Sezione IV SCIENZE FORENSI E COMPUTER



Documenti analoghi
Consiglio regionale della Toscana. Regole per il corretto funzionamento della posta elettronica

Airone Gestione Rifiuti Funzioni di Esportazione e Importazione

Gestione delle informazioni necessarie all attività di validazione degli studi di settore. Trasmissione degli esempi da valutare.

PORTALE CLIENTI Manuale utente

Configurare Outlook Express

GUIDA UTENTE PRIMA NOTA SEMPLICE

MANUALE D'USO DEL PROGRAMMA IMMOBIPHONE

Client - Server. Client Web: il BROWSER

1.0 GUIDA PER L UTENTE

SOMMARIO... 3 INTRODUZIONE...

LA GESTIONE DELLE VISITE CLIENTI VIA WEB

Procedure di ripristino del sistema.

Il glossario della Posta Elettronica Certificata (PEC) Diamo una definizione ai termini tecnici relativi al mondo della PEC.

Protocollo Informatico (D.p.r. 445/2000)

Protocollo Informatico (D.p.r. 445/2000)

CAPITOLO VI. Internet Termini più usati Apparecchiature necessarie Software necessari Avviare Internet explorer Avviare Outlook Express

Programma applicativo di protezione LOCK Manuale per l utente V2.22-T05

Identità e autenticazione

Manuale di Aggiornamento BOLLETTINO. Rel H4. DATALOG Soluzioni Integrate a 32 Bit

ANALISI FORENSE. irecovery_analisi_forence.indd 1 21/01/14 17:48

Istruzioni di installazione di IBM SPSS Modeler Text Analytics (licenza per sito)

Procedure di ripristino del sistema.

PRODUZIONE PAGELLE IN FORMATO PDF

GUIDA UTENTE MONEY TRANSFER MANAGER

Manuale Amministratore Legalmail Enterprise. Manuale ad uso degli Amministratori del Servizio Legalmail Enterprise

2.7 La cartella Preparazioni e CD Quiz Casa

SIRTEL. Sistema Informativo per la Rendicontazione Telematica degli Enti Locali. Schema di funzionamento del processo per l Ente Locale

MANUALE UTENTE. TeamPortal Liste Distribuzioni

Procedure di ripristino del sistema.

Gestione dei documenti e delle registrazioni Rev. 00 del

Software Servizi Web UOGA

ELENCO CLIENTI FORNITORI Patch1

Introduzione. Alberto Fortunato Pag. 1 di 137

Excel. A cura di Luigi Labonia. luigi.lab@libero.it

Studio Legale. Guida operativa

MODULO STAMPA BOLLETTINO PDF

Il sistema C.R.M. / E.R.M.

Servizio Telematico Paghe

Manuale Utente Albo Pretorio GA

1. DISTRIBUZIONE Datore di Lavoro Direzione RSPP Responsabile Ufficio Tecnico Responsabile Ufficio Ragioneria (Ufficio Personale) Ufficio Segreteria

TFR On Line PREMESSA

Presentazione MyMailing 3.0

MyFRITZ!, Dynamic DNS e Accesso Remoto

Guida alla registrazione on-line di un DataLogger

In questa pagina si descrivono le modalità di gestione del sito in riferimento al trattamento dei dati personali degli utenti che lo consultano.

I Codici Documento consentono di classificare le informazioni e di organizzare in modo logico l archiviazione dei file.

istruzioni per l uso

MANUALE D USO DELL E-COMMERCE. Versione avanzata

Informatica 1 Lezione 1

ACO Archiviazione Elettronica e Conservazione sostitutiva

Word processor funzione Stampa Unione

7.4 Estrazione di materiale dal web

Capitolo 3 Guida operativa del programma TQ Sistema

Manuale Operativo per la firma digitale

Corso di Cmap Tools. M. Malatesta - 4-Salvare-Stampare-Esportare una mappa-04

CMS ERMES INFORMATICA

FOXWave Gestione gare ARDF IZ1FAL Secco Marco Sezione ARI BIELLA

MANUALE MOODLE STUDENTI. Accesso al Materiale Didattico

Manuale di istruzioni sulle maschere per il calcolo del punteggio e del voto (unico) degli studenti che sostengono la Prova nazionale 2011

Che cos'è un modulo? pulsanti di opzione caselle di controllo caselle di riepilogo

Configurazione di Outlook Express

MANUALE UTENTE Fiscali Free

SIDIP Sistema Informativo Dibattimentale Penale Modulo 415 bis

ALLEGATO Esempio di questionario per la comprensione e valutazione del sistema IT

Il sofware è inoltre completato da una funzione di calendario che consente di impostare in modo semplice ed intuitivo i vari appuntamenti.

Regione Piemonte Portale Rilevazioni Crediti EELL Manuale Utente

EUROCONSULTANCY-RE. Privacy Policy

PROCEDURE DI FIRMA PER I PIP PRESENTATI NEI BANDI APPRENDISTATO

MANUALE UTENTE. P.I.S.A. Progetto Informatico Sindaci Asl

Dipartimento per le Libertà Civili e l Immigrazione

Il seguente Syllabus è relativo al Modulo 7, Reti informatiche, e fornisce i fondamenti per il test di tipo pratico relativo a questo modulo

- Corso di computer -

Sistema Informativo Gestione Fidelizzazione Clienti MANUALE D USO

Corso di Alfabetizzazione Informatica

Istruzione Operativa Richiesta di Offerta on-line in busta chiusa digitale

Corso basi di dati Installazione e gestione di PWS

MANUALE EDICOLA 04.05

Manuale Utente SIRECO

BOZZA MANUALE SDI-FVG PASSIVE SOMMARIO

11/02/2015 MANUALE DI INSTALLAZIONE DELL APPLICAZIONE DESKTOP TELEMATICO VERSIONE 1.0

GUIDA UTENTE BILLIARDS COUNTER (Vers )

PROGETTO PER LA TRASMISSIONE DOCUMENTI RELATIVI ALL APPROVAZIONE DELLE MANIFESTAZIONI IN FORMA DIGITALE

La VPN con il FRITZ!Box Parte I. La VPN con il FRITZ!Box Parte I

Politica del WHOIS relativa al nome a dominio.eu

ACCESSO AL SISTEMA HELIOS...

Gestione delle Cartelle dei Messaggi di Posta Elettronica

FRANCESCO MARINO - TELECOMUNICAZIONI

In questo manuale sono indicate le procedure per utilizzare correttamente la gestione delle offerte dei fornitori.

NOME 0 PROVIDER DOMINIO istruzione.it

A tal fine il presente documento si compone di tre distinte sezioni:

Guida all uso. Esso sarà riportato nell intestazione. Vediamo:

File, Modifica, Visualizza, Strumenti, Messaggio

Internet e posta elettronica. A cura di Massimiliano Buschi

Come accedere ai laboratori del DPSS CORSO DI FORMAZIONE PER L'ACCESSO AI LABORATORI DELL'ATENEO

PROTOS GESTIONE DELLA CORRISPONDENZA AZIENDALE IN AMBIENTE INTRANET. Open System s.r.l.

Manuale d uso per gli Operatori Economici Vers. 2013

Q U E S T U R A di V A R E S E Ufficio di Gabinetto

Servizio on-line di Analisi e Refertazione Elettrocardiografica

COME CREARE UNA COMUNICAZIONE / NEWSLETTER

MANUALE UTENTE. In questo manuale verranno descritte tutte le sue funzioni. Il sistema OTRS è raggiungibile al seguente link:

Transcript:

Sezione IV SCIENZE FORENSI E COMPUTER

I COMPUTER E I REATI UMBERTO RAPETTO 26 26.1 INTRODUZIONE Qualunque strumento elettronico che abbia capacità di elaborare dati (computer, palmare, telefonino e così a seguire) ha la dannata capacità di adattarsi a qualsiasi scena del crimine. I fatti di cronaca testimoniano che nei più disparati eventi delittuosi c è sempre un portatile o un cellulare che viene sequestrato. E ogni volta, quelli che i giornalisti etichettano genericamente con la voce inquirenti ripongono in quegli attrezzi tecnologici la speranza di trovare qualcosa che aiuti a ricostruire l accaduto e a fornire elementi importanti per l identificazione di chi si è reso responsabile di un determinato reato. A fianco di ben più nobili arti mediche e scientifiche, da qualche anno ha fatto capolino la cosiddetta computer forensic o (per chi preferisce una dizione meno ristretta) la digital forensic, ovvero quella disciplina che invece di esaminare cadaveri, coltelli, bossoli, impronte ed altri ingredienti classici di vicende giudiziarie include e regola le modalità di acquisizione delle prove in contesto informatico e telematico. Computer e connessioni in rete hanno creato nuove opportunità criminali e sono stati capaci di modificare sostanzialmente anche il modo di delinquere tradizionale. Sul primo fronte hanno permesso la realizzazione di quello che già qualche anno fa piaceva indicare come remote crime, ovvero il delitto compiuto stando ad una distanza che faceva impallidire il più abile cecchino: il reato commesso da un responsabile che si trova in un luogo diverso da quello in cui si manifesta la condotta lesiva, a distanza di migliaia di chilometri... Il secondo impatto si traduce nella possibilità, da parte di qualsivoglia malintenzionato, di sfruttare a proprio vantaggio un pc portatile, un palmare o un sofisticato cellulare di terza generazione nel compimento di una o più azioni convenzionali. Proprio questa agevolazione, però, spesso si traduce in un micidiale handicap: adoperare un dispositivo elettronico può avere tremende controindicazioni. È bene tener sempre presente che, se l investigatore ha competenze tecnico-operative adeguate, l uso di un apparato elettronico si trasforma in un pericolosissimo boomerang per chi, invece, sperava di trarne utilità. È un mestiere impegnativo che impone anni di sacrificio per giungere ad una adeguata specializzazione e che richiede uno sforzo costante per mantenersi in forma. Per avvicinarsi a questo genere di indagini scientifiche forse si può provare a muovere i primi passi con due possibili passeggiate : la prima ha carattere pratico e consente di cimentarsi su due fronti abbastanza quotidiani, ovvero l identificazione del titolare di un sito web e l esame tecnico di un messaggio di posta elettronica: una maniera simpatica per sperimentare dal vivo alcune elementari tecniche investigative; la seconda ha connotazioni più formali e traccia un percorso più complesso per chi vorrà poi approfondire la materia. 26.2 L INDIVIDUAZIONE DEL TITOLARE DI UN SITO WEB Se una qualunque pubblicazione tradizionale ha riferimenti ad editore, direttore o tipografia e consente di operare compiutamente l identificazione di chi può avere responsabilità connesse a determinati contenuti, quando si devono fare i conti con siti Internet il processo di individuazione richiede la conoscenza delle modalità per trasformare un indirizzo web in persone e luoghi materiali verso i quali indirizzare le attività di indagine. La scoperta della titolarità di un sito non

4 sezione 4 - Scienze forensi e computer comporta competenze tecniche particolari, ma impone solo di sapere dove effettuare la consultazione degli archivi in cui sono memorizzate le informazioni di interesse. Gli indirizzi sono composti normalmente da: la sigla http:// indicante la tipologia di protocollo di comunicazione utilizzata (nella fattispecie il cosiddetto Hyper Text Transfer Protocol, che costituisce lo standard per la navigazione ipertestuale); il nome del dominio (second level domain, la dizione gergale) che rappresenta l appellativo del sito; il suffisso (TLD o Top Level Domain, per gli esperti) che: può essere geografico (con country code quali.it per l Italia,.fr per la Francia,.uk per la Gran Bretagna,.de per la Germania...) oppure merceologico (.com per le realtà commerciali,.org per le organizzazioni no-profit,.name per i siti personali,.museum per gli enti culturali...); comporta un differente avvio dell itinerario investigativo in ragione dell ente che gestisce il registro corrispondente a ciascun top level domain. L anagrafe dei siti web viene chiamata normalmente Naming Authority, ovvero autorità competente alla registrazione dei cosiddetti nomi a dominio. Per i TLD geografici esistono vere e proprie strutture a competenza nazionale: per i domini.it tale competenza spetta all Istituto di Informatica e Telematica (IIT) del Consiglio Nazionale per le Ricerche (CNR) che: ha sede a via Moruzzi 1 56124 Pisa; ha organizzato un archivio automatizzato a consultazione gratuita; dispone di un sito web (www.nic.it) che consente interrogazioni telematiche per chiunque vi si collega. Per i TLD merceologici l assegnazione dei nomi spetta a realtà private che agiscono in virtù di una sorta di concessione, secondo regole ben precise fissate dalla Internet Assigned Numbers Authority (IANA), organizzazione che la responsabilità a livello internazionale per coordinare gli aspetti tecnici e disciplinare l indispensabile standardizzazione delle iniziative (tabella 26.1). Se si vuole conoscere chi sia l intestatario di un qualunque sito con TLD non geografico ci si può affidare a: http://www.whois.net http://www.networksolutions.com/whois/ index.jsp http://whois.domaintools.com http://www.internic.net/whois.html http://www.allwhois.com Nel caso in cui la funzione di consultazione ( lookup in gergo tecnico) non fosse immediatamente a portata di mano (potrebbero esserci state revisioni grafiche del sito che hanno determinato cambiamenti alla struttura delle informazioni erogate), è necessario trovare sulla pagina (solitamente è posto in buona evidenza) il link alla pagina del cosiddetto whois, in pratica il chi è che si è interessati a domandare. Qualunque archivio realizzato con la specifica finalità di domain lookup pretende che il fruitore del servizio indichi il nome del web di cui vuol conoscere l intestatario riportando nell apposito spazio solo il nome del sito: senza farlo precedere dal classico www.; specificando (di seguito al nome o selezionando l eventuale casella pubblicata nella maschera di ricerca) il suffisso TLD (.com,.org,.info...). Tab. 26.1 - Tabella dei possibili Top Level Domains non geografici attualmente in uso proposti generic (gtld) sponsored (stld) infrastructure deleted/retired reserved pseudo locations language & nationality technical altri.biz.com.info.name.net.org.pro.aero.asia.cat.coop.mobi.edu.gov.int.jobs.mil.museum.tel.travel.arpa.nato.example.invalid.localhost.test.bitnet.csnet.local.root.uucp.onion.exit.berlin.lat.nyc.bzh.cym.gal.lli.scot.geo.mail.kids.post.shop.web.xxx

capitolo 26 - I computer e i reati 5 La risposta viene fornita secondo criteri prefissati che consentono di conoscere: gli estremi di inserimento del nome nel registro, tra cui la data di registrazione del nome; la data di scadenza (ovvero il termine ultimo dopo il quale, in caso di mancato rinnovo, il nome a dominio è disponibile per eventuali altri soggetti); la data dell ultima variazione amministrativa, ovvero di eventuale aggiornamento anagrafico della scheda (a seguito ad esempio di variazione del provider che ospita tecnicamente il sito), che va ben considerata in ragione del momento in cui è avvenuto l evento su cui si sta investigando (che potrebbe essere antecedente alla modifica intervenuta e quindi indirizzare l attenzione su chi all epoca dei fatti aveva a che fare con il sito in questione); il referente amministrativo, completo di: nome e cognome (o ragione sociale); indirizzo; telefono; fax; mail; il referente tecnico, ossia colui che gestisce gli aspetti di funzionamento o che magari ospita semplicemente il sito su un server di sua proprietà a fronte di un contratto di locazione ( hosting, nelle espressioni formali di questo contesto); una serie di informazioni tecniche per l individuazione in Rete dell apparato che ospita il sito web. Le informazioni presenti nella pagina sono sufficienti per il rintraccio del soggetto: cui compete la responsabilità dei contenuti; che salvo cancellazioni dovrebbe disporre dei log di sistema, ovvero del registro su cui sono annotate: le operazioni avvenute sui propri server; la data e l ora in cui tali operazioni sono avvenute; i riferimenti a chi ha operato e con quali privilegi di azione. Nel caso sia necessario conoscere l intestatario di un sito.it la procedura pratica da seguire è particolarmente elementare: collegarsi al sito www.nic.it; selezionare la voce database sul menu presente sul lato sinistro del monitor, accedendo quindi alla pagina di consultazione degli archivi; scegliere Database WHOIS per arrivare alla pagina web in cui è possibile effettuare interrogazioni all archivio di interesse; inserire, in un piccolo box predisposto ad hoc, una sequenza di caratteri mostrata in apposita figura (stratagemma tecnico utilizzato da molti archivi per evitare il saccheggio dei propri contenuti da parte di persone o organizzazioni che eseguono vere e proprie valanghe di query o interrogazioni automatizzate mediante appositi software chiamati in gergo robot ), tenendo conto che lettere maiuscole e minuscole sono considerate equivalenti; digitare nel corrispondente spazio il nome del dominio o sito, omettendo di scrivere www. (esempio: nomedelsito.it); fare clic con il mouse sul pulsante grafico cerca. 26.3 LA RICERCA DEL MITTENTE DI UNA MAIL Molto spesso è necessario procedere all esame di un messaggio di posta elettronica. Il contenuto del messaggio può essere parte integrante di un reato (si pensi, banalmente, ad ipotesi di estorsione o minaccia...) oppure i riferimenti cronologici e geografici dell operazione di invio possono consentire la ricostruzione di una determinata sequenza temporale. Si rende necessario, quindi, apprendere le modalità di regolare lettura e corretta interpretazione di una mail, prescindendo da elementi apparenti che possono trarre in inganno e depistare le attività di indagine con devastanti conseguenze. Il mittente di un determinato messaggio potrebbe non corrispondere all indirizzo o al nominativo indicati ad apertura della comunicazione: i programmi che gestiscono le mail consentono personalizzazioni tali da palesare nomi differenti da quelli reali e addirittura indirizzi e-mail falsi o riferiti ad altri soggetti ignari dell abuso in loro danno. È indispensabile quindi verificare la reale identità del mittente, così da abbinare in maniera compiuta l operazione di invio e il testo della mail con il soggetto che effettivamente ne ha la responsabilità. Un messaggio può avere un fake sender, ovvero un falso autore che può non esistere affatto oppure coincidere con la vittima di uno sgradevole furto di identità.

6 sezione 4 - Scienze forensi e computer Se ci si arma di un invisibile bisturi, forse si può dare un occhiata dentro la pancia di una mail e scoprire che al suo interno ci sono almeno due sezioni. La prima equiparabile alla busta di una comune missiva è quella della cosiddetta intestazione (o, come dicono gli addetti ai lavori, header ), mentre la seconda somiglia al vero e proprio foglio della lettera e quindi è costituita dal corpo dell e-mail. L intestazione, in realtà, può esser più d una: oltre a quella che fornisce indicazioni per il recapito, infatti, ce ne possono essere altre che segnalano la presenza di allegati o che assolvono funzioni accessorie. Il messaggio di posta elettronica si compone essenzialmente di 2 sezioni: quella di intestazione e quella dedicata al corpo della mail. Vi sono inoltre altre sezioni di intestazione che sono presenti in determinati casi, ad esempio se la mail contiene un allegato. Le intestazioni normalmente interessano poco chi invia o riceve il messaggio, perché contengono informazioni tecniche che vengono interpretate dal cliente di posta per la gestione della comunicazione. In realtà quei dati tecnici, utili e non così difficili da interpretare, permettono di stabilire: chi è il mittente della mail; chi è l utente destinatario; gli eventuali destinatari multipli; la presenza di allegati; il formato della mail (eventualmente HTML); il tipo di codifica di eventuali allegati e il formato stesso dell allegato. Sono informazioni non visibili a chi apre la posta elettronica, che normalmente ha comunque modo di vedere mittente, oggetto e ora di invio del messaggio in arrivo. Chi deve investigare non può fare a meno di sapere come radiografare una mail e vederne le intestazioni. Per procedere si deve visualizzare il formato sorgente del messaggio, riconoscendo una serie di voci ( campi direbbe un esperto) quali ad esempio: Mail from:, in cui è riportato l identificativo di chi ha spedito la mail; Mail to:, dove sono indicati il destinatario o i destinatari della mail; Cc:, dove sono riportati gli indirizzi dei soggetti che essendo nella lista Cc o Carbon Copy riceveranno una copia del messaggio per conoscenza e saranno visibili a tutti gli altri destinatari; Bcc:, che contiene gli indirizzi di altri eventuali destinatari che essendo nella lista Bcc o Blind Carbon Copy riceveranno una copia della mail pur non essendo visibili ; Return path:, in cui è riportato un indirizzo per replicare al mittente, il quale può specificare un indirizzo diverso da quello di invio per ricevere le risposte; Subject:, ossia l oggetto della mail che, facoltativo, può non essere specificato; Received from:, dove si trovano elementi che sono simili alle timbrature sulle buste della posta cartacea e si rivelano utili per la ricostruzione del percorso seguito dal messaggio, tra cui i nomi dei vari server di posta (server SMTP) attraverso i quali il messaggio è transitato, nonché la data e l ora di ricezione. Il testo della mail, normalmente in formato txt, può essere impostato in versione ipertestuale (HTML, Hyper Text Mark-up Language) e in tal caso l intestazione content type conterrà l indicazione text/html in maniera che il programma installato sul computer sappia che il testo deve essere interpretato. Dopo il testo della mail troviamo la sezione dedicata agli eventuali allegati (inglobati nel messaggio e codificati con la tabella ASCII a 7 bit) ed insieme ai bit dell allegato sono disponibili altre informazioni sull allegato come il nome del file ed il suo tipo (JPEG se si tratta di un immagine, PDF nel caso di file prodotto con Adobe Acrobat...). La lettura... in controluce della mail permette di vedere qualcosa che altrimenti sfugge a chi prende in considerazione il messaggio: il numero IP del mittente è l elemento cardine per la ricostruzione dell identità dell autore dell invio della comunicazione sotto esame. Il numero IP in realtà: è una sequenza di quattro numeri, ciascuno da 0 a 255, separati uno dall altro da un punto; può creare una serie di combinazioni che rientrano nell intervallo 0.0.0.0 255.255.255.255; è l equivalente del numero di targa, con cui chi accede alle cosiddette autostrade dell informazione ha modo di essere identificato in maniera univoca secondo le regole dell Internet Protocol (IP). Questo genere di dati è nella disponibilità dei gestori di servizi telematici e, mediante apposita richiesta formulata dall Autorità giudizia-

capitolo 26 - I computer e i reati 7 ria competente _ possono essere tradotti in altri elementi informativi utili per il prosieguo delle indagini. Per rintracciare il numero IP è necessario visualizzare la mail non limitandosi alla semplice apertura del messaggio con le normali funzioni offerte dai programmi di posta elettronica. Si tratta di passare ai raggi X la comunicazione, così da scoprirne la struttura portante. 26.4 RADIOGRAFIA DI UNA MAIL: UN CASO PRATICO Una volta aperta la mail con il cacciavite giusto così da ottenere la visualizzazione delle proprietà del messaggio, in apertura si osserva che le informazioni di carattere tecnico riguardanti la spedizione precedono quelle relative al contenuto della mail vera e propria. La prima riga ad esempio include l indirizzo cui il destinatario può inoltrare la sua eventuale risposta, indirizzo impostato dal programma con cui il mittente ha provveduto a spedire la mail: Return-Path: < mittente@yahoo.com > Le righe seguenti riportano una lista di server che come uffici postali e portalettere nella comune realtà hanno costituito gli strumenti di recapito del messaggio. Analogamente a quanto avviene nella corrispondenza ordinaria (dove a volte capita di trovare più timbri sulla busta di una lettera, timbri che permettono di vedere dove e quando la missiva è transitata), è possibile sapere: quali server SMTP hanno ricevuto il messaggio; quando la consegna è avvenuta; a chi è stato passato il testimone di questa invisibile staffetta. In particolare, si potrà vedere ad esempio: Received: from yahoo.com (68.53.245.56) by mail-x.postamail.it (6.7.019) id 4G335F112042CC6D for destinatario@postamail.it; Wed, 31 Dec 2008 10:28:29 +0200 Received: from mail pickup service by yahoo.com with Microsoft SMTPSVC; Wed, 31 Dec 2008 01:28:26-0700 Received: from 79.104.81.94 by jfk-32.king.yahoo.com with HTTP; Wed, 31 Dec 2008 08:28:25 GMT I dettagli tecnici cominciano con la fase di recapito e man mano procedono a ritroso. Per leggere correttamente queste informazioni è, quindi, necessario partire dal fondo: si ha così modo di capire che la mail è stata imbucata nel server jfk-32.king.yahoo.com da un computer identificato con il numero 79.104.81.94. L operazione è avvenuta alle 8, 28 minuti e 25 secondi (orario di Greenwich). Dando un occhiata al secondo blocco di dati, ci si accorge che il servizio postale di Yahoo ha preso in carico la mail un secondo dopo (non bisogna farsi trarre in inganno dall orario 01:28:26 perché subito dopo è specificato il diverso fuso orario che impone di mandare avanti l orologio rispetto GMT di 7 ore). Il blocco di informazioni iniziali descrive puntualmente la fase di consegna: tre secondi dopo il server di Yahoo (identificato con il numero IP 68.53.245.56) ha recapitato al server mail-x.postamail.it (6.7.019) il messaggio contrassegnato dal codice univoco id 4G335F112042CC6D con incarico di farlo pervenire al destinatario. Fin qui la busta della lettera. Quasi potessimo materializzare la mail con le debite analogie con la corrispondenza ordinaria, mettiamo mano al foglio del messaggio. La pagina della comunicazione vera e propria fa precedere al testo della mail una serie di intestazioni: il gruppo di informazioni contenente i dati di spedizione e di ricezione, in cui si notano il numero identificativo di chi spedisce, l indirizzo di posta che ha generato il messaggio, il nome con cui si presenta chi scrive, l indirizzo del soggetto cui viene inviata la mail: X-Originating-IP: [79.104.81.94] X-Originating-Email: [mittente@yahoo.com] From: "mittente" To: destinatario@postamail.it la sezione in cui sono riportati gli indirizzi dei soggetti inseriti nella lista dei destinatari CC, ovvero in copia carbone (si rammenta che gli indirizzi inseriti nel campo Bcc non sono visibili): Cc: altroamico@suamailbox.com; miocugino@dovesitrova.it l oggetto con cui è stato targato il messaggio dal mittente: Subject: comunicazione importante

8 sezione 4 - Scienze forensi e computer l ora di invio del messaggio: Date: 31 Dec 2008 10:28:25 +0200 la corrispondenza del formato del messaggio rispetto gli standard vigenti (c.d. Multipurpose Internet Mail Extensions): Mime-Version: 1.0 le informazioni in ordine al tipo di contenuto della mail (tecnicamente Content-Type header field), in cui sono ricompresi la natura dei dati e i parametri per la loro corretta interpretazione: Content-Type: multipart/mixed; boundary= "----=_NextPart_000_18d8_2ee6_83a" l intestazione tecnica del computer che ha scaricato il messaggio: X-OriginalArrivalTime: 31 Dec 2008 08:28:26.0367 (UTC) FILETIME=[06CDB0F0:01C366F5] X-Evolution-Source: pop://destinatario@pop.postamail.it/ This is a multi-part message in MIME format. ------=_NextPart_000_18d8_2ee6_83a descrizione del testo della mail in formato HTML o TXT (testo): Content-Type: text/plain; format=flowed testo del messaggio mail (in formato txt): Carissimo Umberto, non ho ancora ricevuto il documento che secondo i nostri accordi avresti dovuto inviarmi la settimana scorsa. Ti pregherei di provvedere il prima possibile e nel frattempo ti allego la fotografia scattata al convegno...... eventuale testo inserito in maniera automatica dal provider utilizzato dal mittente per spedire la mail: messaggio inviato tramite servizio e-mail gratuito - consiglia ai tuoi amici questa opportunità facendo clic su questo link - indicazioni tecniche relative agli eventuali allegati (nome del file, tipo di codifica...): ------=_NextPart_000_18d8_2ee6_83a Content-Type: image/jpeg; name="foto.jpg" Content-Transfer-Encoding: base64 Content-Disposition: attachment; filename="foto.jpg" allegato codificato: /9j/5BBZSkZJRgABAgAJHHUUJD/7AARR HVja3kAAQjIMAkkklAA/+4ADkFkb2J lagtaaaaaaf/baiqabgqebauebgufb gkgbqyjcwggbggldaokcwok DBAMDAwMDAwQDA4PEA8ODBMTFB QTExwbGxscHx8fHx8fHx8fHwEHB...... parte omessa per esigenze grafiche......wcnda0yebayghurfrofhx8fhx8fhx8 fhx8fhx8fhx8fhx8fhx8fhx8fhx8f Hx8fHx8fHx8fHx8fHx8fHx8f/8AAEQgB4A KAAwERAAIRAQMR... ------=_NextPart_000_18d8_2ee6_83a-- 26.5 L INDIVIDUAZIONE DEL MITTENTE E LA SUA IDENTIFICAZIONE La dinamica è la seguente: individuazione del numero IP del mittente (mediante l esame delle intestazioni tecniche della mail); rilevazione dell ora dell invio con particolare attenzione al fuso orario indicato; rintraccio del provider proprietario del gruppo (o range ) di numeri IP in cui è ricompreso quello in uso al mittente al momento della spedizione del messaggio; richiesta al provider (attraverso apposito ordine impartito dall Autorità Giudiziaria) di fornire indicazioni in ordine all utenza cui era stato attribuito quel numero IP nella fascia oraria (da un ora prima a una dopo quanto risulta nell header della mail e non quanto si legge nel messaggio come normalmente viene letto dal destinatario); acquisizione del numero telefonico o del contratto ADSL abbinato al numero IP nel periodo temporale indicato nella richiesta; identificazione del soggetto intestatario dell utenza corrispondente; informativa di reato da parte della polizia giudiziaria e richiesta di provvedimenti: perquisizione domiciliare; perquisizione informatica; sequestro di: - supporti digitali; - materiale cartaceo; - apparati hardware con memoria di massa; acquisizione ed estrazione dei dati; analisi delle informazioni reperite; individuazione della presenza di copia o di altre eventuali tracce del messaggio oggetto di indagine;

capitolo 26 - I computer e i reati 9 in caso di mancato rinvenimento di elementi probatori dell invio della mail, incrocio con altri dati potenzialmente disponibili (ad esempio traffico telefonico da cui desumere l effettivo collegamento di quell utenza nel momento puntuale di invio della mail, così da escludere ogni ipotesi di spoofing ovvero di subentro fraudolento di un terzo nell utilizzo di quel numero IP immediatamente a ridosso della disconnessione dell utente legittimo assegnatario di quell identificativo). 26.6 L ACQUISIZIONE DELLE PROVE DIGITALI La prova di natura informatica, per sua stessa natura, risulta essere di una fragilità estrema e quindi può essere facilmente alterata, danneggiata o persino distrutta nel corso delle attività di semplice manipolazione o esame. Per questa ragione devono essere adottate una serie di precauzioni allo scopo di preservare questa tipologia di elementi probatori da ogni eventuale imprevisto che possa pregiudicare l esito delle indagini o anche solo modificarne il corretto iter. È pertanto necessario acquisire le prove digitali originali in maniera che queste non subiscano modificazioni di sorta. I principali punti di riferimento possono essere così sintetizzati: procedere nel rispetto di quanto stabilito dalla l. n. 48/2008; documentare l hardware e la configurazione software del sistema informatico del soggetto che procede all esame delle prove digitali; verificare la rispondenza tra le dotazioni dichiarate e la reale disponibilità da parte di chi opera l accertamento; disassemblare il case (ovvero l involucro all interno del quale sono installate la scheda madre, i dischi ed ogni altro componente) del computer da esaminare, in maniera da poter aver accesso fisico ai supporti di memorizzazione (avendo cura di controllare che tali apparecchiature siano protetti da elettricità statica e da campi magnetici); identificare i supporti di memorizzazione, interni ed esterni, che devono essere acquisiti; rilevare in maniera formale quanto rinvenuto (dischi, cd, dvd, pendrive) e descrivere la configurazione hardware degli apparati destinatari di ispezione o esame, avendo cura di annotare: per ciascun drive: - azienda produttrice, modello e numero seriale; - aspetto esteriore e dimensioni; - capacità di memorizzazione; - dislocazione nel luogo di rinvenimento; - impostazione dei cosiddetti jumper (o micro-interruttori di settaggio ); - interfaccia disponibili e utilizzate; i componenti interni del computer, come ad esempio: - schede audio e video; - schede di rete (con relativo MAC address, ovvero l identificativo Media Access Control ); - schede PCMCIA (Personal Computer Memory Card in International Association); disconnettere le unità di memorizzazione dei dati (andando ad agire sui connettori di alimentazione o sul cablaggio di trasferimento dei dati, di norma sul lato posteriore del drive o direttamente sulla scheda madre), in modo da evitare distruzione, danneggiamento o alterazione dei dati; recuperare le informazioni di configurazione del computer da sottoporre ad esame (avendo cura di dar luogo ad avviamento o boot controllato del sistema), puntando a venire a conoscenza di: sequenza di boot (ad esempio con partenza da floppy disk o CD-ROM); data e ora impostati al momento dell acquisizione; parole chiave da digitarsi all avvio del computer; inserire il floppy o il cd predisposti per l avvio del computer da sottoporre a forensic ; avviare il computer così da appurare il regolare funzionamento del disco di boot; dar luogo ad un secondo avvio controllato del computer per verificare la funzionalità della medesima macchina e del disco di avvio da utilizzarsi per le finalità di forensic ; assicurarsi che i cavi di alimentazione e di trasferimento dati: del drive floppy o CD-ROM siano adeguatamente collegati; dei supporti da esaminare siano sempre disconnessi;

10 sezione 4 - Scienze forensi e computer inserire il disco di avvio predisposto per le specifiche di attività di forensic nel corrispondente alloggiamento (floppy o CD) al fine di evitare che il computer possa accidentalmente essere avviato dai suoi normali dischi; ricollegare le periferiche di memorizzazione (i dischi, in pratica); procedere ad un terzo avviamento controllato per ottenere le informazioni di configurazione dal CMOS/BIOS, come ad esempio: il cosiddetto logical block addressing (LBA); la larghezza in pollici del disco; il numero di cilindri, testine e settori (CHS); i dati relativi all eventuale auto-detect ; spegnere il computer; nei limiti del possibile rimuovere il disco da esaminare e proseguire le attività di acquisizione utilizzando il sistema informatico a disposizione dell esperto incaricato di espletare le operazioni tecniche; collegare il disco (o i dischi) da esaminare al computer su cui si intende procedere e configurare l apparato perché possa essere regolarmente riconosciuto dal sistema; non rimuovere i dischi dal computer oggetto di indagine al verificarsi di eccezionali circostanze, quali ad esempio: presenza di dischi RAID (redundant array of inexpensive disks), la cui rimozione e l esame singolo può pregiudicarne la corretta lettura; computer portatili, in cui la particolare miniaturizzazione dei circuiti può ostacolare l estrazione del disco e un eventuale configurazione proprietaria (cioè realizzata secondo criteri ingegneristici esclusivi di quel determinato produttore) può non consentire un installazione su scheda diversa da quella cui l hard disk è naturalmente collegato; vincoli hardware connessi alla generazione del disco, che se vecchio potrebbe non essere riconosciuto dal computer su cui si intende lavorare; mancata disponibilità di attrezzature tecniche per operare la disintallazione del disco dal computer in cui è alloggiato; i dischi sono installati in rete ed è indispensabile disporre delle idonee attrezzature e della relativa connessione per acquisire i dati di interesse; quando si opta di usare il computer oggetto di indagine, riconnettere i dischi target e collegare le periferiche di memorizzazione di chi esegue l esame (disco fisso, unità a nastro, dischi magneto-ottici, CD-RW); verificare che l unità dati su cui salvare le informazioni da esaminare sia forensically clean, cioè pulita e intonsa ai fini delle ispezioni forensi da condurre; attivare mediante idonei dispositivi la protezione da scrittura sui dischi da esaminare in modo da evitare alterazioni o cancellazione di dati anche fortuite; generare un valore che identifichi il riferimento di controllo di integrità del supporto sotto esame, generando ad esempio un apposito Cyclic Redundancy Check o CRC, oppure facendo ricorso a strumenti di firma digitale (codifica MD5); se per proteggere i supporti da indebite operazioni di scrittura, viene utilizzata; una soluzione hardware: - installare il dispositivo; - provvedere al riavvio del sistema informatico; un programma software: - installare la procedura; - riavviare il computer; - attivare la protezione in argomento; approfondire la geometria di ciascuna unità periferica di memorizzazione così da accertare che tutto lo spazio è destinato a tale scopo, avendo cura ad esempio di riscontrare la coincidenza tra le informazioni delle tavole di allocazione dei file con la struttura fisica dei relativi dischi; acquisire il numero seriale elettronico del drive e delle altre periferiche a disposizione dell utente; copiare gli elementi di prova sul supporto magnetico a disposizione per le attività investigative utilizzando software appropriato e idonei strumenti hardware, come ad esempio: software stand-alone di duplicazione; pacchetti applicativi di analisi forense; apparati hardware dedicati; verificare il buon esito dell acquisizione effettuata provvedendo: ad una precisa comparazione tra i valori (CRC o MD5) del supporto originale e della copia, oppure al confronto settore per settore del disco originale con quello su cui è stata riprodotta la copia.

capitolo 26 - I computer e i reati 11 26.7 ALCUNE UTILI PRECAUZIONI PER LA SALVAGUARDIA DELLA PROVA DIGITALE Nel caso si debba procedere al sequestro di apparati elettronici, va ricordato che: ci si deve attenere ai vincoli introdotti dalla legge 48/2008 in materia di criminalità informatica; si devono, comunque, rispettare i principi di non modificabilità della prova. A tal fine è indispensabile adottare alcune precauzioni procedurali, fondamentali per preservare gli elementi informativi acquisiti e per scongiurare l invalidità del proprio operato. Questo un sintetico promemoria operativo: nel caso l apparato di interesse operativo sia un desktop (tipico da scrivania) o deskside (letteralmente a lato della scrivania, ovvero i PC con il case verticale anziché orizzontale), ci si può trovare in due possibili situazioni e quindi essere costretti a due differenti percorsi di azione: computer acceso (o in modalità standby): - verificare la presenza di CD/DVD e floppy disk presenti all interno del lettore (agendo sul tasto di apertura/ estrazione presente sul case); - estrarre gli eventuali supporti rinvenuti e sottoporli a sequestro separatamente indicando di averli rinvenuti all interno del PC; - scollegare il cavo di alimentazione dalla parte posteriore del case (senza procedere alla normale procedura di spegnimento); - rimuovere i rimanenti cavi; - verificare la presenza di memory card negli appositi slot (effettuando un controllo visivo); - estrarre gli eventuali supporti rinvenuti e sottoporli a sequestro separatamente indicando di averli rinvenuti all interno del PC; - asportare l intero PC (con esclusione di periferiche standard monitor, stampanti, modem, tastiera, ecc. ); computer spento: - verificare la presenza di floppy disk presenti all interno del lettore (agendo sul tasto di apertura/estrazione presente sul case); - scollegare il cavo di alimentazione (onde evitare accidentali accensioni); - scollegare i rimanenti cavi; - verificare la presenza di CD/DVD (agendo sul foro presente sulla parte anteriore del lettore che consentirà l apertura meccanica del carrello); - verificare la presenza di memory card negli appositi slot (effettuando un controllo visivo); - estrarre gli eventuali supporti rinvenuti e sottoporli a sequestro separatamente indicando di averli rinvenuti all interno del PC; - asportare l intero PC (con esclusione delle periferiche monitor, stampanti, modem, tastiera, ecc.); notebook: computer acceso (o in modalità standby): - verificare la presenza di CD/DVD e floppy disk presenti all interno del lettore (agendo sul tasto di apertura/ estrazione presente sul case); - estrarre gli eventuali supporti rinvenuti e sottoporli a sequestro separatamente indicando di averli rinvenuti all interno del PC portatile; - scollegare il cavo di alimentazione dalla parte posteriore del notebook (senza procedere alla normale procedura di spegnimento); - rimuovere la batteria; - scollegare i rimanenti cavi; - asportare l intero PC (comprensivo di alimentatore); computer spento: - verificare la presenza di floppy disk presenti all interno del lettore (agendo sul tasto di apertura/estrazione presente sul case); - scollegare il cavo di alimentazione; - rimuovere la batteria (onde evitare accidentali accensioni); - scollegare i rimanenti cavi; - verificare la presenza di CD/DVD (agendo sul foro presente sulla parte anteriore del lettore che consentirà l apertura meccanica del carrello); - verificare la presenza di memory card negli appositi slot (effettuando un controllo visivo); - estrarre gli eventuali supporti rinvenuti e sottoporli a sequestro separatamente indicando di averli rinvenuti all interno del PC; - asportare l intero PC (comprensivo di alimentatore).

12 sezione 4 - Scienze forensi e computer 26.8 L ESAME DELLA PROVA INFORMATICA Dovendo procedere ad analisi forense di supporti digitali di memorizzazione, occorre tenere conto le diverse tipologie di computer e di dischi comportano differenti metodologie di esame. Chi è chiamato ad assolvere tali compiti deve essere addestrato allo specifico scopo e acquisire professionalità ben calibrata rispetto il bacino di rispettivo intervento. Dar corso alle attività di acquisizione, storicizzazione ed esame delle prove informatiche impone l accettazione delle regole e delle procedure vigenti nel settore. In primo luogo per quanto ciò sia effettivamente praticabile è preferibile che le attività chirurgiche non abbiano luogo sulle prove originali ma su esemplari ottenuti a ridosso della preliminare fase di acquisizione. È una precauzione importante perché mira a preservare l integrità della prova e a scongiurarne la perdita a seguito di un possibile errore o di un eventuale malfunzionamento. Il passo successivo all acquisizione è l estrazione dei dati e quello ulteriore è costituito dalla analisi. L estrazione corrisponde all individuazione e al salvataggio dei dati di interesse dal supporto magnetico o ottico oggetto di investigazione. L analisi, invece. include due momenti: l interpretazione dei dati che sono stati acquisiti ed estratti; la loro ordinata sistemazione in un formato che sia intellegibile e permetta di sapere dove e come i dati sono stati acquisiti e soprattutto cosa possano significare nell ambito dell indagine. Quando si è chiamati ad eseguire la disamina di prove, il percorso da seguire è di norma segnato da quattro fasi: attività preparatorie; estrazione dei dati di interesse; analisi delle informazioni estratte; conclusione e rapporto. La preparazione dell esame delle prove consiste, a sua volta, in una piccola serie di operazioni necessarie per impostare correttamente il lavoro e per rispettare gli indispensabili standard di lavorazione. Si tratta quasi si fosse medici legali in sala chirurgica di riordinare la scrivania virtuale su cui si dovrà affrontare il caso. Si deve provvedere alla predisposizione di cartelle di lavoro (o directory) su più supporti così da classificare le informazioni ed organizzare al meglio gli elementi che man mano emergono. Per quanto concerne le iniziative di estrazione, è bene precisare che ne esistono sostanzialmente di due tipologie: estrazione fisica, che: prevede l individuazione e la recovery (o memorizzazione effettuata con le garanzie di legge) di tutte le informazioni mediante una scansione dell intero supporto fisico senza tener conto del file system ; richiede di: - estendere l estrazione anche a quello che potrebbe non essere evidenziato dal sistema operativo e dal file system : procedendo ad una ricerca per parole-chiave sull intera superficie fisica del supporto sotto esame; avvalendosi di strumenti software di utilità, come quelli di file carving (capaci di setacciare tracce e settori del disco quasi si disponesse di un aratro nel solco) per recuperare, salvare ed estrarre le informazioni; - esaminare la struttura della partizione del disco per: identificare i file di sistema presenti; verificare se è stata presa in considerazione l intera dimensione fisica del disco in questione; estrazione logica: che comprende l identificazione e il salvataggio di file e dati, tenendo in considerazione: - il sistema operativo; - i file di sistema e - le eventuali applicazioni; le cui fasi sono così sintetizzabili: - estrazione delle informazioni del file system per scoprire caratteristiche importanti come: struttura delle directory; attributi dei file (archivio, sola lettura...); nomi dei file; date e ore di creazione; dimensioni dei file; dislocazione dei file; - riduzione del volume complessivo dei dati al fine di identificare ed eliminare i file già conosciuti o doppi attraverso la comparazione di valori hash con analoghi già autenticati;

capitolo 26 - I computer e i reati 13 - estrazione dei file pertinenti all indagine e loro classificazione attuata sfruttando metodi che si basano su caratteristiche del file come: nome ed estensione; intestazione o header; contenuto; posizionamento sul supporto; ripristino dei file cancellati; - estrazione dei dati protetti ; con password; con sistemi di cifratura; con sistemi di compressione (.zip,.rar,...); - estrazione del file slack ; - estrazione dei dati presenti negli spazi non allocati (frammenti di file cancellati, porzioni di file non sovrascritti...). 26.9 L ANALISI DEI DATI ESTRATTI L analisi è il processo di esame approfondito e di interpretazione delle informazioni che sono state recuperate ed estratte dai supporti magnetici ed ottici di memorizzazione. È l attività che consente di capire se i dati a disposizioni hanno effettiva rilevanza per l indagine in corso di esecuzione. A voler esemplificare, si può rapidamente dire che nell ambito di tali iniziative ci sono veri e propri punti cardinali che possono meglio indirizzare l investigazione, come ad esempio: inquadramento temporale della creazione, dell utilizzo, della stampa o della consultazione di un file; utilizzo di tecniche volte a nascondere la presenza o il contenuto di un determinato file; software applicativo installato e file da questo generati; proprietà, possesso e disponibilità (atteso che un pc può essere di proprietà di un azienda, essere assegnato ad un dipendente ed utilizzabile da tutti gli impiegati di un certo ufficio). Le attività di analisi impongono la corretta lettura delle necessità alla base delle specifiche iniziative, al fine di meglio condurre ogni sorta di possibile tentativo tecnico. La cosiddetta Timeframe Analysis è particolarmente utile per determinare quando un evento abbia avuto luogo all interno di un sistema informatico e, quindi, per associare il fatto ad uno o più persone che potevano essere nei locali in cui l apparato è installato o avere disponibilità della password di accesso logico. Nell esecuzione di questa attività è opportuno tenere conto che gli orari riportati sul computer non hanno valore assoluto, ma sono collegati alla data e all ora che risulta essere impostata nel BIOS del computer, ovvero nell orologio interno del sistema informatico in cui il disco è o era installato. Può essere posta in essere utilizzando due metodologie principali: prendendo nota degli orari e delle date contenuti nelle informazioni del file system (da cui si può desumere il momento dell ultima modifica, dell ultimo accesso, della creazione di un documento, di altre eventuali variazioni) per collegare i file di interesse all asse cronologico su cui si sviluppano i fatti oggetto di indagine; prendendo in considerazione i file di log (di sistema e di ciascuna applicazione), in cui si possono trovare le registrazioni automatiche di errori procedurali, installazioni, connessioni, operazioni di sicurezza e così a seguire (molto banalmente, a titolo di esempio, il log può dire quando una determinata combinazione di nome utente e parolachiave sia stata utilizzata per accedere al computer e soprattutto al suo contenuto). Siccome le informazioni possono essere occultate all interno del sistema informatico, occorre far ricorso alla Data Hiding Analysis quando _ ispezionando un supporto _ si ritiene che sia necessario rilevare dati nascosti e individuare chi si sia adoperato per non consentire l immediato rintraccio di file o programmi. L itinerario operativo deve tenere in evidenza le seguenti considerazioni: la correlazione tra header (o intestazioni) dei file con le estensioni formali (.doc per i documenti di Word,.txt per i documenti in formato testo,.jpg per le immagini...) dei file corrispondenti consente di individuare possibile mancate coincidenze: la presenza di file ad esempio etichettati come immagini che invece risultano essere documenti di testo rivela l intenzione di nascondere il reale contenuto di un determinato file; l acquisizione di file protetti da parolachiave, cifratura dei dati o compressi può essere l indizio di un tentativo di escludere dall accesso a certe informazioni eventuali utenti non autorizzati; la presenza di strumenti per la steganografia (che consentono di nascondere testi, fo-

14 sezione 4 - Scienze forensi e computer to e immagini all interno di file video o fotografie) può essere prova della volontà o della comprensibile esigenza di celare determinati contenuti all interno di contenitori insospettabili; la presenza di dati creati dall utilizzatore del computer all interno della cosiddetta Host-Protected Area (HPA) di un disco, normalmente non adoperata per la memorizzazione di informazioni dell utente, lascia immaginare l intento di non far trovare quelle informazioni a chi non sia stato istruito appositamente a proposito della loro esistenza e della specifica collocazione. Molti programmi applicativi e parecchi file da questi creati possono ospitare una serie di informazioni che può rivelarsi di estremo interesse operativo. Quei dati possono agevolare la comprensione delle funzionalità utilizzate sul sistema e aiutare la definizione del profilo di chi se ne è servito. L Application and File Analysis non è un lavoro facile, ma può risultare praticabile se si rispettano alcuni passaggi procedurali, quali ad esempio: inquadramento ed analisi dei nomi dei file con verifica della loro rilevanza e con incroci con altri contenuti del disco; esame del contenuto dei singoli file; rilevamento ed identificazione del numero e della tipologia di sistemi operativi eventualmente installati sul medesimo disco; correlazione tra file e programmi applicativi installati, individuazione delle relazioni esistenti tra file di natura diversa, avendo presente abbinamenti classici come quelli sussistenti: tra cronologia della navigazione in Internet e file presenti nella cache memory dove vengono immagazzinati i file temporanei; tra messaggi di posta elettronica e documenti allegati alle mail; identificazione di file che hanno natura sconosciuta e valutazione del potenziale interesse che possono avere per l indagine in corso, approfondimento mirato della posizione logica sul disco delle cartelle preimpostate dall utente per il salvataggio dei file nonché della struttura dei file sul disco, al fine di determinare se i file siano stati memorizzati nella directory di default (cioè predefinita) oppure in una dislocazione alternativa non abituale; studio puntuale della configurazione con cui l utente ha impostato il computer; lettura attenta ed acquisizione dei metadati dei file (ovvero di tutte quelle informazioni che solitamente caratterizzano le proprietà dei documenti) così da poter leggere ad esempio: nome, pseudonimo o sigla dell autore del documento; orario dell ultima rielaborazione; numero delle volte che il documento è stato aperto per lavorarci; identificativo della stampante utilizzata per l ultima riproduzione di carta e sua posizione all interno di una eventuale rete. Il più delle volte non è affatto sufficiente individuare il computer colpevole, ma è di fondamentale importanza giungere alla scoperta del soggetto o dei soggetti che hanno materialmente creato, modificato o anche solo utilizzato un certo file. È quindi ovvio che occorre definire chi abbia avuto e a quale titolo disponibilità fisica e/o conoscenza di un determinato documento elettronico. Come si fa a ricostruire la scena del delitto? Ogni tentativo empirico è ammesso e c è chi suggerisce un ampia gamma di possibili chance, che altro non sono che l applicazione delle metodologie esposte finora: ricostruzione storica per individuare chi sia stato a lavorare su quel computer in un certo intervallo di tempo; rilevazione topografica dei file di interesse memorizzati in directory destinati ad altro uso; esame anagrafico del nome adoperato per etichettare il file, correlabile al contenuto o al modo di esprimersi di un certo soggetto; individuazione dei file nascosti o cifrati, che possono caratterizzare il profilo specialistico del soggetto che li ha generati o li ha resi inaccessibili; scoperta di informazioni personali nelle proprietà del documento esaminato. BIBLIOGRAFIA MANCA LA BIBLIOGRAFIA, IN ARRIVO

capitolo 26 - I computer e i reati 15

16 sezione 4 - Scienze forensi e computer

2024 © DocPlayer.it Privacy Policy | Condizioni del servizio | Feed-back