Archivi tag: roma

Ripetibilità e Irripetibilità delle Copie Forensi

Ripetibilità e Irripetibilità delle Acquisizioni Forensi

Il seguente mio scritto su Ripetibilità e Irripetibilità delle Acquisizioni Forensi è tratto dagli Atti del Convegno della tavola rotonda su “Ripetibilità e irripetibilità delle acquisizioni forensi in ambito d’indagini digitali” dove il 19 ottobre 2016 ho tenuto un intervento come relatore a Roma, insieme agli amici e ottimi professionisti Giovanni Ziccardi, Francesco Paolo Micozzi, Andrea Ghirardini e Mattia Epifani durante il Forum ICT 2016 organizzato da Tecna Editrice.

Ripetibilità e Irripetibilità delle Acquisizioni Forensi

Durante la tavola rotonda tenutasi a Roma a ottobre 2016 si è parlato delle problematiche di ripetibilità e irripetibilità ex art 360 c.p.p. e 359 c.p.p. delle fasi di copia forense e acquisizione delle evidenze digitali in ambito di computer, hard disk, pendrive, cloud, smartphone e cellulari, cloud, siti e pagine web, NAS e datacenter con la partecipazione di consulenti informatici forensi e giuristi specializzati nelle nuove tecnologie.

Introduzione

Ripetibilità e Irripetibilità delle Copie ForensiIl dibattito sulla ripetibilità o irripetibilità degli accertamenti in campo d’informatica forense è fra i più accesi: fin dagli esordi della disciplina è stato argomento di discussione fra Consulenti, Pubblici Ministeri, Giudici e Giuristi senza che si riuscisse purtroppo ad arrivare a una linea condivisa. Al contrario, l’aumentare della complessità dei dispositivi di archiviazione e trasmissione dati ha fatto sì che le modalità di acquisizione diventassero sempre più invasive e si rimettessero in discussione le poche certezze che, con il tempo, sembravano essersi fatte strada tra gli esperti del settore.
Precisiamo che parlando di ripetibilità e irripetibilità degli accertamenti ci riferiamo alle fasi della consulenza tecnica in ambito giudiziario ove al Consulente viene richiesto elaborare e valutare elementi di prova, eventualmente previa acquisizione di una copia. Questo tipo di accertamenti – ex artt. 359 o 360 c.p.p. – si differenzia dalle operazioni tecniche eseguite nel corso delle attività di Polizia Giudiziaria, in genere finalizzate alla mera rilevazione degli elementi a disposizione.

Art. 359 o art. 360 c.p.p.?

La discussione origina, essenzialmente, dall’interpretazione di due articoli di Legge che vengono citati durante la nomina del Consulente e che delineano la forma in cui si svolgeranno le Operazioni Peritali e quindi la modalità con la quale verranno coinvolte le parti e si formerà la prova.
L’art. 359 c.p.p. descrive la possibilità, per il Pubblico Ministero, di avvalersi di Consulenti per eseguire “accertamenti, rilievi segnaletici, descrittivi o fotografici e ad ogni altra operazione tecnica per cui sono necessarie specifiche competenze”. L’articolo, implicitamente, annovera fra le attività quelle che non causano modificazioni a persone, cose o luoghi, cioè “accertamenti ripetibili”. La “ripetizione” entra in gioco in quanto si richiede – appunto – che un esame porti agli stessi identici risultati anche se ripetuto più volte e da diversi soggetti. Ovviamente affinché ciò avvenga, la fonte di prova deve innanzitutto rimanere integra e non deteriorarsi o distruggersi.
L’art. 360 c.p.p. precisa invece che “quando gli accertamenti previsti dall’art. 359 riguardano persone, cose o luoghi il cui stato è soggetto a modificazione, il pubblico ministero avvisa, senza ritardo, la persona sottoposta alle indagini, la persona offesa dal reato e i difensori del giorno, dell’ora e del luogo fissati per il conferimento dell’incarico e della facoltà di nominare consulenti tecnici”. Si parla in questo caso di “accertamenti irripetibili”, nelle quali cioè lo stato degli oggetti sottoposti ad esame è stato modificato e accertamenti successivi porterebbero a risultati diversi o persino potrebbero non essere più esperibili perché gli oggetti sono andati distrutti. Alcuni esempi tipici esami su stati soggetti a modificazione sono i rilievi stradali, accertamenti sui corpi umani o in ambienti aperti dove le condizioni meteo possono causare alterazioni. Tutti casi nei quali “i difensori nonché i consulenti tecnici eventualmente nominati hanno diritto di assistere al conferimento dell’incarico, di partecipare agli accertamenti e di formulare osservazioni e riserve” a meno che prima del conferimento dell’incarico, la persona sottoposta alle indagini non abbia formulato riserva di promuovere incidente probatorio”. Si consideri come non si parla soltanto della fase di acquisizione, ma anche di analisi: ci sono infatti esami che possono essere eseguiti una sola volta, si pensi ad esempio all’analisi del DNA di una particella molto esigua di sangue che, durante l’esame stesso, viene interamente utilizzata.

Ripetibilità e irripetibilità degli accertamenti su memorie di massa

Nella maggioranza dei casi ciò che è memorizzato su un dispositivo di archiviazione dati (hard disk, scheda di memoria, pendrive, etc…) vi rimarrà fino a che non interverrà un ordine esplicito di cancellazione o modifica o un danneggiamento/deperimento dell’hardware. Questa caratteristica fa sì che si possa innanzitutto dividere in due fasi ben distinte l’accertamento sul materiale informatico: l’acquisizione e l’analisi dei dati.

La fase di acquisizione prevede la generazione di una copia il più possibile conforme all’originale, finalizzata a poter eseguire su di essa la fase successiva di analisi, che consiste nell’elaborazione di quanto acquisito per produrre una relazione tecnica che risponda ai quesiti posti dagli inquirenti o dal cliente.
La prima fase, quella di acquisizione, su alcuni dispositivi “tradizionali” come hard disk, schede di memoria o pendrive viene ormai considerata ripetibile. Dal punto di vista tecnico, il motivo è che i dispositivi di archiviazione di massa permettono in genere (tralasciamo per ora le questioni legate ai dischi SSD e al trim o wear leveling delle memorie flash) all’operatore di eseguire una copia integrale dell’intero spazio disponibile per i dati, siano essi presenti o cancellati. La copia integrale viene chiamata “copia forense”, “copia bistream” o “copia bit-to-bit” perché contiene tutti i bit/byte del supporto di memoria, dal primo all’ultimo, allocati (cioè sui quali sono scritti dei dati ancora presenti) o non allocati (cioè vuoti o sui quali vi sono dati non più considerati presenti).
La seconda fase, quella di analisi del dato copiato, è la meno problematica dal punto di vista della ripetibilità perché è per definizione ripetibile. Partendo dalla stessa copia forense, sia il consulente del PM sia quello delle parti e, in un momento successivo, anche l’eventuale Perito del Giudice sarà in grado di ottenere gli stessi risultati.
Dal punto di vista giuridico, secondo giurisprudenza consolidata l’estrazione di un dato da un hard disk di un pc sottoposto a sequestro è un atto ripetibile (si vedano ad esempio le sentenze di Cassazione sez. I 25.2.2009 n. 11503 e sez. I 5.3.2009 n. 14511) poiché un’attività di questo tipo non comporta al-cuna attività di carattere valutativo su base tecnico scientifica né determina alcuna alterazione dello stato delle cose. Questo ovviamente se nell’eseguire la copia dei dati vengono adottate le necessarie precau-zioni, cioè le operazioni avvengano “adottando misure tecniche dirette ad assicurare la conservazione dei dati originali e ad impedirne l’alterazione”, “con una procedura che assicuri la conformità dei dati acquisiti a quelli originali e la loro immodificabilità” (così come prescritto dalla Legge 48/2008).

Ripetibilità e irripetibilità degli accertamenti su cellulari, smartphone e cloud

A differenza delle memorie di massa, per quanto riguarda gli smartphone la situazione è certamente più complessa ma si sta lentamente arrivando a una visione condivisa. Dal punto di vista dell’acquisizione, la differenza tra uno smartphone e un hard disk consiste nel fatto che eseguire copie forensi bit-to-bit del primo è sostanzialmente più difficile, talvolta impossibile, mentre sul secondo la pratica è ormai consolidata sia dal punto di vista tecnico sia giuridico.
Per alcuni telefoni (es. alcuni Android) sono disponibili procedure che permettono tramite bootloader di avviare il dispositivo e acquisire copia della memoria così come si farebbe con un hard disk, dal primo all’ultimo byte, senza modificare nessuna area della memoria di massa contenente Sistema Operativo o dati. L’acquisizione così realizzata viene definita “physical” perché – a differenza delle acquisizioni che avvengono in modalità “filesystem” o “logical” – comporta la copia di tutto il supporto su cui vengono scritti i dati. La ripetibilità delle operazioni di acquisizione di questi dispositivi si riconduce a quella della copia di hard disk, ormai pacifica.
Ciò che invece richiede uno sforzo interpretativo maggiore è la copia forense di dispositivi che 1) richiedono l’avvio del Sistema Operativo per poter permettere le operazioni di copia e 2) possono non permettere acquisizione “physical” ma soltanto “logical” o “filesystem”. Il punto 1) già di per sé implica un qualche tipo di modifica all’oggetto che viene copiato, il che non significa necessariamente modifica ai dati. Il punto 2) implica che, non potendo eseguire operazione di copia in modalità “physical”, qualche informazione non possa essere acquisita (primi fra tutti, i dati cancellati ma ancora presenti in aree non allocate).
In questa situazione, ciò che aiuta a uscire dall’impasse è la distinzione tra “dato” e “contenitore” e la precisazione di quale subisce eventuali alterazioni. Se operazioni di copia successive, anche in modalità “logical” o “filesystem” non implicano modifiche ai dati (es. agli SMS, messaggi WhatsApp, foto, email, video, etc…) l’attività – dal punto di vista tecnico e del dato oggetto di eventuale quesito – può essere ripetuta a piacere e produrrà sempre gli stessi risultati. Certamente non saranno acquisiti dati cancellati e informazioni come file di log degli avvii del dispositivo potranno subire modifiche, ma il dato estratto sarà sempre lo stesso.
Per quanto riguarda il cloud, la situazione non è molto diversa da quanto descritto per i cellulari anzi vi è la complessità di un accesso remoto rispetto ad un’operazione su un oggetto che si può esaminare in laboratorio. Una modificazione dell’ambiente è congenita ma va valutato, caso per caso, il contesto sul quale il quesito pone l’attenzione. Il fine è capire se le attività possono non essere – dal punto di vista tecnico – irripetibili a fronte dell’analisi dell’impatto sui dati e dell’affidabilità e conformità di quanto acquisito con l’originale.

Conclusioni

La trattazione di questioni legate a ripetibilità e irripetibilità degli accertamenti (intesi come attività di copia e successivo esame dei dati) non può certamente concludersi nello spazio di poche righe, che però possono essere un punto di partenza per introdurre la problematica, i punti fermi e gli sforzi interpretativi legati alle operazioni sui dispositivi più recenti (cellulari, ma anche cloud).
Per quanto riguarda gli hard disk e le memorie di massa, la giurisprudenza si è già schierata ampiamente verso una condizione di “ripetibilità” delle operazioni, di copia e ancora di più di analisi ed elaborazione del dato. Per quanto riguarda gli smartphone, ma anche il cloud, la situazione è più complessa e va valutata di caso in caso. Certamente, se il quesito focalizza l’attenzione sul dato (es. foto, video, SMS, contatti, chat, etc…) e il dato non viene modificato dalle operazioni di copia, si può concludere che queste possano assumere una connotazione di ripetibilità, almeno dal punto di vista tecnico.

Continua la collaborazione con la Scuola Superiore di Magistratura

Continua la collaborazione con la Scuola Superiore di Magistratura per le attività di docenza presso i corsi organizzati a Scandicci e a Roma presso la Struttura Territoriale di Formazione Decentrata.

Nella giornata di domani si terrà infatti un corso presso la Corte d’Appello di Roma dal titolo “Intercettazioni: cosa c’è di nuovo? Voci a confronto sulle buone prassi e le criticità nelle fasi dell’indagine e del giudizio” durante il quale sono stato gentilmente invitato a tenere un intervento congiunto con una parte tecnica su “Intercettazioni, perquisizioni informatiche e acquisizione di dati da remoto su computer, cellulari e cloud: stato dell’arte, limiti tecnici e potenzialità investigative” e una parte giuridica a cura del Dr. Nello Rossi, Avvocato Generale presso la Corte di Cassazione su “Indagini e tecnologie informatiche: potenzialità, rischi, limiti istituzionali“.

L’intervento verterà sui limiti tecnici e sulle potenzialità delle nuove tecnologie di intercettazione e di acquisizioni dati da remoto, tramite i cosiddetti “Captatori“, che proprio in questi giorni sono sotto i riflettori per una proposta di legge finalizzata a regolamentarne l’utilizzo.

I “trojan di stato” sono ormai da anni utilizzati per acquisire le informazioni che le intercettazioni tradizionali non arrivano a coprire, in parte a causa della crittografia (vedasi Skype, Telegram, Whatsapp, le connessioni SSL, etc…) in parte a causa della moltitudine di possibilità di connessione che impedisce il monitoraggio proficuo di un solo canale (GSM, le varie WiFi di casa, ufficio, ADSL, etc…). In base al target cambiano le modalità d’infezione, le capacità di captazione, le difficoltà, la persistenza. La rincorsa agli aggiornamenti degli iPhone della Apple, di Android, di Windows Phone rende complessa la fase d’infezione e persistenza dei software che sono sempre più complicati e costosi da insallare.

Nelle edizioni passate dei corsi destinati ai Pubblici Ministeri tenutisi a Milano e Scandicci ho apprezzato l’interesse, lo stimolo intellettuale e la preparazione dei partecipanti che sono sempre intervenuti su argomenti nei quali la componente tecnologica e innovativa è sempre più rilevante e la giurisprudenza vede il bisogno di un continuo aggiornamento e adattamento.

Corso d’introduzione alla Crittografia

Corso d'Introduzione alla CrittografiaVenerdì 25 novembre, presso la sede LUISS di Viale Romania 32 a Roma, parteciperò come docente insieme all’Ing. Carlo Mauceli al corso dal titolo “Introduzione alla crittografia – L’arte di mantenere un segreto”. Il percorso formativo è organizzato da Cyber Affairs, agenzia di stampa focalizzata sui temi della cyber security, con il supporto di Microsoft e Formiche.

Il Corso di crittografia “Crypto4Dummies” mira a sviluppare le tecniche di base della crittografia attraverso un approccio teorico-pratico e si rivolge a un pubblico che si accinge per la prima volta alla tematica.

In particolare, il corso d’introduzione alla crittografia consiste in una intera giornata di studio suddivisa in due moduli. Durante la prima parte l’ing. Carlo Mauceli (National Technology Officer di Microsoft Italia) spiegherà come il dominio cyber ha modificato e modificherà il nostro stile di vita, come la tecnologia pervade le nostre azioni e quando è necessario attivare contromisure che garantiscano la nostra riservatezza.

Durante la seconda parte del corso “Crypto 4 Dummies” mi occuperò personalmente di trattare alcuni aspetti pratici e tecnologici della crittografia. Attraverso un laboratorio, verrano fornite alcune basi teoriche su crittografia simmetrica, asimmetrica, generazione di chiavi mediate protocolli come Diffie Hellman, firma digitale, algoritmi di hashing (fondamentali in ambito di computer forensics) e strumenti pratici di installazione e utilizzo di sistemi di crittografia delle comunicazioni, siano esse vocali o scritte.

Alla fine del corso, il discente potrà vantare una prima approfondita dimestichezza con i comuni mezzi di crittografia disponibili in rete o a pagamento, ottenendo un attestato di partecipazione.

Maggiori informazioni (brochure, costi e modulo d’iscrizione) si possono trovare sul sito Cyber Affairs o contattando l’organizzazione all’indirizzo [email protected].

Ripetibilità e irripetibilità di acquisizioni forensi in ambito d’indagini digitali

Forum ICT Security 2016 - Ripetibilità acquisizioni forensiIl 19 ottobre 2016, presso il Centro Congressi Roma Aurelia Antica (Via degli Aldobrandeschi 223 a Roma) durante il Forum ICT 2016 si terrà la tavola rotonda “Ripetibilità e irripetibilità delle acquisizioni forensi in ambito d’indagini digitali” organizzata da Tecna Editrice. Durante la tavola rotonda, che avrà inizio alle ore 15:00,  si parlerà delle questioni relative alle operazioni di copia forense su dispositivi quali hard disk, cellulari, smartphone, cloud, web in merito alla ripetibilità o meno dell’acquisizione, con riflessioni tecniche e giuridiche sugli articoli 359 e 360 del cpp, accertamenti tecnici irripetibili, incidente probatorio, accertamenti tecnici preventivi e tutto ciò che coinvolge la ripetibilità o irripetibilità delle fasi di acquisizione del dato.

La presenza di nuovi e sofisticati device e di sistemi di storage dei dati sempre più evoluti e diffusi offrono infatti un quadro tecnologico sempre più complesso per le investigazioni digitali. L’acquisizione della fonte di prova è uno dei momenti più delicati dell’intero processo di trattamento a uso investigativo del dato digitale. La valutazione corretta, se l’atto sia ripetibile o irripetibile, può condizionare l’intero corso del processo.

Durante la tavola rotonda i relatori forniranno la loro posizione sul tema e illustreranno alcuni casi che hanno trattato personalmente dove le acquisizioni forensi da fonti come smartphone, cloud o web hanno richiesto delicate riflessioni in tal senso. Ricordiamo infatti che nell’ambito delle perizie informatiche forensi e indagini su computer o smartphone, tablet o dispositivi elettronici ma anche reti, Internet, siti web, la fase di acquisizione e copia forense è la più delicata perché può compromettere l’ammissibilità e la validità della prova.

La sessione di Roma sarà moderata dal Prof. Giovanni Ziccardi, Cattedra di Informatica Giuridica, Università degli Studi di Milano e durante la tavola rotonda interverranno:

  • Paolo Dal Checco, Consulente Informatico Forense
  • Mattia Epifani, Consulente Informatico Forense
  • Andrea Ghirardini, Esperto Computer Forensics
  • Francesco Paolo Micozzi, Avvocato esperto di Diritto dell’Informatica e Nuove Tecnologie

Per maggiori informazioni consultare la pagina del Forum ICT 2016 sul sito web di Tecna Editrice.

Corso OSINT e SOCMINT a Torino

Giovedì 17 marzo 2016 si terrà a Torino il Corso OSINT sulle fonti aperte e giornalismo investigativo. Il corso su Open Source Intelligence (seguito il 18 marzo dal Corso SOCMINT) durerà una giornata, io aprirò il corso e poi lascerò la parola a Leonida Reitano, esperto di giornalismo investigativo e autore del primo manuale italiano di Open Source Intelligence “Esplorare Internet. Manuale di investigazioni digitali e Open Source Intelligence”. L’amico Leonida tiene con cadenza quasi mensile Corsi di OSINT e SOCMINT a Roma, Milano e diverse città d’Italia tramite la sua Associazione  Giornalismo Investigativo e ha accettato di collaborare con lo Studio per realizzare questo corso.

Il Corso di Open Source Intelligence tenuto tratterà di Dns tools, Domain name intelligence, Google base e avanzato, Bing base e avanzato, Motori di ricerca regionali, Motori di ricerca settoriali, Geolocalizzazione e tracking di individui online, Analisi dei metadati delle mail, IP tracking, IP bait, IP geolocation, Analisi dei metadati con FOCA con esercizi pratici su attività di ricerca OSINT e giornalismo investigativo.

Corso SOCMINTIl giorno dopo, venerdì 18 marzo 2016 si terrà sempre a Torino il Corso SOCMINT (Social Media Intelligence) sulle attività d’intelligence sui social network. Il corso su Social Media Intelligence durerà una giornata e sarà anch’esso tenuto da Leonida Reitano, esperto di analisi delle fonti aperte e investigazioni digitali.

Il corso di Social Media Intelligence, che si terrà a Torino tratterà di Ricerche avanzate con Facebook, Google queries per ricerca su Facebook, Reverse email search, Facebook Graph, Analisi reputazionale di individui via SOCMINT, People search engine e scansione profili social, Profilazione e geolocalizzazione utenti twitter, Analisi Linkedin ricerca base e avanzata.

Per informazioni sul costo, date, orari, prenotazioni per il Corso OSINT e il Corso SOCMINT a Torino, per l’edizione in corso o quelle future, si prega di contattare lo Studio utilizzando i recapiti indicati nella pagina contatti.