Upload
andrea-rossetti
View
8.176
Download
3
Embed Size (px)
Citation preview
Cenni introdu+vi di Digital Forensics: aspe+ tecnici e profili processuali
Giuseppe Vaciago
Università degli Studi di Milano
15 maggio 2012
① Introduzione q Definizione di digital forensics q Origini della digital Forensics q Definizione di digital evidence q Classificazioni della digital evidence
② Casistica q Il caso “Amero” q Il caso “Garlasco”
③ Le cinque fasi della digital forensics q Individuazione della digital evidence q Acquisizione della digital evidence q Conservazione della digital evidence q Analisi della digital evidence q Presentazione della digital evidence
④ Le indagini digitali e la crittografia q La crittografia q Il caso “Boucher” q Key mandatory disclosure laws q L’intervento della Corte Costituzionale tedesca
⑤ Conclusioni
Agenda
Cosa è la digital forensics ?
Come Sherlock Holmes nel XIX secolo si serviva costantemente dei suoi apparecchi per l’analisi chimica, oggi nel XXI secolo egli non mancherebbe di effe=uare un’accurata analisi di computer, di telefoni cellulari e di ogni ?po di apparecchiatura digitale (Ralph Losey). Scopo della digital forensics è quello di conservare, iden?ficare, acquisire, documentare o interpretare i da? presen? in un computer. A livello generale si tra=a di individuare le modalità migliori per: -‐ acquisire le prove senza alterare il sistema informa?co in cui si trovano; -‐ garan?re che le prove acquisite su altro supporto siano iden?che a quelle originarie; -‐ analizzare i da? senza alterarli (Cesare Maioli)
Cosa è la digital evidence?
Digital evidence è una qualsiasi informazione, con valore probatorio, che sia o meno memorizzata o trasmessa in un formato digitale. Definizione dello Scien?fic Working Group on Digital Evidence (SWGDE).
Si possono avere tre diverse ?pologie di prova digitale: Creata dall’uomo: ogni dato digitale che figuri come il risultato di un intervento o di un’azione umana e può essere di due ?pi: a) Human to human (mail) b) Human to PC (documento word)
Le classificazioni della digital evidence
Creata autonomamente dal computer: ogni dato che figuri come il risultato di un processo su dei da? effeMuato da un soNware secondo un preciso algoritmo e senza l’intervento umano (tabula? telefonici, file di log di un Internet Service Provider)
Le classificazioni della digital evidence
Creata sia dall’essere umano che dal computer: foglio di calcolo eleMronico dove i da? vengono inseri? dall’essere umano, mentre il risultato viene effeMuato dal computer
Le classificazioni della digital evidence
Una prima caraMeris?ca è data dalla complessità della digital evidence. Il caso Amero ne è una dimostrazione.
Le complessità della digital evidence (Caso Julie Amero)
Julie Amero è una supplente della Kelly School di Norwich del Connec?cut che venne condannata per aver mostrato a ragazzi minori di 16 anni immagini pornografiche.
Lezione di Julie Amero. Immagini “inadaMe”
appaiono come pop-‐up dal PC dell’insegnante
La Polizia visiona il contenuto dell’hard
disk,ma non ne esegue una copia bit-‐stream
La Corte condanna Julie Amero per il reato di offesa alla morale a
minorenni
Julie Amero oMenne un nuovo processo in cui venne condannata alla pena di 100 dollari
26/10/04 05/01/07 10/11/08 19/10/04
Il docente ?tolare si reca in aula e nota che la cache file con?ene file pornografici e
avvisa il preside
20/10/04
La difesa chiede un nuovo processo in quanto la prova non era stata
acquisita correMamente e il computer era infeMo (mousetrapping)
01/06/08
Il caso “Amero”: la scansione temporale
Un’ulteriore, ma fondamentale elemento della digital evidence è l’alterabilità e la capacità di contenere un innumerevole numero di informazioni. Il caso di “Garlasco” ne è un chiaro esempio.
Alberto Stasi è stato assolto in primo grado dall’accusa di omicidio volontario della fidanzata Chiara Poggi e nel dicembre del 2011 la sentenza è stata confermata in appello.
L’alibi informaTco (Caso Garlasco)
Chiara Poggi muore il 13 agosto 2007 tra le ore 10.30 e le ore 12.
Stasi consegna volontariamente il suo
PC ai Carabinieri
Carabinieri dopo aver lavorato sul PC lo consegnano ai RIS
Il Giudice Vitelli di Vigevano assolve Stasi dall’accusa di omicidio
14/08/07 29/08/07 17/12/09 13/08/07
-‐ Stasi si sveglia alle 9 -‐ Telefona a Chiara Poggi -‐ Lavora alla tesi -‐ Va a casa sua verso alle 13.30
13/08/07
Dalla perizia richiesta dal Giudice emerge che Stasi ha lavorato alla tesi durante l’arco temporale in cui è stata uccisa Chiara Poggi
17/03/09
Il caso di “Garlasco”: l’”alibi informaTco”
Le cinque fasi delle indagini digitali
Il fine ul?mo di ogni inves?gazione digitale consiste nel recupero di tue i da? che possano cos?tuire una prova u?lizzabile durante il processo. Per raggiungere tale fine è necessario:
1. individuare il supporto informaTco che con?ene il dato digitale u?le all’indagine, al fine di iden?ficare il potenziale criminale;
2. acquisire tale dato aMraverso l’interceMazione nel caso di flussi di comunicazioni in Rete, ovvero aMraverso il sequestro e la duplicazione del supporto di memorizzazione su cui è archiviato il dato;
3. conservare in un luogo idoneo tue i da? digitali acquisi? e duplica?;
4. effeYuare, esclusivamente sulla copia del supporto informa?co, le opportune analisi che consentano di recuperare le informazioni u?li al Pubblico Ministero e all’avvocato durante la fase delle indagini preliminari, e al Giudice durante la fase dibaementale;
5. presentare i risultaT dell’indagine durante la fase diba+mentale o nella relazione tecnica.
I. Individuazione della digital evidence: indirizzo IP e file di log
I da? digitali che sono di norma richies? in ambito inves?ga?vo, possono generalmente dividersi fra quelli che consentono l’iden?ficazione di un potenziale criminale (Indirizzo IP) e quelli che ne determinano la sua aevità on line (file di log).
L’indirizzo IP si oeene generalmente aMraverso una richiesta da parte dell’Autorità Giudiziaria, agli internet service providers che offrono servizi di posta eleMronica e/o ospitano contenu? genera? dagli uten?. Una volta oMenuto tale dato, sarà possibile oMenere, dai fornitori di conne+vità, l’esaMa ubicazione dell’intestatario della faMura da cui è avvenuta la connessione. I file di log, invece, saranno richies? agli Internet Service Provider in base al ?po di esigenza inves?ga?va.
In Italia, tale richiesta è solitamente effeMuata soMo la forma di “ordine di esibizione di documenT e a+ rilevanT” ai sensi degli art. 256 c.p.p. e art. 132, comma 1 e 3, D.lgs 196/03.
I. Individuazione della digital evidence: ispezione
Art. 244 c.p.p.: Casi e forme delle ispezioni
1. L’ispezione delle persone, dei luoghi e delle cose è disposta con decreto moTvato quando occorre accertare le tracce e gli altri effe+ materiali del reato.
2. Se il reato non ha lasciato tracce o effe+ materiali, o se ques? sono scomparsi o sono sta? cancella? o dispersi, altera? o rimossi, l’autorità descrive lo stato aYuale e, in quanto possibile, verifica quello preesistente, curando anche di individuare modo, tempo e cause delle eventuali modificazioni. L’autorità giudiziaria può disporre rilievi segnale?ci, descrievi e fotografici e ogni altra operazione tecnica.
La legge 48/2008 di ra?fica della convenzione “Cybercrime” ha modificato l’ar?colo 244 c.p.p. sancendo che: “è disposta l’ispezione, anche in relazione a sistemi informa?ci o telema?ci, adoMando misure tecniche direMe ad assicurare la conservazione dei da? originali e ad impedirne l’alterazione”.
I. Individuazione della digital evidence: ispezione -‐ caraYerisTche
Il PC non viene sequestrato
Mancanza della genuinità della prova
IrripeTbilità
UTle nel caso di reaT facilmente idenTficabili
La Suprema Corte ha ritenuto che non cosTtuisce sequestro probatorio l’acquisizione, mediante riproduzione su supporto cartaceo, dei da? informa?zza? contenu? in un archivio informa?co visionato nel corso di un’ispezione legiemamente effeMuata, in quanto non vi è alcuna apprensione dell’archivio informa?co, ma una semplice estrazione di copia dei da? in esso contenu? (Cass. Pen., Sez. III, 26 gennaio 2000, n. 384).
I. Individuazione della digital evidence: perquisizione
La perquisizione ha lo scopo di ricercare il corpo del reato o le cose che ad esso si riferiscono, qualora si ritengano, con “fonda? mo?vi”, nascoste sulla persona o in un determinato luogo.
Nel procedere alla perquisizione locale, l’autorità giudiziaria può disporre con decreto moTvato, ai sensi dell’ar?colo 250, comma III° c.p.p., che siano perquisite le persone presen? o sopraggiunte, quando ri?ene che le stesse possano occultare il corpo del reato o cose per?nen? al reato.
La legge 48/2008 di ra?fica della convenzione “Cybercrime” ha modificato l’ar?colo 247 c.p.p. sancendo che disposta la perquisizione, adoMando misure tecniche direMe ad assicurare la conservazione dei da? originali e ad impedirne l’alterazione.
I. Individuazione della digital evidence: accertamenT urgenT ex 354 c.p.p.
Qualora vi sia il concreto rischio che le cose, le tracce e i luoghi per?nen? al reato si alterino e il Pubblico Ministero non possa intervenire tempes?vamente, o non abbia ancora assunto la direzione delle indagini, gli ufficiali di Polizia Giudiziaria compiono ai sensi dell’art. 354 c.p.p. i necessari accertamenT sullo stato dei luoghi e delle cose e, se del caso, sequestrano il corpo del reato e le cose a questo per?nen?.
La legge 48/08, stabilisce che “in relazione ai da?, alle informazioni e ai programmi informa?ci o ai sistemi informa?ci o telema?ci, gli ufficiali della polizia giudiziaria adoMano, altresì, le misure tecniche o impar?scono le prescrizioni necessarie ad assicurarne la conservazione e ad impedirne l’alterazione e l’accesso e provvedono, ove possibile, alla loro immediata duplicazione su adegua? suppor?, mediante una procedura che assicuri la conformità della copia all’originale e la sua immodificabilità”.
Cassazione Penale, 16 marzo 2009, n. 11503
La leYura dell'hard disk non integra affaYo aYo irripeTbile, perché la leMura di esso ha consen?to di ipo?zzare l'esistenza del reato a carico del ricorrente, perché quest'ul?mo è del tuMo estraneo ai dirie difensivi di altre par? del processo, perché, l'aevità svolta al riguardo dalla P.G. rientra tra quelle svolte dalla stessa ai sensi dell'art. 348 c.p.p. e art. 354 c.p.p., comma 2 e perché, infine, possibile nel prosieguo del processo ogni a+vità difensiva dello S.V. il quale, se del caso, potrà far valere, quando sarà e se sarà eventualmente accertata l'alterazione del disco informaTco, alterazione allo stato soltanto affermata dalla difesa del ricorrente, peraltro persona diversa dal proprietario del computer, e, si ribadisce, per nulla accertata.
I. Individuazione della digital evidence: accertamenT urgenT ex 354 c.p.p.
II. Acquisizione della digital evidence: sequestro
Il codice di procedura penale prevede tre forme di sequestro
Probatorio PrevenTvo ConservaTvo
Assicura l’adempimento delle obbligazioni rela?ve alle pene p e c u n i a r i e , a l l e s p e s e processuali ed alle obbligazioni civili derivan? dal reato (art. 316 c.p.p.)
Assicura le prove necessarie per l’accertamento del reato assumendo nell’ambito della f a se i n ve s?ga?va una notevole importanza (art. 253 c.p.p.)
Si applica quando vi è pericolo che la libera disponibilità di una cosa per?nente al reato possa aggravare o protrarre le conseguenze del reato, o agevolare la commissione di altri rea? (art. 321 c.p.p.)
II. Acquisizione della digital evidence: sequestro – materialità
CaraMeris?ca comune sia del corpo del reato che delle cose per?nen? ad esso, è la materialità dell’oggeYo da porre soYo vincolo d’indisponibilità. La prova digitale, tuMavia, è connotata dall’immaterialità e dalla facile alterabilità. La giurisprudenza, non soffermandosi neppure sulla vexata quaes?o dell’immaterialità del dato informa?co, si è posta la ques?one della legiemità del sequestro dell’hard disk quale unico elemento u?le da acquisire durante la fase di indagini o di tuYe le periferiche ad esso collegate (monitor, stampante tappe?ni, mouse, webcam, cuffie etc..). L’art. 19 della Convenzione sul Cybercrime chiarisce espressamente che il sequestro di strumen? informa?ci può riguardare indis?ntamente sia l’hardware (sistema informa?co, o supporto di memorizzazione) sia daT digitali in esso contenu? e presen? all’interno del territorio nazionale.
II. Acquisizione della digital evidence: sequestro o copia bit-‐stream?
3 ragioni a favore del sequestro fisico dell’hard disk: 1. Molto spesso, si procede al sequestro di materiale informa?co nell’ambito di indagini legate al contrasto della pirateria informa?ca (legge 633/41 e successive modifiche) o della pedo-‐ponografia (arM. 603-‐ter e quater c.p.): in entrambi i casi è prevista, in caso di condanna, la confisca degli strumen? e dei materiali u?lizza? per compiere i rela?vi rea? (art. 171-‐sexies legge 633/31 e art. 600-‐sep?es c.p.). 2. L’indagato, ai sensi dell’ar?colo 258 c.p.p., ha diriMo di chiedere all’Autorità Giudiziaria che sia estraMa gratuitamente la copia dei da? contenu? all’interno dell’hard disk, a condizione che sia in grado di dimostrare la legiemità del possesso del supporto. 3. La terza, già menzionata, è che un procedimento di copia forense di un hard disk può avere una durata incompa?bile con l’esecuzione, in tempi ragionevoli, del mezzo di ricerca della prova .
L’ar?colo 254-‐bis c.p.p., prevede nel caso di sequestro di daT informaTci presso fornitori di servizi informaTci, telemaTci e di telecomunicazioni, l’autorità giudiziaria, quando dispone il sequestro, presso i fornitori di servizi informa?ci, può disporre che la loro acquisizione avvenga mediante copia di essi su adeguato supporto, con una procedura che assicuri la conformità dei daT acquisiT a quelli originali e la loro immodificabilità. In questo caso è, comunque, ordinato al fornitore dei servizi di conservare e proteggere adeguatamente i da? originali.
II. Acquisizione della digital evidence: sequestro presso provider
L’ar?colo 254 c.p.p., prevede che le carte e gli altri documen? sequestra? che non rientrano fra la corrispondenza sequestrabile sono immediatamente resTtuiT all’avente diriYo e non possono comunque essere u?lizza?.
La legge 48/2008 ha assimilato la corrispondenza cartacea a quella telema?ca consentendo all’autorità giudiziaria di disporre il sequestro presso il server che ospita la corrispondenza eleYronica dell’indagato ordinando una copia del contenuto presente all’interno del server.
II. Acquisizione della digital evidence: sequestro di corrispondenza
Tribunale di Brescia, 4 oYobre 2006
Il sequestro di un intero hard-‐disk consente certamente l’acquisizione di elemen? probatori, ma implica anche l’acquisizione di daT che esulano dal contesto per il quale l’aYo e disposto, sicché, come è immediatamente percepibile, tale genere di sequestro esige un ambito di correMa e ristreMa opera?vità per evitare connotazioni di spropositata affli+vità e di lesione di beni cosTtuzionalmente prote+. SoMo questo profilo merita par?colare segnalazione la compressione della libertà e segretezza della corrispondenza conservata nel disco fisso, con conoscenza dei messaggi tue trasmessi e ricevu?, compresi quelli des?na? a soggee del tuMo estranei alle indagini.
Tale decisione è stata confermata dalla Corte di Cassazione (Cass. pen., sez. VI, 31 maggio 2007, n. 40380).
II. Acquisizione della digital evidence: sequestro di corrispondenza
La Convenzione sul Cybercrime ha deMato alcune norme che potrebbero permeMere un’aevità inves?ga?va da remoto:
L’art. 18 (ProducTon order) ha introdoMo la possibilità per l’Autorità Giudiziaria di ordinare a qualunque soggeMo di fornire i da? digitali presen? all’interno di un sistema informa?co in suo possesso o soMo il suo controllo.
L’art. 19 (Search and seizure of stored computer data) stabilisce che la Polizia Giudiziaria è autorizzata ad estendere la ricerca su da? che risiedono all’interno di un altro server, salvo che non si trovi al di fuori del territorio nazionale.
L’art. 20 (Real-‐Tme collecTon of traffic data), infine, prevede la possibilità di raccogliere in tempo reale i traffic data, che servono a monitorare in tempo reale l’aevità dell’indagato in Rete.
II. Acquisizione della digital evidence: remote forensics
Cassazione Penale, Sez. V, 14 oYobre 2009, n. 16556
La giurisprudenza di legiemità ha ritenuto legiemo un decreto del Pubblico Ministero che, ai sensi dell’art. 234 c.p.p., disponeva l’acquisizione in copia aMraverso l’installazione di un captatore informa?co, della documentazione informa?ca memorizzata nel personal computer in uso all’imputato e installato presso un ufficio pubblico.
La Suprema Corte ha, infae, evidenziato come il provvedimento del Pubblico Ministero non avesse riguardato un flusso di comunicazioni, ma la semplice estrapolazione di daT già formaT e contenuT nella memoria del “personal computer”, ossia “un flusso unidirezionale di daT” confinaT all’interno dei circuiT del computer.
II. Acquisizione della digital evidence: remote forensics
III. Conservazione della digital evidence: custodia e apposizione sigilli
Art. 259 c.p.p.: “Custodia delle cose sequestrate” Quando la custodia riguarda da?, informazioni o programmi informa?ci, il custode è altresì avver?to dell’obbligo di impedirne l’alterazione o l’accesso da parte di terzi.
Art. 260 c.p.p. “Apposizione dei sigilli alle cose sequestrate” L'autorità giudiziaria fa estrarre copia dei documen? […] Quando si traMa di da?, di informazioni o di programmi informa?ci, la copia deve essere realizzata su adegua? suppor?, mediante procedura che assicuri la conformità della copia all’originale e la sua immodificabilità; in tali casi, la custodia degli originali può essere disposta anche in luoghi diversi dalla cancelleria o dalla segreteria.
Domesday Book (1086): Inchiostro su pergamena: leggibile dopo oltre 900 anni. Domesday Book 2 (1983): LaserDisc: illeggibile dopo 15 anni.
III. Conservazione della digital evidence: custodia e apposizione sigilli
Se il bit è eterno, il suo supporto non lo è affaMo. I suppor? digitali durano meno di quelli analogici e i disposi?vi per leggere i suppor? durano ancora meno.
IV. Analisi della digital evidence
L’autorità giudiziaria, dopo aver acquisito la prova informa?ca aMraverso la copia del supporto di memorizzazione durante l’ispezione ed il sequestro probatorio durante la perquisizione, dovrà procedere all’analisi dei daT in essa contenuT
AccertamenT tecnici (arM. 359 e 360 c.p.p.)
Incidente probatorio (arM. 392 e ss. c.p.p.)
Perizia (arM. 220 e ss. c.p.p.).
l o s t u d i o e l a r e l a ? v a elaborazione criTca dei daT, necessariamente soggeevi e per lo più su base tecnico scien?fica. Possono riguardare ae ripeTbili e non ripeTbili
Offre la possibilità alle par? di chiedere un’assunzione anTcipata della prova, in modo tale da poterla poi u ? l i z z a r e n e l f u t u r o dibaemento
Viene disposta quando occorre svolgere indagini o acquisire daT e valutazioni che richiedono specifiche competenze tecn i che , scien?fiche o ar?s?che
IV. Analisi della digital evidence – a9o ripe;bile o irripe;bile?
ATTO RIPETIBILE Cass. Pen. Sez. I, 5 marzo 2009, n. 14511; conformi Cass. Pen. Sez. I, 26 febbraio 2009, n. 11863 Cass. Pen. Sez. III, 02 luglio 2009, n. 38087; Cass. Pen. Sez. III, 25
febbraio 2009, n. 11503
FaYo: La Polizia Giudiziaria preleva (copia), ai sensi dell’art. 258 c.p.p. alcuni file dall’hard disk dell’indagato senza il rispeMo di alcuna procedura di digital forensics. La Corte ha affermato il principio secondo cui “è da escludere che l’aSvità di estrazione di copia di file da un computer cos?tuisca un a=o irripe?bile [...], a=eso che non comporta alcuna aSvità di cara=ere valuta?vo su base tecnico-‐scien?fica né determina alcuna alterazione dello stato delle cose, tale da recare pregiudizio alla genuinità del contributo conosci?vo nella prospeSva dibaSmentale, essendo sempre comunque assicurata la riproducibilità di informazioni iden?che a quelle contenute nell’originale”.
ATTO IRRIPETIBILE Cass. Pen. Sez. III, 09 giugno 2009, n. 28524
FaYo: L’avvocato della difesa aveva richiesto di poter effeMuare una copia bit-‐stream dell’hard disk ai sensi dell’art. 258 c.p.p. e non gli era stata concessa.
“L’esame dell’hard disk di un computer in sequestro e la conseguente estrazione di copia dei da? ivi contenu? non sono aSvità che le par? possono compiere durante il termine per comparire all’udienza dibaSmentale senza contraddi=orio e alla sola presenza del custode, in quanto implicano accertamen? ed interven? di persone qualificate e l’u?lizzo di apposi? strumen?, sì che devono essere necessariamente svol? in dibaSmento, nel contraddi=orio e so=o la direzione del giudice”.
V. Presentazione della digital evidence
Questa fase, infae, sebbene sia spesso la più noiosa per un informa?co, è di fondamentale importanza per Pubblici Ministeri, Giudici e avvoca?, in quanto l’esito del processo dipenderà non solo dai risulta? raggiun?, ma anche dal grado di chiarezza e di comprensione del documento (annotazione di PG, verbale di ispezione o relazione tecnica).
5 Consigli operaTvi 1. Presenza di un indice 2. Presenza di glossario e di note di riferimento in caso di termini tecnici 3. Timeline table e diagrammi di flusso 4. Slides di presentazione con foto 5. Eventuale videoregistrazione delle operazioni compiute
TuMo questo nel pieno rispeMo delle esigenze di tempo e delle risorse a disposizione…
V. Presentazione della digital evidence: “Murtha Case”
La cultura audiovisiva sta cambiando il mondo e la gius?zia. È difficile dire se questo sia un bene, ma è sicuramente un dato di faMo. S?amo assistendo, aMraverso il computer, a una mol?plicazione del conceMo d’immagine: abbiamo video e foto digitali, scene del crimine elaborate digitalmente, animazioni al computer, presentazioni mul?mediali, slides e molto di più.
Indagini digitali: criYografia
Un classico metodo per nascondere un file è quello di u?lizzare la criMografia:
La criMografia traMa delle "scriYure nascoste" (significato e?mologico della parola) ovvero dei metodi per rendere un messaggio "offuscato" in modo da non essere comprensibile a persone non autorizzate a leggerlo.
La parola criMografia deriva dalla parola greca kryptós che significa nascosto e dalla parola greca gráphein che significa scrivere.
La criMografia è la controparte della criManalisi ed assieme formano la criMologia.
Indagini digitali: criYografia
Decifrare un testo criYografato è semplice.
Il problema è: in questo tempo?
Ad esempio una chiave di cifratura a 20-‐bit consente fino a un milione di combinazioni possibili, per cui con un normalissimo computer porta?le che processa circa un milione di operazioni al secondo, il tempo di cifratura massimo sarà addiriMura inferiore al secondo.
TuMavia con un sistema di cifratura con una chiave a 56-‐bit lo stesso elaboratore potrebbe impiegare fino a 2285 anni per verificare tuMe le combinazioni possibili.
Per rendersi conto della complessità di tale operazione bas? considerare che la più diffusa versione del soNware di cifratura PGP (PreMy Good Privacy) al momento aMuale si basa su una chiave di 1024-‐bit .
Indagini digitali: True Crypt
Il notebook di Boucher contenente immagini pedo-‐pornografiche viene sequestrato
La Polizia visiona il contenuto dell’hard
disk,ma non ne esegue una copia bit-‐stream
Il Grand Jury del Vermont emeMe un
subpoena ordinando di rivelare la password
Il Giudice Sessions rivede la decisione di Niedermeier,
ma riconosce il 5° emendamento
26/10/04 12/01/07 19/02/09 17/12/06
Quando il computer viene riacceso la Polizia scopre
che una par?zione dell’hard disk era stato criMografata
29/12/06
Il Giudice distreMuale del Vermont Niedermeier annulla la decisione del Grand Jury sostenendo che era in violazione del 5° emendamento
01/06/08
Indagini digitali: Il caso “Boucher”: la scansione temporale
A livello internazionale alcuni Sta? hanno previsto delle specifiche disposizioni norma?ve che impongono di rivelare la chiave di cifratura alle forze di polizia. In Australia, le forze dell’ordine hanno il potere di chiuedere a chiunque la chiave di cifratura. In Belgio e in Francia invece è possibile ordinare solo a terzi (vedi fornitori di conneevità e Internet Service Providers) di rivelare la chiave di cifratura.
L’Italia non ha un norma?va in questo senso….forse perché non serve ?
Indagini digitali: “Mandatory Key Disclosure Laws”
Tali strumen? legisla?vi non funzionano. Perché?
Indagini digitali: “Mandatory Key Disclosure Laws”
1. Ragioni tecniche: un soggeMo esperto può sempre trovare un metodo per nascondere un file. 2. Possibile violazione della Convenzione Europea sui Diri+ dell’Uomo: Ar?olo 6 Ogni persona accusata di un reato è presunta innocente fino a quando la sua colpevolezza non sia stata legalmente accertata.
Indagini digitali: Keylogger
Un keylogger è, nel campo dell'informa?ca, uno strumento in grado di interceMare tuMo ciò che un utente digita sulla tas?era del proprio computer. Esistono vari ?pi di keylogger:
Hardware: vengono collega? al cavo di comunicazione tra la tas?era ed il computer o all'interno della tas?era.
SoNware: programmi che controllano e salvano la sequenza di tas? che viene digitata da un utente.
Una soluzione di natura tecnica esiste ?
Garanzie dell’indagato vs indagini digitali: Legge Nord Wessalia
q La Germania ha introdoMo il 20 dicembre 2006 un emendamento alla legge sulla protezione della Cos?tuzione nel Nord Reno-‐Wes}alia che consen?va l’accesso segreto a sistemi informa?ci e il monitoraggio segreto della Rete aMraverso sistemi keylogger installa? in forma di trojan horse.
q La Corte Cos?tuzionale tedesca il 27 febbraio 2008 ha dichiarato
incos?tuzionale tale emendamento sostenendo che violava il “diriYo alla riservatezza ed alla integrità dei sistemi informaTci”.
Garanzie dell’indagato vs Indagini digitali: Cass. Pen. 14 oYobre 2009
q La Corte di Cassazione ha ritenuto legiemo il decreto del Pubblico Ministero, che ai sensi dell’art. 234 c.p.p., ha consen?to l’acquisizione in copia aMraverso l’installazione di un captatore informa?co della documentazione informa?ca memorizzata nel personal computer in uso all’imputato e installato presso un ufficio pubblico ritenendo per di più ripe?bile tale aMo.
Privacy vs Security
Face RecogniTon Project Alessandro Acquis?
Date Check Intelius
Privacy vs Security
Face RecogniTon Project -‐ Alessandro Acquis?
CCTV – Fair Fax Media
Grazie per l’aMenzione
Giuseppe Vaciago
Mail: [email protected] Blog: h=p://infogiuridica.blogspot.it Linkedin: h=p://it.linkedin.com/in/vaciago