GIUPPONIS.IT

Vai ai contenuti

FORENSICS

Investigazioni informatiche

A partire dall’anno 2008, La ditta Giupponi Stefano si è specializzata in Computer Forensic, offrendo ai suoi clienti un servizio che viene richiesto con sempre maggiore frequenza: l'investigazione di informatica forense. L'emergere del fenomeno tecnologico relativo a comportamenti illeciti o abusivi in grado di danneggiare interessi e diritti fondamentali personali e collettivi.
Con il sorgere di queste nuove comportamenti illeciti, si è avuto un aumento significativo relativo alle truffe informatiche che alla crescita dello spionaggio industriale, di conseguenza la Giurisprudenza si è sensibilizzata ad intervenire contro i così detti così detti Delitti Informatici e le richieste di perizia informatica. Per tale ragione, la nostra Azienda crea un team di tecnici specializzati nel recupero dati informatici, al servizio dell'investigazione e della perizia informatica.
Mantenendo una rigida politica di professionalità e di riservatezza, il team tecnico, offre un servizio integrale di perizia informatica che comprende dall'assistenza tecnica, fino alla prestazione di dichiarazioni nei Tribunali di Giustizia, nel caso in cui si rendessero necessarie. Se desidera ulteriori informazioni sul servizio di Informatica forense o di Perizia Informatica, la preghiamo di contattarci al telefono l' Ing. Giupponi Selene al numero 06-9698203 oppure di visitare il nostro sito web.



Campi di Applicazione delle consulenza informatica con procedure "computer forensics":

individuazione, recupero e ricostruzione di dati da supporti magnetici (hard disk, floppy, memory card, "chiavette" USB, nastri DAT, ecc.), ove tecnicamente possibile anche se cancellati o formattati, ad es. contabilità “in nero”, foto e filmati, messaggi e-mail, pagine internet visitate, files criptati e qualunque altro file da utilizzare come elemento probatorio sia in caso di reati informatici che di altro tipo;

ricerca prove in supporti informatici in scenari di criminalità eversiva e terroristica;
ricostruzione cronologica degli accessi a risorse web e di tutte le operazioni di apertura e manipolazione di files da supporti locali e remoti;

ricerca della titolarità di siti internet italiani ed esteri, identificazione dei mittenti di e-mail e degli interlocutori in “chat”;
analisi completa del contenuto di supporti magnetici ed ottici ed esecuzione di copie integrali su CD, DVD o unità ad alta capacità, con possibilità di indicizzazione totale o parziale per ricerche “full text” con risultati istantanei anche su hard disk esterni;

analisi e recupero dati (rubriche, SMS, MMS, registri chiamate, foto ecc.) dalla maggior parte dei telefoni cellulari e dalle SIM card;

acquisizione dei dati di gioco dagli apparecchi automatici da intrattenimento di cui all’art. 110, comma 6, del T.U.L.P.S. direttamente dalla scheda elettronica di gioco per il controllo della rispondenza alla normativa vigente;
verifica del contenuto e dell’autenticità di CD e DVD ai fini della normativa sul diritto d’autore (musica, film, software "pirata");
realizzazione di database MS Access per l’organizzazione e l’analisi incrociata delle risultanze investigative, nel caso di accertamenti particolarmente corposi e complessi.


Support phone

SUPPORTO TECNICO (Hardware / Software)
Sig. Giupponi Stefano : 06-9698203 3356136991 stefano@giupponis.it

Ing. Giupponi Selene : 06-9698203 selene@giupponis.it

AMMINISTRAZIONE :
Sig.ra Abà Mirella : : 06-9698203 mirella@giupponis.it


MAPPA

RICHIEDI INFORMAZIONI

COMPUTER FORENSICs

APPROFONDIMENTI: L'ACQUISIZIONE DELLA PROVA DIGITALE

La pervasività della tecnologia elettronico-informatica ha comportato, tra l’altro, un sensibile aumento dei casi in cui i computer e gli apparati di comunicazione digitali vengono utilizzati come mezzo per commettere reati o dove si trovano le prove dell’illecito, e spesso si tratta di reati non prettamente informatici. Accade quindi che gli elementi idonei ad accertare il reato siano costituiti da files contenuti nei vari tipi di supporti di memorizzazione, dai comuni hard disk, CD/DVD, floppy, USB pen drive, fino ai molteplici tipi di memory card, nastri magnetici, smart card ecc.
La particolarità di questi strumenti, in quanto corpo del reato o cose pertinenti al reato, offre spunti di riflessione non di poco conto, sia dal punto di vista tecnico che giuridico. Si pone infatti, quanto meno, un duplice ordine di problemi: quello relativo alle modalità tecniche di acquisizione, trattamento e custodia delle prove che risiedono in memorie di massa, e quello inerente gli strumenti giuridici più opportuni che la procedura penale mette a disposizione per la ricerca della prova, tenendo conto dei diritti e delle garanzie dell’indagato.
Tecnicamente, si può osservare che i dati memorizzati su di un hard disk o qualunque altro supporto riscrivibile sono per loro natura facilmente alterabili, quindi i principali problemi che si pongono sono:

1. evitare modifiche nel supporto “originale”;

2. garantire in ogni momento la perfetta identità tra i dati presenti nel supporto in sequestro e la copia da utilizzare per gli accertamenti.
La stessa distinzione tra originale e copia perde il senso che assume nella riproduzione ad esempio di documenti cartacei, dato che una sequenza di bit scritta con identico ordine e posizione su due memorie digitali non presenta alcuna differenza, ma continueremo ad usarla per comodità, tornando utile per fare riferimento ai dati contenuti nei supporti sottoposti a sequestro rispetto a quelli da utilizzare per gli accertamenti del caso (tipicamente la consulenza tecnica).
Trattandosi di cose immateriali, i files contenenti prove del reato devono essere necessariamente sempre “appoggiati” ad un supporto di memorizzazione, per cui al momento del sequestro si può porre il problema di quale sia l’oggetto del provvedimento. Escludendo, se non in casi particolari, di estendere il sequestro a tutto l’apparato informatico e periferiche (come pure spesso è accaduto) l’asportazione materiale riguarderà normalmente solo le memorie di massa.
Spesso, in luogo del sequestro, lo strumento dell’ispezione può ugualmente soddisfare le esigenze di ricerca della prova, con un minore impatto sull’ordinaria attività del soggetto (specie quando il computer è utilizzato anche per motivi di lavoro), mediante l’effettuazione sul posto della copia “bitstream” delle memorie digitali da parte di un esperto di “computer forensics” (informatica giudiziaria e/o forense) in veste di ausiliario di P.G., compatibilmente con la situazione logistica e temporale contingente. Questa opzione procedurale, pur presentando indubbi vantaggi, richiama i problemi tecnici di cui si è fatto cenno. Se eventuali modifiche del supporto originale in fase di copia possono essere evitate anche grazie a specifici strumenti hardware, più problematico, visto che il supporto rimane nella disponibilità dell’abituale utilizzatore, potrebbe essere garantire la perfetta identità tra originale e copia sia al momento dell’operazione che in tutte le fasi successive, fino all’eventuale dibattimento. In particolare, per tutta la durata del procedimento bisognerà essere in grado di dimostrare che la copia sulla quale si eseguono gli accertamenti e che fornirà eventuali prove del reato è perfettamente identica a quella in possesso dell’indagato (o del terzo non sottoposto ad indagini ma in possesso di materiale probatorio) al momento dell’intervento.

Anche quando si procede con sequestro, può essere opportuno lasciare il materiale in giudiziale custodia a chi lo detiene. Con ciò si ottiene il duplice risultato di:

- evitare il rischio di danneggiamento (e di richieste di risarcimento) degli apparati durante il trasporto e la custodia da parte della P.G. o presso gli uffici giudiziari;
- facilitare le operazioni dell’eventuale dissequestro.
Sia in caso di sequestro senza asportazione del materiale che in caso di ispezione, è importante documentare l’assoluta identità tra dati originali e dati copiati.
A tal fine, bisognerà acquisire sul posto l’immagine bitstream di ogni memoria di massa, calcolando il valore di hash sia dell’originale che dell’immagine (ovviamente i due valori dovranno coincidere); tutti i valori di hash calcolati dovranno essere stampati, formando parte integrante del verbale redatto dalla P.G. operante, nel quale risulterà anche l’indicazione del dispositivo hardware write block utilizzato per la copia. Con questa procedura difficilmente potranno essere mosse fondate contestazioni circa la genuinità, l’integrità e l’uguaglianza all’originale della copia acquisita. Tale copia potrà anche essere utilizzata per successivi accertamenti tecnici da parte di consulenti della difesa o periti nominati dal giudice.

L’unico limite della tecnica descritta, tenuto conto delle dimensioni dei moderni hard disk e che per l’effettuazione della copia si utilizzerà uno o più computer portatili con dischi esterni, può essere costituito dalla quantità di dati da acquisire, e quindi dal tempo necessario. Si può comunque affermare che protraendo per più giorni le operazioni (mantenendo le opportune cautele sui supporti ancora da acquisire) e disponendo di adeguata capacità di storage mobile, non vi sono praticamente limiti insormontabili.

Per velocizzare le varie operazioni (acquisizione immagine bitstream, calcolo dell’hash di originale e copia, stampa degli allegati) è opportuno utilizzare un software specifico in grado di eseguire in modo efficiente tutti i passaggi.
La scelta di questa procedura andrà comunque valutata dagli organi inquirenti in relazione alle peculiarità dell’indagine, ma occorre sottolineare che anche nel caso di sequestro con asportazione del materiale, il metodo descritto garantisce la non ripudiabilità, da parte dell’indagato, dei dati acquisiti. Il differimento della copia ad un’epoca successiva (normalmente all’esecuzione della consulenza tecnica per il P.M.) comporta invece la consegna dei supporti originali al C.T., il quale eseguirà la copia nel proprio laboratorio, da solo o comunque senza la presenza dell’indagato o del suo difensore. In questa procedura vi un intervallo di tempo, quello compreso tra la consegna del plico sigillato al C.T. ed il calcolo dell’hash sull’originale, che sfugge alla catena di custodia della prova digitale, prestando il fianco a possibili (anche se improbabili) contestazioni o dubbi sul valore probatorio della consulenza.
Una via di mezzo tra l’esigenza di una corretta acquisizione della prova e l’eventuale difficoltà nel compiere le operazioni di copia sul posto, ma attuabile solo in caso di sequestro con asportazione dei supporti, può consistere nell’eseguire in sede di intervento (alla presenza dell’indagato ed eventualmente di una persona di sua fiducia e del suo difensore) solo il calcolo dell’hash dei supporti da acquisire (operazione più veloce ma che soprattutto richiede pochissime risorse di memorizzazione rispetto alla copia contestuale), rimandando ad un secondo momento (in condizioni logistiche più favorevoli presso il laboratorio del C.T.) la copia e l’esame dei dati. In questo modo l’uguaglianza tra il valore di hash calcolato al momento del sequestro e quello calcolato sullo stesso supporto al momento della copia (verifica ripetibile in ogni momento successivo) fugherà ogni dubbio circa la correttezza della procedura e la genuinità della prova.


HOME | SERVIZI | SOFTWARE | IBM i | HW USATO | STUDIO LEGALE | CONTATTI | IL BLU | LINK UTILI | IBM i - Presentazioni | FORENSICS | Lotus Symphony | Mappa del sito

Torna ai contenuti | Torna al menu