INFORMATICA - DF - REPERTAMENTO
SCENA DEL CRIMINE

"... quando arrivi sulla scena del crimine è molto importante definire cosa fare e non fare!"

Marzo 2007

Riferimenti normativi

Nel corso delle attività d’indagine da parte della Polizia Giudiziaria, siano queste di iniziativa o delegate, si pone il problema pratico inerente la ricerca, l’individuazione ed il repertamento dei sistemi high tech e dei dati digitali che contengono al fine eventuale di farne fonti di prova.

Nell’ambito della ricerca di tali fonti, l'art. 354 CPP, secondo comma, così recita: “Se vi è pericolo che le cose, le tracce e i luoghi si disperdano o comunque si modifichino e il pubblico ministero non può intervenire tempestivamente, gli ufficiali di polizia giudiziaria compiono i necessari accertamenti e rilievi sullo stato dei luoghi e delle cose...".

Indagini di sopralluogo sono anche quelle effettuate dagli ausiliari di polizia giudiziaria, o dai consulenti tecnici nominati dal pubblico ministero o dal difensore di una delle parti impegnate nel processo penale, oppure dai periti nominati dal magistrato giudicante, in base all. art. 348 CPP. Analogamente il pubblico ministero, qualora debba procedere ad un “operazione tecnica per cui sono necessarie specifiche competenze, può nominare e avvalersi di consulenti...” (art. 359 CPP primo comma).

L’art. 360 CPP “Accertamenti irripetibili” da' alla persona indagata “la facoltà di nominare consulenti tecnici”. Il sopralluogo è dunque un mezzo di ricerca della prova perché rende possibile l'acquisizione di cose o tracce dotate di attitudine probatoria e costituite prima del processo. La sua “natura” di mezzo di ricerca della prova non varia anche qualora costituisca parte integrante di una perizia che è come visto, un mezzo di prova.

La perizia differisce sostanzialmente dal sopralluogo che è un atto ispettivo mirante a descrivere il più fedelmente possibile la scena di un delitto; il sopralluogo è una serie di atti limitata a rendere obiettiva una situazione di fatto, senza alcun giudizio tecnico sulle cause: è un accertamento statico. La perizia, invece, è un accertamento di carattere dinamico che esprime giudizi valutativi il più possibile precisi e coerenti in risposta a specifici quesiti posti dal magistrato. Il giudice non è vincolato dai giudizi valutativi espressi dal perito, ma non può certamente ignorare gli elementi oggettivi costituiti da cose o tracce raccolti dal perito durante l'attività di sopralluogo. Ciò dimostra che il sopralluogo è anche in questo caso un mezzo di ricerca della prova, perché comunque rende possibile l'acquisizione di cose o di tracce con attitudine probatoria. La documentazione del sopralluogo, essendo normalmente relativa ad atti irripetibili, entra a far parte del fascicolo per il dibattimento (art. 431 CPP lett. b).

Il Problema del repertamento digitale

Esistono due livelli di repertamento di un sistema digitale:

- il repertamento dell’oggetto fisico, che mantiene i dati seguendo un qualche principio fisico (in genere elettrico, magnetico e/o ottico);

- il repertamento dei dati ossia la fedele copia dei dati su supporto sicuro.

Generalmente, come già evidenziato in precedenza, il repertamento fisico anticipa quello dei dati, ma si noti che questa tende a non essere più una regola. Si stanno diffondendo rapidamente sistemi portatili di repertamento dati che consentono di clonare il contenuto completo o parziale di un PC senza necessariamente prelevarlo e trasportarlo in un laboratorio specializzato e questo mentre continua a funzionare (live analysis). Tale dualità tra fisico e dato si presenta solo nella digital forensics ed in nessun altra materia scientifica forense (pagina interessante).

A ciò va aggiunto che  molti dispositivi elettronici memorizzano i dati su memorie che hanno bisogno di batterie tampone o della corrente di rete per non perdere i dati in essi contenuti. Di converso molti altri dispositivi devono essere spenti forzatamente per garantire un buon repertamento (che consenta poi un’analisi efficace).

Il repertamento di PC e di memorie di massa

L’indicazione fondamentale è quella di non “smanettare” direttamente sul sistema alla ricerca di dati utili nella fase di sopralluogo. La prima operazione da compiere è la disattivazione del sistema. Questo perché l’unico stato dell’elaboratore che assicura la sua impossibilità di proteggersi o distruggere dati utili è proprio quello in cui la circuiteria non è alimentata elettricamente.

  • Raccogliere l’hardware e documentarne la configurazione

    • Prima di smontare i vari componenti del computer, è importante che vengano fatte delle fotografie dello stesso da varie angolazioni per documentare la configurazione Hardware e le relative connessioni.

    Una volta smontato il sistema si abbia cura di imballare le singole parti in contenitori che diano la sufficiente protezione meccanica.

  • Raccogliere i supporti di memoria di massa

    • Dopo la disattivazione del sistema (che deve necessariamente essere svolta via hardware e non via software) individuato è necessario passare a raccogliere fisicamente tutti si supporti di memorizzazione presenti. Bisogna fare quindi attenzione a: CD, DVD, cassette di formato diverso da quelle musicali, nastri, hard disk staccati da PC, chiavette USB, ecc.. In generale i pericoli per i supporti magneto-ottici sono di natura:

    (a) Meccanica;

    (b) Termica;

    (c) Elettromagnetica.

  • Documentare i supporti magneto ottici di memoria individuati

    • Floppy Disk, CD, cassette e nastri magnetici di vari formati sono una fonte di dati il più delle volte importantissima ai fini del repertamento, quindi è necessario soffermarsi accuratamente a catalogare ed etichettare tutto il materiale di tal tipo.

  • Trasferire il materiale repertato in un luogo sicuro

    • Un computer o una memoria di massa, una volta sequestrati e prima dell’analisi dei dati, devono essere conservati come reperti e quindi in un luogo poco accessibile, regolato termicamente e tracciato negli ingressi.

    Il repertamento dei Server

    Raramente è indicato effettuare un repertamento fisico di un server, sia per la difficoltà nell'isolare e spegnere correttamente un tale tipo di strumento (generalmente operante real time in rete) che per l'eventuale danno che si finirebbe per arrecare all'organizzazione che lo possiede. La modalità essenziale quindi è quella di individuare i dati di interesse e clonarli in maniera irripetibile (presenza dei periti di parte art. 360 CPP). In alcuni casi è anche possibile effettuare un backup completo del sistema (se i dati sono in quantità limitata). Si tratta di un approccio più sicuro in relazione all'indagine ma preoccupante dal punto di vista della liceità del prelievo (= sequestro) di una mole di dati tanto varia e spesso non strettamente inerente il procedimento penale.

    Il repertamento dei PDA e dei cellulari

    I palmtop e gli smartphone sono sorgenti di dati generalmente insostituibili per le indagini. Purtroppo il loro repertamento non è immediato, soprattutto se il sistema gestisce servizi di comunicazione cellulare. Devono essere prese precauzioni sia per isolare le comunicazioni radio che per impedire lo spegnimento del dispositivo (Mobile Forensics).

    Trattare un sistema in rete

    Problematica tipica dei server e spesso anche di PC casalinghi sui quali si interviene "a caldo" durante le comunicazioni su Internet. Non esiste, ad oggi e per quanto in mia conoscenza, una metodologia generale che preservi tutte le informazioni (quelle in RAM sono in questo caso fondamentali) e che riduca a zero l'intrusività. Da questo punto di vista l'unico modo per effettuare una sorta di repertamento dati è forzare un logging dell'attività della macchina mediante dei software che non necessitano di installazione, il tutto "live", ossia senza spegnere nulla. A ciò sarebbe opportuno aggiungere una video camera che riprende le attività sviluppate dall'operatore forense (per la sua migliore tutela legale).

    Il repertamento di sistemi video/fotografici

    Videocamere e macchine fotografiche digitali devono essere repertati nell'ambito High Tech, soprattutto tenendo conto che le memorie interne/removibili che possiedono su mini schede o chip possono contenere file di qualsiasi genere e non necessariamente immagini. Il prelievo di tali sistemi è relativamente semplice dato che le loro memorie sono in massima parte non temporanee. Bisogna fare molta attenzione a prelevare tutte le memorie effettivamente presenti sulla scena del crimine che talvolta possono passare inosservate data la minima dimensione e magari la lontananza dal sistema di ripresa foto/video.

    Il repertamento di smartcart e sistemi correlati

    Le smartcard vengono impiegati in diversi settori, dalla telefonia mobile all'identificazione biometrica. I lettori e modificatori di smartcard sono generalmente dei sistemi special purpose simili a PC per cui il loro repertamento segue quanto visto in precedenza. La smartcard può essere prelevata senza problemi a patto che non risulti in attività su una di tali macchine.

    Il repertamento di magnetic-card e sistemi correlati

    Le magnetic card trovano il massimo impiego nelle carte di pagamento ed identificazione. Anche in questo caso i lettori/scrittori di card sono dei sistemi special purpose simili a PC e talvolta solo PC collegati a speciali periferiche (es. skimmer). Il loro repertamento, quindi è sostanzialmente di prassi (vedere il capitolo sulle card).

    Il repertamento di sistemi speciali

    I sistemi elettronici speciali come GPS, detonatori, microspie, ecc. necessitano di un repertamento altamente specialistico non suscettibile di generalizzazioni teoriche.

    E il resto?

    Tanto per citare altro: fax, segreterie telefoniche, cerca persone, orologi, fotocopiatrici, stampanti, router, videocontrollori, ecc. devono essere repertati a seconda dei dati che devono essere individuati. Talvolta è sufficiente effettuare un repertamento dati, talvolta bisogna congelare il sistema fisico per la difficoltà di operare in condizioni "live".

    marcomattiucci.it

    Informatica:

    Digital Forensics - articoli:

    Digital forensics: