----- Forwarded message from Alessandro Seghetta <ale(at)atpss.net> ----- From: Alessandro Seghetta <ale(at)atpss.net> Subject: Re: validit? hash del disco, validit? della prova To: lex(at)sikurezza.org
> >Da: rino lo turco <rino(at)loturco.it> >Data: 20 agosto 2007 14:29:24 GMT+02:00 >A: lex(at)sikurezza.org >Oggetto: [lex] validit? hash del disco, validit? della prova >Rispondi a: lex(at)sikurezza.org Ciao Rino, anche se di solito non posto, vi leggo sempre e provo a risponderti. > >Un quesito per chi si interessa di informatica giuridica. >Si ha in sequestro un disco che ha un determinato valore di hash >calcolato attraverso MD5. >In sede peritale (quella del giudice) si ? constatato che il valore >ricalcolato con le stesse procedure risulta essere diverso. Prima di tutto bisogna chiarire se l'accertamento eseguito sul disco in sede di sequestro sia un 359 cpp ( accertamento tecnico ripetibile) o un 360 cpp ( a. t. irripetibile), in quanto discendono delle conseguenze rilevanti circa le modalit? di acquisizione e soprattutto la ripetibilit? di tutti gli atti di analisi effettuati. Da quello che riferisci suppongo sia un 359 e quindi anche un'analisi dell'acquisizione gi? effettuata potrebbe risultare utile. L'alterazione potrebbe essere stata fatta ab origine. Ora non ho ben capito se sei CT PM o CT della difesa, ma se rientri in questa seconda veste, mirerei, personalmente, ad una invalidazione della fonte di prova. >A questo punto sorgono diverse domanda e perplessit?, ovvero il >disco ? lo stesso?i contenuti sono uguali?. Ad una prima analisi, da quello che dici, la fonte di prova ? stata alterata; ed ? anche la ratio per cui viene calcolato l'MD5. >Ad una sommaria indagine ( sono presenti diverse migliaia di >archivi) sembra che le dimensioni di diversi file coincidano e il >disco ha la stessa dimensione globale, ma ? possibile affermare che >si tratti dello stesso disco? Assolutamente no. Per alterare un MD5 basta modificare il contenuto di un doc e tutto l'hash viene modificato; quindi al massimo potrai affermare di avere un disco con lo stesso numero di files ( se sono gli stessi), ma riguardo al contenuto non si possono fare affermazioni di sorta. >Se poi , ai fini dell'indagine, sono rilevanti alcune informazioni >quali le configurazioni di determinati programmi , ? possibile >affermare la validit? di quanto trovato?. Di conseguenza, essendo stata alterata la fonte di prova, questa viene viziata di invalidit? e deve essere rigettata. >Spesso le modifiche di configurazione non modificano le dimensioni >del file che le contiene, spesso si tratta solo di flag che >occupano lo stesso spazio indipendentemente dallo stato (on/ off), >prove effettuate confermano ci? , le uniche variazioni in caso di >analisi sono l'hash. >Me se ? accettabile che l'hash diverso non significhi disco / fiel >diversi allora a che serve calcolarlo? Appunto, da esperienze lavorative se l'hash viene alterato la prova va rigettata. > >Sono del parere che hash diversi mi rendano di fatto diverso il >disco e quindi non ammissibile la prova o comunque no accettabile >l'analisi del disco salvo un confronto manuale diretto file per file. Imho, nemmeno una verifica file per file pu? salvare una prova invalidata; l'unica ancora di salvezza ? che in sede di prima acquisizione si sia calcolato il valore di hash di ogni singolo file all'interno del disco, cos? da tentare di esulare dal vizio di invalidit? i file ritenuti utili ai fini dell'indagine, solo per quello che riguarda il contenuto, in quanto i metadati sono comunque alterati. > >Che ne dite? >Esistono casi simili? ovvero casi in cui nonostante la diversit? di >hash si sia accettato il disco, ed in tal caso come giustificarlo? >escludendo l'analisi interna file per file? La storia, purtroppo, ? sempre la stessa; se il Giudice ( suppongo il GIP) ? sensibile alla validit? della prova informatica, indipendentemente dal contenuto dei singoli file, non vedo molte speranze; al contrario, se il Giudice valuta pi? opportuno il contenuto del singolo file, indipendentemente da diatribe circa la validit? o meno dell'acquisizione, allora ci sono buone speranze. In giurisprudenza, per quanto ricordo cos? su due piedi, la validit? o comunque il valore di hash ? stato considerato come elemento indiziario, il quale in concorso con altre circostanze ha fatto si di poter ammettere/rigettare la fonte di prova informatica. >Rino Alessandro ----- End forwarded message -----
________________________________________________________ http://www.sikurezza.org - Italian Security Mailing List
