INDAGINI DIGITALI

“La Computer Forensics è la scienza che studia l’individuazione, la conservazione, la protezione, l’estrazione, la documentazione e ogni altra forma di trattamento del dato informatico per essere valutato in un processo giuridico e studia, ai fini probatori, le tecniche e gli strumenti per l’esame metodologico dei sistemi informatici.” (Wikipedia)

Individuazione: il primo e più importante passo che un digital forenser deve compiere prima di iniziare la sua investigazione, è quello di identificare la prova informatica e la sua possibile posizione. Una prova digitale può essere infatti contenuta in diverse tipologie di supporti, come hard disks, media rimuovibili oppure un log file su un server. 
Trovare il dato informatico è una condizione necessaria per il digital forenser.

Conservazione: il digital forenser deve garantire il massimo impegno per conservare l’integrità della prova informatica. Il dato originale non deve essere modificato e danneggiato e quindi si procede realizzandone una copia (bit-a-bit), su cui il digital forenser compie l’analisi. Dopo aver effettuato la copia è necessario verificarne la consistenza rispetto al dato originale: per questo motivo si firmano digitalmente il dato originale e la copia, che devono coincidere

Protezione: il dato originale deve essere protetto nella maniera più idonea a seconda del supporto su cui si trova. Le cause di alterazione di un supporto magnetico e di un supporto ottico, ad esempio, sono ben differenti. Si deve inoltre garantire una catena di custodia, ovvero un documento che dica quello che è stato fatto e quali persone fisiche hanno avuto accesso al dato originale e alle copie effettuate

Estrazione: è il processo attraverso il quale il digital forenser, servendosi di diverse tecniche e della sua esperienza, trova la posizione del dato informatico ricercato e lo estrae

Documentazione: l’intero lavoro del digital forenser deve essere costantemente documentato, a partire dall’inizio dell’investigazione fino al termine del processo. La documentazione prodotta comprende, oltre alla catena di custodia, un’analisi dei dati rinvenuti e del processo seguito. Un’accurata documentazione è di fondamentale importanza per minimizzare le obiezioni e spiegare come ripetere l’estrazione con un analogo processo sulla copia.

<INDIETRO

Comments are closed.