Computer forensics: utilizzabilità ed analisi della prova digitale

- A.I.S.F.- ACCADEMIA INTERNAZIONALE DI SCIENZE FORENSI -
Computer forensics: utilizzabilità ed
analisi della prova digitale
I. Profili giuridici dell'acquisizione della prova digitale
II. La fase delle indagini
III Indagini private
IV L'acquisizione delle prove
Emanuele Florindi
A.I.S.F. – Accademia Internazionale di Scienze Forensi
2023.03

Premessa
L’informatica rappresenta un fenomeno cresciuto e diffusosi fino a diventare, nel
bene e nel male, un aspetto fondamentale della nostra vita:
le problematiche giuridiche sollevate dallo sviluppo di questo nuovo mondo
elettronico rappresentano probabilmente uno dei terreni di confronto culturale più vivi
di questo inizio di secolo.
Una volta avviato, sia pure tra mille difficoltà, il lento, e continuo, cammino che
porterà i codici ad adeguarsi alle nuove tecnologie ci si è, però, accorti che nuove
problematiche di carattere investigativo, probatorio e processuale vengono a
presentarsi con la conseguenza che si sono andate formando nuove professionalità
in grado di muoversi, più o meno disinvoltamente, in questa terra di confine.
Quando parliamo di informatica forense dobbiamo distinguere tra differenti materie:
- Indagini informatiche (Whois database, traceroute, sequestro di siti web);
- Prove digitali
- computer, network e cloud forensics;
- Acquisizione ed analisi di prove digitali (fotografie, registratori, telefoni cellulari...);
- esperimenti giudiziali virtuali;
- processo civile telematico.
- Impiego di sistemi neurali in ambito investigativo.

Civile
Raccolta e analisi di documenti elettronici
Cause di lavoro
Separazioni personali
Trattamento di dati personali
Obbligazioni in genere
Penale
Pedopornografia
Diffamazione
Atti persecutori
Diritto di autore
Minacce
Spaccio di sostanze stupefacenti
Truffe e frodi informatiche
Bullismo
Suicidio
Premessa
L'informatica forense trova sempre più spesso spazio nel processo, sia in ambito
civile che in ambito penale, sia nella fase preprocessuale che in quella
processuale vera e propria.
Alcuni esempi:

I Profili giuridici dell'acquisizione della prova digitale
Il computer come “prova”
L'analisi forense di un computer ci pone di fronte ad una notevole serie di
problematiche di cui la principale è certamente quella di individuarne la specifica
natura dal punto di vista probatorio.
Possiamo, infatti, vederlo come una
“prova” se lo consideriamo nella sua
interezza (la tastiera per le impronte, il
case per eventuali graffi o segni di
manomissione...), ma può anche essere
visto come un “mezzo per la ricerca della
prova” quando viene utilizzato nel corso di
un'indagine (mezzo per effettuare analisi,
ricerche, indagini), ma, la soluzione
migliore è certamente quella di scindere tra
aspetto fisico ed aspetto logico in quanto
quello che realmente ci interessa, almeno
di solito, non è tanto il computer
FISICAMENTE, quanto il computer
LOGICAMENTE ovvero il suo contenuto.

quello che davvero ci interessa dal punto di vista della forensics è, infatti, DENTRO
il computer, rectius, nelle sue memorie (hard disk, ram e rom) ed a volte anche
fuori (cloud, NAS, USB)... Quindi il PC deve essere visto come un mero
contenitore? No, perché nei procedimenti per reati informatici il computer si è
spesso rivelato un “testimone chiave” e, non di rado, l'approccio del consulente
tecnico al computer tende ad avvicinarsi a quello di
chi si trovi ad interrogare un testimone reticente:
occorre interpretarne i silenzi (i dati sono stati
cancellati o non sono mai esistiti?) e, persino, le
“rivelazioni” (i dati si trovano lì ad insaputa
dell’imputatoindagato o vi sono stati
consapevolmente collocati da lui?).
La rilevanza del computer varia notevolmente in
base al reato per cui si sta procedendo ed alle
evidenze che si stanno ricercando ed è
necessario procedere avendo cura di
salvaguardarle tutte
BIOLOGICHE, FISICHE (hardware), LOGICHE
(software), LOGICHE (dati)

Superato ormai l’approccio rigidamente tecnico in cui ci si atteneva rigidamente ai
dati rilevati, senza nessuna interpretazione degli stessi (i.e. Trovate X fotografie del
genere di quelle allegate, individuati i programmi X, Y e Z...), è ormai prevalente
l’approccio criminologico in cui, partendo dai dati grezzi (che devono comunque
essere individuati, prodotti ed allegati), si procede anche ad un'analisi degli stessi
arrivando, dove possibile, a ricostruire il modus operandi dell'utente.
Sempre più spesso è chiesto al consulente di valutare come sono state acquisite le
immagini, con quali programmi e secondo quali schemi comportamentali.
Viene chiesto di individuare le parole chiave utilizzate nella ricerca e di stabilire se
il materiale è stato “trattato” in qualche modo.
Viene chiesto di individuare se sono presenti programmi in grado di interagire con
quanto trovato ed in che modo etc.
In ogni caso deve sempre essere ben evidente quali siano le risultanze oggettive e
quali le deduzioni.
In genere, è il soggetto che conferisce l'incarico a specificare il tipo di approccio
richiesto ed è compito del consulente valutare la propria capacità di soddisfare le
richieste adattando il proprio “stile” alle esigenze del committente.

Trib. Brescia, 24-05-2004
Non può essere ritenuta consapevole la detenzione nel p.c. di materiale
pedopornografico contenuto in un file compresso protetto da password laddove
manchi la prova che il soggetto sia stato in grado di aprirlo e visionarne il
contenuto.
FONTI
Dir. Internet, 2005, 1, 57 nota di GALDIERI
Cass. pen. Sez. III, 15-09-2017, n. 48175
La prova del dolo del reato di detenzione di materiale pedopornografico, di cui
all'art. 600-quater cod. pen., può desumersi dal solo fatto che quanto scaricato sia
stato collocato in supporti informatici diversi (ad es, nel "cestino" del sistema
operativo), evidenziando tale attività una selezione consapevole dei "file", senza
che abbia alcuna rilevanza il fatto che non siano stati effettivamente visionati.
(Dichiara inammissibile, App.Milano, 30/03/2016)
FONTI
CED Cassazione, 2017

L'approccio al computer
A mio avviso è preferibile l'approccio criminologico: l’analisi di un computer non
dovrebbe mai ridursi ad un “positivo” o ad un “negativo”, ma dovrebbe essere
sempre adeguatamente motivata, soprattutto in presenza di reati particolarmente
odiosi quali quelli di detenzione o cessione di pornografia minorile.
A ciò deve aggiungersi che la mancanza di un protocollo tecnico che fornisca delle
regole certe per tutti gli operatori giuridici in tema di forensics costituisce un
notevole ostacolo ad un sereno rapporto tra accusa e difesa, o tra attore e
convenuto, nella dialettica processuale e preprocessuale.
Mai come oggi, infatti, si avverte l’esigenza della “certezza delle regole” soprattutto
per quanto riguarda l’individuazione e la conservazione dei dati che poi
costituiranno l’oggetto su cui si fonderà la valutazione dell’organo giudicante. Il
rilevamento, la conservazione ed il trattamento dei dati e delle informazioni che gli
investigatori (ma anche, non dimentichiamolo, i difensori) possono rilevare nel
normale svolgimento dell’attività d’indagine richiedono l’esistenza di un protocollo
operativo che ne garantisca l'integrità e, soprattutto, la non repudiabilità in sede
processuale.
Senza considerare che per chi sbaglia non sempre c'è una seconda possibilità dato
che l'alterazione delle prove è spesso irreversibile.

Cass. pen. Sez. II, 01-07-2015, n. 29061
L'acquisizione dei dati da un sistema informatico che non sia eseguita secondo le
disposizioni introdotte dalla L. n. 48/08 in materia di perquisizione e sequestro non
dà comunque luogo alla loro inutilizzabilità e le relative operazioni tecniche di
duplicazione, non richiedendo alcuna attività di valutazione né comportando
alterazione dei dati originali, possono essere ripetute.
FONTI
Foro It., 2015, 10, 2, 559

Cass. Pen. Sez. V, 8-06-2015 n. 34406
L’imputato contestava la valenza probatoria del messaggio, stampato da un'amica della persona offesa e da
questa fornito alla polizia giudiziaria, senza alcun riscontro da parte della in merito all'annuncio.
L'affermazione di responsabilità dell'imputato per i reati a lui ascritti è avvenuta sulla base del seguente, lineare
percorso: l'annuncio diffamatorio fu creato e messo in rete da un IP associato all'abitazione dove egli abitava.
All'epoca, l'imputato era in dissidio con la moglie in ragione dell'attribuzione della casa familiare e dell'affidamento
dei figli.
In questo caso, il PC dell'imputato era collegato alla rete informatica utilizzata per postare l'annuncio diffamatorio.
Toglie rilevanza a tutte le disquisizioni sulla "stampa" della pagina web in cui era riprodotto l'annuncio, sui soggetti
che la effettuarono e le modalità con cui fu effettuata, il fatto che l'accertamento sia avvenuto direttamente presso
il gestore telefonico.
Parimenti infondate sono le critiche riferite alle "lacune probatorie" imputate agli inquirenti, che renderebbero
incerta l'identificazione dell'autore del reato, in quanto gli indirizzi IP non sono associati - contrariamente
all'assunto del ricorrente - alle caselle di posta elettronica ma, per quanto si è detto, ai dispositivi (router, PC,
palmare, ecc.) collegati alla rete.
Quanto all'eventualità che un ignoto buontempone si sia collegato abusivamente al terminale di N., approfittando
del fatto che la connessione non era protetta da password, si tratta di mera ipotesi, del tutto congetturale, che è
stata logicamente scartata in base alla considerazione che nessun altro aveva interesse a diffamare la F.. A ciò
deve aggiungersi la constatazione che, ammesso che il modem installato presso l'imputato gestisse una rete WI-
FI attiva nell'arco temporale sopra indicato e non fosse protetto da password, la connessione avrebbe dovuto
instaurarsi nelle immediate adiacenze dell'abitazione dell'imputato (la copertura di rete di un normale router
domestico non supera, normalmente, i 20 metri) e da parte di un soggetto che conosceva le abitudini e il cellulare
della vittima: circostanza che rende inverosimile l'ipotesi, posto che in questo caso si sarebbe dovuto trattare di un
soggetto appostato a ridosso della casa dell'imputato e, quindi, a lui ben noto.

In questa situazione l'analisi non è, e non può più essere, attività meramente
informatica, ma deve abbracciare i vari campi dello scibile umano legato alle
indagini: diritto, sociologia, criminologia...
Sempre più spesso, infatti, uno dei principali compiti del consulente è quello di
tentare una ricostruzione del comportamento tenuto dall’imputato di fronte al
computer, arrivando ad interpretare i risultati dell’analisi alla luce di tale
valutazione comportamentale.
In quest'ottica i dati contenuti nel computer
dovrebbero rappresentare soltanto una base di
partenza, da impiegare per ricostruire il modus
operandi del soggetto che lo utilizzava; ovviamente
senza esagerare dato che la sfera di cristallo non
dovrebbe rientrare nella dotazione hardware del
consulente tecnico...

L'analisi comportamentale
Per quanto concerne, poi, la più grave violazione prevista dall'art. 600 ter c.p., la Corte territoriale rileva che
il reato risulta già integrato dalla confessata condotta di inoltro dei primi tre messaggi al moderatore della
lista, posto che era evidente che essi sarebbero stati inoltrati a tutti i partecipanti la lista stessa. A questo
deve aggiungersi che vi è in atti la prova sia della ricezione da parte dell'appellante di ingente materiale
illecito veicolato attraverso i messaggi ricevuti in lista sia dell'invio di circa 200 messaggi aventi in allegato
materiale illecito. Inoltre, risulta accertato che su uno degli hard disk dell'appellante esistevano 10 filmati
che le per caratteristiche tecniche dei programmi in uso (di tipologia "peer to peer") erano accessibili a tutti
gli utenti in possesso di analoghi programmi” Cassazione penale sez. III, 29/09/2009, n. 41521.
[...]i giudici territoriali hanno sottolineato, con riguardo alla consapevolezza del B. di detenere il materiale
pedopornografico contenuto nel proprio computer, come il perito abbia evidenziato che le due immagini
erano inserite nella stessa directory; erano entrambe state create il (OMISSIS), modificate il (OMISSIS) e
visionate per l'ultima volta il (OMISSIS), cioè meno di un mese prima dell'avvenuto sequestro; non erano
state scaricate da internet, nè trasmesse a terzi dall'utilizzatore del computer, ma invece scaricate sul disco
fisso in sequestro, assieme ad altre immagini di contenuto pornografico, da un CD rom, ovvero da una
chiavetta USB, e copiate sul disco in un arco di tempo di due minuti mediante decompressione dei files e
successiva riespansione dell'archivio, per venire poi contenute, con una operazione pertanto certamente
volontaria, in una precisa cartella (folder) di una directory, rimanendovi immagazzinate senza mai venir
cancellate, fino ad essere da ultimo visionate appunto il (OMISSIS). Ancora, il perito aveva escluso, non
essendo stati rinvenuti segni di compromissione dell' hard - disk , che le immagini in questione fossero
state trasmesse da un hacker all'insaputa dell'utente, ovvero fossero giunte inavvertitamente sull'HD in
sequestro nel corso di un lan - party caratterizzato dallo scambio di files con terzi lungo i canali peer to
peer, correttamente concludendo quindi la Corte di appello per la piena sussistenza dell'elemento
psicologico del reato contestato. Cass. penale sez. fer.30/07/2009. n. 32344

L'analisi comportamentale
La Corte escludeva che il materiale pedopornografico fosse stato inserito nell' hard disk del
computer, in cui erano presenti un virus worm e due virus trojan, da un utilizzatore remoto
che pure avrebbe trasferito le immagini su ed o su floppy disk perchè il modem del C. era
molto lento, sicché l'utilizzatore avrebbe potuto facilmente accorgersi di tale scaricamento che
pure influenzava la velocità operativa del computer.
Nè era possibile scaricare filmati se non in varie sessioni con la conseguente necessità di
assemblare poi il materiale scaricato, di notevole consistenza.
Il materiale pedopornografico era stato acquisito per via telematica con transazioni eseguite
con la carta di credito intestata al padre dell'imputato a favore dell'esercente (OMISSIS) in
data (OMISSIS) per L. 51.546 e in data (OMISSIS) per L. 70.636.
Erano segnalati come elementi a carico:
- la presenza di un'e-mail con cui l'imputato aveva chiesto la cancellazione di un addebito
perché il download non funzionava, circostanza denotante che egli controllava con cura gli
estratti conto;
- il sequestro di 17 supporti informatici che smentiva l'addotta buona fede perché era
irragionevole ritenere che il ricorrente per 17 volte non avesse controllato quanto era stato
scaricato;
- C., appartatosi nel corso della seconda perquisizione, era stato visto maneggiare un CD
contenente immagini pedopornografiche;
- il rinvenimento di molte foto a contenuto pornografico, talune frutto di fotomontaggio in
danno di conoscenti del C.. Cassazione penale sez. III, 08 aprile 2009, n. 19989.

II La fase delle indagini
Indagini informatiche e raccolta di informazioni
E' evidente che gli accertamenti effettuati variano notevolmente in base alle
fattispecie ed alle tipologie di intervento, ma, in linea di massima, potremo
distinguere tra fattispecie civili e penali.
La principale differenza è che, mentre nelle prime abbiamo, almeno, due parti
private, nelle seconde una delle parti è necessariamente lo Stato e, quindi, la parte
pubblica avrà maggiori margini di manovra, e poteri!, rispetto ad una qualsiasi parte
privata.
Nelle pagine seguenti verranno analizzati dapprima gli strumenti comuni ad
entrambe le fattispecie e poi quelli più specificatamente penalistici.
La prima, e più semplice, serie di strumenti è rappresentata da quelli deputati alla
raccolta delle informazioni relative alla controparte: database Whois e servizi di
traceroute.
Il Whois ci permette di sapere a chi è intestato un determinato sito web, o chi
gestisce un preciso indirizzo IP, consentendoci, poi di procedere all'identificazione
del titolare dell'utenza.

Indagini informatiche e raccolta di informazioni
Un primo problema di carattere giuridico sorge quando ci interroghiamo su COME
sono stati acquisiti i dati elaborati. A questo punto entrano in gioco tutta una serie
di limitazioni alla raccolta delle informazioni tipiche delle differenti situazioni a cui si
va a fare riferimento.
In ambito lavorativo, ad esempio, esistono severissimi limiti all'attività di
telecontrollo del datore di lavoro, limiti ribaditi dal Garante con le linee guida
emanate il 1° marzo 2007.
Tra le altre cose il Garante si è espressamente riferito ai programmi ed alle
apparecchiature preordinate al controllo a distanza e, soprattutto, a quei
programmi che consento un controllo indiretto (router, firewall, antivirus...) ed in
particolare ci si pone il problema della navigazione web.

Informatica forense per il
GDPR
Il GDPR ha rivoluzionato le regole a livello europeo ed extraeuropeo in materia di
protezione dei dati personali: tutte le società di cyber security sottolineano
l’importanza dei servizi di analisi forense e consigliano alle aziende di avere
strumenti che consentano di registrare tutte le informazioni necessarie.
Uno degli obblighi più importanti del Regolamento Europeo riguarda l’obbligo di
notifica entro 72 ore di eventuali violazioni informatiche subite dall’azienda. Le
informazioni più specifiche possono essere fornite anche in un secondo momento.
L’azienda violata ha però l’obbligo di essere in grado di ricostruire quanto accaduto e
analizzarne le conseguenze. Da qui entra in gioco l’analisi forense approfondita.
A rendere più stringente questa esigenza è il regime sanzionatorio introdotto con il
GDPR: una violazione può costare fino a 20 milioni di euro o il 4% del fatturato
globale dell’azienda

Il GDPR per l’informatica
forense: la delibera 512/2018
Regole deontologiche relative ai trattamenti di dati personali effettuati per svolgere
investigazioni difensive o per fare valere o difendere un diritto in sede giudiziaria
pubblicate ai sensi dell’art. 20, comma 4, del d.lgs. 10 agosto 2018, n. 101 - 19
dicembre 2018 [9069653]
Il Garante fissa le regole deontologiche relative ai trattamenti di dati personali
effettuati per svolgere investigazioni difensive o per fare valere o difendere un diritto
in sede giudiziaria. Il provvedimento è stato concepito principalmente per avvocati e
investigatori privati ma, come indicato all’art. 7, si estende anche a tutti i
professionisti che collaborano con l’avvocato come ad esempio i consulenti tecnici di
parte.
Modalità di trattamento e informativa secondo la delibera 512 dell’Autorità Garante
per la protezione dei dati personali: articolo 2. Spetta all’avvocato organizzare il
trattamento, anche non automatizzato dei dati personali, secondo le modalità che
caso per caso risultino più adeguate al rispetto dei diritti, delle libertà e della dignità
degli interessati.

Il trattamento deve avvenire applicando i principi di finalità, proporzionalità e minimizzazione dei dati sulla
base di un’attenta valutazione sostanziale e non formalistica delle garanzie previste, nonchè di un’analisi della
quantità e qualità delle informazioni che utilizza e dei possibili rischi. Le decisioni sono adottate dal titolare del
trattamento
Viene richiesto di adottare idonee cautele per prevenire l’ingiustificata raccolta, utilizzazione o conoscenza di
dati in caso di:
Acquisizione anche informale di notizie, dati e documenti connotati da un alto grado di confidenzialità o che
possono comportare, comunque, rischi specifici per gli interessati;
Scambio di corrispondenza, specie per via telematica;
Esercizio contiguo di attività autonome all’interno di uno studio;
Utilizzo di dati di cui è dubbio l’impiego lecito, anche per effetto del ricorso a tecniche invasive;
Utilizzo e distruzione di dati riportati su particolari dispositivi o supporti, specie elettronici (ivi comprese
registrazioni audio/video), o documenti (tabulati di flussi telefonici e informatici, consulenze tecniche e perizie,
relazioni redatte da investigatori privati);
Custodia di materiale documentato, ma non utilizzato in un procedimento e ricerche su banche dati a uso
interno, specie se consultabili anche telematicamente da uffici dello stesso titolare del trattamento situati
altrove;
Acquisizione di dati e documenti da terzi, verificando che si abbia titolo per ottenerli;
Conservazione di atti relativi ad affari definiti.
Quando i dati sono trattati per esercitare il diritto di difesa in sede giurisdizionale, ciò può avvenire anche
prima della pendenza di un procedimento. La condizione è che i dati siano strettamente funzionali all’esercizio
del diritto di difesa, in conformità ai principi di liceità, proporzionalità e minimizzazione dei dati rispetto alle
finalità difensive (art. 5 del GDPR).

In merito alla conservazione e cancellazione dei dati facciamo riferimento all’articolo
4: la definizione di un grado di giudizio o la cessazione dello svolgimento di un
incarico non comportano un’automatica dismissione dei dati. Infatti, una volta estinto
il procedimento o il relativo rapporto di mandato, atti e documenti attinenti all’oggetto
della difesa o delle investigazioni difensive possono essere conservati, in originale o
in copia e anche in formato elettronico, qualora risulti necessario in relazione a
ipotizzabili altre esigenze difensive della parte assistita o del titolare del trattamento,
ferma restando la loro utilizzazione in forma anonima per finalità scientifiche.
La valutazione è effettuata tenendo conto della tipologia dei dati. Se è prevista una
conservazione per adempiere a un obbligo normativo, anche in materia fiscale e di
contrasto della criminalità, sono custoditi i soli dati personali effettivamente necessari
per adempiere al medesimo obbligo.
Per gli avvocati, fermo restando quanto previsto dal codice deontologico forense in
ordine alla restituzione al cliente dell’originale degli atti da questi ricevuti, è
consentito, previa comunicazione alla parte assistita, distruggere, cancellare o
consegnare all’avente diritto o ai suoi eredi o aventi causa la documentazione
integrale dei fascicoli degli affari trattati e le relative copie.

Informatica e prova documentale
Cass. civ. Sez. VI - 3 Ord., 28-03-2018, n. 7595
In tema di efficacia probatoria delle riproduzioni informatiche di cui all'art. 2712 c.c.,
il disconoscimento idoneo a farne perdere la qualità di prova, degradandole a
presunzioni semplici, deve essere chiaro, circostanziato ed esplicito, dovendosi
concretizzare nell'allegazione di elementi attestanti la non corrispondenza tra realtà
fattuale e realtà riprodotta.
FONTI
Quotidiano Giuridico, 2018
Tribunale Roma Sez. lavoro Sent., 19-03-2018
I requisiti di validità e probatori della notifica via pec non possono che seguire le
regole poste in via generale per l'utilizzo della pec dal D.P.R. n. 68/2005 rette in via
generale da un criterio di equiparazione alla posta ordinaria, nel quale la ricevuta,
generata dal sistema informatico, di avvenuta consegna dell'atto all'indirizzo pec
del destinatario svolge una funzione equipollente (sebbene in modo non
fidefaciente) all'avviso di ricevimento postale, con la conseguenza che in sua
presenza l'atto, ai sensi dell'art. 1335 c.c. , si presume conosciuto dal destinatario.
FONTI
Massima redazionale, 2018

Informatica e prova documentale
Cass. civ. Sez. lavoro, 08-03-2018, n. 5523
Nell'ambito dei documenti informatici, l'efficacia della scrittura privata è riconosciuta
solo al documento sottoscritto con firma elettronica qualificata. L'email tradizionale,
al pari di ogni altro documento informatico sprovvisto di firma elettronica, è invece
liberamente valutabile dal giudice in ordine alla sua idoneità a soddisfare il
requisito della forma scritta. Ne consegue che il licenziamento fondato sul
contenuto di email aziendali può essere considerato illegittimo dal giudice di merito
che abbia ragione di dubitare della riferibilità delle email al loro autore apparente.
FONTI
Quotidiano Giuridico, 2018
Giudice di pace Palermo Sez. III, 21-07-2012
In ossequio a quanto stabilito dagli artt. 20, 21 e 45 del Codice
dell'Amministrazione Digitale ( D.Lgs. n. 82 del 2005), la posta elettronica non
certificata e, quindi, priva di sottoscrizione digitale, è considerata alla stregua del
telegramma, avente efficacia probatoria della scrittura privata ex art. 2705 c.c. e,
ad ogni modo, liberamente apprezzabile dal Giudice.
FONTI
Massima redazionale, 2012

Prove virtuali, reati reali
Nel caso di indagini per reati telematici le attività vengono regolate dalle norme
previste dal codice di procedura penale e da alcune leggi speciali e, naturalmente,
questo implica la possibilità di utilizzare strumenti maggiormente invasivi rispetto ad
“indagini” effettuate da un privato per far valere un diritto in sede civile, ma restano
ferme le esigenze di garantire il corretto trattamento degli elementi probatori.
Di particolare rilievo è la possibilità di effettuare attività sotto copertura, per esempio
nei casi previsti dall'articolo 14 della 26998 o da quelli previsti dall'articolo 9 della
146 del 2006.
In tale situazione è estremamente importante l'analisi degli strumenti software o
hardware utilizzati e la corretta gestione degli output ricavati dagli stessi in quanto
proprio da questi elementi viene, alla fine, il risultato.
Di fatto, l'individuazione di un soggetto che accede ad un sito web o che scambia
file attraverso i circuiti p2p non è affatto difficile, ma restano comunque i problemi
legati all'utilizzabilità delle prove raccolte e, soprattutto, alla loro valutazione.
In particolare, è necessario fare grande attenzione a cristallizzare tutti quei dati che
in un secondo momento potranno essere utilizzati per una maggiore comprensione
della fattispecie.

In questo caso,
ad esempio sarà
possibile
dimostrare la
consapevolezza
nell'acquisizione
e nella
detenzione del
filmato pedo.
Si osservi, infatti,
come sia stata
acquisita la prova
del nome del
filmato
conservato
presso l'utente e
della completa
disponibilità del
filmato stesso

Tramite questa
schermata sarà,
invece, possibile
dimostrare l'hash del
filmato e le sue
dimensioni (per
eventuali confronti
con quanto trovato
in sede di analisi) e
la circostanza che
l'utente a[omissis]
era l'unico ad avere,
in quel momento, il
filmato in
condivisione.

In questo modo è
stato, invece,
possibile tracciare
le connessioni in
entrata ed in
uscita per
individuare l'IP di
un altro utente, ma
indubbiamente

Così è un
po' più
comodo
e...

… così è
MOLTO
più comodo.

In questo caso, invece, non
viene fornita alcuna prova del
nome del materiale e,
soprattutto, che lo stesso
fosse effettivamente presente
nell'hard disk del soggetto
individuato.
Sarà soltanto possibile
dimostrare che quell'IP ha
generato una risposta positiva
alla ricerca effettuata con una
parola chiave senza poter
neppure appurare se il
riscontro positivo è basato
sull'hash del file o sul suo
nome.
Tra l'altro non vi è neppure la
prova della effettiva
disponibilità del materiale

In questa situazione, in assenza di ulteriori prove della coincidenza tra il filmato
ricercato tramite parola chiave e quello detenuto (e condiviso) dall'utente, è stato
agevole per la difesa dimostrare la possibilità di un erroneo download dello stesso a
causa di un fake.

Indagini ed “attività di contrasto”
La verifica dei contenuti delle connessioni P2P non costituisce attività di contrasto.
"Non costituisce "attività di contrasto" soggetta ad autorizzazione dell'autorità
giudiziaria, ai sensi della L. 3 agosto 1998, n. 269, art. 14 (recante norme contro lo
sfruttamento della prostituzione, della pornografia, del turismo sessuale in danno di
minori quali nuove forme di riduzione in schiavitù), quella che consista soltanto
nell'accesso a fini investigativi, da parte di personale di polizia giudiziaria,
mediante uso di una determinata parola chiave, a "files" condivisi, senza che tale
attività sia accompagnata da quella di acquisto simulato o di intermediazione
nell'acquisto dei prodotti esistenti in detti "files" (sez. 5, 200421778, Lagazzo, RV
228089).
Orbene, la sentenza impugnata ha affermato che l'accertamento della cessione di
due foto con contenuto pedopornografico dall'utente che utilizzava il nickname
"(OMISSIS)" è stato effettuato dalla polizia giudiziaria mediante il monitoraggio
della rete internet, senza alcun contatto con gli utenti eseguito sotto copertura , nè
attività di intermediazione o acquisto simulato di materiale pedopornografico.
Cassazione penale sez. III, Data udienza: 05 febbraio 2009, n. 13729

A destra
un
esempio di
verifica
dell'IP
utilizzato
dall'utente
per
connetters
i ad un sito
web

Una volta individuato l'indirizzo IP è relativamente semplice individuare, con una
buona precisione, la collocazione geografica dell'utente e l'origine della connessione.

I fase: la raccolta delle prove
Parlando di “evidenze digitali” dobbiamo distinguere tra la fase di acquisizione, di
conservazione, di trattamento, di analisi, di esposizione e di relazione delle stesse.
In genere i contorni tra le differenti fasi non sono marcati e ben definiti tanto che è
assai difficile affermare con certezza se una determinata attività appartiene all'una
o all'altra; si tratta di una catena di eventi che non possono essere slegati l'uno
dall'altro.
Per semplice comodità e ben consapevoli che si tratta di una distinzione fittizia, ora
distingueremo le varie fasi.
Nelle pagine che seguono si farà riferimento alla procedura seguita nel corso di
un'indagine criminale, fermo restando che la maggior parte delle osservazioni
effettuate sono perfettamente valide, mutatis mutandis, anche nel caso di raccolta
di prove da impiegare nel corso di un procedimento civile.
In ogni caso una buona prassi è quella di predisporre (anche solo mentalmente,
ma in forma scritta è meglio), una checklist contenente le cose da fare, e quelle da
non fare!, e seguirla scrupolosamente ogni volta in modo da evitare di non saper
spiegare cosa si è fatto e perché.

Spesso alcune prove vengono raccolte prima di entrare in contatto con la persona
sottoposta ad indagine; quali prove dipende in massima parte dal tipo di indagine
dal tipo di crimine e dagli strumenti forniti all’uopo dal legislatore.
Un'ulteriore distinzione deve essere fatta tra reati permanenti (i.e. realizzazione di
un sito web) e reati istantanei (i.e. ingiurie effettuate in chat, condivisione di
materiale pedo) in quanto differenti sono le tracce lasciate dagli autori.
Alcune caratteristiche sono, tuttavia, comuni. In primis una particolare esigenza di
celerità nell’acquisizione di prove ed informazioni: poche cose sono volatili come le
prove informatiche. Basta davvero molto poco per alterarle, modificarle o renderle
comunque inservibili, sia volontariamente che involontariamente.
In secondo luogo è necessario che l’investigatore conosca con precisione le
modalità con cui è stato commesso il reato in quanto vi può essere una notevole
differenza nel valore degli elementi di prova raccolti a seconda delle azioni del
criminale.
Esempio: si sta indagando in merito ad un joe job eseguito a danno di T. e si
accerta che il fatto è stato commesso sfruttando una vulnerabilità del server smtp;
è perfettamente inutile acquisire i log degli accessi alla casella di posta elettronica
di Tizio mentre è necessario concentrare le indagini sull’indirizzo IP dell’effettivo
mittente del messaggio.

Allo stesso modo, quando si procede all'acquisizione di dati specifici (programmi, e-mail,
log, etc...) i dati acquisiti dovranno essere conservati in un supporto non modificabile,
per esempio CD-ROM o DVD-ROM, e, possibilmente, firmati con firma digitale o, in
alternativa, una volta “chiuso” il supporto ne dovrà essere acquisito l'hash. L'Hash dovrà
essere riportato nel verbale.
Di fronte ad un computer il codice ci consente di scegliere due differenti strade:
l'ispezione o il sequestro, ma è comunque necessario procedere all'analisi dello stesso.
A ciò si aggiunga che un'esatta descrizione delle modalità con cui si è giunti
all'identificazione dell'imputato e della collocazione degli strumenti informatici è, spesso,
necessaria al fine di scagionare eventuali coimputati:
Tribunale Penale di Bologna, Sez. I Monocratica, Sentenza 21 luglio 2005 (dep. 22
dicembre 2005), est. di Bari. “... L’esclusiva assunzione di responsabilità da parte del
fratello G., come si è sopra detto, è invece riscontrata sia dalla riferibilità a lui delle
operazioni di amministrazione dei due siti internet, sia dal possesso – che non risulta
avere il fratello - delle idonee capacità di programmazione: del resto i programmi
sequestrati presso la comune residenza familiare furono trovati nei dischi rigidi presenti
nella stanza nella disponibilità esclusiva di G.”
Per tale ragione una verifica delle possibili alternative si rende sempre necessaria.
Allo stesso modo una preventiva verifica del modus operandi del soggetto spesso evita
di fare un buco nell'acqua...

Ispezioni e perquisizioni
244 - Casi e forme delle ispezioni
1. L'ispezione delle persone, dei luoghi [103] e delle cose è disposta con decreto
motivato quando occorre accertare le tracce e gli altri effetti materiali del reato
[3542-3, 364].
2. Se il reato non ha lasciato tracce o effetti materiali, o se questi sono scomparsi o
sono stati cancellati o dispersi, alterati o rimossi, l'autorità giudiziaria descrive lo
stato attuale e, in quanto possibile, verifica quello preesistente, curando anche di
individuare modo, tempo e cause delle eventuali modificazioni. L'autorità giudiziaria
può disporre rilievi segnaletici, descrittivi e fotografici e ogni altra operazione tecnica
[359], anche in relazione a sistemi informatici o telematici, adottando misure
tecniche dirette ad assicurare la conservazione dei dati originali e ad impedirne
l'alterazione.

Ispezioni e perquisizioni
247 - Casi e forme delle perquisizioni.
1. Quando vi è fondato motivo di ritenere che taluno occulti sulla persona il corpo
del reato o cose pertinenti al reato [253], è disposta perquisizione personale.
Quando vi è fondato motivo di ritenere che tali cose si trovino in un determinato
luogo [103] ovvero che in esso possa eseguirsi l'arresto dell'imputato [60, 61] o
dell'evaso, è disposta perquisizione locale [352, 365].
1-bis. Quando vi è fondato motivo di ritenere che dati, informazioni, programmi
informatici o tracce comunque pertinenti al reato si trovino in un sistema
informatico o telematico, ancorché protetto da misure di sicurezza, ne è disposta
la perquisizione, adottando misure tecniche dirette ad assicurare la conservazione
dei dati originali e ad impedirne l'alterazione.
2. La perquisizione è disposta con decreto motivato.
3. L'autorità giudiziaria può procedere personalmente [1034] ovvero disporre che
l'atto sia compiuto da ufficiali di polizia giudiziaria delegati [370] con lo stesso
decreto.

Lo standard ISO 27037
Aspetti operativi
Si tratta di uno standard internazionale contenente linee guida per l’identificazione,
la raccolta, l’acquisizione, la conservazione e il trasporto di evidenze digitali al fine
di facilitarne lo scambio fra più Paesi utilizzando protocolli metodologici comuni. Lo
standard è applicabile in qualsiasi ambito (civile, penale, stragiudiziale), senza fare
riferimento a specifici ordinamenti né a norme giuridiche.
Lo standard ISO 27037 nasce per
- dare garanzie di integrità della prova informatica
- consentire a terzi (ad esempio ai Consulenti Tecnici di Parte o ai Periti) di
verificare le metodologie seguite e gli esiti del processo d’acquisizione e analisi
- evitare di rendere inutilizzabile una prova per colpa di una svista o di un lavoro
eseguito in maniera scorretta per incompetenza o imperizia
- definire delle regole tecniche omogenee tra paesi diversi.
Lo standard è internazionale.

Oggetto della norma
La norma definisce le linee guida specifiche per la gestione dei dati digitali
attraverso quattro specifiche fasi:
1, identificazione (identification)
2, raccolta (collection)
3, acquisizione (acquisition)
4, conservazione (preservation).
Le prove digitali sono «Informazione o dati, conservati o trasmessi in forma binaria,
che possono essere attendibili come prova».
La prova digitale è un «documento informatico» e cioè
un documento elettronico che contiene la rappresentazione informatica di atti, fatti
o dati giuridicamente rilevanti (Dlgs 85/2005, art.1, lett.p)

• Principali definizioni (3)
- Acquisition: process of creating a copy of data within a defined set (NB: risultato di
un’acquisizione è una copia di una potenziale evidenza digitale 359 o 360 cpp);
- Collection: process of gathering the physical items that contain potential digital
evidence
- Digital device electronic equipment used to process or store digital data
- Digital evidence information or data, stored or transmitted in binary form that may be
relied on as evidence
- Digital evidence copy copia delle prove digitali che è stata prodotta per mantenere
l'affidabilità delle prove tramite inserimento sia delle prove digitali che degli strumenti
di verifica dove il metodo di verifica può essere sia integrato che indipendente dagli
strumenti utilizzati nel fare la verifica
- Digital Evidence First Responder “DEFR” soggetto autorizzato, preparato e
qualificato per intervenire per primo sulla scena di un incidente raccogliendo ed
acquisendo le prove digitali con la responsabilità di gestire quelle prove
- Digital Evidence Specialist “DES” soggetto che svolge le mansioni di un DEFR ed
ha conoscenze specialistiche, capacità ed abilità di gestire una grande varietà di
questioni tecniche (i.e. acquisizione di network, RAM, mobile, conoscenza di sistemi
operativi particolari o di Mainframe).

• Principali definizioni (3)
Digital storage medium device on which digital data may be recorded
Identification process involving the search for, recognition and documentation of potential
digital evidence
Imaging process of creating a bitwise copy of digital storage media (NB: The bitwise copy is
also called a physical copy).
Preservation process to maintain and safeguard the integrity and/or original condition of the
potential digital evidence
Reliability (Affidabilità) property of consistent intended behaviour and results
Repeatability property of a process conducted to get the same test results on the
same testing environment
Reproducibility property of a process to get the same test results on a different testing
environment
Spoliation (Alterazione) apportare o consentire modifiche tali da ridurre il valore
probatorio delle DE
Tampering (Manomissione) alterazione volontaria di DE
Validation (Convalida (prova di funzionamento)) conferma, tramite la produzione di prove
oggettive, che i requisiti per uno specifico uso o applicazione designati sono stati
soddisfatti
Verification function (Funzione di verifica) Funzione che è utilizzata per verificare che due
set di dati sono identici.

5.1 Ambito di raccolta delle prove digitali
Le prove digitali possono essere di uso necessario in numerosi scenari eterogenei,
ognuno dei quali ha un bilanciamento differente fra le procedure di qualità
probatoria, puntualità dell'analisi, ripristino del servizio e costi di raccolta delle prove
digitali.
Le organizzazioni dovranno perciò avere un processo che, stabilendo le priorità,
identifichi le necessità e valuti la qualità delle prove, la puntualità e il ripristino del
servizio prima di incaricare le risorse DEFR. Un processo che stabilisca le priorità
implica l'esecuzione di una valutazione del materiale disponibile per determinare il
possibile valore probatorio e l'ordine in cui le potenziali prove digitali dovranno
essere raccolte, acquisite o conservate.
L'ordine di priorità viene stabilito per ridurre al minimo il rischio che le potenziali
prove digitali vengano alterate e per rendere massimo il valore probatorio delle
potenziali prove digitali raccolte.
Le prove digitali sono governate da tre principi fondamentali: rilevanza, affidabilità e
sufficienza.

RILEVANZA: sono rivolte a comprovare o a confutare un elemento del caso
specifico sottoposto ad indagine.
AFFIDABILITÀ: le prove digitali sono ciò che appaiono essere
SUFFICIENZA: il DEFR ha bisogno di raccogliere potenziali prove digitali idonee a
consentire che gli elementi del caso siano correttamente esaminati o investigati.
Ci sono quattro aspetti chiave nel trattamento nel trattamento delle prove digitali:
verificabilità,
giustificabilità
e, in alternativa,
ripetibilità o riproducibilità

5.3.2. Verificabilità Dovrà essere possibile per un perito indipendente o per
un’altra delle parti autorizzate valutare le attività svolte
5.3.3 Ripetibilità i medesimi risultati dell'esperimento si producono alle seguenti
condizioni:
- Utilizzando gli stessi metodi e procedure di misura;
- Utilizzando gli stessi strumenti e alle medesime condizioni; e
- Si può ripetere in ogni momento successivo al test originale.
Un DEFR idoneamente specializzato ed esperto dovrà essere in grado di eseguire
tutti i processi descritti nella documentazione e giungere ai medesimi risultati,
senza guida o interpretazione. Ci potrebbero essere circostanze in cui potrebbe
non essere possibile ripetere il test in questo caso il DEFR dovrà assicurare che il
processo di acquisizione sia affidabile.
5.3.4 Riproducibilità i medesimi risultati del test si producono alle seguenti
condizioni:
- Utilizzando gli stessi metodi e procedure di misura;
- Utilizzando strumenti differenti e a condizioni differenti; e
- Può essere ripetuto in ogni momento successivo al test originale.
5.3.5 Giustificabilità giustificare tutte le azioni e i metodi utilizzati nel trattamento

7. Instances of identification, collection, acquisition and preservation
Passiamo ora ad analizzare il Capitolo 7 che si occupa delle richieste di
IDENTIFICAZIONE
RACCOLTA
ACQUISIZIONE
CONSERVAZIONE
della prova digitale in 3 specifici contesti:
7.1 Computers, peripheral devices and digital storage media;
7.2 Networked devices
7.3 CCTV (Closed Circuit Television) collection, acquisition and preservation

7.1.1 identification
I computer sono considerati come digital device autonomi che ricevono, processano
e archiviano dati e producono risultati, ma non sono connessi ad una rete;
possono essere connessi a periferiche (stampanti, scanner, webcam, lettori MP3,
sistemi GPS, device RFID…)
Se si individua un computer con un’interfaccia di rete, ma manchi una connessione
evidente, dovranno essere effettuate delle attività per identificare i device a cui esso
potrebbe essere stato connesso nel passato recente.
Le scene dell’incidente contengono vari tipi di strumenti di archiviazione digitale
(i.e. hard drive esterni, flash drive, CD, DVD, dischi Blu-ray, floppy disk, nastri
magnetici e memory card).
Prima di procedere ad acquisizione o raccolta, devono essere valutati gli aspetti di
sicurezza delle potenziali prove digitali (cfr 6.2.1 e 6.2.2.).
I DEFR dovranno preoccuparsi di essere sicuri che un device apparentemente
autonomo non sia stato connesso ad un network di recente. Laddove si sospetti che
un device apparentemente autonomo sia stato disconnesso di recente, bisognerà
valutare se trattarlo come un network device per assicurare che le altre parti del
network siano gestite correttamente.

7.1.1 identification
Il DEFR dovrà annotare almeno quanto segue:
- il tipo e la marca di ogni digital device utilizzato ed identificare tutti i computer e le periferiche
che può essere necessario acquisire o raccogliere. Numeri di serie, numeri di licenza ed altri
segni identificativi (inclusi danni fisici) dovranno essere documentati ovunque sia possibile;
- Nella fase dell’identificazione, lo stato del computer e dei device periferici dovrà rimanere
com’è.
- Se i computer sono accesi, il DEFR dovrà fotografare o produrre un documento scritto di ciò
che appare sugli schermi. Ogni documento scritto dovrà includere una descrizione di
ciò che è effettivamente visibile (ad esempio posizione delle finestre, titoli e contenuti).
- Un device che abbia batterie che possano scaricarsi dovrà essere ricaricato per
assicurare che l’informazione non vada persa. Il DEFR dovrà identificare e raccogliere i
potenziali alimentatori e i cavi delle batterie durante questa fase.
- Il DEFR dovrà anche valutare se utilizzare un detector di segnali wireless per scoprire ed
identificare segnali wireless da wireless device che potrebbero essere nascosti. Ci potrebbero
essere casi in cui un detector di segnali wireless non viene utilizzato a causa dei costi e dei
vincoli di tempo e il DEFR dovrà documentarlo. Se vengono rinvenuti dei network device, il
DEFR dovrà continuare con il processo di gestione delle prove come descritto nel
paragrafo 7.2.2.2 del presente documento.

• 7.1.1 identification - segue
Dove deve essere utilizzato uno scanning attivo (ad esempio di
trasmissione e/o indagine) per i network device, lo scanning device dovrà
essere spento finché sarà stata determinata una valutazione sulle possibilità
del device di interagire con altri device sulla scena. I membri del team dovranno
tenere presente che alcuni device sulla scena possono scoprire la presenza di
scanner device attivi e che l’uso di scanner attivi può innescare azioni che
possono danneggiare le potenziali prove digitali e può, in circostanze estreme,
risolversi nell’attivazione di trappole nascoste.
NB In presenza di perquisizione (247 cpp) o ispezione (244 cpp) informatica è
possibile accendere i digital device presenti sulla scena per determinare la
loro rilevanza per l’indagine nel caso in cui siano presenti molti digital device
appartenenti a persone differenti. Questo viene fatto in considerazione dei tempi
e dei costi di processo (sia per l’operante che il soggetto che subisce il
sequestro) in cui si può incorrere se vengono acquisiti digital device non rilevanti.
Se un device viene acceso per la valutazione sulla scena, il DEFR dovrà
garantire che durante il processo vengano prese e mantenute note accurate
dell’azione.

• 7.1.1 identification - segue
Nel mantenere lo stato di accensione del digital device, dovranno essere valutati i risultati
della volatilità e il rilevante processo di assegnazione delle priorità. Se si prende la
decisione che l’informazione maggiormente critica è l’informazione non volatile sul
disco, allora si potrà fotografare il console screen delle attività di sistema e si potrà
rimuovere la presa di alimentazione. Se l’informazione volatile nella memoria è rilevante,
allora è critico lasciare acceso il sistema per consentire la sua acquisizione.
DEVE SEMPRE ESSERE ADOTTATA LA STRATEGIA MENO INVASIVA
Potrebbe doversi procedere alla raccolta di prove non digitali ovvero ad acquisire
informazioni da soggetti presenti. In questo caso i DEFR dovranno documentare il nome e
la designazione di fornisce informazioni. I DEFR potrebbero anche avere bisogno di
raccogliere alcune prove parlando con le persone che possono avere informazioni utili o
rilevanti sulle potenziali prove digitali o sui digital device da portare via: ogni risposta dovrà
essere accuratamente documentata (si tratta di informazioni come la configurazione di
sistema e la password administrator/root). Tutte le conversazioni dovranno essere
documentate per assicurare che i dettagli siano accurati e che le affermazioni
documentate non possano essere modificate (registrazione o verbale integrale).
I DEFR dovranno conoscere i requisiti giurisdizionali rilevanti per la raccolta delle prove
non digitali (ad esempio le procedure per le investigazioni difensive come previste
dall’art.391-bis cpp).

• RIEPILOGO
Le prove digitali sono rappresentate in forma fisica e logica.
Fisica: rappresentazione di dati in un device tangibile.
Logica: rappresentazione virtuale di dati all'interno di un
device.
Il processo di identificazione implica la ricerca, l'individuazione
e la documentazione delle potenziali prove digitali.
Individuare gli strumenti di archiviazione digitale e i device di
elaborazione che possono contenere potenziali prove digitali
rilevanti (e solo quelle rilevanti) NB: attribuzione della priorità
nella raccolta delle prove in base alla loro volatilità.
Documentazione delle attività svolte e della collocazione delle
evidenze identificate (dove, cosa, come).

LE MEMORIE DI
MASSA

• Checklist
• Dispositivi di ripresa
• Orologio digitale
• Forensic laptop
• Write protecton device
• Sanitised media
• Gabbia di
Faraday/jammer
• Cavetteria.
• Torcia elettrica
• Secure evidence bags;
• Evidence inventory logs,
evidence tape, bags,
stickers, labels, or tags:
crucial to ensure the integrity
and continuity of the
evidence found at the scene;
• Pennepennarelli;
• Nastro da imbianchino;
• Spago;
• Guanti;
• Cacciavite e tester/scanner
• elettrico
• di rete
• Wi-Fi
[] Esistono linee guida e procedure chiare?
[] E’ stata predisposta una checklist delle potenziali DD presenti?
[] E’ stata predisposta una flow chart su come procedere nelle differenti
situazioni?
[] E’ presente un FRT? (First responder toolkit):

• 7.1.1.3 Collection or Acquistion?
Una volta identificata e registrato il supporto è necessario raccogliere le evidenze
informatiche.
La raccolta può avvenire fisicamente oppure digitalmente (i.e. acquisizione).
Nel decidere se raccogliere un digital device o se acquisire potenziali prove
digitali, dovranno essere valutati molteplici fattori, ad esempio:
- Volatilità delle potenziali prove digitali (Cfr 5.4.2 e 6.8);
- Sussistenza di una crittazione di tutto il disco o di volumi crittati in cui le
passphrase o le chiavi possono risiedere come dati volatili nella RAM o in
token esterni, smart card o altri device o strumenti,
- Punti critici del sistema (Cfr 5.4.4, 7.2.1.2. e 7.1.3.4),
- Requisiti legali della giurisdizione,
- Risorse come la dimensione dell’archivio richiesto, disponibilità di personale,
limiti di tempo.
Nel dare priorità alla raccolta o acquisizione delle potenziali prove digitali, è
imperativo capire la ragione per cui le prove vengono raccolte o acquisite.
Il tutto tenendo a mente il principio di minimizzazione di cui al GDPR.

• 7.1.1.3 Collection or Acquistion?

• 7.1.2 Collection

• 7.1.2.1.2 Powered on DD Collection
- Valutare un’acquisizione dei dati volatili del digital device e lo stato attuale prima di spegnere il
sistema. Le chiavi crittografiche e altri dati cruciali possono trovarsi nella memoria attiva, o nella
memoria non attiva che non è ancora stata cancellata. Valutare l’acquisizione logica
quando si sospetta la crittazione. Dove questo sia il caso, tenere a mente che il sistema
operativo live host può essere inaffidabile, quindi valutare l’uso di strumenti appropriati affidabili
e convalidati.
- La configurazione del digital device può stabilire se il DEFR abbia necessità di spegnere il
device tramite le normali procedure amministrative, o se la spina del device debba essere
rimossa dalla presa di corrente. Il DEFR potrà avere necessità di consultarsi con un DES
per determinare l’approccio migliore date le circostanze specifiche. Se si prende la decisione di
staccare la spina, il DEFR deve rimuovere il cavo di alimentazione rimuovendo prima il terminale
attaccato al digital device e non il terminale attaccato alla presa. Prestare attenzione al fatto che
un device connesso a un UPS può subire un’alterazione dei dati se il cavo di alimentazione
viene rimosso dal muro e non dal device.
Entrambi questi device offrono strumenti utili quando si ha a che fare con un device acceso dove
potrebbe essere attiva la crittazione. Quando un device acceso viene portato via in maniera da
mantenerlo acceso, l’imballaggio e il trasporto del un sistema in funzione deve tenere
conto dei problemi associati ai provvedimenti di raffreddamento, protezione dagli urti
meccanici, ecc.

• 7.1.2.1.2 Powered on DD Collection
- Etichettare, disconnettere ed assicurare tutti i cavi del digital device ed etichettare
le porte in modo che il sistema possa essere ricostruito i un momento successivo.
- Applicare del nastro adesivo sopra l’interruttore di accensione per evitare che
l’interruttore cambi posizione. Valutare se lo stato dell’interruttore è stato
propriamente documentato prima di applicare il nastro.
- Se si tratta di un computer notebook, assicurarsi che i dati volatili siano acquisiti
prima di rimuovere la batteria. Il DEFR dovrà prima rimuovere la batteria di
alimentazione principale, invece di premere l’interruttore di spegnimento del computer
notebook per spegnerlo. Il DEFR dovrà anche prendere nota se è presente un
adattatore di corrente e se c’è, rimuovere l’adattatore dopo che è stata rimossa
la batteria.
Un mouse-jiggler può essere utilizzato per impedire allo screensaver di entrare in
funzione.

• 7.1.2.2.2 Powered off DD Collection
Rimuovere il cavo di alimentazione rimuovendo prima il capo attaccato al digital device e non il
capo inserito nella presa.
- Disconnettere ed assicurare tutti i cavi dai digital device ed etichettare le porte così che il
sistema possa essere ricostruito in una fase successiva.
- Applicare del nastro adesivo sull’interruttore di accensione se necessario a prevenire
che l’interruttore cambi posizione. Valutare se lo stato dell’interruttore è stato
propriamente documentato prima di applicare il nastro.
NOTA nella maggior parte dei casi, lo strumento di archiviazione non dovrà essere
rimosso dal digital device finché deve essere acquisito dato che rimuoverlo fa
aumentare il rischio di danneggiarlo o confonderlo con un altro strumento di archiviazione.
- Assicurarsi che il computer notebook sia effettivamente spento dato che alcuni potrebbero
essere in modalità standby. Prestare attenzione al fatto che alcuni computer notebook
possono essere accesi aprendo il coperchio. Poi procedere a rimuovere la batteria
principale di alimentazione dal computer notebook.
- Se le condizioni operative richiedono la rimozione dell’hard drive, il DEFR dovrà prestare
attenzione a mettere a terra il digital device in modo da prevenire che l’elettricità statica
danneggi l’hard drive.
- Applicare nastro adesivo sullo slot del floppy disk, se presente
- Assicurarsi che i vassoi dell’unità CD o DVD siano chiusi; annotare se questi vassoi
sono vuoti, contengono dischi, o non sono stati controllati; e applicare del nastro
adesivo al drive slot per evitare che si apra.

• 7.1.3 Acquisition
Esistono tre scenari i cui potrebbe essere necessario condurre l’acquisizione:
digital device accesi;
digital device sono spenti;
digital device sono accesi, ma non possono essere spenti (come i mission-critical
digital device).
In tutti questi scenari, al DEFR viene richiesto di fare un’accurata copia
digitale probatoria degli strumenti di archiviazione dei digital device che si
sospetta contengano potenziali prove digitali.
Se non si può ottenere un’immagine, possono essere acquisite copie accurate di
file specifici che si sospetta contengano potenziali prove digitali. Idealmente, si
dovranno produrre sia una copia principale verificata che delle copie di lavoro. La
copia principale non dovrà essere utilizzata nuovamente a meno che ciò sia
necessario per verificare i contenuti della copia di lavoro o per produrre una copia di
lavoro sostitutiva a seguito del danneggiamento della prima copia di lavoro.

• 7.1.3 Acquisition (powered ON)

• 7.1.3.1.2 Powered on Acquisition
Valutare di acquisire le potenziali prove digitali che altrimenti possono andare perse
se il digital device viene spento. Queste sono conosciute anche come dati volatili
(dati archiviati nella RAM, processi in corso, connessioni di network,
impostazioni di data e ora). Nelle circostanze in cui sia necessario acquisire dati
non volatili da device che stiano ancora funzionando, dovrà essere valutato di fare
un’acquisizione su un sistema acceso.
- L’acquisizione live di dati volatili nella RAM può abilitare il recupero di informazioni
di grande valore come network status, applicazioni decrittate e password.
L’acquisizione live può essere condotta sulla consolle o da remoto via network. I
processi sono differenti e richiedono l’uso di diversi insiemi di strumenti.
- Mai fidarsi dei programmi nel sistema. Il DEFR dovrà essere in grado di utilizzare
strumenti convalidati ed essere in grado di rendere conto degli effetti che questi
strumenti possono avere sul sistema (ad esempio spostamento di potenziali
prove digitali, contenuto di memoria che viene scaricato quando si carica il software
etc.). Tutte le azioni eseguite e i conseguenti cambiamenti apportati alla
potenziali prove digitali dovranno essere documentati e compresi. Se non è
possibile determinare i possibili effetti di introdurre strumenti nel sistema o i
cambiamenti conseguenti non possono essere determinati con certezza, anche
questo dovrà essere documentato.

• 7.1.3.1.2 Powered on Acquisition
- Nell’acquisire dati volatili, ove possibile il DEFR dovrà adottare l’uso di un contenitore di file
logici e documentare il suo valore di hash una volta che contenga i file dei dati volatili. Quando
ciò non sia possibile, un contenitore come uno ZIP file dovrà essere utilizzato e poi su questo
file dovrà essere calcolato l’hash e il valore dovrà essere documentato. I contenitori di
file che ne risulteranno dovranno essere archiviati su uno strumento di archiviazione digitale
che sia stato preparato per questo scopo, cioè formattato.
- Eseguire il processo di imaging sull’archivio live non volatile utilizzando uno strumento di
imaging convalidato. La copia di prova digitale che ne risulterà dovrà essere archiviata su uno
strumento di archiviazione digitale che sia stato preparato per questo scopo (nuovo o
sterilizzato).
- Valutare l’acquisizione dei dati volatili nella RAM quando si sospetta l’uso della crittazione.
Prima controllare se questo può essere il caso esaminando il raw disk o utilizzando un utility di
crypto detection. Se questo è il caso, tenere presente che il sistema operativo in
funzione può essere inaffidabile e valutare l’uso di strumenti appropriati che siano affidabili e
convalidati.
- Utilizzare una fonte di orario affidabile e documentare l’ora in cui ogni azione viene eseguita.
- Potrebbe essere appropriato associare il DEFR con le potenziali prove digitali acquisite,
utilizzando firme digitali, autenticazione biometrica e fotografia.
NOTA l’azione di premere il pulsante di accensione/spegnimento su un digital device può
essere configurata per lanciare uno script che può alterare le informazioni e/o cancellare
informazioni dal sistema prima di spegnere.

• 7.1.3 Acquisition (powered off)

• 7.1.3.2.2 Powered off Acquisition
Assicurarsi che il device sia effettivamente spento.
- Se appropriato, rimuovere l’archivio dal digital device spento se non è già stato
rimosso. Etichettare l’archivio come archivio sospetto e documentare tutti i dettagli
come forma, nome del modello, numero di serie e dimensioni dell’archivio.
- Eseguire il processo di imaging utilizzando uno strumento di imaging
convalidato per creare una copia di prova digitale del disco sospetto.
NOTA nella maggior parte dei casi, lo strumento di archiviazione non dovrà
essere rimosso dal digital device finché questo deve essere acquisito dato
che rimuoverlo aumenta il rischio di danneggiarlo o confonderlo con un altro
strumento di archiviazione.

• 7.1.3.3 Mission-critical DD
In alcuni casi, i digital device non possono essere spenti a causa della natura
critica dei sistemi (server nei data-center che potrebbero anche essere al
servizio di clienti non colpevoli, sistemi di sorveglianza, sistemi medici…).
Si dovrà prestare un’attenzione speciale quando si ha a che fare con questi sistemi.
Quando il digital device non può essere spento, eseguire un acquisizione live e/o
parziale (Cfr 7.1.3.1.2 e 7.1.3.4).

• 7.1.3.4. Acquisizione parziale
L’acquisizione parziale può essere eseguita a causa di molteplici ragioni,
come:
- L’archivio di sistema è troppo grande da acquisire (ad esempio server
database)
- Un sistema è troppo critico per essere spento;
- Quando solo il dato selezionato per l’acquisizione contiene altri dati
irrilevanti all’interno del medesimo sistema; o
- Quando costretti dall’AG come nel caso di un decreto di
perquisizione che limiti lo scopo dell’acquisizione.
Quando è stata presa la decisione di procedere ad acquisizione
parziale, le attività per l’acquisizione dovranno includere ma non saranno
limitate alle seguenti:
- Identificare i folder, i file o ogni altra opzione disponibile del
sistema proprietario rilevante per acquisire i dati desiderati,
- Condurre l’acquisizione logica su questi dati identificati.

RIEPILOGO
1) Raccolta se impossibile >
2) Duplicazione (immagine fisica) se impossibile >
3) Duplicazione (immagine logica) se impossibile >
4) Duplicazione (dei soli dati rilevanti) se impossibile >
5) Copia del supporto se impossibile >
6) Copia dei soli dati rilevanti.

• 7.1.3.5. Altri DD
Possono essere rinvenuti vari tipi di strumenti di archiviazione digitale. Di solito
questi rappresentano il tipo meno volatile di dati e possono avere la priorità più
bassa durante la raccolta e acquisizione. Questo non significa che essi non siano
importanti perché in molti casi gli strumenti esterni di archiviazione digitale
contengono le prove che gli analisti stanno cercando.
- Verificare e documentare la posizione (ad esempio vano per drive, cavo e
connettore, slot USB, etc.), forma, modello e numero di serie;
- Decidere se portare via lo strumento di archiviazione digitale identificato o
procedere ad acquisizione sul posto;
- Etichettare tutti gli strumenti di archiviazione digitale e ogni parte ad essi
associata; tutti gli strumenti raccolti dovranno essere acquisiti ed immagazzinati in
maniera da assicurare l’integrità dello strumento raccolto. Quando si tratti di una
possibile prova, dovrà essere sigillata con sigilli antimanomissione e il DEFR o il
personale incaricato dovrà firmare sull’etichetta.
- Gli strumenti di archiviazione digitale raccolti dovranno essere conservati in un
ambiente idoneo alla salvaguardia dei dati.
- Diversi strumenti di archiviazione digitale hanno diverse capacità di
conservazione dei dati.

• Errori e conseguenze
Cass. pen. Sez. II, 01-07-2015, n. 29061
L'acquisizione dei dati da un sistema informatico che non sia
eseguita secondo le disposizioni introdotte dalla L. n. 48/08 in
materia di perquisizione e sequestro non dà comunque luogo
alla loro inutilizzabilità e le relative operazioni tecniche di
duplicazione, non richiedendo alcuna attività di valutazione né
comportando alterazione dei dati originali, possono essere
ripetute.
FONTI
Foro It., 2015, 10, 2, 559

• 7.1.4 Preservation
Con il termine «conservazione» indichiamo il processo di mantenimento e
salvaguardia dell'integrità e/o delle condizioni originali delle potenziali prove
digitali.
Qualunque sia il metodo scelto le prove raccolte/acquisite dovranno essere
adeguatamente custodite per garantire la loro utilizzabilità futura; a tal fine è
necessario proteggere l'integrità delle prove e dei digital device che le
contengono.
Il processo di conservazione dovrà essere iniziato e proseguito durante tutto il
processo di trattamento delle prove digitali, cominciando dall'identificazione dei
digital device le contengono.
Nella migliore delle ipotesi non ci dovrà essere alcuna alterazione dei dati o dei
metadati ad essi associati (ad esempio data e ora di creazione o di ultima
modifica) ed il DES dovrà essere in grado di dimostrare che le prove non sono
state modificate da quando sono state raccolte o acquisite, oppure produrre la
razionale e la documentazione dell'attività se sono stati apportati cambiamenti
inevitabili.

• 7.1.4 Preservation
Nel preservare le prove digitali acquisite e i digital device raccolti, è importante
curare l’imballaggio e la custodia di questi elementi in modo da eliminare il
danneggiamento o l’alterazione.
I rischi sono rappresentati da degradazione magnetica, degradazione elettrica,
calore, esposizione ad alta o bassa umidità così come da urti e vibrazioni. E’ perciò
cruciale proteggere le prove digitali nel modo migliore possibile, ed utilizzare i dati
originali il meno possibile.
A questo fine, è necessario eseguire una copia forense delle prove il prima possibile.
L’attività più importante nel processo di conservazione è quella di mantenere
l’integrità e l’autenticità delle potenziali prove digitali e della loro catena di custodia.
Gli obiettivi principali della sicurezza fisica sono di proteggere e prevenire la perdita,
il danneggiamento e l’alterazione, così come di consentire la verificabilità.

• 7.1.4 Verification function
Valore di hash: stringa di bit che consiste nell'output di una funzione
di hash.
Funzione di verifica: due insiemi di dati sono identici. Il processo di
verifica è tipicamente implementato usando una funzione hash (come
MD5, SHA1…)
Verificabilità: Un terzo deve essere in grado di valutare le attività
svolte dal DEFR e dal DES
- Possibile solo se esiste documentazione delle azioni svolte
- Valutare metodo scientifico, tecniche e procedure seguite
DEFR e DES devono essere in grado di giustificare le azioni svolte
Ripetibilità: Le operazioni sono ripetibili usando le stesse procedure,
lo stesso metodo, gli stessi strumenti, sotto le stesse condizioni
Riproducibilità: Le operazioni sono ripetibili sempre usando lo
stesso metodo, strumenti diversi, sotto condizioni diverse
Giustificabilità: le scelte adoperate erano le migliori possibili

7.2.1 identification Networked Devices [differenze]
Si tratta di computer o altri DD connessi ad una rete (mainframe, server, computer desktop,
access point, switch, hub, router, mobile device, PDA, PED, Bluetooth device, sistemi
CCTV …): se i DD sono connessi alla rete è difficile accertare dove sono conservate le
potenziali prove digitali ricercate. I dati possono essere allocati ovunque sul network.
Il DEFR può considerare i seguenti aspetti come strumenti di identificazione:
Cfr 7.1.1 +
Ad esempio, l’IMEI è un numero a 15 digitazioni che indica il produttore, il modello e il Paese
di approvazione di un device GSM; l’ESN è un identificativo unico a 32 bit documentato dal
produttore su un chip sicuro in un telefono mobile – i primi 8-14 bit identificano il produttore e i
bit rimanenti identificano il numero di serie assegnato.
- Lookup inverso: nel caso di telefoni mobili, se si conosce il numero del telefono, si può
utilizzare un lookup inverso per identificare il network operator.
A causa della dimensione generalmente piccola dei device mobili, il DEFR dovrà
prestare ulteriore attenzione per identificare tutti i generi di device mobili che possono essere
rilevanti per il caso. Il DEFR dovrà mettere in sicurezza la scena dell’incidente e garantire che
nessuno porti via device mobili o di altro genere dalla scena. I digital device che possono
contenere prove digitali dovranno essere protetti dagli accessi non autorizzati.
NOTA in alcuni casi, la comunicazione non dovrà essere interrotta. Informare i soggetti
autorizzati riguardo i possibili problemi (ad esempio per non avvertire dei soggetti ignoti
riguardo lo spegnimento del device).

• 7.2.1 identification Networked Devices
Prima che si possa procedere ad acquisizione o raccolta, la scena dell’incidente
dovrà essere documentata in maniera visiva sia fotografando, che girando video o
disegnando la scena come appariva al momento dell’ingresso. La scelta del metodo
di documentazione deve essere bilanciata con le circostanze, i costi, i tempi, le
risorse disponibili e le priorità. Il DEFR dovrà documentare tutti gli altri oggetti sulla
scena che possano contenere materiali potenzialmente rilevanti come appunti
volanti, post-it, diari, ecc.
- Il DEFR dovrà documentare il tipo, la marca, il modello e i numero di serie di ogni
digital device utilizzato e identificare tutti i digital device che possono dover essere
acquisiti o raccolti in questa fase iniziale. Tutti i device mobili e gli oggetti loro
associati come memory card, SIM card, caricatori e prese rinvenuti sulla scena
dovranno essere documentati e raccolti, se richiesto. Cercare anche di trovare gli
imballi originali dei telefoni mobili; questi possono contenere note con i codici PIN e
PUK.

• 7.2.1 identification Networked Devices
- Se il device è connesso ad un network, il DEFR dovrà identificare i servizi resi
dai device per comprendere le dipendenze ed accertare le criticità del device
all’interno del network prima di decidere se disconnettere il device dal network. Questo
è importante se i device operano funzioni mission-critical che non possono tollerare
alcun fermo tecnico o per evitare la distruzione di potenziali prove digitali. Ad ogni
modo, se appare che siano in atto delle minacce basate sul network il DEFR può
avere bisogno di decidere se disconnettere il device dal network per proteggere le
potenziali prove digitali.
- Se il networked device è un sistema CCTV, il DEFR dovrà annotare il numero di
telecamere connesse al sistema, così come quale di queste telecamere sono attivamente
operative. Il DEFR dovrà anche prendere nota della forma, modello ed impostazioni di
base del sistema come le impostazioni di visualizzazioni, le impostazioni di registrazione
attuali e il luogo di archiviazione in modo tale che se devono essere effettuati
cambiamenti per facilitare i processi di raccolta e acquisizione, sia poi possibile far
tornare il sistema al suo stato originale.
Il DEFR dovrà anche considerare di utilizzare un detector di segnali wireless per
identificare un segnale wireless da wireless device che possono essere nascosti.
Ci possono essere casi in cui il detector di segnali wireless non viene utilizzato a
causa dei limiti di tempo e denaro e il DEFR dovrà documentare questo fatto.

• 7.2.2 Collection or Acquistion?
Una volta identificato e registrato il supporto è necessario raccogliere le evidenze
informatiche.
La raccolta può avvenire fisicamente oppure digitalmente (i.e. acquisizione).
Nel decidere se raccogliere un digital device o se acquisire potenziali prove
digitali, dovranno essere valutati molteplici fattori, ad esempio:
- Punti critici del sistema (Cfr 5.4.4, 7.2.1.2. e 7.1.3.4),
- Necessità di mantenere il collegamento di rete,
- Infrastrutture critiche
- Se il networked device è un sistema CCTV, il DEFR dovrà annotare il numero di
telecamere connesse al sistema, così come quale di queste telecamere sono
attivamente operative. Il DEFR dovrà anche prendere nota della forma, modello
ed impostazioni di base del sistema come le impostazioni di visualizzazioni, le
impostazioni di registrazione attuali e il luogo di archiviazione in modo tale che se
devono essere effettuati cambiamenti per facilitare i processi di raccolta e
acquisizione, sia poi possibile far tornare il sistema al suo stato originale.
La raccolta e l’acquisizione di potenziali prove digitali da mobile device
connessi ad un network sono complicate perché possono esistere in
molteplici stati e modalità di interazione come Bluetooth, radio frequenza,
touch screen e infrarossi.

7.2.2 Collection or Acquistion?
Inoltre i diversi produttori di mobile device utilizzano diversi tipi di sistema
operativo, richiedendo diversi metodi di acquisizione delle prove. C’è anche un
ampio spettro di memory card che sono utilizzate con i mobile device e rimuovere
queste memory card dai device accesi può interferire con i processi in esecuzione.
In generale, i mobile device come i PDA e i telefoni mobili devono essere
accesi per poter acquisire le potenziali prove digitali. Questi device possono
continuamente alterare il loro ambiente operativo mentre sono accesi, ad esempio
può essere aggiornato il contatore dell’orologio.
Il problema associato è che due copie digitali del medesimo device possono non
superare e funzioni standard di verifica come il calcolo dell’hash.
In questa situazione può essere maggiormente appropriato alternare funzioni
di verifica che identifichino le aree di comunione e/o divergenza.
È importante che il DEFR non introduca sulla scena device Wi-Fi o Bluetooth che
potrebbero cambiare gli abbinamenti di informazioni sui device di prova
potenziale.
Questo è particolarmente importante se l’investigatore ha bisogno di sapere quali
device sono stati connessi.

• 7.2.2 networked D Collection
In alcuni casi può essere appropriato lasciare connessi i networked device in modo
che la loro attività possa essere monitorata e documentata da un DEFR e/o
da un DES con idonea autorità.
Dove ciò non sia necessario il device dovrà essere portato via come descritto di
seguito:
- Il DEFR dovrà isolare i device dal network quando è certo che nessun
dato rilevante verrà sovrascritto da questa azione e che nessun
malfunzionamento si produrrà in sistemi importanti (come i sistemi che
gestiscono i programmi di utilità negli ospedali). Questo può essere fatto
rimuovendo dalla presa le connessioni di network via cavo al sistema telefonico o
alla porta del network o disabilitando la connessione al punto di accesso wireless.
- Prima di rimuovere dalla presa i network via cavo, il DEFR dovrà tracciare le
connessioni ai digital device ed etichettare le porte per la futura ricostruzione
del dell’intero network. Un device può avere più di un metodo di comunicazione.
Il DEFR dovrà tentare di identificare tutti i metodi di comunicazione e di eseguire
le attività appropriate per proteggere le potenziali prove digitali dalla distruzione.

• 7.2.2 networked D Collection
- Essere consapevoli che la rimozione dell’alimentazione dai networked device a questo
punto può distruggere dati volatili come i processi in corso, le connessioni di network e i dati
archiviati nella memoria. Il sistema operativo principale può essere inaffidabile e
riportare false informazioni. Il DEFR dovrà acquisire queste informazioni utilizzando
metodi affidabili e verificati prima di rimuovere l’alimentazione dai device. Una volte che il
DEFR sia sicuro che nessuna potenziale prova digitale verrà persa in conseguenza, possono
essere rimosse le connessioni dal digital device.
- Se la raccolta ottiene la precedenza sull’acquisizione ed è noto che il device contiene della
memoria volatile, il device dovrà essere continuamente connesso ad una fonte di
alimentazione.
- Se il mobile device è spento, imballare con cura, sigillare ed etichettare il device. Questo
serve per evitare ogni operazione accidentale o deliberata dei tasti o dei bottoni. Come
precauzione, il DEFR dovrà anche valutare l’uso delle gabbie di Faraday o di contenitori
schermati.
- In alcuni circostanze, i mobile device dovranno essere spenti durante la raccolta per evitare
che i dati subiscano modifiche. Questo può accadere tramite le connessioni uscenti ed
entranti o i comandi che possono causare la distruzione delle potenziali prove digitali.
- Di conseguenza, ogni digital device può essere trattato come se fosse un device a sé
stante (CFR 7.1) fino al momento in cui è esaminato. Durante l’esame, dovrà essere
considerato un device connesso ad un network.

• 7.2.2.3 networked D Collection
Nei casi in cui i device sono connessi al network c’è la possibilità che i device siano
connessi a più di una rete fisica o virtuale. In questo caso, prima di disconnettere il
device dal network, il DEFR deve eseguire l’acquisizione logica dei dati relativi alla
connessione (ad esempio, la connettività Internet). I dati relativi includono ma
non si limitano alla configurazione IP e gli elenchi di routing.
Nel caso di networked device che debbano stare continuamente accesi, ai device
dovrà essere impedito di interagire con il network radio wireless inclusi i device
GPS abilitati. Il DEFR dovrà utilizzare metodi consentiti dalle leggi locali per
isolare i segnali radio. Ad ogni modo, bisognerà fare attenzione a garantire che il
device abbia un’adeguata fonte di alimentazione, dato che i metodi di isolamento
possono indurlo ad utilizzare maggiore energia nel tentativo di contattare un
network.
- Utilizzare un jamming device che sia in grado di bloccare la trasmissione
attraverso la creazione di una forte interferenza quando il device emette segnali
nello stesso spettro di frequenza utilizzato dal mobile device (NB: l’uso di jamming
device può violare la legge o influenzare negativamente equipaggiamento medico).

• 7.2.2.3 networked D Collection
- Utilizzare un’area di lavoro schermata per condurre l’esame in maniera sicura in una
postazione fissa. La schermatura può essere predisposta per tutta l’area di lavoro o tramite la
predisposizione di una tenda di Faraday che consente la portabilità. I cavi di
alimentazione nella tenda rappresentano un problema, comunque, dato che senza un
isolamento adeguato essi possono comportarsi come un antenna, annullando lo scopo
della tenda.
- Utilizzare una (U)SIM sostitutiva che imiti l’identità del device originale ed impedisca
l’accesso al network da parte del device. Queste card riescono ad ingannare il device
facendosi accettare come la (U)SIM originale e consentendo di condurre l’esame in maniera
sicura in ogni luogo. La (U)SIM dovrà essere convalidata per il device e il network prima
dell’uso.
- Disabilitare i servizi di network mettendosi d’accordo con il provider di servizi mobile ed
identificare i dettagli dei servizi da disabilitare (ad esempio identificatore dell’apparecchio,
identificatore del sottoscrittore o numero di telefono). Ad ogni modo, queste informazioni
non sono sempre prontamente disponibili quando i processi di coordinazione e conferma
possono imporre un ritardo.
Il DEFR può eseguire un’acquisizione live del mobile device prima di rimuovere la batteria (ad
esempio per accedere alla SIM card). Questo può essere fatto allo scopo di prevenire
la perdita informazioni potenzialmente importanti nella RAM del telefono o per
accelerare il processo di esame (ad esempio quando si ritiene che il device possa essere
protetto da un PIN e/o un PUK il cui ottenimento richiederebbe un lasso di tempo significativo).

• 7.3.1 CCTV collection, acquisition and preservation [differenze]
I DEFR dovrà sapere che l’approccio per estrarre sequenze video da un
sistema DVR CCTV basato o integrato in un computer è diverso
dall’estrazione convenzionale di prova digitale da un computer. A seguire sono
indicate le specifiche linee guida per l’acquisizione della potenziale prova digitale
dai sistemi CCTV:
- Prima che il processo di acquisizione abbia inizio, il DEFR dovrà
innanzitutto determinare se il sistema ha documentato la sequenza video di
interesse. Di conseguenza, il DEFR dovrà determinare l’arco temporale della
sequenza video e confrontare l’orario di sistema con l’orario corretto e
annotare ogni divergenza. Il DEFR dovrà anche determinare quali telecamere sono
necessarie e se esse possano essere acquisite separatamente. Il DEFR dovrà
annotare la marca del sistema e il modello. Questa informazione può essere
richiesta per arrivare alla sorgente del corretto software di replay.
- Il DEFR dovrà acquisire tutte le registrazioni delle telecamere rilevanti nel
periodo temporale di interesse per preservare informazioni investigative ulteriori
che possono essere sviluppate in un momento successivo. Il DER dovrà
annotare tutte le telecamere connesse a un sistema CCTV e determinare se
esse stiano registrando attivamente o meno.

Il DEFR dovrà determinare la dimensione dell’archivio del sistema CCTV, così come
il momento in cui il sistema è programmato per sovrascrivere le informazioni
video. Questa informazione consentirà al DEFR di sapere per quanto tempo a
sequenza video verrà mantenuta sul sistema prima che vada persa. Dovranno
essere eseguite delle azioni per garantire che la prova non venga modificata. Per le
prove digitali in video, deve essere disposta la protezione da sovrascrittura.
- Ci sono alcune opzioni che il DEFR può scegliere per acquisire la potenziale
prova digitale dai sistemi CCTV:
1) Acquisire i file video scrivendoli su un CD/DVD/Blu-ray disk, ma questo può non
essere pratico se il file è troppo grande.
2) Acquisire i file video scrivendoli in uno strumento di archiviazione esterno.
3) Acquisire i file video tramite una connessione di network. Questo può essere
possibile se il sistema CCTV è dotato di una porta network.
4) Utilizzare la configurazione di export del sistema CCTV verso altri formati di file
(di solito MPEG o AVI, che è una versione compressa della sequenza video).
Questo dovrà essere usato solo come ultima risorsa dato che la ricompressione
altera i dati originali e rimuove sempre i dettagli dell’immagine. Non è raccomandato
fare affidamento sui dati ricompressi per l’esame se i dati originali esistono e sono
disponibili per l’analisi

5) Dove non sia possibile acquisire direttamente una copia di prova digitale dei file
sul recording device, il DEFR o il DES dovrà provare ad acquisire una copia
analogica dal terminale analogico presente sul recording device originale utilizzando
un idoneo recording device analogico.
- Nel completare l’acquisizione, i file acquisiti dovranno essere controllati per
confermare che è stato acquisito il file corretto la corretta porzione di file. Il file dovrà
anche essere controllato con il player software (per i digital device file format) per la
sua riproducibilità su altri sistemi – la maggior parte dei sistemi CCTV sono
proprietari e i file non sono necessariamente riproducibili utilizzando altri software di
riproduzione. Il corretto software di riproduzione può essere disponibile per i
download dal sistema CCTV in contemporanea con i dati.
- Lo strumento di archiviazione digitale che contiene i file acquisiti dovrà essere
considerato la master copy di prova digitale. Se il file è stato scaricato su un altro
computer o su una memory card/device USB, allora bisognerà creare prima possibile
una master copy da questi.
- Di conseguenza il DEFR dovrà far ripartire il sistema CCTV se era stato spento.
Questo dovrà essere fatto in presenza dei soggetti autorizzati.

Nelle circostanze in cui non sia pratico eseguire l’acquisizione sulla scena, il DEFR
può dover decidere di portare via lo strumento di archiviazione digitale. Un metodo
rapido consiste nel sostituire l’hard drive del sistema CCTV con un hard drive vuoto
o clonato. Ad ogni modo, il DEFR dovrà verificare molti rischi prima di utilizzare
questo metodo, come la compatibilità del nuovo hard drive con il sistema e
la compatibilità dell’hard drive rimosso con sistemi diversi per l’analisi.
NOTA 2 Alcuni sistemi hanno un hard drive rimovibile in uno scomparto ma questo
hard drive potrebbe avere necessità dell’hardware di sistema per la riproduzione.
Se nessuno dei metodi indicati è praticabile, allora dovrà essere rimosso dalla scena
l’intero sistema CCTV e il processo di acquisizione dovrà essere eseguito nel
laboratorio di forensic. Questa è l’ultima risorsa del DEFR e presumendo che sia
fisicamente possibile farlo perché alcuni sistemi CCTV sono estremamente
grandi e complessi. Ancora, il DEFR dovrà verificare i rischi di complicazioni legali ed
assicurative prima della rimozione.
Per la natura dei digital device e delle potenziali prove digitali, le linee guida
per la conservazione e la protezione dei networked device sono simili a quelle per
la conservazione e protezione di computer, device periferici e strumenti di
archiviazione digitale. Fare riferimento al paragrafo 7.1.4 per linee guida dettagliate
riguardo la conservazione e protezione dei device. .

• Checklist: dispositivi/laboratorio
• Verificare:
Dispositivi di protezione:
Write blocker
Gabbia di faraday/jammer
UPS
Ambiente adeguato
Dispositivi di acquisizione:
MOBILE
NETWORK
Live
Post mortem
Dispositivi di bonifica:
Supporti nuovi
Sanitised media
Modalità di conservazione
Tools utilizzati
MOBILE
NETWORK
Live
Post mortem
NB: verificare le licenze per i software
utilizzati
Open source

• Le linee guida della G. di F.
Durante le attività d’indagine in ambito di contrasto all’evasione e alle frodi fiscali, le Forze
dell’Ordine s’imbattano sempre più spesso nella documentazione digitale, che sta lentamente
sostituendo quella cartacea e spesso controlli che un tempo portavano a produrre scatoloni di
fotocopie, faldoni, carta e documenti, ormai di frequente si concludono con l’acquisizione di
molti dati salvati su CDROM o hard disk.
Partendo da questo presupposto, la Guardia di Finanza ha tentato di formalizzare una guida
per i Militari in cui descrivere procedure, strumenti e metodologie più adatti per le attività di
acquisizione delle evidenze digitali. Il 4 dicembre 2017 è stata pubblicata sul sito della Guardia
di Finanza la Circolare 1/2018 intitolata “Manuale operativo in materia di contrasto all’evasione
e alle frodi fiscali”. La guida, suddivisa in quattro volumi, contiene indicazioni operative ad
ampio spettro sulle attività di contrasto svolte dai Militari e, per quanto ci riguarda, indica la
corretta modalità di acquisizione delle evidenze digitali, tramite tecniche e metodologie
d’informatica forense.
Nel primo volume s’introduce la figura del personale del Corpo in possesso della qualifica
“CFDA” – Computer Forensics e Data Analysis – specializzato in attività di acquisizione e
analisi di evidenze informatiche (indispensabile laddove si debba procedere alle attività di
Polizia Giudiziaria e la competente Magistratura non abbia previamente nominato un
consulente tecnico ex art. 359 c.p.p., oppure quando non è stato nominato un Ausiliario di
Polizia Giudiziaria ex art. 348, comma 4, c.p.p.) mentre il secondo volume approfondisce in
modo tecnicamente dettagliato – in particolare nel capitolo 2, paragrafo 2.c.5 e seguenti – la
modalità con la quale deve avvenire la ricerca e l’estrazione di documenti informatici.

• In conclusione
Particolare importanza
deve essere data alla
“catena di custodia”: il
documento deve
permettere a posteriori di
verificare (ed
eventualmente ripetere) le
operazioni svolte e
tracciare i passaggi di
mano delle evidenze digitali
Con riguardo al tema delle acquisizioni informatiche: il “dato informatico” è
autonomo rispetto al “sistema informatico”, quest’ultimo è un mero “contenitore”
rispetto al “contenuto”, espresso appunto dal dato informatico. Nella prassi
investigativa, quindi, si distinguono i due casi nei quali l’acquisizione verta sul dato
in sé oppure sul “contenitore” del dato. Sul punto (Cass., Sez. Un., 7 settembre
2017, n. 40963)

• In conclusione

II fase: perquisizione e sequestro
La perquisizione rappresenta un momento fondamentale dell'indagine, soprattutto
per la labilità e la deperibilità delle prove informatiche: eventuali reperti non
individuati in prima battuta sono, probabilmente, destinati a sparire in maniera
definitiva. Proprio per tale ragione, nel corso della perquisizione non ci si dovrebbe
mai “accontentare” dei risultati trovati facilmente o consegnati spontaneamente,
ma è necessario operare per verificare se vi sono componenti hardware nascosti.
Oggi è facile procurarsi memorie di massa piccolissime e facilmente occultabili, per
non parlare di cellulari, fotocamere ed altri apparecchi che possono agevolmente
contenere memorie di massa!

II fase: perquisizione e sequestro
Occorre poi verificare l'eventuale presenza di un server di raccolta dati (NAS),
eventualmente accessibile tramite Wi-Fi.
Grazie alle capacità wireless i dischi operano sia come punto d'accesso Wi-Fi (in
standard IEEE 802.11 b/g/n) sia come un nodo Wi-Fi e, potendo essere visti ed
utilizzati in rete, possono essere usati per conservare file di vario genere.
La distanza a cui possono essere collocati dipende solo dalla potenza del segnale
(all'interno di un'abitazione la portata media è di circa 2030 metri, ma, in assenza
di ostacoli, o in presenza di amplificatori di segnale, possono essere agevolmente
raggiunti e superati i 100 metri)e le loro ridotte dimensioni (mediamente uno di
questi è largo meno di 18 cm, profondo 20 cm ed alto 6 per un peso inferiore al
chilo) li rendono facilmente occultabili.

NAS Wi-FI: panoramica

Rilevare un NAS
In alternativa è anche possibile utilizzare un portatile dotato di connessione wi-fi ed
amministrato da remoto per svolgere tutta l'attività “sporca”.
L'unico modo per individuare simili dispositivi è quello di disporre, in sede di
perquisizione, di un sistema in grado di effettuare un'analisi della rete alla ricerca di
altri dispositivi collegati. Una volta individuati eventuali "nodi" sospetti è necessario
Annotare il MACADDRESS ed andarli a cercare uno per uno per verificare se si
tratta di un server NAS, di un computer remoto o di un semplice access point.
E sempre che il dispositivo sia fisicamente sulla stessa rete…
E' appena il caso di notare che se si stacca la corrente, o se il sistema è spento,
ogni ricerca è vana.
Una valida alternativa è quella di
individuare il router, collegarsi fisicamente
ad esso e verificare visivamente quanti
componenti risultano connessi, annotare
nome, indirizzo e MAC Address ed infine
andarli a cercare uno per uno.
Di tale operazione dovrà essere dato atto
nel verbale.

Computer forensics: utilizzabilità ed analisi della prova digitale

Computer forensics: utilizzabilità ed analisi della prova digitale

Empfohlen

Empfohlen

Weitere ähnliche Inhalte

Was ist angesagt?

Was ist angesagt? (20)

Ähnlich wie Computer forensics: utilizzabilità ed analisi della prova digitale

Ähnlich wie Computer forensics: utilizzabilità ed analisi della prova digitale (20)

Mehr von Emanuele Florindi

Mehr von Emanuele Florindi (14)

Computer forensics: utilizzabilità ed analisi della prova digitale