Nata in ambito giudiziario, la digital forensics oggi estende la sua portata fino a rientrare tra le componenti di una strategia di protezione dei dati. Perché anche le aziende, e non solo i tribunali, possono aver bisogno di un’attività di digital forensics.

Spesso, infatti, si attiva un’indagine a supporto della risoluzione di controversie con i dipendenti e i collaboratori. Può succedere, infatti, che al dipendente, o in generale a tutti gli stakeholder aziendali, si debbano contestare azioni che, in qualche modo, danneggiano l’azienda.

Un dipendente “infedele” potrebbe rubare dati aziendali, come i brevetti, o fare attività di spionaggio per conto della concorrenza. È, allora, un diritto dell’azienda proteggere le proprie informazioni sensibili e andare a fondo, intentando un’azione legale.

Insomma, il tema è caldo. Per questo, andiamo a fondo e descriviamo cosa è la digital forensics e in che modo si svolge.

Cosa è la digital forensics

Partiamo dalla definizione classica. Chiamata anche informatica forense in italiano, la digital forensics è la scienza forense che si occupa del trattamento dei dati digitali di qualsiasi tipo allo scopo di rilevare prove informatiche utili all’attività investigativa.

Dunque, durante un’indagine, un Consulente Tecnico di Parte Informatica forense (CTPI) viene incaricato da un avvocato o da un giudice di setacciare tutte le proprietà digitali dell’accusato, o degli accusati. Il fine è di recuperare il maggior numero di prove che dimostrino la tesi dell’accusa. Al contrario, anche un avvocato difensore può richiedere una consulenza per raccogliere le prove che dimostrino l’innocenza del proprio assistito.

Spesso le indagini sono svolte direttamente dai tecnici specializzati delle forze dell’ordine. Oppure si fa ricorso a consulenti e aziende specializzate. Ontrack, per esempio, è un riferimento nel settore. L’azienda si occupa da sempre di recupero dati da qualsiasi dispositivo di storage e file system, ed è in grado di “resuscitare” dati che si pensavano cancellati per sempre.

Quali sono le diverse attività

Gli ambiti d’azione della digital forensics sono diversi e perseguono tutti lo stesso obiettivo. C’è la computer forensics, o disk forensics, che si occupa dell’analisi dell’hardware e dello storage in particolare (hard disk, pendrive). La mobile forensics si occupa dei dispositivi portatili: tablet, smartphone e altri. La network forensics pensa a intercettare e analizzare il traffico dati, l’image forensics si occupa delle immagini e dei video, analizzando per esempio le registrazioni delle telecamere. Infine, c’è l’embedded forensics che si concentra su dispositivi particolari, come gli antifurti o i dispositivi IoT, e l’analisi dei veicoli.

Ma c’è, soprattutto, la multimedia forensics, in cui possiamo includere l’image forensics. Come si evince dal nome, in questo ambito si lavora su qualsiasi oggetto multimediale (immagini, video, audio). A questo contesto, per esempio, appartiene l’analisi dei contenuti multimediali contraffatti (deepfake).

Si tratta di attività che presentano ognuna una propria peculiarità, ma è anche vero che gli specialisti sono in grado di svolgerne diverse. Tutte, inoltre, si avvalgono di software e hardware specifici. Ontrack ne commercializza alcuni, rendendo disponibili anche delle versioni gratuite.

Esistono software per il recupero dei dati dai supporti magnetici, e anche solo per le foto. Ma c’è anche quello per il recupero dei messaggi di posta o delle chat. Ciò che, infatti, molti non sanno è che una mail, un messaggio o una foto inviati in chat e poi eliminati in verità non spariscono subito dal dispositivo.

Oggi l’analisi dell’archivio delle chat e dei contenuti condivisi è certamente un’attività molto frequente durante un’indagine. Stessa cosa si può dire per l’analisi dei social network, grande fonte di informazioni per tutti gli esperti di digital forensics. È in questi ambienti virtuali, per esempio, che si svolgono le indagini su stalking, diffamazione, violenza privata e delinquenza giovanile.

LEGGI ANCHE: CHI E’ IL DATA PROTECTION OFFICER

Le fasi della digital forensics

Un’attività di digital forensics si svolge generalmente in quattro fasi distinte. Vediamo gli obiettivi di ciascuna in dettaglio.

          Identificazione

Nella prima fase si stabiliscono gli oggetti e gli ambienti di indagine. Qui, dunque, si procede all’individuazione dei reperti informatici necessari: computer e device digitali di ogni genere.

          Raccolta e acquisizione

Una volta entrati in possesso degli oggetti che, presumibilmente, contengono il materiale utile all’indagine si procede alla raccolta dei file. Si acquisiscono e si mettono a disposizione dei vari software di analisi. Nella fase di acquisizione si procede alla copia forense dei dati affinché ne rimanga un’originale non alterato. L’alterazione dell’originale, infatti, invaliderebbe la prova. A questo proposito si utilizza la tecnica di copia “bit a bit”, perché anche solo la classica copia di un file da una cartella all’altra di un computer può provocare un’alterazione.

Per la raccolta e l’acquisizione, spesso si utilizzano dei dispositivi particolari chiamati write blocker realizzati proprio per evitare scritture e alterazioni dei file.

          Analisi

Come detto, l’analisi deve essere eseguita da software particolari, spesso non reperibili da chiunque. I software più utilizzati sono quelli destinati al recupero dei dati cancellati. Al termine dell’analisi, si procede alla valutazione e alla stesura di un rapporto.

          Report

Un report valido ai fini probatori deve contenere tutti i dettagli dell’analisi, compresi i software e i dispositivi utilizzati, le metodologie utilizzate e i riscontri ottenuti su ogni singolo file analizzato.

Il valore legale nella digital forensics

I principi giuridici della digital forensics sono stati definiti nel 2001 con la Convenzione di Budapest sul Cybercrime, recepita alcuni anni più tardi anche in Italia con la Legge 48/2008 (legge di Ratifica ed esecuzione della Convenzione del Consiglio d’Europa sulla criminalità informatica e norme di adeguamento dell’ordinamento interno). La Legge 48/2008 aggiorna dei principi già presenti nell’ordinamento italiano secondo la Legge 547/1993 (modificazioni ed integrazioni alle norme del Codice penale e del codice di procedura penale in tema di criminalità informatica).

Affinché ogni informazione raccolta abbia un effettivo valore legale, la Legge richiede di sottostare a determinati principi. Per esempio, le stampate di una chat o di un thread sui social non hanno un valore legale. Come per ogni reato, infatti, la prova risiede esclusivamente nel dato digitale. È necessario, dunque, che l’avvocato o il giudice proceda a un’acquisizione delle prove secondo i protocolli della digital forensics. E che si rivolga a un Consulente Tecnico di Parte Informatica.

La prova digitale, inoltre, è autenticata con valore legale attraverso il processo di marcatura temporale. Il processo di marcatura temporale consiste nella generazione da parte di un Certificatore accreditato, di una “firma digitale del documento” cui è associata l’informazione relativa a una data e a un’ora certa.

Associando data e ora certe e legalmente valide a un documento informatico, si consente di associare una validazione temporale opponibile a terzi. (Art. 20, comma 3 Codice dell’Amministrazione Digitale Dlgs 82/2005).

Dal punto di vista tecnico, una marca temporale è un piccolo file contraddistinto da un titolo identificativo, che può essere conservato unitamente al documento cui si riferisce o anche in modo separato.

Come si diventa Consulente Tecnico di Parte Informatica

Da sottolineare che in Italia non esiste ancora un percorso di formazione ufficiale e una qualifica specifica per il CTP Informatico. Ciò significa che non è possibile vincolare la professione a un percorso formativo ben definito.

In ogni caso, è possibile accreditarsi presso il Ministero della Giustizia e presso i singoli Tribunali come consulente tecnico di ufficio. Molte sedi di tribunale, inoltre, prevedono l’albo dei consulenti informatici.

Esiste, inoltre, una certificazione ISO 27037 ancora più precisa della certificazione ISO 9001 e ISO 27001 (standard per i sistemi di gestione della sicurezza delle informazioni). La ISO 27037, invece, è uno standard che si occupa del trattamento della prova informatica nelle prime fasi, ossia identificazione, raccolta, acquisizione e conservazione del dato digitale.

La certificazione definisce le caratteristiche del personale che può operare con evidenze digitali, qualificando le figure di DEFR (Digital Evidence First Responder) e DES (Digital Evidence Specialist).

Digital Forensics: cosa è e di cosa si occupa ultima modifica: 2022-03-16T10:22:37+01:00 da Valerio Mariani

LASCIA UN COMMENTO

Per favore inserisci il tuo commento!
Per favore inserisci il tuo nome qui