Come raccogliere le prove in caso di diffamazione via Facebook?

La diffamazione via Facebook e siti web è diventata ormai una pratica spiacevolmente diffusa: sentendosi al sicuro dietro alla tastiera, le persone tendono a scrivere insulti e ingiurie anche a volte piuttosto pesanti nei confronti di politici, personaggi pubblici, ma anche perfetti sconosciuti.

Nella speranza che non accada mai, conviene comunque prepararsi e sapere cosa fare in caso di diffamazione via Facebook, ma anche su siti web, forum o social network come Twitter, Linkedin, Google Plus o chat di gruppo su Facebook Messenger.

Se siete vittima di diffamazione mezzo Internet e avete la possibilità di contattare un consulente informatico esperto in informatica forense, richiedete una perizia per diffamazione via Facebook, su siti web o social network che includa la fase di acquisizione delle prove informatiche, certificazione dell’integrità dei dati raccolti oltre che la stesura di una relazione tecnica che possa diventare Consulenza Tecnica di Parte da allegare a eventuale denuncia/querela per diffamazione.

Nell’immediatezza, appena vi rendete conto di essere stati diffamati su Facebook, potete procedere con alcuni accorgimenti che possono servire a raccogliere le prove digitali nel caso in cui il diffamatore rimuova i messaggi o i post diffamanti. La raccolta delle prove della diffamazione mezzo Internet (considerata ormai a tutti gli effetti una diffamazione a mezzo stampa) è una fase delicata della perizia informatica che dovrebbe essere gestita da un perito informatico, potete però autonomamente seguire queste indicazioni che illustrano come raccogliere le prove della diffamazione.

La stampa in PDF o su carta può essere utilizzata come prova?

Evitate di procedere alla stampa in PDF o su cartaceo dei messaggi diffamatori: le stampe o screenshot difficilmente vengono ammesse in Tribunale come prova perché non godono dell’integrità delle prove informatiche raccolte con strumentazione adeguata e metodi scientifici.

Anche la fotografia dello schermo del PC non ha pienamente valore legale o meglio, può facilmente essere contestata dalla controparte, poiché per quanto possa avere una storicità temporale (i cellulari si sincronizzano automaticamente con l’ora esatta e salvano le immagini in modo incrementale) ritrae qualcosa che può facilmente essere artefatto (lo schermo).

La stampa del profilo Facebook certificata da un Notaio o da un Pubblico Ufficiale è certamente un’alternativa migliore ma può non essere sufficiente a identificare il proprietario del profilo o della pagina Face Book utilizzata per la diffamazione, poiché è necessario acquisire anche ulteriori dati come il codice identificativo univoco che permette di ritrovare il profilo o la pagina diffamatoria anche in caso di cambio del nome o dell’indirizzo.

Come identificare il profilo, pagina o gruppo Facebook con contenuti diffamatori?

Per quanto sia importante, non è sufficiente prendere nota del nome del profilo o della pagina, neanche copiando la URL, cioè l’indirizzo che compare nella barra degli indirizzi del browser come Internet Explorer, Mozilla Firefox, Google Chrome o Apple Safari.

Dove trovare indirizzo URL di pagina o profilo Facebook per denunciare una diffamazione

Per poter eseguire una Perizia Informatica su un profilo, pagina o gruppo Facebook è necessario, in realtà, identificare il codice ID che lo identifica univicamente. Il nome del profilo infatti può essere modificato dal proprietario, così come l’indirizzo che compare nella barra delle URL del browser.

Per individuare il codice ID del profilo o della pagina da cui proviene la diffamazione, è possibile utilizzare un sito come Find My FB ID, incollando l’indirizzo del profilo o della pagina nel campo di testo e premendo il pulsante “Find numeric ID”.

Come trovare ID di una pagina o profilo Facebook per denunciare una diffamazione

Una volta inserito l’indirizzo del profilo o della pagina Facebook dove è presente la diffamazione, si otterrà un numero da ricopiare o stampare, per “congelare” l’identificativo univoco che permetterà di ritrovare il profilo o pagina anche in caso di cambio nome o URL e all’Autorità Giudiziaria di richiedere a Facebook eventuali file di log o contenuti diffamatori. La raccolta delle prove per uso legale in caso di diffamazione su Facebook, partendo dal codice ID del profilo o della pagina, è molto più efficace.

Se non è possibile utilizzare i siti online che identificano il Facebook ID, è consigliabile salvare la pagina Facebook o il profilo su cui è stata rilevata la diffamazione cliccando su “Salva con nome” nel browser utilizzato per la navigazione su web. All’interno del codice della pagina, si troveranno due voci che contengono i codici ID ricercati: “pageID” (per le pagine Facebook) e “profile_id” (per i profili).

Per verificare di aver copiato il codice profilo, gruppo Facebook o pagina corretto, potete digitare il seguente indirizzo, nel quale inserirete il codice appena trovato (sostituirete il codice in grassetto nell’esempio con quello che avrete trovato) e si aprirà il profilo, la pagina o il gruppo identificato:

www.facebook.com/1570102506561136

Come trovare il riferimento univoco del post o del commento diffamatorio?

Una volta stabilito l’ User ID del proprietario del profilo da cui è avvenuta la diffamazione o il Page ID della pagina che contiene il testo diffamatorio, cerchiamo di “congelare” anche il post o il commento stesso per utilizzarlo poi come prova informatica della diffamazione e permettere ai consulenti informatici forensi che verranno ingaggiati di realizzare una perizia informatica. E’ un po’ come prendere la targa di un’auto e magari il modello e marca per segnalarla alle Autorità, una lettura corretta permette d’incrociare i dati e identificare in modo univoco l’intestatario.

Se siete sulla pagina o sul profilo che vi ha diffamato, identificate il post su cui è contenuta la diffamazione da utilizzare come prova in Tribunale e cliccate sulla data sotto il nome del profilo o della pagina, data che potrà essere indicata come “30 luglio alle ore 9:34” ma anche “Due ore fa” o “Ieri alle 09:34”, in base a quando visionate il post.

Come identificare l'ID del post Facebook come prova di una diffamazione online

Tale data contiene un link all’indirizzo o URL che identifica il post stesso, che si aprirà nel browser. Copiate l’indirizzo che compare nel browser, che sarà del tipo seguente:

www.facebook.com/nome.profilo/posts/10213357451991856

Per identificare un commento specifico per “congelarlo” come prova di una diffamazione, così da poter poi redigere una perizia informatica che ne documenti in modo oggettivo il contenuto, andrà fatta una cosa simile, cliccando però questa volta sulla data e ora sotto il commento stesso, dopo il link “Mi Piace”.

Identificare il commento Facebook come prova della diffamazione subita

Anche in questo caso otterrete l’apertura del post in una nuova pagina con il commento in evidenza e dovrete copiare l’indirizzo che compare nella barra delle URL del browser, che sarà del tipo seguente (potete omettere eventuali codici presenti dopo il “comment_id”:

www.facebook.com/nome.profilo/posts/10213357451991856?comment_id=10213357955884453

Notate i due codici evidenziati in grassetto, il primo è il codice ID del post, mentre il secondo è il “comment_id”, cioè l’identificativo univoco del commento diffamatorio che potrete utilizzare per chiedere un risarcimento o sporgere denuncia/querela in Questura, in Tribunale o alla Polizia Postale.

Se la diffamazione avviene tramite commenti in un post prontamente rimossi?

Nel caso in cui la diffamazione su Facebook prosegua con ulteriori messaggi e insulti un un thread o in un post, specie se poi prontamente rimossi, consigliamo di attivare l’impostazione su Facebook che permette di “seguire un post” così da ricevere una mail a ogni aggiornamento.

Attivare le notifiche su Facebook per un post diffamatorioPer attivare le notifiche su un post diffamatorio di Facebook, cliccare sulla freccia con punta in basso posizionata in alto a destra nel post e poi sulla voce di menù “Attiva le notifiche per questo post”. Si riceveranno così email a ogni nuovo commento al post, che potranno essere utilizzate dal perito informatico per certificare o rintracciare i commenti anche nel caso in cui – come spesso accade – dovessero essere rimossi poco dopo la pubblicazione.

Ovviamente le email devono essere mantenute nella casella di posta e non cancellate, così da permettere successivamente una perizia sulla posta elettronica che ne certifichi l’originalità e la presenza sul server per un utilizzo in Tribunale, perizia che può essere anche asseverata e giurata dal perito informatico in Tribunale.

Come si fa a “congelare” una prova informatica di diffamazione su Facebook?

Come già anticipato sopra, è consigliabile assegnare l’incarico di perizia informatica a un consulente tecnico esperto in informatica forense, che sia in grado di eseguire una copia autenticata di un profilo o di una pagina Facebook contenente messaggi diffamatori. Il motivo è che la perizia per diffamazione deve essere eseguita seguendo metodi scientifici ormai consolidati e, inoltre, il perito informatico potrà eventualmente essere poichiamato a testimoniare in Tribunale in qualità di testimone o Consulente Tecnico di Parte. E’ infatti preferibile che a presenziare in Tribunale, come consulente tecnico forense o testimone, sia un terzo, che abbia competenze e svolga perizie informatiche di professione.

E’ però possibile (anche per premunirsi in caso di cancellazione) cominciare la fase di “cristallizzazione” utilizzando alcuni accorgimenti, come ad esempio il software gratuito FAW (Forensic Acquisition of Websites) che permette di acquisire in maniera forense pagine web o profili di social network con alcune garanzie sull’originalità del dato acquisito.

Acquisizione forense di profili e pagine Facebook con FAW

Esistono poi servizi web che permettono di scaricare una copia autentica di pagine o post Facebook a patto che questi siano pubblici e non privati. Consigliamo ad esempio Perma.cc o Archive.is che, per quanto non sostituiscano in alcun modo la perizia informatica o l’acquisizione forense di siti web, permettono di creare una copia di una pagina Internet su un server terzo, realizzata da un ente terzo, attività strategica in particolare nel caso in cui i messaggi diffamatori vengano modificati o rimossi.

Perma.cc offre 10 acquisizioni gratuite al mese per ogni account registrato e ha il vantaggio che è possibile acquisire una pagina creandone una “copia” che poi può essere resa privata, così da evitare che venga trovata tramite ricerche su web. Una volta registrati e creata la copia certificata della pagina web, ricordarsi di modificarne le proprietà rendendola “privata”, così da non renderla accessibile a Google ma poterla fornire poi al perito informatico nominato per la perizia sulla diffamazione a mezzo stampa o internet via Facebook.

Archive.is non richiede registrazione ma va tenuto presente che qualunque cosa gli si faccia acquisire, verrà pubblicata su Internet e farà parte dei risultati di ricerca di Google e dei vari motori: un messaggio diffamatorio su Facebook, quindi, sarà poi presente due volte, una su Facebook e una su Archive.is.

Ovviamente qualunque servizio si utilizzi, è necessario conservare il codice della copia che è stata generata, per poterlo fornire al consulente informatico forense che verrà nominato per la fase di perizia, che potrà essere anche giurata e asseverata in Tribunale per rafforzarne il contenuto.

Pubblicato in facebook | Contrassegnato , , , , , , , , , , , , , , , , | Commenti disabilitati su Come raccogliere le prove in caso di diffamazione via Facebook?

Sarahah forensics, analisi forense dell’App per messaggi anonimi

Sarahah forensicsIn questi giorni sta impazzando sui social il servizio “Sarahah”, disponibile sia via web sia tramite App per Android e iOS, che permette a chiunque iscriversi e ricevere messaggi anonimi. In questo articolo analizzeremo alcune potenzialità della “sarahah forensics”, cioè dell’analisi tecnica forense dell’App Sarahah su iPhone e Android e del sito web da cui inviare messaggi o su cui leggere i messaggi anonimi ricevuti dagli sconosciuti.

Continua a leggere

Pubblicato in mobile forensics | Contrassegnato , , , , , , , , , , , , , , , , , , , | Commenti disabilitati su Sarahah forensics, analisi forense dell’App per messaggi anonimi

Ripetibilità e Irripetibilità delle Acquisizioni Forensi

Il seguente mio scritto su Ripetibilità e Irripetibilità delle Acquisizioni Forensi è tratto dagli Atti del Convegno della tavola rotonda su “Ripetibilità e irripetibilità delle acquisizioni forensi in ambito d’indagini digitali” dove il 19 ottobre 2016 ho tenuto un intervento come relatore a Roma, insieme agli amici e ottimi professionisti Giovanni Ziccardi, Francesco Paolo Micozzi, Andrea Ghirardini e Mattia Epifani durante il Forum ICT 2016 organizzato da Tecna Editrice.

Ripetibilità e Irripetibilità delle Acquisizioni Forensi

Durante la tavola rotonda tenutasi a Roma a ottobre 2016 si è parlato delle problematiche di ripetibilità e irripetibilità ex art 360 c.p.p. e 359 c.p.p. delle fasi di copia forense e acquisizione delle evidenze digitali in ambito di computer, hard disk, pendrive, cloud, smartphone e cellulari, cloud, siti e pagine web, NAS e datacenter con la partecipazione di consulenti informatici forensi e giuristi specializzati nelle nuove tecnologie.

Introduzione

Ripetibilità e Irripetibilità delle Copie ForensiIl dibattito sulla ripetibilità o irripetibilità degli accertamenti in campo d’informatica forense è fra i più accesi: fin dagli esordi della disciplina è stato argomento di discussione fra Consulenti, Pubblici Ministeri, Giudici e Giuristi senza che si riuscisse purtroppo ad arrivare a una linea condivisa. Al contrario, l’aumentare della complessità dei dispositivi di archiviazione e trasmissione dati ha fatto sì che le modalità di acquisizione diventassero sempre più invasive e si rimettessero in discussione le poche certezze che, con il tempo, sembravano essersi fatte strada tra gli esperti del settore.
Precisiamo che parlando di ripetibilità e irripetibilità degli accertamenti ci riferiamo alle fasi della consulenza tecnica in ambito giudiziario ove al Consulente viene richiesto elaborare e valutare elementi di prova, eventualmente previa acquisizione di una copia. Questo tipo di accertamenti – ex artt. 359 o 360 c.p.p. – si differenzia dalle operazioni tecniche eseguite nel corso delle attività di Polizia Giudiziaria, in genere finalizzate alla mera rilevazione degli elementi a disposizione.

Art. 359 o art. 360 c.p.p.?

La discussione origina, essenzialmente, dall’interpretazione di due articoli di Legge che vengono citati durante la nomina del Consulente e che delineano la forma in cui si svolgeranno le Operazioni Peritali e quindi la modalità con la quale verranno coinvolte le parti e si formerà la prova.
L’art. 359 c.p.p. descrive la possibilità, per il Pubblico Ministero, di avvalersi di Consulenti per eseguire “accertamenti, rilievi segnaletici, descrittivi o fotografici e ad ogni altra operazione tecnica per cui sono necessarie specifiche competenze”. L’articolo, implicitamente, annovera fra le attività quelle che non causano modificazioni a persone, cose o luoghi, cioè “accertamenti ripetibili”. La “ripetizione” entra in gioco in quanto si richiede – appunto – che un esame porti agli stessi identici risultati anche se ripetuto più volte e da diversi soggetti. Ovviamente affinché ciò avvenga, la fonte di prova deve innanzitutto rimanere integra e non deteriorarsi o distruggersi.
L’art. 360 c.p.p. precisa invece che “quando gli accertamenti previsti dall’art. 359 riguardano persone, cose o luoghi il cui stato è soggetto a modificazione, il pubblico ministero avvisa, senza ritardo, la persona sottoposta alle indagini, la persona offesa dal reato e i difensori del giorno, dell’ora e del luogo fissati per il conferimento dell’incarico e della facoltà di nominare consulenti tecnici”. Si parla in questo caso di “accertamenti irripetibili”, nelle quali cioè lo stato degli oggetti sottoposti ad esame è stato modificato e accertamenti successivi porterebbero a risultati diversi o persino potrebbero non essere più esperibili perché gli oggetti sono andati distrutti. Alcuni esempi tipici esami su stati soggetti a modificazione sono i rilievi stradali, accertamenti sui corpi umani o in ambienti aperti dove le condizioni meteo possono causare alterazioni. Tutti casi nei quali “i difensori nonché i consulenti tecnici eventualmente nominati hanno diritto di assistere al conferimento dell’incarico, di partecipare agli accertamenti e di formulare osservazioni e riserve” a meno che prima del conferimento dell’incarico, la persona sottoposta alle indagini non abbia formulato riserva di promuovere incidente probatorio”. Si consideri come non si parla soltanto della fase di acquisizione, ma anche di analisi: ci sono infatti esami che possono essere eseguiti una sola volta, si pensi ad esempio all’analisi del DNA di una particella molto esigua di sangue che, durante l’esame stesso, viene interamente utilizzata.

Ripetibilità e irripetibilità degli accertamenti su memorie di massa

Nella maggioranza dei casi ciò che è memorizzato su un dispositivo di archiviazione dati (hard disk, scheda di memoria, pendrive, etc…) vi rimarrà fino a che non interverrà un ordine esplicito di cancellazione o modifica o un danneggiamento/deperimento dell’hardware. Questa caratteristica fa sì che si possa innanzitutto dividere in due fasi ben distinte l’accertamento sul materiale informatico: l’acquisizione e l’analisi dei dati.

La fase di acquisizione prevede la generazione di una copia il più possibile conforme all’originale, finalizzata a poter eseguire su di essa la fase successiva di analisi, che consiste nell’elaborazione di quanto acquisito per produrre una relazione tecnica che risponda ai quesiti posti dagli inquirenti o dal cliente.
La prima fase, quella di acquisizione, su alcuni dispositivi “tradizionali” come hard disk, schede di memoria o pendrive viene ormai considerata ripetibile. Dal punto di vista tecnico, il motivo è che i dispositivi di archiviazione di massa permettono in genere (tralasciamo per ora le questioni legate ai dischi SSD e al trim o wear leveling delle memorie flash) all’operatore di eseguire una copia integrale dell’intero spazio disponibile per i dati, siano essi presenti o cancellati. La copia integrale viene chiamata “copia forense”, “copia bistream” o “copia bit-to-bit” perché contiene tutti i bit/byte del supporto di memoria, dal primo all’ultimo, allocati (cioè sui quali sono scritti dei dati ancora presenti) o non allocati (cioè vuoti o sui quali vi sono dati non più considerati presenti).
La seconda fase, quella di analisi del dato copiato, è la meno problematica dal punto di vista della ripetibilità perché è per definizione ripetibile. Partendo dalla stessa copia forense, sia il consulente del PM sia quello delle parti e, in un momento successivo, anche l’eventuale Perito del Giudice sarà in grado di ottenere gli stessi risultati.
Dal punto di vista giuridico, secondo giurisprudenza consolidata l’estrazione di un dato da un hard disk di un pc sottoposto a sequestro è un atto ripetibile (si vedano ad esempio le sentenze di Cassazione sez. I 25.2.2009 n. 11503 e sez. I 5.3.2009 n. 14511) poiché un’attività di questo tipo non comporta al-cuna attività di carattere valutativo su base tecnico scientifica né determina alcuna alterazione dello stato delle cose. Questo ovviamente se nell’eseguire la copia dei dati vengono adottate le necessarie precau-zioni, cioè le operazioni avvengano “adottando misure tecniche dirette ad assicurare la conservazione dei dati originali e ad impedirne l’alterazione”, “con una procedura che assicuri la conformità dei dati acquisiti a quelli originali e la loro immodificabilità” (così come prescritto dalla Legge 48/2008).

Ripetibilità e irripetibilità degli accertamenti su cellulari, smartphone e cloud

A differenza delle memorie di massa, per quanto riguarda gli smartphone la situazione è certamente più complessa ma si sta lentamente arrivando a una visione condivisa. Dal punto di vista dell’acquisizione, la differenza tra uno smartphone e un hard disk consiste nel fatto che eseguire copie forensi bit-to-bit del primo è sostanzialmente più difficile, talvolta impossibile, mentre sul secondo la pratica è ormai consolidata sia dal punto di vista tecnico sia giuridico.
Per alcuni telefoni (es. alcuni Android) sono disponibili procedure che permettono tramite bootloader di avviare il dispositivo e acquisire copia della memoria così come si farebbe con un hard disk, dal primo all’ultimo byte, senza modificare nessuna area della memoria di massa contenente Sistema Operativo o dati. L’acquisizione così realizzata viene definita “physical” perché – a differenza delle acquisizioni che avvengono in modalità “filesystem” o “logical” – comporta la copia di tutto il supporto su cui vengono scritti i dati. La ripetibilità delle operazioni di acquisizione di questi dispositivi si riconduce a quella della copia di hard disk, ormai pacifica.
Ciò che invece richiede uno sforzo interpretativo maggiore è la copia forense di dispositivi che 1) richiedono l’avvio del Sistema Operativo per poter permettere le operazioni di copia e 2) possono non permettere acquisizione “physical” ma soltanto “logical” o “filesystem”. Il punto 1) già di per sé implica un qualche tipo di modifica all’oggetto che viene copiato, il che non significa necessariamente modifica ai dati. Il punto 2) implica che, non potendo eseguire operazione di copia in modalità “physical”, qualche informazione non possa essere acquisita (primi fra tutti, i dati cancellati ma ancora presenti in aree non allocate).
In questa situazione, ciò che aiuta a uscire dall’impasse è la distinzione tra “dato” e “contenitore” e la precisazione di quale subisce eventuali alterazioni. Se operazioni di copia successive, anche in modalità “logical” o “filesystem” non implicano modifiche ai dati (es. agli SMS, messaggi WhatsApp, foto, email, video, etc…) l’attività – dal punto di vista tecnico e del dato oggetto di eventuale quesito – può essere ripetuta a piacere e produrrà sempre gli stessi risultati. Certamente non saranno acquisiti dati cancellati e informazioni come file di log degli avvii del dispositivo potranno subire modifiche, ma il dato estratto sarà sempre lo stesso.
Per quanto riguarda il cloud, la situazione non è molto diversa da quanto descritto per i cellulari anzi vi è la complessità di un accesso remoto rispetto ad un’operazione su un oggetto che si può esaminare in laboratorio. Una modificazione dell’ambiente è congenita ma va valutato, caso per caso, il contesto sul quale il quesito pone l’attenzione. Il fine è capire se le attività possono non essere – dal punto di vista tecnico – irripetibili a fronte dell’analisi dell’impatto sui dati e dell’affidabilità e conformità di quanto acquisito con l’originale.

Conclusioni

La trattazione di questioni legate a ripetibilità e irripetibilità degli accertamenti (intesi come attività di copia e successivo esame dei dati) non può certamente concludersi nello spazio di poche righe, che però possono essere un punto di partenza per introdurre la problematica, i punti fermi e gli sforzi interpretativi legati alle operazioni sui dispositivi più recenti (cellulari, ma anche cloud).
Per quanto riguarda gli hard disk e le memorie di massa, la giurisprudenza si è già schierata ampiamente verso una condizione di “ripetibilità” delle operazioni, di copia e ancora di più di analisi ed elaborazione del dato. Per quanto riguarda gli smartphone, ma anche il cloud, la situazione è più complessa e va valutata di caso in caso. Certamente, se il quesito focalizza l’attenzione sul dato (es. foto, video, SMS, contatti, chat, etc…) e il dato non viene modificato dalle operazioni di copia, si può concludere che queste possano assumere una connotazione di ripetibilità, almeno dal punto di vista tecnico.

Pubblicato in pubblicazioni | Contrassegnato , , , , , , , , , , , , , , , , , , , , , , , , , | Commenti disabilitati su Ripetibilità e Irripetibilità delle Acquisizioni Forensi

Cellebrite conferma lo sblocco di iPhone 6, 6S ed SE con iOS 10

Cellebrite Unlock Services - CAISCellebrite è in grado di sbloccare iPhone 5S, 6, 6S ed SE anche se protetti da PIN o password, con iOS fino alla versione 10.*. Lo comunica ufficialmente nella pagina dedicata agli Unlock Services dei dispositivi Apple e Samsung, pubblicata contestualmente al rinnovo del sito web avvenuto nei giorni scorsi e lo conferma nella brochure linkata dalla pagina stessa.

Capabilities & Benefits
Unlock and extract all available data from the latest iOS devices
Cellebrite is the only partner who can help you overcome the locks on Apple iPhone 4S, 5, 5c, 5S, 6, 6S, and SE, plus equivalent iPad/iPod touch models, such as iPad 2, 3rd/4th Gen, iPad mini 1st Gen, 2, 3, 4, iPad Air, Air 2, and iPod touch 5th/6th Gen, for all available supported versions of iOS 8, iOS 9, and iOS 10.*.

Il nuovo sito Cellebrite, società israeliana specializzata in mobile forensics, è stato pubblicato da poco ma risulta ben organizzato in contesti “Law Enforcement”, “Military & Intelligence” e “Corporate Investigations”. Notiamo che il servizio CAIS è riportato soltanto nella sezione “Law Enforcement” -> “Court”, a conferma del fatto che lo sblocco di iPhone bloccati da PIN o password non viene fornito a privati o aziende, se non dietro autorizzazione e decreto di un PM o di un Giudice.

Nuovo sito Cellebrite e Servizio di Sblocco iPhone e Samsung CAIS

Per gli addetti ai lavori la notizia dello sblocco degli iPhone a 64 bit come l’iPhone 6 in realtà non è del tutto nuova, dato che a febbraio 2017 con un tweet, il responsabile della ricerca in ambito forense della società israeliana Cellebrite, Shahar Tal, aveva annunciato pubblicamente che Cellebrite era in grado di trovare il PIN o la password degli smartphone Apple iPhone 5S, 6 e 6+ e sbloccarli.

Pochi mesi dopo, durante il webinar di marzo 2017 sulle potenzialità investigative dei prodotti Cellebrite, Dan Embury, Direttore del laboratorio, Cellebrite Advanced Investigative Services (CAIS), aveva aggiunto di essere in grado di sbloccare Apple iPhone 4S/5/5C, iPad 2/3/4 e iPod Touch 5G fino a iOS 10, anche se bloccati su schermata di “Connect to iTunes” o “xxx Minutes”.

Sblocco PIN di iPhone 4S, 5 e 5C da parte di Cellebrite

Per per quanto riguardava gli iPhone a 64 bit, cioè gli iPhone 5S, 6 e 6Plus le possibilità di sblocco dal PIN o della password di Apple iPhone erano possibili soltanto fino ad iOS 9, sempre con la funzionalità di sblocco di iPhone disabilitati con messaggio di “Connetti ad iTunes” o “Riprova tra xx minuti”.

Sblocco PIN di iPhone 5S, 6 e 6 Plus con Cellebrite CAIS Services

Tra l’altro, nel webinar Dan Embury dice due cose interessanti circa lo sblocco degli iPhone 7 e l’acquisizione fisica degli iPhone in generale: “In terms of the 64bit devices – so we are talking about the iPhone 5s, the 6 and 6plus, and obviously the newer 6S  and iPhone 7 as well, we can currently support iOS 8 and 9, we’re the the only ones, to our knowledge, who can produce full file system extraction, so we’re not quite there for a full physical extraction, but ultimately be the way that the files are stored in the iPhone device, once a image or video is deleted, the keys are thrown away immediately, so even if you were to get a full physical, the chance of recovering a deleted picture or a deleted video is essentially zero. The data would still be there, in an encrypted state, but the keys have been discarded almost immediately by the Apple Operating System and nothing would be recoverable.“.

Da quanto riportato nel webinar, quindi, sembra che anche iPhone 7 potrebbe essere presto incluso – sempre se non lo è già – tra i dispositivi compatibili per lo sblocco PIN/Password da parte di Cellebrite mentre risulta chiaro che l’acquisizione che viene eseguita dagli strumenti forensi Cellebrite come UFED è di tipo “filesystem” ma, per come vengono memorizzati i file sui dispositivi Apple, si tratta del tipo di acquisizione più vicino a una “physical”.

Negli ultimi mesi abbiamo poi assistito a diverse notizie di sblocco di dispositivi Apple in casi come quello dello sblocco dell’iPhone 6 dei ricattatori della Sig.ra Julieanna Goddard di Miami, che hanno rifiutato di fornire le credenziali di unlock dell’iPhone prontamente sbloccato dalla Cellebrite. O ancora il caso dello smartphone della ragazza spagnola scomparsa l’anno scorso, Diana Quer, un iPhone 6 con iOS 8 rimasto sul fondo marino, recuperato e “sbloccato dopo circa un anno da Cellebrite per 2.000 euro”, come dichiarato dalla madre durante un’intervista alla TV.

Cellebrite avverte i visitatori del sito d’informarsi presso i rivenditori per conoscere le capabilities del servizio CAIS, visti i repentini aggiornamenti delle tecnologie e delle possibilità di sblocco, intanto ha rimosso la vecchia pagina web, dove fino a pochi giorni fa si parlava ancora dei limiti dello sblocco degli iPhone fino al 5c e con iOS al massimo fino alla versione 9.*.

Pubblicato in mobile forensics | Contrassegnato , , , , , , , , , , , , , , , , , , , , , , | Commenti disabilitati su Cellebrite conferma lo sblocco di iPhone 6, 6S ed SE con iOS 10

GDPR, Protezione dei Dati e Investigazioni Aziendali al DFA Open Day 2017

DFA Open Day 2017 a MilanoMercoledì 27 settembre si terrà a Milano il consueto appuntamento con il DFA Open Day, la giornata organizzata dall’associazione Digital Forensics Alumni di Milano, dedicata all’informatica forense in tutti i suoi aspetti, tecnici e giuridici.

Quest’anno i temi trattati durante la conferenza saranno GDPR e Investigazioni Aziendali oltre a Cifratura e Anonimizzazione come strumenti a supporto delle Investigazioni Digitali. I relatori sono esperti noti nell’ambiente della digital forensics, con ampia esperienza sui diversi aspetti che verranno trattati e approfonditi durante la giornata e ottima capacità di presentare al pubblico argomenti non facili da trattare.

Il seminario si terrà mercoledì 27 settembre 2017, dalle ore 08:30 alle 14:00 nell’aula Malliani, presso l’Università degli Studi di Milano in via Festa del Perdono 7 a Milano.

La partecipazione è libera con iscrizione gratuita da fare tramite piattaforma EventBrite all’indirizzo http://dfaopenday2017.eventbrite.it.

Il programma della conferenza è il seguente:

8.30 – 9.00 Registrazione partecipanti

9.00 – 9.15 Saluti iniziali e presentazione attività DFA
Avv. Valerio Vertua, Presidente Consiglio DFA

9.15 – 9.45 Presentazione dei Corsi di Perfezionamento
Prof. Avv. Pierluigi Perri, Università degli Studi di Milano

9.45 – 11.45 1° Sessione “Cifratura e Anonimizzazione: tecniche e strumenti giuridici a supporto delle Investigazioni Digitali
Avv. Gian Battista Gallus
Andrea Ghirardini, Digital Forensics Analyst
Ferdinando Ditaranto, Digital Forensics Analyst
Moderatore: Avv. Donato Muscatella

11.45 – 12.15 Intervallo

12.15 – 13.45 2° Sessione: GDPR e Investigazioni Aziendali
Avv. Giuseppe Vaciago
Avv. Andrea Stanchi
Moderatore: Mattia Epifani, Digital Forensics Analyst

13.45 – 14.00 Considerazioni finali e saluti

Pubblicato in eventi, formazione | Contrassegnato , , , , , , , , , , , , , , , , , , , , , , | Commenti disabilitati su GDPR, Protezione dei Dati e Investigazioni Aziendali al DFA Open Day 2017