Pagine

Visualizzazioni totali

venerdì 5 giugno 2009

Computer forensics: cloni e originali

Sequestro o semplice copia? Per prima cosa, mi si permetta, in questa sede, di osservare che anche il sequestro di materiale apparentemente inutili (che tanta ilarità suscita) potrebbe avere un suo valido motivo: per esempio elementi hardware come la tastiera o il mouse potrebbero, in caso di dubbio, rivelare utili elementi in ordine al loro utilizzatore (impronte digitali, tracce di fluidi corporei) e lo stesso, vituperato, tappetino del mouse potrebbe contenere informazioni interessanti di natura biologica. Non dobbiamo, infatti, dimenticare che l'ambiente "informatico" non è il solo in cui bisogna cercare riscontri.Il tipico punto di scontro tra accusa e difesa in questa sede è relativo alle modalità con cui si procederà al sequestro di evidenze informatiche. Il nodo centrale della questione è "in caso di indagini per reati informatici, è necessario sequestrare tutto il computer, solo l'hard disk oppure è sufficiente acquisire una copia dei dati?". La questione non è di facile soluzione in quanto la scelta fatta nelle concitate fasi del sequestro si riflette necessariamente nelle successive fasi predibattimentali e, spesso, anche nel dibattimento rischiando di pregiudicare l'analisi e, conseguentemente, i diritti di accusa e difesa.In primo luogo dobbiamo osservare che non può esserci una risposta precisa a questa domanda in quanto a reati differenti devono corrispondere differenti tipologie di indagine che richiedono approcci diversi e, soprattutto, una modalità di acquisizione della prova modellata sulla fattispecie concreta. È evidente che, a parità di risultato probatorio, dovrà essere necessariamente privilegiata la modalità di acquisizione meno invasiva e che comporta il minor danno per il soggetto che la subisce. Soggetto che, a volte, non è neppure indagato, ma si trova nella posizione di "persona informata sui fatti". Logicamente la soluzione con il minor impatto in termini di disagi per la persona sottoposta ad indagine è l'acquisizione, direttamente in sede di ispezione/perquisizione, dei dati costituenti tracce del reato o corpo del reato ad opera della PG procedente. Si tratta della soluzione preferibile ed andrebbe adottata ogni qual volta le circostanze la rendano possibile, ma presenta almeno due grossi problemi:
1) richiede, per essere eseguita, la presenza di personale esperto in grado di operare, in maniera sicura, su supporti hardware e software sconosciuti e di individuare, in tempi rapidissimi, tutti i file di interesse probatorio (ivi compresi quelli cancellati, crittografati o steganografati) per poi procedere alla loro cristallizzazione direttamente nel luogo in cui si trovano.
2) L'operazione, anche se eseguita secondo le best practices della computer forensics, è, di fatto, irripetibile in quanto il materiale, rimasto nella disponibilità dell'imputato, deve considerarsi non più utile per finalità investigative.In breve l'utilizzo dello strumento dell'ispezione, con la conseguente acquisizione, mediante masterizzazione, dei soli file pertinenti al reato, andrebbe utilizzata soltanto laddove il computer assuma la veste di mero contenitore della prova del crimine e si ritenga opportuno non operare un sequestro, per esempio perché lo si ritiene sproporzionato al fatto contestato, oppure nel caso di attività presso terzi (banche, provider etc) estranei di fatto alla vicenda.La soluzione preferibile è rappresentata dal sequestro del solo hard disk (oppure dall'acquisizione, con strumenti idonei, di un'immagine dello stesso laddove si ritenga opportuno lasciare l'hard disk nella disponibilità dell'imputato). Tale soluzione, applicabile alla maggior parte dei reati informatici, consente un pieno controllo del contenuto del supporto e la ripetibilità, in qualsiasi momento, dell'analisi eseguita. Di contro richiede, in sede di perquisizione e sequestro, la presenza di personale in grado di rimuovere e maneggiare l'hard disk senza danneggiarlo e, soprattutto, in grado di verificare la presenza di dispositivi in grado di impedire l'accesso ai dati in esso contenuti.


Fonte: Punto Informatico - Autore: Emanuele Florindi