Download - Uni pv 2010-06-16
Computer Forensics
Introduzione alla
Computer Forensics
Pavia, 16-06-2010
Chi sono
Introduzione
Principi
Fasi canoniche
Best practices
Diritto
Diritto penale
Diritto civile
Efficacia
Albi
Contatti
Davide Gabrini
Forensic Jedi
Università degli Studi di Pavia – Facoltà di Ingegneria16 giugno 2010
Computer Forensics
Introduzione alla
Computer Forensics
Pavia, 16-06-2010
Chi sono
Introduzione
Principi
Fasi canoniche
Best practices
Diritto
Diritto penale
Diritto civile
Efficacia
Albi
Contatti
Davide Gabrini
Forensic Jedi
Chi sono
Davide ‘Rebus’ Gabrini
Per chi lavoro non è un mistero.
Oltre a ciò:
Consulente tecnico e Perito forense
Docente di sicurezza informatica e
computer forensics per Corsisoftware srl
Socio istituzionale IISFA
Come vedete non sono qui in divisa
Computer Forensics
Introduzione alla
Computer Forensics
Pavia, 16-06-2010
Chi sono
Introduzione
Principi
Fasi canoniche
Best practices
Diritto
Diritto penale
Diritto civile
Efficacia
Albi
Contatti
Davide Gabrini
Forensic Jedi
INTRODUZIONE
Computer Forensics
Introduzione alla
Computer Forensics
Pavia, 16-06-2010
Chi sono
Introduzione
Principi
Fasi canoniche
Best practices
Diritto
Diritto penale
Diritto civile
Efficacia
Albi
Contatti
Davide Gabrini
Forensic Jedi
La computer forensics è la
disciplina che si occupa della
preservazione, dell'identificazione,
dello studio, della documentazione
dei computer, o dei sistemi
informativi in generale, al fine di
evidenziare l’esistenza di prove
nello svolgimento dell’attività
investigativa.(A.Ghirardini: “Computer forensics” – Apogeo)
L’obiettivo è dunque quello di evidenziare dei
fatti pertinenti l’indagine da sottoporre a giudizio
Computer Forensics
Computer Forensics
Introduzione alla
Computer Forensics
Pavia, 16-06-2010
Chi sono
Introduzione
Principi
Fasi canoniche
Best practices
Diritto
Diritto penale
Diritto civile
Efficacia
Albi
Contatti
Davide Gabrini
Forensic Jedi
Terminologia
Nel corso degli anni, la terminologia del
settore si é molto variegata:
Computer forensics
Digital forensics
Information forensics
Network forensics
Mobile forensics
$next_IT_buzz_word forensics ;-)
Computer Forensics
Introduzione alla
Computer Forensics
Pavia, 16-06-2010
Chi sono
Introduzione
Principi
Fasi canoniche
Best practices
Diritto
Diritto penale
Diritto civile
Efficacia
Albi
Contatti
Davide Gabrini
Forensic Jedi
Cosa NON è
Fantascienza televisiva: CSI, NCIS,
Criminal Minds, RIS ecc. propinano
solitamente boiate
…e al cinema è anche peggio ;-)
Anche gli organi di
informazione (non del
settore) spesso instillano
convinzioni del tutto
infondate…
Computer Forensics
Introduzione alla
Computer Forensics
Pavia, 16-06-2010
Chi sono
Introduzione
Principi
Fasi canoniche
Best practices
Diritto
Diritto penale
Diritto civile
Efficacia
Albi
Contatti
Davide Gabrini
Forensic Jedi
Effetto CSI
Con il termine "effetto CSI" si fa
riferimento al modo in cui alcune serie
televisive di successo hanno cambiato la
percezione che la gente comune ha verso la
medicina forense e le perizie scientifiche in
generale, alzando le aspettative e
richiedendo la stessa qualità di risultati che
si può apprezzare in televisione.(più o meno preso da Wikipedia)
Uno dei campi interessati dal fenomeno è
ovviamente quello dell'informatica forense
Computer Forensics
Introduzione alla
Computer Forensics
Pavia, 16-06-2010
Chi sono
Introduzione
Principi
Fasi canoniche
Best practices
Diritto
Diritto penale
Diritto civile
Efficacia
Albi
Contatti
Davide Gabrini
Forensic Jedi
Necessità di una metodologia scientifica
Nuova specilizzazione di polizia scientifica
Pervasività delle tecnologie digitali
Loro implicazione in attività delittuose
Lo strumento informatico come mezzo
Lo strumento informatico come fine
Nonostante la pervasività, il reale
funzionamento della tecnologia resta ai più
misterioso
Le tracce digitali possono avere una
natura estremamente delicata, che richiede
competenze specifiche per la trattazione
Computer Forensics
Introduzione alla
Computer Forensics
Pavia, 16-06-2010
Chi sono
Introduzione
Principi
Fasi canoniche
Best practices
Diritto
Diritto penale
Diritto civile
Efficacia
Albi
Contatti
Davide Gabrini
Forensic Jedi
Scopi di un’analisi forense
Confermare o escludere un evento
Individuare tracce e informazioni utili
a circostanziarlo
Acquisire e conservare le tracce in
maniera idonea, che garantisca integrità
e non ripudiabilità
Interpretare e correlare le evidenze
acquisite
Riferire con precisione ed efficienza
Computer Forensics
Introduzione alla
Computer Forensics
Pavia, 16-06-2010
Chi sono
Introduzione
Principi
Fasi canoniche
Best practices
Diritto
Diritto penale
Diritto civile
Efficacia
Albi
Contatti
Davide Gabrini
Forensic Jedi
Principi fondamentali
Limitare al minimo l'impatto:
Primo: non nuocere
Non alterare lo stato delle cose
Isolamento della scena del crimine
Utilizzo di procedure non invasive
Documentare nel dettaglio ogni
intervento
Previene possibili contestazioni
Consente in certa misura di ricostruire
la situazione
Computer Forensics
Introduzione alla
Computer Forensics
Pavia, 16-06-2010
Chi sono
Introduzione
Principi
Fasi canoniche
Best practices
Diritto
Diritto penale
Diritto civile
Efficacia
Albi
Contatti
Davide Gabrini
Forensic Jedi
Problemi procedurali
Manca una validazione "locale" degli
strumenti impiegati
Negli Stati Uniti il NIST testa e certifica
gli strumenti hardware e software
In Italia manca un istituto analogo
Manca una metodologia legalmente
riconosciuta o una giurisprudenza
affermata in materia
La questione anzi è stata spesso
considerata di scarsa rilevanza giuridica
Computer Forensics
Introduzione alla
Computer Forensics
Pavia, 16-06-2010
Chi sono
Introduzione
Principi
Fasi canoniche
Best practices
Diritto
Diritto penale
Diritto civile
Efficacia
Albi
Contatti
Davide Gabrini
Forensic Jedi
Qualche definizione
Indizi digitali o digital evidence
“Qualsiasi informazione con valore probatorio
che sia memorizzata o trasmessa in forma
digitale”
Evidence: “anything that is used to determine
or demonstrate the truth of an assertion” – quella
che noi chiameremmo (impropriamente) prova
In informatica, un dato è una descrizione
elementare di un qualcosa
L'informazione invece è il risultato
dell'elaborazione dei dati
Computer Forensics
Introduzione alla
Computer Forensics
Pavia, 16-06-2010
Chi sono
Introduzione
Principi
Fasi canoniche
Best practices
Diritto
Diritto penale
Diritto civile
Efficacia
Albi
Contatti
Davide Gabrini
Forensic Jedi
Identificazione
Acquisizione / Preservazione
Analisi / Valutazione
Presentazione
Le fasi canoniche
Computer Forensics
Introduzione alla
Computer Forensics
Pavia, 16-06-2010
Chi sono
Introduzione
Principi
Fasi canoniche
Best practices
Diritto
Diritto penale
Diritto civile
Efficacia
Albi
Contatti
Davide Gabrini
Forensic Jedi
1. Identificazione
Individuare le informazioni o le fonti
di informazione disponibili
Comprenderne natura e pertinenza
Individuare il metodo di acquisizione
più ideoneo
Stabilire un piano di acquisizione
Computer Forensics
Introduzione alla
Computer Forensics
Pavia, 16-06-2010
Chi sono
Introduzione
Principi
Fasi canoniche
Best practices
Diritto
Diritto penale
Diritto civile
Efficacia
Albi
Contatti
Davide Gabrini
Forensic Jedi
Piano di acquisizione
Non è detto che sia necessario acquisire
tutto (anzi, spesso sarebbe impossibile)
Occore stabilire cosa acquisire e come
E' tendenzialmente meglio acquisire
qualcosa in eccesso che in difetto… (nei
limiti di pertinenza)
Considerare le fonti esterne al sistema in
analisi
Log di apparati di rete che possono
conservare tracce di attività (Firewall, IDS,
Radius, Syslog, server applicativi…)
Computer Forensics
Introduzione alla
Computer Forensics
Pavia, 16-06-2010
Chi sono
Introduzione
Principi
Fasi canoniche
Best practices
Diritto
Diritto penale
Diritto civile
Efficacia
Albi
Contatti
Davide Gabrini
Forensic Jedi
2. Acquisizione
Il sequestro è un metodo facile, veloce
e sicuro, ma non tutti i dati possono
essere acquisiti "fisicamente"
Le copie eseguite devono essere
identiche all'originale (integrità e non
ripudiabilità)
Le procedure devono essere
documentate e attuate secondo metodi e
tecnologie conosciute, così da essere
verificabili dalla controparte
Computer Forensics
Introduzione alla
Computer Forensics
Pavia, 16-06-2010
Chi sono
Introduzione
Principi
Fasi canoniche
Best practices
Diritto
Diritto penale
Diritto civile
Efficacia
Albi
Contatti
Davide Gabrini
Forensic Jedi
3- Analisi e valutazione
Dare un senso a quanto acquisito
Estrarre i dati e processarli per
ricostruire informazioni
Interpretare le informazioni per
individuare elementi utili
Comprendere e correlare, per affinare le
ricerche e trarre conclusioni
E' sicuramente la fase più onerosa di
tutto il processo e richiede conoscenze
davvero disparate
Computer Forensics
Introduzione alla
Computer Forensics
Pavia, 16-06-2010
Chi sono
Introduzione
Principi
Fasi canoniche
Best practices
Diritto
Diritto penale
Diritto civile
Efficacia
Albi
Contatti
Davide Gabrini
Forensic Jedi
4. Presentazione
I risultati devono essere presentati in
forma facilmente comprensibile
I destinatari non hanno di solito
competenze informatiche approfondite
Tuttavia è probabile che la relazione
venga esaminata da un tecnico della
controparte
Semplicità e chiarezza, non
superficialità e approssimazione
Computer Forensics
Introduzione alla
Computer Forensics
Pavia, 16-06-2010
Chi sono
Introduzione
Principi
Fasi canoniche
Best practices
Diritto
Diritto penale
Diritto civile
Efficacia
Albi
Contatti
Davide Gabrini
Forensic Jedi
BEST
PRACTICES
Computer Forensics
Introduzione alla
Computer Forensics
Pavia, 16-06-2010
Chi sono
Introduzione
Principi
Fasi canoniche
Best practices
Diritto
Diritto penale
Diritto civile
Efficacia
Albi
Contatti
Davide Gabrini
Forensic Jedi
La RFC3227: Guidelines for Evidence Collection and Archiving
Pubblicata nel febbraio 2002, è ancora un non smentito punto
di riferimento internazionale. Tra le altre cose consiglia:
Documentare dettagliatamente ogni operazione svolta
Chiari riferimenti temporali
Indicazione di eventuali discrepanze
Evitare tecniche invasive o limitare l'impatto
all'irrinunciabile, preferendo strumenti ben documentabili
Isolare il sistema da fattori esterni che possono modificarlo
(attenzione: l'attività potrebbe essere rilevata)
Nella scelta tra acquisizione e analisi, prima si acquisisce e
poi si analizza
Essere metodici e implementare automatismi (attenzione:
arma a doppio taglio…)
Procedere dalle fonti più volatili alle meno volatili
Eseguire copie bit-level (bit stream image) e lavorare su esse
Computer Forensics
Introduzione alla
Computer Forensics
Pavia, 16-06-2010
Chi sono
Introduzione
Principi
Fasi canoniche
Best practices
Diritto
Diritto penale
Diritto civile
Efficacia
Albi
Contatti
Davide Gabrini
Forensic Jedi
Ordine di volatilità
Registri, cache
Memorie RAM
Stato della rete (connessioni stabilite, socket in ascolto,
applicazioni coinvolte, cache ARP, routing table, DNS cache ecc…)
Processi attivi
File system temporanei
Dischi
Log remoti
Configurazione fisica e topologia di rete
Floppy, nastri e altri dispositivi di backup
Supporti ottici, stampe ecc.
Computer Forensics
Introduzione alla
Computer Forensics
Pavia, 16-06-2010
Chi sono
Introduzione
Principi
Fasi canoniche
Best practices
Diritto
Diritto penale
Diritto civile
Efficacia
Albi
Contatti
Davide Gabrini
Forensic Jedi
Altri utili consigli
Non spegnere il sistema prima di aver completato
tutte le necessarie acquisizioni
Valutare la modalità di spegnimento più idonea
L'attaccante può aver alterato le normali procedure
di shutdown
Con uno spegnimento improvviso alcune
informazione potrebbero andare perse
Non fidarsi del sistema – utilizzare tool propri,
compilati staticamente e su supporto read-only
Non usare programmi che possono alterare la
timeline dei file
Non dimenticatevi del wetware ;-)
La corretta profilazione dell'utente è importante per
calibrare le modalità di intervento
Computer Forensics
Introduzione alla
Computer Forensics
Pavia, 16-06-2010
Chi sono
Introduzione
Principi
Fasi canoniche
Best practices
Diritto
Diritto penale
Diritto civile
Efficacia
Albi
Contatti
Davide Gabrini
Forensic Jedi
Chain of custody
Procedura necessaria per poter tracciare lo stato di
un reperto e la relativa responsabilità in qualsiasi
momento della sua esistenza.
Deve documentare chiaramente:
Dove, quando e da chi l’evidence è stata scoperta e acquisita
Dove, quando e da chi è stata custodita o analizzata
Chi l’ha avuta in custodia e in quale periodo
Come è stata conservata
Ad ogni passaggio di consegna, dove e come è stata
trasferita
Gli accessi all’evidence devono essere estremamente
ristretti e chiaramente documentati. Devono potersi
rilevare accessi non autorizzati.
Computer Forensics
Introduzione alla
Computer Forensics
Pavia, 16-06-2010
Chi sono
Introduzione
Principi
Fasi canoniche
Best practices
Diritto
Diritto penale
Diritto civile
Efficacia
Albi
Contatti
Davide Gabrini
Forensic Jedi
Best practices: altre fonti
In Italia, nessuna istituzione pubblica si è presa la briga di
compilare delle linee guida per le indagini digitali
All'estero ci sono diverse fonti interessanti:
IACP: International Association of Chiefs of Police
Best Practices for Seizing Electronic Evidence
CERT: Computer Emergency Response Team (Carnegie Mellon University)
First Responders Guide to Computer Forensics
IACIS: International Association of Computer Investigative Specialists
IACIS Forensics Procedures
NIST: National Institute of Standards and Technology
Guide to Integrating Forensics Techniques into Incident Response
Guidelines on Cell Phone Forensics
Guidelines on PDA Forensics
US Department of Justice:
Search and Seizure Manual
UK ACPO: Association of Chief Police Officers
Computer based evidence
Computer Forensics
Introduzione alla
Computer Forensics
Pavia, 16-06-2010
Chi sono
Introduzione
Principi
Fasi canoniche
Best practices
Diritto
Diritto penale
Diritto civile
Efficacia
Albi
Contatti
Davide Gabrini
Forensic Jedi
Elementi
giuridici
Computer Forensics
Introduzione alla
Computer Forensics
Pavia, 16-06-2010
Chi sono
Introduzione
Principi
Fasi canoniche
Best practices
Diritto
Diritto penale
Diritto civile
Efficacia
Albi
Contatti
Davide Gabrini
Forensic Jedi
Elementi giuridici: argomenti trattati
Diritto Penale
Prova
Mezzi di ricerca della prova
Mezzi di prova
Perizie e consulenze tecniche
Indagini difensive
Diritto Civile
Idoneità della C.F.
Albi dei C.T. e dei periti
Computer Forensics
Introduzione alla
Computer Forensics
Pavia, 16-06-2010
Chi sono
Introduzione
Principi
Fasi canoniche
Best practices
Diritto
Diritto penale
Diritto civile
Efficacia
Albi
Contatti
Davide Gabrini
Forensic Jedi
Diritto Penale
Computer Forensics
Introduzione alla
Computer Forensics
Pavia, 16-06-2010
Chi sono
Introduzione
Principi
Fasi canoniche
Best practices
Diritto
Diritto penale
Diritto civile
Efficacia
Albi
Contatti
Davide Gabrini
Forensic Jedi
Meglio nota come ratifica della
Convenzione di Budapest sul
cybercrime (del 2001!)
Pubblicata in Gazzetta Ufficiale
il 5 aprile 2008
Introduce modifiche al C.P., C.P.P.,
D.Lgs 231/2001 e al D.Lgs. 196/2003
Legge 48/2008
Computer Forensics
Introduzione alla
Computer Forensics
Pavia, 16-06-2010
Chi sono
Introduzione
Principi
Fasi canoniche
Best practices
Diritto
Diritto penale
Diritto civile
Efficacia
Albi
Contatti
Davide Gabrini
Forensic Jedi
Tra le principali novità:
Uniformità del "documento informatico" tra il diritto civile e penale;
Introduzione del delitto di false dichiarazioni al Certificatore (art.
495-bis c.p.);
Modifica dell'art. 615 - quinquies (Diffusione di apparecchiature,
dispositivi o programmi informatici diretti a danneggiare o
interrompere un sistema informatico o telematico)
Modifica del danneggiamento di dati, programmi, e dei sistemi
informatici, anche di pubblica utilità, con l'introduzione della
punibilità a querela del danneggiamento di dati "privati";
Nuova fattispecie di frode informatica, commessa dal soggetto che
presta servizi di certificazione di firma elettronica;
Estensione ai reati "informatici" della responsabilità amministrativa
degli enti (D.lgs 231/01);
Legge 48/2008
Computer Forensics
Introduzione alla
Computer Forensics
Pavia, 16-06-2010
Chi sono
Introduzione
Principi
Fasi canoniche
Best practices
Diritto
Diritto penale
Diritto civile
Efficacia
Albi
Contatti
Davide Gabrini
Forensic Jedi
Legge 48/2008
Per la prima volta, vengono introdotte procedure
di acquisizione dell'evidenza informatica,
mediante l'imposizione dell'adozione di misure
tecniche dirette ad assicurare la conservazione dei
dati originali e ad impedirne l'alterazione;
Adozione di procedure che assicurino la
conformità dei dati acquisiti a quelli originali e la
loro immodificabilità.
In particolare, hanno avuto notevole rilevanza
sull'attività di P.G. le modifiche agli articoli in
merito a perquisizione, ispezione, sequestro e
accertamenti urgenti.
Computer Forensics
Introduzione alla
Computer Forensics
Pavia, 16-06-2010
Chi sono
Introduzione
Principi
Fasi canoniche
Best practices
Diritto
Diritto penale
Diritto civile
Efficacia
Albi
Contatti
Davide Gabrini
Forensic Jedi
La prova in senso giuridico, ed in
particolare processuale, è la
dimostrazione della sussistenza di
fatti determinati, anche attraverso la
dimostrazione dell'esistenza di altri fatti
da cui si possa arguire l'esistenza dei
fatti giuridicamente rilevanti che si
intende provare
La prova
Computer Forensics
Introduzione alla
Computer Forensics
Pavia, 16-06-2010
Chi sono
Introduzione
Principi
Fasi canoniche
Best practices
Diritto
Diritto penale
Diritto civile
Efficacia
Albi
Contatti
Davide Gabrini
Forensic Jedi
Raccolta delle prove (estratti)
Art. 55 cpp
La polizia giudiziaria deve, anche di iniziativa, compiere
gli atti necessari per assicurare le fonti di prova.
Art.348 cpp
La polizia giudiziaria continua a svolgere le funzioni
indicate nell’art. 55 raccogliendo in specie ogni
elemento utile alla ricostruzione del fatto e alla
individuazione del colpevole.
Procede, fra l’altro alla ricerca delle cose e delle tracce
pertinenti al reato nonché alla conservazione di esse.
Quando compie atti od operazioni che richiedono
specifiche competenze tecniche può avvalersi di
persone idonee le quali non possono rifiutare la propria
opera.
Computer Forensics
Introduzione alla
Computer Forensics
Pavia, 16-06-2010
Chi sono
Introduzione
Principi
Fasi canoniche
Best practices
Diritto
Diritto penale
Diritto civile
Efficacia
Albi
Contatti
Davide Gabrini
Forensic Jedi
Raccolta delle prove
Oltre che dalla P.G., le prove possono
essere raccolte anche da altri soggetti:
il Pubblico Ministero durante le
indagini preliminari;
la parte sottoposta a indagine, a fini
difensivi;
la parte offesa, per valutare
l'opportunità di una denuncia o querela.
Computer Forensics
Introduzione alla
Computer Forensics
Pavia, 16-06-2010
Chi sono
Introduzione
Principi
Fasi canoniche
Best practices
Diritto
Diritto penale
Diritto civile
Efficacia
Albi
Contatti
Davide Gabrini
Forensic Jedi
La ricerca della prova
I mezzi di ricerca della prova tipici sono
disciplinati nel Titolo III del Libro III del
Codice di Procedura Penale:
Ispezione
Perquisizione
Sequestro
Intercettazione
Il codice prevede differenti discipline in ordine a
ciascuno di questi mezzi di ricerca della prova, in
relazione alle differenti e più o meno gravi
limitazioni alla libertà personale che essi
comportano.
Computer Forensics
Introduzione alla
Computer Forensics
Pavia, 16-06-2010
Chi sono
Introduzione
Principi
Fasi canoniche
Best practices
Diritto
Diritto penale
Diritto civile
Efficacia
Albi
Contatti
Davide Gabrini
Forensic Jedi
Perquisizione
Art. 247 cpp: Casi e forme delle perquisizioni
1. Quando vi è fondato motivo di ritenere che taluno occulti sulla
persona il corpo del reato o cose pertinenti al reato, è disposta
perquisizione personale. Quando vi è fondato motivo di ritenere che
tali cose si trovino in un determinato luogo ovvero che in esso possa
eseguirsi l'arresto dell'imputato o dell'evaso, è disposta perquisizione
locale.
1bis. Quando vi è fondato motivo di ritenere che dati, informazioni,
programmi informatici o tracce comunque pertinenti al reato si
trovino in un sistema informatico o telematico, ancorchè protetto da
misure di sicurezza, ne è disposta la perquisizione, adottando misure
tecniche dirette ad assicurare la conservazione dei dati originali e ad
impedirne l'alterazione.
2. La perquisizione è disposta con decreto motivato.
3. L'autorità giudiziaria può procedere personalmente ovvero disporre
che l'atto sia compiuto da ufficiali di polizia giudiziaria delegati con lo
stesso decreto.
Computer Forensics
Introduzione alla
Computer Forensics
Pavia, 16-06-2010
Chi sono
Introduzione
Principi
Fasi canoniche
Best practices
Diritto
Diritto penale
Diritto civile
Efficacia
Albi
Contatti
Davide Gabrini
Forensic Jedi
Perquisizione
E' un mezzo di ricerca della prova tipico.
Il suo scopo è individuare e acquisire il corpo del reato o cose
pertinenti al reato, ovvero ad eseguire l'arresto dell'imputato
o dell'evaso.
Necessariamente limita alcune libertà costituzionali (libertà
personale, libertà domiciliare...), per cui la legge prevede delle
garanzie sostanziali e procedimentali al fine di comprimere il
meno possibile tali libertà.
L'art. 248 cpp prevede direttamente la possibilità per
l'autorità di chiedere la res petita al fine di evitare la
perquisizione: in caso di rifiuto si deve procedere oltre.
Epilogo frequente della perquisizione è il sequestro
probatorio del corpo del reato e delle cose ad esso pertinenti.
Computer Forensics
Introduzione alla
Computer Forensics
Pavia, 16-06-2010
Chi sono
Introduzione
Principi
Fasi canoniche
Best practices
Diritto
Diritto penale
Diritto civile
Efficacia
Albi
Contatti
Davide Gabrini
Forensic Jedi
Perquisizione
Gli artt. 247, 248 e 249 cpp erano stati
concepiti per ambiti strettamente materiali.
Anche la nozione di corpo del reato (art. 253
cpp) era intesa in tal senso.
Come comportarsi con le informazioni, che
sembrerebbero avere natura immateriale?
Per fortuna la ratifica della Convenzione di
Budapest ha migliorato notevolmente la
situazione
Computer Forensics
Introduzione alla
Computer Forensics
Pavia, 16-06-2010
Chi sono
Introduzione
Principi
Fasi canoniche
Best practices
Diritto
Diritto penale
Diritto civile
Efficacia
Albi
Contatti
Davide Gabrini
Forensic Jedi
Ispezione
E' un mezzo di ricerca della prova
tipico, previsto e disciplinato agli art.
244 e seguenti del codice di procedura
penale.
L'obiettivo è di accertare le tracce e
gli effetti materiali del reato.
Si distingue dalla perquisizione, perché questa è invece finalizzata alla
ricerca di un bene relativo al reato o
dell'oggetto del reato.
Computer Forensics
Introduzione alla
Computer Forensics
Pavia, 16-06-2010
Chi sono
Introduzione
Principi
Fasi canoniche
Best practices
Diritto
Diritto penale
Diritto civile
Efficacia
Albi
Contatti
Davide Gabrini
Forensic Jedi
Ispezione
Art.244 cpp: Casi e forme delle ispezioni
1. L’ispezione delle persone, dei luoghi e delle cose è
disposta con decreto motivato quando occorre accertare
le tracce e gli altri effetti materiali del reato.
2. Se il reato non ha lasciato tracce o effetti materiali, o
se questi sono scomparsi o sono stati cancellati o
dispersi, alterati o rimossi, l’autorità giudiziaria descrive
lo stato attuale e, in quanto possibile, verifica quello
preesistente, curando anche di individuare modo,
tempo e cause delle eventuali modificazioni. L’autorità
giudiziaria può disporre rilievi segnaletici, descrittivi e
fotografici e ogni altra operazione tecnica, anche in
relazione a sistemi informatici o telematici, adottando
misure tecniche dirette ad assicurare la conservazione
dei dati originali e ad impedirne l'alterazione
Computer Forensics
Introduzione alla
Computer Forensics
Pavia, 16-06-2010
Chi sono
Introduzione
Principi
Fasi canoniche
Best practices
Diritto
Diritto penale
Diritto civile
Efficacia
Albi
Contatti
Davide Gabrini
Forensic Jedi
Sequestro
Art.253 cpp: Oggetto e formalità del sequestro
1. L’autorità giudiziaria dispone con decreto motivato il
sequestro del corpo del reato e delle cose pertinenti al
reato necessarie per l’accertamento dei fatti.
2. Sono corpo del reato le cose sulle quali o mediante le
quali il reato è stato commesso nonché le cose che ne
costituiscono il prodotto, il profitto o il prezzo.
3. Al sequestro procede personalmente l’autorità
giudiziaria ovvero un ufficiale di polizia giudiziaria
delegato con lo stesso decreto.
4. Copia del decreto di sequestro è consegnata
all’interessato, se presente.
Computer Forensics
Introduzione alla
Computer Forensics
Pavia, 16-06-2010
Chi sono
Introduzione
Principi
Fasi canoniche
Best practices
Diritto
Diritto penale
Diritto civile
Efficacia
Albi
Contatti
Davide Gabrini
Forensic Jedi
Art. 254 C.P.P.
1. Presso coloro che forniscono servizi postali, telegrafici,
telematici o di telecomunicazioni è consentito procedere
al sequestro di lettere, pieghi, pacchi, valori, telegrammi
e altri oggetti di corrispondenza, anche se inoltrati per
via telematica, che l'autorità giudiziaria abbia fondato
motivo di ritenere spediti dall'imputato o a lui diretti,
anche sotto nome diverso o per mezzo di persona
diversa, o che comunque possono avere relazione con il
reato
2. Quando al sequestro procede un ufficiale di polizia
giudiziaria, questi deve consegnare all’autorità
giudiziaria gli oggetti di corrispondenza sequestrati,
senza aprirli o alterarli e senza prendere altrimenti
conoscenza del loro contenuto.
Computer Forensics
Introduzione alla
Computer Forensics
Pavia, 16-06-2010
Chi sono
Introduzione
Principi
Fasi canoniche
Best practices
Diritto
Diritto penale
Diritto civile
Efficacia
Albi
Contatti
Davide Gabrini
Forensic Jedi
Art. 254bis C.P.P.
Art. 254bis - Sequestro di dati informatici presso
fornitori di servizi informatici, telematici e di
telecomunicazioni
1. L'autorità giudiziaria, quando dispone il sequestro,
presso i fornitori di servizi informatici, telematici o di
telecomunicazioni, dei dati da questi detenuti, compresi
quelli di traffico o di ubicazione, può stabilire, per
esigenze legate alla regolare fornitura dei medesimi
servizi, che la loro acquisizione avvenga mediante copia
di essi su adeguato supporto, con una procedura che
assicuri la conformità dei dati acquisiti a quelli originali
e la loro immodificabilità
2. In questo caso è comunque ordinato al fornitore dei
servizi di conservare e proteggere adeguatamente i dati
originali
Computer Forensics
Introduzione alla
Computer Forensics
Pavia, 16-06-2010
Chi sono
Introduzione
Principi
Fasi canoniche
Best practices
Diritto
Diritto penale
Diritto civile
Efficacia
Albi
Contatti
Davide Gabrini
Forensic Jedi
Art. 256 C.P.P.
Dovere di esibizione e segreti
1. Le persone indicate negli artt. 200 e 201 (segreto
professionale e segreto d'ufficio) devono consegnare
immediatamente all’autorità giudiziaria, che ne
faccia richiesta, gli atti e i documenti, anche in
originale se così è ordinato nonchè i dati, le
informazioni e i programmi informatici, anche
mediante copia di essi su adeguato supporto, e ogni
altra cosa esistente presso di esse per ragioni del
loro ufficio, incarico, ministero, professione o arte,
salvo che dichiarino per iscritto che si tratti di
segreto di Stato, ovvero di segreto inerente al loro
ufficio o professione.
Computer Forensics
Introduzione alla
Computer Forensics
Pavia, 16-06-2010
Chi sono
Introduzione
Principi
Fasi canoniche
Best practices
Diritto
Diritto penale
Diritto civile
Efficacia
Albi
Contatti
Davide Gabrini
Forensic Jedi
Art. 260 C.P.P.
Apposizione dei sigilli alle cose sequestrate. Cose deperibili
1. Le cose sequestrate si assicurano con il sigillo dell’ufficio
giudiziario e con le sottoscrizioni dell’autorità giudiziaria e
dell’ausiliario che la assiste ovvero, in relazione alla natura delle
cose, con altro mezzo anche di carattere elettronico o informatico
idoneo a indicare il vincolo imposto a fini di giustizia.
2. L’autorità giudiziaria fa estrarre copia dei documenti e fa eseguire
fotografie o altre riproduzioni delle cose sequestrate che possono
alterarsi o che sono di difficile custodia, le unisce agli atti e fa
custodire in cancelleria o segreteria gli originali dei documenti,
disponendo, quanto alle cose, in conformità dell’art. 259. Quando si
tratta di dati, di informazioni o di programmi informatici, la copia
deve essere realizzata su adeguati supporti, mediante procedura che
assicuri la conformità della copia all'originale e la sua
immodificabilità; in tali casi, la custodia degli originali può essere
disposta anche in luoghi diversi dalla cancelleria o dalla segreteria
3. Se si tratta di cose che possono alterarsi, l’autorità giudiziaria ne
ordina, secondo i casi, l’alienazione o la distruzione.
Computer Forensics
Introduzione alla
Computer Forensics
Pavia, 16-06-2010
Chi sono
Introduzione
Principi
Fasi canoniche
Best practices
Diritto
Diritto penale
Diritto civile
Efficacia
Albi
Contatti
Davide Gabrini
Forensic Jedi
Art.352 cpp - Perquisizioni
1. Nella flagranza del reato o nel caso di evasione, gli ufficiali
di polizia giudiziaria procedono a perquisizione personale o
locale quando hanno fondato motivo di ritenere che sulla
persona si trovino occultate cose o tracce pertinenti al reato
che possono essere cancellate o disperse ovvero che tali cose o
tracce si trovino in un determinato luogo o che ivi si trovi la
persona sottoposta alle indagini o i evaso.
1bis. Nella flagranza del reato, ovvero nei casi di cui al
comma 2 quando sussistono i presupposti e le altre condizioni
ivi previsti, gli ufficiali di polizia giudiziaria, adottando misure
tecniche dirette ad assicurare la conservazione dei dati
originali e ad impedirne l'alterazione, procedono altresì alla
perquisizione di sistemi informatici o telematici, ancorchè
protetti da misure di sicurezza, quando hanno fondato motivo
di ritenere che in questi si trovino occultati dati, informazioni,
programmi informatici o tracce comunque pertinenti al reato
che possono essere cancellati o dispersi
Computer Forensics
Introduzione alla
Computer Forensics
Pavia, 16-06-2010
Chi sono
Introduzione
Principi
Fasi canoniche
Best practices
Diritto
Diritto penale
Diritto civile
Efficacia
Albi
Contatti
Davide Gabrini
Forensic Jedi
Accertamenti urgenti
Art.354 cpp: Accertamenti urgenti sui luoghi, sulle cose e sulle persone
1. Gli ufficiali e gli agenti di polizia giudiziaria curano che le tracce e le cose
pertinenti al reato siano conservate e che lo stato dei luoghi e delle cose
non venga mutato prima dell’intervento del pubblico ministero.
2. Se vi è pericolo che le cose le tracce e i luoghi indicati nel comma 1 si
alterino o si disperdano o comunque si modifichino e il pubblico ministero
non può intervenire tempestivamente ovvero non ha ancora assunto la
direzione delle indagini, gli ufficiali di polizia giudiziaria compiono i necessari
accertamenti e rilievi sullo stato dei luoghi e delle cose. In relazione ai dati,
alle informazioni e ai programmi informatici o ai sistemi informatici o
telematici, gli ufficiali della polizia giudiziaria adottano altresì le misure
tecniche o impartiscono le prescrizioni necessarie ad assicurarne la
conservazione e ad impedirne l'alterazione e l'accesso e provvedono, ove
possibile, alla loro immediata duplicazione su adeguati supporti, mediante
una procedura che assicuri la conformità della copia all'originale e la sua
immodificabilità. Se del caso, sequestrano il corpo del reato e le cose a questo
pertinenti.
3. Se ricorrono i presupposti previsti dal comma 2, gli ufficiali di polizia
giudiziaria compiono i necessari accertamenti e rilievi sulle persone diversi
dalla ispezione personale.
Computer Forensics
Introduzione alla
Computer Forensics
Pavia, 16-06-2010
Chi sono
Introduzione
Principi
Fasi canoniche
Best practices
Diritto
Diritto penale
Diritto civile
Efficacia
Albi
Contatti
Davide Gabrini
Forensic Jedi
Intercettazione
Art.266 cpp, comma 1:
L’intercettazione di conversazioni o comunicazioni telefoniche
e di altre forme di telecomunicazione è consentita nei
procedimenti relativi ai seguenti reati:
a) delitti non colposi per i quali è prevista la pena dell’ergastolo o
della reclusione superiore nel massimo a cinque anni
determinata a norma dell’art. 4;
b) delitti contro la pubblica amministrazione per i quali è prevista
la pena della reclusione non inferiore nel massimo a cinque
anni determinata a norma dell’art. 4;
c) delitti concernenti sostanze stupefacenti o psicotrope;
d) delitti concernenti le armi e le sostanze esplosive;
e) delitti di contrabbando;
f) reati di ingiuria (594 c.p.), minaccia (612 c.p.), molestia o
disturbo alle persone (660 c.p.) col mezzo del telefono.
f-bis) delitti previsti dall’articolo 600-ter, terzo comma, del codice
penale.
Computer Forensics
Introduzione alla
Computer Forensics
Pavia, 16-06-2010
Chi sono
Introduzione
Principi
Fasi canoniche
Best practices
Diritto
Diritto penale
Diritto civile
Efficacia
Albi
Contatti
Davide Gabrini
Forensic Jedi
Intercettazione
E' un mezzo di ricerca della prova tipico,
previsto e disciplinato dall'art. 266 del
codice di procedura penale.
L'intercettazione telematica è prevista
dall'Art.266-bis cpp:
Nei procedimenti relativi ai reati indicati nell’art. 266,
nonché a quelli commessi mediante l’impiego di
tecnologie informatiche o telematiche, è consentita
l’intercettazione del flusso di comunicazioni relativo a
sistemi informatici o telematici ovvero intercorrente tra
più sistemi.
Computer Forensics
Introduzione alla
Computer Forensics
Pavia, 16-06-2010
Chi sono
Introduzione
Principi
Fasi canoniche
Best practices
Diritto
Diritto penale
Diritto civile
Efficacia
Albi
Contatti
Davide Gabrini
Forensic Jedi
Mezzi di prova (Titolo II)
Testimonianza, esame delle parti,
confronto, ricognizione
Esperimenti giudiziali (Art. 218 cpp)L’esperimento consiste nella riproduzione, per quanto è
possibile, della situazione in cui il fatto si afferma o si ritiene
essere avvenuto e nella ripetizione delle modalità di
svolgimento del fatto stesso.
Il giudice può designare un esperto per l’esecuzione di
determinate operazioni.
PeriziaDisposta dal Giudice, anche d'ufficio.
Documenti
Computer Forensics
Introduzione alla
Computer Forensics
Pavia, 16-06-2010
Chi sono
Introduzione
Principi
Fasi canoniche
Best practices
Diritto
Diritto penale
Diritto civile
Efficacia
Albi
Contatti
Davide Gabrini
Forensic Jedi
Perizia (Capo VI)
Art.220 cpp: Oggetto della perizia
La perizia è ammessa quando occorre
svolgere indagini o acquisire dati o
valutazioni che richiedono specifiche
competenze tecniche, scientifiche o
artistiche."L'impiego di uno strumento scientifico-tecnico è
individuato come necessario, ma nulla si stabilisce
sul tipo di strumento da utilizzare, la cui
individuazione compete all’esperto che deve
attingerlo dal patrimonio della scienza e della
tecnica." (G. Costabile, LEFT 2007)
Computer Forensics
Introduzione alla
Computer Forensics
Pavia, 16-06-2010
Chi sono
Introduzione
Principi
Fasi canoniche
Best practices
Diritto
Diritto penale
Diritto civile
Efficacia
Albi
Contatti
Davide Gabrini
Forensic Jedi
Perizia: nomina
Art.221 cpp: Nomina del perito
Il giudice nomina il perito scegliendolo
tra gli iscritti negli appositi albi o tra
persone fornite di particolare
competenza nella specifica disciplina.
Il perito ha l’obbligo di prestare il suo
ufficio, salvo che ricorra uno dei motivi
di astensione previsti dall’art. 36 cpp.
Computer Forensics
Introduzione alla
Computer Forensics
Pavia, 16-06-2010
Chi sono
Introduzione
Principi
Fasi canoniche
Best practices
Diritto
Diritto penale
Diritto civile
Efficacia
Albi
Contatti
Davide Gabrini
Forensic Jedi
Perizia: incompatibilità
Art.222 cpp: Incapacità e incompatibilità del perito
Non può prestare ufficio di perito:a) il minorenne (98 c.p.), l’interdetto (414 c.c.; 32 c.p.), l’inabilitato
(415 c.c.) e chi è affetto da infermità di mente;
b) chi è interdetto anche temporaneamente dai pubblici uffici (28, 29,
31 c.p.) ovvero è interdetto o sospeso dall’esercizio di una
professione o di un’arte (30, 31, 35 c.p.);
c) chi è sottoposto a misure di sicurezza personali (215 c.p.) o a
misure di prevenzione;
d) chi non può essere assunto come testimone (197) o ha facoltà di
astenersi dal testimoniare (199) o chi è chiamato a prestare ufficio
di testimone (120, 194 s.) o di interprete (143);
e) chi è stato nominato consulente tecnico (225, 233, 359) nello
stesso procedimento o in un procedimento connesso.
Art.223: Quando esiste un motivo di astensione il
perito ha l’obbligo di dichiararlo.
Computer Forensics
Introduzione alla
Computer Forensics
Pavia, 16-06-2010
Chi sono
Introduzione
Principi
Fasi canoniche
Best practices
Diritto
Diritto penale
Diritto civile
Efficacia
Albi
Contatti
Davide Gabrini
Forensic Jedi
Perizia: conferimenti d’incarico
Art.225 cpp: Nomina del consulente tecnico
Disposta la perizia, il pubblico ministero e le parti private
hanno facoltà di nominare propri consulenti tecnici.
Non può essere nominato consulente tecnico chi si trova
nelle condizioni indicate nell’art. 222 comma 1 lett a, b, c, d.
Art.226 cpp: Conferimento dell’incarico
Il giudice chiede al perito se si trova in una delle condizioni
di incompatibilità, lo avverte degli obblighi (70 att.) e delle
responsabilità (373 c.p.) previste e lo invita a rendere la
dichiarazione: "consapevole della responsabilità morale e
giuridica che assumo nello svolgimento dell’incarico, mi
impegno ad adempiere al mio ufficio senza altro scopo che
quello di far conoscere la verità e a mantenere il segreto su
tutte le operazione peritali".
Il giudice formula quindi i quesiti, sentiti il perito, i
consulenti tecnici, il pubblico ministero e i difensori.
Computer Forensics
Introduzione alla
Computer Forensics
Pavia, 16-06-2010
Chi sono
Introduzione
Principi
Fasi canoniche
Best practices
Diritto
Diritto penale
Diritto civile
Efficacia
Albi
Contatti
Davide Gabrini
Forensic Jedi
Perizia: relazione peritale
Art.227 cpp: Relazione peritale Il perito procede immediatamente ai necessari accertamenti e
risponde ai quesiti con parere raccolto nel verbale.
Se il perito non ritiene di poter dare immediata risposta, può
chiedere un termine al giudice.
Quando non ritiene di concedere il termine, il giudice provvede alla
sostituzione del perito; altrimenti fissa la data, non oltre novanta
giorni, nella quale il perito stesso dovrà rispondere ai quesiti e
dispone perché ne venga data comunicazione alle parti e ai
consulenti tecnici.
Se necessario, il termine può essere prorogato dal giudice, su
richiesta motivata del perito, anche più volte per periodi non
superiori a trenta giorni. In ogni caso, il termine per la risposta ai
quesiti, anche se prorogato, non può superare i sei mesi.
Qualora sia indispensabile illustrare con note scritte il parere, il
perito può chiedere al giudice di essere autorizzato a presentare
relazione scritta.
Computer Forensics
Introduzione alla
Computer Forensics
Pavia, 16-06-2010
Chi sono
Introduzione
Principi
Fasi canoniche
Best practices
Diritto
Diritto penale
Diritto civile
Efficacia
Albi
Contatti
Davide Gabrini
Forensic Jedi
Perizia: attività del perito
Art.228 cpp: Attività del perito
Il perito può essere autorizzato dal giudice:
A prendere visione del fascicolo dibattimentale
Ad assistere all’esame delle parti e
all’assunzione di prove
A servirsi di ausiliari di sua fiducia
Qualora il perito richieda notizie
all’imputato, alla persona offesa o ad altre
persone, gli elementi in tal modo acquisiti
possono essere utilizzati solo ai fini
dell’accertamento peritale.
Computer Forensics
Introduzione alla
Computer Forensics
Pavia, 16-06-2010
Chi sono
Introduzione
Principi
Fasi canoniche
Best practices
Diritto
Diritto penale
Diritto civile
Efficacia
Albi
Contatti
Davide Gabrini
Forensic Jedi
Perizia: i consulenti tecnici
Art.230 cpp: Attività dei consulenti tecnici
I consulenti tecnici possono:
Assistere al conferimento dell’incarico al perito e presentare
al giudice richieste, osservazioni e riserve, delle quali è fatta
menzione nel verbale.
Partecipare alle operazioni peritali, proponendo al perito
specifiche indagini e formulando osservazioni e riserve, delle
quali deve darsi atto nella relazione.
Se nominati dopo l’esaurimento delle operazioni peritali,
possono esaminare le relazioni e richiedere al giudice di essere
autorizzati a esaminare l'oggetto della perizia.
La nomina dei consulenti tecnici e lo svolgimento della loro
attività non può ritardare l’esecuzione della perizia e il
compimento delle altre attività processuali.
Computer Forensics
Introduzione alla
Computer Forensics
Pavia, 16-06-2010
Chi sono
Introduzione
Principi
Fasi canoniche
Best practices
Diritto
Diritto penale
Diritto civile
Efficacia
Albi
Contatti
Davide Gabrini
Forensic Jedi
Perizia: i consulenti tecnici
Art.233: Consulenza tecnica fuori dei casi di perizia
Quando non è stata disposta perizia, ciascuna parte
può nominare fino a due consulenti tecnici propri.
Questi possono esporre al giudice il proprio parere,
anche presentando memorie.
Computer Forensics
Introduzione alla
Computer Forensics
Pavia, 16-06-2010
Chi sono
Introduzione
Principi
Fasi canoniche
Best practices
Diritto
Diritto penale
Diritto civile
Efficacia
Albi
Contatti
Davide Gabrini
Forensic Jedi
Prove atipiche
Art.189 cpp comma 1: Prove non
disciplinate dalla legge
Quando è richiesta una prova non
disciplinata dalla legge, il giudice può
assumerla se essa risulta idonea ad
assicurare l’accertamento dei fatti e non
pregiudica la libertà morale della
persona. Il giudice provvede
all’ammissione, sentite le parti sulle
modalità di assunzione della prova.
Computer Forensics
Introduzione alla
Computer Forensics
Pavia, 16-06-2010
Chi sono
Introduzione
Principi
Fasi canoniche
Best practices
Diritto
Diritto penale
Diritto civile
Efficacia
Albi
Contatti
Davide Gabrini
Forensic Jedi
Prove atipiche
La dottrina ha sottolineato che la
prova atipica è stata voluta per
consentire che nel processo penale
rientrassero i nuovi ritrovati del sapere
tecnico e scientifico
Vige quindi un principio di non
tassatività delle fonti di prova
Computer Forensics
Introduzione alla
Computer Forensics
Pavia, 16-06-2010
Chi sono
Introduzione
Principi
Fasi canoniche
Best practices
Diritto
Diritto penale
Diritto civile
Efficacia
Albi
Contatti
Davide Gabrini
Forensic Jedi
Indagini difensive
Principio di parità tra accusa e difesa
L. 397/2000: Disposizioni in materia di indagini difensive
Art. da 391bis a 391decies cpp
Il difensore, gli investigatori privati, i consulenti
tecnici possono:
Ricevere dichiarazioni dalle persone in grado di
riferire su circostanze utili
Richiedere documentazione alla Pubblica
Amministrazione
Prendere visione dello stato di luoghi e cose ed
effettuare rilievi
Accedere a luoghi privati o non aperti al pubblico,
eventualmente su autorizzazione del giudice, al solo
fine di ispezione.
Computer Forensics
Introduzione alla
Computer Forensics
Pavia, 16-06-2010
Chi sono
Introduzione
Principi
Fasi canoniche
Best practices
Diritto
Diritto penale
Diritto civile
Efficacia
Albi
Contatti
Davide Gabrini
Forensic Jedi
Art.391-nonies: Attività investigativa preventiva
L’attività investigativa del difensore (Art.327-bis)
può essere svolta anche preventivamente, su
apposito mandato e per l’eventualità che si instauri
un procedimento penale.
Il difensore può incaricare dell'attività il sostituto,
l'investigatore privato autorizzato o il consulente
tecnico
L'attività investigativa preventiva non può
comprendere atti che richiedono l'autorizzazione
dell'Autorità Giudiziaria
Si possono dunque svolgere autonomamente
indagini private in attesa di valutare l'eventualità di
procedere a un'azione penale e/o civile.
Computer Forensics
Introduzione alla
Computer Forensics
Pavia, 16-06-2010
Chi sono
Introduzione
Principi
Fasi canoniche
Best practices
Diritto
Diritto penale
Diritto civile
Efficacia
Albi
Contatti
Davide Gabrini
Forensic Jedi
Art.359: Consulenti tecnici del pubblico ministero
1. Il pubblico ministero, quando procede
ad accertamenti, rilievi segnaletici,
descrittivi o fotografici e ad ogni altra
operazione tecnica per cui sono
necessarie specifiche competenze, può
nominare e avvalersi di consulenti, che
non possono rifiutare la loro opera.
2. Il consulente può essere autorizzato
dal pubblico ministero ad assistere a
singoli atti di indagine.
Computer Forensics
Introduzione alla
Computer Forensics
Pavia, 16-06-2010
Chi sono
Introduzione
Principi
Fasi canoniche
Best practices
Diritto
Diritto penale
Diritto civile
Efficacia
Albi
Contatti
Davide Gabrini
Forensic Jedi
Art.360: Accertamenti tecnici non ripetibili
Quando gli accertamenti previsti dall’art. 359 riguardano
persone, cose o luoghi il cui stato è soggetto a
modificazione, il pubblico ministero avvisa, senza ritardo, la
persona sottoposta alle indagini, la persona offesa dal reato e i
difensori del giorno, dell’ora e del luogo fissati per il
conferimento dell’incarico e della facoltà di nominare
consulenti tecnici.
I difensori nonché i consulenti tecnici eventualmente
nominati hanno diritto di assistere al conferimento
dell’incarico, di partecipare agli accertamenti e di formulare
osservazioni e riserve.
Qualora, prima del conferimento dell’incarico, la persona
sottoposta alle indagini formuli riserva di promuovere
incidente probatorio, il pubblico ministero dispone che non si
proceda agli accertamenti salvo che questi, se differiti, non
possano più essere utilmente compiuti.
Computer Forensics
Introduzione alla
Computer Forensics
Pavia, 16-06-2010
Chi sono
Introduzione
Principi
Fasi canoniche
Best practices
Diritto
Diritto penale
Diritto civile
Efficacia
Albi
Contatti
Davide Gabrini
Forensic Jedi
Incidente probatorio
L'Art.392 cpp prevede che:
1. Nel corso delle indagini preliminari il pubblico
ministero e la persona sottoposta alle indagini
possono chiedere al giudice che si proceda con
incidente probatorio:
[…]
f) a una perizia o a un esperimento giudiziale, se la
prova riguarda una persona, una cosa o un luogo il
cui stato è soggetto a modificazione non
evitabile.
La prova si forma quindi fuori dal dibattimento, ma
comunque in contraddittorio tra le parti.
Computer Forensics
Introduzione alla
Computer Forensics
Pavia, 16-06-2010
Chi sono
Introduzione
Principi
Fasi canoniche
Best practices
Diritto
Diritto penale
Diritto civile
Efficacia
Albi
Contatti
Davide Gabrini
Forensic Jedi
Diritto Civile
Computer Forensics
Introduzione alla
Computer Forensics
Pavia, 16-06-2010
Chi sono
Introduzione
Principi
Fasi canoniche
Best practices
Diritto
Diritto penale
Diritto civile
Efficacia
Albi
Contatti
Davide Gabrini
Forensic Jedi
La prova
Diversamente dal diritto penale, l'onere
della prova per far valere o eccepire un
diritto compete alle parti
Salvi i casi previsti per legge, il giudice
deve basare la sua decisione sulle prove
proposte dalle parti, o su fatti notori
Vige inoltre un principio di tipicità dei
mezzi di prova:
Prove piene
Prove di verosimiglianza
Argomenti di prova
Computer Forensics
Introduzione alla
Computer Forensics
Pavia, 16-06-2010
Chi sono
Introduzione
Principi
Fasi canoniche
Best practices
Diritto
Diritto penale
Diritto civile
Efficacia
Albi
Contatti
Davide Gabrini
Forensic Jedi
Mezzi di prova
Atto pubblico
Scrittura privata
Riproduzioni meccaniche (art. 2712 c.c.)
Sono comprese quelle informatiche
Codice dell'Amministrazione digitale (D.Lgs. 82/2005)
Il documento informatico è valido agli
effetti di legge e liberamente valutabile
in giudizio
Computer Forensics
Introduzione alla
Computer Forensics
Pavia, 16-06-2010
Chi sono
Introduzione
Principi
Fasi canoniche
Best practices
Diritto
Diritto penale
Diritto civile
Efficacia
Albi
Contatti
Davide Gabrini
Forensic Jedi
Il Consulente tecnico (estratti)
Art. 61 (Consulente tecnico)
Il giudice può farsi assistere da uno o più consulenti di particolare
competenza tecnica. La scelta dei consulenti tecnici deve essere
normalmente fatta tra le persone iscritte in albi speciali.
Art. 62 (Attivita' del consulente)
Il consulente compie le indagini che gli sono commesse dal giudice e
fornisce, in udienza e in camera di consiglio, i chiarimenti che il giudice
gli richiede.
Art. 63 (Obbligo di assumere l'incarico)
Il consulente scelto tra gli iscritti in un albo ha l'obbligo di prestare il suo
ufficio, tranne che il giudice riconosca che ricorre un giusto motivo di
astensione.
Art. 64 (Responsabilita' del consulente)
Si applicano al consulente tecnico le disposizioni del codice penale
relative ai periti. In ogni caso, il consulente tecnico che incorre in colpa
grave nell'esecuzione degli atti che gli sono richiesti, è punito con l'arresto
fino a un anno o con l'ammenda fino a €10.329. Si applica la sospensione
dell'esercizio della professione e in ogni caso è dovuto il risarcimento dei
danni causati alle parti.
Computer Forensics
Introduzione alla
Computer Forensics
Pavia, 16-06-2010
Chi sono
Introduzione
Principi
Fasi canoniche
Best practices
Diritto
Diritto penale
Diritto civile
Efficacia
Albi
Contatti
Davide Gabrini
Forensic Jedi
Il Consulente tecnico (estratti)
Art. 192 (Astensione e ricusazione del consulente)
Il consulente che non ritiene di accettare l'incarico deve farne
istanza al giudice che l'ha nominato almeno tre giorni prima
dell'udienza di comparizione; nello stesso termine le parti
debbono proporre le loro istanze di ricusazione.
Art. 193 (Giuramento del consulente)
All'udienza di comparizione il giudice ricorda al consulente le
funzioni che è chiamato ad adempiere e ne riceve il
giuramento.
Art. 194 (Attività del consulente)
Il consulente tecnico assiste alle udienze alle quali è invitato
dal giudice; compie le indagini affidategli da solo o insieme al
giudice. Può essere autorizzato a domandare chiarimenti alle
parti, ad assumere informazioni da terzi e a eseguire rilievi.
Le parti possono intervenire anche a mezzo dei propri
consulenti tecnici, e possono presentare al consulente
osservazioni e istanze.
Computer Forensics
Introduzione alla
Computer Forensics
Pavia, 16-06-2010
Chi sono
Introduzione
Principi
Fasi canoniche
Best practices
Diritto
Diritto penale
Diritto civile
Efficacia
Albi
Contatti
Davide Gabrini
Forensic Jedi
Il Consulente tecnico (estratti)
Art. 195 (Processo verbale e relazione)
Delle indagini del consulente si forma processo verbale,
quando sono compiute con l'intervento del giudice istruttore,
ma questi può anche disporre che il consulente rediga
relazione scritta. Se le indagini sono compiute senza
l'intervento del giudice, il consulente deve farne relazione,
nella quale inserisce anche le osservazioni e le istanze delle
parti. La relazione deve essere depositata in cancelleria nel
termine che il giudice fissa.
Art. 201 (Consulente tecnico di parte)
Il giudice assegna alle parti un termine entro il quale possono
nominare un loro consulente tecnico. Il consulente della parte,
oltre ad assistere alle operazioni del consulente del giudice,
partecipa all'udienza e alla camera di consiglio ogni volta che
vi interviene il consulente del giudice.
Computer Forensics
Introduzione alla
Computer Forensics
Pavia, 16-06-2010
Chi sono
Introduzione
Principi
Fasi canoniche
Best practices
Diritto
Diritto penale
Diritto civile
Efficacia
Albi
Contatti
Davide Gabrini
Forensic Jedi
Idoneità
processuale
Computer Forensics
Introduzione alla
Computer Forensics
Pavia, 16-06-2010
Chi sono
Introduzione
Principi
Fasi canoniche
Best practices
Diritto
Diritto penale
Diritto civile
Efficacia
Albi
Contatti
Davide Gabrini
Forensic Jedi
Idoneità della Computer Forensics
Per essere ammessa nel processo civile o penale,
la prova deve essere idonea a dimostrare i fatti a
cui si riferisce.
Nel processo civile, è onere della parte raccogliere
e conservare le prove in maniera tale che non
rischino di essere considerate inidonee.
Se il metodo di raccolta è opinabile e la
conservazione incerta, la prova può perdere
facilmente di attendibilità.
Più i procedimenti sono rigorosi e documentati,
più è probabile che il giudice ne riconosca l'idoneità
(per questa valutazione il giudice può avvalersi di
consulenti tecnici).
Computer Forensics
Introduzione alla
Computer Forensics
Pavia, 16-06-2010
Chi sono
Introduzione
Principi
Fasi canoniche
Best practices
Diritto
Diritto penale
Diritto civile
Efficacia
Albi
Contatti
Davide Gabrini
Forensic Jedi
Idoneità della Computer Forensics
Nel procedimento penale è il giudice che deve
verificare la validità scientifica dei metodi d'indagine
per stabilirne l'affidabilità:
"Nel valutare i risultati di una perizia, il giudice deve verificare
la stessa validità scientifica dei criteri e dei metodi di indagine
utilizzati dal perito, allorché essi si presentino come nuovi e
sperimentali e perciò non sottoposti al vaglio di una pluralità di
casi ed al confronto critico tra gli esperti del settore, sì da non
potersi considerare ancora acquisiti al patrimonio della
comunità scientifica. Quando, invece, la perizia si fonda su
cognizioni di comune dominio degli esperti e su tecniche di
indagine ormai consolidate, il giudice deve verificare
unicamente la corretta applicazione delle suddette cognizioni e
tecniche. "
Cass. Pen. Sez. V, 9 luglio 1993, Arch. nuova proc.pen.
1994, 226; Giust. pen. 1994, III, 42.
Computer Forensics
Introduzione alla
Computer Forensics
Pavia, 16-06-2010
Chi sono
Introduzione
Principi
Fasi canoniche
Best practices
Diritto
Diritto penale
Diritto civile
Efficacia
Albi
Contatti
Davide Gabrini
Forensic Jedi
Sentenza 1823/05 del Tribunale di Bologna
La difesa mise in discussione la correttezza del metodo utilizzato dalla p.g. per
estrarre i programmi dal computer.
Nella sentenza di legge:
"Il tema […] appare nella fattispecie in esame di secondo rilievo."
"non è compito di questo Tribunale determinare un protocollo relativo alle
procedure informatiche forensi, ma semmai verificare se il metodo utilizzato
dalla p.g. nel caso in esame abbia concretamente alterato alcuni dei dati
ricercati."
"non è permesso al Tribunale escludere a priori i risultati di una tecnica
informatica utilizzata a fini forensi solo perché alcune fonti ritengono ve ne
siano di più scientificamente corrette, in assenza della allegazione di fatti che
suggeriscano che si possa essere astrattamente verificata nel caso concreto
una qualsiasi forma di alterazione dei dati"
"quando anche il metodo utilizzato dalla p.g. non dovesse ritenersi conforme
alla migliore pratica scientifica, in difetto di prova di una alterazione concreta,
conduce a risultati che sono, per il principio di cui all’art. 192 c.p.p.,
liberamente valutabili dal giudice alla luce del contesto probatorio complessivo
(fermo restando che maggiore è la scientificità del metodo scelto, minori
saranno i riscontri che il giudice è chiamato a considerare per ritenere
attendibili gli esiti delle operazioni tecniche).
Computer Forensics
Introduzione alla
Computer Forensics
Pavia, 16-06-2010
Chi sono
Introduzione
Principi
Fasi canoniche
Best practices
Diritto
Diritto penale
Diritto civile
Efficacia
Albi
Contatti
Davide Gabrini
Forensic Jedi
[...]le indagini non proseguirono con sufficiente approfondimento
poiché ci si limitò ad interpellare la ditta senza alcuna formale
acquisizione di dati e senza alcuna verifica circa le
modalità della conservazione degli stessi allo scopo di
assicurarne la genuinità e l'attendibilità nel tempo.
[…][l'U.P.G.] ha poi aggiunto di non essere andato sul posto e di
non essere in grado di riferire circa le "operazioni tecniche che
sono state compiute da Technorail per estrarre questi dati".
Se a ciò aggiungiamo che questi dati provenivano dalla stessa
persona offesa e che trattasi di dati tecnici di particolare
delicatezza e manipolabilità ci pare che il dato acquisito sia
minimo e del tutto insufficiente a fondare qualsivoglia
affermazione di responsabilità al di là del ragionevole dubbio
con la conseguenza che il prevenuto deve essere mandato
assolto con la già annunciata formula.
Sentenza 175/2006 del Tribunale di Chieti
Computer Forensics
Introduzione alla
Computer Forensics
Pavia, 16-06-2010
Chi sono
Introduzione
Principi
Fasi canoniche
Best practices
Diritto
Diritto penale
Diritto civile
Efficacia
Albi
Contatti
Davide Gabrini
Forensic Jedi
Esperibilità della procedura di hashing
nel caso in esame il file oggetto del sequestro è stato
masterizzato in quattro copie identiche, su altrettanti Cd-rom
non riscrivibili, uno dei quali lasciato a disposizione
dell'ausiliario di p.g. […] che ha sottoscritto tutti i Cd-rom in
questione, e quindi adottando misure tecniche in astratto
idonee ad assicurare la conservazione e
l'immodificabilità dei dati acquisiti.
Ogni altra valutazione di ordine tecnico circa la necessità di
effettuare l'hashing per poter eventualmente verificare se la
copia del file nel Cd masterizzato sia uguale all'originale […] è
estranea al giudizio di legittimità, sia perché attiene
essenzialmente alle modalità esecutive del sequestro sia perché
comunque la normativa richiamata dal ricorrente non individua
specificamente le misure tecniche da adottare, limitandosi a
richiamare le esigenze da salvaguardare […]
CASS. PEN. II sent. 11135/08
Computer Forensics
Introduzione alla
Computer Forensics
Pavia, 16-06-2010
Chi sono
Introduzione
Principi
Fasi canoniche
Best practices
Diritto
Diritto penale
Diritto civile
Efficacia
Albi
Contatti
Davide Gabrini
Forensic Jedi
How to make
much money with
computer forensics
Computer Forensics
Introduzione alla
Computer Forensics
Pavia, 16-06-2010
Chi sono
Introduzione
Principi
Fasi canoniche
Best practices
Diritto
Diritto penale
Diritto civile
Efficacia
Albi
Contatti
Davide Gabrini
Forensic Jedi
Albi dei consulenti e dei periti
Presso ogni Tribunale è istituito un albo dei Consulenti
Tecnici del giudice (per il processo civile), ed un albo dei
Periti (per il processo penale).
L'albo è tenuto dal Presidente del Tribunale e tutte le
decisioni relative all'ammissione all'albo sono prese da un
comitato da lui presieduto, composto dal Procuratore della
Repubblica e dal Presidente dell'Albo o Collegio professionale,
cui appartiene il professionista che ha richiesto l'iscrizione.
Le categorie comprese in questi albi sono:
per il settore civile: medico-chirurgica, industriale, commerciale,
agricola, bancaria, assicurativa;
per il settore penale: medico legale, psichiatrica, contabile,
ingegneria e relativa specialità, infortunistica del traffico e della
circolazione stradale, balistica, chimica, analisi e comparazione della
grafia.
Computer Forensics
Introduzione alla
Computer Forensics
Pavia, 16-06-2010
Chi sono
Introduzione
Principi
Fasi canoniche
Best practices
Diritto
Diritto penale
Diritto civile
Efficacia
Albi
Contatti
Davide Gabrini
Forensic Jedi
Albi dei consulenti e dei periti
Art. 67 comma 3 Att.cpp
Quando il giudice nomina come perito
un esperto non iscritto negli Albi
designa, se possibile, una persona che
svolge la propria attività professionale
presso un ente pubblico.
Art.73 comma 1
Il pubblico ministero nomina il
consulente tecnico scegliendo di regola
una persona iscritta negli Albi dei periti
Computer Forensics
Introduzione alla
Computer Forensics
Pavia, 16-06-2010
Chi sono
Introduzione
Principi
Fasi canoniche
Best practices
Diritto
Diritto penale
Diritto civile
Efficacia
Albi
Contatti
Davide Gabrini
Forensic Jedi
Teniamoci in contatto…
Davide Rebus Gabrini
e-mail:
GPG Public Key: (available on keyserver.linux.it)
www.tipiloschi.net/rebus.asc
www.tipiloschi.net/davidegabrini.asc
KeyID: 0x176560F7
Instant Messaging:
ICQ 115159498
Yahoo! therebus
Skype therebus
Queste e altre cazzate su http://www.tipiloschi.net