Digital Forensics: ambito, strumenti, procedure e standard
Con l’espressione “Digital Forensics” si inquadra un ramo della scienza forense concernente le indagini su dispositivi digitali legate prevalentemente a reati informatici. Per diversi anni, l’espressione è stata utilizzata come sinonimo di Computer Forensics.
In realtà, quest’ultima può essere considerata come una specializzazione della Digital Forensics, così come la Mobile Forensics, caso specifico in cui le indagini si concentrano su dispositivi come smartphone e tablet. Esiste anche il ramo della Network Forensics, che vede l’attenzione degli esperti focalizzarsi sul monitoraggio del traffico di rete, sia esso locale che WAN/internet.
Il risultato finale del lavoro è ottenere una sorta di “prova digitale” che, se utilizzata in tribunale, tende ad avere il medesimo valore di tutte le altre. Essenziale è però l’attenzione al trattare i dati e garantirne integrità ed autenticità, così come illustrare il procedimento e gli strumenti utilizzati per raggiungere le conclusioni della perizia informatica. Questi aspetti descritti sono solo alcune delle cautele che l’informatico forense deve padroneggiare nello svolgimento di attività di digital forensics.
Digital Forensics expert: in quali situazioni opera?
La consulenza di un esperto in Digital Forensics può essere richiesta in diversi casi. Tra i più frequenti rientra la conferma o la confutazione di un’ipotesi accusatoria o assolutoria in sede di processo civile o penale (CTP).
Questa disciplina può rivelarsi molto utile anche nell’ambito della sicurezza aziendale in caso di indagini su sospette intrusioni nei sistemi, le c.d. attività di incident response. Nel caso in cui il reato sia compiuto dall’interno invece le attività di digital forensics supportano il lavoro dei legali che si occupano di diritto del lavoro o proprietà intellettuale. Lo spettro applicativo in cui possono agire è oggettivamente ampio e può comprendere anche le contestazioni relative alle violazioni di copyright o le due diligence software nelle quali si verifica la sicurezza dell'applicazione e la presenza di licenze open source non dichiarate.
Digital Forensics and Investigation: come si svolgono le indagini
Per comprendere come operano gli esperti in Digital Forensics bisogna specificare che, solitamente, l’indagine operativa si sviluppa in tre step:
- Acquisizione dei reperti
- Indagine
- Rapporto
In sede di acquisizione, la best practice dovrebbe consistere nella creazione di un duplicato perfetto (cosiddetto “duplicato forense bit a bit”) del dispositivo digitale che sarà poi oggetto di indagine.
Nel corso del processo di analisi, dopo aver fatto emergere tutti i dati, anche cancellati, si possono invece utilizzare metodologie come la ricerca per parole chiave sulla memoria acquisita. Fondamentale può rivelarsi anche l’identificazione e classificazione di particolari elementi o registri di sistema che contengono informazioni preziose anche se leggibili solo attraverso software specifici.
Una volta terminata l’indagine, si stila una relazione scritta con tutti i dati raccolti e si invia come rapporto in pdf controfirmato in ogni pagina a cura del perito forense.
Standard operativi e requisiti
Le procedure di Digital Forensics, per quanto riguarda l’Italia, si basano su standard ISO, best practice, RFC e diversi adeguamenti legislativi, tra i quali è il caso di citare la Legge 48/2008. Questo testo normativo è molto importante in quanto, attraverso la ratificazione della convenzione di Budapest dal 2001, ha introdotto per la prima volta in Italia delle linee guida da rispettare.
La carenza riguardante metodologie condivise e precise linee guida normative è comunque tutt'ora un tema centrale in Italia, motivo per cui è forte il valore della circolare 1/2018, pubblicata sul sito ufficiale della Guardia di Finanza il 14 dicembre 2017. Con il titolo “Manuale Operativo in materia di contrasto all’evasione e alle frodi fiscali”, questo documento si propone di mettere in primo piano delle indicazioni ad ampio spettro relative alle attività di contrasto alle frodi portata avanti dai militari.
In questa corposa guida di quattro volumi e di oltre 1200 pagine è degno di nota un elemento innovativo. Si tratta del focus sulle modalità corrette per acquisire le evidenze digitali, ossia attraverso il ricorso a tecniche di informatica forense.
La materia è in continuo aggiornamento, citiamo ad esempio le discussioni che si stanno sviluppando in questi ultimi mesi sulla drone forensics e l’A.I. forensics.
Gli esperti in Digital Forensics devono infatti restare continuamente aggiornati sia sull’evoluzione dei sistemi sia sui software di supporto che possano recuperare il maggior numero di informazioni da essi.