INFORMATICA FORENSE

L’informatica forense mira a contenere e spesso a prevenire il furto dei dati, lo spionaggio industriale, l’accesso non autorizzato ai sistemi informatici aziendali, i danneggiamenti informatici o a fare chiarezza laddove vi sia la necessità di svelare comportamenti e fatti che vedono coinvolto l’utilizzo del mezzo informatico, fornendo il supporto di cui l’azienda ha bisogno.

La continua evoluzione e la complessità dei sistemi informatici, così come il passaggio delle attività verso il mondo digitale, ha messo gli studi legali in condizione di dover ricorrere al supporto di un consulente tecnico specializzato in grado di estrarre, analizzare e presentare, in un processo giuridico, i dati in formato digitale adottando procedure scientifiche utili a confutare legalmente ogni dubbio relativo alla validità del risultato ottenuto.

In Italia, la legge di riferimento che definisce come utilizzare a livello giuridico i risultati di un’attività di analisi forense in tribunale, è la Legge n.48/2008, nota come “Legge di ratifica della Convenzione di Budapest”.

I nostri  approcci all’analisi dei sistemi informatici per l’identificazione di un possibile illecito sono diversi a seconda dello stato di funzionamento dei sistemi stessi e dal campo di applicazione oggetto di esame:

• Analisi a posteriori: Si tratta di un’analisi effettuata a macchina spenta, dopo che un illecito è stato consumato. E’ l’attività più comune e normalmente prevede il sequestro di un hard disk (o di un dispositivo di memorizzazione più in generale), che viene poi analizzato successivamente in un laboratorio specializzato.

• Analisi dal vivo: prevede l’uso di tecniche di analisi su sistemi attivi. Questo perché in alcuni tipi di illecito, come la flagranza di reato per accesso abusivo a sistemi informatici richiede l’estrazione di tracce che non sono presenti negli hard disk bensì sulla RAM (Random Acces Memory) che è volatile e può conservare le informazioni contenute fintanto che il sistema rimane alimentato. Inoltre spesso i dispositivi di memoria possono essere protetti da cifratura e l’analisi della RAM può rivelarsi utile anche per l’estrazione delle credenziali d’accesso al sistema.

• Disco forense: estrazione di informazioni dagli hard disk, previa clonazione degli stessi attraverso la creazione di copie forensi (bit a bit) su cui possono essere eseguite una molteplicità di analisi in relazione ai risultati che si desidera ottenere.

• Memoria forense: recupero delle informazioni dalla RAM di un computer, la quale presenta un’alta volatilità. L’analisi forense di una memoria RAM può essere particolarmente indicata per recuperare password di sistema o informazioni relative ai processi in esecuzione o ancora per l’analisi dello SWAP Space se eseguita in concomitanza con il Disco forense.

• Rete forense: analisi dei sistemi di rete, al fine di mettere in evidenza eventuali elementi probatori relativi ad uno specifico caso.

• Internet forense: utilizza le tecniche e i metodi delle altre tipologie d’informatica forense, con lo scopo di evidenziare gli illeciti che vedono coinvolto l’utilizzo del mezzo internet: siti web, siti e-commerce, social network, ecc.