Attendibilità dei sistemi di computer forensic

ICT-Security n.ro 9 del 10-01-03

di Andrea Monti

Attualmente nei processi è molto frequente che il pubblico ministero chieda che vengano considerate “prove”:

log di server inviati via fax dal provider
stampe di home page
stampe di e-mail (nemmeno firmate digitalmente)
stampe di sessioni di chat
contenuti di supporti di memorizzazione utilizzati dagli accertatori prima di apporre i sigilli1

contenuti di supporti sequestrati ma non sigillati
reportistiche generate da tool proprietari di computer forensic, per di più utilizzati su supporti acquisiti in modo non rigoroso
“perizie” d’ufficio predisposte da “consulenti” privi di formazione specifica nel settore della digital evidence e, in qualche caso, nemmeno laureati o laureati in materie non tecniche
relazioni di servizio sui contenuti di un sito remoto2predisposte da agenti e ufficiali di polizia giudiziaria privi di competenze specifiche
identificazione di un soggetto solo tramite userid e intestazione della eventuale utenza telefonica impiegata per il collegamento in rete

Capita con altrettanta frequenza che i magistrati giudicanti (che probabilmente non vogliono “sprecare” il “lavoro” fatto durante le indagini) ritengano attendibili queste “prove” e su di esse basino le loro decisioni. Superando con un atteggiamento basato sul principio del libero convincimento del giudice i dati tecnici – che pure dovrebbero condurre all’inutilizzabilità di informazioni così malamente raccolte.

Va detto che, stranamente, questo atteggiamento di inquirenti e giudicanti si è manifestato in modo particolare per quanto riguarda l’informatica. Mentre, infatti, l’ammissione in un processo di altri tipi di prova (il test del DNA, per esempio) è stata soggetta a un lungo periodo di stretta “osservazione” e di analisi critica da parte di illustri scienziati, questo non è accaduto con la digital evidence. Che entra nei processi dalla porta principale come se fosse già elemento consolidato e non, come in effetti è, tema ignoto sul quale tutto è ancora da scrivere.

Gli elementi fondamentali per l'”accettazione” di una prova informatica3 in un processo sono la garanzia dell’integrità e della non repudiabilità dell’elemento raccolto. Obiettivi che dovrebbero essere assicurati prima di tutto con una corretta procedura di raccolta e conservazione dei supporti che contentono i dati e poi con l’impiego di strumenti di analisi che generano risultati replicabili senza alterare i contenuti originali. Cosa che oggi, in Italia, non accade; infatti gli strumenti attualmente in uso non danno – in termini processuali – adeguate garanzie del rispetto del diritto di difesa. Non essendo possibile analizzare i sorgenti di questi programmi, la validità dei report da loro generati è fondata su un vero e proprio atto di fede.4

A ben vedere esiste un metodo alternativo per la creazione e utilizzo di strumenti di computer forensic in grado, nello stesso tempo, di consentire le indagini e rispettare i diritti della difesa. Come dimostra lo studio5 pubblicato dal prof. Larry Leibrock che insegna computer forensic all’università del Texas. Si tratta di un lavoro molto rigoroso dedicato all’individuazione del tipo e numero di file che vengono modificati ogni volta che WindowsXP viene acceso e spento. La metodologia applicata prevede la documentazione accurata delle condizioni di partenza, dei risultati e il codice sorgente delle applicazioni appositamente sviluppate allo scopo. Uno schema di lavoro che dovrebbe e potrebbe essere il modello per una perizia giudiziaria che voglia veramente definirsi tale.

1 In un caso, si evince chiaramente dal verbale di compiute operazioni che gli agenti e ufficiali di polizia giudiziaria hanno utilizzato il computer da sequestrare per scrivere il verbale di sequestro.

2 In sede di controesame nel corso di un processo penale un ufficiale di polizia giudiziaria incaricato di verificare i contenuti di un web ha tranquillamente ammesso di non avere alcuna competenza in materia di informatica e di avere fatto fare tutto al provider.

3 Termine orrendo ma, al momento, funzionale.

4 Ci sono molte e fondate ragioni per non dare valore giuridico ai report generati da software di computer forensic che sono lincenziati secondo un modello proprietario. E’ un argomento che verrà trattato approfonditamente nei prossimi numeri

5 http://praetor.bus.utexas.edu/leibrock/xpforensics/ 

Possibly Related Posts: