La Digital Forensics è definita come “La disciplina che si occupa della preservazione, dell’identificazione e dello studio delle informazioni contenute nei computer, o nei sistemi informativi in generale, al fine di evidenziare l’esistenza di prove utili allo svolgimento dell’attività investigativa.”
Dunque è chiaro che ha molto a che vedere con la rivoluzione digitale che negli ultimi decenni stiamo vivendo in qualunque settore lavorativo, scolastico o della vita quotidiana.
Cos’è la Digital Forensics
La Digital Forensics, o informatica forense, riguarda il settore dell’informatica che si interfaccia con la giustizia. In particolare è la scienza che si occupa di studiare i dati digitali e in particolare il loro trattamento e il mutamento in una prova che può essere prodotta in giudizio quindi nelle procedure di:
- identificazione
- acquisizione
- analisi
- elaborazione di un report
Per poter fare Digital Forensics serve ovviamente che i software utilizzati e le metodologie adottate siano aggiornate e rispettino normative, procedure e best practices internazionali soprattutto per la delicatezza dei dati sensibili in questione.
Lo sviluppo della Digital Forensics è lievitato soprattutto negli ultimi anni a causa dell’introduzione degli smartphone al posto dei normali cellulari o del cambiamento delle macchine fotografiche che da analogiche sono ormai tutte digitali. Tutti questi devices sono considerabili come dei computer, più o meno potenti o specializzati, ma da i quali è possibile ricavare informazioni o dati anche utilizzabili da questa scienza che ormai da tempo è entrata fra gli argomenti di interesse.
Cosa fa la Digital Forensics
Le attività svolte dalla scienza della Digital Forensics sono svariate e riguardano soprattutto il recupero dei dati per casi di processi o investigazioni e per questo motivo, chi le attua è sicuramente un esperto informatico o qualche figura giudiziaria che si affida ad un perito. Vediamo in rassegna le azioni che svolge chi si occupa di Digital Forensics:
- Recuperare file eliminati: potrebbero essere stati cancellati dal cestino di un pc o di un telefono ma alcune tracce potrebbero trovarsi in parti meccaniche del disco
- Ritrovare file esportati tramite usb
- Effettuare ricerche sulle caselle di posta come gmail, outlook o simili
- Effettuare perizie informatiche su dispositivi diversi dai computer come cellulari o tablet
- Fare controlli su server
- Trovare file non autorizzati in memoria
- Effettuare ricerche di software utilizzati impropriamente
Tutto questo deve certamente garantire l’integrità dei dati che non devono essere successivamente eliminati oltre che la reperibilità delle attività tecniche svolte che devono essere tutte censite in modo da avere sempre una traccia di cosa è stato fatto.
Fasi della Digital Forensics
Le fasi di una perizia forense digitale le abbiamo nominate sopra e l’importanza del loro rispetto riguarda principalmente la delicatezza della materia dato che semplicemente con una accensione scorretta di un dispositivo, azione che potrebbe tranquillamente succedere in qualunque momento, si potrebbe compromettere l’integrità dei dati.
Vediamo le 4 fasi:
1 – Identificazione
La fase di identificazione serve per capire da dove vengono i dati e dunque le fonti dei dati stessi.
Proprio a causa del fatto che i dispositivi in grado di tenere informazioni cresce sempre di più (basti pensare ai dispositivi IoT che in ogni istante salvano tantissimi dati) questa attività è diventata più importante. Ora i devices sui quali bisogna “entrare” per capire l’origine di un dato possono essere molteplici tra braccialeyti elettronici, dispositivi IoT, smartphone, smartwatch e non solo.
2 – Acquisizione
Questa seconda fase riguarda appunto l’acquisizione dei dati dai dispositivi interessati. Ci sono due scenari possibili che riguardano:
- L’acquisizione live: cioè fatta su dispositivi utilizzabili e accesi che perciò funzionano ed è possibile utilizzarli. In questo scenario il tecnico deve accertarsi di fare una raccolta completa dei dati, soprattutto delle evidenze volatili come processi, utenti loggati, memorie, connessioni attive. Inoltre dovrà accertarsi di utilizzare delle funzioni Hash per dimostrare che i dispositivi su cui sta facendo la raccolta dati siano originali garantendo così la reperibilità
- Dispositivi spenti: nel caso i dispositivi non si possano accendere, bisognerà trovare il modo di ricavare dati e informazioni andando a estrarre memorie o altri dispositivi hardware dal dispositivo
3 – Analisi
Si tratta della prima operazione successiva a quelle preliminari che sta alla base della attività delle perizie forensi. Durante questa attività il perito dovrà utilizzare le proprie conoscenze informatiche relative a diversi software per analizzare, studiare, estrarre keywords o individuare tracce lasciate digitalmente.
La fase di analisi è quella che più si interfaccia con la giustizia o l’investigazione dato che studia effettivamente tutti i dati già recuperati.
4 – Report
A seguito di una attenta analisi che potrebbe durare anche giorni, il tecnico dovrà compilare ed esibire un report che potrà essere utilizzato da organi di giustizia o di investigazione in ambiti legali.
Legge 48 del 2008 sulla Digital Evidence
Anche tra le leggi italiane, come in quelle degli altri stati europei e mondiali, è annoverata la legge che tratta della criminalità informatica e delle prove recuperate durante una perizia informatica.
In particolare è fondamentale ricordare che proprio per il fatto che lo sviluppo dei dispositivi digitali ha fatto si che l’importanza legale dei dati contenuti in essi crescesse esponenzialmente. Sono due i motivi specifici che trattano della Digital Evidence:
- L’applicazione delle norme relative ai reati puramente informatici si riferiscono anche ai reati commessi tramite l’utilizzo di mezzi informatici
- Le prove informatiche sono assimilate a prove scientifiche dato che il margine di errore è molto più basso di prove che dipendono dal fattore umano e per questo costituiscono “certezza” della prova scientifica
L’importanza della Digital Forensics fa si che la disciplina applicata ad essa sia molto stringente e precisa e chi la applica deve sottostare a regole molto severe e controlli che non vanno presi alla leggera.
Tutto questo per garantire:
- Integrità dei dati raccolti
- Evitare sequestro di dati o prove
- Rispetto delle regole per evitare che i dati e le prove raccolte possano essere utilizzate durante un processo confermando che non sono state manomesse
- Riservatezza dei dati raccolti
Le perizie informatiche, come avrete capito da questo articolo, sono fondamentali per vari ambiti e settori che spaziano soprattutto nella sfera legale ma non solo. Nexsys, azienda di Verona, offre un servizio di perizie informatiche che attraverso strumenti unici e concreti aiutino aziende e privati nell’accettazione come supporto della prova del danno. Attraverso una attenta analisi fatta da esperti, saremo in grado di aiutarti in varie questioni legate alla sicurezza informatica e in particolare quando ci sono situazioni di addebiti illegali, colpe, critiche, imputazioni incriminazioni o accuse che si basano su elementi informatici o che coinvolgano l’ambito digitale