Studio Ingegneria Informatica Forense

Dott. Ing. Michele Vitiello

Perquisizione Informatica e Sequestro

La perquisizione informatica consiste nell’attività di ricerca di determinati elementi che devono essere acquisiti al fine di renderli disponibili per l’Autorità Giudiziaria, è disposta da un decreto del Magistrato e nella maggior parte dei casi viene compiuta da ufficiali di Polizia Giudiziaria delegati, spesso accompagnati da Consulenti Tecnici e Ausiliari esperti della disciplina interessata, nel nostro caso da uno o più consulenti in informatica forense.

Lo studio di Ingegneria Informatica Forense assiste e collabora durante tali attività al fine di fornire competenza, professionalità e conoscenza della materia per un suo corretto ed efficace svolgimento.

Nell’era dello sviluppo tecnologico, vista la grande mole di dati che il comune cittadino e le aziende devono gestire, i sistemi informatici sono diventati uno strumento essenziale sia per la vita privata sia per il lavoro, passando dai PC ai sistemi di gestione e archiviazione dei dati sino ad arrivare ai dispositivi mobili quali smartphone o tablet, ad oggi saremmo assolutamente in difficoltà facendo a meno anche semplicemente di una di queste “comodità”.

All’interno delle memorie di questi dispositivi vengono inviati, ricevuti e immagazzinati dati essenziali per la vita quotidiana e lavorativa dell’uomo.
Data la grande importanza di queste informazioni le attività investigative sono sempre più impegnate nell’individuare, acquisire e preservare il dato informatico.
Come viene spesso osservato, nella maggior parte dei casi, la prova dell’illecito è sempre più abitualmente annidata nel dispositivo elettronico, anche tutte in quelle ipotesi in cui il sistema informatico non costituisce il destinatario dell’offesa né il mezzo attraverso il quale si è compiuto l’illecito.

La perquisizione nella normativa italiana

L’atto di perquisizione personale o locale è normata dall’articolo n. 352 del Codice di Procedura Penale. Mentre la legge n. 48 del 18 marzo 2008 rappresenta le norme e le best practices da seguire per l’acquisizione della fonte di prova, in particolare del dato informatico, sancendo l’introduzione dei principi fondanti della digital forensics all’interno del nostro ordinamento, prevedendo importanti aspetti legati alla gestione di quegli elementi di prova che, per loro natura, presentano caratteristiche di estrema volatilità e fragilità.

Seppur il legislatore si sia mosso cautamente nell’introdurre i nuovi principi per l’assunzione delle prove informatiche, non indicando cioè nel dettaglio le modalità esecutorie da applicare nell’utilizzo di tali istituti, si è comunque focalizzata l’attenzione su due basilari aspetti, sicuramente più vincolati al risultato finale che non al metodo da utilizzare: il primo aspetto si basa su una corretta procedura di copia dei dati utili alle indagini mentre il secondo aspetto sottolinea la loro integrità e non alterabilità in sede di acquisizione.

Gli strumenti del mestiere

Il Consulente Informatico Forense deve quindi presentarsi preparato all’appuntamento ed è opportuno che sia dotato di tutta l’attrezzatura necessaria ad effettuare copie forensi ed acquisizioni in loco di dispositivi informatici e dati online.

Un possibile Kit di strumenti viene proposto di seguito:

  • Numerosi hard disk di diverse dimensione utilizzati per parallelizzare le acquisizioni di copie forensi da più dispositivi e per effettuare la duplice copia dei dati;
  • Duplicatori Forensi come ad esempio il Logicube Falcon e il Tableau TD1, TD2u, TD3, ecc. per effettuare copie forensi di memorie quali hard disk, pendrive USB e memorie di massa;
  • Write blocker hardware e software per bloccare in scrittura le memorie collegate al Pc;
  • Distribuzioni Linux su pendrive USB da avviare in locale, quali Kali, Caine, Deft e Parrot Security sono tra i più utilizzati;
  • Suite per acquisire dati da dispositivi mobili come smartphone, tablet o navigatori satellitari, come ad esempio Cellebrite UFED e Oxygen Forensics;
  • Software per acquisire dati presenti su servizi cloud di Google e iCloud ad esempio, come Cellebrite UFED Cloud Analyzer, Axiom Cloud e Elcomsoft Phone Breaker;
  • Tool per effettuare il download delle email, Securecube Imap Downloader e Thunderbird Portable sono tra i più utilizzati;
  • Suite di software portable per facilitare le fasi di acquisizione, come ad esempio FTK Imager Portable e Hash My Files.
  • Kit di cacciaviti, pinzette e strumentazione varia per smontare e rimontare dispositivi.

Quando si effettua una perquisizione in azienda, ad esempio, molto spesso la P.G. e i Consulenti in principio si recano presso l’abitazione dell’indagato alle prime ora dell’alba, prima che generalmente quest’ultimo esca per andare a lavoro o per andare a fare le proprie attività.

Se sono da effettuare perquisizioni in diversi obiettivi (vari indagati, diverse località, abitazioni, aziende, proprietà e pertinenze varie), le varie squadre dovranno sincronizzare gli accessi in modo da entrare su ciascun obiettivo contemporaneamente.

Le operazioni necessarie

La prima operazione svolta dall’Autorità competente è l’esibizione del Decreto di Perquisizione che autorizza le operazioni, in quanto prima di poter perquisire viene data la possibilità di nominare un Avvocato, un Consulente Tecnico di parte o di farsi assistere da una persona di fiducia.

L’Autorità Giudiziaria può disporre che siano perquisite anche le persone presenti o sopraggiunte, quando ritiene che le stesse possano custodire o nascondere importanti fonti di prova. Espletate le formalità può cominciare la fase operativa vera e propria:

  • Individuazione ed isolamento dei sistemi informatici (PC, Server, smartphone, tablet, ecc);
  • Individuazione ed isolamento di account online (e-mail, file sharing, archiviazione online, ecc);
  • Richiesta di credenziali per l’accesso, codici di blocco, PIN e password e cambio delle stesse;
  • Richiesta della presenza di dati cifrati e relativa password di decifratura;
  • Perquisizione di tutti i locali e sequestro del materiale di interesse con descrizione dello stato e luogo in cui è stato rinvenuto.

Una volta concluse le operazioni in abitazione queste ultime si trasferiscono in azienda. Effettuato l’accesso ai locali vanno immediatamente isolati tutti i sistemi, facendo allontanare eventuali collaboratori e dipendenti dalle proprie postazioni di lavoro, al fine di quantificare il numero dei dispositivi da sequestrare o acquisire.

Subito va richiesta l’assistenza di un tecnico interno, se disponibile, per agevolare il lavoro e inquadrare immediatamente i componenti dell’infrastruttura informatica, specialmente per le aziende di grandi dimensioni.
Ogni singolo elemento va isolato dalla rete, attivando la modalità aereo sui dispositivi mobili e sui notebook, rimuovendo i cavi di rete dai PC fissi e dal server, ad esempio.

Durante le operazioni è necessario da parte dell’indagato mantenere la calma, risultare disponibili e collaborare con le forze dell’ordine al fine di concludere le operazioni nel minor tempo possibile ed evitare che avvenga il sequestro dei supporti informatici, la quale situazione porterebbe certamente ad un maggior disagio per i tempi di eventuale conferimento incarico per l’effettuazione della copia forense.
Una volta effettuate le operazioni di acquisizione e doppia copia di sicurezza va compilato assieme alla P.G. il verbale, andando a dettagliare tutte le operazioni tecniche effettuate inserendo anche i valori di HASH che certificano le attività di copia forense effettuate.

Ovviamente al termine dei lavori tutti i componenti del sistema informatico, se non vengono sequestrati, vanno nuovamente resi disponibili e funzionanti, al fine di non recare danno interrompendo il processo lavorativo.

Se vengono sottoposti a sequestro dei dispositivi è molto importante accertarsi del loro stato di funzionamento, farsi dare eventuali caricabatteria nel caso non fossero di tipo standard (Cavo Apple, Micro USB, USB C, ecc.) e chiedere tutte le informazioni per poterlo sbloccare e/o accedervi.
Lo studio di ingegneria ha preparato, grazie alla sua esperienza sul campo, un modulo da compilare con tutte le informazioni necessarie da richiedere durante il sequestro dei dispositivi.
Il modulo è disponibile gratuitamente per ogni soggetto che lo volesse utilizzare (Forze dell’ordine, CT ed ausiliari di P.G., ecc.) durante le proprie attività, scaricalo dal seguente link: MODULO DI REPERTAMENTO.

Il ruolo del Consulente Informatico Forense

Viene di seguito proposto un esempio della giornata tipo che deve affrontare un Consulente Informatico Forense durante un processo di perquisizione.

Sveglia la mattina molto presto (partendo tante volte in piena notte) per raggiungere il luogo di intervento, solitamente la P.G. non comunica preventivamente l’indirizzo e il target esatto, al fine di non compromettere l’operazione ed evitare inutili responsabilità al CT.
Una volta riuniti tutti gli attori si cerca di fare un veloce punto della situazione, quantificando a grandi linee la mole di dati da acquisire e la tipologia di reato per cui si sta indagando.

Terminata la fase preparatoria si effettua l’accesso ai locali, le Forze dell’Ordine mostrano il decreto e informano l’indagato delle operazioni che andranno effettuate.
Inizia quindi la fase di individuazione e ricerca delle evidenze di interesse, trattasi in questo caso esemplificativo di uno smartphone Apple e un backup dello stesso salvato nell’area personale iCloud, un notebook con sistema operativo Windows 10, due pendrive USB, un account di posta elettronica Gmail e dei dati presenti sul server.

Subito vanno intercettati ed isolati dalla rete i dispositivi informatici, per quanto riguarda lo Smartphone Apple va richiesto il codice di blocco, la presenza della cifratura iTunes e le credenziali per accedere all’account iCloud, la cui password deve essere immediatamente modificata. Vanno poi individuate le credenziali dell’account Google, al fine di impedire l’accesso all’area riservata.
Mediante procedura apposita si richiede il Takeout, acquisendo oltre alle comunicazioni tutti i dati dell’universo Google, come cronologia delle ricerche web e Youtube, dati sul Drive, accessi, posizioni, ecc. Sia per l’hard disk che per le pendrive USB va chiesto se i dati sono cifrati prima di acquisire l’intero contenuto della memoria mediante duplicatore forense, verificando quanto dichiarato.

Una volta avviato il processo va effettuata anche la copia forense dello smartphone Apple ed effettuato il download del backup iCloud. Infine si potrà effettuare l’accesso al Server, individuati i dati di interesse che potranno essere acquisiti per esempio mediante il tool di acquisizione live FTK Imager Portable.

Effettuare la copia forense dell’intero Server sarebbe un’incredibile spreco di tempo e risorse, operazione che prolungherebbe di molto le fasi operative, pertanto è sempre buona norma ragionare e consultarsi con la p.g. operante su quanto estrapolare.

Al termine del lavoro il Consulente Informatico Forense deve assicurarsi che le varie copie forensi siano integre e conformi alle originali, effettuare la doppia copia dei dati e restituire tutti i dispositivi funzionanti.
Infine va compilato il verbale di operazioni, letto e siglato da tutti i partecipanti, concludendo quindi l’operazione di perquisizione.

Di seguito si propongono alcuni casi pratici in cui il team dello Studio ha partecipato ad attività di sequestro e perquisizione insieme alla P.G incaricata:

Falso vino Doc nell’Oltrepò Pavese, cinque arresti

Perquisizioni in Lombardia, Piemonte, Veneto, Emilia-Romagna e Trentino Alto Adige  Pavia -  Come viene citato nell'articolo della "Stampa", il vino era venduto come pregiato e d’origine controllata, in realtà era prodotto con uve non certificate come biologiche o...

Per informazioni, puoi contattarci chiamando il numero 030.3540238, cliccando su Whatsapp o se preferisci utilizzando il modulo sottostante.

Informativa Privacy