Archivi autore: Paolo Dal Checco

Informazioni su Paolo Dal Checco

Consulente Informatico Forense specializzato in Perizie Informatiche e Consulenze Tecniche di Parte e d'Ufficio per privati, avvocati, aziende, Tribunali e Procure.

Textalyzer, analisi forense degli smartphone per prevenire incidenti stradali

Circa un anno fa la società israeliana Cellebrite – produttrice di uno dei software maggiormente utilizzato in ambito di mobile forensics – ha annunciato lo sviluppo di textalizer, un’applicazione che permetterà alle Forze dell’Ordine di verificare se un cellulare è stato utilizzato di recente per inviare o ricevere SMS o messaggi di chat come Whatsapp o Telegram.

L’idea è quella di affiancare i test della percentuale di alcool nel sangue tramite etilometro con quelli di utilizzo del cellulare, a seguito d’incidenti stradali o preventivamente, con controlli a campione da parte della Polizia Stradale. Così come l’etilometro misura la percentuale di alcool nel sangue, il “textometro” (non esiste ancora traduzione ufficiale) misura l’attività del cellulare negli ultimi minuti, in particolare relativamente all’utilizzo di strumenti di chat, invio o ricezione messaggi di testo SMS. In caso d’incidente, quindi, le Forze dell’Ordine sono così in grado di valutare le condizioni degli autisti anche in merito a eventuale utilizzo di cellulare alla guida, non soltanto per telefonate ma anche per scrivere o leggere messaggi di testo.

Lo strumento non è una novità, Cellebrite fornisce da anni UFED, un tool di mobile forensics che permette acquisizioni forensi certificate di cellulari, smartphone e tablet con il quale gli investigatori sono già in grado di esaminare l’utilizzo del cellulare. In genere, però, UFED viene utilizzato in laboratorio e l’acquisizione non è immediata, cos’ come la reportistica, che richiede talvolta ore di elaborazione. E’ già quindi possibile valutare – nell’ambito di perizie informatiche su cellulari – l’eventuale utilizzo dello smartphone del guidatore a seguito d’incidenti stradali, utilizzando appunto UFED per estrazione dati e ricostruzione di timeline e poi analizzando manualmente i log degli applicativi di messaggistica come Whatsapp, Telegram o Signal o degli strumenti d’invio e ricezione SMS presenti negli smartphone, siano essi Android (Samsung, HTC, Motorola, Sony, etc…) o iOS (Apple). Lo strumento textalizer però velocizzerà queste analisi rendendole possibile sul campo direttamente da parte degli Operatori e rendendo meno intrusiva la fase di acquisizione forense: Cellebrite infatti dichiara che il tool non acquisisce o mostra dati personali degli utenti, immagini o contenuto dei messaggi, essendo appunto soltanto finalizzato a verificare l’utilizzo del dispositivo nei minuti precedenti l’incidente o il controllo da parte della Polizia Stradale.

In diverse città americane le autorità stanno puntando verso l’inserimento del controllo del cellulare in caso d’incidente e durante le fermate ai posti di blocco, insieme all’etilometro, proprio per disincentivare l’utilizzo degli smartphone durante la guida e poter verificare eventuali responsabilità durante gli incidenti stradali. Chicago si è già portata avanti ma anche a New York e in Tennessee le Autorità stanno lavorando per conferire agli Organi di Controllo il potere di controllare i cellulari dei guidatori anche durante i normali interventi di verifica a campione. I guidatori avranno la possibilità di rifiutare di consegnare il proprio telefonino ma rischieranno, così come già avviene per gli alcohol test, di vedersi ritirare la patente o incorrere in sanzioni pecuniarie.

Ovviamente questa novità non ha nulla a che fare con il messaggio Whatsapp che sta circolando in questi giorni in Italia e che cita:

Vi comunico che a partire da maggio entrerà in vigore il nuovo codice della strada. Oggi e stato approvato l’articolo più pesante ed era anche giusto. Cioè vi spiego chiunque verrà sorpreso alla guida del veicolo anche se è fermo ai semafori o agli stop con il cellulare o altri apparecchi. La sanzione e la seguente, ritiro della patente immediata e la multa parte da 180 euro fino a 680 euro. Quindi state molto attenti organizzativi con i viva voce. Credo sia utile diffondere. Buongiorno.

Il messaggio è impreciso, anche se è confermato che già a maggio potrebbe essere inserita una modifica al Codice della Strada tramite un decreto, in attesa che riparta l’iter legislativo del nuovo Codice, che introdurrebbe la sospensione della patente (mentre oggi si paga la multa e si perdono 5 punti) per un mese già la prima volta che si viene sorpresi alla guida mentre si sta utilizzando lo smartphone.

Certamente uno strumento come Textalyzer, di Cellebrite, per verificare e dimostrare l’utilizzo del dispositivo durante la guida potrebbe tornare utile anche per rafforzare il rispetto del Codice della Strada ed evitare contestazioni o ricorsi.

La Prova Informatica al VI Congresso Giuridico Distrettuale

Il 25, 26 e 27 maggio 2017 si terrà a Riva del Garda il VI Congresso Giuridico Distrettuale, all’interno del quale parteciperò dalle 15:00 alle 19:00 del venerdì 26 maggio a una sessione sulla prova digitale insieme a relatori di altissimo livello come l’Avvocato Francesco Paolo Micozzi, l’Avvocato Valentina Carollo, l’Avvocato Maurizio Reale, la Dott.ssa Ines Simona Pisano, il Dott. Giuseppe Corasaniti, la Dott.ssa Antonella Ciriello, l’Ing. Giulio Borsari con la moderazione dell’Avv. Antonino Galletti.

All’interno di un congresso con tantissimi relatori di alto livello e argomenti di attualità in ambito giuridico e forense, parteciperò alla sessione sulla prova informatica, dove si metterà la professione di avvocato, magistrato e consulente informatico forense a confronto, mostrando come i punti di vista tecnico e giuridico s’integrano orientandosi tra leggi, convenzioni, best practices, standard ed RFC.

La conferenza sulla prova digitale e informatica si terrà presso il Palazzo dei Congressi, Parco Lido, Riva del Garda e la partecipazione al congresso permette di acquisire
fino a 22 crediti di cui 10 in materia deontologica. Per informazioni o iscrizioni è consultabile la pagina web dell’evento presso il sito dell’Ordine degli Avvocati di Rovereto [WBM], dove è contenuta anche la brochure che riporto per comodità anche a questo link in locale.

La sessione 7 sulla prova informatica e digitale del venerdì 26 maggio 2017, dalle ore 15:00 alle ore 19:00, seguirà il seguente programma:

La Prova Informatica: Avvocatura, Magistratura e Consulenti a Confronto

Con la moderazione dell’Avv. Antonino Galletti, Tesoriere Ordine Avvocati Roma.

dott.ssa Antonella Ciriello, Corte di Cassazione, componente STOCSM
dott. Giuseppe Corasaniti, Sostituto Procuratore, Generale – Procura, Corte di Cassazione
dott.ssa Ines Simona Pisano, TAR Lazio
avv. Valentina Carollo, COA Rovereto, Comm. Inf. TRV
avv. Francesco Paolo Micozzi, Foro di Cagliari, GdL FIIF
avv. Maurizio Reale, COA Teramo, GdL FIIF
ing. Giulio Borsari, DGSIA
dott. Paolo dal Checco, Consulente Informatico Forense

Corso su Bitcoin e Dark Web

Anche quest’anno, con la collaborazione di Green Sistemi, si ripropone a Torino il corso su Bitcoin e Deep/Dark Web finalizzato a far conoscere le caratteristiche tecniche della moneta matematica fornendo spunti sulle potenzialità investigative legate alla bitcoin forensics e alla bitcoin intelligence, al dark web e all’utilizzo di entrambi nel fenomeno dei ransomware.

Lo scopo del corso sul Bitcoin è quello di fornire le conoscenze di base relative alla criptomoneta e alla sua rete di pagamento, comprendere le potenzialità del mezzo e poter operare in sicurezza senza rischi.

Si partirà dalla storia del Bitcoin, analizzando il suo sviluppo nel tempo e i suoi punti di forza, le caratteristiche tecniche e il motivo per il quale è chiamata moneta “crittografica”, la blockchain e i suoi principi di funzionamento con qualche brevissimo cenno ai miner e il mining. Per chi non ha mai fatto transazioni o cambio di Euro in Bitcoin, si mostreranno i metodi e siti per l’acquisto e gli strumenti per poter aprire/creare un wallet e utilizzarlo per inviare o ricevere bitcoin.

Durante il corso sui bitcoin si parlerà dei rischi nell’utilizzo delle cripto monete come mezzo di scambio o di accantonamento di valore e si mostrerà come la moneta elettronica viene purtroppo usata dalle organizzazioni criminali, nel dark web e non solo. Casi come Cryptolocker e varianti come CTB-Locker. CryptoWall, Cryptolocker, TeslaCrypt, Locky, CryptXXX mostrano come il fenomeno dei ransomware si è strutturato pesantemente intorno al protocollo Bitcoin. Nel citare la problematica dei ransomware, si mostreranno alcune soluzioni per la protezione e difesa da ransomware spiegando anche come decifrare i dati criptati dai ransomware con tool o servizi senza ovviamente pagare il riscatto.

Il corso su Bitcoin si terrà a Torino venerdì 28 aprile 2017, dalle ore 9.00 alle 19.00 all’Enviroment Park di Via Livorno 60. Per informazioni su costi e iscrizioni contattare Mirko Patti all’indirizzo [email protected] o al numero +39 345.76.45.901.

Ransomware Day

Oggi presso l’Hotel Michelangelo di Milano si è tenuto l’evento “Ransomware Day”, organizzato da Achab e dedicato a fare il punto della situazione sul ransomware, la piaga informatica degli ultimi anni la cui diffusione non accenna a diminuire.

Durante la giornata gli ottimi relatori, che ringrazio per l’interessante opportunità che hanno offerto fornendo il loro know-how e la loro esperienza di casi reali, hanno parlato di ransomware con particolare accezione a:

modalità di diffusione dei criptovirus;
come prevenire e difendersi dai ransomware;
come decriptare i file cifrati dai ransomware;
casi reali ed esempi di ransomware e richieste di riscatto;
testimonianze di chi ha pagato il riscatto in bitcoin richiesto dai cryptovirus;
implicazioni legali del ransomware e del pagamento del riscatto;
best practice per la prevenzione dai ransomware;
l’importanza del consulente informatico forense in alcuni casi di attacco da ransomware;
importanza del fattore umano nella difesa dai ransomware;
è legale o illegale pagare il riscatto richiesto dai ransomware in bitcoin?
come recuperare i propri file e documenti criptati dai ransomware come Crypt0l0cker;
calcolo del il costo di un “down” dovuto a un attacco da ransomware;
suggerimenti su come ripartire velocemente dopo un attacco di criptovirus.

L’evento “Ransomware Day” è stato sponsorizzato da Datto, Webroot e Digital 4Trade e ha seguito, con tempistiche scandite in maniera precisa, il seguente programma:

9.30 – 10.00 Registrazione partecipanti

10.00 – 10.15 Benvenuto – Andrea Veca, CEO di Achab

10.15 – 10.30 Introduzione alla giornata – Marco Lorusso, Direttore responsabile di Digital4Trade

10.30 – 11.15 Stato dell’arte del ransomware – Claudio Tosi, System Engineer di Webroot

Antivirus lenti ad aggiornarsi, sistemi bucati perché l’antivirus non ce la fa, CryptoVirus sempre più bestiali: come se ne esce? Claudio Tosi analizza il funzionamento dei virus e del malware di oggi, perché l’antivirus tradizionale non è efficace come dovrebbe e cosa offre il mercato per reagire ai virus moderni.

11.15 – 12.00 Riscatto sì, riscatto no – Emanuele Briganti, CIO e CTO di PC System

Le domande e i dubbi sul pagamento del riscatto sono tanti: dove e come si cambiano i bitcoin? E’ il caso di usare una carta di credito aziendale o personale? Come usare un browser “tor”? Come dimostrare la propria identità a chi ci chiede il riscatto? E infine il dubbio cosmico: arriverà mai il decryptor? La situazione talvolta è tragicomica come l’esperienza che racconteremo.

12.00 – 12.45 Implicazioni tecniche e giuridiche dei ransomware e del pagamento del riscatto – Paolo Dal Checco, Professore a Contratto presso Università degli Studi di Torino – Co-fondatore Digital Forensics Bureau

L’intervento mostrerà in un’ottica tecnico/giuridica alcune problematiche legate ai ransomware e al pagamento del riscatto, contemplando i rischi tecnici e legali cui incorrono le parti in causa, anche per via di aspetti spesso sottovalutati. Tramite lo studio di alcuni casi reali, verranno affrontate le questioni che rendono il pagamento del riscatto una pratica delicata che rischia talvolta di rappresentare non la soluzione ma il problema, se non per la vittima, per gli altri attori coinvolti nell’operazione. Durante l’intervento troveranno risposta domande circa le modalità con le quali avvengono i pagamenti in bitcoin, la tracciabilità degli stessi, le possibili indagini nelle quali si può essere coinvolti e i risultati talvolta inaspettati cui sono andati incontro coloro che hanno deciso di pagare.

12.45 – 14.15 Light lunch, networking e desk di approfondimento

14.15 – 15.00 Best practices di prevenzione – Claudio Panerai, CTO di Achab

Un buon antivirus è necessario, il firewall pure. Ma come ridurre al minimo la superficie d’attacco? A parte le misure di sicurezza minime e ovvie, come evitare di essere colpiti dal ransomware? In questo intervento si passano in rassegna le molte forme di protezione che, se messe in opera insieme, possono davvero contribuire a ridurre al minimo il rischio di infezione da ransomware.

15.00 – 15.45 Il fattore umano – Paolo Sardena, Co-fondatore e COO di INTUITY

La quasi totalità del Ransomware è veicolata attraverso mail di phishing. Il phishing è un attacco rivolto alle persone: il phishing è Social Engineering. Una prevenzione efficace nei confronti del fenomeno phishing, e di conseguenza del “ransomware”, non può prescindere dall’educazione delle persone. Fornire a tutti la giusta consapevolezza del problema e le informazioni per riconoscerlo può trasformare il ruolo dell’utente: da essere vulnerabile a elemento di difesa.

15.45 – 16.30 Vincitore o vittima? La scelta è nelle tue mani. Sempre – Andrea Monguzzi, Blogger e titolare di Flexxa S.r.l.

Tra prima e dopo un disastro si estende una landa desolata, una terra di nessuno.
In quel territorio senza legge si gioca la partita più importante il cui esito determina la sopravvivenza o l’estinzione. Una corretta e preventiva pianificazione delle mosse è indispensabile per poter trionfare. Puoi essere tu a decidere se chiudere i giochi da vincitore o da vittima, ma è una scelta che non puoi rimandare a domani.

16.30 – 17.00 Conclusioni, networking e desk di approfondimento

Perizia fotografica sul Demone dell’ex manicomio di Mombello

L’ex ospedale psichiatrico Giuseppe Antonini, noto come il manicomio di Mombello di Limbiate, in provincia di Monza e Brianza, è stato costruito nel XIV secolo, adibito a ospedale psichiatrico nel 1863 è stato chiuso e abbandonato nel 1999 dopo la legge Basaglia. Da allora è meta di appassionati del paranormale che vi organizzano, muniti di macchine fotografiche, cellulari o videocamere, visite alla ricerca di fantasmi e spiriti.

Uno di questi appassionati si è rivolto all’AIPO – Agenzia di Investigazione del Paranormale e dell’Occulto – per chiedere conferma di un particolare emerso da una fotografia scattata nei sotterranei del manicomio. L’AIPO, su autorizzazione dell’autore degli scatti, si è rivolto a noi richiedendo una perizia fotografica dell’immagine, così da poterne valutare l’integrità e l’originalità e l’assenza di manipolazioni.

Lo scatto di cui è stata richiesta la perizia fotografica è stato ripreso nei sotterranei del Manicomio di Mombello a fine marzo 2015 e ritrae un corridoio dove la luce del flash ha messo in evidenza alcuni tubi in primo piano sulla sinistra lasciando però all’oscuro il resto del locale a causa del breve tempo di scatto.

La fotografia è stata scattata con una Nikon D3100 con AF-S DX VR Zoom-Nikkor 18-55mm f/3.5-5.6G e salvata in formato JPEG. A prima vista on si nota nulla di strano, anche ingrandendo i particolari della fotografia, a parte i tubi in primo piano ben illuminati dal flash il resto è troppo scuro per distinguere eventuali oggetti.

Per verificare se nell’immagine compaiono altri elementi oltre ai tubi illuminati dal flash in primo piano possiamo ridistribuire i livelli di chiaro/scuro su una scala più bassa, cioè ampliando l’intervallo di ciò che vediamo come “nero” sullo sfondo e che invece ha all’interno delle differenze di tonalità che non riusciamo ad apprezzare.

E’ possibile bilanciare i livelli in input e output tramite il tool free e open source GIMP oppure anche utilizzando il software “Anteprima” presente in tutti gli Apple Mac OS, utilizzando la funzione “Regola colore”.

Modificando la scala di grigi in input e in output, tramite regolazione delle curve o dei livelli, otteniamo un’immagine dove oltre ai tubi in primo piano si possono osservare gli oggetti presenti nel resto del corridoio del sotterraneo, si nota infatti ora la presenza di un contatore elettrico e di una forma poco distante.

Ingrandendo la parte centrale e ottimizzando l’immagine tramite sharpening e gaussian blur, si può osservare chiaramente una forma che antropomorficamente possiamo interpretare come simile a un corpo umano e che l’AIPO ha soprannominato “il Demone di Mombello” per la sua struttura esile e ambigua. La forma umanoide è posizionata sotto la trave che percorre il soffitto, di fianco alla cassetta elettrica e la sua altezza sembra di circa due metri ipotizzando un soffitto del sotterraneo a circa tre metri. Per chi non riesce a identificare la forma del “Demone”, abbiamo preparato un’animazione dove i contorni vengono delineati in modo graduale.

Non è necessaria una perizia antropometrica forense per osservare come le proporzioni della figura siano sostanzialmente compatibili con quelle del fisico di un uomo, per quanto le gambe siano esili, il busto sia in ombra e il braccio destro si veda poco. Conoscendo le misure del sotterraneo sarebbe anche possibile stabilire – cosa comunemente fatta durante le perizie antropometriche forensi – un sistema di riferimento tridimensionale su cui poi calcolare le misure del corpo come altezza, larghezza del busto e parti del corpo.

Gli esami tecnici eseguiti sull’immagine sono diversi e fanno tutti parte delle metodologie utilizzate nelle perizie fotografiche dove il quesito è quello di rilevare eventuali anomalie o artefazioni. In primo luogo, sono stati richiesti altri scatti eseguiti durante la stessa giornata, possibilmente quelli immediatamente precedenti e successivi, per verificare la coerenza dei metadati exif e la numerazione.

I dati exif risultano sostanzialmente corretti e compatibili con quelli prodotti da una fotocamera Nikon D3100, anche se abbiamo rilevato un’anomalia su alcuni campi che mostrano una differenza rispetto alle immagini presenti e successive. Nell’immagine sottostante, la parte sinistra mostra i dati exif dell’immagine con il “demone” mentre sulla destra abbiamo i dati di alcune altre immagini scattate poco dopo.

L’immagine su cui è stata eseguita la perizia fotografica di autenticazione e una seconda immagine fornita risultano essere state marchiate da “Microsoft Windows Live Photo Gallery” con UUID “faf5bdd5-ba3d-11da-ad31-d33d75182f1b”, come se fossero state riversate su PC, aperte probabilmente tramite Windows Explorer, salvate e poi inviate per le analisi. Riteniamo che queste anomalie non rappresentino una alterazione, poiché probabilmente create nel tentativo di modificare la scala di chiari/scuri per visualizzare eventuali oggetti presenti sullo sfondo anche nella seconda immagine fornita come campione. Le indicazioni su orario, giorno, numero incrementale dello scatto, informazioni sulle impostazioni di scatto e sulla fotocamera sembrano corrette e anche il rapporto di compressione jpg tra le immagini con i dati exif modificati e quelli originali è identico.

Il thumbnail exif risulta corretto e corrispondente all’immagine principale, cosa che talvolta in corrispondenza di alterazioni non avviene perché gli autori modificano l’immagine senza aggiornare anche l’anteprima contenuta nell’immagine stessa. Sono frequenti i casi nei quali sono state rilevate alterazioni alle immagini grazie all’analisi forense delle anteprime exif che contenevano le immagini originali, non alterate o compromesse. Ovviamente l’anteprima è ridotta come dimensioni rispetto all’originale ma si può notare che modificandone la scala di grigi risulta contenere la sagoma sospetta.

Si è quindi proceduto ad eseguire alcune analisi tipiche di photo forensics, come quella del livello di errore nel tasso di compressione delle diverse aree jpg (ELA, Error Level Analysis) che in caso di alterazioni spesso permette d’identificare l’area modificata marcandola con colori più chiari che indicano appunto una differenza nella modalità con la quale sono state compresse le aree contenenti artefazioni. Ovviamente un eventuale malintenzionato potrebbe alterare una fotografia operando modifiche tali da rendere l’analisi ELA neutra, quindi questa verifica non può essere considerata esaustiva ma è certamente un passaggio nelle analisi dell’integrità di fotografie digitali che viene eseguita all’interno delle perizie informatiche forensi su fotografie e video finalizzate a verificare e identificare un potenziale fotomontaggio o manipolazione della fotografia.

Eseguite anche ulteriori analisi e dopo confronto con colleghi abbiamo concluso che non risultano tracce di alterazione, manipolazioni o fotomontaggi nell’immagine fotografica fornita, il che conferma la buona fede di chi ha eseguito e fornito gli scatti e una presunta integrità degli stessi.

Questo non esclude ovviamente attività di staging, cioè di riprese e fotografie “originali” e autentiche di oggetti o soggetti effettivamente presenti nell’ambiente ma preparati ad hoc (es. sagome predisposte per rappresentare soggetti particolari, etc…) o scelti in modo da essere fuorvianti. Gli scatti di questo genere producono quindi fotografie “originali” (nel senso di prive di manipolazioni grafiche post produzione) ma contenenti oggetti o soggetti non reali. Si pensi ad esempio alle foto dei frisbee che vengono presentate come foto di UFO, sono “originali”, integre e prive di forgery o manipolazioni nel senso che non c’è attività di post produzione ma non ritraggono UFO…

Ovviamente possono verificarsi episodi non intenzionali di scatti originali con soggetti la cui identificazione è dubbia. Per questo motivo, pur non trattandosi presumibilmente di un fotomontaggio o di una manipolazione, poco convinti che la sagoma rappresentata fosse davvero quella di un demone, abbiamo deciso quindi di procedere tramite riscontro sull’ambiente fotografato, ipotizzando che il “demone” potesse trattarsi di qualche effetto legato alla conformazione del posto. Si è quindi deciso di eseguire attività di ricerca su fonti aperte OSINT con l’intento di trovare altre fotografie scattate nello stesso corridoio del sotterraneo del Manicomio di Mombello, possibilmente dalla stessa angolazione. Attraverso ricerca su pagine web, social network, Youtube, Flickr, etc… abbiamo trovato un filmato su Youtube che riporta diverse fotografie scattate nel Manicomio di Mombello, una delle quali risulta compatibile con l’oggetto della ricerca: stesso corridoio, stessa angolazione, periodo leggermente diverso.

Il video risulta essere stato girato a febbraio 2014, quindi circa un anno prima dello scatto oggetto della perizia sull’immagine, ma la qualità della fotografia estratta dal filmato Youtube non è sufficiente per le analisi. L’AIPO ha quindi provveduto a contattare l’autore del video per chiedere cortesemente se l’originale, il sorgente della fotografia inserita al minuto 01:46, fosse disponibile per le analisi.

L’autore ha gentilmente concesso all’AIPO di esaminare il sorgente della fotografia per confrontarla con quella oggetto di perizia forense. L’immagine risulta scattata con una Nikon D700 in formato portrait invece che landscape come l’originale oggetto di analisi tecnica, da posizione leggermente più arretrata. Mostriamo qui una versione ritagliata e con la distribuzione di chiari/scuri in modo che l’immagine sia simile a quella della foto oggetto di analisi.

Come si nota già dal filmato su Youtube, la luce del flash è distribuita meglio, illuminando sia i quattro tubi in primo piano sia il fondo della galleria. permettendo d’identificare chiaramente l’arco sotto il quale nell’immagine oggetto di perizia tecnica è presente la figura sospetta, il tubo metallico (leggermente spostato) e il contatore elettrico sulla destra.

Ciò che emerge da una rapida analisi è che al posto della figura del demone, nella fotografia estratta dal filmato di Youtube vi sono delle tubature con una giuntura, che si sviluppano creando una forma tridimensionale, scendendo dall’arco soprastante con la macchia gialla (presente in entrambi gli scatti) e arrivando al pavimento. Mostriamo qui a destra una versione ingrandita e ottimizzata nella distribuzione delle luci e degli scuri sul particolare della zona dove risiedono i tubi o il demone, a seconda di quale versione si preferisca. Il tubo presenta una giuntura in corrispondenza della testa del “demone” e si sdoppia, una tubatura va verso la parete (in corrispondenza del braccio del “demone”) mentre ne scendono due (in corrispondenza delle “gambe” del demone) e una segue una curva proprio in corrispondenza del piede del “demone”.

La spiegazione scientifica del “demone” che compare nella foto originale sembra quindi delinearsi: complici l’oscurità e il flash che nella foto del “demone” ha illuminato con meno chiarezza la galleria rispetto a quella dell’anno prima presente nel video Youtube, si è creato un effetto di chiari/scuri che ha fatto sì che la mente di chi osserva vi veda una forma umana, esattamente in corrispondenza di ciò che invece trattasi di tubature.

Per mostrare meglio quanto ricavato dalle analisi esperite, abbiamo sovrapposto le due immagini passando da una all’altra tramite dissolvenza graduale, così da poter apprezzare il passaggio dalle tubature al “demone” e viceversa.

La corrispondenza è molto marcata, vi sono alcune piccole differenze dovute al fatto che le tubature risultano essere state leggermente spostate durante l’anno intercorso tra i due scatti, in particolare il tubo che percorre la galleria (da cui poi sale quello che va a formare il “demone”) è stato spostato verso sinistra, muovendo quindi anche l’intera figura di tubi che non risulta quindi essere corrispondente 1:1 con il demone.

In conclusione, riteniamo che la fotografia sia autentica, nel senso di priva di forgery o manipolazioni post produzione, ma ritragga un soggetto che viene “percepito” dagli occhi dell’osservatore come una figura umanoide (o un “demone”, come taluni hanno sottolineato) pur essendo in realtà un oggetto diverso. Il “demone” è infatti in realtà un effetto dovuto alla presenza nell’immagine di tubature, conformate in modo particolare, riprese con un grado di luce così basso da generare sfumature nel bilanciamento dei livelli. Non si può escludere, inoltre, la presenza di stracci od oggetti appoggiati sopra ai tubi che nelle fotografie di raffronto sono “puliti” e ben delineati mentre nella foto del demone appaiono meno definiti e più sfocati, certamente anche a causa della poca luce che li illumina.

Speriamo che questo esempio di perizia informatica e fotografica, seppur sostanziale e ridotto alle analisi principali, privo degli aspetti d’informatica forense come catena di conservazione, calcolo degli hash, documentazione tecnica possa essere utile per capire come in diversi contesti le perizie informatiche (fotografiche, audio, video, su computer, cellulari, smartphone, web, social network, etc…) possono essere dirimenti.

Studio d'Informatica Forense

Perizie Informatiche Forensi, CTP e CTU in Processi Civili e Penali