1. PREMESSA
LA "Digital Forensics" (Informatica Forense) è strettamente collegata all’evoluzione della società moderna; infatti è noto come oggi non si può più prescindere dall’utilizzo di strumenti informatici e telematici per lo svolgimento di qualunque tipo di operazione, sia in ambito lavorativo, commerciale, professionale e domestico.
La “Digital Forensics” ha perciò assunto un ruolo rilevante, non solo in presenza di reati informatici, ma anche in campo civile, commerciale e fiscale.
Si tratta di una disciplina che ha origine negli ambienti giuridici degli Stati Uniti e della Gran Bretagna in seguito alla crescente diffusione degli strumenti digitali e che integra le competenze informatiche e tecniche con quelle giuridiche.
Come qualunque attività umana, anche quelle svolte attraverso l’impiego di apparecchiature informatiche lasciano delle tracce: “le evidenze digitali”.
Per “evidenza digitale” si intende qualsiasi informazione che sia memorizzata o trasmessa in formato digitale da dispositivi elettronici come ad esempio: tablet, PC, server, PDA, fax, digital camera, ipod, smartphone e tutti gli altri dispositivi di memorizzazione.
La “Digital Forensics” è la disciplina che si occupa dell’individuazione, dell'acquisizione, dell’analisi e della presentazione di tali “evidenze digitali”, al fine di renderle efficacemente utilizzabili in giudizio (penale e civile) poiché ne garantisce autenticità, integrità e completezza.
2. METODOLOGIA DI LAVORO
La metodologia di lavoro seguita nella “Digital Forensics Examiner” è conforme alle procedure e alle best practices internazionali.
Il processo è basato sul seguente modello:
INDIVIDUAZIONE: la fase di individuazione consiste nella ricerca di qualunque dispositivo che possa contenere dati utili al caso.
Si tratta probabilmente della fase di maggior difficoltà di tutta l’indagine, in quanto ogni persona è oggi circondata da decine di supporti in grado di memorizzare (o celare) informazioni.
Si tratta probabilmente della fase di maggior difficoltà di tutta l’indagine, in quanto ogni persona è oggi circondata da decine di supporti in grado di memorizzare (o celare) informazioni.
ACQUISIZIONE: la fase di acquisizione consiste nell’ottenere "materialmente" i dati da analizzare. Accedere ai dati digitali senza utilizzare strumenti e procedure adeguate può rendere l’informazione inammissibile in giudizio. L’evidenza digitale è fragile per natura e può essere facilmente alterata.
La procedura garantisce che i dati siano acquisiti senza modificarli o danneggiarli, effettuando una copia forense ("bit-stream image") degli stessi e verificando l’integrità della copia tramite “funzioni di hash”.
La procedura garantisce che i dati siano acquisiti senza modificarli o danneggiarli, effettuando una copia forense ("bit-stream image") degli stessi e verificando l’integrità della copia tramite “funzioni di hash”.
ANALISI: la fase di analisi consiste nell'estrazione ed interpretazione delle informazioni presenti nelle copie forensi dei supporti informatici ottenute in sede di acquisizione.
PRESENTAZIONE: la fase di presentazione dei risultati è il momento in cui il consulente mostra al giudice le prove rinvenute sui reperti e le conclusioni che egli ne ha tratto. Tale presentazione avviene tramite una relazione tecnica che verrà poi presa in esame durante il dibattimento.
Il contenuto di tale documento solitamente illustra le metodologie utilizzate e mostra le argomentazioni scientifiche a verifica di tutte le supposizioni. Il suo scopo primario è quello di chiarire a tutte le parti coinvolte nel dibattimento la valenza scientifica e tecnica dei fatti accertati.
Il contenuto di tale documento solitamente illustra le metodologie utilizzate e mostra le argomentazioni scientifiche a verifica di tutte le supposizioni. Il suo scopo primario è quello di chiarire a tutte le parti coinvolte nel dibattimento la valenza scientifica e tecnica dei fatti accertati.
Autore: l'Informatico Professionista - Francesco Di Vittorio
