Computer Forensics

Omicidio di garlasco. Oggi la sentenza

E’ attesa per oggi la sentenza relativa all’omicidio di Garlasco, nel quale la perizia informatica e le computer forensics hanno svolto un ruolo importante nel sorreggere le tesi della difesa.

Fabio Bravo

www.fabiobravo.it

Mobile Forensics. XRY e SMS

La digital forensics rientra tra le tecniche investigative più interessanti e di utilità crescente. La ricerca di indizi e l’acquisizione della prova attraverso l’analisi dei dati in forma elettronica sui dispositivi interessa non solamente i computers, ma anche i dispositivi di diverso tenore, compreso cellulari, palmari, etc.

Recentemente la digital forensics ha catalizzato l’attenzione del grande pubblico per la rilevanza che assume nelle indagini e nel procedimento penale anche dei crimini violenti, come per l’omicidio di Garlasco.

E’ di applicazione diffusa, non solo per i reati informatici.

Per la verità si tratta di tecnica investigativa utilizzata anche al di là delle ipotesi di reato, come avviene in contesti industriali o comunque aziendali (spionaggio industriale, concorrenza sleale, etc.), nei rapporti con i dipendenti (nei casi di licenziamento a seguito, ad esempio, di navigazione su Internet e download di file estranei all’attività lavorativa da parte del lavoratore, durante l’orario di lavoro; etc.), nei casi di accertamento delle responsabilità in sede civile, e così via.

Riscontri di grande rilevanza si ottengono proprio analizzando i dispositivi che più si utilizzano, giacché sono costantemente sottomano, come avviene per cellulari, palmari, PDA, etc.

La “mobile forensics” richiede un’attenzione particolare rispetto alla “digital forensics” in generale.

Soluzioni tecnologiche mirate alla mobile forensics sono state approntate da imprese specializzate, come per la soluzione commercializzata con il marchio “.XRY”, che offre un importante aiuto al digital forenser chiamato ad analizzare i dispositivi mobile.

Benedetta Perilli, per La Repubblica, ne offre una descrizione ponendo provocatoriamente l’attenzione sulle ripercussioni sociali a fronte della possibile violazione della privacy, prospettando solo uno degli scenari possibili, legato alle infedeltà coniugali.

L’articolo, che ha il pregio di avvicinare il grande pubblico a tematiche di settore come questa, mi sembra che contenga un’imprecisione vistosa nella parte in cui attribuisce la paternità di XRY ad una società di consulenza australiana Khor Wills & Associates, anziché alla produttrice svedese Micro Systemation (come invece risulta da questo link  - e in particolare questo – nonché da questo documento tecnico). 

Per avere un’idea del funzionamento di XRY si può consultare anche questo post.

Peraltro, l’offerta dei tools di mobile forensics è varia e, come ricorda un commento reperito in rete, a seguito di prove tecniche per testare la loro funzionalità, è sempre opportuno che l’analista ricorra per il medesimo caso a software diversi, cumulativamente (una prova tecnica con 5 tools diversi ha dato risposte differenti e non tutto ciò che è stato rilevato in un test veniva rilevato anche negli altri test). 

Avv. Fabio Bravo

www.fabiobravo.it

Omicidio di Garlasco. Rinvenuti nella chiavetta usb della vittima file relativi ad articoli sulla pedofilia

Come riportato dal Corriere della Sera in un recente articolo, su una chiavetta USB di Chiara Poggi, la vittima dell’omicidio di Garlasco, sarebbero stati ritrovati diversi file scaricati da Internet, alcuni in PDF, che riproducono articoli sulla pedofilia. I file sarebbero stati scaricati in epoca antecedente al delitto, tra il 17 marzo ed il 24 maggio 2007  (l’omicidio è avvenuto il 13 agosto 2007).

Stando alla ricostruzione del Corriere,

Il primo articolo è sugli “Omicidi senza colpevoli”. Poi ci sono i file archiviati come “pedofilia 1, 2 e 3″ che riportano altri articoli di giornale: «Chi sono davvero i pedofili? Sono vittime di una patologia dell’istinto o di una devianza psicosociale?». File tratti da Internet che vennero salvati sulla chiavetta usb di Chiara Poggi soltanto pochi mesi prima che la ragazza venisse uccisa (…) 

Il rinvenimento dei file, nell’articolo sopra citato, viene ricondotto ad un accertamento tecnico (di computer forensics) che sarebbe stato fatto eseguire dalla parte civile, mediante il proprio consulente tecnico informatico.

Si aprono nuovi percorsi e nuove ipotesi investigative, da verificare.

Si legge ancora, nel già citato articolo:

“Un giallo che apre la strada a nuovi interrogativi. I dati emergono dalla consulenza informatica della parte civile, quella che rappresenta la famiglia Poggi al processo contro Alberto Stasi, indagato per la doppia accusa di omicidio e detenzione di file pedopornografici: 128 pagine depositate il 30 settembre scorso, già inserite nella perizia che gli esperti nominati dal Tribunale dovranno a loro volta consegnare al gup Stefano Vitelli. Se per la parte civile non è stato possibile ricostruire con esattezza cosa Chiara vide sul computer del fidanzato tra le 21,59 e le 22,10 del 12 agosto, la sera prima di essere uccisa nella sua villetta di via Pascoli (ora in cui lui stesso ha sempre dichiarato di essersi allontanato da casa Poggi per andare a chiudere il cane), è certo cosa la ragazza salvò sulla chiavetta tra il 17 marzo e il 24 maggio precedenti”.

La computer forensics si rivela capace ancora una volta di dare nuovi slanci per le investigazioni, utili non solo per accertare le responsabilità in sede penale, ma anche per le richieste risarcitorie della parte civile nell’ambito del procedimento penale, pure per reati diversi da quelli etichetabili come computer crimes o computer related crimes, quali il reato di omicidio in questione.

 Seguiremo ancora gli sviluppi (sull’argomento si vedano anche questi post).

Avv. Fabio Bravo

www.fabiobravo.it

Un singolare caso di computer forensics. Ladro d'appartamento usa PC della vittima per collegarsi a facebook durante il furto, lasciando tracce informatiche

Un singolare episodio, rilevante per la casistica di computer forensics ma anche per gli effetti palesi della c.d. “internet-dipendenza”, ha visto come protagonista un ladro di appartamento, che in occasione del furto presso l’abitazione della vittima, rinvenendo un computer acceso, non ha resistito a collegarsi con il proprio account a facebook, il celebre social network, lasciando importanti tracce che hanno consentito la sua identificazione da parte delle forze dell’ordine.

La notizia è stata diffusa da La Stampa.

L’analisi del computer della vittima ritrovato sulla scena del crimine, non trascurata in sede investigativa, ha portato all’identificazione dell’autore del furto. Si tratta di un tipico esempio in cui le tecniche investigative di computer forensics possono portare a risolvere casi concernenti reati tradizionali, che poco hanno a che fare con i reati informatici (cybercrimes, computer crimes o computer related crimes).

 Ovviamente l’individuazione dell’autore del furto a poco serve se le tracce informatiche rinvenute non sono state acquisite secondo determinate procedure che garantiscono l’utilizzabilità della prova nel corso del processo penale.

Sarebbe interessante sapere se gli investigatori abbiano o meno applicato le best practices di computer forensics o, come più di talvolta avviene, si siano lasciati guidare più dal fiuto investigativo e meno dal rigore di chi sa che, a seconda di come si agisce nell’acquisizione della prova informatica e nella sua conservazione fino al dibattimento, dipende l’utilizzabilità della stessa nelle dinamiche processuali.

Di fronte ad una prova informatica compromessa, tuttavia, rimane sempre la possibilità di utilizzare ulteriori elementi probatori, come sembra evincersi dalla lettura dell’articolo sul caso in esame, ove, nella parte conclusiva, si legge che all’indentificazione, resa possibile dalle tracce lasciate sul PC della vittima, ha fatto seguito la perquisizione presso l’abitazione dell’indagato, nella quale è stata ritrovata parte della refurtiva sottratta dall’abitazione del derubato.

In altre parole, la computer forensic è apparsa decisiva nelle indagini ai fini dell’identificazione dell’autore del reato, supportata, sul piano investigativo e probatorio, dai riscontri ottenuti ricorrendo ai più consueti metodi investigativi.

Fabio Bravo

www.fabiobravo.it

Omicidio di Garlasco. Riflessioni sulla prova scientifica

L’omicidio di Garlasco, che stiamo seguendo per la rilevanza assunta in sede investigativa e processuale dalla computer forensics e dall’esame forense del DNA, è destinato a passare alla storia per le riflessioni sui confini di validità della prova scientifica e sulle modalità di effettuazione delle indagini.

Quanto a quest’ultime, forse sarebbe il caso di insistere sull’applicazione di protocolli investigativi, se è vero quanto riportato in questo interessante articolo di Piero Colaprico per la Repubblica, in cui si metteno in evidenza alcune difficoltà che possono sorgere in relazione alle scelte operative degli investigatori.

L’articolo, però, si interessa anche di un altro grande tema, quello della fragilità della prova scientifica, apparentemente in grado di dare soluzioni univoche, ma che spesso si mostra non univoca nella lettura che gli esperti ne fanno.

La triste storia di Clotilde Zambrini, a chiusura del pezzo di Niccolò Zancan per La Stampa dedicato prevalentemente all’operato dei RIS in relazione alle indagini scientifiche, costituisce un bello spunto di riflessione sul valore attualmente assegnabile alla prova scientifica, rispetto a quella tradizionale, basata su evidenze di altra natura.

Dopo la richiesta di nuovi accertamenti tecnici, nell’ambito del rito abbreviato, nel processo ad Alberto Stasi ritorna alal ribalta il tema della valutazione della prova scientifica, tacciata come capace di fornire risultanze univoche, ma che, all’esame concreto, si rivela suscettibile di interpretazioni differenti.

Certo è che il nuovo accertamento peritale sull’omicidio di Garlasco ha fornito un riscontro opposto a quello reso da Garofalo e dalla sua squadra, in seno ai RIS di Parma.

Le risultanze sono sorprendenti per la molteplicità delle discordanze, che, lungi dal fare chiarezza su chi sia l’autore del delitto, forniscono un decisivo contributo alla difesa dell’imputato.

Di fronte alla confutazione delle conclusioni a cui è giunta l’accusa sulla data della morte di Chiara Poggi, sulle traccie biologiche rinvenute sul dispenser del sapone e sui pedani della bicicletta, ma non sulla suola delle scarpe di Alberto Stasi, riemerge la rilevanza degli accertamenti peritali di computer forensics, in grado di confermare l’alibi dell’unico imputato.

I problemi non rimarranno isolati, ma interesseranno una quantità notevole di casi, se si pensa al fatto che ormai anche l’Italia vede affacciarsi la prospettiva di una sistematica utilizzazione della banca dati del DNA per fini investigativi e processuali, al di là di quanto già avveniva e tuttora avviene con il materiale biologico e i profili genetici conservati presso i RIS di Parma, Roma, Messina e Cagliari.

Si deve riflettere, secondo me, sull’approccio alle tecnologie, siano esse informatiche o biologiche (bio-informatiche, come attualmente avviene per l’analisi forense del DNA).

Occorre evitare che nel processo penale si segua quell’approccio che si aveva un tempo con l’avvento dei primi calcolatori elettronici, di fronte ai quali chi li usava o ne legeva gli output, era portato a ritenere di essere di fronte a realtà oggettive, assolute, senza riflettere sul fatto che la lettura degli output dipende (1) dalla qualità degli input e (2) dal processo di elaborazione usato, nonché (3) dalla capacità di chi gli output li legge, chiamato a svolgere comunque (4) un’attività interpretativa, naturalmente radicata con la lettura degli output medesimi.

Bella, al riguardo, la chiosa finale di Piero Colaprico:

Ma davvero ci vogliono due anni per stabilire che, se si cammina sulla ghiaia o sull’erba bagnata, il sangue secco può staccarsi dalle suole? Nei laboratori dei telefilm non succede mai, nella realtà della provincia italiana sì.

 Fabio Bravo

www.fabiobravo.it

Comunicazione politica su Internet e reati. Il caso della Lega Nord di Mirano

In un articolo del Corriere, in cui si invita alla rimozione da Facebook dello slogan razzista presente accanto al simbolo della Lega Nord di Mirano (cf., sull’argomento, anche questo post), viene riportata la notizia della denuncia sporta dall’Osservatorio Antiplagio

L’«Osservatorio Antiplagio», blog di vigilanza sulla tv e sui media, ha scritto una lettera al presidente della Camera, Gianfranco Fini, al ministro dell’Interno, Roberto Maroni, alla polizia postale e alla Guardia di finanza per denunciare la vicenda. «Tra gli oltre 430 amici del gruppo – si legge – compaiono un centinaio di link di circoli della Lega Nord sparsi in tutta Italia, compreso quello di Milano, e di due parlamentari leghisti: il leader, nonché deputato e ministro delle Riforme, Umberto Bossi, e il capogruppo alla Camera dei deputati, Roberto Cota. L’adesione di esponenti della maggioranza di governo a un gruppo xenofobo fa piena luce sulle nuove norme anti-immigrazione. E conferma, se mai ve ne fosse bisogno, che la fine degli extracomunitari nei lager di ”accoglienza” di Gheddafi o il loro annegamento in mare sono auspicati anche da rappresentanti delle istituzioni».

A tali considerazioni sono state contrapposte le smentite della Lega Nord ed in particolare di Cota, il quale avrebbe dichiarato che in realtà s’è trattato di una “truffa”.

Così recita l’articolo citato:

Ma la pagina “leghista” su Facebook sarebbe in realtà una truffa. Lo dice il capogruppo del Carroccio alla Camera Roberto Cota: «Ancora una volta stiamo assistendo a un circuito mediatico impazzito, che si muove con la complicità di chi gioca a mistificare la realtà. L’amicizia su Facebook si dà in buona fede a centinaia di soggetti ogni giorno e non si può in alcun modo essere responsabili delle condotte altrui. In questo caso siamo di fronte a una vera e propria truffa, perché qualcuno si è spacciato per leghista, intestando una pagina Facebook a una sezione della Lega che abbiamo verificato non corrispondere; oltretutto è stato utilizzato per questa pagina un manifesto patacca (evidentemente ritoccato graficamente) che la Lega non ha mai ideato, né tantomeno stampato. Detto questo, probabilmente esiste un problema di regole. Io ho ovviamente fatto rimuovere subito l’amicizia a questa fantomatica pagina e segnalato la truffa al gestore. Lo stesso farà Umberto Bossi».  

L’articolo prosegue riportando anche le parole utilizzate dai rappresentanti della Lega Nord di Mirano, i quali avrebbero dichiarato:

«Non abbiamo una sede figurarci se abbiamo un computer – commenta Fabiano Dalla Venezia, numero uno del Carroccio nella cittadina veneta – e quindi tanto meno un sito, tant’è che siamo reperibili solo attraverso quello ufficiale della Lega della provincia di Venezia». «Io stesso non uso Facebook – aggiunge – e credo che quello che è apparso in rete sia uno scherzo di cattivo gusto se non qualcosa di peggio. Quello manifestato in rete è un atteggiamento – sottolinea – che è lontano dal nostro modo di fare politica; la logica dell’insulto non ci appartiene. Di certo c’è che faremo delle indagini per capire chi è stato e se dovessi scoprire che è iscritto alla Lega non c’è dubbio che lo allontanerò all’istante».

C’è da chiedersi perché, di fronte ad una lamentata “truffa”, nonché, di fronte all’usurpazione dell’immagine, al furto di indentità ed all’uso denigratorio del logo e dei simboli leghisti, con conseguente lesione dell’onore, della reputazione e dell’immagine del partito, le indagini che si preannunciano siano solo quelle “interne”.

Non sarebbe logico che si procedesse, da parte della Lega Nord, alla denuncia-querela alle pubbliche autorità nei confronti di chi abbia compiuto l’insieme dei reati, molti dei quali perseguibili solo con la querela della parte offesa?

Qulacuno sa se i rappresentanti della Lega Nord abbiano sporto querela o abbiano quantomeno denunciato tali fatti alle forze dell’ordine o alla procura, in modo da far attivare le indagini del caso, anche di computer forensics, per l’individuazione degli autori degli illeciti paventati?

Fabio Bravo

www.fabiobravo.it

Rinviata la sentenza sull’omicidio di Garlasco. Disposti nuovi accertamenti (anche su DNA e Computer)

Il caso relativo all’omicidio di Garlasco, dopo la richiesta di rito abbreviato, vede ulteriori evoluzioni. Il Giudice, ritiratosi in camera di consiglio, ha ritenuto di differire l’emanazione della sentenza richiedendo d’ufficio nuovi accertamenti, considerati decisivi, quali:

a) l’analisi del computer dell’imputato (computer forensics);

b) l’accertamento dell’orario della morte della vittima;

c) l’accertamento in ordine alla possibilità per l’imputato di non sporcarsi le scarpe con il sangue della vittima;

d) un nuovo sopralluogo sulla scena del crimine;

e) nuovi accertamenti sulle tracce del DNA di cui ai campioni biologici (tracce di sangue) rinvenuti sui pedali della bicicletta dell’imputato e sul dosatore del sapone presente nell’appartamento della vittima;

f) nuovo accertamento sulle scarpe dell’imputato, al fine di verificare anche il grado di idrorepellenza e lo stato di conservazione.

Come rilevato da un articolo apparso sul sito di TGCOM, infatti, si apprende che

«Il giudice chiede nuove indagini su tre punti: l’orario della morte, la possibilità di non sporcarsi le scarpe sul pavimento macchiato di sangue e sul computer di Stasi: l’imputato sostiene di aver lavorato mentre Chiara veniva uccisa.

Il gup di Vigevano Stefano Vitelli ha disposto anche un sopralluogo nella villetta di Garlasco dove è avvenuto il delitto e una perizia sul computer di Alberto Stasi. Slitta, pertanto, le sentenze nei confronti del ragazzo, quella per l’omicidio, per il quale il pm ha chiesto la condanna a 30 anni di reclusione e quello di detenzione e diffusione di materiale pedopornografico.

Altri accertamenti sono stati disposti dal giudice anche sulle tracce di dna trovate sui pedali della bicicletta di Stasi e sull’erogatore di sapone nel bagno di casa Poggi; e, infine sulle scarpe di Stasi e sul loro grado di idrorepellenza e sullo stato di conservazione.

Sono, dunque, cinque i nuovi accertamenti che comporranno la superperizia, ritenuta dal gup indispensabile per emettere la sentenza. Il giudice ha già nominato i periti: si tratta di docenti delle università di Torino e di Pisa che inizieranno a lavorare il prossimo 13 maggio».

Si noti, in particolare, l’importanza attribuita all’analisi forense del computer (computer forensics) nel caso di omicidio in questione, in relazione all’ora esatta della morte della vittima.

Sarà interessante vedere come il Giudice affronterà i punti critici connessi al mancato rispetto delle best practices in materia di computer forensics, già rilevate con riferimento alle consulenze tecniche disposte dal pubblico ministero.

Continueremo a seguire il caso.

Fabio Bravo

Omicidio di Garlasco. Rito abbreviato e computer forensics

A seguito della richiesta della difesa di Alberto Stasi, imputato per l’omicidio di Chiara Poggi, si è celebrato il processo con rito abbreviato.

Rimane da vedere come verrano affrontati i punti critici di tale vicenda, tra cui la valenza probatoria degli accertamenti tecnici effettuati sui computer dell’imputato, contestati dalla difesa per via della violazione delle norme di computer forensics che dovrebbero garantire la corretta conservazione del materiale informatico oggetto di accertamento e l’inalterabilità dei contenuti in formato digitale.

Rimane poi aperta la questione relativa alla detenzione di materiale pedopornografico, che sarebbe stato rinvenuto sui medesimi computers periziati al fine di trovare conferma all’alibi dell’imputato, secondo cui al momento dell’omicidio sarebbe stato intento a lavorare sulla sua tesi.

La valenza probatoria che verrà attribuita agli accertamenti tecnici ha dunque un duplice risvolto, in quanto va ad incidere sulla posizione processuale di Alberto Stasi sia con riferimento all’ipotesi di omicidio, sia con riferimento all’ipotesi di detenzione di materia pedopornografico di cui all’art. 600 quarter c.p.

Come riportato da la Repubblica in un articolo privo di firma,

«Il gup di Vigevano Stefano Vitelli, che sta celebrando il processo con rito abbreviato (…) si ritirerà oggi in camera di consiglio.

Si dovrebbe sapere in serata quale sarà la decisione per l’ex studente bocconiano. Nei suoi confronti il pm Rosa Muscio ha chiesto trent’anni di carcere senza la concessione delle attenuanti generiche. I legali del giovane sono convinti invece della sua innocenza e hanno chiesto l’assoluzione con formula piena.

In questi giorni, comunque, ha preso di nuovo quota l’ipotesi che il giudice possa uscire dalla camera di consiglio non con una sentenza di condanna o assoluzione, ma con un’ordinanza per disporre una superperizia o più perizie: in particolare sul computer portatile di Alberto e per far luce su come non si sia sporcato le scarpe di sangue quando la mattina del 13 agosto 2007 entrò nella villetta e scoprì il cadavere di Chiara.

Il gup dovrà decidere anche se rinviare a giudizio o meno Stasi per detenzione di materiale pedopornografico».

Qui è possibile reperire la notizia diramata dall’ANSA.

Attendiamo gli sviluppi.

Fabio Bravo

Computer forensics. L'omicidio di Garlasco

La complessità delle investigazioni svolte nel noto caso relativo all’omicidio di Garlasco si caratterizza anche per la rilevanza che ha l’analisi delle informazioni contenute nei computers dell’indagato e, in particolare, per la corretta acquisizione degli elementi di prova scaturenti dall’analisi degli elaboratori elettronici.

Le corrette tecniche investigative da usare al riguardo vengono elaborate dalla disciplina nota come computer forensics.

Si percepisce bene come tale disciplina non intervenga solamente nei casi relativi ai reati informatici, dato che anche in reati comuni l’analisi dei contenuti dei PC diventa spesso fondamentale per ricavare elementi di prova.

Nel caso realativo all’omicidio di Garlasco la tesi difensiva sostiene che l’indagato, nel momento dell’omicidio, fosse al computer (per scrivere la tesi).

Le indagini effettuate dalla procura sul sistema informatico dell’indagato (per di più avvenute, come sembra, in assenza di contraddittorio con la difesa) lasciano perplessità sulla corretta acquisizione della prova, tanto più che l’eventuale compromissione della genuinità della prova rischia di svanatggiare in maniera decisiva la posizione della difesa, compromettendo il suo maggiore punto di forza (il c.d. “alibi”) 

Come rilevato da un articolo apparso ieri su La Stampa online,

La teoria dell’accusa nei confronti di Alberto, però, scricchiola davanti alle perplessità sollevate in aula dal gup di Vigevano Stefano Vitelli il quale, durante la quarta udienza preliminare, lascia aperta la possibilità di una super perizia da eseguire sul computer dell’unico sospettato.

Un pc al centro del duplice procedimento che può essere l’alibi di Alberto, ma anche il possibile movente del delitto.

Il computer potrebbe essere stato “alterato”. È questo il sospetto che emerge leggendo le motivazini del gup sulle eccezioni sollevate la scorsa udienza, dai difensori dell’unico indagato.

Un computer consegnato agli inquirenti il 14 agosto, il giorno dopo il delitto. Da quel giorno e fino al 29 agosto sono 42 gli accessi fatti dai carabinieri prima della consegna ai colleghi del Ris di Parma.

In quel periodo è stato acceso e spento più volte e questo potrebbe aver “alterato”, sia a favore della difesa che a favore dell’accusa, quanto contenuto.

Sorprende l’assenza di ogni cautela nella cetena di custodia degli elaboratori elettronici, se effettivamente risulta corrispondente al vero che un computer sia stato acceso (e dunque utilizzato) numerose volte prima della consegna al RIS di Parma per l’effettuazione della consulenza tecnica su incarico della procura.

Fabio Bravo

EnglishFrenchGermanItalianPortugueseRussianSpanish

My Projects

      EUPL.IT - Sito italiano interamente dedicato alla EUPL

E-Contract-U

Giornalismo Investigativo - Inchieste e Diritto dell'informazione

My Books

My e-Books