La prova digitale in ambito civile e penale
Procedure tecniche, aspetti normativi e giurisprudenziali 2.0Pesaro, 8 Novembre 2019 – Hotel Cruiser
La prova digitale in ambito civile e penale
Procedure tecniche, aspetti normativi e
giurisprudenziali 2.0
Pesaro, 8 Novembre 2019 – Hotel Cruiser
Relatore:
Dr. Daniele Egidi
La prova digitale in ambito civile e penale
Procedure tecniche, aspetti normativi e giurisprudenziali 2.0Pesaro, 8 Novembre 2019 – Hotel Cruiser
Chi sono:
Dr. Daniele Egidi
• Maturità scientifica e Laurea in materie scientifiche
• Consulente Informatico
• Consulente del PM, Perito e CTU
• Consulente di parte (CTP) per Avvocati e parti in procedimenti giudiziari
(Ambito Civile e Penale)
• Albo Consulenti Tecnici del Tribunale di Pesaro n. 861 dal 2010
• Albo dei Periti del Tribunale di Pesaro n. 20 dal 2018
• Albo Periti ed Esperti CCIAA Pesaro n. PE/A/130 dal 2010
La prova digitale in ambito civile e penale
Procedure tecniche, aspetti normativi e giurisprudenziali 2.0Pesaro, 8 Novembre 2019 – Hotel Cruiser
La Digital Forensics o Informatica Forense
è la disciplina scientifica che serve per identificare, acquisire ed analizzare
una prova digitale, preservandola da eventuali alterazioni.
Scientifica: ripetibile (Galileo Galilei)
Prova: deve garantire il suo uso in Tribunale
La prova digitale in ambito civile e penale
Procedure tecniche, aspetti normativi e giurisprudenziali 2.0Pesaro, 8 Novembre 2019 – Hotel Cruiser
Informatica forense è la disciplina che concerne le attività di
Individuazione
Conservazione
Protezione
Estrazione
Documentazione
ed ogni altra forma di trattamento ed interpretazione del datomemorizzato su supporto informatico, al fine di essere valutato comeprova nel processo.
(Prof. Cesare Maioli)
La prova digitale in ambito civile e penale
Procedure tecniche, aspetti normativi e giurisprudenziali 2.0Pesaro, 8 Novembre 2019 – Hotel Cruiser
Le fasi principali della
Digital Forensics sono 4:
1. Identificazione e Raccolta
2. Acquisizione
3. Analisi e Valutazione
4. Presentazione
La prova digitale in ambito civile e penale
Procedure tecniche, aspetti normativi e giurisprudenziali 2.0Pesaro, 8 Novembre 2019 – Hotel Cruiser
A premessa di quanto seguirà, si può affermare che la DigitalForensics nasce in Italia con la Legge 48 del 18 marzo 2008,Ratifica ed esecuzione della Convenzione del Consiglio d'Europasulla Criminalità informatica, fatta a Budapest il 23 novembre2001.
Le novità legislative introdotte, prevedono sia la modifica delCodice Penale, mediante l’introduzione di nuove normeincriminatrici e l’inasprimento di alcune fattispecie già esistenti,sia la modifica del D.Lgs 231/2001 - Responsabilitàamministrativa delle società e degli enti.
La prova digitale in ambito civile e penale
Procedure tecniche, aspetti normativi e giurisprudenziali 2.0Pesaro, 8 Novembre 2019 – Hotel Cruiser
1. Identificazione - Supporti digitali oggetto della materia
Devono essere individuati tutti i dispositivi fisici che possonocontenere dati digitali rilevanti: computer, notebook, HD esterni, USBpendrive, memory card, videocamere, CD/DVD, supporti ottici, ecc.
E anche: fax, print server, memorie stampanti, sistemi di antifurto,elettrodomestici, automobili, chiavette per accesso a wallet bitcoin,ecc.
Inoltre dati digitali raggiungibili in remoto: pagine web, server remoti,dati accessibili dal cloud
La prova digitale in ambito civile e penale
Procedure tecniche, aspetti normativi e giurisprudenziali 2.0Pesaro, 8 Novembre 2019 – Hotel Cruiser
1. Identificazione
Classificazione dei supporti digitali
a. Supporti Fissi: si intendono computer fissi,
computer portatili, HD esterni, USB pendrive,
memory card, ecc.
b. Supporti Mobili: si intendono principalmente
telefoni cellulari classici, smartphone e tablet
15 anni fa il 90% delle acquisizioni era relativo
ai supporti fissi, oggi è l’esatto contrario
La prova digitale in ambito civile e penale
Procedure tecniche, aspetti normativi e giurisprudenziali 2.0Pesaro, 8 Novembre 2019 – Hotel Cruiser
1. Identificazione
Raccolta e conservazione dei supporti digitali
E’ scopo primario del Consulente Tecnico quello di garantire la correttaraccolta e successiva repertazione nonché conservazione dei supportidigitali ritenuti di interesse per l’attività forense: a tal scopo vienecreata l’immagine o copia forense di ogni supporto. Al fine diconsentire la tracciabilità di ogni singolo reperto digitale, è buonanorma creare una corretta Catena di Custodia.
Cos’è la Catena di Custodia?
E’ il documento creato ad hoc che permette di conoscere, in ognimomento, lo stato e il luogo in cui si trova il reperto.
La prova digitale in ambito civile e penale
Procedure tecniche, aspetti normativi e giurisprudenziali 2.0Pesaro, 8 Novembre 2019 – Hotel Cruiser
2. Acquisizione in base alla tipologia dei
supporti digitali
a. Supporti fissi - Sono i supporti che
possono essere acquisiti spenti o in
modalità disattiva: HD interni, HD
esterni USB, pendrive, memory card
L’acquisizione di sistemi non attivi
viene definita post mortem: il CT
effettua le operazioni peritali in
autonomia
Le attività ricadono tra gli
Accertamenti tecnici ripetibili
(Ex Art. 359 CPP)
La prova digitale in ambito civile e penale
Procedure tecniche, aspetti normativi e giurisprudenziali 2.0Pesaro, 8 Novembre 2019 – Hotel Cruiser
2. Acquisizione in base alla tipologia dei supporti digitali
b. Supporti mobili - Sono i supporti che debbononecessariamente essere acquisiti accesi: telefoni cellulari tradizionali,smartphone, tablet, altri dispositivi portatili
L’acquisizione avviene in modalità live analysis: il CT effettua leoperazioni peritali nel contraddittorio delle parti, alla presenza deidifensori di fiducia e di eventuali CTP, ove nominati
Le attività ricadono tra gli Accertamenti tecnici irripetibili
(Ex Art. 360 CPP)
La prova digitale in ambito civile e penale
Procedure tecniche, aspetti normativi e giurisprudenziali 2.0Pesaro, 8 Novembre 2019 – Hotel Cruiser
2. Ripetibilità o Irripetibilità dell’Accertamento tecnico
L’attività si intende ripetibile allorché sia possibile ripetere
potenzialmente all’infinito l’attività di acquisizione, senza che ciò
pregiudichi in nessun modo le caratteristiche del supporto.
n attività di acquisizione garantiscono
la creazione di n copie forensi
perfettamente uguali e con stesso
codice hash di controllo
La prova digitale in ambito civile e penale
Procedure tecniche, aspetti normativi e giurisprudenziali 2.0Pesaro, 8 Novembre 2019 – Hotel Cruiser
2. Ripetibilità o Irripetibilità dell’Accertamento tecnico
Un Accertamento Tecnico è invece Irripetibile quando la sola
accensione del dispositivo (ad esempio smartphone) in due o più
occasioni, determina un cambiamento, seppur minimo, dello
stato del sistema: verrebbero in tal modo create due o più copie
forensi NON uguali e con diverso codice hash di controllo.
La prova digitale in ambito civile e penale
Procedure tecniche, aspetti normativi e giurisprudenziali 2.0Pesaro, 8 Novembre 2019 – Hotel Cruiser
2. Codice Hash
L'algoritmo di hash elabora qualunque quantità
di bit (in informatica si dice che elabora dati
"grezzi") garantendo una determinata stringa
di numeri e lettere, indipendentemente dal
tipo di dati o dimensione del file originario,
che sia univoca per ogni documento.
La prova digitale in ambito civile e penale
Procedure tecniche, aspetti normativi e giurisprudenziali 2.0Pesaro, 8 Novembre 2019 – Hotel Cruiser
2. Codice Hash
La lunghezza dei valori di hash varia a seconda degli algoritmi utilizzati:il valore più comunemente adottato è l'MD5 (Message Digestalgorithm) a 128 bit (32 caratteri), che offre una buona affidabilità inspazio ridotto. Oppure, possono essere utilizzati hash di dimensionimaggiori, più sicuri, come SHA-1 (Secure Hash Algorithm), che salgonoa 160 bit
Questo è un esempio di codice hash MD5, calcolato per un computer:
ca955143b2f388c2ece6c445907ef554
Possiamo affermare che è la carta d’identità digitale univoca.
La prova digitale in ambito civile e penale
Procedure tecniche, aspetti normativi e giurisprudenziali 2.0Pesaro, 8 Novembre 2019 – Hotel Cruiser
2. Acquisizione forense Vs Copia dati
L’Acquisizione forense differisce totalmente dalla normale copia dati
• Con l’Acquisizione Forense e la creazione di una immagine forense siha una copia bit-a-bit del supporto in esame
• Con la copia si prendono solamente i dati visibili del supporto inesame
Cosa ne consegue?
• Con l’immagine si va ad acquisire anche lo spazio non allocato(eventuale recupero file nascosti o cancellati)
• Con la copia, invece, è possibile prendere solamente lo spazioallocato (recupero dei soli dati in chiaro, per così dire)
La prova digitale in ambito civile e penale
Procedure tecniche, aspetti normativi e giurisprudenziali 2.0Pesaro, 8 Novembre 2019 – Hotel Cruiser
2. Strumenti per Acquisizione forense (supporti fissi)
L’Acquisizione forense può essere
fatta con:
• Copiatori – dispositivi hardware
• Write blocker – dispositivi che
impediscono la scrittura sul disco
o supporto da copiare
• Live distro software gratuiti, su
DVD o pendrive, ad es. Caine e Deft
• Software forensi – FTK Forensic Toolkit Imager è uno dei più noti e diffusi;
ne esistono numerosi altri a pagamento
La prova digitale in ambito civile e penale
Procedure tecniche, aspetti normativi e giurisprudenziali 2.0Pesaro, 8 Novembre 2019 – Hotel Cruiser
2. Strumenti per montare l’immagine acquisita
Esistono diversi tool da utilizzare per montare un’immagine forense:
• FTK Imager
• Mount Image Pro
• OSFmount
• Arsenal Image Mounter
Una volta che l‘immagine viene montata, il supporto apparirà come
unità aggiuntiva sul vostro computer
La prova digitale in ambito civile e penale
Procedure tecniche, aspetti normativi e giurisprudenziali 2.0Pesaro, 8 Novembre 2019 – Hotel Cruiser
2. Strumenti per Acquisizione forense (supporti mobili)
L’Acquisizione forense può essere fatta con diversi strumenti, hardware osoftware. Tra i più noti ed utilizzati citiamo:
• Cellebrite UFED – hardware di azienda
USA-Israele, è il più noto ed utilizzato
al mondo
• MSAB XRY – hardware di azienda
svedese, a volte più completo del
precedente nelle estrazioni
• Oxygen Forensics – software molto
noto ed efficace
• Elcomsoft Mobile Forensic Bundle – software prodotto da azienda russa,leader sul mercato
La prova digitale in ambito civile e penale
Procedure tecniche, aspetti normativi e giurisprudenziali 2.0Pesaro, 8 Novembre 2019 – Hotel Cruiser
3. Analisi dei dati estratti: digital evidence e prove digitali
Terminata l’Acquisizione forense ed estratti i dati, si procede ad unaloro approfondita analisi, alla ricerca delle digital evidence: con taletermine si definiscono le informazioni che concorrono alla creazione diprove digitali, utili nello svolgimento di procedimenti penali e civili.
Le leggi che trattano le prove digitali riguardano due aspetti: integritàe autenticità. L'integrità garantisce che l'atto di sequestro eacquisizione dei media digitali non modifichi le prove (né l'originale néla copia = immagine forense). L'autenticità si riferisce alla capacità diconfermare l'integrità delle informazioni: ad esempio che i mediaimaged corrispondono alle prove originali.
La prova digitale in ambito civile e penale
Procedure tecniche, aspetti normativi e giurisprudenziali 2.0Pesaro, 8 Novembre 2019 – Hotel Cruiser
3. Analisi dei dati estratti: recupero di dati cancellati
Durante la fase di analisi, è possibile rinvenire digital evidence, cioè
dati pertinenti e utili all’accertamento dei fatti
Supporti fissi – Si utilizzano software specifici, atti al recupero di file
cancellati presenti sul supporto in esame: questi file verranno cercati
nello spazio non allocato della memoria.
Supporti mobili – Si utilizza software usato per l’acquisizione dei dati,
che si occupa anche del recupero di quelli cancellati.
La prova digitale in ambito civile e penale
Procedure tecniche, aspetti normativi e giurisprudenziali 2.0Pesaro, 8 Novembre 2019 – Hotel Cruiser
3. Analisi dei dati estratti: recupero di dati cancellati
Dato cancellato – dato presente sul supporto, ma in stato ‘off’
Non vi sono le informazioni per poterlo rintracciare sul supporto
Risiede nella porzione di spazio non allocato
Unica condizione per poter recuperare
un dato cancellato è che non occupi
una porzione di memoria che sia stata
accidentalmente sovrascritta, dopo la
cancellazione.
In tal caso il recupero non sarà possibile,
ed il dato irrimediabilmente perso.
La prova digitale in ambito civile e penale
Procedure tecniche, aspetti normativi e giurisprudenziali 2.0Pesaro, 8 Novembre 2019 – Hotel Cruiser
3. Conservazione dei dati estratti
E’ buona norma, terminate le operazioni di acquisizione e prima di iniziare leoperazioni di analisi, procedere con la creazione di una seconda copia forense ditutti i supporti oggetto dell’attività peritale: in tal modo sarà garantita una piùadeguata conservazione della prova digitale.
Scopo degli accertamenti è cristallizzare
la situazione tramite la creazione di copie
forensi, e garantire la conservazione delle
prove digitali nello spazio e nel tempo, in
modo che possano – qualora sia necessario
ed utile alle parti – essere di ausilio
all’accertamento della verità giudiziaria.
La prova digitale in ambito civile e penale
Procedure tecniche, aspetti normativi e giurisprudenziali 2.0Pesaro, 8 Novembre 2019 – Hotel Cruiser
4. Presentazione delle risultanze: Reportistica
Al termine delle operazioni tecniche, sarà compito del Consulente
Tecnico fornire al richiedente (AG, difensore, parte) un report finale
contenente tutte le informazioni utili nell’ambito del procedimento.
Esistono software di analisi dati che si occupano di creare anche la
relativa reportistica (ad es. Autopsy, per supporti fissi), mentre ad
esempio UFED Physical Analyzer completa il lavoro svolto dal
dispositivo hardware (per supporti mobili).
La prova digitale in ambito civile e penale
Procedure tecniche, aspetti normativi e giurisprudenziali 2.0Pesaro, 8 Novembre 2019 – Hotel Cruiser
Grazie dell’attenzione! Domande alla fine della giornata
Se avete bisogno di informazioni
o consulenze:
mail: [email protected]
PEC: [email protected]
mobile: +39 392 9446548
No account social…
La prova digitale in ambito civile e penale
Procedure tecniche, aspetti normativi e giurisprudenziali 2.0Pesaro, 8 Novembre 2019 – Hotel Cruiser
Case study 02 – Estrazione chat Faceboook
La prova digitale in ambito civile e penale
Procedure tecniche, aspetti normativi e giurisprudenziali 2.0Pesaro, 8 Novembre 2019 – Hotel Cruiser
Case study 03 – Analisi audio/video/immagine
Esempio - L’incarico peritale reca i seguenti quesiti:
“… la rilevanza di disporre una CTU affinché si accerti se il file
audio ha sofferto di manipolazioni e la prova della paternità
delle voci…”.
• File fornito dalla parte
• Il CTU chiede che venga depositato – se ancora nella
disponibilità della parte – il supporto originale con cui è stata
effettuata la registrazione audio.
La prova digitale in ambito civile e penale
Procedure tecniche, aspetti normativi e giurisprudenziali 2.0Pesaro, 8 Novembre 2019 – Hotel Cruiser
Case study 03 – Analisi audio/video/immagine
Autenticità e integrità
• Copia forense del dispositivo, ed estrazione del file d’interesse (se ancora presente sul supporto)
Tramite utilizzo dell’interfaccia WEB sul portale avente indirizzohttp://onlinemd5.com/, si è calcolato il codice hash MD5 del file depositatoillo tempore dalla parte attrice.
Questi i dati ottenuti:
Filename: 2018-04-16-AUDIO-00000018.amr
File size: 3,015,942 Bytes
File Checksum: DB8117A9E3CC67AF0431B89C4CD5556C
La prova digitale in ambito civile e penale
Procedure tecniche, aspetti normativi e giurisprudenziali 2.0Pesaro, 8 Novembre 2019 – Hotel Cruiser
Case study 03 – Analisi audio/video/immagineCase study 03 – Analisi audio/video/immagine
Autenticità e integrità
In data 14 dicembre 2018 la stessa operazione è stata ripetuta sul file audioreperito dall’estrazione mediante copia forense del telefono della sig.raROSSINI Maria.
Questi i dati ottenuti:
Filename: AUD-20180416-WA0004.amr
File size: 3,015,942 Bytes
File Checksum: DB8117A9E3CC67AF0431B89C4CD5556C
•Fatta eccezione per il nome file, probabilmente oggetto di rinominamanuale, per il resto sia la grandezza che, soprattutto, il codice hash MD5,sono uguali: si può dunque affermare con certezza che i due files sonoidentici, e non sono stati oggetto di manipolazione in fase successiva allaregistrazione.
La prova digitale in ambito civile e penale
Procedure tecniche, aspetti normativi e giurisprudenziali 2.0Pesaro, 8 Novembre 2019 – Hotel Cruiser
Case study 03 – Analisi audio/video/immagineCase study 03 – Analisi audio/video/immagine
Paternità delle voci
Il dr. GIULIANI Mimmo si riserva di inviare al sottoscritto, per successiva approvazione da parte
dell’Ill.mo Giudice, del preventivo per le operazioni richieste, con due ipotesi di lavorazione:
1. Senza saggio fonico - comparazione delle voci presenti nel file audio con quelle ricavate da file
audio preesistenti, e attribuibili con certezza alle persone presenti
2. Con saggio fonico – comparazione delle voci presenti nel file audio con quelle ottenute in sala di
registrazione
Trascrizione integrale del file audio
A chiusura dell’attività viene trascritto integralmente il contenuto del file audio, con asseverazione
giurata della trascrizione stessa da parte del CT
Top Related