rino lo turco wrote: > Si ha in sequestro un disco che ha un determinato valore di hash > calcolato attraverso MD5.
Calcolato da chi e in che momento ? con che procedura ? > In sede peritale (quella del giudice) si è constatato che il valore > ricalcolato con le stesse procedure risulta essere diverso. Booom ! > A questo punto sorgono diverse domanda e perplessità, ovvero il disco è > lo stesso? Beh, ci sara' un elemento identificativo (numero di serie ?) nel verbale... > i contenuti sono uguali?. Se l'md5 e' diverso, no, non sono uguali. > Se poi , ai fini dell'indagine, sono rilevanti alcune informazioni quali > le configurazioni di determinati programmi , è possibile affermare la > validità di quanto trovato?. La prova informatica e' intrinsecamente labile. Se non hai la garanzia che sia uguale, non puoi sapere come e' stata manipolata. > Sono del parere che hash diversi mi rendano di fatto diverso il disco e > quindi non ammissibile la prova Attenzione, dipende da cosa e quando e' successo. Dovresti sentire un buon avvocato ;) > o comunque no accettabile l'analisi del > disco salvo un confronto manuale diretto file per file. Se hai un hash diverso non hai nessun modo di stabilire "cosa" e' cambiato. -- Stefano "Raistlin" Zanero System Administrator Gioco.Net public PGP key block at http://gioco.net/pgpkeys ________________________________________________________ http://www.sikurezza.org - Italian Security Mailing List
