Analisi Forense

L’informatica forense è la scienza che studia, in ambito giuridico, l’individuazione, la conservazione, la protezione, l’estrazione, la documentazione, l’impiego ed ogni altra forma di trattamento del dato informatico al fine di essere valutato in un processo.IMPRONTA

Nell’ambito dell’informatica forense un aspetto fondamentale è la salvaguardia dei dati presenti sui supporti di archiviazione posti sotto il vincolo del sequestro, dunque non nella disponibilità del proprietario.

A salvaguardia dei dati e della garanzia di inalterabilità di questi ultimi, gli operatori preposti all’analisi dei dispositivi di archiviazione utilizzano determinate metodologie volte a garantire e provare l’esatta corrispondenza dei contenuti in qualsiasi momento dell’analisi. Per rendere possibile ciò occorre “congelare” il dato, ossia porre in essere gli accorgimenti tecnologici atti ad impedire scritture (anche accidentali) di bit e a verificare che in un momento successivo i dati presenti siano gli stessi. Per adempiere a tali obblighi, oltre all’utilizzo di strumenti hardware o software che inibiscano qualsiasi scrittura sui dispositivi di archiviazione, vengono impiegati algoritmi di hash (solitamente MD5 o SHA1) allo scopo di generare una sorta di impronta digitale di ciascun file e/o dell’intero contenuto del dispositivo, permettendo quindi di verificarne l’integrità in qualsiasi momento successivo al sequestro.

I dispositivi hardware che permettono di accedere al disco in modalità di sola lettura sono detti write blocker: tramite essi è possibile leggere i dati presenti nel dispositivo, estraendo quelli di interesse o procedendo alla copia forense. L’uso del write blocker richiede necessariamente un computer e la velocità di acquisizione dipende dalle prestazioni della macchina utilizzata per eseguire la copia.

Un’altra tipologia di dispositivo hardware è il copiatore il cui unico scopo è copiare bit per bit il disco “suspect” (oggetto di sequestro) su un altro disco, preservandone nello stesso tempo l’integrità così come avviene per il write blocker. I copiatori raggiungono velocità di acquisizione molto alte, toccando spesso i 5 GByte al minuto e non richiedono l’ausilio di un computer per poter essere utilizzati.

Dal punto di vista software, un ottimo strumento che impedisce la scrittura (e quindi la modifica anche involontaria dei dati presenti sul dispositivo) è Linux: tramite il comando mount consente infatti di montare il dispositivo in sola lettura (opzione non disponibile invece nei sistemi Windows che quindi richiedono un write blocker per accedere al disco sorgente).

Dal momento che non esiste una definizione univoca ricompresa nella dizione “informatica forense” il Digital Forensics Expert deve occuparsi di “preservare, identificare, studiare ed analizzare i contenuti memorizzati all’interno di qualsiasi supporto o dispositivo di memorizzazione”. Le attività sono dirette non solo a tutte le categorie di computer, ma a qualsiasi attrezzatura elettronica con potenzialità di memorizzazione dei dati (ad esempio, cellulari, smartphone, sistemi di domotica, autoveicoli e tutto ciò che contiene dati memorizzati).