Embed Size (px)
Citation preview
22
antifurtotvcc ottobre 2009VIDEOFORENSICS
“Buon giorno, sono il Comandan-te della Polizia locale. Questanotte è accaduto un furto. Le te-lecamere ne hanno ripreso l’au-tore e forse si può riconoscere la
targa dell’auto. E’ possibile salvare il filmato suun CD? Si riescono anche a schiarire i fotogram-mi per leggere meglio la targa?”L’installatore si precipita dal cliente, armatodel manuale di istruzione e di software dicontrollo remoto – si fare prima a scaricareil video via rete… poi forse il masterizzatorenon funziona - e salva il filmato in Avi… co-sì è leggibile da tutti.Ha agito correttamente il Comandate a de-mandare all’installatore l’estrazione dei daticon una telefonata? L’operazione di acquisizione del reperto èstata effettuata correttamente? Cosa accadese, dopo qualche giorno, l’HD viene riscrit-to e rimane solo la copia effettuata dall’in-stallatore? E se questo, “smanettando conPaint o similari, ricostruisce un numero ditarga, ha agito correttamente? Sono utilizza-bili le prove così raccolte in un’aula di tri-bunale?
La Videoforensics prova a dare qualche ri-sposta a queste domande.La Videoforensics, in relazione alla quale inItalia non esiste alcuna normativa specifica,può essere considerata una branchia dellaDigital Forensics, la scienza che studia l'in-dividuazione, la conservazione, la protezio-ne, l'estrazione, la documentazione e ognialtra forma di trattamento del dato infor-matico per essere valutato in un processo giu-ridico e studia, ai fini probatori, le tecnichee gli strumenti per l'esame metodologico deisistemi informatici.Una Legge che riveste una grande impor-tanza al riguardo è la n.48/2008, che perquanto attiene alle questioni poste, discipli-na il trattamento delle prove informatiche.Nel nostro laboratorio di Videoforesics, perprimi in Italia (e non solo) abbiamo iniziatoa studiare la videosorveglianza, nell’ottica dipoterne conseguire delle prove utili ed uti-lizzabili nel dibattimento di un’aula di giu-stizia.Iniziamo a dire che il risultato della video-sorveglianza è un Dato Digitale – una se-quenza di numeri binari - all’interno della
Dati a prova di contestazione.
Arriva la videoforensics
Sta prendendo sempre più spazio la scienza che si occupa di tutte le forme ditrattamento dei bit informatici per essere valutati in un’aula di tribunale
Dott. Antonmarco CataniaDirettore Divisione di Videoforensics presso la GSG International
Perito per sicurezza presso la Cam.Com. Milano
quale è contenuta un’Informazione Digitaleattinente ad un’indagine – la foto di un viso,un filmato di un’auto,…E’ evidente la differenza tra Dato Digitale eInformazione Digitale, così come risulta evi-dente che ciò che bisogna preservare è quin-di il Dato Digitale mentre ciò che bisognastudiare è l’Informazione Digitale.Il legislatore impone la cura assoluta nel re-pertare la prova e nel conservarla assoluta-mente integra. Ma nel caso della videosorveglianza quale è
la prova che bisogna preservare? La stampadel viso incriminato, il cd su cui è stato sal-vato il filmato o l’hard disk?La prova, nel processo penale, proof, è il ri-sultato della conoscenza conseguita attraver-so gli accertamenti effettuati sul mezzo diprova, evidence.Quando si tratta di computer forensics, ilmezzo di prova, cioè l’evidence che contienele informazioni, connesse con l’indagine, èil dato digitale.Il reperto da acquisire è quindi il dato digi-tale, cioè la sequenza di uni e zeri che pos-sono contenere informazioni attinenti al-l’indagine – non l’HD in quanto tale.E’ chiaro che il dato digitale è un reperto im-materiale che sussiste in quanto sussiste ilmezzo che lo contiene. L'immaterialità del
33
antifurtotvcc ottobre 2009 VIDEOFORENSICS
Dott. Antonmarco CataniaDirettore Divisione di Videoforensics presso la GSG International Perito per sicurezza presso la Cam.Com. Milano
44
antifurtotvcc ottobre 2009VIDEOFORENSICS
dato informatico è stata riconosciuta dallostesso legislatore il quale, tra i computer cri-mes, non ha previsto il reato di furto, limi-tandosi alla mera duplicazione abusiva.Analogamente per quanto avviene per le im-pronte digitali, per cui, a seguito alla fase ir-ripetibile del rilievo, si arriva a generare unafoto sulla quale vengono poi svolti tutti i pos-sibili accertamenti, così, in relazione alla pro-va digitale, è indispensabile effettuare unacopia assolutamente genuina e secondo l’art.48 legge 18 marzo 2008, preservarla affinchésiano possibili successivi accertamenti ripeti-bili.Una prova digitale non genuina può costi-tuire una prova illegittimamente acquisita aisensi dell’art. 191 c.p.p. e quindi inutilizza-bile.Effettuare una copia genuina di un dato di-gitale al fine di farlo divenire un reperto sulquale poter fare accertamenti ripetibili cheportino ad acquisire conoscenza, che abbianesso con il caso in questione, significa ge-nerare una copia identica del dato digitale.L’identicità viene tipicamente garantita dafatto che applicando una determinata fun-zione al dato digitale, oggetto dell’indagine,quale potrebbe essere il contenuto di unhard disk, si ottenga uno ed un solo valore,
detto hash. Ad esempio, se utilizziamo comefunzione l’MD5, si ha che:hash = MD5(dato-digitale)Se si applica tale funzione al contenuto didue HD e si ottengono due risultati diversi,allora il dato digitale contenuto nel primoHD non corrisponde con quello contenutonel secondo HD.L'acquisizione del reperto è quindi l'attivitàvolta alla copia (clonazione o duplicazioneche dir si voglia) dei dati presenti sul sup-porto di memoria, o in transito su una rete. Rappresenta, forse, la fase più delicata per-ché se svolta da personale non dovutamenteformato può portare alla distruzione di datipotenzialmente rilevanti o all’invalidazionedel supporto e/o dei dati in esso contenuti. L’acquisizione è un atto irripetibile che de-ve essere svolto quindi seguendo proceduredi “best practices”, da personale competen-te, che fa uso di tools hardware e softwarespecifici. La fase di acquisizione del reperto deve ri-sultare assolutamente accurata, in modo dasalvaguardare l’integrità del reperto. Quando si acquisisce un dato informatico edin particolare quando si acquisiscono regi-strazioni video, un’attenzione particolare ènecessaria prestarla inoltre alla ricostruzione
della timeline, annotando la data e l’ora –compresa di secondi – del sistema, confron-tandola immediatamente con l’ora reale. Pochi secondi di differenza impressi sulle im-magini possono sostenere o meno un alibi!Meglio sarebbe poi, durante l’acquisizionedi un reperto, filmare tutte le operazioni.La Videoforensics si occupa anche di comericercare un evento all’interno di una regi-strazione di giorni o settimane. In questo ca-so, vengono in aiuto gli strumenti di videoa-nalitics, utilizzati, in questo caso, non per ge-nerare allarmi, bensì per ricercare “partico-lari comportamenti”.Una volta che si è in possesso di un filmatoattinente all’indagine, è necessario autenti-carlo, dare cioè una risposta al dubbio chequesto non sia stato modificato – o artata-mente generato – prima di essere acquisitocome reperto. Fino a quando la ricerca viene effettuata susistemi noti, dotati ad esempio di watermar-king, correttamente programmati, la rispostaè piuttosto semplice. In realtà, la maggio-ranza delle indagini è effettuata su sisteminon standard, manufatti in ogni parte delmondo! In questo caso la questione risulta essere de-cisamente più complessa e molto spesso ditratta di svolgere vere e proprie indaginiscientifiche.Disponendo allora del mezzo di prova, l’evi-dence, si vuole quindi disporre una vera epropria prova - proof - Chi è quell’uomo? Achi appartiene quell’auto che sembrerebbeavere quella targa?Il parametro di cui bisogna tenere conto inquesto ambito – e retroattivamente già in fa-se di progettazione di un sistema di video-sorveglianza - sono allora i Pixel x Metro di-sponibili in una determinata immagine. Possiamo dire che con 30 pixel per metro ri-conosciamo del movimento in un’area, con130 pixel per metro possiamo riconoscerequalcuno già noto, con 200 pixel per metroidentifichiamo una persona.Ma se la quantità di pixel disponibili non so-no sufficienti ad un riconoscimento di unvolto o di una targa, è possibile elaborarel’immagine senza che venga definita un’ela-
borazione non utilizzabile in un processo?Il dato digitale è certamente mutato a segui-to di una elaborazione digitale, ma quandosi può dire che l’informazione digitale con-tenuta è stata migliorata piuttosto che nonmanipolata?Si può dire che un’immagine non è stata ma-nipolata quando si preserva l’immagine ori-ginale, si fa riferimento ad algoritmi di shar-pening, smoothing, edge detection, interpo-lazione e filtraggio di frequenze riconosciu-ti dalla comunità scientifica, si documenta lasequenza degli algoritmi applicati, essendocosì in grado di riprodurre in ogni momen-to la sequenza di operazioni che ha portatoad un determinato risultato.Con il nuovo processo penale, l’attività di in-dagine può essere svolta, oltre che dalle for-ze dell’ordine, anche dalle parti che posso-no avvalersi di consulenti tecnici, in partico-lare di quelli iscritti negli albi specifici pres-so camere di commercio e tribunali. GSG In-ternational, istituendo un laboratorio di in-dagini di Videoforensics, si è posta ancorauna volta all’avanguardia nella qualificazionedella proposta in un mercato della sicurezzache deve elevare a tutti i livelli la professio-nalità della propria offerta. La divisione di Videoforesics della GSG In-ternational è nata così dotandosi di tutti glistrumenti e le competenze necessarie a dareuna risposta alla domanda di supporto inquesto ambito, attraverso servizi di consu-lenza specifica, acquisizione dei reperti, pe-rizie di autenticità, ricerca eventi, enhance-ment delle immagini, ricerca targhe e con-sulenze tecniche di parta (CTP) ed oggi an-novera tra i suoi clienti, Procure, Forze del-l’ordine, Polizie Locali ma anche importan-ti Studi Legali.
55
antifurtotvcc ottobre 2009 VIDEOFORENSICS
Sul portale della Rivista Antifurtowww.spaziosecurity.it, sezione Riviste On Line,
potrà scaricare e consultare il PDF di questo articolo
