Digital forensics: tutto quello che devi sapere

Gli atti criminali nell’ambito virtuale, soprattutto negli ultimi anni, sono aumentati notevolmente e, per questo, la digital forensics sta acquisendo sempre più spazio nel mondo giuridico e aziendale.

I Governi in Europa stanno cercando di incentivare le aziende e i privati a incrementare la propria sicurezza digitale e anche agenzie esperte e professionali, come B4web, stimolano, verso l’utenza, proposte di cyber security e di sicurezza informatica generale.

Con tali premesse stanno nascendo sempre più figure specializzate nella prevenzione dei crimini digitali di qualsiasi genere, i quali spesso sono associati a legali o avvocati pronti a dare inizio ad indagini complesse. Infatti, un ambito che si sta sviluppando molto nell’ultimo periodo, anche in Italia, è la digital forensics.

Nello specifico, cosa si intende con tali termini? Cosa fanno gli esperti della materia forense e quali sono le attività svolte da questo comparto giuridico e legale? Può essere un modo per aumentare la cyber security globale? Sono tutte domande che ogni giorno ci vengono poste, alle quali proviamo, in questa sede, a rispondere.

Che cos’è la digital forensics?

Analizzando il termine dal punto di vista letterale, la scienza forense, è una materia specializzata sul recupero e analisi di qualsiasi dato informatico, con l’obiettivo di individuare indizi o prove virtuali per fermare gli stessi cyber criminali che hanno commesso un reato.

Perciò, un consulente informatico esperto di scienza forense (o CTPI) si potrebbe definire una sorta di investigatore digitale che, insieme ad un legale, analizza qualsiasi prova rilevata online per rintracciare e denunciare i pirati informatici o i criminali del web.

Solitamente le attività investigative principali sono amministrate da esperti delle forze dell’ordine, oppure da agenzie qualificate in cui ci sono consulenti competenti nella ricerca e nel tracciamento di dati informatici, su molteplici dispositivi.

La branca della digital forensics si occupa di diversi aspetti dell’informatica e conta molti ambiti, come la disk forensics, che si dedica alle indagini su hard disk, pendrive, server, nas e tutto quello che riguarda lo storage, oppure la mobile forensics che analizza, invece, tutti gli apparecchi mobili come i cellulari, i tablet e pc portatili. Infine, esiste la network forensics, che cerca di captare e verificare tutti i traffici dei dati online, in cui è possibile anche collocare un altro ambito della scienza forense, ossia l’image forensics (video e immagini) o anche multimedia forense, dove sono analizzate anche le registrazioni e i contenuti multimedia alterati.

Questa complessa presenza di settori nella materia, dimostra che servono moltissime competenze e figure qualificate, appoggiandosi a consulenti che hanno diverse capacità di ritrovamento e analisi dei dati. Gli esperti utilizzano specifici hardware e software per attuare le indagini, poiché occorrono dei tool esclusivi per recuperare file diversi tra loro, come le foto, i video, i messaggi di chat o e-mail o qualsiasi altra traccia lasciata dal malintenzionato all’interno del computer.

Anche il mondo dei social network viene analizzato, se occorre, dagli specialisti forensi, per prevenire fenomeni di crimini molto comuni come la diffamazione, la violenza verbale, lo stalking oppure la condivisione illegale di file non desiderati.

A differenza di altri Paesi, in Italia non ci sono ancora delle scuole di formazione per consulenti forensi, perciò non è presente ancora una certificazione riconosciuta, almeno nel campo dell’informatica. Di solito, gli esperti di digital forensics sono competenti informatici che vengono direttamente affiancati ai tribunali o al Ministero della Giustizia e possono appartenere ad aziende specializzate in cyber security.

Quali sono le fasi della digital forensics

La digital forensics prevede che ci siano diverse fasi di indagine per attuare al meglio il proprio lavoro.

• Identificazione: in questa prima fase, il consulente cerca di riconoscere tutti i dati richiesti e possibili. Uno degli elementi di ricerca primari interessano le prove virtuali indispensabili (file, documenti, device eccetera).
• Raccolta dei dati: dopo aver riconosciuto il materiale essenziale per dare il via all’indagine, si cerca di raccogliere ogni elemento ritenuto utile ai fini della valutazione. In questa parte di analisi, tutti i file vengono memorizzati e copiati (secondo il sistema bit-bit), dopodiché l’esperto aggiunge dei blocchi specifici, denominati “write blocker”, per eliminare il rischio di ulteriori manipolazioni dei file.
• Analisi o verifica: in questo passaggio vengono scelti i tool e i software da usare per proseguire le indagini. In questo modo, il consulente cerca di riprendere tutto il materiale eliminato per poi stilare il report finale.
• Esito del rapporto: dopo una accurata analisi, viene compilato un dettagliato “report”, con riportati tutti gli strumenti adottati per l’indagine, le strategie di ricerca e anche gli accertamenti acquisiti nella loro totalità.

Solo dopo aver completato uno per uno ciascuno di questi step, sarà possibile riconoscere il caso e proseguire le indagini.

La digital forensics ha una valenza legale?

Dal 2001, la Convenzione di Budapest sull’argomento della cyber criminalità, ha stilato i capisaldi giuridici per riconoscere la competenza d’indagine dei consulenti di scienza forense. In Italia, invece, è stata affermata la Legge 48/2008, in cui sono elencati tutti i punti legali inerenti alla criminalità informatica. Questa normativa consiste in un aggiornamento della Legge 547/1993, la quale integrava la presenza giuridica ai crimini legati alla cyber security.

Grazie a questa norma, tutte le prove digitali legalmente analizzate dai tecnici informatici, incaricati dalle forze dell’ordine, dai tribunali o dal Ministero della Giustizia, hanno un valore giuridico. Ogni materiale o file, invece, che non passa attraverso una consulenza di tipo CTPI o sotto una specifica formalità riconosciuta, non può essere ritenuto valido e di conseguenza avere una valenza legale.

Ogni reperto, inoltre, dopo il suo riconoscimento è marcato temporaneamente per validare la prova; i file devono essere timbrati da figure certificate e firmati digitalmente, con anche l’aggiunta di una documentazione legittima. I report sono convalidati sia dalla registrazione del luogo, sia dalla data e dall’ora, per non avere successive alterazioni secondo l’art. 20 della Legge 82/2005.

Infine, il bollo attestato momentaneo ha una valenza identificativa e perciò ogni materiale può essere archiviato e custodito insieme ai relativi documenti riconosciuti.

Se hai bisogno di servizi di digital forensics affidabili e professionali, Cyber4You è l'azienda che fa per te. Scopri di più sul nostro servizio di cyber security.