Note a piè di pagina

(ultimo aggiornamento 02.11.2016)

[1] La traduzione brutale di “digital evidence” è “prova legale digitale” ma la legge italiana non ammette distinzioni tra “prove reali” e “prove digitali” quindi tale concetto è di difficile inquadramento formale (a meno di prossime modifiche della legge italiana inerenti le strutture e le informazioni digitali). Da adesso in avanti quindi si considererà la “digital evidence” come “prova legale ottenuta attraverso sistemi digitali” che, si badi è ben lungi da essere solo una “prova digitale” perché presume un processo interpretativo.

[2] Mc Kemmish, R. (1999), “What is Forensic Computing”, Trends and Issues in Crime and Criminal Justice (118), Australian Institute of Criminology.

[3] Farmer D., Venema W. (2000), “Forensic Computer Analysis: an Introduction. Reconstructing past Events.”, Dr Dobb’s Journal, 29, 70-75.

[4] Il repertamento fisico è la fase nella quale l’apparato digitale viene sigillato per la successiva analisi di laboratorio. Si noti la distinzione tra esso ed il repertamento dati che si riconduce sommariamente ad una copia certificata di dati di interesse.

[5] Bates J, (1997), “Fundamentals of computer forensics”, International Journal of Forensic Computing.

[6] Bates, J. (2001). “DIVA Computer Evidence (Digital Integrity Verification and Authentication)”, International Journal of Forensic Computing, 26 March 2001.

[7] R.Rivest (1992), RFC 1321 - “The MD5 message digest algorithm”, MIT laboratory for computer science and RSA Data Security, Inc., April 1992.

[8] A tale scopo sono nate diverse estensioni forensi del comando dd che incorporano le citate caratteristiche.

[9] Farmer D. (2001), “Bring out your dead. The Ins and Out of Data recovery”, Dr Dobb’s Journal, 30(1).

[10] Si noti che il concetto di minima alterazione dei dati non è univoco ma soggettivo e quindi sempre soggetto a discussione. Per tale motivo le azioni dirette sul sistema originale si limitano a quelle più “semplici” che, cioè, più difficilmente possono essere contestate da altri tecnici specializzati.

[11] Continuità probatoria: possibilità di tenere traccia del procedimento di repertamento ed analisi in ogni suo punto mediante la produzione di report a vari livelli di dettaglio.

[12] Chet Hosmer (1998),“Time-lining Computer Evidence”, WetStone Technologies Inc.

[13] Marcus Ranum (1997), "Network Forensics and Traffic Monitoring", Computer Security Journal, Vol. XII, 2 novembre 1997

[14] Simson Garfinkel (26.02.2002) "Network Forensics: Tapping the Internet" O'Reilly

[15] "Analyze this! Network Forensic Analysis Tools (NFATs) reveal insicurities, turn", Information Security Magazine (2002)

[16] In realtà il problema delle autorizzazioni si presenta anche nell'ambito del FC perchè l'autorizzazione a sequestrare una memoria di massa e sottoporla ad analisi non corrisponde esattamente a poter aprire tutti i file contenuti nella stessa memoria. Il problema, però, si sente meno in quanto con la memoria di massa si agisce su un oggetto fisico sequestrato e non semplicemente su dei dati memorizzati in una qualche area di una rete.

[17] J.R.Vacca (2002) "Computer Forensics: Computer Crime Scene Investigation", Charles River Media, Networking Series

[18] Vocabolario Italiano De Mauro

[19] Art. 253 C.P.P. (Oggetto e formalità del sequestro)
1. L’autorità giudiziaria dispone con decreto motivato il sequestro del corpo del reato e delle cose pertinenti al reato necessarie per l’accertamento dei fatti.
2. Sono corpo del reato le cose sulle quali o mediante le quali il reato é stato commesso nonché le cose che ne costituiscono il prodotto, il profitto o il prezzo.
3. Al sequestro procede personalmente l’autorità giudiziaria ovvero un ufficiale di polizia giudiziaria delegato con lo stesso decreto.
4. Copia del decreto di sequestro é consegnata all’interessato, se presente.

[20] Art. 254 C.P.P. (Sequestro di corrispondenza)
1. Negli uffici postali o telegrafici é consentito procedere al sequestro di lettere, pieghi, pacchi, valori, telegrammi e altri oggetti di corrispondenza che l’autorità giudiziaria abbia fondato motivo di ritenere spediti dall’imputato o a lui diretti, anche sotto nome diverso o per mezzo di persona diversa o che comunque possono avere relazione con il reato.
2. Quando al sequestro procede un ufficiale di polizia giudiziaria, questi deve consegnare all’autorità giudiziaria gli oggetti di corrispondenza sequestrati, senza aprirli e senza prendere altrimenti conoscenza del loro contenuto.
3. Le carte e gli altri documenti sequestrati che non rientrano fra la corrispondenza sequestrabile sono immediatamente restituiti all`avente diritto e non possono comunque essere utilizzati.

[21] Art.359 (Consulenti tecnici del pubblico ministero)
1. Il pubblico ministero, quando procede ad accertamenti, rilievi segnaletici, descrittivi o fotografici e ad ogni altra operazione tecnica per cui sono necessarie specifiche competenze, può nominare e avvalersi di consulenti, che non possono rifiutare la loro opera.
2. Il consulente può essere autorizzato dal pubblico ministero ad assistere a singoli atti di indagine.

[22] Art.360 (Accertamenti tecnici non ripetibili)
1. Quando gli accertamenti previsti dall’art. 359 riguardano persone, cose o luoghi il cui stato è soggetto a modificazione, il pubblico ministero avvisa, senza ritardo, la persona sottoposta alle indagini, la persona offesa dal reato e i difensori del giorno, dell’ora e del luogo fissati per il conferimento dell’incarico e della facoltà di nominare consulenti tecnici.
2. Si applicano le disposizioni dell’art. 364 comma 2.
3. I difensori nonché i consulenti tecnici eventualmente nominati hanno diritto di assistere al conferimento dell’incarico, di partecipare agli accertamenti e di formulare osservazioni e riserve.
4. Qualora, prima del conferimento dell’incarico, la persona sottoposta alle indagini formuli riserva di promuovere incidente probatorio, il pubblico ministero dispone che non si proceda agli accertamenti salvo che questi, se differiti, non possano più essere utilmente compiuti.
5. Se il pubblico ministero, malgrado l’espressa riserva formulata dalla persona sottoposta alle indagini e pur non sussistendo le condizioni indicate nell’ultima parte del comma 4, ha ugualmente disposto di procedere agli accertamenti, i relativi risultati non possono essere utilizzati nel dibattimento.

[23] M. Kaeo (1999), "Designing Network Security", McGraw Hill, Cisco Press

[24] R.Ayers, W.Jansen, N.Cilleros, R.Daniellou, (Oct 2005), “Computer Security – Cell Phone Forensic Tools: an overview and analysis”, NISTIR 7250, Computer Security Division, IT Laboratory, NIST, Gaithersburg, MD 20988-8930.

[25] Smart phone, definito in [24] “un PDA che fornisce all’utente contemporaneamente servizi di telefonia cellulare, applicazioni PIM , gestione appuntamenti, contatti, documenti elettronici, ecc.”. Le piattaforme più popolari sulla base delle quali vengono realizzati tali sistemi sono: Symbian, RIM , Pocket PC (Windows Mobile) e Palm OS. Esistono diversi casi di telefoni cellulari che incorporano parzialmente caratteristiche di PDA tipiche dei sistemi anzidetti.

[26] Jamming device: dispositivo elettronico che genera una gamma di frequenze radio atte a confondere il collegamento cellulare-cella realizzando di fatto una sorta di isolamento radio non garantito al 100%.

[27] Tenda di Faraday: tenda campale in grado di schermare le onde elettromagnetiche.

[28] Contenitori schermati: valigette rigide per il repertamento schermate alle onde elettromagnetiche al cui interno sono presenti svariate tipologie di plug di alimentazione per smart phone e cellulari ed una o più batterie tampone.

[29] Decreto del Presidente della Repubblica 10 novembre 1997, n. 513 - Regolamento contenente i criteri e le modalità per la formazione, l'archiviazione e la trasmissione di documenti con strumenti informatici e telematici a norma dell'articolo 15, comma 2, della legge 15 marzo 1997, n. 59
Art. 1 - Definizioni
1. Ai fini del presente regolamento s'intende:
a) per documento informatico, la rappresentazione informatica di atti, fatti o dati giuridicamente rilevanti;
b) per firma digitale, il risultato della procedura informatica (validazione) basata su un sistema di chiavi asimmetriche a coppia, una pubblica e una privata, che consente al sottoscrittore tramite la chiave privata e al destinatario tramite la chiave pubblica, rispettivamente, di rendere manifesta e di verificare la provenienza e l'integrità di un documento informatico o di un insieme di documenti informatici;
c) per sistema di validazione, il sistema informatico e crittografico in grado di generare ed apporre la firma digitale o di verificarne la validità;
d) per chiavi asimmetriche, la coppia di chiavi crittografiche, una privata ed una pubblica, correlate tra loro, da utilizzarsi nell'ambito dei sistemi di validazione o di cifratura di documenti informatici;
e) per chiave privata, l'elemento della coppia di chiavi asimmetriche, destinato ad essere conosciuto soltanto dal soggetto titolare, mediante il quale si appone la firma digitale sul documento informatico o si decifra il documento informatico in precedenza cifrato mediante la corrispondente chiave pubblica.
f) per chiave pubblica, l'elemento della coppia di chiavi asimmetriche destinato ad essere reso pubblico, con il quale si verifica la firma digitale apposta sul documento informatico dal titolare delle chiavi asimmetriche o si cifrano i documenti informatici da trasmettere al titolare delle predette chiavi;
g) per chiave biometrica, la sequenza di codici informatici utilizzati nell’ambito di meccanismi di sicurezza che impiegano metodi di verifica dell’identità personale basati su specifiche caratteristiche fisiche dell’utente;
h) per certificazione, il risultato della procedura informatica, applicata alla chiave pubblica e rilevabile dai sistemi di validazione, mediante la quale si garantisce la corrispondenza biunivoca tra chiave pubblica e soggetto titolare cui essa appartiene, si identifica quest'ultimo e si attesta il periodo di validità della predetta chiave ed il termine di scadenza del relativo certificato, in ogni caso non superiore a tre anni;
i) per validazione temporale, il risultato della procedura informatica, con cui si attribuiscono, ad uno o più documenti informatici, una data ed un orario opponibili ai terzi;
l) per indirizzo elettronico, l'identificatore di una risorsa fisica o logica in grado di ricevere e registrare documenti informatici;
k) per certificatore, il soggetto pubblico o privato che effettua la certificazione, rilascia il certificato della chiave pubblica, lo pubblica unitamente a quest'ultima, pubblica ed aggiorna gli elenchi dei certificati sospesi e revocati;
l) per revoca del certificato, l'operazione con cui il certificatore annulla la validità del certificato da un dato momento, non retroattivo, in poi;
m) per sospensione del certificato, l'operazione con cui il certificatore sospende la validità del certificato per un determinato periodo di tempo;
n) per validità del certificato, l'efficacia, e l'opponibilità al titolare della chiave pubblica, dei dati in esso contenuti;
o) per regole tecniche, le specifiche di carattere tecnico, ivi compresa ogni disposizione che ad esse si applichi.

[30] R. Bejtlich (2005), "The Tao of network security monitoring", Addison Wesley

[31] K.D. Mitnick (2002), "The art of deception", Wiley

[32] Karthikeyan Mahadevan (2002), “Automated Distributed Intrusion Detection System using System Calls”, LCSEE, West Virginia University.

[33] Biswanath Mukherjee, Todd L. Heberlein and Karl N. Levitt, (1994) “Network Intrusion Detection”, IEEE Network, 8(3): 26-41, May/June 1994.

[34] R. Heady, G. Luger, A. Maccabe and M. Servilla, (1990) “The architecture of a Network Level Intrusion Detection System”, Technical Report CS90-20, University of New Mexico, Dpt of Computer Science, August 1990.

[35] Bace R., Mell P. (2001) “Intrusion Detection Systems”, National Institute of Standards and Technology Special Publication on IDS, November 2001.

[36] Laing B. (2000), “How to guide: implementing a network based intrusion detection system”

[37] Roesch M. (1999), “Snort – Lightweight Intrusion Detection System for Networks”, 13th System Administration Conference – LISA ’99, Seattle, WA, November 1999.

[38] Crosbie M. J., Kuperman B.A. (2001), “A building block approach to Intrusion Detection”, RAID 2001.

[39] Stephenson P.R. (2000), “The application of Intrusion Detection Systems in a Forensic Environment”, Recent Advances in Intrusion Detection – RAID 2000, Toulose, France.

[40] Philip Hawkes1, Michael Paddon1, and Gregory G. Rose1 (2005), "Musings on the Wang et al. MD5 Collision", Qualcomm Australia, Level 3, 230 Victoria Rd, Gladesville, NSW 2111, Australia {phawkes,mwp,ggr}@qualcomm.com

[41] Arjen K. Lenstra (Feb 2005), "Further progress in hashing cryptanalysis", Lucent Technologies", Bell Laboratories

[42] Farmer D., Venema W. (2005), "Forensic Discovery", Addison-Wesley

[43] J.M.Solomon (October 2006), "Computer Forensics: The persistence of Data in Physical Memory", Thesis, School of Computing and Mathematics, University of Western Sydney

[44] P. Craiger, S. Shenoi (2007), “Advances in Digital Forensics III (IFIP International Federation for Information Processing) (IFIP International Federation for Information Processing)“ – Springer edition (August 23, 2007)

[45] "A Road Map for Digital Forensic Research" - Report From the First Digital Forensic Research Workshop (DFRWS) - August 7-8, 2001 - http://dfrws.org/2001/dfrws-rm-final.pdf

[46] R. Harris (2006), "Arriving at an anti-forensics consensus: Examining how to define and control the anti-forensics problem" - Elsevier -
http://dfrws.org/2006/proceedings/6-Harris.pdf

[47] M. Geiger (2005), "Evaluating Commercial Counter-Forensic Tools" - (DFRWS) -
http://dfrws.org/2005/proceedings/geiger_couterforensics.pdf

[48] P. Gutmann (1996), "Secure Deletion of Data from Magnetic and Solid-State Memory" - http://www.cs.auckland.ac.nz/~pgut001/pubs/secure_del.html

[49] P. Gutmann (2001), "Data Remanence in Semiconductor Devices" -  http://www.cypherpunks.to/~peter/usenix01.pdf

[50] B. Schneier (1996) "Applied Cryptography" - 2nd Edition - John Wiley & Sons

[51] S. Skorobogatov, "Data Remanence in Flash Memory Devices " - http://www.cl.cam.ac.uk/~sps32/DataRem_CHES2005.pdf

[52] R. Pfitzner (2003), "Secure Deletion of Files - Standards, Erasure Tools, Recommendations." - The Federal Commissioner for Privacy Protection and the Right for access records Brandenburg, internal working paper.

[53] S. Skorobogatov (2002), "Low temperature data remanence in static RAM" - Technical reports published by the University of Cambridge freely available via the Internet: http://www.cl.cam.ac.uk/techreports/UCAM-CL-TR-536.pdf
Series editor: Markus Kuhn - ISSN 1476-2986

[54] R. Kissel, M. Scholl, S. Skolochenko, X. Li (2006), "Guidelines for Media Sanitization" - Recommendations of the National Institute of Standards and Technology - NIST Special Publication 800-88
http://csrc.nist.gov/publications/nistpubs/800-88/NISTSP800-88_rev1.pdf

[55] NISP (2006) DoD 5220.22-M

[56] DSS (2007) DSS Clearing and Sanitization Matrix

[57] J. A. Haldermany, S.D. Schoenz, N.Heningery, W.Clarksony, W.Paulx, J.A. Calandrinoy, A.J. Feldmany, J.Appelbaum, and E.W. Felteny, "Lest We Remember: Cold Boot Attacks on Encryption Keys" - Princeton University - Electronic Frontier Foundation - Wind River Systems - February 21, 2008
http://citp.princeton.edu.nyud.net/pub/coldboot.pdf

[58] P.Turner "Selective and intelligent imaging using digital
evidence bags" - QinetiQ, Digital Investigation Services, Trusted Information Management Department, St. Andrews Road,
Malvern Worcestershire WR14 3PS, UK - 2006 DFRWS. Published by Elsevier Ltd
http://www.dfrws.org/2006/proceedings/8-Turner.pdf

[59] P. Turner “Unification of Digital Evidence from Disparate Sources (Digital Evidence Bags)” – QinetiQ, Digital Investigation Services, Trusted Information Management, Department, St. Andrews Road, Malvern, Worcestershire WR14 3PS, UK. - pbturner@qinetiq.com

[60] D. Bem, E. Huebner “Computer Forensic Analysis in a Virtual Environment” University of Western Sydney, Australia - International Journal of Digital Evidence Fall 2007, Volume 6, Issue 2.

[61] Forensic Magazine - "Digital Insider: Anti-Digital Forensics, The Next Challenge" By: John J. Barbara - Issue: December 2008/January 2009

[62] Forensic Magazine - "Digital Insider: Anti-Digital Forensics, The Next Challenge Part 2" By: John J. Barbara - Issue: February/March 2009

[63] I. Ray , S. Shenoi (2008), “Advances in Digital Forensics IV (IFIP International Federation for Information Processing) – Springer edition (August 28, 2008)

[64] G. Peterson , S. Shenoi (2009), “Advances in Digital Forensics V (IFIP International Federation for Information Processing) – Springer edition (January 26-28, 2009)

[65] T.V. Lillard, C.P. Garrison, C.A. Schiller, J. Steele (2010) - "Digital Forensics for Network, Internet and Cloud Computing" - Elsevier Syngress

[66] K.P. Chow, S. Shenoi (2010), “Advances in Digital Forensics VI (IFIP International Federation for Information Processing) – Springer edition (January 4-6, 2010)

[67] Simson L. Garfinkel "Digital forensics research: The next 10 years" - 2010 DFRWS. Published by Elsevier Ltd
http://www.dfrws.org/2010/proceedings/2010-308.pdf

[68] Fred Cohen "The Physics of Digital Information" - Journal of Digital Forensics, Security and Law, Vol. 6(3)

[69] Fred Cohen "The Physics of Digital Information-Part 2" - Journal of Digital Forensics, Security and Law, Vol. 7(1)

[70] M. Gruhn, F.C. Freiling, "Evaluating atomicity, and integrity of correct memory acquisition methods" - Proceedings of the third Annual DFRWS Europe (2016)