Informatica forense: le procedure per una perizia affidabile

(Ultimo aggiornamento: 8 Marzo 2023)

Cos’è l’informatica forense? A cosa serve? In quali contesti può essere applicata?

Quando si parla di informatica forense si fa riferimento ad una disciplina specifica della scienza digitale forense che consente di acquisire prove presenti nei personal computer o in altri dispositivi digitali.

Lo scopo è principalmente quello di raccogliere informazioni utili in ambito investigativo prima e processuale poi.

Viene dunque applicata frequentemente nelle perizie forensi, quindi nelle indagini relative a reati informatici.

Proprio in questi casi è indispensabile un meticoloso lavoro di raccolta e analisi per la corretta ricostruzione di un fatto o di prove da presentare in sede processuale.

Esistono infatti diverse tecniche e principi legati al recupero dei dati che possono essere supportate da processi di revisione e analisi legale.

Tutte questa tecniche sono orientate al recupero di semplici informazioni o alla ricostruzione di una serie di eventi che hanno avuto luogo su diverse tipologie di supporti digitali.

Tabella dei Contenuti

Le perizie informatiche: fasi principali

L’informatica forense segue un percorso di indagine complesso e puntuale, composto da tre fasi principali:

Acquisizione.
Analisi.
Reportistica e documentazione.

Nello specifico, queste strategie o procedimenti di indagine includono molteplici tecniche, che spaziano dall’analisi cross-drive all’analisi live fino al classico recupero dei file eliminati.

Ma a queste vengono affiancate anche l’analisi stocastica, i metodi anti steganografia ed infine l’analisi base standard per il controllo dei registri, il recupero delle password, la ricerca di parole chiave correlate all’eventuale reato, l’estrazione delle mail, di immagini e di altre informazioni sensibili.

Tutti i passaggi tecnici citati, che vanno a comporre la consulenza finale, vengono tecnicamente eseguite da aziende come BIT4LAW, nel laboratorio di informatica forense, dove il recupero e il rilevamento dei dati digitali avviene con estrema precisione.

Informatica forense: procedimenti e applicazioni

Per quanto concerne la prima fase, quella dell’acquisizione, si procede all’interno del laboratorio ad effettuare la copia certificata dei dati.

Questa avviene attraverso metodologie riconosciute dalla comunità internazionale, nonché l’applicazione di sigillo elettronico e il mantenimento della catena di custodia.

È opportuno precisare, però, che l’attività di acquisizione può aver luogo anche all’esterno del laboratorio.

Può avvenire ad esempio presso la sede del cliente o più in generale sul posto in cui sono situati i dispositivi digitali da analizzare.

La fase di analisi, invece, può essere definita come la più ricca di passaggi e procedure atti al rilevamento capillare delle informazioni.

Si passa infatti dalla riparazione dei supporti danneggiati grazie all’utilizzo di una camera bianca al recupero standard dei dati e delle varie tipologie di file presenti su ciascun dispositivo.

Il recupero dei dati comprende anche tutti quei files volutamente cancellati, possibili da rivenire anche dopo la formattazione del dispositivo.

Come sopra indicato, l’analisi base provvede anche alla ricerca delle parole chiave, utili ai fini delle indagini, all’analisi dei file di log e al tracciamento di eventi e dei tempi di utilizzo o mancato utilizzo del dispositivo per stabile eventuali interazioni tra gli utenti.

Così come alla ricerca dei dispositivi collegati, tra i quali chiavette USB e hard disk esterni.

L’ultima fase, la cosiddetta reportistica e documentazione, procede alla redazione di report raccogliendo ed analizzando tutti i dati e le informazioni raccolte durante le due fasi precedenti.