurali (es. sistemi ubicati all’estero)
– Difficoltà nell’identificare l’owner
– Ancora più facile alterare, nascondere o distruggere le
informazioni
Acquisizione di una digital evidence
On line
47
www.iisfa.it
• Non possiamo utilizzare gli strumenti tipici della
Computer Forensics
• Non possiamo limitarci a:
– Fare screenshot della pagina
– Salvare la pagina in locale e stamparla
• E’ quindi necessario individuare una procedura
che garantisca:
– Corrispondenza con l’originale
– Riferibilità a un ben individuato momento
Acquisizione di una digital evidence
online
48
www.iisfa.it
• Il processo di acquisizione può quindi variare in funzione della
tipologia di informazione, ma è riconducibile ai seguenti passi:
– Avviare un software di registrazione delle azioni in corso sul PC (es.
CamStudio)
– Avviare un software di registrazione del traffico di rete generato e/o
ricevuto (es. WireShark)
– Impostare il DNS di sistema con un DNS pubblico noto (es. 8.8.8.8 –
Google)
– Sincronizzare l’orologio di sistema tramite un server NTP (es. Istituto
Elettrotecnico Nazionale Galileo Ferraris – ntp.ien.it)
– Identificare l’indirizzo IP da cui si sta effettuando l’accesso
– Avviare le operazioni di mirroring, navigazione e/o download della
“digital evidence” che si vuole acquisire
Acquisizione
49
www.iisfa.it
• Al termine delle operazioni di acquisizione:
– Interrompere il software di acquisizione del traffico di rete
– Firmare digitalmente (e possibilmente con marca temporale) il
file con il traffico di rete
– Calcolare l’hash dei file scaricati
– Fare un unico archivio contenente il traffico di rete e i file
scaricati
– Firmare digitalmente il file ottenuto e calcolare l’hash
– Interrompere la registrazione delle azioni a monitor
Acquisizione
50
www.iisfa.it
Ultime riflessioni�
51
www.iisfa.it
Irripetibilità intrinseca della CF?
• Alcuni studiosi, per “complicare” lo scenario su una presunta
“irripetibilità intrinseca della computer forensics”, affermano che
i programmi informatici utilizzati per la computer forensics
sono quasi sempre coperti da licenza, in quanto
commercializzati da grandi aziende informatiche. Ciò
impedisce di poter accedere ai c.d. “codici sorgente”, vale a
dire alle vere e proprie fondamenta che sorreggono l’intelaiatura
del programma e ne condizionano il suo funzionamento.
• Per tale motivo sarebbe fondata l’eccezione difensiva che voglia
far leva sulla impossibilità, per giudice ed avvocato, di esaminare
il concreto funzionamento di quel programma e quindi di poter
monitorare la correttezza dell’iter da esso seguìto,con
conseguente garanzia di fedeltà della copia effettuata.
52
www.iisfa.it
Software proprietario e CF
• Molti dei programmi degli stessi indagati sono di tipo “proprietario” e non è
possibile accedere ai c.d. codici sorgenti (si pensi al 95% della popolazione
che utilizza almeno un sistema di tipo windows/mac). Non per questo si
mette in discussione la rappresentazione di atti o fatti giuridicamente
rilevanti quando si analizzano documenti informatici scritti con i più
comuni programmi informatici (ad esempio Office Word, sul quale può
essere apposta anche una firma digitale legalmente riconosciuta dalla
norma italiana).
• Altro aspetto da non sottovalutare è che, comunque, le analisi condotte dal
NIST hanno portato a definire qualitativamente affidabili questi
strumenti di analisi forense nelle varie versioni.
• In ogni caso, queste importanti software house sono disponibili a fornire il
codice sorgente al Giudice, mediante una sorta di accordo di
segretezza, per le eventuali attività peritali volte all’analisi del
comportamento di tali strumenti informatici.
53
www.iisfa.it
Irripetibilità “controllata”�
• A nostro avviso, è necessario valutare caso per caso la ripetibilità e
irripetibilità delle attività di digital forensics (come del resto l’affidabilità di
tutte le azioni operate)
• Infatti, tale assunto dipende dalla tipologia del sistema informatico (server,
semplice computer, internet, cloud, etc), dal suo stato (acceso o spento, ad
esempio), oltre che dal momento “storico” delle attività di polizia giudiziaria e
più in generale investigative.
• La tecnica informatica, anche in questo caso, seguirà al meglio le indicazioni
degli investigatori e della legge, muovendosi in attività di ricerca e
cristallizzazione cautelativa delle tracce informatiche negli atti
irripetibili di polizia giudiziaria, mentre proporrà al pubblico ministero,
in un secondo momento, quelle procedure ove sia possibile operare in
condizioni di accertamento ripetibile ex art 359 cpp (si pensi ad un
“semplice” hard disk di un computer portatile).
54
www.iisfa.it
Quesiti al consulente tecnico�.
1. premesso che tutte le analisi forensi dovranno essere operate su un'immagine dei supporti originali, creata con blocchi hardware in scrittura al fine di consentire la ripetibilita' degli accertamenti e non pregiudicare la genuinità delle tracce informatiche, estrapoli il consulente tecnico ogni informazione utile, come di seguito precisato, dai seguenti hard disk:
a.1 Hard disk seriale _____;
a.2 Hard disk seriale _____;
acquisiti in data _______ dalla Polizia giudiziaria.
55
www.iisfa.it
Quesiti al consulente tecnico (2)
2. l'analisi forense dovrà vertere nella ricerca di ogni documentoleggibile/stampabile sia di immagini che di testo, compresieventuali file di posta elettronica ed allegati con l'esattaindicazione della loro posizione (logica e fisica) e proprietà(lettura/modifica/scrittura) rilevandone per ciascuno, inoltre, ladoppia impronta di hash MD5 e SHA1. L'analisi forense, inoltre,dovrà essere condotta in modo da reperire anche file/documenticancellati. L'esito dell'analisi forense dovrà essere prodotta susupporti ottici CD/DVD non riscrivibili e monosessione, e gli stessidovranno essere normalmente navigabili in formato HTML. Nelcaso di file con password, si autorizza il consulente alla rimozionedelle misure di sicurezza, e questi dovra' produrre sia il fileoriginale che quello decodificato, con relativo file di testo al latereriportante la password.
56
www.iisfa.it
Quesiti al consulente tecnico (3)
• 3. La polizia giudiziaria potrà, laddove opportuno, fornire un elenco di parole chiave per estrapolazione mirata dei documenti di cui al punto precedente.
• 4. il consulente dovra' documentare tutta la chain of custody (catena di custodia) delle tracce informatiche oggetto di analisi forense, anche mediante l'ausilio di rilievi fotografici.
• 5. venga effettuata una analisi dei supporti per evidenziare l'eventuale presenza di virus et similia, attivi e residenti nell'hard disk.
58
www.iisfa.it
Backup «giurisprudenziale»
59
www.iisfa.it
Sentenza Vierika
I grado - Bologna n. 1823/05 - dep. 22.12.2005
Appello - Bologna, Sezione II Penale, Sentenza 30
gennaio 2008 (dep. 27 marzo 2008)
(disponibili su www.penale.it)
hanno segnato un passo importante
nella computer forensics
60
www.iisfa.it
Cassazione 12-12-2008
61
www.iisfa.it
62
www.iisfa.it
63
www.iisfa.it
Cassazione n. 11863 del 2009
• Si eccepisce in particolare nei motivi di gravame l'inutilizzabilità,
perché effettuato senza le garanzie della difesa previste dall'art.
360 c.p.p., dell'accertamento tecnico attraverso cui è stata
estratta da supporto informatico la menzionata lista di nomi
• �.Omissis�
• Correttamente invero per l'estrazione dei dati contenuti nel
supporto informatico - essendo l'accertamento all'evidenza
ripetibile se eseguito, come non è dubbio sia avvenuto nel caso
di specie, da personale esperto perfettamente in grado di evitare
la perdita dei dati medesimi - è stato applicato l'art. 359 c.p.p. e
non l'art. 360 c.p.p..
