La computer forensics è la branca della digital forensics, l’equivalente italiano dell’informatica forense, che si occupa del trattamento di dati digitali di tipo computer, PC, notebook, laptop, hard disk da utilizzare come prova in un processo.
Le fasi del trattamento del dato digitale sono:
- identificazione
- raccolta
- acquisizione
- analisi
- presentazione
La computer forensics nasce in ambienti di common law negli Stati Uniti negli anni Ottanta quando la domanda di analisi di dispositivi digitali comincia a farsi sempre più intensa. Per far fronte a tale richiesta rispondono prima la FBI con la costituzione del Computer Analysis and Response Team (CART) e poi nascono numerosi laboratori specializzati in servizi di computer forensics. Vengono altresì sottoposti a test gli strumenti utilizzati per il trattamento dei reperti informatici in particolare ad opera del National Institute of Standards and Technology (NIST).
Successivamente, la disciplina si distribuisce in tutto il mondo e la computer forensics arriva anche in Italia sotto il nome di informatica forense, con professionisti che offrono servizi di digital forensics e attivazioni di corsi di informatica forense.
In particolare, rientrano nelle competenze della computer forensics tutte le attività relative a
- reati informatici in senso stretto (quale ad esempio il danneggiamento informatico)
- reati commessi per mezzo di dispositivi informatici (ad esempio la diffamazione via Facebook)
- ogni condotta per la quale un dato informatico può essere recuperato da uno o più sistemi informatici (ad esempio, recupero di messaggi Whatsapp cancellati contenenti l’organizzazione di un omicidio)
Le fasi della computer forensics
Identificazione
La computer forensics prevede inizialmente l’identificazione dei dati informatici rilevanti, in particolare di hard disk, computer, laptop, portatili, chiavette USB…
La computer forensics in senso stretto non si occupa di smartphone, tablet e telefoni cellulari che invece rientrano nella competenza della mobile forensics.
Raccolta
Dopo l’identificazione, occorre fisicamente disporre dei sistemi contenenti i dati di interesse. Nella fase di raccolta, chi si occupa di informatica forense procede allo smontaggio dei supporti e alla messa in sicurezza per il trasporto e la conservazione sicura dei dispositivi.
L’acquisizione nella computer forensics
Una volta rilevati i dispositivi di interesse, la fase di acquisizione si occupa della duplicazione dei dati mediante specifici tool forensi come ad esempio copiatori hardware e write blocker. Al termine dell’acquisizione l’insieme dei dati raccolti è caratterizzato da un digest che permette di verificare in ogni momento l’integrità della copia forense prodotta.
Se effettuata correttamente, la fase di acquisizione è ripetibile in un momento successivo, utilizzando lo stesso strumento o anche software di acquisizione e procedure diverse da quelle della prima volta.
Analisi, valutazione e report
L’analisi forense della copia prodotta in fase di acquisizione è trattata attraverso specifici software selezionati in base al tipo di richiesta: potrebbe essere richiesta una e-discovery piuttosto che recuperare la cronologia di navigazione cancellata.
L’insieme dei risultati della fase di analisi vanno poi correlati tra loro per effettuare una valutazione completa dei dati trattati.
Infine, tutti i dati così raccolti e valutati confluiscono in una relazione tecnica di computer forensics che può essere utilizzata come documento da produrre nel corso di un procedimento.