Un quesito per chi si interessa di informatica giuridica.
Si ha in sequestro un disco che ha un determinato valore di hash
calcolato attraverso MD5.
In sede peritale (quella del giudice) si è constatato che il valore
ricalcolato con le stesse procedure risulta essere diverso.
A questo punto sorgono diverse domanda e perplessità, ovvero il disco è
lo stesso?i contenuti sono uguali?.
Ad una sommaria indagine ( sono presenti diverse migliaia di archivi)
sembra che le dimensioni di diversi file coincidano e il disco ha la
stessa dimensione globale, ma è possibile affermare che si tratti dello
stesso disco?
Se poi , ai fini dell'indagine, sono rilevanti alcune informazioni quali
le configurazioni di determinati programmi , è possibile affermare la
validità di quanto trovato?.
Spesso le modifiche di configurazione non modificano le dimensioni del
file che le contiene, spesso si tratta solo di flag che occupano lo
stesso spazio indipendentemente dallo stato (on/ off), prove effettuate
confermano ciò , le uniche variazioni in caso di analisi sono l'hash.
Me se è accettabile che l'hash diverso non significhi disco / fiel
diversi allora a che serve calcolarlo?
Sono del parere che hash diversi mi rendano di fatto diverso il disco e
quindi non ammissibile la prova o comunque no accettabile l'analisi del
disco salvo un confronto manuale diretto file per file.
Che ne dite?
Esistono casi simili? ovvero casi in cui nonostante la diversità di hash
si sia accettato il disco, ed in tal caso come giustificarlo? escludendo
l'analisi interna file per file?
Rino
________________________________________________________
http://www.sikurezza.org - Italian Security Mailing List
