Se hai visto abbastanza programmi polizieschi in televisione, probabilmente hai visto un attore o un’attrice che ritrae un investigatore forense. In spettacoli come CSI: Miami, gli investigatori forensi sembrano essere in grado di digitare alcune chiavi in un terminale e boom— hanno tutte le informazioni di cui hanno bisogno.
Nella vita reale, tuttavia, l’informatica forense non è così semplice. Infatti, gli investigatori di computer forense possono richiedere giorni per sezionare tutte le informazioni necessarie per un caso.
In questo articolo, discuteremo di computer forensics e di come vengono condotti questi tipi di indagini.
Che cos’è la Computer Forensics?
Per coloro che non hanno familiarità con la computer forensics, è l’arte e la scienza di scoprire le prove memorizzate nei computer e nella memoria digitale.
Gli ingegneri informatici forensi estraggono le prove in modo legalmente valido per garantirne l’usabilità nei procedimenti giudiziari penali o civili. Per garantire che le prove non siano manomesse e ammissibili in tribunale, gli investigatori forensi informatici utilizzano una catena documentata di custodia e strumenti come bloccanti di scrittura e sigilli di manomissione.
Quando si verifica un’attività criminale che coinvolge un computer, come un denial-of-service (DoS) o un attacco di hacking, il sistema utilizzato contiene una pletora di prove riguardanti il crimine. Anche in casi criminali che non sono esplicitamente legati alla sicurezza informatica, come il traffico di droga, la frode o persino l’omicidio, i dispositivi del sospetto probabilmente contengono prove del crimine nelle e-mail, nella cronologia di Internet, nei documenti e nelle immagini.
Esempi reali di computer Forensics in azione
Nel 2010, un predicatore battista di nome Matt Baker è stato condannato a 65 anni di carcere per l’omicidio di sua moglie. Il rapporto iniziale aveva dichiarato che la moglie si era suicidata per overdose di sonniferi. Dopo ulteriori indagini, un analista forense ha scoperto che Baker aveva cercato “overdose di sonniferi” e aveva visitato diversi siti web farmaceutici prima della morte di sua moglie. Senza queste informazioni dal computer di Baker, potrebbe non essere mai stato assicurato alla giustizia.
Le società commerciali utilizzano anche la computer forensics per una miriade di motivi diversi. Furto di proprietà intellettuale, frode, falsificazioni e controversie di lavoro possono comportare l’uso di computer forensics per fornire prove per cause civili. Immagina uno scenario in cui un dipendente afferma di aver subito molestie sessuali o pregiudizi da parte di un datore di lavoro. I dispositivi di proprietà dell’azienda saranno probabilmente uno dei luoghi più utili per trovare prove.
Quando un individuo lavora per un’organizzazione, qualsiasi lavoro eseguito sui dispositivi aziendali appartiene in genere a tale organizzazione, anche se quel dipendente stava lavorando a un “progetto personale” durante l’utilizzo di questo dispositivo. Le aziende possono scegliere di utilizzare computer forensics per dimostrare che il prodotto appartiene a loro come è stato creato su un dispositivo aziendale. Computer forensics può essere utilizzato per trovare questa prova, anche se il dipendente ritiene di aver eliminato tutti i file applicabili su quel computer.
Passaggi in un’indagine di Computer Forensics
Per gli individui che lavorano in computer forensics, ci sono cinque passaggi essenziali per un’indagine di successo.
Sviluppo di politiche e procedure
Come per qualsiasi ruolo, il mantenimento di politiche e procedure correttamente definite è cruciale. In informatica forense, queste procedure possono delineare come preparare adeguatamente i sistemi per il recupero delle prove e le fasi per garantire l’autenticità dei dati.
Valutazione delle prove
I computer possono memorizzare molte informazioni, a volte terabyte di dati, non tutte applicabili a un caso specifico per il quale un investigatore sta raccogliendo prove. Gli investigatori hanno bisogno di una conoscenza del caso in questione e una comprensione di quali prove si applicano al caso.
Acquisizione di prove
La semplice individuazione delle prove non è sufficiente. Le prove devono essere raccolte e acquisite, seguendo linee guida rigorose per garantirne l’ammissibilità in tribunale. Le istruzioni tipiche per la conservazione delle prove includono la rimozione fisica dei dispositivi di archiviazione, l’uso di bloccanti di scrittura per prevenire la manomissione e una documentazione approfondita come una catena di custodia.
Esame delle prove
Dopo aver valutato e acquisito prove, il passo successivo è esaminare le prove potenziali. Gli investigatori utilizzano vari metodi, tecniche e strumenti per la revisione dei dati digitali. File intenzionalmente nascosti e tutti i dati contrassegnati con una data e timestamp sono particolarmente utili per gli investigatori.
Documentare e riferire
Documentare tutte le fasi dell’indagine è un aspetto critico dei compiti di qualsiasi investigatore forense informatico. Poiché l’obiettivo della raccolta di questi dati è in genere quello di presentarlo in un tribunale, qualsiasi mancata documentazione e segnalazione accurata delle misure adottate potrebbe comportare l’inammissibilità delle prove.
Continua la tua ricerca di Computer Forensics
Se sei interessato a saperne di più sulla digital Forensics, visita la nostra pagina dei servizi di Digital Forensics qui.