----- Forwarded message from Stefano Bendandi <tvi449(at)x-privat.org> ----- From: Stefano Bendandi <tvi449(at)x-privat.org> To: lex(at)sikurezza.org Subject: Re: [lex] validit? hash del disco, validit? della prova
>Un quesito per chi si interessa di informatica giuridica. >Si ha in sequestro un disco che ha un determinato valore di hash >calcolato attraverso MD5. >In sede peritale (quella del giudice) si ? constatato che il valore >ricalcolato con le stesse procedure risulta essere diverso. Non ? ben chiaro, ma do per scontato che si tratti del confronto tra l'hash del supporto sequestrato e quello della copia che ne costituisce duplicazione fisica. >A questo punto sorgono diverse domanda e perplessit?, ovvero il disco ? >lo stesso?i contenuti sono uguali?. Collisioni a parte, dovrebbe trattarsi in teoria di contenuti differenti. Diversi potrebbero essere i motivi alla base di questa diversit?: ad esempio l'acquisizione potrebbe essere avvenuta con tecniche/strumenti tali da non garantirne la completezza, oppure il reperto sequestrato potrebbe essere stato alterato durante la custodia dello stesso. >Ad una sommaria indagine ( sono presenti diverse migliaia di archivi) >sembra che le dimensioni di diversi file coincidano e il disco ha la >stessa dimensione globale, ma ? possibile affermare che si tratti dello >stesso disco? Considerata la funzione svolta dal calcolo degli hash, tale possibilit? dovrebbe essere esclusa. >Me se ? accettabile che l'hash diverso non significhi disco / fiel >diversi allora a che serve calcolarlo? > Infatti non ? accettabile. >Sono del parere che hash diversi mi rendano di fatto diverso il disco e >quindi non ammissibile la prova o comunque no accettabile l'analisi del >disco salvo un confronto manuale diretto file per file. > >Che ne dite? >Esistono casi simili? ovvero casi in cui nonostante la diversit? di hash >si sia accettato il disco, ed in tal caso come giustificarlo? escludendo >l'analisi interna file per file? > Per ci? che concerne il nostro ordinamento non ne sono a conoscenza diretta o mi sfuggono ma vedrei l'ammissibilit? in un tale caso, salvo ulteriori riscontri, come una forzatura. Fondamentali sono a tal fine la questione della integrit? del reperto informatico unitamente alla completezza della fase di acquisizione per cui la violazione di questi principi, accettati internazionalmente come parte integrante del comune modus operandi in materia di investigazioni digitali, dovrebbe, a mio avviso, avere una influenza negativa in termini di ammissibilit? della prova o, comunque, nel peggiore dei casi, in termini di ponderazione complessiva del suo valore probatorio ai fini della decisione. Saluti Stefano Bendandi http://www.stefanobendandi.com ----- End forwarded message -----
________________________________________________________ http://www.sikurezza.org - Italian Security Mailing List
