DIGITAL FORENSICS – L’ACQUISIZIONE DELLA PROVA INFORMATICA
DIGITAL FORENSICS – L’ACQUISIZIONE DELLA PROVA INFORMATICA
L’informatica forense ha acquisito una importanza rilevante all’interno di ogni procedimento penale e civile.
Ogni tipo di reato può avere, direttamente o indirettamente, una connessione con dati informatici e quindi con la necessità di doverli acquisire in modo certificato e senza alterarne la prova d’origine.
Quest’ultimo punto è forse il più importante per un tecnico in quanto un errore in fase di acquisizione comporta l’invalidazione della prova e quindi di tutto il suo contenuto, anche se essenziale all’interno di una indagine.
Risulta essere necessario affidarsi a tecnici competenti che possano trattare i dispositivi hardware o i dati informatici più in generale, con le dovute accortezze.
Le acquisizioni possono essere effettuate su tutto quello che è informatica e che include dei dati:
– Hard disk;
– Smartphone e tablet;
– Gps;
– Droni;
– Pen Drive;
– Pagine web;
– e molto altro…
ACQUISIRE LA FONTE DI PROVA
L’acquisizione di una fonte di prova deve essere effettuata, salvo impossibilità tecniche, in modo ripetibile e quindi con l’onore di poter ripetere l’operazione ottenendo il medesimo risultato.
Questa condizione è essenziale in quanto una minima e impercettibile variazione di un singolo dato implica la non validità dell’acquisizione e della prova stessa.
Da questa breve premessa appare evidente di come sia necessario affidarsi a delle linee guida o “best practice” che ci indichino quali siano le operazioni da svolgere per non compromettere il lavoro svolto.
Le andrei ad identificare nelle seguenti:
– Individuazione;
– Preservazione;
– Acquisizione;
– Preservazione.
Si ha inizio con l’individuazione visiva e fisica del reperto (anche digitale), fase spesso effettuata dalle forze di polizia, che impone particolare attenzione nel trattamento del supporto fino al raggiungimento della fase successiva.
Il lasso di tempo tra queste due fasi può compromettere il reperto in quanto è sufficiente, ad esempio, l’accensione del dispositivo per comprometterne irrimediabilmente il contenuto.
Deve essere buona abitudine degli operatori adibiti all’individuazione dei reperti informatici di procedere il prima possibile alla loro messa in sicurezza e alla loro catalogazione.
La messa in sicurezza avviene attraverso sacchetti antistatici, per non comprometterne le funzionalità hardware, e/o gabbie di Faraday (spesso utilizzata per smartphone e dispositivi mobili) che ne inibiscono la trasmissione dei dati.
Segue immediatamente la catalogazione composta dai dettagli, anche hardware, del reperto e solitamente ad un numero progressivo crescente per un rapido riconoscimento nelle fasi successive.
Al termine di questa operazione si dà inizio alla “CATENA DI CUSTODIA” che consiste nell’indicazione di tutti gli spostamenti del materiale informatico per poterne certificare la provenienza.
Successivamente si passa all’acquisizione, la fase più delicata che deve essere sostenuta da un tecnico.
Come anticipato questa operazione deve essere fatta in modo ripetibile, se ciò non fosse possibile deve essere fatta esclusivamente in contradditorio con la parte per non comprometterne la validità.
Per non alterare i dati di origine la tecnologia ci viene notevolmente incontro fornendoci dei dispositivi hardware e software, di tipologia write-blocker, che permettono l’acquisizione con la garanzia di inibire la modifica dei dati.
Al termine delle operazioni di copia del reperto si deve procedere al calcolo dei codici di Hash, che ci permettono di essere certi che la nostra copia sia identica al reperto di origine.
Questo calcolo viene effettuato da appositi software o dai copiatori utilizzati durante questa fase.
Se la verifica dei codici di hash fosse negativa bisogna ripetere l’operazione di acquisizione.
Il codice di hash è il primo dato che viene verificato da un tecnico di controparte per sincerarsi che la prova di origine non sia stata modificata; la verifica del codice di hash risulta quindi fondamentale.
Ultimata anche questa fase si torna a quella di preservazione, in quanto bisogna rimettere sia il reperto originale sia la sua copia, meglio se duplice, in sicurezza.