 |
L'informatica forense (computer forensics) è la scienza che studia l'individuazione, la conservazione, la protezione, l'estrazione, la documentazione e ogni altra forma di trattamento del dato informatico al fine di essere valutato in un processo giuridico e studia, ai fini probatori, le tecniche e gli strumenti per l'esame metodologico dei sistemi informatici. Si tratta di una disciplina di recente formazione (la sua nascita si colloca intorno al 1980 ad opera dei laboratori tecnici della FBI ). Spesso viene erroneamente identificata come una nuova "branca" della computer security. Con l'aumento dei crimini informatici e, soprattutto con una presa di coscienza da parte delle aziende che hanno finalmente cominciato a denunciare i crimini di cui sono vittime, si rende necessaria una applicazione integrale di questa disciplina, che sembra tuttavia non scevra di evoluzioni. In Italia, la legge di riferimento per l'informatica forense è la Legge n.48/2008, nota come "Legge di ratifica della Convenzione di Budapest". Integrità dei datiNell'ambito dell'informatica forense un aspetto fondamentale è la salvaguardia dei dati presenti sui supporti di archiviazione posti sotto il vincolo del sequestro, dunque non nella disponibilità del proprietario. A salvaguardia dei dati e della garanzia di inalterabilità di questi ultimi, gli operatori preposti all'analisi dei dispositivi di archiviazione utilizzano determinate metodologie volte a garantire e provare l'esatta corrispondenza dei contenuti in qualsiasi momento dell'analisi. Per rendere possibile ciò occorre "congelare" il dato, ossia porre in essere gli accorgimenti tecnologici atti ad impedire scritture (anche accidentali) di bit e a verificare che in un momento successivo i dati presenti siano gli stessi. Per adempiere a tali obblighi, oltre all'utilizzo di strumenti hardware o software che inibiscano qualsiasi scrittura sui dispositivi di archiviazione, vengono impiegati algoritmi di hash (solitamente MD5 o SHA1 ) allo scopo generare una sorta di impronta digitale di ciascun file e/o dell'intero contenuto del dispositivo, permettendo quindi di verificarne l'integrità in qualsiasi momento successivo al sequestro.
I dispositivi hardware che impediscono di accedere al disco in modalità di sola lettura si chiamano write blocker : tramite essi è possibile leggere i dati presenti nel dispositivo, estraendo quelli di interesse o procedendo alla copia forense . L'uso del write blocker richiede necessariamente un computer. Un'altra tipologia di dispositivo hardware è il copiatore il cui unico scopo è copiare bit per bit il disco "suspect" (oggetto di sequestro) su un altro disco. Dal punto di vista software, un ottimo strumento che impedisce la scrittura (e quindi la modifica anche involontaria dei dati presenti sul dispositivo) è Linux : tramite il comando mount consente infatti di montare il dispositivo in sola lettura (opzione non disponibile invece nei sistemi Windows che quindi richiedono un write blocker per accedere al disco sorgente). ForenserInoltre il termine forenser (abbreviazione di computer forenser ) è utilizzato per identificare la figura professionale che presta la sua opera nell'ambito dei reati informatici o del computer crime . Dal momento che non esiste una definizione univoca ricompresa nella dizione "informatica forense" il forenser deve occuparsi di "preservare, identificare, studiare ed analizzare i contenuti memorizzati all'interno di qualsiasi supporto o dispositivo di memorizzazione". Le attività sono dirette non solo a tutte le categorie di computer, ma a qualsiasi attrezzatura elettronica con potenzialità di memorizzazione dei dati (ad esempio, cellulari, smartphone, sistemi di domotica, autoveicoli e tutto ciò che contiene dati memorizzati). [fonte Wikipedia] |
|