1. Introduzione
alla
Digital
Forensics
e
garanzie
dell’indagato
Giuseppe Vaciago
Università degli Studi di Milano
15 marzo 2011 – ore 16.30
5 aprile 2011 – ore 8.30

2. Cosa
è
la
digital
forensics
?
Come
Sherlock
Holmes
nel
XIX
secolo
si
serviva
costantemente
dei
suoi
apparecchi
per
l’analisi
chimica,
oggi
nel
XXI
secolo
egli
non
mancherebbe
di
effe=uare
un’accurata
analisi
di
computer,
di
telefoni
cellulari
e
di
ogni
?po
di
apparecchiatura
digitale
(Ralph
Losey).
Scopo
della
digital
forensics
è
quello
di
conservare,
iden?ficare,
acquisire,
documentare
o
interpretare
i
da?
presen?
in
un
computer.
A
livello
generale
si
tra=a
di
individuare
le
modalità
migliori
per:
-­‐
acquisire
le
prove
senza
alterare
il
sistema
informa?co
in
cui
si
trovano;
-­‐
garan?re
che
le
prove
acquisite
su
altro
supporto
siano
iden?che
a
quelle
originarie;
-­‐
analizzare
i
da?
senza
alterarli
(Cesare
Maioli)

3. Cosa
è
la
digital
evidence?
Digital
evidence
è
una
qualsiasi
informazione,
con
valore
probatorio,
che
sia
o
meno
memorizzata
o
trasmessa
in
un
formato
digitale.
Definizione
dello
Scien?fic
Working
Group
on
Digital
Evidence
(SWGDE)
La
rappresentazione
del
fa=o
è
la
medesima
sia
essa
incorporata
in
uno
scri=o
o
in
un
file.
Quello
che
cambia
è
soltanto
il
metodo
di
incorporamento
su
base
materiale
(Tonini).

4. Le
classificazioni
della
digital
evidence
Si
possono
avere
tre
diverse
?pologie
di
prova
digitale:
Creata
dall’uomo:
ogni
dato
digitale
che
figuri
come
il
risultato
di
un
intervento
o
di
un’azione
umana
e
può
essere
di
due
?pi:
a)
Human
to
human
(mail)
b)
Human
to
PC
(documento
word)

5. Le
classificazioni
della
digital
evidence
Creata
autonomamente
dal
computer:
ogni
dato
che
figuri
come
il
risultato
di
un
processo
su
dei
da?
effeNuato
da
un
soOware
secondo
un
preciso
algoritmo
e
senza
l’intervento
umano
(tabula?
telefonici,
file
di
log
di
un
Internet
Service
Provider)

6. Le
classificazioni
della
digital
evidence
Creata
sia
dall’essere
umano
che
dal
computer:
foglio
di
calcolo
eleNronico
dove
i
da?
vengono
inseri?
dall’essere
umano,
mentre
il
risultato
viene
effeNuato
dal
computer.

7. Le
cara<eris=che
della
digital
evidence
1.
Anonima
e
immateriale:
non
sempre
è
possibile
risalire
al
soggeNo
che
ha
generato
un
dato
informa?co

8. Le
cara<eris=che
della
digital
evidence
2.
Rumorosa:
è
difficile
filtrare
la
mole
incredibile
di
da?
digitali
da
analizzare

9. Le
cara<eris=che
della
digital
evidence
3.
Alterabile:
è
molto
facile
contaminare
una
prova
digitale

10. Le
complessità
della
digital
evidence
(Caso
Julie
Amero)
Una
prima
caraNeris?ca
è
data
dalla
complessità
della
digital
evidence.
Il
caso
Amero
ne
è
una
dimostrazione.
Julie
Amero
è
una
supplente
della
Kelly
School
di
Norwich
del
Connec?cut
che
venne
condannata
per
aver
mostrato
a
ragazzi
minori
di
16
anni
immagini
pornografiche

11. Il
caso
“Amero”:
la
scansione
temporale
19/10/04
26/10/04
05/01/07
10/11/08
Lezione
di
Julie
Amero.
La
Polizia
visiona
il
La
Corte
condanna
Julie
Amero
oNenne
un
Immagini
“inadaNe”
contenuto
dell’hard
Julie
Amero
per
il
reato
nuovo
processo
in
cui
appaiono
come
pop-­‐up
disk,ma
non
ne
esegue
di
offesa
alla
morale
ad
venne
condannata
alla
dal
PC
dell’insegnante
una
copia
bit-­‐stream
una
minorenne
pena
di
100
dollari
Il
docente
?tolare
si
reca
in
La
difesa
chiede
un
nuovo
processo
aula
e
nota
che
la
cache
file
in
quanto
la
prova
non
era
stata
con?ene
file
pornografici
e
acquisita
correNamente
e
il
computer
avvisa
il
preside
era
infeNo
(mousetrapping)
20/10/04
01/06/08

12. Il
caso
Amero:
Mousetrapping
and
Pagejacking
Il
Mousetrapping
e
il
Pagejacking
sono
par?colare
tecniche
di
DNS
hijacking,
in
forza
della
quale
alcuni
si?
web
traNengono
i
propri
visitatori
lanciando
un’infinita
serie
di
pop-­‐up.
Il
processo
è
stato
revisionato,
in
quanto:
1) Julie
è
stata
vicma
di
un
mousetrapping,
probabilmente
generato
dall’u?lizzo
improprio
del
PC
da
parte
del
docente
?tolare
2) Non
è
stata
rispeNata
alcuna
procedura
di
digital
forensics
da
parte
degli
inves?gatori
(nessuna
copia
bit
stream
e
l’acvità
di
analisi
effeNuata
tra
il
20
e
il
26
oNobre
non
è
stata
documentata)
3) L’avvocato
di
Julie
Amero
non
riuscì
a
far
acquisire
la
consulenza
tecnica
della
difesa
effeNuata
sul
computer

13. L’alibi
informa=co
(Caso
Garlasco)
Un’ulteriore,
ma
fondamentale
elemento
della
digital
evidence
è
l’alterabilità
e
la
capacità
di
contenere
un
innumerevole
numero
di
informazioni.
Il
caso
di
“Garlasco”
ne
è
un
chiaro
esempio.
Alberto
Stasi
è
stato
assolto
in
primo
grado
dall’accusa
di
omicidio
volontario
della
fidanzata
Chiara
Poggi

14. Il
caso
di
“Garlasco”:
l’”alibi
informa=co”
13/08/07
14/08/07
29/08/07
17/12/09
Chiara
Poggi
muore
il
Stasi
consegna
Carabinieri
dopo
aver
Il
Giudice
Vitelli
di
13
agosto
2007
tra
le
volontariamente
il
suo
lavorato
sul
PC
lo
Vigevano
assolve
Stasi
ore
10.30
e
le
ore
12.
PC
ai
Carabinieri
consegnano
ai
RIS
dall’accusa
di
omicidio
-­‐ Stasi
si
sveglia
alle
9
Dalla
perizia
richiesta
dal
-­‐ Telefona
a
Chiara
Poggi
Giudice
emerge
che
Stasi
ha
-­‐ Lavora
alla
tesi
lavorato
alla
tesi
durante
-­‐ Va
a
casa
sua
verso
alle
l’arco
temporale
in
cui
è
13.30
stata
uccisa
Chiara
Poggi
13/08/07
17/03/09

15. Inves=gazioni
telema=che:
cri<ografia
Un
classico
metodo
per
nascondere
un
file
è
quello
di
u?lizzare
la
criNografia:
La
criNografia
traNa
delle
"scri<ure
nascoste"
(significato
e?mologico
della
parola)
ovvero
dei
metodi
per
rendere
un
messaggio
"offuscato"
in
modo
da
non
essere
comprensibile
a
persone
non
autorizzate
a
leggerlo.
La
parola
criNografia
deriva
dalla
parola
greca
kryptós
che
significa
nascosto
e
dalla
parola
greca
gráphein
che
significa
scrivere.
La
criNografia
è
la
controparte
della
criNanalisi
ed
assieme
formano
la
criNologia.

16. Inves=gazioni
telema=che:
cri<ografia
Decifrare
un
testo
cri<ografato
è
semplice.
Il
problema
è:
in
questo
tempo?
Ad
esempio
una
chiave
di
cifratura
a
20-­‐bit
consente
fino
a
un
milione
di
combinazioni
possibili,
per
cui
con
un
normalissimo
computer
porta?le
che
processa
circa
un
milione
di
operazioni
al
secondo,
il
tempo
di
cifratura
massimo
sarà
addiriNura
inferiore
al
secondo.
TuNavia
con
un
sistema
di
cifratura
con
una
chiave
a
56-­‐bit
lo
stesso
elaboratore
potrebbe
impiegare
fino
a
2285
anni
per
verificare
tuNe
le
combinazioni
possibili.
Per
rendersi
conto
della
complessità
di
tale
operazione
bas?
considerare
che
la
più
diffusa
versione
del
soOware
di
cifratura
PGP
(PreNy
Good
Privacy)
al
momento
aNuale
si
basa
su
una
chiave
di
1024-­‐bit
.

17. Inves=gazioni
telema=che:
file
di
log
I
file
di
log
sono
file
che,
registrando
tuNe
le
operazioni
compiute
dall’elaboratore
eleNronico
durante
il
suo
funzionamento,
contengono
rilevan?
informazioni
rela?vi
al
sistema,
compresi
i
servizi
e
le
applicazioni
in
funzione.
In
un
normale
computer
di
casa
coesistono
diversi
?pi
di
file
di
log:
-­‐
log
di
sistema:
memorizza
gli
even?
significa?vi
che
intercorrono
tra
il
sistema,
come
fornitore
di
servizi
e
le
applicazioni,
come
clien?
dei
servizi
stessi;
-­‐
log
di
applicazione:
molte
applicazioni
prevedono
i
propri
log
su
cui
sono
registra?
even?
caraNeris?ci
dell'applicazione;
-­‐
log
di
base
da=:
in
questo
caso
è
il
sistema
gestore
di
base
da?
che
registra
le
operazioni
faNe
sulla
base
da?
(inserimento,
aggiornamento,
cancellazione
di
record).

18. Inves=gazioni
telema=che:
file
di
log
I
file
di
log
hanno
generalmente
la
funzione
di
risolvere
un
determinato
malfunzionamento
del
sistema,
ma
possono
anche
fornire
u?li
informazioni
nel
caso
di
un inves?gazione
telema?ca.
L analisi
dei
file
di
log
sul
computer
vicma
o
sui
server
che
ges?scono
il
traffico
telema?co
transitato
su
una
data
rete,
possono
consen?re
l individuazione
del
soggeNo
che
ha
commesso
l illecito.

19. Inves=gazioni
telema=che:
Keylogger
Un
keylogger
è,
nel
campo
dell'informa?ca,
uno
strumento
in
grado
di
interceNare
tuNo
ciò
che
un
utente
digita
sulla
tas?era
del
proprio
computer.
Esistono
vari
?pi
di
keylogger:
Hardware:
vengono
collega?
al
cavo
di
comunicazione
tra
la
tas?era
ed
il
computer
o
all'interno
della
tas?era
SoOware:
programmi
che
controllano
e
salvano
la
sequenza
di
tas?
che
viene
digitata
da
un
utente.

20. Inves=gazioni
telema=che:
data
recovery
1.
Undelete
Plus
è
un
soOware
molto
u?le
per
i
suppor?
removibili
(memorie
USB)
a. Installare
il
soOware
reperibile
all’indirizzo:
hNp://undelete-­‐plus.com/download.html
b.
Selezionare
l unità
di
cui
si
vuole
scansionare
il
contenuto
cancellato
c.
Provare
a
recuperare
il
file
aNraverso
il
comando
undelete
2.
ANraverso
Win
Hex,
invece,
è
possibile
altresì
conoscere
almeno
il
?tolo
dei
file
cancella?
a. Installare
il
soOware
Win
Hex
reperibile
all indirizzo:
hNp://www.x-­‐ways.net/winhex/
b. Selezionare
dal
menù
Tools
Open
Disk
e
scegliere
l unità
desiderata

21. Inves=gazioni
telema=che
vs
Digital
Forensics:
producibilità
in
giudizio
La
prova
acquisita
aNraverso
delle
generiche
inves?gazioni
telema?che
potrebbe
difficilmente
essere
necessariamente
prodoNa
in
Tribunale
perché
non
viene
dimostrata
la:
1) Genuinità
(non
alterazione)
2) Ripe?bilità
INVESTIGAZIONI
TELEMATICHE
DIGITAL
FORENSICS

22. Algoritmo
di
Hash
L impronta
di
Hash
garan?sce
durante
un’analisi
forense
di
suppor?
alterabili
l’intangibilità
dei
da?
in
essi
contenu?.
L’Hash
è
una
funzione
univoca
operante
in
un
solo
senso
(ossia,
che
non
può
essere
inver?ta),
aNraverso
la
quale
viene
trasformato
un
documento
di
lunghezza
arbitraria
in
una
stringa
di
lunghezza
fissa,
rela?vamente
limitata.
Tale
stringa
rappresenta
una
sorta
di
impronta
digitale
del
testo
in
chiaro,
e
viene
deNa
valore
di
Hash
o
Message
Digest.
Se
il
documento
venisse
alterato
anche
in
minima
parte,
cambierebbe
di
conseguenza
anche
l’impronta.
In
altre
parole,
calcolando
e
registrando
l impronta,
e
successivamente
ricalcolandola,
è
possibile
mostrare
al
di
là
di
ogni
dubbio
che
i
contenu?
del
file,
oppure
del
supporto,
abbiano
subito
o
meno
modifiche,
anche
solo
accidentali.

23. Algoritmo
di
Hash
La
registrazione
e
la
ripe?zione
costante
del
calcolo
degli
Hash
sui
reper?
sequestra?
cos?tuisce
l unico
metodo
scien=ficamente
valido
per
garan=re
l integrità
e
la
catena
di
custodia
dei
reper=.
La
polizia
giudiziaria,
prima
di
apporre
i
sigilli
al
materiale
informa?co,
ha
il
compito
di
collegare
il
supporto
oggeNo
del
sequestro
ad
un
computer
porta?le
su
cui
dovrà
essere
eseguito
il
comando
che
consente
il
calcolo
dell impronta
di
Hash.
Nella
pra?ca
gli
algoritmi
di
Hash
più
u?lizza?,
sono
l MD2,
Md4,
MD5
e
SHA1;
in
par?colare
il
calcolo
dell algoritmo
MD5
(Message
Digest
5)
permeNe
di
generare
una
stringa
di
128
bit,
mentre
l algoritmo
SHA1
genera
una
stringa
a
160
bit.
L abbinamento
di
ques?
due
algoritmi
dovrebbe
evitare
qualsiasi
contestazione,
anche
se
ul?mamente
sono
sta?
riscontra?
problemi
di
vulnerabilità
che
rendono
assai
più
facile
del
previsto
la
scoperta
di
collisioni
al
suo
interno.

24. La
funzione
o
impronta
di
Hash
Uno
dei
tan?
soOware
che
generano
l hash
code
si
trova
al
seguente
indirizzo:
hNp://www.slavasoO.com/zip/fsum.zip
Dopo
aver
installato
il
soOware
è
sufficiente:
•
Andare
su
start/esegui
e
digitare
a:cmd.exe
•
Digitare
fsum
–sha512
*.txt
>
hash.txt
In
questo
modo
si
genererà
il
file
hash.txt
che
conterrà
il
calcolo
di
ogni
singolo
Hash
oNenuto
con
l algoritmo
SHA-­‐512

25. Digital
Forensics
Sohware

26. Garanzie
dell’indagato
vs
Digital
Forensics:
NY
Times
-­‐
anno
1915
“Scandalo
delle
interce<azioni
telefoniche”
avvenuto
a
New
York
nell’aprile
del
1915,
vede
coinvolto
il
Sindaco
della
ciNà
(John
Mitchell)
che
autorizza
l’interceNazione
a
trentanove
is?tu?
caritatevoli
della
ciNà.
17
aprile
1916,
Arthur
Woods
capo
della
polizia
rese
uno
dei
primi
“accora?
discorsi”
per
gius?ficare
l’importanza
per
le
indagini
di
u?lizzare
strumen?
tecnologici
di
controllo
anche
se
potenzialmente
lesivi
della
privacy.

27. Garanzie
dell’indagato
vs
Digital
Forensics:
NY
Times
-­‐
anno
2005
Il
16
dicembre
2005,
il
quo?diano
New
York
Times
pubblicò
un
ar?colo
dal
?tolo
“Bush
autorizza
lo
spionaggio
telefonico
senza
un
mandato
dei
tribunali”
scriNo
dai
giornalis?
inves?ga?vi
James
Risen
e
Eric
Lichtblau,
che
in
seguito
vinsero
congiuntamente
un
premio
Pulitzer
per
il
loro
reportage
sulle
interceNazioni
illegali
effeNuate
dal
Governo.
L’ar?colo
si
riferisce
all’ordine
presidenziale
del
2002
che
autorizza
la
Na?onal
Security
Agency
ad
effeNuare
interceNazioni
indiscriminate,
telefoniche
o
telema?che,
per
trovare
tracce
del
gruppo
terroris?co
“Al
Qaeda”.

28. Garanzie
dell’indagato
vs
Digital
Forensics:
NY
Times
-­‐
anno
2005
L’anno
successivo
si
scopre
che
presso
la
AT&T
di
San
Francisco
è
presente
un
sistema
di
“data
mining”
di
traffico
da?,
equipaggiato
un
sistema
informa?co
denominato
Narus
STA
6400
Divenuta
poi
nota
con
il
nome
di
“Room
641”.
Tale
acvità
di
interceNazione
era
gius?ficata
dell’”Execu?ve
Order
12333”
emanato
dal
Presidente
Reagan
nel
1981
allo
scopo
di
regolare
tuNe
le
acvità
di
intelligence
a
livello
statunitense.
Nel
2006
Electronic
Fron?er
Founda?on
(EFF)
fa
causa
alla
Na?onal
Security
Agency
(NSA)
senza
successo
in
primo
grado.

29. Garanzie
dell’indagato
vs
Digital
Forensics:
programma
“Echelon”
Una
Commissione
temporanea
is?tuita
dal
Parlamento
Europeo
rivelò
al
mondo
nel
luglio
del
2001
l’esistenza
di
“Echelon”,
un
programma
prodoNo
e
ges?to
da
un
gruppo
di
Paesi
coordina?
dagli
Sta?
Uni?,
con
l’obiecvo
di
interceNare
ogni
forma
di
comunicazione
eleNronica
su
base
planetaria.
Nel
2010
il
Governo
inglese
ha
promosso
l’“Intercep?on
Modernisa?on
Programme”.
Un
programma
di
interceNazione
che
prevede
anche
una
specifica
acvità
di
interceNazione
di
contenu?
telema?ci
liberamente
presen?
in
Rete.
La
domanda
è
quella
di
Giovenale,
che
compare
nel
frontespizio
del
rapporto
su
“Echelon”
della
Commissione
temporanea
del
Parlamento
europeo:
quis
custodiet
ipsos
custodes?

30. Garanzie
dell’indagato
vs
Digital
Forensics:
Legge
Nord
WesmAlia
q La
Germania
ha
introdoNo
il
20
dicembre
2006
un
emendamento
alla
legge
sulla
protezione
della
Cos?tuzione
nel
Nord
Reno-­‐
Wes•alia
che
consen?va
l’accesso
segreto
a
sistemi
informa?ci
e
il
monitoraggio
segreto
della
Rete
aNraverso
sistemi
keylogger
installa?
in
forma
di
trojan
horse
q La
Corte
Cos?tuzionale
tedesca
il
27
febbraio
2008
ha
dichiarato
incos?tuzionale
tale
emendamento
sostenendo
che
violava
il
“diri<o
alla
riservatezza
ed
alla
integrità
dei
sistemi
informa=ci”

31. Garanzie
dell’indagato
vs
Digital
Forensics:
Cass.
Pen.
14
o<obre
2009
q La
Corte
di
Cassazione
ha
ritenuto
legicmo
il
decreto
del
Pubblico
Ministero,
che
ai
sensi
dell’art.
234
c.p.p.,
ha
consen?to
l’acquisizione
in
copia
aNraverso
l’installazione
di
un
captatore
informa?co
della
documentazione
informa?ca
memorizzata
nel
personal
computer
in
uso
all’imputato
e
installato
presso
un
ufficio
pubblico
ritenendo
per
di
più
ripe?bile
tale
aNo.

32. Garanzie
dell’indagato
vs
Digital
Forensics:
Caso
Boucher
q Sebas?en
Boucher
viene
trovato
alla
fron?era
tra
Canada
e
Sta?
Uni?
con
un
computer
acceso
con
immagini
pedopornografiche
q Il
suo
hard
disk
è
criNografato
e
una
volta
spento
la
polizia
non
è
più
in
grado
di
riavviarlo
q La
Grand
Jury
ordina
all’indagato
di
rivelare
la
password
di
cifratura
(DICHIARAZIONE
AUTOINDIZIANTE)
q Il
Giudice
Federale
del
Vermont
(Niedermeier)
annulla
tale
ordine
in
quanto
in
violazione
con
il
quinto
emendamento

33. Data
reten=on
vs
Date
check

34. Grazie
per
l’aNenzione
Giuseppe
Vaciago
Mail:
giuseppe.vaciago@studiovaciago.it
Blog:
h=p://infogiuridica.blogspot.it
Web:
www.studiovaciago.it
Linkedin:
h=p://it.linkedin.com/in/vaciago