fbpx
dati cifrati
Dati Criptati, Cryptlocker e Incident Response
21 Dicembre 2020
accesso abusivo a sistema informatico
Accesso abusivo a sistema informatico effettuato dall’ex socio infedele: come comportarsi
18 Gennaio 2021

Catena di Custodia, Chain Of Custody e Digital Forensics

catena di custodia

La catena di custodia (in inglese chain of custody) in materia di informatica forense è un documento che consente di tracciare i dettagli dei reperti informatici trattati con indicazione cronologia dei diversi attori che hanno trattato il dato informatico.

Lo standard ISO 27037 prevede che venga compilata una catena di custodia in quanto consente di documentare la storia della prova informatica trattata dal consulente informatico.

Quando occorre utilizzare una catena di custodia

L’utilizzo di una catena di custodia avviene ogni volta che viene trattato un reperto informatico in un accertamento tecnico di informatica forense.

L’informatica forense infatti prevede che ogni attività non solo sia eseguita tecnicamente in maniera corretta, ma che tutto ciò che viene fatto sia ben documentato.

Un documento di questa tipologia si propone di riassumere la vita del reperto informatico che aspira a diventare prova informatica.

Quindi, indipendentemente dal fatto che l’attività tecnica sia prestata ai fini di un procedimento penale, un procedimento civile o un’investigazione interna, ogni volta che occorre interagire con dati informatici da utilizzare come prove è fondamentale compilare e aggiornare tale documento.

Quali dati sono presenti nella chain of custody?

Lo standard ISO 27037 definisce in dettagli quali sono i dati che ogni perito informatico forense deve compilare in una chain of custody.

La digital forensics è la scienza che si occupa di tutte le fasi del trattamento del dato digitale che può essere utilizzato come prova in un processo.

Il rigore scientifico è quindi alla base della disciplina e per questo motivo gli standard tecnici suggeriscono come procedere e come documentare il lavoro svolto.

Innanzitutto occorre definire in dettaglio il reperto informatico, pertanto occorre procedere a una puntuale identificazione:

  • tipo di dispositivo
  • marca
  • modello
  • numero seriale
  • IMEI
  • IMSI
  • SIM info
  • fotografie

Quindi tutti i dati relativi alle interazioni con il dispositivo e in particolare tempi e persone:

  • data e ora di primo rinvenimento (quando viene creata la chain of custody)
  • chi prende per primo in custodia il reperto
  • ogni passaggio di mano e dunque di “custodia”
  • ogni operazione tecnica svolta con dettaglio di descrizione
  • luogo in cui vengono svolte le operazioni di acquisizione forense

Nel momento in cui viene eseguita l’acquisizione forense è importante riportare in catena di custodia l’hash del reperto informatico.

L’immagine che segue mostra un esempio tra i tanti possibili di format di una catena di custodia (esempio di chain of custody del NIST).

catena di custodia
.
.