Cosa è la Computer Forensics? La definizione di “computer forensics” risale a diversi anni addietro, quando l’informatica riguardava essenzialmente i computer (mainframe e poi PC) e quindi le tecniche di forensics erano applicate a essi. In sostanza, la computer forensics è la scienza che si occupa di identificare, acquisire, preservare e analizzare le evidenze digitali presenti su computer a fini giudiziari, tipicamente per un utilizzo in processi penali o civili. L’indagine informatica svolta tramite le tecniche di computer forensics mira infatti a procedere in modo metodico e strutturato verso una completa trattazione della prova informatica che, attraverso una opportuna catena di custodia, procede dalla fase di acquisizione del computer a quella della produzione di una relazione tecnica o perizia informatica, sia essa di parte o d’ufficio.
Le fasi nelle quali la computer forensics è suddivisa, riconosciute da diversi standard come l’RFC 2350, seguito dall’RFC 3227 e poi con le ISO 27035, ISO 27037 e ISO 27041, ISO 27042 e ISO 27043 sono le seguenti:
- Identificazione: la prima fase della computer forensics prevede l’osservazione del contesto e l’identificazione dei dispositivi da sottoporre a copia forense (o raccolta/sequestro) e successiva analisi;
- Raccolta: la fase che permette di ottenere fisicamente i reperti così da poterli identificare correttamente, fotografare ed eventualmente smontare estraendo hard disk o componenti che saranno poi oggetto di copia e analisi forense;
- Acquisizione: fase strategica della computer forensics che prevede la copia forense integrale e conforme dei dispositivi (tipicamente degli hard disk o dischi a stato solido) che verranno quindi “clonati” così da permettere agli investigatori di lavorare su una copia e non sull’originale;
- Preservazione: che si sia eseguita una copia forense o sia stato prelevato il dispositivo originale, il dato e il reperto vanno conservati in maniera corretta, documentando il tutto tramite opportuna catena di conservazione e mantenendo fisicamente i dati in luogo sicuro da danni accidentali o furti;
- Analisi: fase della computer forensics che richiede conoscenze tecniche specifiche d’informatica, l’analisi forense permette di focalizzare l’attenzione sui quesiti posti da Giudice, Pubblico Ministero, Avvocato o Cliente estraendo dati, incrociandoli, interpretandoli e aggregandoli tramite opportuna strumentazione tecnica;
- Presentazione: i dati analizzati e le operazioni svolte vengono descritte in una perizia informatica forense, relazione tecnica che verrà prodotta – insieme agli allegati digitali – in Giudizio o consegnata al Cliente o Studio Legale.
La scienza forense dell’analisi dei computer inizialmente era dedicata quasi interamente all’acquisizione conforme e all’analisi degli hard disk, che erano il “cuore” di qualunque PC. Ancora oggi l’analisi dei dischi fissi è un punto cardine della cosiddetta informatica forense ma va tenuto presente che oltre agli hard disk (HDD) vengono spesso utilizzati dischi a stato solido (SSD) anche sotto forma di schede NVMe e PCIe inserite direttamente in alloggiamenti PCIe che spesso possono passare inosservati all’analista inesperto.
Il termine “computer forensics” è comunque ormai limitativo, dato che con l’arrivo dei portatili, notebook, netbook poi i PDA, palm e quindi i tablet seguiti dagli smartphone come iPhone e Android la “scienza forense dei computer” ha ceduto il posto alla “digital forensics”, che amplia la portata dell’acquisizione e analisi forense a qualunque dispositivo digitale.
Si osserva infatti anche nella tendenza di utilizzo del termine “computer forensics” che ormai tende a cedere il posto al più comune “digital forensics”, specializzandosi comunque nelle varie sottodiscipline come la “mobile forensics”, “network forensics” e similari.