Informatica forense

Da Wikipedia, l'enciclopedia libera.

L'informatica forense è la scienza che studia l'individuazione, la conservazione, la protezione, l'estrazione, la documentazione, l'impiego ed ogni altra forma di trattamento del dato informatico al fine di essere valutato in un processo giuridico.

Caratteristiche[modifica | modifica sorgente]

Si tratta di una disciplina di recente formazione (la sua nascita si colloca intorno al 1980 ad opera dei laboratori tecnici della FBI). Spesso viene erroneamente identificata come una nuova "branca" della computer security[senza fonte].

Indubbiamente, l'aspetto più noto e studiato dell'informatica forense è la computer forensics che si occupa, ai fini probatori, delle tecniche e degli strumenti per l'esame metodologico dei sistemi informatici, ma stanno acquisendo sempre maggiore importanza anche altri aspetti legati all'impiego di tecnologie informatiche nell'ambito del processo. Un tipico esempio è il cosiddetto "esperimento giudiziale" virtuale in cui si impiega il computer per riprodurre un fatto attraverso la cd "realtà virtuale" tanto che si parla di "computer generated evidence"[1].

Con l'aumento dei crimini informatici e, soprattutto con una presa di coscienza da parte dei soggetti che hanno finalmente cominciato a denunciare i crimini di cui sono vittime, sarebbe opportuno una applicazione sistematica integrale di questa disciplina, che sembra tuttavia non scevra di evoluzioni.

La tutela dell'integrità dei dati[modifica | modifica sorgente]

Nell'ambito dell'informatica forense un aspetto fondamentale è la salvaguardia dei dati presenti sui supporti di archiviazione posti sotto il vincolo del sequestro, dunque non nella disponibilità del proprietario.

A salvaguardia dei dati e della garanzia di inalterabilità di questi ultimi, gli operatori preposti all'analisi dei dispositivi di archiviazione utilizzano determinate metodologie volte a garantire e provare l'esatta corrispondenza dei contenuti in qualsiasi momento dell'analisi. Per rendere possibile ciò occorre "congelare" il dato, ossia porre in essere gli accorgimenti tecnologici atti ad impedire scritture (anche accidentali) di bit e a verificare che in un momento successivo i dati presenti siano gli stessi. Per adempiere a tali obblighi, oltre all'utilizzo di strumenti hardware o software che inibiscano qualsiasi scrittura sui dispositivi di archiviazione, vengono impiegati algoritmi di hash (solitamente MD5 o SHA1) allo scopo di generare una sorta di impronta digitale di ciascun file e/o dell'intero contenuto del dispositivo, permettendo quindi di verificarne l'integrità in qualsiasi momento successivo al sequestro.

Un write blocker portatile collegato a un Hard disk

I dispositivi hardware che permettono di accedere al disco in modalità di sola lettura sono detti write blocker: tramite essi è possibile leggere i dati presenti nel dispositivo, estraendo quelli di interesse o procedendo alla copia forense. L'uso del write blocker richiede necessariamente un computer e la velocità di acquisizione dipende dalle prestazioni della macchina utilizzata per eseguire la copia.

Un'altra tipologia di dispositivo hardware è il copiatore il cui unico scopo è copiare bit per bit il disco "suspect" (oggetto di sequestro) su un altro disco, preservandone nello stesso tempo l'integrità così come avviene per il write blocker. I copiatori raggiungono velocità di acquisizione molto alte, toccando spesso i 5 GByte al minuto e non richiedono l'ausilio di un computer per poter essere utilizzati.

Dal punto di vista software, un ottimo strumento che impedisce la scrittura (e quindi la modifica anche involontaria dei dati presenti sul dispositivo) è Linux: tramite il comando mount consente infatti di montare il dispositivo in sola lettura (opzione non disponibile invece nei sistemi Windows che quindi richiedono un write blocker per accedere al disco sorgente).

Digital forensic expert[modifica | modifica sorgente]

Inoltre il termine "computer forensic expert" è utilizzato per identificare la figura professionale che presta la sua opera nell'ambito dei reati informatici o del computer crime. Dal momento che non esiste una definizione univoca ricompresa nella dizione "informatica forense" il computer forensics expert deve occuparsi di "preservare, identificare, studiare ed analizzare i contenuti memorizzati all'interno di qualsiasi supporto o dispositivo di memorizzazione". Le attività sono dirette non solo a tutte le categorie di computer, ma a qualsiasi attrezzatura elettronica con potenzialità di memorizzazione dei dati (ad esempio, cellulari, smartphone, sistemi di domotica, autoveicoli e tutto ciò che contiene dati memorizzati). Data l'eterogeneità dei supporti investigabili, si preferisce denominare questa figura professionale, "digital forensic expert".

Sicurezza informatica[modifica | modifica sorgente]

Esiste una differenza tra “Informatica Forense” e “Sicurezza Informatica”, seppure queste due aree di attività siano strettamente collegate. Si può pensare alla Sicurezza Informatica da un lato come elemento di ostacolo e dall’altro come fonte di strumenti e opportunità per l’Informatica Forense. Infatti la Sicurezza Informatica ha come proposito finale l’avvicinarsi alla realizzazione di sistemi il più possibile sicuri, ma qualora tale grado di sicurezza venisse elevato (ad esempio da parte del responsabile di un illecito ), allora per definizione dal sistema sarebbe più complicato estrarre il desiderato contenuto informativo. L’acquisizione dei reperti informatici richiederà, in tal caso, la “violazione” del sistema oggetto dell’analisi, ed in questo campo la stessa Sicurezza Informatica sarà d’aiuto, in quanto fonte di studi sulle tecniche di hacking (utili per realizzare l’accesso alle informazioni protette) e sulla loro applicazione pratica. Inoltre, le “best practice” di sicurezza definiscono molti requisiti sui sistemi che, se opportunamente applicati, potranno in un secondo momento rendere disponibili un gran numero di informazioni aggiuntive, utilizzabili per l’analisi forense.

Disciplina normativa[modifica | modifica sorgente]

Italia[modifica | modifica sorgente]

In Italia, la legge di riferimento che definisce come utilizzare a livello giuridico i risultati di un'attività di analisi forense in tribunale, è la legge 18 marzo 2008 n. 48 nota come "legge di ratifica della Convenzione di Budapest".

La norma prevede:

  • sanzioni più pesanti per i reati informatici;
  • norme di contrasto più efficace alla pedopornografia in rete;
  • sanzioni anche a carico delle società;
  • possibilità per le forze dell'ordine di chiedere al provider il congelamento dei dati telematici per 6 mesi;
  • maggiori tutele per i dati personali[2]

Voci correlate[modifica | modifica sorgente]

Bibliografia[modifica | modifica sorgente]

NOTE[modifica | modifica sorgente]

  1. ^ Cf. P.Tonini, Manuale di procedura penale, Giuffré, 2010, p.320.
  2. ^ Criminalità informatica: ratificata la Convenzione di Budapest da altalex.com 7/04/2008

Collegamenti esterni[modifica | modifica sorgente]