Mirko Gregori's Testimony

From The Murder of Meredith Kercher
Jump to: navigation, search
DEPOSIZIONE TESTE - MIRKO GREGORI -
Key to abbreviations
MC Manuela Comodi Prosecutor Pubblico Ministero
MG Mirko Gregori Witness being questioned Computer technician in Communications Police
GCM Giancarlo Massei Judge Presidente
FM Francesco Maresca Counsel for Kercher family (civil plaintiffs) Avvocato
LM Luca Maori Sollecito defense lawyer Avvocato
CDV Carlo Dalla Vedova Knox defense lawyer Avvocato
GB Giulia Bongiorno Sollecito defense lawyer Avvocato
?? Unknown Unidentified lawyer

IL TESTE, AMMONITO AI SENSI DELL'ART. 497 CODICE DI PROCEDURA PENALE, LEGGE LA FORMULA DI RITO

GENERALITÀ: Mirco Gregori, nato a Todi il 29 novembre 1973 - Assistente della Polizia Delle Comunicazioni di Perugia.


Contents

Pubblico Ministero - Dottoressa Comodi

MC:
Assistenti guardi posto che c'è questa immagine, chiudiamo una volta per tutte la questione relativa al film II Favoloso Mondo di Amelì. Allora ci può descrivere tutti i dati di questo report, che cosa vuol dire l'ultimo accesso, file creati, last writen, acquisizione file. Insomma tutte quelle date diverse?
MG:
Si. Allora il report dove ci sono le diciture in inglese appunto che è intitolato report completo : Il Favoloso Mondo di Amelì, è il report che viene riprodotto dal software di analisi forense, in keis della guida software. Per quanto riguarda le diciture appunto partiamo dalla prima, last access, che tradotto in italiano è l'ultimo accesso al file. Per ultimo accesso lì vediamo che il giorno 1 novembre 2007 alle 21.10 e 32 secondi. Per ultimo accesso si intende il momento in cui il file viene, l'ultima volta interagito con lui. Potrebbe darsi anche un semplice trascinamento del file da una posizione ad un'altra, viene individuato in quel caso come ultimo accesso al file. Il file creato. Il file creato è il momento in cui invece si crea un file. Per file creato, faccio un esempio per far capire magari l'entità file relativo ad un bicchiere, cioè il file è il momento in cui noi prendiamo un bicchiere ed è vuoto, e poi lo riempiamo di dati, e quindi lo andiamo a riempire nel suo contenuto. Per file creato è quando noi collochiamo il contenitore per mettere i dati. Quindi il momento in cui viene generato sul disco. Il successivo l'ultima scrittura, possiamo portarli i due dati, il momento in cui lo creiamo, file creato appunto quel bicchiere vuoto, viene riempito nel contenuto quando è saturo del contenuto del contenuto in cui appunto ha necessità per le informazioni che deve contenere, quando è pieno viene impresso poi l'ultima scrittura su quel file. Quindi nei momenti in cui viene completato, diciamo viene chiuso quel file.
MC:
Acquisito che vuol dire?
MG:
Acquisito quello è il report in keis che dice: il momento in cui viene fatta l'acquisizione del supporto. Cioè viene fatto il clone.
MC:
La clonazione?
MG:
Il clone esatto.
MC:
Quindi è registrato anche la clonazione infatti avvenuta il 15 novembre 2007 alle 11.27 e 03.
MG:
Esattamente. Questo per quello che riguarda il report prodotto da in keis. Abbiamo necessità...
MC:
Ce l'hanno già detto, che è stato poi il sua collega che abbia chiarito più che sufficientemente. Che invece l'altro sistema?
MG:
Il Mec OSX...
MC:
Utilizzato dal Sollecito?
MG:
Esatto.
MC:
Indica non...
MG:
L'ultimo accesso, ma riporta il dato in cui il file è stato creato, la modifica, quindi quella che è l'ultima scrittura, e il file in cui è stato aperto, l'ultima apertura indica come informazione. Cosa che in keis non invece dava.
MC:
Non dava?
MG:
Non dà.
MC:
Quindi dall'incrocio tra i dati forniti da Mec e i dati forniti da in Keis, possiamo avere il dato di apertura e il dato...?
MG:
E il dato in cui il file appunto viene abbandonato.
MC:
Viene abbandonato per quale ragione?
MG:
Per qualsiasi motivo cioè può essere stato o un termine dell'esecuzione del file, ma nello stesso tempo il file può essere terminato prima e poi spostato, quindi l'utente non fa altro che andare sopra all'icona del file e la sposta da un'altra parte. Potrebbe essere anche questo.
MC:
Va bene. Comunque dopo quell'orario 21.10 e 32 non è stato più toccato?
MG:
Esatto, non riscontriamo un interazione fino ad un...
MC:
Né quel file né altri secondo il vostro accertamento?
MG:
Su altri file non abbiamo ritrovato, ci sono dei fili che vengono creati ad esempio, che sono creati nella cash di Firefox con dei intervalli abbiamo notato abbastanza regolari. La cash di firefox non è altro che il contenitore che c'ha questo programma. Firefox ha un programma per la visualizzazione delle pagine web, quindi per i servizi appunto di pagina web. Prima di rendere disponibile a video il contenuto di una pagina web per esempio, il dato viene prelevato dalla rete internet, portato sul computer, da lì viene scritto, va a riempire quel famoso appunto bicchiere di questo file che è la cash così chiamata, cioè la parte nascosta che serve solo esclusivamente per l'utilità del programma di visualizzazione delle pagine. Viene scritto lì dentro e poi il programma da lì lo acquisisce e lo visualizza a video per l'utente. Ci sono queste cash che però abbiamo visto che sono contigue nei tempi e poi...
MC:
Intervalli regolari?
MG:
Esatto.
MC:
Comunque non vanno?
MG:
Esatto.
MC:
Non comportano interazione umana?
MG:
No, perché lo desumiamo dal fatto che ci sono delle kash automatiche che vengono scritte dal browser aperto. Browser aperto, quindi quel programma firefox per vedere le pagine web, è aperto e si collega ogni 3 0 minuti ad un servizio che serve proprio per una tecnica di antifrode. Non so se parliamo di fishing, il problema che riguarda ad esempio i siti web clone di servizi (ine.) famosissimo è quello di Poste. Credo che sarà difficile che non è arrivato mai nessuno, una mail che invitava a cliccare per verificare se il conto corrente online era a posto oppure c'era stato un bonus di accredito o dei cattivi funzionamenti. Quindi quelli cosa fanno? È una tipologia di truffa che vi porta da un'altra parte, un altro sito internet identico a quello dì Poste. Lì l'utente ignaro del fatto, perché gli compare quell'interfaccia grafica identica, mette il suo nome utente e password e lo cede quindi al malfattore che voleva rubare il sistema. Firefox ha un filtro anti fishing. Cioè che praticamente se l'utente va a cliccare e quindi finisce su un sito trappola, se quel sito trappola è già conosciuto da firefox come possibile truffa, blocca l'utente e dà il messaggio di avviso. Si chiama (sei browsing) questo tipo di applicazione e fire fox ce l'ha impostato di natura nella versione due.
MC:
Quindi parte in automatico?
MG:
In automatico se il collegamento alla rete internet fa questo tipo di aggiornamento.
MC:
Dunque voi avete potuto analizzare solo uno dei due computer?
MG:
Si.
MC:
In uso a Raffaele Sollecito, in quanto il secondo?
MG:
Non risultava funzionante il discorso.
MC:
Non risultava funzionante?
MG:
Al momento dell'acquisizione non...
MC:
Quindi non l'avete potuto analizzare?
MG:
No.
MC:
Come avete, se lo avete fatto, come avete escluso o comunque avete potuto escludere che il sollecito abbia utilizzato in quel lasso di tempo in cui voi avete affermato che non c'è stata interazione umana su quel computer di cui abbiamo parlato fino adesso, avete potuto escludere che non ci sia stata attività neanche sull'altro computer?
MG:
Questo non lo possiamo escludere perché nel momento in cui non riusciamo ad acquisire il dato, non possiamo andarlo a verificare, quindi non sappiamo sul computer...
MC:
Attività di scrittura?
MG:
Attività sui file.
MC:
Per la connessione invece a internet?
MG:
Per quanto riguarda la fase della connessione a Internet sono stati acquisiti i dati da fastweb, che è gestore di connettività alla rete web di cui Raffaele Sollecito aveva il contratto, e sotto il punto di vista della connettività a internet per quanto riguarda visualizzazione di pagine web, andiamo ad escluderlo. Perché l'andiamo ad escludere? Perché il dato che viene registrato dall'operatore fastweb è un dato che è fuori dall'abitazione, è presente nei sistemi della fastweb. Da lì loro hanno la possibilità di poter indicare l'indirizzo sorgente che richiede la connettività* Se posso interrompermi un attimo avrei alcune slide che spiegano forse meglio il funzionamento del collegamento.
MC:
Prego.
MG:
Ecco qui è praticamente strutturata la tipologia di collegamento che avviene con la rete fastweb, vediamo in basso un computer e un modem router lì collegato al computer. Nel riquadro che è violetto, praticamente lì siamo all'interno dell'abitazione. Quindi c'è il computer, il nostro computer e c'è un dispositivo che è collegato alla linea telefonica e ci permette di collegarci verso internet. L'infrastruttura di fastweb ha i così detti gheri residenziali, ovvero dei punti di accesso comuni di cui tutti gli utenti di una determinata area fanno riferimento a quel sistema. Quel sistema non fa altro che farsi da portavoce verso internet per le richieste che l'utente fa.
DIF?:
Scusi se interrompo. Non riferisce ad attività svolte, qui descrive un sistema più consulenza che.... Può farlo?
GCM:
Si, anche perché per le sue capacità tecniche, anche per la sua qualificazione, per cui valutazioni di. Può proseguire.
MG:
Pertanto 1'infrastruttura centrale di fastweb memorizza questa tipologia di dati. Purtroppo vediamo sotto l'ip sorgente, cioè che è il computer, il sistema, non proprio il computer, ma il sistema router che l'utente ha dentro la propria abitazione. Ha un IP dinap che è appunto l'indirizzo IP del sistema di fastweb che successivamente lo proietta verso un determinato IP di destinazione. La data e l'ora di inizio e di fine del collegamento, del singolo collegamento, e la quantità di dati che vengono scambiati. Questi sono i dati appunto che fastweb grazie a questa tipologia di infrastruttura permette di dare. Dall'analisi del file di log quindi noi andiamo a definire per navigazione web una chiave di ricerca, una chiave di ricerca che è la porta 80, ovvero l'indirizzo IP di destinazione è diretto verso la porta 80 se intendiamo andare verso una pagina web. Quindi per sua natura 17 infrastruttura di internet funziona in questo modo. Al momento in cui io digito www.poliziadistato.it il ghedo centrale risolve l'indirizzo IP di destinazione, quindi sa dove devo andare a finire, si presenta al server di Polizia di Stato, da lì tramite la porta 80 mi ridà questa informazione. La porta 80 è una porta standard, tutti i server web, a meno che non debbano fare dei servizi particolari come ad esempio l'openging che ha bisogno di (ine.) allora non utilizza la porta 80, ma utilizza un'altra porta che è la 4.4.3. Sulla base di questo vi faccio un passaggio leggerissimo, forse per spiegarmi meglio sotto questo plinto di vista della porta 80. L'utente richiede la connessione verso un determinato IP di destinazione, ad esempio lì c'abbiamo google ed appunto presenta lui verso quella porta. Il server elabora la richiesta e la rispedisce al computer che ne ha fatto la richiesta. Sul computer viene automaticamente portato dato e quindi scritta questa famosa cash che avevamo già visto prima, cioè vengono portati i dati. I dati una volta portati lì dentro scritti sul file, vengono ridati disponibili al video per la consultazione all'utente finale. Di questa attività sui file di log noi riscontriamo pochissimi dati, una quantità bassissima verso la porta 80, che è appunto questa porta di pagina web. Mentre invece abbiamo avuto modo di vedere che c'è una quantità quasi per la totalità dei dati diretti verso porte non standard che possono essere individuate ai servizi invece per2per, ovvero i servizi per scambiarsi file tra un computer domestico e l'altro. Quindi non un servizio di consultazione pagina web, ma un servizio di file sharing, scambio di file. Generalmente ha utilizzato per video o musica, per il film musica e materiale di questo genere.
MC:
Nel periodo... però io mi sono persa. Nel senso che quindi la risposta alla mia domanda qual è? Cioè è possibile che il Sollecito si sia collegato a internet con 1'altro computer che voi non avete potuto analizzare?
MG:
Allora potrebbe essere se l'altro computer c'erano attivi dei servizi per2per, ovvero dei servizi di scambio file musicali, video o qualche sia. Per quanto riguarda la navigazione web invece qualsiasi computer ci sia stato lì dietro, noi l'avremmo visto non identificato come computer, cioè capire se era un Mec o un altro computer, però avremmo visto una richiesta di pagine web verso siti internet. Ad esempio...
MC:
Sia più chiaro, chi può aver fatto eventualmente, cioè può aver scaricato film?
MG:
Allora abbiamo visto che c ' era...
MC:
Con 1'altro computer?
MG:
Noi abbiamo modo di vedere che un film era in download, è stato completato il download del film la mattina verso le 4... non mi ricordo bene l'orario, comunque durante la notte c'è stata la completazione di un film che era in download su un sistema per2per. Quindi sul Mec abbiamo un riscontro anche proprio di file creato. Era un film cartone animato Naruto e non ricordo bene, però sui file creati...
MC:
Finito di scaricare alle 4 del mattino?
MG:
Non ricordo con precisione l'orario, comunque si eravamo...
MC:
L'inizio di questo scaricamento?
MG:
L'inizio dello scaricamento non ce l'abbiamo, perché la data di creazione del film come avevamo visto prima l'esempio del bicchiere, il bicchiere vuoto è stato posizionato prima delle 18, momento in cui noi abbiamo fatto il ranger di analisi, sicuramente prima delle 18 del giorno 1 era stato messo a scaricare.
MC:
Sicuramente prima delle 18?
MG:
Si, perché se fosse stato dopo le 18 l'avremmo trovato tra i file creati.
MC:
Penso che sia chiaro. Dunque i file di Log di cui ha parlato fino adesso porta 80 etc. sono questi qui, me li vuole riconoscere cortesemente, la stampa dei file di log.
MG:
Si perfetto.
MC:
Descrivere brevemente...?
MG:
Ad esempio qui abbiamo una estrapolazione della destinazione a 80, cioè tutte le connessioni avvenute verso pagine web, servizi di piagina web della fascia oraria che va dalle 18 alle 8 di mattina, dalle 18 dell'l novembre alle 8 del 2 novembre. Allora vado subito all'elemento di riscontro che abbiamo sul computer Mec analizzato, cioè quelle famose cash viste precedentemente, che erano sia sui file creati con la quale c'era stato l'ultimo accesso. Sono riscontrate praticamente con i collegamenti che vengono fatti verso 1 'ip di destinazione 209.85.135.81. Questo è l'indirizzo ip che è riconducibile al dominio google, della google come società. E dei file di log noi vediamo che c'è un costante e continuo richiesta di connessione che va dalle 18.03 fino alle 7.35, ogni 3 0 minuti avviene questo tipo di connessione. Allora alle 18.03 c'è una connessione che dura 18 secondi. La durata delle connessioni dipende dalla velocità di rete, dalla risposta del server e via dicendo. Quindi quello che interessa qui invece che andare a vedere è i byte, cioè quanti byte sono stati scambiati. Il primo contatto che noi appunto individuiamo partendo dal ranger delle 18, è le 18.03. Alle 18.03 risultano 3.465 byte, cioè è una unità di misura il byte che in questo caso lo definiamo estremamente piccolo questa quantità. Mentre la mezz'ora successiva alle 18.33, sempre una durata di 18 secondi, c'è uno scambio di byte di 117 mila e 5 82. Quindi una quantità di dati messi in KB sarebbero 117 KB.
MC:
Mi scusi, ma queste continue richieste di connessioni come ha detto lei, significa in soldoni che Raffaele Sollecito ogni 3 0 minuti chiedeva, interagendo con il suo computer, la connessione?
MG:
No, questo è proprio il servizio di (ine.) quello che ha appunto ho detto prima, cioè il servizio anti fishing, cioè antifrode.
MC:
Quello che non comporta interazione umana?
MG:
Perfetto. Perché troviamo in alcuni casi troviamo un riscontro sul computer, una cash, quindi generata sul computer quando c'abbiamo un dato più congruo come quantità, rispetto a quando c'abbiamo un dato più basso. Perché il sistema, il firefex che è il programma appunto che abbiamo indicato prima per navigare su internet, richiede la connessione, va a verificare il suo stato di aggiornamento, riceve dal server che non ci sono nuovi aggiornamenti. Quindi non porta verso il computer nessun dato. Mentre invece come le 18.03 si presenta al server, il server ha delle notizie da dargli, quindi nuovi siti web truffa ad esempio, lui li porta sul computer e li scrive in maniera tale che vengano poi aggiornati per il sistema.
MC:
Quindi è automatica sempre?
MG:
Esatto.
MC:
Mi pare che sia chiaro. Chiedo la produzione di questi.
MG:
Questi erano già stati depositati con l'analisi del computer.
MC:
Chiedo anche l'acquisizione comunque di questo cd quando sarà pronto.
MG:
Ce l'ho di là una copia.
GCM:
Non c'è opposizione. Viene acquisito.
MC:
Voi avete analizzato anche le drive pen, le penne USB?
MG:
Si.
MC:
Che cosa avete accertato?
MG:
Che sempre nella fascia oraria che va dalle 16 del primo alle 08.00 del 2, non sono state utilizzate, cioè non risulta nessun file con la quale è stato interagito all'interno delle chiavette.
MC:
Perché avete diciamo circoscritto il vostro accertamento dalle 18 del pomeriggio dell'l alle 8 della mattina successiva?
MG:
È una indicazione che c'è stata fornita dal Pubblico Ministero facendo riferimento ad alcune dichiarazioni ma che noi non abbiamo in mano. Quindi...
MC:
Alcune dichiarazioni di chi?
MG:
Dovrebbero essere quelle di Raffaele in merito alla visione del film.
MC:
Un ultima domanda per il momento. Avete mai analizzato, oltre al computer di cui avete parlato fino adesso, altri computer, cioè il computer di qualche altra coinquilina, di Amanda Knox e di Meredit?
MG:
Per analisi no, io ho avuto modo di vedere la sera del primo il computer di Romanelli Filomena.
MC:
Perché?
MG:
Perché allora il computer si trovava lì alla squadra mobile, mi hanno chiesto di intervenire un attimo perché la Romanelli lì presente gli aveva consegnato questo computer e riscontravano delle anomalie. Quindi io non ho fatto altro che accendere quel computer con un cd...
MC:
L'hanno chiamata, lei dove era quando è stato chiamato, era in ufficio?
MG:
Ero in ufficio in Via Mara Angeloni.
MC:
Si è recato nei uffici della Squadra Mobile?
MG:
Si, con un cd d'avvio che non prevede l'interazione con 1' Hard disk installato sul computer. È un cd con una distribuzione Linux, serve proprio per le analisi forensi, e praticamente non fa altro che avviare un computer senza andare a toccare la memoria interna dello stesso. Operazione comunque fallita perché nel momento in cui io ho avviato il computer elettricamente era collegato l'Hard disk, quindi iniziava a girare e c'aveva dei stranissimi rumori che produceva, come se il disco fosse danneggiato, l'Hard disk interno. Quindi abbiamo interrotto lì qualsiasi tipo di operazione possibile, perché dal momento che il disco non andava bene, non peggioriamo, visto che un discorso gira, se c'è un problema magari dovuto a una testina fuori linea, la testina quando il discorso gira può andare a incidere proprio a graffiare il supporto, quindi fermiamo questa situazione. Dopodiché di quel computer non so altro insomma.
MC:
Non sa altro?
MG:
No.
MC:
Perché ha controllato che non funzionava?
MG:
Esatto.
MC:
Per me nessuna altra domanda.

Parte Civile - AVV Maresca

FM:
Un chiarimento. Lei ha già risposto al Pubblico Ministero in riferimento al così detto sei browsing, quindi al mantenimento, mi dica se è giusto considerarlo così, al mantenimento del collegamento sulla rete automatico?
MG:
Il sei browsing serve come dispositivo di sicurezza per evitare siti web che portano a frodare una persona nella cattura di dati personali e via dicendo. L'operazione che abbiamo modo di constatare dal file di log è che comunque ci indica che ogni 3 0 minuti c'è questa risposta e questa richiesta, quindi richiesta al server e risposta. Ciò presupporre che il computer è acceso, il browser firefox è funzionante, quindi è stato mandato in esecuzione. Non c'era assenza di connettività a internet, cioè era presente la connettività perché è continuo nei suoi...
FM:
Quindi è giusto dire che dal vostro accertamento su quel computer è stata mantenuta la connessione?
MG:
Si.
FM:
Tramite Fastweb in automatico?
MG:
Si, quello veniva generata in automatico, ci sono altri file generati, cioè non file, collegamenti generati in automatico come ad esempio l'aggiornamento ad ogni ora del Mozilla firefox proprio che faceva riferimento alla casa madre ogni ora per vedere se c'era aggiornamento disponibile oppure lo, anche lì è cadenzato.
FM:
Nel corso di queste ore di collegamento o navigazione o collegamento web, dai vostri accertamenti è stato evidenziata la presenza di creazioni, cancellazioni o modifiche di file?
MG:
No, cioè l'ultima modifica né cancellazione. Cancellazioni addirittura neanche una. Modifiche neanche se non ricordo male... c'è accesso...
FM:
Lei c'ha la sua relazione in mano?
MG:
Si.
FM:
Può essere autorizzato a consultarla.
GCM:
Si prego.
FM:
Specifica sull'accertamento, sui file, sull'attività di navigazione sul web, lei ce l'ha tra le sue carte?
MG:
No non ce l'ho.
GCM:
È la stessa relazione già acquisita, di cui ha chiesto la produzione e l'abbiamo, è la stessa relazione dei atti.
??:
No sono due.
GCM:
È un’altra?
??:
Il Pubblico Ministero ha chiesto gli allegati come al solito, poi io chiederò... la chiesto la produzione solo dei allegati. Io chiederò poi la produzione anche della relazione del 27 novembre.
GCM:
Non ce l'abbiamo.
MG:
Dovrebbe essere all'interno dove c'è l'analisi anche del computer, verso la fine.
??:
Lei nei suoi accertamenti ha sentito anche il dottore Rizzo della...?
MG:
Si.
FM:
Della Fastweb?
MG:
Si.
FM:
Il quale vi ha riferito circa le modalità di esercizio e di, diciamo realizzazione del servizio fastweb?
MG:
Esatto.
FM:
Lei ha eseguito accertamenti specifici sull'utilizzo della linea fastweb da cui la relazione?
MG:
Io ho eseguito l'analisi appunto dei file relativi alla rete fastweb, file di log.
FM:
Bene. Allora torno a quello che le stavo chiedendo, avete accertato il collegamento continuo con la rete fastweb, avete accertato anche la realizzazione, la cancellazione o la modifica di file nel corso di questo periodo, cioè dalle 21.10 alle 5 e 32 del 2 novembre?
MG:
Ci sono i file della cash di fire fox che appunto abbiamo già visto lì, e c'è il termine del download di un film, un cartone animato dal titolo Naruto se non sbaglio, non ricordo il nome con certezza. Quello però 10 vediamo dal computer, non lo vediamo dalla rete web, cioè dal file di log, dal file di log possiamo vedere che ci sono tantissime connessioni che vengono sviluppate proprio a causa del download di questi file, del...
FM:
Queste connessioni necessitavano l'interazione della persona umana, oppure andavano in automatico?
MG:
No, andavano in, questi vanno in automatico una volta che l'utente effettua una ricerca, parliamo di programmi come emule, che è la versione per tutte le piattaforme di emule o Azureus un altro programma che permette la condivisione dei file. Una volta che l'interazione si ha quando? Quando l'utente ricerca e mette in download un determinato file, quindi un titolo, un film, una canzone, l'utente effettua ricerca, quindi interagisce proprio fisicamente con il computer e cerca 11 file da scaricare, lo individua e lo mette a scaricare. A quel punto una volta che l'ha messo a scaricare, l'utente se ne può tranquillamente fregare di quello che fa il computer perché lui in automatico si collega a tutti i vari server che gestiscono le sincronizzazioni per far funzionare il sistema per2pe. Quando trova dall'altra mano un'altra persona disponibile a dargli parte del file o l'intero file, si collega in maniera automatica e quindi crea una ragnatela di collegamenti, prende un pezzo da un utente, un pezzo da un altro, un pezzo da un altro.
FM:
Si ricorda...
MG:
Termina il file.
FM:
Si ricorda anche un file scaricato dal titolo: Stardus?
MG:
Stardust.
FM:
Si?
MG:
Stardust era il film la mattina verso le 4.
FM:
Questo è uno dei tanti, ce lo commenta?
MG:
Questo effettivamente poi viene riscontrato che era stato scaricato, è andato a finire nella cartella Azureus che è uno appunto un programma per il download dei file tramite appunto questo sistema di scambio tra utenti di file.
FM:
Ecco il collegamento della rete fastweb era ovviamente, lo ha mi pare già spiegato, glielo richiedo, con il computer da voi analizzato, con 1'appiè?
MG:
Allora tutto quello che c'è dietro alla linea telefonica e al router non è individuabile dal gestore fastweb, quindi non si può dare rispetto alla lettura dei log questo file è stato scambiato con un computer piuttosto che un altro. Però unendo insieme le due cose, come ad esempio...
FM:
Perché lei ha detto prima che i dati poi del termine del...
MG:
Del download, lo rinveniamo sul Mec.
FM:
Quindi la domanda è su quale computer l'avete verificavo?
MG:
Sul Mec.
FM:
Io ho terminato per adesso Presidente. Chiederei la produzione di questa relazione del 27 novembre 2007. Poi se crede, poiché il teste ha sentito il dottor Rizzo quale responsabile della fastweb, ovviamente il verbale di sommarie informazioni del dottor Rizzo non chiedo la produzione, chiederei la acquisizione della relazione di accompagnamento del 22 novembre 2 007.
GB:
Per questa nota non ci sono problemi owiamente, invece l'accompagnamento alle sommarie informazioni c'è opposizione, primo perché se vogliamo sentire il teste bene, poi non ci interessa sapere come viene presentate le sommarie informazioni. Non mi pare particolarmente significativo.
GCM:
Viene acquisita la relazione, non c'è nessuna opposizione. Per quanto riguarda questa nota di accompagnamento la Corte di determinerà non appena la stessa verrà messa a disposizione per la valutazione relativa. Prego Awocato.

Difesa - AVV. Bongiorno

GB:
Volevo questo chiarimento. Abbiamo fatto, avete fatto questa presentazione, da questa presentazione io ho compreso che sulla base del computer trovato in buone condizioni è possibile, io parlerò in maniera chiara, così se c'è qualcuno della giuria che magari non comprende bene il computer 2-3 dati glieli diamo. Se io in base, con un computer in perfette condizioni dato a voi della postale, è possibile stabilire se io creo o modifico un file, in che data e in che ora. È corretto questo?
MG:
Si.
GB:
Con l'altro computer di Raffaele rotto, è possibile se Raffaele avesse scritto un file ad un dato orario, ricostruire se era rotto 1 ' Hard disk, quell'ora e quel file quando è stato creato?
MG:
Quindi 1' Hard disk rotto...
GB:
Hard disk sano si può ricostruire perché l'ho visto qui. Hard disk rotto posso ricostruire quando è stato creato un file?
MG:
Bisogna individuare la tipologia di rottura, cioè se è rotto a livello fisico non si riuscirà mai a cedere, quindi non si riesce a individuare il Dato.
GB:
In questo caso è stato individuato qualche file scritto da Raffaele Sollecito, in quello rotto.
MG:
Su quello rotto noi non abbiamo la benché minima contezza.
GB:
Mi interessa fare, le ripeto, siccome giusto per fare chiarezza. Quindi su quello sano è un dato che si può ricostruire, quando Raffaele sollecito scriveva un file o lo modificava. Su quello rotto non lo possiamo ricostruire?
MG:
Su quello rotto noi non possiamo dire nulla perché non c'abbiamo proprio il dato in mano. Le faccio solamente una cosa. Per esempio se ci fosse una lettura elettronica del disco, quindi il disco è su supporto magnetico e alla base del supporto magnetico dove gira appunto tutta la parte dei cilindri e la testina va a leggere, c'è una parte elettronica che controlla appunto questo...
GB:
Allo stato è stato accertato?
MG:
Non lo so.
GB:
Lei l'ha accertato?
MG:
Non ho la più pallida idea di quello che è stato fatto successivamente sul discorso.
GB:
Lei è in grado di farvi allora una analoga presentazione come ha fatto oggi su quello rotto?
MG:
No, non ho dati sulla quale poter lavorare.
GB:
Scambio tra utenti, scambio tra utenti significa che tra loro gli utenti si possono scambiare dei file audio o altri, questo scambio da quello che ho capito è uno scambio che non viene registrato dalla linea fastweb, o viene registrato?
MG:
Viene registrato dalla linea fastweb, con tanto di indirizzi ip di sorgente, quindi quello dell'abitazione. L'indirizzo IP di destinazione, quindi dove siamo andati a prenderlo. E le relative porte con le quali abbiamo comunicato. Porte che non sono standard, quindi non possiamo dare con certezza. Ad esempio emule ha una porta standard, la 46 - 62. Quel tipo di porta i gestori di connettività si sono inventati una regola di sopravvivenza che dice: Se tutti mi utilizzano questo sistema per2per mi affondano la rete e io non posso più garantire possibilità. Quindi che cosa fa? Mettono dei filtri per rallentare lo scambio dei file che avvengono su quelle porte. D'altra parte gli utenti che si sono inventati? Cambiamo la configurazione del nostro sistema, andiamo su un'altra porta, così da aggirare questo tipo di controllo. Quindi è incontrabile poi sapere quale tipo di applicazione è oppure no. Diverso è invece se è un server, nella pagina web sappiamo che lì c'è 1'80.
GB:
Scusi attività per2per intendiamo che cosa?
MG:
Intendiamo dei programmi che permettono appunto questo scambio tra utenti, il più conosciuto è emule, è Azureus, sono i (ine.) Azureus si appoggia a una rete che si (ine.) mentre emule si appoggia ad una rete chiamata edonkey.
GB:
Quindi delle reti?
MG:
Sono delle reti che hanno dei server solo per fare una tipologia di ricerca, ovvero quando ci si ricollega.
GB:
Se nel computer rotto è possibile accertare l'attività per2per?
MG:
Sul computer Rotto non possiamo accertare nulla, perché effettivamente non abbiamo il dato sulla quale poter lavorare.
GB:
Quindi l'attività per2per non si può accertare?
MG:
L'attività per2per si può accertare, per quanto riguarda la parte del Mec perché c'erano due programmi...
GB:
Sul computer rotto, sennò ci confondiamo?
MG:
Sul computer rotto...
GB:
La domanda è questa. Sul computer rotto l'attività per2per si può accertare?
MG:
Non la possiamo accertare.
GB:
Nel computer sano si?
MG:
Si.
GB:
Le richieste download impartite dal computer Rotto, si possono accertare?
MG:
Assolutamente no. Con questo tipo di dati che abbiamo noi, no.
GB:
I file scaricati dalla rete fastweb possono essere elencati sul computer rotto?
MG:
Allora per quanto riguarda file scaricati dalla rete fastweb noi non possiamo dare contezza del contenuto, cioè noi vediamo quello che è un elemento di contatto, ovvero l'utente chiama verso una determinata direzione, riceve una quantità di dati. Ma non abbiamo il dato vero in mano. Cioè se fosse stato una intercettazione telematica da quella che faceva fastweb, avremmo potuto estrapolare i primi segmenti del pacchetto che viene scaricato, quindi che tipo di byte vengono scambiati e da lì c'era anche un flag che ci identifica quale è il Mec Adress e da lì avremo saputo con il mec adress anche quale computer lo avrebbe...
GB:
Anche questa attività non si può accertare?
MG:
Questa attività non si può fare, perché è solo in una fase di attività di intercettazione telematica. Comunque quello che viene chiamato lo sniffing della rete. Lì si vede...
GB:
Sa perché? Le sto facendo queste domande, perché se uno pensa si può accertare tutto, visto che c'è fastweb, in realtà fastweb con sente di accertare, se lo spiega meglio un certo tipo di attività?
MG:
L'utente fastweb ci permette di accertare quello in quale direzione è andato un utente e se sono porte standard appunto possiamo dire "è un servizio web google".
GB:
Viceversa se sono altre porte non è possibile?
MG:
Se sono porte che non sono quelle standard, riconosciute proprio in un RFC, cioè una specifica che gli sviluppatori che mano a mano hanno creato il protocollo sulla quale è basato internet che è il protocollo di ISP, tutti i conseguenti sistemi che distribuiscono servizi via internet. Lì si sono date delle regole, tutti seguono quella regola. Il per2per è fuori dalla regola e quindi ogni utente può modificarselo a piacere.
GB:
Però lei ha accertato che in realtà Sollecito questo per2per come prassi lo faceva su quello... sul computer questo in uso?
MG:
Sul Mec abbiamo potuto vedere che c'era l'attività del per2per.
GB:
Senta lei è in grado di fornirmi qualche indicazione in merito a questa, alle cause che hanno determinato questa rottura del computer, lei sa che cosa è uno shock elettrico?
MG:
Io so che cosa è uno shock elettrico sotto il punto di vista dell'elettronica, un mal funzionamento di una rete elettrica. Quindi un aumento delle... per quanto riguarda il computer, il perché risultasse danneggiato, non abbiamo la benché minima idea su quando e come.
GB:
Lei sa che su tre, in tre computer è stato ravvisato questo shock elettrico?
MG:
Sui tre computer si, ma in ogni caso non riusciamo a dare una spiegazione al perché può essere successo. Di sicuro è che nel momento in cui siamo andati ad attaccarli mostravano quella tipologia di problematica.
GB:
Erano lo stesso tipo di problematica tutte e tre?
MG:
Non venivano riconosciuti.
GB:
Tutti e tre?
MG:
Esatto. Mentre gli altri che magari erano in sequenza, alcuni si ed altri no con la stessa apparecchiatura.
GB:
Grazie.

Difesa - AVV. Maori

LM:
Solo una precisazione molto veloce. Lei ha potuto verificare se nei giorni precedenti l'omicidio il computer di Raffaele abbia interagito delle prime ore del mattino, cioè tra le 4 e le 7?
MG:
Parliamo della fascia di tempo che va dal?
LM:
Prime ore del Mattino, diciamo dalle 4.04- alle 07 - 08 .
MG:
Quindi del 2?
LM:
No prima, giorni precedenti?
MG:
No.
LM:
Dal primo novembre in giù?
MG:
No.
LM:
Grazie.

Difesa - AVV. Dalla Vedova

CDV:
Volevo chiederle lei era presente quando sono stati consegnati i computer il 13 novembre?
MG:
Quando sono stati consegnati?
CDV:
Si?
MG:
Si.
CDV:
E come sono arrivati, erano confezionati in quelle scatole?
MG:
Allora erano delle custodie del borse chiamiamole dei vari computer, e sono stati messi in un unico scatolone già comunque nelle loro custodie. Quindi trasportati in...
CDV:
L' Hard disk era separato o era ancora?
MG:
No, no, era all'interno dei supporti.
CDV:
Voi avete smontato 1' Hard disk ?
MG:
Si.
CDV:
Avete controllato se c'erano segni di danneggiamento?
MG:
Guardi all'atto della acquisizione io non ero lì in quel momento, cioè quando sono stato svitato, in ogni caso se avesse mostrato delle anomalie strane sicuramente il collega Trotta che l'ha smontati 1 ' avrebbe notato insomma un...
CDV:
Voi avete aperto 1' Hard disk una volta smontato?
MG:
Assolutamente no.
CDV:
Ha notato se una volta estratto 1' Hard disk dal portatile era integro?
MG:
Si.
CDV:
Perché di solito gli Hard disk sono sigillati?
MG:
Gli Hard disk hanno un sigillo nella parte superiore per quanto riguarda il sottovuoto, per poter funzionare hanno necessità di un sottovuoto. Lì non è stato riscontrato nessun problema. C'era anche un tecnico della difesa, se non ricordo male era 1'ingegner Formenti.
CDV:
Lei in particolare si ricorda se i cd erano regolarmente sigillati?
MG:
Gli Hard disk.
CDV:
Gli Hard disk.
MG:
Gli Hard disk erano all'interno delle loro sedi, cioè dei loro computer. La parte visiva proprio del disco io non l'ho vista in quel momento, non ero lì, ero su un’altra stanza.
CDV:
Però poi voi avete preso 1' Hard disk e l'avete collegati al?
MG:
Al sistema al fast-block, cioè il dispositivo di protezione alle scritture dei dischi. Praticamente lì non funzionavano...
CDV:
Al sistema Logic cube?
MG:
Esatto.
CDV:
L'abbiamo visto anche su una diapositiva.
MG:
Penso di si.
CDV:
Che è formato da uno spinotto?
MG:
È formato da un macchinario elettrico.
CDV:
Lo possiamo riprendere, non so se riesce?
MG:
Si.
CDV:
Lei era presente quando avete fatto il tentativo di lettura dei Hard disk?
MG:
Si.
CDV:
Attraverso questo sistema?
MG:
Si.
CDV:
È stato proprio lei a compiere l'allaccio dei spinotti?
MG:
No.
CDV:
Chi l'ha fatto?
MG:
Trotta.
CDV:
Lei è a conoscenza della possibilità di uno shock elettrico?
MG:
Si sono a conoscenza della possibilità di uno shock elettrico, non lo posso escludere con certezza, ma nello stesso tempo il fatto che abbia funzionato in altri Hard disk sempre lo stesso strumento, sempre in quella sede collegato alla stessa rete elettrica, è comunque indicatore che quel momento non, cioè in un momento funzionava in un altro no. È difficile, cioè se c'era un problema lo avrebbe mostrato nei confronti di tutti. Se aveva un problema all'apparecchiatura o...
CDV:
Ogni volta che avete controllato un Hard disk avete staccato gli spinotti e li avete riattaccati?
MG:
Si, è stata tolta alimentazione nel momento in cui la...
CDV:
Però lei è a conoscenza anche delle conseguenze che può provocare uno shock elettrico, in una situazione del genere, le conseguenze?
MG:
Le conseguenze che può provocare uno shock elettrico sono relative al danneggiamento dell'elettronica di un Hard disk.
CDV:
Una parte elettronica, una parte elettronica lei è fatta diceva 1' Hard disk da una parte magnetica e poi c'è un microcip?
MG:
C'è una scheda elettrica vera e propria, che controlla poi il movimento di testina che serve per andare a muoversi sopra la...
CDV:
In caso di shock elettrico cosa succede alla parte elettronica?
MG:
Potrebbero essere diverse le varianti. Cioè può bruciarsi semplicemente un componente elettrico, pertanto non succedere niente, come può invece magari mandare in disassamento un Hard disk.
CDV:
In?
MG:
Disassamento, cioè la testina viene mossa in maniera brusca e quindi va fuori il suo asse. In ogni caso la strumentazione sono anni che viene utilizzata questa, quindi è...
CDV:
Ma lo spinotto che è quella parte grigia che alla fine finisce con uno spinotto, è quello vero?
MG:
Allora la parte grigia è la fettuccia, così chiamata, che va verso 1' Hard disk.
CDV:
Quella lì volevo capire, la fine alla fettuccia c'è una grossa spina?
MG:
Si.
CDV:
Con tutta una serie di pin?
MG:
Esattamente.
CDV:
Che va collegata?
MG:
Quello è per il classico Hard disk...
CDV:
Lei è a conoscenza che il connettore, questo lo possiamo chiamare come connettore, oltre ai dati, attraverso questi pin oltre ai segnali di età ti trasferisce anche i segnali dell'alimentazione?
MG:
I segnali di alimentazione con quel tipo di cavo sicuramente c'è un passaggio elettrico, altrimenti non...
CDV:
Lei sa quale dei pin sulla spina è esattamente quello che porta l'alimentazione?
MG:
Quando ci si trova di fronte ad un connettore così multiplo generalmente c'è o l'una o l'ultimo che sono uno la massa ed uno il positivo, quindi quello che...
CDV:
Lei sa se gli ultimi 4 pin del connettore sono quelli che portano l'alimentazione, e invece gli altri portano i dati, lo sa questo?
MG:
Guardi le dico che l'alimentazione, cioè se noi attacchiamo un Hard disk direttamente alla fettuccia senza mettere l'altro connettore che vediamo sull'altra immagine, vede quel cavetto bianco che escono 4 fili.
CDV:
Verso il desktop?
MG:
Che vanno verso l'Hard disk , quelli sono la reale alimentazione del discorso. È un altro spinotto a se. Mentre quello grigio è si vero che trasmette elettricità, ma è quell'elettricità che serve per lo scambio dei dati, non l'alimentazione vera e propria. Nel senso che porta tensione elettrica, tutti quei cavi hanno una tensione elettrica. L'alimentazione vera e propria viene trasportata con l'altro cavo.
CDV:
Allora mi può dire se è vero o non è vero questa dichiarazione, che un connettore, come questo, porta oltre ai segnali dei dati anche l'alimentazione 5 volt del disco, sui ultimi 4 pin. È vera questa affermazione?
MG:
Non so rispondere.
CDV:
Non sa rispondere?
MG:
NO.
CDV:
Le faccio una domanda molto semplice, ma se uno sbaglia a mettere la spina, la gira, ammesso che sia vera questa dichiarazione che gli ultimi pin sono l'alimentazione, si crea uno shock elettrico?
MG:
Allora non so per quanto riguarda un dispositivo che non sia quello. Su quello lì ci sono delle protezioni contro le inversioni delle polarità o comunque problemi legati ad un cattivo allineamento anche dei stessi piedini, lì ci sono tantissimi piedini. Quando lo si va ad attaccare se si sbagliasse e quindi si disassa rispetto alla sua natura, lo strumento non danneggia perché va in protezione.
CDV:
Lei era presente a Roma quando è stato fatto l'accertamento su quella macchina?
MG:
Si.
CDV:
Si ricorda gli esiti?
MG:
Gli esiti noi l'abbiamo, quello che abbiamo visto appunto è stato quello lì di fare anche delle inversioni del collegamento, cioè collegare proprio al contrario il discorso e non portava nessun danno al supporto che era sottoposto...
CDV:
Comunque lei è a conoscenza che c'è un voltaggio diverso tra un PC portatile e un desktop?
MG:
Si.
CDV:
Esattamente...
MG:
Dei voltaggi diversi, 5 o 3 dipende dall'attacco pure che viene utilizzato.
CDV:
Invece sul desktop qual è il voltaggio?
MG:
Sul desktop ci sono anche 12 volt.
CDV:
Senta come mai non è stato possibile clonare i tre Hard disk che erano rotti o illeggibili?
MG:
Appunto perché non essendo leggibili il momento in cui non è leggibile il supporto non è neanche riproducibile da un'altra parte, perché se non prendo dei dati in ingresso non posso ridarli in uscita.
CDV:
Ma lei è a conoscenza che comunque è stato fatto una clonazione successivamente?
MG:
So che è stata fatta, ma quello che posso dire io è che era possibile non con questo tipo di strumentazione che noi abbiamo utilizzato.
CDV:
Voi non eravate?
MG:
Non con questa modalità ripetibile, ma andava fatta.
CDV:
Si ma guardi il Presidente.
GCM:
L'importante che riusciamo a seguire.
CDV:
Si ma vedo che fa dei, mi sembra che stiamo tornando al discorso dell'altro... di ieri mi sembra. C'è una continua...
GCM:
Sono nozioni così tanto tecniche.
CDV:
Ho avuto l'impressione, mi scusi Presidente, ho avuto l'impressione che il teste facesse riferimento a qualcuno.
GCM:
Il teste sta rispondendo con tanta....
CDV:
Mi sono sbagliato.
MC:
Sicuramente si è sbagliato, e dovrebbe anche chiedere scusa magari.
GCM:
Per favore.
MC:
Oltre che dire che si è sbagliato.
GCM:
Prego Avvocato.
CDV:
Senta la questione invece dell'accertamento sul computer della Romanelli, lei fu chiamato nell'immediatezza del ritrovamento del cadavere?
MG:
Si.
CDV:
Può essere più preciso e raccontarci. Lei è arrivato a che ora?
MG:
Gli orari, sicuramente era la tarda serata, sarà stato la sera dopo cena, a partire dal fatto che...
CDV:
Ma c'erano anche gli altri computer a disposizione, perché solo la...
MG:
A me mi è stato chiesto di guardare quello in quel momento, perché la Romanelli era comunque lì presente.
CDV:
Quindi lei non ha visionato gli altri?
MG:
No, non ho preso visione dei altri, io ho preso visione dei altri quando poi ci sono stati consegnati per farci le operazioni.
CDV:
Lei era a conoscenza se prima della consegna qualcun altro ha visionato i computer?
MG:
Non lo so.
CDV:
Senta il computer della Romanelli aveva un po' lo stesso difetto di questi?
MG:
Aveva il discorso che non funzionava, proprio faceva dei rumori particolari, cole se non girasse bene nella sua funzionalità normale.
CDV:
Lei ha detto che è stato chiamato ed avete provveduto ad accenderlo il computer?
MG:
Si è stato acceso avendo cura di avviarlo con un cd, cioè quando si accende un computer la prima istruzione che esegue è vedere dove andare a prendere il disco d'avvio. Quello che abbiamo fatto con quel tipo di...
GCM:
Questo del computer della Romanelli?
MG:
Quello del computer della Romanelli. Per evitare di utilizzare strumentazione, tante volte su computer che non hanno necessità di avere una attività intrusiva forte, ci sono dei cd che vengono praticamente messi sul computer, una volta messo sul computer lo si accende, si entra in configurazione dell'avvio, e gli si dà indicazione al computer "avvia tramite cd rom", quindi non Hard disk. Quel momento che cosa successe? Succede che i dati vengono letti direttamente da cd rom, il cd è in grado di fornire tutti i dati per rendere funzionale un sistema operativo, tramite quel sistema operativo lo si va a interagire verso il disco montandolo, questo è il nome tecnico che si utilizza, cioè scaricando il disco interno, quindi la memoria interna di quel discorso, nella modalità solo a lettura. Ciò significa che posso andare e leggere il dato, ma non posso modificarlo. Quindi è questo il tipo di attività. Cosa è successo invece in quel momento? Una vendita partito il disco come arriva alimentazione al sistema, a tutto il computer, 1' Hard disk faceva questi rumori strani, quindi è stato subito spento e neanche è stato fatto quello che si poteva fare, per evitare che magari la testina appunto, come dicevo prima, andasse a creare danno sopra al supporto.
CDV:
Senta però risulta che gli altri computer sono stati fatti tutti accertamenti a computer morto?
MG:
Si.
CDV:
Che differenza c'è tra accertare un computer nella modalità che appena ha...?
MG:
Possiamo definire un identica modalità a computer morto, perché come dicevo viene caricato poi il disco in modalità solo lettura. Cioè è lo stesso sistema che avviene quando lo si collega con un hardware, cioè quindi uno strumento elettronico di protezione del dato, in quel caso quel cd rom lo fa in maniera software, cioè viene caricato il disco in modalità solo lettura. Quindi anche se vado lì e provo a cancellare un file o a scriverci, mi dice "accesso negato". Esattamente è nella modalità morta, tanto è vero che poi il sistema che compare all'utente non è il vero sistema operativo che è presente sul computer, ma è un altro sistema che special modo in tutti...
CDV:
Si può dire che in un caso c'è un passaggio di energia di elettricità e nell'altro caso quando il computer è morto no?
MG:
No comunque c'è passaggio di energia.
CDV:
In tutti e due i casi?
MG:
In tutti e due i casi, perché quando è lì attaccato quello strumento non blocca la corrente elettrica, ma blocca solamente l'intervento di scrittura sul disco e non di lettura. Cosa necessaria invece per poter vedere il dato.
CDV:
Dal punto di vista dell'alimentazione è uguale il sistema è identico, è solo una questione di software?
MG:
Esatto.
CDV:
Grazie, nessuna altra domanda.

Parte Civile - AVV. Maresca

FM:
Un ultima domanda, un chiarimento. Dunque lei c'ha detto prima che avete accertato il mantenimento nel corso della notte del collegamento alla rete internet. L'assenza però di interazione effettiva?
MG:
Si, perché non c'è stato...
FM:
Abbiamo sentito prima. La domanda è questa, lo sappiamo di già, gliela faccio prima per poi fargli la seconda domanda. Owiamente i computer collegati potevano essere anche più di uno, 3-4-5 alla rete immagino?
MG:
Si.
FM:
Ecco, se vi fosse stata però attività interazione nel collegamento internet fastweb, voi avreste rilevato?
MG:
Avremo riscontrato, un esempio, se ci fosse stata una navigazione verso il sito web, rifaccio l'esempio della Polizia, se ci fosse stata una negazione verso il sito web della Polizia, sul file di log avremmo riscontrato una richiesta o più richieste quali ip di destinazione, un ip della Polizia, verso la porta 80, questo se fosse stato una rilevazione web.
FM:
Quindi la domanda è: è influente o meno alfine del rilevare attività sulla rete internet il collegamento di uno o più computer?
MG:
Per quanto riguarda la rete internet si.
FM:
In che modo?
MG:
Possiamo, vediamo la complessità di quanti computer ci sono dietro, quindi o che ce ne sia uno, o che ce ne siano 10.
FM:
Quindi è ininfluente o influente?
MG:
Beh se c'è più navigazione sicuramente troveremo più dati, quindi diventa interessante sotto quel punto di vista, perché genera più Traffico.
FM:
In ogni modo nell'ambito dell'accertamento avreste trovato attività di creazione, modifica di file?
MG:
Se fatto con un computer diverso no, con quel computer, si. Partendo quindi dal fatto che se con il Mec, computer che abbiamo potuto analizzare, fosse stata visionata la pagina web, non solo avremmo trovato il riscontro sul file, sul file di log di fastweb, quindi ip di destinazione, quello della Polizia. Ma avremmo trovato anche una cash generata sull' Hard disk, quella famosa cash necessaria al browser per poterlo poi visualizzare al tempo.
FM:
Anche se fosse stato fatto con un altro computer collegato?
MG:
Se fosse stato fatto con un altro computer, non avremmo il riscontro della cash.
FM:
Ma avreste il riscontro...?
MG:
Avremmo il contatto verso la porta 8 0 dell'indirizzo ip attribuito a quello della Polizia di Stato.
FM:
Avete riscontrato il collegamento sulla porta 80?
MG:
Abbiamo riscontrato collegamento sulle porte 80, su google quello ogni 3 0 minuti, abbiamo riscontrato il collegamento verso la porta 80 su i domini di firefox e Mozilla.
FM:
Quindi senza interazione...?
MG:
Ogni ora.
FM:
Senza interazione umana, come si diceva prima?
MG:
Esatto.
FM:
Dunque voi avete ricevuto, mi pare che se ne sia occupato lei in particolare, di una comunicazione da parte di fastweb della autorità di controllo da parte del dottor Rizzo, si ricorda?
MG:
Abbiamo ricevuto...
FM:
Avete ricevuto una comunicazione da voi richiesta per motivi di indagine?
MG:
Abbiamo ricevuto una comunicazione perché? Perché in fase appunto di struttura della rete web, cioè capire come era strutturata la rete fastweb e quelle sommarie informazioni acquisite. Ci veniva data come indicazione che se ci fossero stati dei accessi ai servizi interni di fastweb da quei file di log, non avremmo potuto verificarlo. Ovvero, se ci fosse stato l'accesso alla casella di posta elettronica fastweb, se ci fosse stato accesso ad un altro servizio che non significava per forza quindi passare verso internet, ma si stava già dentro quella rete. Non avremmo trovato il riscontro. Quindi che abbiamo fatto? Abbiamo chiesto a fastweb di fare una verifica se vi erano state attività di controllo di posta elettronica interna della rete fastweb, abbiamo chiesto quindi se ci fossero state attività che dal file di log non potevamo vedere, ma che loro tramite il loro sistema avrebbero potuto vedere.
FM:
Le faccio l'elenco delle attività controllate, lei mi dice si o no. Accesso invio alla posta elettronica fastweb?
MG:
Si.
FM:
Accesso sezione riservate portale fastweb?
MG:
Si.
FM:
Attivazione servizio di trasferimento di chiamata?
MG:
Si.
FM:
Si ricorda che esito ha avuto questa comunicazione da parte?
MG:
La comunicazione, noi ci spostavamo sempre su quella fascia oraria, quindi per vedere se c'era stata attività nei giorni che ci interessavano a noi, è stata negativa. Cioè non c'era un riscontro di interattività neanche dalla parte dei sistemi fastweb per i servizi interni.
FM:
Ho terminato Presidente, io chiedo l'acquisizione di questa comunicazione di fastweb 19 novembre 2007, indirizzata al compartimento di Polizia. Insisto per l'acquisizione della relazione di accompagnamento alle sommarie informazioni del dottor Rizzo, per il quale mi riservo ex 507 in seconda battuta di chiederne l'audizione.
GCM:
Le parti hanno preso visione di queste richieste?
GB:
Presidente da quanto si evince anche dalla deposizione di oggi, se noi vogliamo stabilire attraverso una nota quello che può fare fastweb e quello che non può fare fastweb, abbiamo compreso che è una cosa abbastanza complessa. La nota non è a firma sua, credo che sia a firma o di Rizzo oppure ce né un1altra. Quindi se sentiremo Rizzo io gli farò tantissime domande a Rizzo, tutto ciò che riguarda fastweb lo vorrei detto da Fastweb in modo tale da poter fare delle domande. Io non mi oppongo a ciò che riguarda l'attuale testimone e quello che ha firmato lui. Tutto il resto no perché voglio fare controesami e domande.
FM:
C'è una richiesta specifica del dottor Mignini che delega per l'acquisizione dei accessi alla posta elettronica etc.. Questa è la richiesta del Pubblico Ministero, a cui risponde fastweb senza nominativo, è firmata fastweb. Poi vi è appunto la nota di accompagnamento all'audizione del dottor Rizzo del 22 novembre, titolare della sicurezza fastweb.
GB:
Ribadisco, proprio perché si tratta di una risposta di fastweb in pochissime righe, dalla quale non si può evincere ciò che ci interessa, perché è una risposta parziale a una domanda del Pubblico Ministero. Il dibattimento serve proprio per evitare questo tipo di prove. Si chiamava qui come teste fastweb o il consulente, e tutti facevamo esame e controesame. Altrimenti se sostituiamo i testi con delle risposte parziali, non abbiamo nulla. Quindi mi interessa ovviamente fare esami e controesame a questi soggetti. Mi oppongo ad entrambe.
FM:
Comunque io insisto anche per l'acquisizione della nota di servizio 22 novembre con cui si trasmette questa documentazione, oltre al verbale del...
GB:
È firmata questa altra da un altro ufficiale di P.G.. Quindi è opposizione per questo, questa e quella.
GCM:
C'è opposizione da parte di tutte le difese?
CDV:
Si. Anche per indeterminatezza del documento, non c'è la firma, c'è scritto fastweb e basta.

Presidente

GCM:
Le volevo chiedere. Lei prima ha parlato del computer della Romanelli, la Romanelli parlando di questo suo computer ad un certo punto ha riferito che non funzionava, l'ha portato ad un tecnico ed è riuscito questo tecnico a farlo funzionare, le ha anche detto che avrebbe subito una schicchera, ha usato questo termine. È un termine che è rimasto là. Se lei sulla base di questa indicazione una schicchera se è in uso e che quindi che cosa può significare?
MG:
Una schicchera deduco che sia appunto quello che è una sovra tensione, cioè ha preso un...
GCM:
Solitamente è un termine usato per rappresentare?
MG:
A livello elettrico insomma.
GCM:
Per rappresentare questa evenienza...
MG:
Quando si parla di schicchera può essere quella che quando c'è il fulmine arriva il fulmine e si secca il televisore, quella è la schicchera. Lì non abbiamo appunto insistito nel far andare quel discorso, proprio perché era un momento in cui doveva essere individuato se un elemento utile oppure no. Quindi per evitare di proseguire una alimentazione che poteva anche portare a cause appunto peggiori come quella del graffio del supporto, abbiamo interrotto subito lì.
GCM:
Era rimasto in sospeso questa decisione sulla produzione della difesa Sollecito, relativa al decreto sequestro 8 novembre 2007, copia blog e trascrizione blog sulla quale le parti non mi pare che c'erano opposizioni, che viene quindi acquisita ai fini dell'utilizzabilità. Per quanto riguarda le altre richieste di produzione avanzate dalla difesa della Parte Civile Kercher si ritiene di non doverle acquisire non potendo le stesse essere considerate né come documento né come atto irripetibile. Quindi si restituiscono.
GCM:
Il teste viene congedato. Non ci sono altri testi da sentire. Si rinvia all'udienza del 20 marzo 2009 ore 9.30.