La digital forensics \u00e8 una branca della Criminalistica caratterizzata dall\u2019adozione di metodi scientificamente derivati finalizzati all\u2019identificazione, acquisizione e\/o repertamento, preservazione, validazione, verifica, analisi, l\u2019interpretazione, documentazione e presentazione del contenuto informativo di sistemi informatici o telematici, al fine di evidenziare l\u2019esistenza di fonti di prova digitali resistenti ad eventuali contestazioni circa la propria attendibilit\u00e0 e capacit\u00e0 probatoria sia in ambito civile\u00a0che\u00a0penale.<\/p>\n\n\n\n
Corte di Cassazione (Sez. VI n. 3067 del 14.12.1999; Sez. V n. 31135 del 6.7.2007)<\/strong><\/p>\n\n\n\n \u00ab\u2026 deve ritenersi \u201csistema informatico\u201d, \u2026 , un complesso di apparecchiature destinate a compiere una qualsiasi funzione utile all\u2019uomo, attraverso l\u2019utilizzazione (anche parziale) di tecnologie informatiche, che sono caratterizzate – per mezzo di un\u2019attivit\u00e0 di \u201ccodificazione\u201d e \u201cdecodificazione\u201d – dalla \u201cregistrazione\u201d o \u201cmemorizzazione\u201d, per mezzo di impulsi elettronici, su supporti adeguati, di \u201cdati\u201d, cio\u00e8 di rappresentazioni elementari di un fatto, effettuata attraverso simboli (bit), in combinazione diverse, e dalla elaborazione automatica di tali dati, in modo da generare \u201cinformazioni\u201d, costituite da un insieme pi\u00f9 o meno vasto di dati organizzati secondo una logica che consenta loro di esprimere un particolare significato per l’utente …\u00bb.<\/p>\n\n\n\n \u00ab\u2026 \u00e8 \u201csistema telematico\u201d l\u2019insieme di pi\u00f9 sistemi informatici collegati tra loro per lo scambio di informazioni, purch\u00e9 siano connessi in modo permanente, e purch\u00e9 lo scambio di informazioni sia il mezzo necessario per conseguire i fini operativi del sistema. …\u00bb<\/p>\n\n\n\n Digital Investigation<\/mark><\/strong>: si attua prima (attivit\u00e0 preventiva volta all\u2019acquisizione di elementi indiziari), durante il fatto reato (possono richiedere garanzie\u00a0difensive);<\/p>\n\n\n\n Digital Forensics<\/mark><\/strong>: si attua dopo il fatto reato, ossia il dispositivo scientifico arriva sempre a fatto compiuto (c.d. post-mortem) e concentra la sua azione su un specifico evento al fine di determinarne le cause. Essa pu\u00f2 essere a sua volta in modalit\u00e0:<\/p>\n\n\n\n Live<\/mark><\/strong>: il sistema informatico non si pu\u00f2 spegnere, quindi si \u00e8 costretti ad operare sulla scena del crimine;<\/p>\n\n\n\n Dead\u00a0o Static<\/strong><\/mark>: il sistema informatico \u00e8 spento, quindi cristallizzato e si pu\u00f2 operare\u00a0in\u00a0laboratorio.<\/p>\n\n\n\n Ruoli e responsabilit\u00e0<\/strong><\/p>\n\n\n\n DEFR (Digital Evidence First Responder) ISO 27037:2012 Pt. 3.7<\/strong><\/p>\n\n\n\n Definito a volte come Addetto ai Rilievi Tecnici, questi viene coinvolto nelle fasi di identificazione, repertamento e\/o acquisizione e preservazione della fonte di prova digitale. Tale figura professionale non dovrebbe necessariamente svolgere un\u2019attivit\u00e0 di analisi.<\/p>\n\n\n\n DES (Digital Evidence Specialist) ISO 27037:2012 Pt. 3.8<\/strong><\/p>\n\n\n\n Definito a volte come \u201cAnalista\u201d, questi fornisce supporto tecnico al DEFR nelle fasi di identificazione, repertamento e\/o acquisizione e preservazione delle fonti di prova digitale. Il DES deve essere caratterizzato da una formazione di tipo accademico e di comprovata esperienza nel settore tecnico-investigativo.<\/p>\n\n\n\n Il dato \u00e8 la rappresentazione oggettiva di un fatto o evento che consenta la sua trasmissione oppure interpretazione da parte di un soggetto umano o di uno strumento informatico.<\/p>\n\n\n\n L\u2019informazione \u00e8 l\u2019interpretazione e il significato assegnato a uno o pi\u00f9 dati.<\/p>\n\n\n\n Le fasi<\/strong><\/p>\n\n\n\n Identificazione<\/strong> (ISO 27037:2012 pt. 3.12): ricerca, riconoscimento e documentazione della fonte di prova digitale e rispettiva pertinenza (priorizzare le attivit\u00e0 sulla base dell\u2019ordine di volatilit\u00e0 dei dati, mitigare l\u2019impatto sia sul sistema che sulle fonti di prova digitali).<\/p>\n\n\n\n Acquisizione <\/strong>(ISO 27037:2012 pt. 3.1): duplicazione del contenuto informativo della fonte di prova digitale. Consiste nell\u2019adozione di misure tecniche, il pi\u00f9 possibile riproducibili e\/o verificabili, dirette alla duplicazione del contenuto informativo, o parte di esso, di sistemi informatici e\/o telematici su adeguati supporti, tale che assicuri la conformit\u00e0 della copia all\u2019originale.\u00a0<\/p>\n\n\n\n Con il termine \u201cduplicato informatico\u201d (art. 1 lett. i-quinquies D. Lgs. 7 marzo 2005, n. 82 \u2013 C.A.D.) s\u2019intende l\u2019operazione di memorizzazione, su dispositivi diversi, della medesima sequenza di valori binari del dato informatico originario.<\/p>\n\n\n\n Affinch\u00e9 il dato non sia condizionato dal nuovo ambiente di lavoro, vi \u00e8 la necessit\u00e0 che questi venga memorizzato all\u2019interno di un c.d. \u201cforensic container\u201d, creando cos\u00ec un vero e proprio \u201creperto virtuale\u201d.<\/p>\n\n\n\n Repertamento <\/strong>(ISO 27037:2012 pt. 3.3.): attivit\u00e0 volta ad assicurare la fonte di prova digitale e la rispettiva pertinenza, consiste nella rimozione della fonte di prova digitale e sue pertinenze dall\u2019ambiente originario ad uno controllato (es. un laboratorio) per la successiva acquisizione ed analisi. Non sempre \u00e8 possibile repertare.<\/p>\n\n\n\n Preservazione <\/strong>(ISO 27037:2012 p.t. 3.15): attivit\u00e0 volta a garantire l\u2019integrit\u00e0 e\/o le condizioni originali della fonte di prova digitale mediante misure tecniche dirette ad: assicurare la conservazione e l\u2019immodificabilit\u00e0 (conservazione dello stato dei luoghi) e impedire l\u2019alterazione (dolo) e l\u2019accesso incontrollato (colpa).<\/p>\n\n\n\n Validazione <\/strong>(ISO 27037:2012 pt. 3.24): attivit\u00e0 di valutazione del rapporto di \u201cpertinenzialit\u00e0\u201d tra gli elementi assicurati ed il contesto investigativo (ISO \/ IEC 27004: 2016).<\/p>\n\n\n\n Verifica <\/strong>(ISO 27041:2015 pt. 3.20): si accerta che la fonte di prova digitale ha conservato la sua integrit\u00e0 (ISO \/ IEC 27004: 2016).<\/p>\n\n\n\n Analisi <\/strong>(ISO 27042:2015 pt. 3.1 and ISO 27043:2015 pt. 3.3): il processo di valutazione oggettiva delle fonte di prova digitali a finch\u00e9 queste possano confermare, o confutare, un tesi accusatoria.<\/p>\n\n\n\n Interpretazione <\/strong>(ISO 27042:2015 pt. 3.9): \u00e8 il processo in cui si contestualizzano le risultanze oggettive derivate dall\u2018attivit\u00e0 di analisi e le si proietta in pi\u00f9 ampio quadro accusatorio (es. Correlazione tra risultanze di pi\u00f9 dispositivi informatici analizzati e dati forniti da terze parti).<\/p>\n\n\n\n Documentazione <\/strong>(es. artt. 136, 137 e 357 c.p.p.): insieme di atti e documenti in genere volti a storicizzare le attivit\u00e0 svolte<\/p>\n\n\n\n Presentazione <\/strong>(es. artt. 196-198 c.p.p.): \u00e8 l’esposizione, generalmente orale, delle risultanze tecnico-investigative in ambito processuale<\/p>\n\n\n\n La Catena di Custodia<\/strong> (CoC \u2013 ISO 27037:2012 pt. 6.1) \u00e8 un documento o una serie di questi che attesta, in un dato arco temporale, la\u00a0 responsabilit\u00e0 di un soggetto nella gestione di uno o pi\u00f9 reperti. Essa ha inizio con l’esercizio dell’attivit\u00e0 assicurativa e si conclude con la confisca e distruzione, ovvero la restituzione all’avente diritto\u00a0del\u00a0reperto.<\/p>\n\n\n\n Principi<\/mark><\/strong> (ISO 27037):<\/p>\n\n\n\n Gli attori che intervengono sulla scena del crimine informatico, dovranno garantire i seguenti principi comuni alla maggior parte dei sistemi giurisdizionali internazionali:<\/p>\n\n\n\n Rilevanza\/Pertinenza<\/strong> (Relevance): secondo cui bisogna dimostrare di aver acquisito e\/o repertato solo elementi di pertinenza con il contesto d\u2019indagine, avendo cura di motivarne le ragioni.<\/p>\n\n\n\n Affidabilit\u00e0\/Attendibilit\u00e0<\/strong> (Reliability): secondo cui ogni processo che caratterizza la scena del crimine informatico dovrebbe essere verificabile e ripetibile. L\u2019attuazione di tali processi dovrebbe garantire l\u2019intera riproducibilit\u00e0 dell\u2019attivit\u00e0 tecnico-investigativa.<\/p>\n\n\n\n Sufficienza\/Proporzionalit\u00e0<\/strong> (Sufficiency): in cui il DEFR si assicura di avere a disposizione sufficiente materiale su cui svolgere\u00a0le\u00a0indagini.<\/p>\n\n\n\n I requisiti<\/mark><\/strong>:<\/p>\n\n\n\n Verificabilit\u00e0 <\/strong>(Auditability): secondo cui dovrebbe essere possibile per una parte terza, indipendente alla componente di Polizia Giudiziaria ed autorizzata dall\u2019A.G. (es. il Consulente Tecnico), poter accertare tutte le attivit\u00e0 poste in essere sia dal DEFR che dal DES sulla scena del crimine informatico.<\/p>\n\n\n\n Ripetibilit\u00e0 <\/strong>(Repeatability): secondo cui si producono gli stessi risultati con lo stesso test nello stesso ambiente.<\/p>\n\n\n\n Riproducibilit\u00e0 <\/strong>(Riproducibility): secondo cui si producono gli stessi risultati al variare sia dell\u2019ambiente che degli strumenti.<\/p>\n\n\n\n Giustificabilit\u00e0 <\/strong>(Justifiability): secondo cui il DEFR dovrebbe essere in grado di poter giustificare la metodologia attuata per quel particolare contesto investigativo caratterizzato da vincoli giuridici, tecnologici e logistici, oltrech\u00e9 di competenze tecniche dello stesso\u00a0operatore.<\/p>\n\n\n\n Hashing<\/strong><\/p>\n\n\n\n Nel linguaggio scientifico, l\u2019hash (ISO\/IEC 10118-3:2018) \u00e8 una funzione \u00abone way\u00bb, ossia che non pu\u00f2 essere invertita, atta alla trasformazione di un testo di lunghezza arbitraria in una stringa di lunghezza fissa, relativamente limitata.<\/p>\n\n\n\n Tale stringa rappresenta una sorta di \u00abimpronta digitale\u00bb (o \u00absigillo elettronico\u00bb) del contenuto di un file, e viene comunemente denominata come:<\/p>\n\n\n\n Il codice hash, riportato nel report del Forensic Container, fa riferimento al contenuto informativo del dispositivo acquisito e non al container stesso.<\/p>\n\n\n\n Tipi di acquisizione<\/strong><\/p>\n\n\n\n Acquisizione manuale<\/strong>: consiste nella documentazione realizzata mediante rilievi descrittivi e tecnici\u00a0(foto\u00a0e\u00a0video)<\/p>\n\n\n\n Acquisizione logica<\/strong>: consente di estrarre dati allocati e che sono accessibili tipicamente tramite:<\/p>\n\n\n\n Sono da considerarsi dati allocati tutti quelli non cancellati ed accessibili tramite file system.<\/p>\n\n\n\n Un\u2019eccezione a questa definizione \u00e8 che alcuni file, come ad esempio un database SQLite, possono essere assegnate e ancora contengono record eliminati nel database.<\/p>\n\n\n\n Siamo in grado di eseguire due tipi di acquisizione logica<\/mark><\/strong>:<\/p>\n\n\n\n Acquisizione fisica<\/mark><\/strong>: un\u2019acquisizione c.d. \u00abfisica\u00bb fornisce l\u2019accesso integrale al contenuto informativo del supporto di memorizzazione, consentendo cos\u00ec di recuperare anche i dati non pi\u00f9 allocati (cancellati o obsoleti) e ottenere un dump esadecimale.<\/p>\n\n\n\n Tali tecniche possono essere attuate tramite soluzioni:<\/p>\n\n\n\n La vera difficolt\u00e0 di questa tipologia di acquisizione consiste nel riuscire a decodificare, e quindi ricostruire, i dati acquisiti.<\/p>\n\n\n\n In ambito di accertamenti tecnici pu\u00f2 accadere che quella che \u00e8 considerata un\u2019attivit\u00e0 ripetibile, spesso non lo \u00e8 in termini giuridici<\/p>\n\n\n\n La disciplina normativa sugli atti non ripetibili (art. 360 c.p.p. ed art. 117 disp. att. c.p.p.) tende a:<\/p>\n\n\n\n Presupposti<\/mark><\/strong>:<\/p>\n\n\n\n La digital forensics \u00e8 una branca della Criminalistica caratterizzata dall\u2019adozione di metodi scientificamente derivati finalizzati all\u2019identificazione, acquisizione e\/o repertamento, preservazione, validazione, verifica, analisi, l\u2019interpretazione, documentazione e presentazione del contenuto informativo di sistemi informatici o telematici, al fine di evidenziare l\u2019esistenza di fonti di prova digitali resistenti ad eventuali contestazioni circa la propria attendibilit\u00e0 e capacit\u00e0 … Leggi tutto “Pillole di Digital Forensics”<\/span><\/a><\/p>\n","protected":false},"author":1,"featured_media":0,"comment_status":"closed","ping_status":"","sticky":false,"template":"","format":"standard","meta":{"iawp_total_views":2,"footnotes":""},"categories":[14],"tags":[98,97,52,50],"class_list":["post-3209","post","type-post","status-publish","format-standard","hentry","category-digital-forensics","tag-defr","tag-des","tag-digital-forensics","tag-hash"],"_links":{"self":[{"href":"https:\/\/www.fabriziogiancola.eu\/index.php\/wp-json\/wp\/v2\/posts\/3209","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.fabriziogiancola.eu\/index.php\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.fabriziogiancola.eu\/index.php\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.fabriziogiancola.eu\/index.php\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/www.fabriziogiancola.eu\/index.php\/wp-json\/wp\/v2\/comments?post=3209"}],"version-history":[{"count":10,"href":"https:\/\/www.fabriziogiancola.eu\/index.php\/wp-json\/wp\/v2\/posts\/3209\/revisions"}],"predecessor-version":[{"id":3219,"href":"https:\/\/www.fabriziogiancola.eu\/index.php\/wp-json\/wp\/v2\/posts\/3209\/revisions\/3219"}],"wp:attachment":[{"href":"https:\/\/www.fabriziogiancola.eu\/index.php\/wp-json\/wp\/v2\/media?parent=3209"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.fabriziogiancola.eu\/index.php\/wp-json\/wp\/v2\/categories?post=3209"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.fabriziogiancola.eu\/index.php\/wp-json\/wp\/v2\/tags?post=3209"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}\n
\n
\n
\n
\n
\n