Digital - (Anti) – Forensics,investigazione digitale

ed inutilizzabilità della prova.

Avv. Giuseppe SerafiniCittà Di Castello 28.11.2014

Disco CifranteLeon Battista Alberti 1467

Avv. Giuseppe Serafini

● Perfezionamento UNIMI digital forensics;● ISO/IEC 27001 Lead Auditor;● ECCE - European Certificate on Cybercrime

Evidence;● DFA - Digital Forensics Alumni;● CSA - Cloud Security Alliance;● CSIG Perugia (Centro Studi Informatica Giuridica);

Un argomento leggero … come l'aria

Buone letture:

● F. Cajani. “Il Vaglio dibattimentale della digital evidence”;

● G. Ziccardi. “L'Avvocato Hacker”.

● M. Epifani. “Tracce digitali all’interno di Smartphone e Tablet”

Scenari

- Sommarie informazioni per attività riferibili alla wi-fi domestica;

- Ordine di esibizione di Log degli IP di una azienda (rilevanza ex D.Lgs. 231/2001);

- Prova della diffamazione avvenuta a mezzo Blog / Social Network;

- Investigazione difensiva su PC aziendale (pedo-pornografia /171 Ter LDA);

- Stalking / Minaccia a mezzo SMS;

- Tentata estorsione tramite Chat Facebook;

- Bitcoin Mining a mezzo botnet;

- OSINT, Cyberwarfare … (manuale di Tallin su Cyberwar) …

“Cyber World”

Digitalizzazione dei beni e dei rapporti.

Beni digitali Rapporti digitali

esistenza lesione modificazione

Prova digitale

Sempre più spesso prova digitale di E.L.M. di beni e/o rapporti analogici

VS“Real World”

Furti;RapineSequestro di persona;Atti persecutori;Stupefacenti.Truffe.Etc..

Digital evidence

Cosa e' la Digital Evidence.

Informazione rilevante memorizzata o trasmessa in forma digitale.

Una digital evidence può quindi essere estratta da un dispositivo di memorizzazione digitale:

- Personal computer, notebook, hard disk esterno, NAS, floppy, nastro,CD/DVD, memorycard, USB drive,…

- Telefoni cellulari, SIM, SmartPhone, Tablet, Navigatori satellitari,…e

Una Rete Intranet/Internet

- Intercettazione di traffico dati

- Pagine Web, Blog, Social Network, Chat/IM, P2P, ecc.

FRAGIL

E

Una digital evidence è fragile per natura, ovvero facilmente modificabile:

- Se il dispositivo che contiene le informazioni di interesse viene spento, i dati che non sono stati salvati possono andare definitivamente persi;

- Se il dispositivo viene rivenuto spento, l’accensione comporta modifiche al sistema e/o ai dati in esso contenuti;

- Se il dispositivo è connesso ad Internet o ad una rete aziendale, possono avvenire accessi dall’esterno con l’obiettivo di cancellare le informazioni.

Esempi:

- Log File;

- IP Number;

- Dati SIM;

- Immagini Videosorveglianza;

- E-mail;

- Meta dati File;

- File *.dat

- File immagine;

- Pagine web. Etc..

Libro III PROVETitolo I

DISPOSIZIONI GENERALI

Art. 190. Diritto alla prova

1. Le prove sono ammesse a richiesta di parte. Il giudice provvede senza ritardo con ordinanza escludendo le prove vietate dalla legge e quelle che manifestamente sono superflue o irrilevanti.

2. La legge stabilisce i casi in cui le prove sono ammesse di ufficio.

3. I provvedimenti sull'ammissione della prova possono essere revocati sentite le parti in contraddittorio.

Art. 191. Prove illegittimamente acquisite

1. Le prove acquisite in violazione dei divieti stabiliti dalla legge non possono essere utilizzate.

2. L'inutilizzabilita' e' rilevabile anche di ufficio in ogni stato e grado del procedimento.

Inutilizzabilità

L’inutilizzabilità è un tipo di invalidità che ha la caratteristica di colpire non l’atto in sé, bensì il suo “valore probatorio .

L’atto, pur valido dal punto di vista formale (ad esempio, non è affetto da nullità) è colpito nel suo aspetto sostanziale, poiché l’inutilizzabilità impedisce ad esso di produrre il suo effetto principale, che è quello di essere posto a base di una decisione del giudice.

In linea generale è possibile affermare che l’inutilizzabilità consegue alla violazione di un divieto probatorio.

Cass., Sez. un., 16.5.1996 - Corte Cost., n. 34/1973.

I divieti probatori devono essere individuati non solo in «quelli espressamente previsti dall’ordinamento processuale, come accade, ad esempio, nei casi indicati dagli artt. 197 e 234 3° co. c.p.p. e cioè, in materia d’incompatibilità a testimoniare o in relazione all’impossibilità giuridica di acquisire atti il cui contenuto faccia riferimento alle voci correnti del pubblico, ma possono anche essere desumibili dall’ordinamento e ciò, accade tutte le volte in cui i divieti, in materia probatoria, non sono dissociabili dai presupposti normativi che condizionano la legittimità intrinseca del procedimento formativo o acquisitivo della prova».

Due casi pratici..

(GR) 2007 - 171 bis LDAcontro esame del testimone Uff. di P.G.

Difesa.:

Lei ha provveduto a effettuare la copia forense del supporto che conteneva i dati, a calcolare l'hash ed a marcare temporalmente i file?

Teste.:

Avvocato, io non so di cosa mi sta parlando...

C: dir /s

Il problema della “suitas”

Art. 42 - Cod. Pen.

Nessuno può essere punito per un'azione od omissione preveduta dalla legge come reato, se non l'ha commessa con coscienza e volontà.

Cass., sent. n. 14511/2009

«Si deve da escludere che l’attività di estrazione di copia di file da un computer costituisca un atto irripetibile (...), atteso che non comporta alcuna attività di carattere valutativo su base tecnico-scientifica né determina alcuna alterazione dello stato delle cose, tale da recare pregiudizio alla genuinità del contributo conoscitivo nella prospettiva dibattimentale, essendo sempre comunque assicurata la riproducibilità di informazioni

identiche a quelle contenute nell’originale».

Cass., Sez. II, 13 marzo 2009

«Come si evince dal verbale di sequestro, redatto in presenza del ricorrente, nel caso in esame il file oggetto del sequestro è stato masterizzato in quattro copie identiche, su altrettanti Cd–rom non riscrivibili, uno dei quali è stato lasciato a disposizione dell’ausiliario di p.g. ... che ha sottoscritto tutti i Cd–rom in questione, e quindi adottando misure tecniche ... in astratto idonee ad assicurare la conservazione e l’immodificabilità dei dati acquisiti.

Ogni altra valutazione di ordine tecnico circa la necessità di effettuare l’hashing per poter eventualmente verificare se la copia del file nel Cd masterizzato sia uguale all’originale (e, quindi, se il file sia stato

modificato o meno) è estranea al giudizio di legittimità».

Un quesito ...

(1). - Esegua “Live” un “dump” della R.A.M. e ne calcoli l' “hash”;

(2). - Esamini la “RAM” a mezzo visualizzatore esadecimale e rinvenga la password di accesso alla casella email;

(3). - Acquisisca la “bit-stream image” dell'HD ed effettui l' analisi, della “cache” al fine di individuare parti di conversazioni effettuate a mezzo chat “Facebook”.

Il caso di scuola

Alibi informatico

Con riferimento all’alibi informatico, il collegio peritale (ing. P e dott. O) riusciva comunque a ricostruire le attività compiute da S. A. quella mattina sul proprio computer portatile.

P.Q.M.

Visto l'art. 530 cpv c.p.p.

ASSOLVE

dal reato a lui ascritto per non aver commesso il fatto.

Timeline I

- Dai tabulati telefonici risulta una chiamata effettuata da L. E. (madre di A.S.) e diretta verso l’utenza fissa dell’abitazione della famiglia S. della durata di 21 secondi

- Dall’ispezione del telefono cellulare di C.P. è emerso, con riferimento al periodo temporale in cui S. dichiarava di essere rimasto a casa, che la ragazza riceveva alle ore 9.44 una chiamata dal telefono mobile di A. S.;

Timeline II

- In data 14 agosto 2007 S. A. consegnava spontaneamente alla polizia giudiziaria il proprio computer portatile. Da quel momento fino al 29 agosto 2007, quando il reperto informatico veniva consegnato ai consulenti tecnici del pubblico ministero che procedevano all’effettuazione delle copie forensi dello stesso, i carabinieri accedevano ripetutamente e scorrettamente (senza l’utilizzo, cioè delle necessarie tecniche forensi di indagine) alla quasi totalità del contenuto del computer;

Timeline III

- Pur tenendo conto di quanto sopra, i Ris, nella loro relazione tecnica e successive integrazioni e chiarimenti, concludevano sostanzialmente nel senso che il giorno 13 agosto 2007 il computer portatile di A. S. veniva acceso alle ore 9.36; quindi venivano aperte delle fotografie digitali fino alle ore 9.57 e dopo le ore 10.17 non sarebbero presenti tracce informatiche che comportino la presenza attiva di un utente che interagisce con il PC.

- Il consulente tecnico della difesa, nel merito, evidenziava che in realtà il file della tesi era stato aperto alle ore 10.17 e che quella mattina erano state ivi scritte e memorizzate due pagine della tesi di laurea. In presenza tuttavia delle alterazioni al contenuto informativo della fonte di prova a causa degli accessi scorretti dei carabinieri e della ritenuta conseguente impossibilità di provare con certezza quanto sopra rilevato, la difesa dell’imputato eccepiva l’inutilizzabilità come fonte di prova del contenuto del computer portatile in parola.

- Questo Tribunale respingeva tale eccezione mediante l’ordinanza datata 17 marzo 2009.

Cass. Pen. Sez. I, 31.10.2013 Nr. 44324

Trib. Vigevano Ord. del 30 aprile 2009

“Anche a voler ammettere l’applicabilità temporale della nuova normativa nei suoi articoli 8 e 9 alla fattispecie processuale oggetto del presente giudizio, non si rientra nel caso di specie nell’ambito del regime della inutilizzabilità di cui all’art. 191 c.p.p., in quanto la suddetta disposizione si riferisce alle prove acquisite in violazione di legge e non a quelle la cui assunzione, pure consentita, sia avvenuta senza l’osservanza delle formalità prescritte, dovendosi applicare in tal caso la disciplina delle nullità processuali”.

Cybercrimes

Legge 18 marzo 2008 Nr. 48● Ratifica ed esecuzione della Convenzione del Consiglio d'Europa sulla

criminalità informatica, fatta a Budapest il 23 novembre 2001, e norme di adeguamento dell’ordinamento interno:

Si afferma il principio per cui, con riferimento alle “evidenze digitali”custodite su sistemi anche se protetti da misure di sicurezza:

… si adottino misure tecniche dirette ad assicurare la conservazione dei dati originali e ad impedirne l’alterazione...

… la loro acquisizione avvenga mediante copia di essi su adeguato supporto, con una procedura che assicuri la conformità dei dati acquisiti a quelli originali e la loro immodificabilità ...

244 - Ispezioni.248 - Perquisizioni.254 co. 2. - Sequestro di corrispondenza.254 bis - Sequestro di dati informatici c/o fornitori di servizi.352 1-bis - Perquisizioni.353. - Acquisizione di plichi o corrispondenza.354 - Accertamenti urgenti su luoghi, cose, persone, sequestro.

*N.B.

TecnicheProcedure

Art. 354 - Cod. Proc. Pen.Accertamenti urgenti sui luoghi, sulle cose e sulle persone.

Sequestro

2. Se vi e' pericolo che le cose, le tracce e i luoghi indicati nel comma 1 si alterino o si disperdano o comunque si modifichino ... gli ufficiali di polizia giudiziaria compiono i necessari accertamenti e rilievi sullo stato dei luoghi e delle cose. In relazione ai dati, alle informazioni e ai programmi informatici o ai sistemi informatici o telematici, gli ufficiali della polizia giudiziaria adottano, altresì, le misure tecniche o impartiscono le prescrizioni necessarie ad assicurarne la conservazione e ad impedirne l'alterazione e l'accesso e provvedono, ove possibile, alla loro immediata duplicazione su adeguati supporti, mediante una procedura che assicuri la conformità della copia all'originale e la sua immodificabilità.

Art. 244 - Cod. Proc. Pen.Casi e forme delle Ispezioni

2. Se il reato non ha lasciato tracce o effetti materiali, o se questi sono scomparsi o sono stati cancellati o dispersi, alterati o rimossi, l'autorita' giudiziaria descrive lo stato attuale e, in quanto possibile, verifica quello preesistente, curando anche di individuare modo, tempo e cause delle eventuali modificazioni. L'autorita' giudiziaria puo' disporre rilievi segnaletici, descrittivi e fotografici e ogni altra operazione tecnica anche in relazione a sistemi informatici o telematici, adottando misure tecniche dirette ad assicurare la conservazione dei dati originali e ad impedirne l'alterazione.

Art. 247 - Cod. Proc. Pen.Casi e forme delle perquisizioni

1.bis. - Quando vi e' fondato motivo di ritenere che dati, informazioni, programmi informatici o tracce comunque pertinenti al reato si trovino in un sistema informatico o telematico, ancorche' protetto da misure di sicurezza, ne e' disposta la perquisizione, adottando misure tecniche dirette ad assicurare la conservazione dei dati originali e ad impedirne l'alterazione.

Misure tecniche e procedure ?

Obiettivo:

(a). - garantire la genuina acquisizione di elementi probatori che potranno assumere successivamente valenza di prova,

(b). - sul fronte delle garanzie difensive, permettere un controllo sull’operato degli inquirenti, il quale deve necessariamente prendere le mosse dalla verifica sulle procedure acquisitive.

“Investigazioni digitali”

Anti Forensics

Anti Digital Forensics concerns an approach to manipulate, erase, or obfuscate digital data or to make its examination difficult, time consuming, or virtually impossible.

* www.marcomattiucci.it

Digital Forensics.

La disciplina che si occupa della preservazione dell'identificazione e dello studio delle informazioni contenute nei computer o nei sistemi informativi, al fine di evidenziare l'esistenza di prove utili allo svolgimento dell'attività investigativa.

A. Ghirardini - G. Faggioli Digital Forensics -Apogeo 2013

“Digital forensics”

1. - Individuazione;

2. - Acquisizione

3. - Conservazione:

4. - Analisi

5. - Presentazione

Best practices

Esistono linee guida dettagliate con le corrette metodologie di acquisizione:

● RFC3227 -Guidelines for Evidence Collection and Archiving (2002)

● ISO 27037 - Guidelines for identification, collection, acquisition and preservation of digital evidence (2012)

● Electronic Evidence Guide –Council of Europe (2013)

Acquisizione con FTK Imager

Analisi con FTK Imager

es. Nr. 1.. la pagina web ...

es. Nr. 1/a.. la pagina web ...

Considerazioni

Malpractices?

Si e' ritenuto che la mancata adozione delle misure di salvaguardia non condurrebbe ad una nullità del mezzo di ricerca della prova sia perchè il portato innovativo ex legge n. 48 del 2008 “non richiede l'adozione di best practises, ma il ricorso a misure tecniche adeguate al raggiungimento dello scopo conservativo dei dati acquisiti”, sia perchè la nullità di ordine generale richiamata dall'art. 178 lett. c) c.p.p. non concerne “La metodologia di acquisizione probatoria e di conservazione degli elementi raccolti in materia informatica”.

Nè potrebbe discendere, in casi simili, una sanzione processuale dell'inutilizzabilità della prova poichè, anche nel nuovo contesto normativo, mancherebbe un “esplicito richiamo” ad essa.

Malpractices_1

Quindi la strada da seguire per indagare sull'esistenza o meno di una presenza sanzionatoria dovrebbe essere ricercata in altre disposizioni e in altri principi individuati nella “interpretazione costituzionalmente orientata della inutilizzabilità "derivata", o "costituzionale", additiva alla inutilizzabilità cosiddetta "patologica", inerente cioè agli atti probatori assunti contra legem”.

Malpractices_2

Vale a dire la c.d. “inutilizzabilità del materiale raccolto per unreliability, vale a dire per inidoneità delle evidenze ad assicurare un accertamento attendibile dei fatti di reato, non legata a previsioni testuali del codice ma derivante da impostazioni di origini statunitensi, sul presupposto che “la digital evidence ottenuta o duplicata con metodi impropri o non verificabili equivale ad un quid diverso da quello originariamente ritenuto e, introdotta in giudizio in forza della sua indifferibile rilevazione, mette a disposizione del giudice un dato adulterato”.

Malpractices_3

Da una siffatta “inidoneità probatoria della risultanza in sé e di qualsiasi ulteriore mezzo di prova finalizzato ad analizzarla” si verrebbe così a configurare un dovere giudiziale di escludere già in fase di ammissione della prova (art. 190 c.p.p.) l'evidenza digitale rilevata, con conseguente inutilizzabilità della stessa ovvero della sua successiva analisi tecnica in quanto acquisite, entrambe, in violazione di un divieto stabilito della legge (art. 191 co. 1 c.p.p.).

Anti . . .

(a). - Distruggere le fonti di prova: cancellare o sovrascrivere con valori casuali dati o metadati che costituiscono la fonte di prova (wiping, randomization, ecc.);

(b). - Nascondere le fonti di prova: Crittografia & Steganografia;

(c). - Offuscare le fonti di prova;

(d). - Evitare la creazione delle fonti di prova;

(e). - Creare false fonti di prova;

(f). - Sfruttare bug noti dei principali tool di indagine nel settore;

Crittografia

… nemo tenetur se detegere ...

iOS Cracking

iOS Cracking

Steganografia

Qualunque fatto, doloso, o colposo,

Che cagiona ad altri un danno ingiusto, obbliga chi ha commesso il fatto a risarcire il danno.

Questo, è il testo, dell'art. 2043, del codice civile, che sancisce, il principio, della responsabilità extracontrattuale, e può, agevolmente, essere usato, come, un esempio di messaggio, sul quale è stato, applicato un sistema, di steganografia molto banale, vale a dire quello di assegnare, un determinato, valore ad un determinato numero di un, determinato carattere di ogni paragrafo.

Proviamo, a contare ...

.. le virgole dei paragrafi...

1 = 3 = C

2 = 1 = A

3 = 17 = S

4 = 1 = A

Per approfondimenti

Grazie per l'attenzione