Archivi tag: perizie informatiche

Telegram sempre più sicuro: nasconde il numero di telefono agli sconosciuti

Una brutta notizia per chi esegue attività di OSINT su protocollo Telegram: in risposta alla richiesta di aiuto lanciata su Twitter degli attivisti di Hong Kong, Telegram ha rafforzato ulteriormente il livello di privacy permettendo di nascondere il proprio numero di cellulare a tutti, non soltanto agli sconosciuti o a chi non ha tale numero in rubrica.

A maggio di quest’anno Telegram aveva già rafforzato la privacy delle impostazioni relative ai numeri di telefono dei propri utenti permettendo di scegliere chi potesse visionare il proprio numero con l’opzione “Chi può vedere il mio numero?”. Questa impostazione, descritta in modo poco chiaro nel blog di Telegram, seppur certamente utile aveva lasciato delusi molti esperti di sicurezza dato che permetteva (e permette ancora, essendo tutt’ora attivabile) semplicemente di mostrare il nostro numero anche a chi non ci ha inserito nella sua rubrica e magari condivide con noi un gruppo. Non permette, cioè, di nascondere il proprio numero a tutti: al contrario, aggiunge la possibilità di mostrarlo anche a chi senza quella impostazione non lo avrebbe potuto visionare, proprio a causa di recenti modifiche alla sicurezza di Telegram che avevano modificato il comportamento dei gruppi.

La funzione di ricerca a partire dal numero di telefono è sempre rimasta attiva e anzi, proprio questo – che gli attivisti di Hong Kong hanno definito “bug” – ha permesso per parecchio tempo a organizzazioni ed esperti OSINT di poter identificare utenze Telegram. Era infatti sufficiente inserire in rubrica parecchi numeri telefonici, anche a caso, per poter verificare chi tra quelli aveva un utenza Telegram e persino appurare se ci fossero gruppi in comune, cosa appunto piuttosto rischiosa per chi ha motivo di temere di essere identificato personalmente a seguito dell’appartenenza a un gruppo Telegram. Dal punto di vista investigativo, indagini OSINT e perizie informatiche, allo stesso modo era possibile – una volta identificata una rosa di sospetti – verificarne l’appartenenza a gruppi Telegram o risalire in ogni caso al nome utente, spesso con risultati di rilievo.

Con la modifica di settembre, anche questo limite viene rimosso ed è ora possibile nascondere il proprio telefono a chiunque, potendo quindi contare su un livello di privacy che si può definire elevato. Con disappunto di chi utilizzava tecniche OSINT su Telegram per trovare utenze a fini investigativi, infatti, compare ora una nuova voce “Chi può trovare il mio numero” che permette a chiunque di scegliere chi può verificare l’appartenenza a Telegram e i dettagli di un’utenza telefonica.

Telegram - Chi puo' trovarmi con il mio numero

In sostanza, con la funzione di Telegram “Chi può trovarmi con il mio numero”, si può decidere cosa far vedere a chi il nostro numero lo ha, ovviamente non necessariamente perché glie lo abbiamo dato noi. Non andiamo infatti a impattare sugli sconosciuti che possono essere all’interno di un gruppo Telegram insieme a noi e non sanno chi siamo né hanno la nostra utenza telefonica. Andiamo invece a modificare ciò che vedrà chi il nostro numero lo possiede all’interno della sua rubrica, in particolare se anche noi lo abbiamo inserito nella nostra.

Le due voci disponibili per l’opzione “Chi può trovarmi con il mio numero” sono infatti le seguenti:

  1. Tutti“, che Telegram spiega precisando che: “Gli utenti che hanno il tuo numero salvato in rubrica lo vedranno anche su Telegram“;
  2. I miei contatti“, che Telegram spiega precisando che “Gli utenti che aggiungono il tuo numero ai loro contatti lo vedranno su Telegram solo se sono tuoi contatti“.

Questa scelta condiziona anche ciò che gli utenti vedranno quando, nella propria rubrica, accederanno al contatto telefonico dove è memorizzato un numero di telefono con il quale è stato registrato un account Telegram. Se l’impostazione è su “Tutti”, che siano nella nostra rubrica o meno, vedranno che abbiamo un account Telegram e potranno accedervi. Se l’impostazione è su “I miei contatti”, vedranno il nostro account Telegram solamente se sono stati inseriti esplicitamente, da noi, nei nostri contatti.

Come nascondere il numero di telefono ai contatti Telegram

Selezionando “Tutti” alla voce “Chi può trovarmi con il mio numero” il comportamento rimane quello precedente di Telegram, cioè chiunque abbia a disposizione il nostro numero di telefono può scoprire il nostro account Telegram e sapere se ci sono gruppi in comune.

Da precisare che l’opzione “Condividi con”, presente nelle “Eccezioni” riguarda la scelta di “Chi può vedere il mio numero” e non “Chi può trovarmi con il mio numero”.

La scelta su chi può visionare il nostro profilo Telegram a partire dal numero di telefono, quindi, si fa in fin dei conti sia impostando correttamente le nuove opzioni fornite da Telegram, sia selezionando opportunamente chi inserire o meno nella propria rubrica dello Smartphone o di Telegram.

Il menù di Telegram che permette di operare la scelta sulla privacy e sicurezza del proprio numero cellulare o di telefono è raggiungibile tramite l’opzione “Impostazioni -> Privacy e Sicurezza -> Numero di Telefono” e soltanto chi ha aggiornato l’App per smartphone o Desktop la può utilizzare: se non la vedete, significa che non avete ancora aggiornato il software.

Telegram ha fatto questa scelta certamente “sofferta” (perché se tutti gli utenti la applicassero, l’utilizzo di Telegram come Instant Messenger da integrare alla propria rubrica diventerebbe più complesso almeno per la maggior parte degli utenti. Scelta “sofferta” ma debitamente pesata e limitata, perché come si vede, non è stata inserita l’opzione “Nessuno” nella scelta su “Chi può trovarmi con il mio numero”, cosa che invece è presente nella scelta su “Chi può vedere il mio numero”: in pratica, anche rafforzando al massimo le opzioni di sicurezza di Telegram, possiamo nasconderci da tutti ma non da chi ha il nostro numero in rubrica.

Le altre App di messaggistica non hanno ancora avuto tanto coraggio e per fortuna (per gli investigatori ed esperti di OSINT) o per sfortuna (per gli amanti della privacy) applicazioni come Whatsapp e Signal forniscono ancora la possibilità di ottenere informazioni dagli account a partire dai numeri di telefono.

Per chi ha Telegram configurato in inglese, le stesse voci si trovano nel menù “Settings -> Privacy and Security -> Phone Number” e le scelte del menù “Who can see my phone number” sono “Everybody”, “My Contacts” o “Nobody” mentre nella voce “Who can find me by my number” possiamo scegliere tra “Everybody” (“Users who have your number saved in their contacts will also see it on Telegram“) e “My Contacts” (“Users who add your number to their contacts will see it on Telegram only if they are your contacts.“).

HackInBoat - Hacker in Crociera

HackInBoat: cybersecurity e digital forensics in crociera

Si sta ormai avvicinando il momento in cui salperemo per la crociera rivolta a tutti gli appassionati di sicurezza offensiva e informatica forense, organizzata in forma di conferenza/corso itinerante da Mario Anglani, con la collaborazione del Team HackInBo. Partendo da Genova il 2 maggio 2019, navigheremo nel Mediterraneo occidentale con scali a Barcellona e Marsiglia, rientrando a Genova il 5 maggio 2019 con un programma di offensive security e digital forensics che terrà impegnati i partecipanti per due giornate, lasciando il resto dei giorni liberi per godersi il viaggio in nave e intrattenere rapporti sociali con i partecipanti.

HackInBoat - Hacker in Crociera

Il percorso HackInBoat di offensive security – dal nome in codice “Offensive Security 4 n00bs” – vede come docenti Igor “Koba” Falcomatà & Gianfranco Ciotti, entrambi che operano da anni nel campo della sicurezza informatica.

Igor Koba Falcomatà e Gianfranco Ciotti - Offensive Security

Il programma del corso si offensive security di HackInBoat si distribuisce in due giornate, percorrendo i seguenti argomenti:

  • Affinità e divergenze tra: risk assessment, vulnerability assessment, penetration test, red/blue teaming e altre buzzword assortite;
  • Sicurezza di rete: del perché l’evil bit non era poi un’idea così balzana;
  • Pwning for fun & profit: la dura vita del pentester;
  • Sicurezza su mobile: bitterly birds;
  • Sicurezza applicativa: non è tutto web quello che luccica;
  • Famolo strano: IOT? ICS/SCADA?

Il percorso HackInBoat di digital forensics – dal nome in codice “DFIR@HackInBoat” – vede come docenti Paolo dal Checco & Davide “Rebus” Gabrini, entrambi da anni sul campo in attività d’indagine informatica e investigazioni digitali.

Davide Gabrini e Paolo Dal Checco - Digital Forensics

Il programma del corso d’informatica forense di HackInBoat si suddivide in questo modo nelle due giornate di corso:

  • Durante la prima giornata di corso verranno mostrate tecniche di incident response in modalità “live”, tramite strumenti prevalentemente free e open source, mostrando ai discenti come acquisire informazioni circa attività occorse sui sistemi Windows, Mac OS e Linux sfruttando l’immediatezza dell’azione e il fatto che i sistemi sono ancora operativi. Rispetto alle analisi “post mortem” che verranno mostrate durante la seconda giornata, le attività svolte a sistema “vivo” offrono spesso spunti investigativi rilevanti, non solo per l’immediatezza dei risultati ma anche per il fatto che spesso tali risultati non sono ottenibili su un sistema spento.
  • Durante la seconda giornata analizzeremo invece le potenzialità di azione “post mortem” con analisi forensi che partono con la copia forense dei sistemi Windows, Mac OS (con cenni anche a sistemi Android e iOS) eseguita tramite strumentazione/software adeguato e certificata da valori hash e timestamp, proseguendo con le analisi sulle immagini forensi bitstream acquisite. Ponendosi in un contesto di violazione di fedeltà aziendale (il tipico caso di “dipendente infedele” ormai all’ordine del giorno per chi si occupa d’informatica forense e perizie informatiche) si toccheranno temi come carving, analisi del registro, lnk, shellbag e jump list, mft, usnjrnl, logfile, ricostruzione della navigazione sul web, timeline, supertimeline, tutti artefatti spesso essenziali ricostruire ciò che è accaduto su di un sistema.

I posti per partecipare alla crociera più attesa dell’anno sono esauriti il primo giorno in cui sono state aperte le vendite ma c’è ancora la possibilità di registrarsi in lista d’attesa. Per informazioni su prezzi, date e iscrizioni consigliamo di visitare il sito ufficiale di HackInBoat.

Scuola del Difensore Penale presso il Palazzo di Giustizia di Torino

Scuola per la Formazione Tecnica e Deontologica del Difensore Penale

Scuola del Difensore Penale presso il Palazzo di Giustizia di TorinoMartedì 18 settembre 2018, dalle 14:30 alle 17:30, terrò a Torino la lezione “L’analisi dei delitti contro la personalità individuale, la libertà personale e dei reati informatici attraverso la discussione di casi pratici” insieme agli Avv.ti Giuseppe Caprioli e Monica Senor nell’ambito della “Scuola per la Formazione Tecnica e Deontologica del Difensore Penale” organizzata dal Consiglio dell’Ordine degli Avvocati di Torino e dalla Camera Penale “Vittorio Chiusano” del Piemonte Occidentale e Valle d’Aosta per il 2018 e 2019 con la collaborazione degli Avv.ti Guido Anetrini, Flavio Campagna, Francesca Maria Chialva, Federico Morbidelli, Marco Longo, Luciano Paciello, Barbara Passanisi, Vittorio Maria Rossini, Claudio Strata e la direzione dell’Avv. Daniele Zaniolo.

Scuola di Formazione Tecnica e Deontologica del Difensore Penale

Il mio modesto contributo verterà sulle problematiche legate alla raccolta delle prove, fin dalla fase iniziale, quando si corre alto rischio di perdere o corrompere le evidenze digitali a causa di azioni errate (da parte di vittima o chi interviene e la supporta). Tratterò quindi alcuni casi pratici illustrando cosa è bene fare e cosa è consigliabile non fare per gestire al meglio un reato informatico dal punto di vista tecnico di informatica forense, in collaborazione con il consulente della difesa. Il legale avrà quindi alcune indicazioni su come condurre l’indagine difensiva supportando il consulente tecnico di parte, l’informatico forense o l’investigatore informatico nella perizia tecnica e analisi forense sui dispositivi o sui dati a disposizione. Verranno altresì mostrati alcuni esempi di perizie informatiche nei quali sono state prese scelte diverse in base alle tipologie di prove da inserire a processo tramite acquisizione forense, siano esse dati presenti su PC, notebook, smartphone, web, rete, social network.

L’incontro si terrà presso la Maxi Aula 2 del Palazzo di Giustizia di Torino e fa parte di un ciclo di lezioni avviato a febbraio 2018 che terminerà a maggio 2019. Tutti gli argomenti oggetto delle lezioni in programma saranno trattati ponendo specifica attenzione alla casistica, alle strategie difensive e agli aspetti deontologici rilevanti. Per maggiori informazioni, s’invita a visionare il volantino riportato online dall’Ordine degli Avvocati di Cuneo è disponibile in copia locale anche a questo link.

Conferenza su tecniche investigative, profili fiscali e penali del Bitcoin

Martedì 12 dicembre 2017 sarò relatore, a Bologna, del seminario su “Criptovalute e illegalità virtuale: l’economia sommersa del deep web. Tecniche investigative, profili fiscali e penali” organizzato dall’Associazione Sindacale Avvocati di Bologna e dell’Emilia Romagna aderente alla A.N.F. – Associazione Nazionale Forense.

Il seminario sul bitcoin e le criptovalute si terrà all’interno della Sala delle Colonne presso il Tribunale di Bologna, in Via Farini n. 1 a Bologna, la brochure è disponibile a questo link.

Durante il seminario verranno trattati gli aspetti investigativi delle criptovalute, con cenni sulla storia e le basi del bitcoin per passare alla disciplina della bitcoin forensics e bitcoin intelligence, con alcune informazioni sulle perizie informatiche sulla blockchain e i bitcoin e le modalità tecniche di sequestro di bitcoin e criptovalute. Si passerà quindi – con l’ottimo intervento del Dott. Stefano Capaccioli – agli aspetti legali e fiscali del Bitcoin e delle criptomonete, illustrando le problematiche del riciclaggio e le tecniche di antiriciclaggio

Il programma della conferenza sugli aspetti tecnici, fiscali, penali e investigativi del Bitcoin e delle criptovalute è il seguente:

Presentazione e saluti

  • Avv. Nicoletta Grassi (Segretario ANF – Bologna)
  • Dott.ssa Mariagiovanna Caruso (Presidente U.G.D.C.E.C. di Bologna)
  • Avv. Francesco Paolo Colliva (Consigliere dell’Ordine degli Avvocati di Bologna)

Modera

  • Avv. Maria Luisa Caliendi (Direttivo ANF – Bologna)

Relazioni

  • Dott. Paolo Dal Checco (Consulente Informatico Forense, Prof. a contr. Università di Torino): “Bitcoin e criptovalute: principi di funzionamento, potenzialità investigative e modalità di sequestro
  • Dott. Stefano Capaccioli (Dottore Commercialista e Revisore Legale):
    Bitcoin e criptovalute: profili critici del regime impositivo, riciclaggio e
    antiriciclaggio

Tavola rotonda su criptovalute e illegalità virtuale
Interverranno, oltre ai relatori,

  • Dott.ssa Lucia Musti (Procuratore Capo della Procura della Repubblica di Modena)
  • Avv. Daniele Coliva (Avvocato del Foro di Bologna)

Le iscrizioni sono riservate agli iscritti all’Associazione Sindacale Avvocati di Bologna e dell’Emilia Romagna, per le prenotazioni è disponibile la pagina della formazione del Sindacato degli Avvocati di Bologna.

L’evento in corso di accreditamento presso l’Ordine degli Avvocati di Bologna e l’Ordine dei Commercialisti ed Esperti Contabili di Bologna.

Particolare del Demone di Mombello

Perizia fotografica sul Demone dell’ex manicomio di Mombello

L’ex ospedale psichiatrico Giuseppe Antonini, noto come il manicomio di Mombello di Limbiate, in provincia di Monza e Brianza, è stato costruito nel XIV secolo, adibito a ospedale psichiatrico nel 1863 è stato chiuso e abbandonato nel 1999 dopo la legge Basaglia. Da allora è meta di appassionati del paranormale che vi organizzano, muniti di macchine fotografiche, cellulari o videocamere, visite alla ricerca di fantasmi e spiriti.

Uno di questi appassionati si è rivolto all’AIPO – Agenzia di Investigazione del Paranormale e dell’Occulto – per chiedere conferma di un particolare emerso da una fotografia scattata nei sotterranei del manicomio. L’AIPO, su autorizzazione dell’autore degli scatti, si è rivolto a noi richiedendo una perizia fotografica dell’immagine, così da poterne valutare l’integrità e l’originalità e l’assenza di manipolazioni.

Perizia Fotografica sul Demone del Manicomio di MombelloLo scatto di cui è stata richiesta la perizia fotografica è stato ripreso nei sotterranei del Manicomio di Mombello a fine marzo 2015 e ritrae un corridoio dove la luce del flash ha messo in evidenza alcuni tubi in primo piano sulla sinistra lasciando però all’oscuro il resto del locale a causa del breve tempo di scatto.

La fotografia è stata scattata con una Nikon D3100 con AF-S DX VR Zoom-Nikkor 18-55mm f/3.5-5.6G e salvata in formato JPEG. A prima vista on si nota nulla di strano, anche ingrandendo i particolari della fotografia, a parte i tubi in primo piano ben illuminati dal flash il resto è troppo scuro per distinguere eventuali oggetti.

Per verificare se nell’immagine compaiono altri elementi oltre ai tubi illuminati dal flash in primo piano possiamo ridistribuire i livelli di chiaro/scuro su una scala più bassa, cioè ampliando l’intervallo di ciò che vediamo come “nero” sullo sfondo e che invece ha all’interno delle differenze di tonalità che non riusciamo ad apprezzare.

Ricostruzione dell'immagine tramite distribuzione dei livelli di chiaro scuro

E’ possibile bilanciare i livelli in input e output tramite il tool free e open source GIMP oppure anche utilizzando il software “Anteprima” presente in tutti gli Apple Mac OS, utilizzando la funzione “Regola colore”.

Bilanciamento dei livelli nella perizia di miglioramento delle fotoModificando la scala di grigi in input e in output, tramite regolazione delle curve o dei livelli, otteniamo un’immagine dove oltre ai tubi in primo piano si possono osservare gli oggetti presenti nel resto del corridoio del sotterraneo, si nota infatti ora la presenza di un contatore elettrico e di una forma poco distante.

Pulizia dell'immagine scura tramite perizia fotografica

Particolare del Demone di MombelloIngrandendo la parte centrale e ottimizzando l’immagine tramite sharpening e gaussian blur, si può osservare chiaramente una forma che antropomorficamente possiamo interpretare come simile a un corpo umano e che l’AIPO ha soprannominato “il Demone di Mombello” per la sua struttura esile e ambigua. La forma umanoide è posizionata sotto la trave che percorre il soffitto, di fianco alla cassetta elettrica e la sua altezza sembra di circa due metri ipotizzando un soffitto del sotterraneo a circa tre metri. Per chi non riesce a identificare la forma del “Demone”, abbiamo preparato un’animazione dove i contorni vengono delineati in modo graduale.

 Ricostruzione del corpo tramite perizia video

Non è necessaria una perizia antropometrica forense per osservare come le proporzioni della figura siano sostanzialmente compatibili con quelle del fisico di un uomo, per quanto le gambe siano esili, il busto sia in ombra e il braccio destro si veda poco. Conoscendo le misure del sotterraneo sarebbe anche possibile stabilire – cosa comunemente fatta durante le perizie antropometriche forensi – un sistema di riferimento tridimensionale su cui poi calcolare le misure del corpo come altezza, larghezza del busto e parti del corpo.

Gli esami tecnici eseguiti sull’immagine sono diversi e fanno tutti parte delle metodologie utilizzate nelle perizie fotografiche dove il quesito è quello di rilevare eventuali anomalie o artefazioni. In primo luogo, sono stati richiesti altri scatti eseguiti durante la stessa giornata, possibilmente quelli immediatamente precedenti e successivi, per verificare la coerenza dei metadati exif e la numerazione.

I dati exif risultano sostanzialmente corretti e compatibili con quelli prodotti da una fotocamera Nikon D3100, anche se abbiamo rilevato un’anomalia su alcuni campi che mostrano una differenza rispetto alle immagini presenti e successive. Nell’immagine sottostante, la parte sinistra mostra i dati exif dell’immagine con il “demone” mentre sulla destra abbiamo i dati di alcune altre immagini scattate poco dopo.

Confronto dati EXIF per perizia fotografica

L’immagine su cui è stata eseguita la perizia fotografica di autenticazione e una seconda immagine fornita risultano essere state marchiate da “Microsoft Windows Live Photo Gallery” con UUID “faf5bdd5-ba3d-11da-ad31-d33d75182f1b”, come se fossero state riversate su PC, aperte probabilmente tramite Windows Explorer, salvate e poi inviate per le analisi. Riteniamo che queste anomalie non rappresentino una alterazione, poiché probabilmente create nel tentativo di modificare la scala di chiari/scuri per visualizzare eventuali oggetti presenti sullo sfondo anche nella seconda immagine fornita come campione. Le indicazioni su orario, giorno, numero incrementale dello scatto, informazioni sulle impostazioni di scatto e sulla fotocamera sembrano corrette e anche il rapporto di compressione jpg tra le immagini con i dati exif modificati e quelli originali è identico.

Analisi forense anteprima thumbnail exifIl thumbnail exif risulta corretto e corrispondente all’immagine principale, cosa che talvolta in corrispondenza di alterazioni non avviene perché gli autori modificano l’immagine senza aggiornare anche l’anteprima contenuta nell’immagine stessa. Sono frequenti i casi nei quali sono state rilevate alterazioni alle immagini grazie all’analisi forense delle anteprime exif che contenevano le immagini originali, non alterate o compromesse. Ovviamente l’anteprima è ridotta come dimensioni rispetto all’originale ma si può notare che modificandone la scala di grigi risulta contenere la sagoma sospetta.

Photo Forensics - ELA, Error Level AnalysisSi è quindi proceduto ad eseguire alcune analisi tipiche di photo forensics, come quella del livello di errore nel tasso di compressione delle diverse aree jpg (ELA, Error Level Analysis) che in caso di alterazioni spesso permette d’identificare l’area modificata marcandola con colori più chiari che indicano appunto una differenza nella modalità con la quale sono state compresse le aree contenenti artefazioni. Ovviamente un eventuale malintenzionato potrebbe alterare una fotografia operando modifiche tali da rendere l’analisi ELA neutra, quindi questa verifica non può essere considerata esaustiva ma è certamente un passaggio nelle analisi dell’integrità di fotografie digitali che viene eseguita all’interno delle perizie informatiche forensi su fotografie e video finalizzate a verificare e identificare un potenziale fotomontaggio o manipolazione della fotografia.

Eseguite anche ulteriori analisi e dopo confronto con colleghi abbiamo concluso che non risultano tracce di alterazione, manipolazioni o fotomontaggi nell’immagine fotografica fornita, il che conferma la buona fede di chi ha eseguito e fornito gli scatti e una presunta integrità degli stessi.

Questo non esclude ovviamente attività di staging, cioè di riprese e fotografie “originali” e autentiche di oggetti o soggetti effettivamente presenti nell’ambiente ma preparati ad hoc (es. sagome predisposte per rappresentare soggetti particolari, etc…) o scelti in modo da essere fuorvianti. Gli scatti di questo genere producono quindi fotografie “originali” (nel senso di prive di manipolazioni grafiche post produzione) ma contenenti oggetti o soggetti non reali. Si pensi ad esempio alle foto dei frisbee che vengono presentate come foto di UFO, sono “originali”, integre e prive di forgery o manipolazioni nel senso che non c’è attività di post produzione ma non ritraggono UFO…

Ovviamente possono verificarsi episodi non intenzionali di scatti originali con soggetti la cui identificazione è dubbia. Per questo motivo, pur non trattandosi presumibilmente di un fotomontaggio o di una manipolazione, poco convinti che la sagoma rappresentata fosse davvero quella di un demone, abbiamo deciso quindi di procedere tramite riscontro sull’ambiente fotografato, ipotizzando che il “demone” potesse trattarsi di qualche effetto legato alla conformazione del posto. Si è quindi deciso di eseguire attività di ricerca su fonti aperte OSINT con l’intento di trovare altre fotografie scattate nello stesso corridoio del sotterraneo del Manicomio di Mombello, possibilmente dalla stessa angolazione. Attraverso ricerca su pagine web, social network, Youtube, Flickr, etc… abbiamo trovato un filmato su Youtube che riporta diverse fotografie scattate nel Manicomio di Mombello, una delle quali risulta compatibile con l’oggetto della ricerca: stesso corridoio, stessa angolazione, periodo leggermente diverso.

Il video risulta essere stato girato a febbraio 2014, quindi circa un anno prima dello scatto oggetto della perizia sull’immagine, ma la qualità della fotografia estratta dal filmato Youtube non è sufficiente per le analisi. L’AIPO ha quindi provveduto a contattare l’autore del video per chiedere cortesemente se l’originale, il sorgente della fotografia inserita al minuto 01:46, fosse disponibile per le analisi.

Immagine contenuta nel filmato Youtube girato nell'ex Manicomio di Mombello

L’autore ha gentilmente concesso all’AIPO di esaminare il sorgente della fotografia per confrontarla con quella oggetto di perizia forense. L’immagine risulta scattata con una Nikon D700 in formato portrait invece che landscape come l’originale oggetto di analisi tecnica, da posizione leggermente più arretrata. Mostriamo qui una versione ritagliata e con la distribuzione di chiari/scuri in modo che l’immagine sia simile a quella della foto oggetto di analisi.

Perizia fotografica della foto estratta dal video di Youtube

Come si nota già dal filmato su Youtube, la luce del flash è distribuita meglio, illuminando sia i quattro tubi in primo piano sia il fondo della galleria. permettendo d’identificare chiaramente l’arco sotto il quale nell’immagine oggetto di perizia tecnica è presente la figura sospetta, il tubo metallico (leggermente spostato) e il contatore elettrico sulla destra.

Particolare della foto prelevata dal video di YoutubeCiò che emerge da una rapida analisi è che al posto della figura del demone, nella fotografia estratta dal filmato di Youtube vi sono delle tubature con una giuntura, che si sviluppano creando una forma tridimensionale, scendendo dall’arco soprastante con la macchia gialla (presente in entrambi gli scatti) e arrivando al pavimento. Mostriamo qui a destra una versione ingrandita e ottimizzata nella distribuzione delle luci e degli scuri sul particolare della zona dove risiedono i tubi o il demone, a seconda di quale versione si preferisca.  Il tubo presenta una giuntura in corrispondenza della testa del “demone” e si sdoppia, una tubatura va verso la parete (in corrispondenza del braccio del “demone”) mentre ne scendono due (in corrispondenza delle “gambe” del demone) e una segue una curva proprio in corrispondenza del piede del “demone”.

La spiegazione scientifica del “demone” che compare nella foto originale sembra quindi delinearsi: complici l’oscurità e il flash che nella foto del “demone” ha illuminato con meno chiarezza la galleria rispetto a quella dell’anno prima presente nel video Youtube, si è creato un effetto di chiari/scuri che ha fatto sì che la mente di chi osserva vi veda una forma umana, esattamente in corrispondenza di ciò che invece trattasi di tubature.

Per mostrare meglio quanto ricavato dalle analisi esperite, abbiamo sovrapposto le due immagini passando da una all’altra tramite dissolvenza graduale, così da poter apprezzare il passaggio dalle tubature al “demone” e viceversa.

Confronto tra fotografia originale e filmato Youtube nell'ambito della perizia video-fotografica

La corrispondenza è molto marcata, vi sono alcune piccole differenze dovute al fatto che le tubature risultano essere state leggermente spostate durante l’anno intercorso tra i due scatti, in particolare il tubo che percorre la galleria (da cui poi sale quello che va a formare il “demone”) è stato spostato verso sinistra, muovendo quindi anche l’intera figura di tubi che non risulta quindi essere corrispondente 1:1 con il demone.

In conclusione, riteniamo che la fotografia sia autentica, nel senso di priva di forgery o manipolazioni post produzione, ma ritragga un soggetto che viene “percepito” dagli occhi dell’osservatore come una figura umanoide (o un “demone”, come taluni hanno sottolineato) pur essendo in realtà un oggetto diverso. Il “demone” è infatti in realtà un effetto dovuto alla presenza nell’immagine di tubature, conformate in modo particolare, riprese con un grado di luce così basso da generare sfumature nel bilanciamento dei livelli. Non si può escludere, inoltre, la presenza di stracci od oggetti appoggiati sopra ai tubi che nelle fotografie di raffronto sono “puliti” e ben delineati mentre nella foto del demone appaiono meno definiti e più sfocati, certamente anche a causa della poca luce che li illumina.

Speriamo che questo esempio di perizia informatica e fotografica, seppur sostanziale e ridotto alle analisi principali, privo degli aspetti d’informatica forense come catena di conservazione, calcolo degli hash, documentazione tecnica possa essere utile per capire come in diversi contesti le perizie informatiche (fotografiche, audio, video, su computer, cellulari, smartphone, web, social network, etc…) possono essere dirimenti.