Estratto da consulenza tecnica di parte redatta da Micael Zeller Celso
(consulente tecnico per l’analisi e il recupero dei dati da hard disk)


RISULTATI

1) Dalla documentazione si evince che nel corso dell'attivita' sotto copertura la Polizia Postale prelevò il file incriminato solo in parte dal computer dell'indagato.

Non si evince invece:

a- che il file vi fosse presente per intero

b- che l'indagato avesse al momento la possibilità di controllarne il contenuto

c- che l'indagato abbia conservato il file dopo il suo scaricamento parziale o totale.


2) L'opinione meglio informata e la verifica pratica concordano nel mostrare che l'utente di "file sharing" può spesso scoprire di avere scaricato file molto lontani dalle proprie intenzioni, dalla propria aspettativa e dal livello di decenza da lui desiderato.



PUNTO 1) FILE SCARICATO DAL COMPUTER DELL’INDAGATO


1a) Completezza del file

L'implicazione dell'indagato scaturisce dal verbale della Polizia Postale allegato 5, allegato 1 del verbale, pag.1.

Da esso apprendiamo che un file incriminato è stato trasmesso il 27/01/2006 a partire dalle 20.05.45.

La riga sottostante riporta lo scaricamento dello stesso file originato da un altro utente ("tuc") dalle ore 20.42.43.

Sappiamo dunque che il PC impiegato sotto copertura ha scaricato in sequenza il file incriminato da due fonti. Non risulta però che abbia potuto scaricare due copie intere dello stesso file.

Con il programma di file sharing utilizzato (eMule Adunanza), dal momento in cui l'utente richiede lo scaricamento di un file, lo stesso software gestisce automaticamente lo scaricamento di diversi spezzoni dello stesso file ottenuti da fonti diverse.

Tale spezzoni di 9,28 MB possono essere parti di un file presente per intero, oppure segmenti di file che l'utente fornitore ha acquisito solo parzialmente.

I segmenti parziali ottenuti da ogni utente sono memorizzati in automatico, normalmente nella cartella C:\Programmi\EmuleAdunanzA\Temp, con il suffisso ".part", e di norma sono immediatemente a disposizione di altri utenti che abbiano richiesto lo stesso file (vedi descrizione dettagliata in http://www.emule.it/guida_emule/approfondimenti/temporanei_chunks.asp).

Accade così normalmente che già dopo pochi secondi di scaricamento diversi altri utenti comincino a copiare la parte di file già registrata.

Nella maggior parte dei casi lo scaricamento di un file attinge a più fonti, in particolare se il file è voluminoso, come è il caso di file di tipo MPEG.


(dettaglio di schermata eMule AdunanzA: due utenti, fra i tanti disponibili
stanno fornendo parti di un file ricercato)


Un combinato di fatti impedisce di determinare che l'indagato possedesse il file intero:

- dalla richiesta effettuata dalla Polizia Postale al provider Fastweb (allegato 7) si deduce che i periodi di attività interessanti l'indagato e l'utente "tuc" si sovrappongono dalle ore 20.42 alle ore 22.02

- allo scaricamento sotto copertura era adibito un solo PC (allegato 4)

- il file scaricato è uno (identificato con certezza dall'identificativo unico, lo "hash")

- eMule non scarica in contemporanea più copie dello stesso file.

Dunque dalle 20,42 le due fonti si sono succedute, o alternate, per somministrare al PC sotto copertura il file completo. Ciò avviene comunemente e può essere dovuto a diverse cause, tra le quali l'esaurimento dei segmenti parziali detenuti dalla prima fonte. E' possibile infatti che questa non avesse potuto acquisire il file completo per diversi motivi, tra cui l'occupazione della banda entrante per lo scaricamento di file privilegiati con superiore priorità.

L'indagine telematica della Polizia Postale evidenzia quindi solo che il file incriminato ERA PRESENTE IN PARTE al momento dello scaricamento. Indizi sulla completezza dell'acquisizione e sulla conservazione del file potevano essere reperiti solo esaminando gli hard disk dell'indagato alla ricerca di quel file - o per lo meno di una traccia di quel file.


1b) Controllo del contenuto

Durante lo scaricamento di un file l'utente non ha la possibilità di esaminarne il contenuto, salvo che utilizzi la funzione di "anteprima", operazione non sempre possibile.

Ma anche il controllo a file completato non sempre può essere agevolmente effettuato subito dopo l'acquisizione. Come ben sintetizzato dalla relazione agli atti, con il file sharing una cartella del PC è "condivisa", accogliendo i file scaricati e mettendoli a disposizione degli altri utilizzatori, ed è pratica comune lasciare acceso il PC anche in propria assenza, essendo imprevedibile se e quando uno scaricamento verrà completato. Inoltre dalla documentazione allegata si rileva che il programma di file sharing dell'indagato era in funzione in ore serali (allegato 5) così come alle 7 di mattina (perquisizione del 9/5/06), quindi plausibilmente anche durante il riposo notturno.

Ne consegue che l'utente di file sharing non ha il controllo costante sui file scaricati e messi in condivisione: solo al momento di esaminare il raccolto l'utente può scremare i materiali ed eliminare quelli indesiderati.



1c) Conservazione del file

Al momento del sequestro non esisteva traccia di alcun tipo del file incriminato.

Tale totale assenza può spiegarsi in due modi:

A) L'indagato aveva rinunciato al file prima che lo scaricamento fosse completato. Un utente può decidere di interrompere uno scaricamento per diversi motivi, tra cui la scelta di dare la precedenza allo scaricamento di altri file. Con eMule, in qualsiasi momento l'utente decida di rinunciare al completamento dello scaricamento egli lo annulla, cancellando così il relativo segmento dalla cartella Temp.

B) L'indagato aveva cancellato il file.

In questo caso nulla di preciso può essere detto sulla data della cancellazione, ma l'assenza totale di tracce fa ritenere che non fosse recente.

Conviene infatti ricordare le fasi che si succedono normalmente nella cancellazione di un file effettuata da un utente:

1 - l'utente "cancella" il file. Questo si sposta nel "cestino" (“recycle.bin”), dove non è più direttamente accessibile, ma può essere ancora facilmente trovato e ripristinato senza danni

2 - dopo un certo tempo (praticamente imprevedibile), con la saturazione del cestino, il file scompare da esso. Inizialmente però non viene effettivamente cancellato dal disco: ne rimangano tracce nascoste negli indici del file system, ovvero la scrittura del file permane, anche se normalmente irreperibile.

In questa fase il file può ancora essere recuperato, più o meno interamente, con i software di recupero dati.

3 - infine, solo quando nuovi dati ricoprono a sufficienza ogni traccia del file, questo sparisce per sempre.

Dalla diligente perizia agli atti sappiamo che il file si trovava nella fase 3.

In un uso di normale intensità le tracce di un file cancellato permangono mediamente per mesi (con una grande variabilità dovuta al caso). Non è quindi probabile che sia stato cancellato poche settimane prima del sequestro, ed estremamente improbabile che sia mai stato copiato localmente.

Dato il periodo intercorso tra la presenza in file sharing (27 gennaio 2006) e il sequestro (9 maggio 2006) è plausibile che la cancellazione sia avvenuta poco dopo la prima delle due date, quindi anche a poche ore dallo scaricamento.


CONCLUSIONE

Nel computer dell'indagato il file incriminato è stato presente in parte, ma non vi è prova che fosse presente integralmente.

In entrambi i casi, è stato cancellato abbastanza prontamente da non lasciarne alcuna traccia a qualche mese di distanza.





PUNTO 2) FILE SHARING


2a) File Sharing: valutazione dei rischi

Riguardo al punto G, pagg. 25-27 della relazione peritale agli atti, è importante rilevare che esso parafrasa la definizione di "File sharing" fornita dall'enciclopedia on line Wikipedia, versione italiana solo nella parte iniziale.

Non è attinto da tale fonte citata, invece, il concetto espresso nelle ultime 5 righe di pag. 27 della relazione, dove si afferma che i filmati pornografici “hanno sempre nomi molto lunghi ed espliciti in maniera da permetterne la miglior ricerca”.

In realtà è sufficiente la lettura della stessa voce ("file sharing") della stessa enciclopedia on line (Wikipedia), ma nella versione in lingua inglese, per trovare una smentita molto chiara di tale tesi. Sotto il paragrafo "rischi" nella versione aggiornata a fine agosto 2007, vi si legge:


(Wikipedia vers. inglese: “File Sharing”)


TRADUZIONE:

[...] Alcuni sono altresì preoccupati per l'uso di sistemi di "file sharing" per distribuire pornografia adulta a bambini, pornografia infantile a chiunque, letteratura offensiva e materiale illegale o sgradito. Gli utenti principianti possono trovare difficile ottenere informazioni su quali rete, se ve ne sono, siano "sicure" per loro. Con l'esperienza, gli utenti possono ridurre l'esposizione a materiali offensivi formulando attentamente le ricerche (per esempio, una ricerca limitata a file audio evita di esporsi a file video o di immagine). Si è asserito che per trovare materiale offensivo occorra ricercarlo attivamente, ma nei fatti le reti di "file sharing" tendono a essere molto efficaci nel rivelare contenuto inatteso che presenta un nome simile”. [grassetto mio]

E' bene tenere presente che Wikipedia, per le sue note caratteristiche di opera collaborativa, non può essere considerata una fonte autorevole, ma costituisce certamente una risorsa preziosa e molto aggiornata.

La citata valutazione è peraltro condivisa da fonti certamente bene informate.

Si veda a proposito la Motion Picture Association of America, che nel suo sito http://www.mpaa.org ha inserito una pubblicazione per genitori e tutori comprendente un questionario di sei domande, di cui la numero 6 recita:


(MPAA_TG_4pg_FINAL.pdf)


TRADUZIONE:

6) Alcuni file in molte reti P2P (File sharing) sono intenzionalmente falsamente etichettati per attrarre osservatori ignari.

VERO FALSO


RISPOSTE

[...]

6) VERO - Alcune persone nelle reti di P2P cercano di nascondere cartelle condivise che contengono pornografia illegale, specialmente pornografia infantile. Distribuire pornografia infantile è un crimine serio, e chiunque abbia un tale materiale nel suo computer può essere soggetto a procedimento penale”.




Per ciò che riguarda l’Italia, la stampa ha riferito un caso recente in cui proprio un utente innocente, accortosi di avere involontariamente ottenuto materiale pedopornografico, ha permesso l’azione dell’autorità inquirente contro i veri colpevoli. Il sito web “Le parole non dette – portale contro la violenza e gli abusi sui minori”, così riporta il dettaglio della notizia:


Ed è stato proprio da un download casuale che è nata l'indagine. Un ventenne di Milano ha infatti acquisito un cartone animato di “Ken il guerriero", serie tv giapponese degli anni Ottanta, ma vi ha trovato le immagini di pedofilia. Ha segnalato il fatto alla polizia postale di Milano, che attraverso un programma spia ha monitorato la rete fino a risalire al computer del 26enne di Busto.”



(da http://www.leparolenondette.org/pedo-pornografia-on-line/filmati-pedofili-dietro-i-cartoni-animati-arrestato-2.html?Itemid=2)

2b): File Sharing: la sperimentazione pratica


Al fine di verificare praticamente l’affermazione finale della relazione in oggetto è stato da me condotto un esperimento di ricerca e scaricamento di file mediante "File sharing".

Per l'esperimento è stata usata una configurazione analoga a quella del computer perquisito, cioè: sistema operativo Windows XP, collegamento Fastweb.

L’elaborato agli atti non precisa quale versione del software di "file sharing" eMule AdunanzA fosse installata nel computer dell’indagato, perciò ai fini sperimentali è stato usato un computer sul quale era installata la versione più recente (3.14) e un altro con l'ultima versione (0.46c) sicuramente disponibile al momento dell'installazione sul computer perquisito (il 14/9/2005).


Le prime tre prove sono state condotte utilizzando precisamente le parole-chiave menzionate come esempio nella perizia del consulente della Procura:

"filmato batman"

"batman"

"filmato"

Come prova aggiuntiva è stata digitata un'altra frase appositamente innocua: "harry potter" (protagonista delle storie per bambini più diffuse in questi ultimi anni).


RISULTATI


Escludendo i file dal nome contenuto particolarmente allarmante sono stati scaricati fra l’altro i seguenti file:

- “Batman corrects Robin & Batgirl.jpg” (vignetta umoristica raffigurante Batman che rischia per equivoco di fotografare una coppia di minorenni seminudi)

- “Xxx Film Batman Begins.avi” , che risulta essere un film prettamente pornografico hard, della durata superiore a un'ora e di alta qualità professionale.






Il file dal nome anodino “filmato04.mpg” risulta essere una breve ripresa pornografica



- il file “[DivX - ITA] Warner Bros - 2005 - Harry Potter e Il Calice di Fuoco(1).avi” risulta non apribile con i software più in uso

- il file “Harry Potter and the Order of the Phoenix (2007)-UK.US-English.Divx.Xvid.wmv” ha causato, all'apertura, l'apparizione di una finestra contenente 9 immagini pornografiche

e, contemporaneamente, l'apertura sul browser (Microsoft Internet Explorer) di una pagina web contenente 13 immagini pornografiche.


Ripetendo l’esperimento descritto si potranno ottenere risultati parzialmente diversi (a seconda delle disponibilità momentanee) ma certamente non lontani da quanto già esperito.

Malgrado l’impossibilità di una misurazione scientifica del fenomeno, e malgrado gli inevitabili limiti dell’esperimento descritto, è evidente che anch’esso conforta pienamente le autorevoli opinioni citate.




CONCLUSIONI


La conclusione più precisa, esauriente e autorevole è quella già formulata da un legale competente in diritto penale delle nuove tecnologie, l’avvocato Daniele Minotti, membro di comitati scientifici e collaboratore di diverse pubblicazioni su tale settore.

Così l’avvocato Minotti si esprime sull’argomento file sharing, file camuffati e pedopornografia (la citazione proviene dalla sezione “Diritto & internet” del quotidiano on line sulle problematiche dell’internet più noto e consultato dell’ultimo decennio):


È vero che il file può essere immediatamente cancellato e reso irrecuperabile (quanti sanno farlo?), ma si può essere sicuri di controllare sempre la cartella messa in condivisione e che, comunque, prima di questa verifica qualcuno non abbia "controllato", in remoto, la lista dei file, magari con una ricerca secondo l'hash (che identifica il file al di là del nome)?

Oramai è noto: scaricando si mette automaticamente in condivisione. E non tutti gli utenti sono in grado di eliminare, ove possibile, questo automatismo. Così, si può diventare, anche senza saperlo, detentori e distributori di materiali pornografici illegali. È non sempre è facile dimostrare l'errore scusabile, la mancanza di dolo.”.

[grassetto mio]


(da http://punto-informatico.it/p.aspx?i=1543425)





Milano, 15 ottobre 2007

forensico@micael.it www.forensico.it C.T.U. n° 11224 P. IVA 04187390960