La copia forense di hard disk è l’operazione che permette di generare una copia bit per bit di un supporto informatico su un altro supporto in modo da produrre l’esatta sequenza di bit che può essere utilizzata come prova in un processo.
La generazione di una copia forense di hard disk è l’operazione necessaria sia sotto il profilo tecnico che giuridico: dal punto di vista tecnico perché rappresenta l’unica modalità con la quale è possibile garantire integrità e autenticità dei dati informatici da usare come prova in un processo, senza alterare il supporto di origine; dal punto di vista giuridico è la legge che impone l’adozione di misure atte ad assicurare la conservazione dei dati originali ed impedirne l’alterazione.
L’acquisizione forense di dati digitali da supporti informatici può avvenire in modalità clone oppure in modalità immagine: nel primo caso si genera un supporto informatico che è identico all’originale bit per bit; nel secondo caso si genera uno o più file rappresentativi del supporto originario.
Le due modalità sono equivalenti tra loro da un punto di vista di correttezza, ma possono variare in relazione alle successive modalità di fruizione dei dati.
Acquisizione forense dati digitali
La copia forense dei dati digitali deve seguire precise prescrizioni indicate nelle best practice e negli standard in materia, tra cui lo standard ISO/IEC 27037:2012 che si occupa di identificazione, raccolta, conservazione e acquisizione di dati in formato digitale.
Quando possibile, l’ideale è smontare l’hard disk dal computer e collegarlo allo strumento di acquisizione forense che deve essere bloccato in scrittura (write blocker) per evitare alterazioni anche solo accidentali.
Tecnicamente, se
bbene come illustrato la copia può avvenire in modalità clone o immagine, è necessario comunque adottare idonei strumenti software e hardware che consentono di effettuare le copie forensi di computer e altri tipi di sistemi informatici in maniera rapida, efficiente e senza alterazioni.
Tutte le operazioni tecniche effettuate devono poi essere adeguatamente documentate al fine di consentire anche ad un terzo consulente tecnico di parte o perito informatico forense di verificare la correttezza di quanto svolto.
Particolarmente delicato è il caso di recupero di dati da supporti danneggiati, per il quale occorre un maggiore sforzo di documentazione delle operazioni svolte.
Prove informatiche nel processo penale: copia forense hard disk
L’esecuzione di una copia forense di un hard disk è solo la prima parte dell’intero processo di analisi forense di dati informatici che può poi trovare spazio all’interno di una relazione tecnica di una perizia o di una consulenza tecnica di parte.
La produzione di prove informatiche per un procedimento, sia esso penale o civile, necessita quindi che il proprio consulente tecnico informatico forense adotti tutti i prescritti accorgimenti per l’effettuazione di una copia bit-a-bit attendibile e integra.
Infine occorre utilizzare meccanismi che consentano di ottenere non solo una copia forense ma una copia forense certificata: in altri termini, l’adozione di strumenti tecnici che consentono a quella copia di essere non solo uguale all’originale, ma anche di godere di integrità, paternità e data certa nel tempo.
BIT4LAW possiede tutti gli strumenti professionali che consentono alle parti di produrre copie forensi di supporti informatici e di documentare l’intera operazione svolta, individuando le migliori modalità per operare anche nei casi di sistemi
