Una copia forense (o bit stream image, o copia bit a bit) è la copia bit per bit dei dati digitali presenti in un dispositivo di memorizzazione di dati digitali verso un altro dispositivo di memorizzazione di dati digitali, in modalità clone o in modalità immagine.
La copia forense rappresenta la modalità corretta per produrre dati informatici in un procedimento giudiziario in quanto permette a tutte le parti coinvolte di verificare l’attendibilità dei dati ed evitare disconoscimento di prove informatiche.
Ad esempio, nel caso in cui servisse produrre un’email, senza copia forense si rischia che la propria controparte possa disconoscere email.
Perchè si esegue una copia forense
Una copia forense di differenzia da una copia normalmente effettuata dall’utente di un sistema operativo per i seguenti motivi:
- questa procedure consente di copiare – e quindi recuperare – anche i dati dello spazio cancellato
- le copie forensi preservano anche i dati dello slack space
- nella copia bit a bit non vengono modificate le date di creazione, ultima modifica e ultimo accesso dei file
- con la copia forense di hard disk si ha una copia integra e completa, senza rischi di perdere dati importanti perché inizialmente ritenuti meno significativi.
In altri termini, con la copia bit a bit si effettua una esatta clonazione, senza perdita di dati nella destinazione e senza alterazione di dati nella sorgente.
Se stai pensando che hai bisogno di una copia forense, probabilmente hai bisogno di un CTP informatico che ti possa seguire nel procedimento giudiziario nel quale vanno depositati questi dati.
In che modo è possibile effettuare una bit stream image
È possibile realizzare delle copie forensi utilizzando:
- un copiatore hardware
- un PC sul quale è installato un software di acquisizione e, possibilmente, di un write blocker hardware
- una distribuzione forense Linux, eventualmente utilizzando un write blocker hardware
Che cos’è la copia clone?
La copia clone è una modalità di esecuzione della copia forense che permette la duplicazione di tutti i bit del supporto originario all’interno di un supporto destinazione rispettando l’esatta sequenza di riproduzione dei bit.
Al termine dell’operazione, i due supporti sono identici e non è più possibile distinguere l’originario dal supporto generato.
Il vantaggio di questa metodologia sta nella possibilità di utilizzare il supporto destinazione come hard disk per avviare la macchina, ad esempio per effettuare delle simulazioni.
Lo svantaggio sta nella necessità di dover utilizzare un write blocker per accedere anche ai dati della copia, dal momento che un accesso privo di precauzione comporterebbe l’immediata alterazione dei dati e inattendibilità dell’analisi forense.
Che cos’è la copia immagine?
La copia immagine è una modalità di esecuzione della copia forense che permette la duplicazione di tutti i bit del supporto originario all’interno di un file all’interno di un supporto destinazione.
Il file destinazione può essere generato in due modi:
- in modalità RAW, occupando la stessa dimensione del supporto originario
- in modalità compressa, utilizzando ad esempio il formato EWF
Inoltre, il file destinazione può essere spezzato in più file di dimensione inferiore (ad esempio 2 GB ogni file), potendo così memorizzare successivamente la copia forense su supporti più piccoli, ad esempio su DVD.
Il vantaggio dell’esecuzione di una copia per immagine sta sia nella possibilità di salvare un maggior numero di immagini forensi nella destinazione, sia nella possibilità di accedere ad essa senza bisogno di utilizzare un write blocker.
Copia forense cellulare: come operare quando bisogna produrre dati presenti negli smartphone
Nel caso di dati presenti nello smartphone, la copia dei dati riguarda l’intero dispositivo.
Quindi se occorre eseguire copia forense di Whastapp è necessario eseguire una copia dei dati dell’intero smartphone, pena l’inattendibilità di quanto prodotto poichè non verificabile.