Digital forensics

Da Wikipedia, l'enciclopedia libera.
Jump to navigation Jump to search
Foto aerea di FLETC, dove gli standard americani di forensics sono stati sviluppati negli anni '80 e '90

La digital forensics (conosciuta anche come scienza digitale forense) è un ramo della scienza forense che comprende il recupero e l'indagine del materiale trovato nei dispositivi digitali, spesso in relazione a eventi di criminalità informatica.[1][2] Il termine digital forensics inizialmente utilizzato come sinonimo di computer forensics è stato ampliato per coprire l'indagine di tutti i dispositivi in grado di memorizzare i dati digitali.[1] Nata durante la rivoluzione informatica dei tardi anni '70 e nei primi anni '80, la disciplina si è evoluta in maniera casuale durante gli anni '90 e solo all'inizio del XXI secolo è emersa nella politica nazionale.

Le indagini della digital forensics hanno una varietà di applicazioni. Il più comune è quello di sostenere o confutare un'ipotesi davanti ad un processo penale o civile. Può inoltre interessare il settore privato; ad esempio durante indagini aziendali interne o indagini di intrusione (indagine specialistica sulla natura e l'entità di un'intrusione nella rete non autorizzata).

L'aspetto tecnico di un'inchiesta è suddiviso in più sottogruppi, relativi al tipo di apparecchiature digitali coinvolte; computer forensics, Network forensics, Forensic data analysis e mobile device forensics. Il tipico processo forense prevede il sequestro, il forensic imaging (acquisizione), l'analisi dei media digitali e la produzione di una relazione delle prove raccolte.

Oltre a identificare prove dirette di un crimine, la digital forensics può essere utilizzata per attribuire prove a specifici indagati, confermare gli alibi o le dichiarazioni, determinare l'intento, identificare le fonti (ad esempio, nei casi di copyright) o autenticare i documenti.[3] Le indagini sono molto più ampie rispetto ad altre aree di analisi forense (dove l'obiettivo consueto è quello di fornire risposte a una serie di domande più semplici) spesso implicano complesse ipotesi o time-lines.[4]

Storia[modifica | modifica wikitesto]

Prima degli anni '80, i crimini informatici venivano trattati tramite le sole leggi esistenti. I primi casi di crimine informatico furono riconosciuti nel 1978 in Florida, includevano leggi contro la modifica non autorizzata o la cancellazione di dati su un sistema informatico.[5][6] Con l’aumentare dei crimini informatici, nel corso degli anni, furono approvate leggi per trattare problemi di copyright, privacy/molestia (ad es., Cyberbullismo, cyber stalking, e online predator) e pornografia infantile.[7][8] Fu solo dagli anni '80 che le leggi federali iniziarono a comprendere anche i reati informatici. Il primo paese ad approvare la nuova legislazione fu il Canada nel 1983.[6] Seguì nel 1986 la legge statunitense sulla frode e l'abuso di computer, nel 1986 dagli emendamenti australiani ai loro atti criminali e dal British Computer Misuse Act del 1990.[6][8]

1980–1990: Crescita del campo[modifica | modifica wikitesto]

La crescita della criminalità informatica negli anni '80 e '90 ha indotto le forze dell'ordine a istituire gruppi specializzati, solitamente a livello nazionale, per gestire gli aspetti tecnici delle indagini. Per esempio, nel 1984 l'FBI lanciò un Computer Analysis and Response Team e l'anno seguente fu creato un dipartimento per la criminalità informatica all'interno della squadra antifrode della Metropolitan Police britannica. Oltre ad essere professionisti delle forze dell'ordine, molti dei primi membri di questi gruppi erano anche informatici per hobby e divennero responsabili della ricerca iniziale e della direzione del campo.[9] [10]

Uno dei primi esempi pratici (o almeno resi noti) di digital forensics è stata la ricerca da parte di Cliff Stoll dell’hacker Markus Hess nel 1986. Stoll, fece uso nell’investigazione di tecniche computer and network forensic.[11] Molti delle prime ispezioni forensi seguirono lo stesso meccanismo.[12]

Per tutti gli anni '90 ci fu un una forte richiesta di queste nuove e fondamentali risorse investigative. Vennero creati gruppi a livello regionale, e persino locale, per aiutare a gestire la crescente domanda. Per esempio, la National Hi-Tech Crime Unit nacque nel 2001 per fornire un’infrastruttura nazionale contro la criminalità informatica, con personale situato a livello centrale a Londra e con varie forze di polizia regionali (l'unità è stata trasformata nell'Agenzia Serious Organised Crime (SOCA) nel 2006).[10]

Durante questo periodo la scienza digitale forense è cresciuta grazie agli strumenti e tecniche ad hoc sviluppati da professionisti hobbisti. Al contrario di altre discipline forensi che sono sviluppate dal lavoro della comunità scientifica.[1][13] Fino al 1992 il termine "computer forensics" è stato usato nella letteratura accademica (anche se prima veniva usato in modo informale); un saggio di Collier e Spaul ha tentato di giustificare questa nuova disciplina al mondo della scienza forense.[14][15] Questo rapido sviluppo ha comportato una mancanza di standardizzazione e formazione. Nel suo libro del 1995 " High-Technology Crime: Investigating Cases Involving Computers ", K. Rosenblatt scrisse:

«Cogliere, preservare e analizzare le prove archiviate su un computer è la più grande sfida forense delle forze dell'ordine negli anni '90. Sebbene la maggior parte dei test forensi, come le impronte digitali e il test del DNA, siano eseguiti da esperti appositamente formati, il compito di raccogliere e analizzare le prove informatiche è spesso assegnato a ufficiali di pattuglia e investigatori.[16]»

Anni 2000: Sviluppo degli standard[modifica | modifica wikitesto]

Dal 2000, in risposta all'esigenza di standardizzazione, vari organismi e agenzie pubblicarono linee guida per la digital forensics. Il Scientific Working Group on Digital Evidence(SWGDE) produsse un documento del 2002, "Best practice for Computer Forensics", che fu seguito, nel 2005, dalla pubblicazione di uno standard ISO (ISO 17025, General requirements for the competence of testing and calibration laboratories) .[6][17][18] La Convenzione sulla criminalità informatica, entrò in vigore nel 2004 con l'obiettivo di riconciliare le leggi nazionali sulla criminalità informatica, le tecniche investigative e la cooperazione internazionale. Il trattato fu firmato da 43 nazioni (tra cui Stati Uniti, Canada, Giappone, Sudafrica, Regno Unito e altre nazioni europee) e ratificato da 16. Venne trattato anche il programma di formazione. Le società commerciali (spesso sviluppatrici di software forense) iniziarono ad offrire programmi di certificazione e digital forensic analysis venne incluso come argomento per la formazione degli ’investigatori speciali del Regno Unito, Centrex.[6][10]

Dalla fine degli anni '90 i dispositivi mobili sono ampiamente aumentati, superando i semplici dispositivi di comunicazione, e diventando ricche fonti di informazione, anche per reati non tradizionalmente associati alla digital forensics.[19] Nonostante questo, l'analisi digitale dei telefoni è rimasta indietro rispetto ai tradizionali supporti informatici, in gran parte a causa di problemi relativi alla natura proprietaria dei dispositivi.[20]

L'attenzione si è spostata anche sulla criminalità su Internet, in particolare sul rischio di guerra cibernetica e cyber-terrorismo. Una relazione del febbraio 2010 del comando delle forze congiunte degli Stati Uniti ha concluso:

«Attraverso il cyberspazio, i nemici si rivolgeranno all'industria, al mondo accademico, al governo, così come ai militari nei domini aerei, terrestri, marittimi e spaziali. Più o meno allo stesso modo in cui la potenza aerea ha trasformato il campo di battaglia della Seconda Guerra Mondiale, il cyberspazio ha spezzato le barriere fisiche che proteggono una nazione dagli attacchi al commercio e alla comunicazione.[21] [5]»

Il campo della digital forensics affronta ancora problemi irrisolti. Un documento del 2009, " Digital Forensic Research: The Good, the Bad and the Unaddressed ", di Peterson e Shenoi ha identificato un pregiudizio verso i sistemi operativi Windows nella ricerca scientifica forense.[22] Nel 2010 Simson Garfinkel ha identificato le problematiche relative alle indagini digitali in futuro, includendo l’incremento dei media digitali, l'ampia disponibilità di crittografia per i consumatori, una crescente varietà di sistemi operativi e formati di file, un crescente numero di individui che possiedono più dispositivi e con conseguenti limitazioni sulle investigazioni. Il documento ha inoltre identificato i problemi di formazione continua e il costo proibitivo dell'ingresso sul campo .[11]

Sviluppo di strumenti forensi[modifica | modifica wikitesto]

Durante gli anni '80 esistevano pochissimi strumenti forensi digitali specializzati e di conseguenza gli investigatori spesso eseguivano analisi in tempo reale sui media, esaminando i computer dall'interno del sistema operativo utilizzando gli strumenti di sysadmin esistenti per estrarre le prove. Questa pratica comportava il rischio di modificare i dati sul disco inavvertitamente o in altro modo, portando a richieste di manomissione delle prove. Durante i primi anni '90 sono stati creati numerosi strumenti per risolvere il problema.

La necessità di tale software è stata riconosciuta per la prima volta nel 1989 presso il Federal Law Enforcement Training Center, con la conseguente creazione di IMDUMP (di Michael White) e, nel 1990, SafeBack (sviluppato da Sydex). Software simili furono sviluppati in altri paesi; DIBS (una soluzione hardware e software) venne rilasciata commercialmente nel Regno Unito nel 1991 e Rob McKemmish rilasciò Fixed Disk Image gratuitamente per le forze dell'ordine australiane. Questi strumenti consentirono agli esaminatori di creare una copia esatta di un pezzo di supporto digitale su cui lavorare, lasciando intatto il disco originale per la verifica. Alla fine degli anni '90, con la crescita della domanda di prove digitali, sono stati sviluppati strumenti commerciali più avanzati come EnCase e FTK, consentendo agli analisti di esaminare le copie dei media senza utilizzare alcun sistema di analisi forense. Più recentemente, è cresciuta una tendenza verso la "memoria forense", con conseguente disponibilità di strumenti come WindowsSCOPE. Più recentemente, si è verificata la stessa progressione dello sviluppo degli strumenti per i dispositivi mobili; inizialmente gli investigatori accedevano ai dati direttamente sul dispositivo, ma presto arrivarono strumenti specializzati come XRY o Radio Tactics Aceso. [6]

Processo forense[modifica | modifica wikitesto]

Un portable Tableau write-blocker attaccato ad un hard drive

Un’indagine digitale forense solitamente, si sviluppa in 3 fasi: acquisizione o Immagine disco di reperti,[23] analisi e rapporti.[6][24]Il processo di acquisizione ideale, dovrebbe catturare un'immagine della memoria volatile(RAM) del computer[25] e creare un duplicato esatto del settore (o "duplicato forense") del dispositivo digitale, spesso utilizzando un dispositivo write blocking per impedire la modifica dell'originale. Tuttavia l’aumentare delle dimensioni dei supporti di memorizzazione e lo sviluppo dei cloud computing[26] ha portato a un maggiore uso di acquisizione “live” per mezzo di una copia dei dati “logica” anziché l’immagine completa del dispositivo di storage fisico.[23] Sia l'immagine acquisita (o la copia logica) che i supporti / dati originali vengono sottoposti a hash (utilizzando un algoritmo come SHA-1 o MD5) e i valori confrontati per verificare che la copia sia accurata.[27]

Durante la fase di analisi, un investigatore recupera le prove utilizzando una serie di metodologie e strumenti diversi. Nel 2002, un articolo sull'International Journal of Digital Evidence faceva riferimento a questo passaggio come "un'approfondita ricerca sistematica di prove relative al crimine sospetto."[1]

Il processo di analisi può variare tra i diversi casi, ma comunemente include: la conduzione di ricerche di parole chiave sui dispositivi digitali (file non allocato e frammentato), il recupero di file cancellati e l'estrazione di informazioni di registro (ad esempio per elencare gli account utente o dispositivi USB collegati).

Le prove recuperate vengono analizzate per ricostruire eventi o azioni e per trarre conclusioni, lavoro che può essere spesso svolto da personale meno specializzato.[1] Quando un'indagine è completa, i dati vengono presentati, di solito sotto forma di relazione scritta.[1]

Applicazioni[modifica | modifica wikitesto]

Un esempio dei metadati Exif che potrebbe essere usata per provare l'origine

La digital forensics è comunemente usata sia in reati penali sia nelle indagini private. Tradizionalmente è stata associata al reato penale, dove la prova è raccolta per sostenere o confutare un'ipotesi davanti alla corte. Come con altre aree forensi, questo è spesso parte di un'indagine più ampia che abbraccia un certo numero di discipline. In alcuni casi le prove raccolte sono usate come una forma di raccolta di informazioni, utilizzate per scopi diversi dai procedimenti giudiziari (per esempio per localizzare, identificare o fermare altri crimini). Di conseguenza, la raccolta di informazioni di intelligence viene talvolta mantenuta su uno standard forense meno rigoroso.

Nelle cause civili o in materia aziendale, la digital forences fa parte del processo di scoperta elettronica (o eDiscovery). Le procedure forensi sono simili a quelle utilizzate nelle indagini penali, spesso con requisiti e limitazioni legali diverse. Al di fuori dei tribunali, digital forensics può costituire una parte interna di indagini aziendali.

Un esempio comune potrebbe essere l'intrusione nella rete non autorizzata. Viene eseguito un esame forense specialistico sulla natura e la portata dell'attacco come esercizio di limitazione del danno, per stabilire l'estensione di ogni intrusione e per identificare l'aggressore.[3][4] Tali attacchi venivano comunemente condotti su linee telefoniche durante gli anni '80, ma nell'era moderna di solito si propagano su Internet.[28]

L'obiettivo principale delle indagini di digital forensics sono il recuperare di prove oggettive di un'attività criminale (denominata actus reus in gergo legale). Tuttavia, la vasta gamma di dati contenuti nei dispositivi digitali può essere utile in altre aree di indagine.[3]

Attribuzione
I metadati e altri registri possono essere utilizzati per attribuire le azioni a un individuo. Ad esempio, i documenti personali su un disco del computer potrebbero identificarne il proprietario.
Alibi e dichiarazioni
Le informazioni fornite dalle persone coinvolte possono essere incrociate con prove digitali.
Intento
Oltre a trovare prove oggettive di un crimine commesso, le indagini possono anche essere utilizzate per dimostrare l'intento (noto con il termine legale mens rea). Ad esempio, la storia di Internet del condannato assassino Neil Entwistle includeva riferimenti a un sito che parlava di Come uccidere le persone.
Valutazione della fonte
File artefatti e meta-dati possono essere utilizzati per identificare l'origine di un particolare pezzo di dati; ad esempio, le versioni precedenti di Microsoft Word incorporava un identificatore univoco globale nei file che identificava il computer su cui era stato creato. Dimostrare se un file è stato prodotto sul dispositivo digitale da esaminare o ottenuto altrove (ad es. Internet) può essere molto importante.[3]
Autenticazione del documento
In relazione a Valutazione della fonte, i metadati associati ai documenti digitali possono essere facilmente modificati (ad esempio, cambiando l'orologio del computer si può influire sulla data di creazione di un file). L'autenticazione del documento si riferisce al rilevamento e all'identificazione della falsificazione di tali dettagli.

Limitazioni[modifica | modifica wikitesto]

Uno dei principali limiti di un'indagine forense è l'uso della crittografia; ciò sconvolge l'esame iniziale laddove potrebbero essere individuate prove pertinenti utilizzando parole chiave. Le leggi per obbligare le persone a rivelare le chiavi di crittografia sono ancora relativamente nuove e controverse.[11]

Considerazioni Legali[modifica | modifica wikitesto]

L’esaminazione dei media digitali è coperta dalla legislazione nazionale e internazionale. Per i casi civili, in particolare, la legge può limitare gli analisti nell’esecuzione degli esami. Restrizioni contro il monitoraggio della rete o la lettura di comunicazioni personali.[29]] Durante le indagini penali, le leggi nazionali limitano la quantità di informazioni che possono essere sequestrate.[29] Ad esempio, nel Regno Unito il sequestro delle prove da parte delle forze dell'ordine è disciplinato dall'atto PACE.[6] Durante le prime fasi della sua esistenza, l’International Organization on Computer Evidence (IOCE) era un'agenzia che lavorava per stabilire standard internazionali compatibili per il sequestro delle prove.[30]

Nel Regno Unito le stesse leggi che coprono il crimine informatico possono anche interessare gli investigatori forensi. L'atto del Computer Misuse Act 1990 ha legiferato contro l'accesso non autorizzato al materiale informatico; questo può interessare gli investigatori civili che hanno più limitazioni rispetto alle forze dell'ordine.

Il diritto alla privacy è un’area della digital forensics che è ancora in gran parte incerta all’interno dei tribunali. L'US Electronic Communications Privacy Act pone dei limiti alla capacità delle forze dell'ordine o degli investigatori civili nell’intercettazione e accesso alle prove. L'atto distingue la comunicazione memorizzata (ad es. Archivi di posta elettronica) e la comunicazione trasmessa (come VOIP). Quest'ultimo, essendo considerato più un'invasione della privacy, ha più difficoltà per nell’ottenere un mandato.[6][16] L'ECPA riguarda anche i diritti delle aziende nel monitorare i computer e le comunicazioni dei loro dipendenti, aspetto ancora in discussione riguardo alla misura in cui un'azienda può agire.[6]

L'articolo 5 della Convenzione europea sui diritti umani asserisce limiti di riservatezza simili all'ECPA e limita il trattamento e la condivisione di dati personali sia all'interno dell'UE che con paesi esterni. La capacità delle forze dell'ordine del Regno Unito di condurre indagini di digital forensics è disciplinata dalla legge del regolamento del potere investigativo .[6]

Prove digitali[modifica | modifica wikitesto]

Diverse forme di prove digitali

Se utilizzato in tribunale, le prove digitali rientrano nelle stesse linee guida legali di altre forme di prova; i tribunali di solito non richiedono linee guida troppo rigide.[6][31]Negli Stati Uniti vengono utilizzate le Federal Rules of Evidence per valutare l'ammissibilità delle prove digitali, gli atti di PACE e Civil Evidence del Regno Unito hanno simili linee guida e molti altri paesi hanno le proprie leggi. Le leggi federali statunitensi limitano i sequestri agli oggetti con un valore probatorio evidente.[29]

Le leggi che trattano le prove digitali riguardano due aspetti: integrità e autenticità. L'integrità garantisce che l'atto di sequestro e acquisizione dei media digitali non modifichi le prove (né l'originale né la copia). L'autenticità si riferisce alla capacità di confermare l'integrità delle informazioni; ad esempio che i media imaged corrispondono alle prove originali.[29] La facilità con cui i media digitali possono essere modificati lascia intendere che documentare la catena di custodia della scena del crimine, attraverso analisi e, in definitiva, in tribunale (una forma di audit trail) sia importante per stabilire l'autenticità delle prove.[6]

Gli avvocati sostengono che le prove digitali essendo teoricamente modificabili, non siano affidabili. I giudici statunitensi stanno iniziando a rifiutare questa teoria, come nel caso US v. Bonallo la corte ha stabilito che il fatto che sia possibile modificare i dati contenuti in un computer è chiaramente insufficiente per stabilire l'inaffidabilità.[6] Le linee guida del Regno Unito, come quelle emesse da ACPO, sono seguite per aiutare a documentare l'autenticità e l'integrità delle prove.

Gli investigatori digitali, in particolare nei casi penali, devono garantire che le conclusioni siano basate su prove concrete e qualificate da esperti. Negli Stati Uniti, ad esempio, la Federal Rules of Evidence afferma che un esperto qualificato può testimoniare sotto forma di opinione o altro purché:

«(1) la testimonianza sia basata su fatti o dati sufficienti, (2) la testimonianza sia il prodotto di principi e metodi affidabili, e (3) il testimone abbia applicato i principi e i metodi in modo affidabile ai fatti del caso.[32]»

I sottogruppi della scientifica forense possono avere le proprie linee guida specifiche per lo svolgimento delle indagini e la gestione delle prove. Ad esempio, potrebbe essere richiesto che i telefoni cellulari vengano collocati in uno scudo di Faraday durante il sequestro o l'acquisizione per impedire ulteriore traffico radio al dispositivo. Nel Regno Unito l'esame forense dei computer in materia penale è soggetto alle linee guida ACPO.[6] Esistono anche approcci internazionali per fornire indicazioni su come gestire le prove elettroniche. La Electronic Evidence Guide del Consiglio d'Europa offre un quadro per le autorità di contrasto e giudiziarie nei paesi che cercano di creare o migliorare le proprie linee guida per l'identificazione e la gestione delle prove elettroniche.[33]

Strumenti investigativi[modifica | modifica wikitesto]

L'ammissibilità delle prove digitali si basa sugli strumenti utilizzati per estrarle. Negli Stati Uniti, gli strumenti forensi sono soggetti allo standard Daubert, in cui il giudice è responsabile di garantire che i processi e il software utilizzati siano accettati. In un documento del 2003, Brian Carrier sosteneva che le linee guida di Daubert richiedessero che il codice degli strumenti forensi venisse pubblicato e sottoposto a revisione paritetica. Ha concluso che gli strumenti open source possono soddisfare in modo più chiaro e completo i requisiti delle linee guida rispetto a quelli a codice chiuso.[34] Nel 2011 Josh Brunty ha dichiarato che la convalida scientifica della tecnologia e del software associati all'esecuzione di un esame di digital forensics è fondamentale per qualsiasi processo di laboratorio. Sosteneva che la scienza digitale forense fosse fondata sui principi dei processi ripetibili e delle prove di qualità, quindi sapere come progettare e mantenere correttamente un buon processo di convalida è un requisito fondamentale per qualsiasi esaminatore di digital forensics per difendere i propri metodi in tribunale.[35]

Rami[modifica | modifica wikitesto]

L'indagine digitale forense non si limita a recuperare dati solo dal computer, ma anche da piccoli dispositivi digitali (ad esempio tablet, smartphone, unità flash). Alcuni di questi dispositivi hanno una memoria volatile mentre altri hanno una memoria non volatile. Sono disponibili sufficienti metodologie per recuperare i dati dalla memoria volatile, tuttavia, mancano metodologie dettagliate o un framework per il recupero dei dati da fonti di memoria non volatile.[36] A seconda del tipo di dispositivi, media o artefatti, l'indagine digitale forense è suddivisa in vari tipi.

Computer forensics[modifica | modifica wikitesto]

L'obiettivo della scientifica forense è di spiegare lo stato corrente di un artefatto digitale, come un sistema informatico, un supporto di memorizzazione o un documento elettronico.[37] La disciplina di solito copre computer, sistemi embedded (dispositivi digitali con potenza di calcolo rudimentale e memoria integrata) e memoria statica (come le pen drive USB).

Computer forensics può trattare una vasta gamma di informazioni: dai registri (come la cronologia internet) ai file effettivi sul disco. Nel 2007 i pubblici ministeri hanno utilizzato un foglio di calcolo recuperato dal computer di Joseph E. Duncan III per mostrare la premeditazione e ottenere la pena di morte.[3] L'assassino di Sharon Lopatka è stato identificato nel 2006 dopo che i messaggi di posta elettronica che descrivevano torture e fantasie di morte furono trovati sul suo computer.[6]

Telefono cellulare usato come prova nel Regno Unito
Private Investigator & Certified Digital Forensics Examiner Imaging di un disco rigido nel campo per l'esame forense.

Mobile device forensics[modifica | modifica wikitesto]

Mobile device forensics è un ramo secondario della scientifica digitale forense relativa al recupero di prove digitali o dati da un dispositivo mobile. Si differenzia da Computer forensics in quanto un dispositivo mobile avrà un sistema di comunicazione integrato (ad esempio GSM) e, di solito, meccanismi di memorizzazione proprietaria. Le indagini si concentrano di solito su dati semplici come i dati di chiamata e le comunicazioni (SMS / email) piuttosto che il recupero approfondito dei dati cancellati.[6][38]I dati SMS provenienti da un'indagine sui dispositivi mobili hanno contribuito a scagionare Patrick Lumumba nell'assassinio di Meredith Kercher.[3]

I dispositivi mobili sono anche utili per fornire informazioni sulla posizione; sia dal GPS integrato / tracciamento della posizione o tramite i registri del sito cellulare, che tracciano i dispositivi all'interno del loro intervallo. Tali informazioni sono state utilizzate per rintracciare i rapitori di Thomas Onofri nel 2006.[3]

Network forensics[modifica | modifica wikitesto]

La Network forensics si occupa del monitoraggio e dell'analisi del traffico di rete del computer, sia locale che WAN/Internet, ai fini della raccolta di informazioni, prove o rilevamento di intrusioni.[39] Il traffico viene solitamente intercettato a livello di pacchetto e archiviato per analisi successive o filtrato in tempo reale. A differenza di altre aree della digital forensics, i dati di rete sono spesso volatili e raramente registrati, rendendo la disciplina spesso reazionaria.

Nel 2000 l'FBI attirò gli hacker informatici Aleksey Ivanov e Gorshkov negli Stati Uniti per un finto colloquio di lavoro. Monitorando il traffico di rete dai computer della coppia, l'FBI ha identificato le password consentendo loro di raccogliere prove direttamente dai computer con sede in Russia.[6][40]

Forensic data analysis[modifica | modifica wikitesto]

Forensic Data Analysis è una branca della digital forensics. Esamina i dati strutturati allo scopo di scoprire e analizzare i modelli di attività fraudolente derivanti dalla criminalità finanziaria.

Database forensics[modifica | modifica wikitesto]

Database forensics è una branca della scientifica digitale relativa allo studio forense dei database e dei loro metadati[41]Le indagini utilizzano i contenuti del database, i file di registro e i dati in RAM per creare una timeline o recuperare informazioni pertinenti.

Istruzione e ricerca[modifica | modifica wikitesto]

Centro accademico di educazione e ricerca nelle scienze forensi:

Nord America: la Penn State University offre la sicurezza e l'analisi dei rischi Major, Master of Professional Studies in Information Sciences, Master of Professional Studies in Homeland Security e Ph.D. in Scienze e Tecnologie dell'Informazione nell'area della digital forensics.

Europa: Norwegian University of Science and Technology, NTNU Digital Forensics Group, Master in Information Security - Digital Forensics and PhD in Information Security,

Note[modifica | modifica wikitesto]

  1. ^ a b c d e f M Reith, C Carr e G Gunsch, An examination of digital forensic models, International Journal of Digital Evidence, 2002. URL consultato il 2 agosto 2010 (archiviato il 15 ottobre 2012).
  2. ^ B Carrier, Defining digital forensic examination and analysis tools, Digital Research Workshop II, 2001. URL consultato il 2 agosto 2010 (archiviato il 15 ottobre 2012).
  3. ^ a b c d e f g Various, Handbook of Digital Forensics and Investigation, a cura di Eoghan Casey, Academic Press, 2009, p. 567, ISBN 0-12-374267-6. URL consultato il 27 agosto 2010 (archiviato il 14 marzo 2017).
  4. ^ a b Brian D Carrier, Basic Digital Forensic Investigation Concepts, su digital-evidence.org, 7 giugno 2006 (archiviato il 26 febbraio 2010).
  5. ^ a b Florida Computer Crimes Act, su clas.ufl.edu. URL consultato il 31 agosto 2010 (archiviato il 12 giugno 2010).
  6. ^ a b c d e f g h i j k l m n o p q r Eoghan Casey, Digital Evidence and Computer Crime, Second Edition, Elsevier, 2004, ISBN 0-12-163104-4 (archiviato il 10 aprile 2017).
  7. ^ Aaron Phillip, David Cowen e Chris Davis, Hacking Exposed: Computer Forensics, McGraw Hill Professional, 2009, p. 544, ISBN 0-07-162677-8. URL consultato il 27 agosto 2010 (archiviato il 14 marzo 2017).
  8. ^ a b M. E. M, A Brief History of Computer Crime: A (PDF), Norwich University. URL consultato il 30 agosto 2010 (archiviato il 21 agosto 2010).
  9. ^ George M. Mohay, Computer and intrusion forensics, Artechhouse, 2003, p. 395, ISBN 1-58053-369-8.
  10. ^ a b c Peter Sommer, The future for the policing of cybercrime, in Computer Fraud & Security, vol. 2004, nº 1, January 2004, pp. 8–12, DOI:10.1016/S1361-3723(04)00017-X, ISSN 1361-3723 (WC · ACNP).
  11. ^ a b c Simson L. Garfinkel, Digital forensics research: The next 10 years, in Digital Investigation, vol. 7, August 2010, p. S64–S73, DOI:10.1016/j.diin.2010.05.009, ISSN 1742-2876 (WC · ACNP).
  12. ^ Linda Volonino e Reynaldo Anzaldua, Computer forensics for dummies, For Dummies, 2008, pp. 384, ISBN 0-470-37191-9.
  13. ^ GL Palmer, I Scientist e H View, Forensic analysis in the digital world (DOC), International Journal of Digital Evidence, 2002. URL consultato il 2 agosto 2010.
  14. ^ Wilding, E., Computer Evidence: a Forensic Investigations Handbook, London, Sweet & Maxwell, 1997, p. 236, ISBN 0-421-57990-0.
  15. ^ Collier, P.A. e Spaul, B.J., A forensic methodology for countering computer crime, in Computers and Law, Intellect Books, 1992.
  16. ^ a b K S Rosenblatt, High-Technology Crime: Investigating Cases Involving Computers, KSK Publications, 1995, ISBN 0-9648171-0-1. URL consultato il 4 agosto 2010 (archiviato il 7 marzo 2016).
  17. ^ Best practices for Computer Forensics (PDF), SWGDE. URL consultato il 4 agosto 2010 (archiviato dall'url originale il 27 dicembre 2008).
  18. ^ ISO/IEC 17025:2005, ISO. URL consultato il 20 agosto 2010 (archiviato il 5 agosto 2011).
  19. ^ SG Punja, Mobile device analysis (PDF), in Small Scale Digital Device Forensics Journal, 2008 (archiviato dall'url originale il 28 luglio 2011).
  20. ^ Rizwan Ahmed, Mobile forensics: an overview, tools, future trends and challenges from law enforcement perspective (PDF), in 6th International Conference on E-Governance, 2008 (archiviato il 3 marzo 2016).
  21. ^ "The Joint Operating Environment" Archiviato il 10 agosto 2013 in Internet Archive., Report released, 18 February 2010, pp. 34–36
  22. ^ Peterson, Gilbert e Shenoi, Sujeet, Digital Forensic Research: The Good, the Bad and the Unaddressed, in Advances in Digital Forensics V, IFIP Advances in Information and Communication Technology, vol. 306, Springer Boston, 2009, pp. 17–36, Bibcode:2009adf5.conf...17B, DOI:10.1007/978-3-642-04155-6_2, ISBN 978-3-642-04154-9.
  23. ^ a b Richard Adams, 'The Advanced Data Acquisition Model (ADAM): A process model for digital forensic practice (PDF), Murdoch University, 2013 (archiviato il 14 novembre 2014).
  24. ^ 'Electronic Crime Scene Investigation Guide: A Guide for First Responders (PDF), National Institute of Justice, 2001 (archiviato il 15 febbraio 2010).
  25. ^ Catching the ghost: how to discover ephemeral evidence with Live RAM analysis, Belkasoft Research, 2013.
  26. ^ Richard Adams, 'The emergence of cloud storage and the need for a new digital forensic process model (PDF), Murdoch University, 2013.
  27. ^ Maarten Van Horenbeeck, Technology Crime Investigation, su daemon.be, 24 maggio 2006. URL consultato il 17 agosto 2010 (archiviato dall'url originale il 17 maggio 2008).
  28. ^ Warren G. Kruse e Jay G. Heiser, Computer forensics: incident response essentials, Addison-Wesley, 2002, p. 392, ISBN 0-201-70719-5.
  29. ^ a b c d Sarah Mocas, Building theoretical underpinnings for digital forensics research, in Digital Investigation, vol. 1, nº 1, February 2004, pp. 61–68, DOI:10.1016/j.diin.2003.12.004, ISSN 1742-2876 (WC · ACNP).
  30. ^ Panagiotis Kanellis, Digital crime and forensic science in cyberspace, Idea Group Inc (IGI), 2006, p. 357, ISBN 1-59140-873-3.
  31. ^ Federal Rules of Evidence #702, su federalevidence.com. URL consultato il 23 agosto 2010 (archiviato dall'url originale il 19 agosto 2010).
  32. ^ Electronic Evidence Guide, Council of Europe, April 2013 (archiviato il 27 dicembre 2013).
  33. ^ Brunty, Josh, Validation of Forensic Tools and Software: A Quick Guide for the Digital Forensic Examiner, Forensic Magazine, March 2011 (archiviato il 22 aprile 2017).
  34. ^ Wayne Jansen, Ayers (PDF), su NIST Special Publication, NIST. URL consultato il 26 febbraio 2006 (archiviato il 12 febbraio 2006).
  35. ^ A Yasinsac, RF Erbacher, DG Marks e MM Pollitt, Computer forensics education, IEEE Security & Privacy, 2003. URL consultato il 26 luglio 2010.
  36. ^ Technology Crime Investigation :: Mobile forensics, su daemon.be. URL consultato il 18 agosto 2010 (archiviato dall'url originale il 17 maggio 2008).
  37. ^ Gary Palmer, A Road Map for Digital Forensic Research, Report from DFRWS 2001, First Digital Forensic Research Workshop, Utica, New York, 7–8 August 2001, Page(s) 27–30
  38. ^ 2 Russians Face Hacking Charges, Moscow Times, 24 aprile 2001. URL consultato il 3 settembre 2010 (archiviato il 22 giugno 2011).
  39. ^ Martin S. Olivier, On metadata context in Database Forensics, in Digital Investigation, vol. 5, 3–4, March 2009, pp. 115–123, DOI:10.1016/j.diin.2008.10.001. URL consultato il 2 agosto 2010.