SONO ARRIVATI I NUOVI CORSI

Assicurati un biglietto prima di fine luglio e RISPARMIA.

Scopri i corsi
Home
Digital Forensics: le basi del mestiere

07 Giugno 2021

Digital Forensics: le basi del mestiere

di

Le investigazioni informatiche: un campo che negli ultimi anni è cresciuto e si è diversificato enormemente, per numerosi motivi, come la diffusione di dispositivi IoT, di tecnologie wearable e di altre novità, come il 5G.

La scienza che trasforma informazioni digitali in prove per un tribunale

L’espressione Digital Forensics indica il reperimento, l’analisi e l’uso di prove digitali in un’indagine civile o penale. La Digital Forensics (o Computer Forensics o informatica forense) non si limita ai computer come possibile fonte di prove; qualsiasi mezzo che possa memorizzare file digitali è una potenziale fonte di prove per un investigatore forense.

La Digital Forensics coinvolge quindi l’esame di file digitali ed è una scienza, perché scientifiche sono le pratiche utilizzate per acquisire ed esaminare le prove e stabilirne l’ammissibilità in tribunale. Inoltre, nel corso degli anni, gli strumenti utilizzati per reperire e analizzare prove digitali sono stati sottoposti a test scientifici.

In effetti, il termine forense significa adatto per l’attività giudiziaria. Da questa definizione si deduce che le prove digitali utilizzate in un’indagine devono essere acquisite, trattate e analizzate in modo corretto dal punto di vista forense: corretto significa che, durante l’acquisizione delle prove digitali e lungo tutto l’arco del processo investigativo, le prove devono rimanere nel loro stato originale.

Inoltre, è necessario che sia registrato e documentato, nella forma della catena di custodia, chiunque sia venuto in contatto con le prove. A volte la Computer Forensics produce prove incriminanti utilizzate in casi penali; queste sono quindi prove a carico (incriminanti). Prove digitali possono anche essere prodotte a discarico, cioè per dimostrare l’innocenza di un accusato.

Miti comuni sulla Computer Forensics

Molti pensano che sicurezza informatica e Computer Forensics siano la stessa cosa, ma non è così. La sicurezza informatica è proattiva e si concentra in particolare sulla protezione di sistemi informatici e dati sensibili, fra i quali possono rientrare proprietà intellettuali. La Computer Forensics è reattiva e la sua natura è investigativa, entra in gioco quando è possibile che sia stato commesso un crimine.

Sicurezza e Computer Forensics si intersecano spesso nella risposta agli incidenti. Alcuni incidenti gravi, come la violazione di una rete, richiedono le competenze di un investigatore digitale forense, che cercherà di stabilire che cosa sia successo, quali danni siano stati provocati e, se possibile, identificherà chi abbia perpetrato quell’azione.

Le competenze e le tecniche di Computer Forensics sono usate spesso per la raccolta di informazioni (intelligence), dove l’obiettivo può non essere un’incriminazione (per esempio: si esamina un dispositivo mobile per stabilire se una nazione usi un’app per profilare gli individui). Inoltre, le tecniche di Digital Forensics sono usate spesso per monitorare e raccogliere informazioni sull’uso di servizi di social media da parte di gruppi terroristici noti o potenziali. I paragrafi che seguono presentano alcune delle idee errate che circolano intorno alla Computer Forensics.

Iscriviti alla nostra newsletter

Mito 1: Computer Forensics e sicurezza informatica sono la stessa cosa

La sicurezza informatica mira a proteggere computer e dati da furti e da usi impropri. La Computer Forensics comporta la ricerca di prove digitali dopo che è stato commesso un crimine, per risolvere un caso e incriminare chi l’abbia commesso. La Computer Forensics può essere complementare alla sicurezza informatica, in particolare nel campo della risposta agli incidenti.

Mito 2: Computer Forensics è l’indagine sui computer

Qualsiasi dispositivo in grado di memorizzare file può essere oggetto di esame da parte degli investigatori forensi. Per esempio, la scheda SIM di un telefono cellulare non è un computer, ma può contenere prove digitali importanti.

Mito 3: la Computer Forensics è l’indagine su crimini informatici

Una concezione erronea assai diffusa è che la Computer Forensics sia usata solo per risolvere crimini informatici, mentre in realtà è importante anche in indagini di omicidio, truffa, spionaggio industriale. Per esempio, il 16 aprile 2007 Seung-Hi Cho ha ucciso 32 persone e ne ha ferite molte altre nel campus del Virginia Polytechnic, poi si è suicidato.

Gli investigatori forensi hanno esaminato il computer di Cho per ricostruire gli eventi che hanno portato al massacro. Hanno esaminato il suo account di email, [email protected], e la sua attività su eBay, sotto il nome di blazers5505. Gli investigatori hanno potuto stabilire con chi comunicava Cho e che cosa aveva cercato e acquistato online.

Hanno anche esaminato il suo cellulare. Uno dei motivi della risposta rapida da parte degli esaminatori forensi è stata la necessità di stabilire se Cho avesse avuto complici.

Quando gli agenti federali hanno perquisito gli uffici della Enron verso la fine del 2001, hanno scoperto che i dipendenti avevano distrutto un gran numero di documenti. Gli esaminatori forensi hanno dovuto recuperare prove dai dischi dei computer. È stato stimato che la quantità di dati digitali recuperati fosse equivalente a 10 volte le dimensioni della Biblioteca del Congresso.

Mito 4: la Computer Forensics è usata in realtà per riesumare file cancellati

La finalità principale della Computer Forensics è recuperare e analizzare file applicando una metodologia scientifica ammissibile in un tribunale. La Computer Forensics va ben oltre la capacità di riesumare file cancellati; con gli strumenti opportuni si possono recuperare anche altri file non facilmente accessibili. Inoltre, gli strumenti della Computer Forensics hanno capacità di ricerca e filtraggio estremamente efficaci. Molti strumenti offrono capacità di identificazione delle password e di decrittazione: tra questi strumenti rientrano, per esempio, FTK di AccessData e il suo Password Recovery Toolkit (PRTK).

Il principio di scambio di Locard

Edmond Locard (1877-1966), criminologo dell’Università di Lione, ha sviluppato una teoria che va sotto il nome di Interscambio delle prove, la cui premessa è che, ogniqualvolta un criminale entra in contatto con il suo ambiente, si ha un trasferimento incrociato di prove:

Dovunque passi, qualsiasi cosa tocchi, qualsiasi cosa lasci, anche inconsapevolmente, fungerà da testimonianza silenziosa contro di lui. Non solo le sue impronte digitali, o le impronte dei suoi passi, ma anche i suoi capelli, le fibre dei suoi vestiti, gli occhiali che rompe, i segni che lasciano i suoi attrezzi, la vernice che scalfisce, il sangue o lo sperma che deposita o raccoglie. Tutte queste cose e molte altre sono testimoni muti a suo carico. Queste sono prove che non dimenticano. Non si confondono per l’emozione del momento. Non sono assenti perché sono assenti testimoni umani. Si tratta di evidenze fattuali. Le prove fisiche non possono sbagliare, non possono giurare il falso, non possono essere totalmente assenti. Solo l’incapacità umana di trovarle, di studiarle e di comprenderle può diminuirne il valore.

Questa teoria vale anche per la Computer Forensics, dove l’investigatore deve essere consapevole di tutto l’ambiente con il quale il criminale può essere giunto in contatto. In altre parole, è importante che l’investigatore non si concentri solo su un laptop trovato in un appartamento, ma che pensi anche alle connessioni dal laptop, verso un router, verso dischi esterni e storage nel cloud. Anche chiavette USB o CD nell’abitazione possono contenere prove importanti.

Nomi e password di login possono essere scritti su foglietti di carta che si trovano nell’appartamento e possono essere fondamentali per accedere al sistema del sospettato, ai suoi file o a servizi Internet come la posta elettronica. Anche un DVR, usato per registrare trasmissioni televisive, è un mezzo di archiviazione che può contenere prove importanti. Il software EnCase di OpenText supporta l’imaging e l’analisi di file memorizzati su un DVR. EnCase è uno strumento di imaging a bitstream, che cioè produce una copia bit per bit dei supporti originali, compresi i file marcati per la cancellazione.

Tipi di prove forensi digitali recuperate

Mediante tecniche di Computer Forensics si può recuperare praticamente ogni tipo di file, da quelli di sistema a quelli creati dagli utenti, per esempio fogli di calcolo. La sezione seguente elenca alcuni dei file più importanti che possono essere recuperati e utilizzati nelle indagini; molti si possono recuperare anche se l’utente ha cercato di cancellarli.

Posta elettronica (email)

L’email è probabilmente il tipo più importante di evidenza digitale. È molto importante per vari motivi, fra cui i seguenti.

  • Controllo, possesso, intenzioni.
  • Catena degli eventi.
  • Prevalenza.
  • Inquinamento delle prove.
  • Ammissibilità.
  • Accessibilità.

Controllo, possesso, intenzioni

Nella Computer Forensics, stabilire controllo, possesso e intenzione è fondamentale perché le prove siano incriminanti. A volte non c’è nulla di più personale dell’email, che può mostrare le intenzioni del sospettato e della vittima. Nel caso di Sharon Lopatka, uccisa da Robert Glass, l’email è stata la prova più importante nella causa per omicidio.

Glass e Lopatka si sono scambiati molte email prima di incontrarsi nella Carolina del Nord, dove Glass ha torturato e strangolato Lopatka. Le email andavano a sostegno delle dichiarazioni inquietanti, secondo cui tortura e omicidio sarebbero stati consensuali.

In casi che coinvolgono il possesso di pornografia infantile, l’accusato di solito sostiene di non avere saputo che quelle immagini erano presenti sul suo computer. L’accusa deve dimostrare che l’imputato sapeva della loro esistenza e che erano immagini di minori. Le email possono spesso dimostrare che le immagini erano state condivise dall’imputato con altri pedofili.

Questo contribuisce a dimostrare la colpevolezza dell’imputato e consente di incriminarlo per possesso di immagini pedopornografiche e per l’uso di un computer per distribuire immagini illegali. Per stabilire che un’immagine che si trova su un computer è lo stesso file di immagine che si trova su un altro computer, si può utilizzare un procedimento che va sotto il nome di hashing MD5.

Catena degli eventi

La ricostruzione degli eventi che hanno portato a un crimine è un aspetto importante della presentazione di un caso. Spesso un file di email contiene una catena di conversazioni, svoltesi nell’arco di vari giorni, e comprende ore, date, mittente e ricevente. Questo può contribuire a stabilire una catena di eventi.

Prevalenza

La posta elettronica è molto importante perché la usiamo molto per comunicare, perciò è molto presente nelle attività sia personali che di lavoro. Nell’indagine sulla Enron sono state acquisite e indagate decine di migliaia di email. È possibile che una società di revisione dei conti dotata di una unità di Computer Forensics abbia anche una unità distinta con un gruppo di analisti che passano le proprie giornate soltanto esaminando l’evidenza fornita dall’email.

Inquinamento delle prove

L’inquinamento è l’occultamento, la distruzione, l’alterazione o la falsificazione delle prove ed è un reato grave. Nella causa Mattel contro MGA Entertainment, Inc., il giudice distrettuale Stephen Larson ha stabilito che la giuria poteva ascoltare la testimonianza della Mattel secondo cui l’ex dipendente Carter Bryant aveva usato un’applicazione, chiamata Evidence Eliminator, per inquinare le prove prima di consegnare il suo computer agli avvocati nel 2004.

L’email è molto preziosa per gli investigatori perché, anche se l’accusato cerca di inquinarla sul proprio computer, rimane ancora accessibile da altre fonti. Per esempio, i messaggi si potrebbero trovare non solo sul computer del sospettato ma anche su quello del destinario. Inoltre è possibile emettere un mandato nei confronti di un servizio di posta elettronica perché consegni i file memorizzati sui suoi server. File di email si possono spesso acquisire anche da smartphone come gli iPhone e da altri dispositivi come un iPad o un MacBook.

Ammissibilità

Giudici e tribunali da anni accettano la posta elettronica come prova ammissibile. Cosa interessante, in un caso, Rombom et al. contro Weberman et al., il giudice ha accettato come prova le stampe dei messaggi di posta; il querelante ha testimoniato di aver ricevuto le email dall’accusato e di averle stampate.

Accessibilità

A differenza di molte altre fonti di evidenza, per l’accesso alla posta elettronica di un individuo non è necessariamente richiesto un mandato di perquisizione. Il Dipartimento di Giustizia degli Stati Uniti ha sostenuto che, dopo che un’email è stata aperta, non è più protetta dallo Stored Communications Act (SCA). Anche se un giudice ha già respinto la petizione per una perquisizione senza mandato, il governo ha continuato a sostenere che quando l’email è nel cloud ha il diritto di accedervi liberamente.

In base allo SCA, per le comunicazioni archiviate, come le email che risalgono a meno di 180 giorni prima, è necessario che le forze dell’ordine ottengano un mandato. Electronic Frontier Foundation, fondata nel 1990 da John Gilmore, Mitch Kapor, John Perry Barlow e Steve Wozniak, si oppone con forza ai tentativi del governo in questo campo.

Alcuni analisti pensano però che la legge potrebbe cambiare a favore del governo. Comunque, quello che è chiaro è che l’email aziendale di un dipendente è proprietà del datore di lavoro. Un’azienda quindi può esaminare l’email di un dipendente senza il consenso di quest’ultimo.

Nel 2009, nella causa Stengart contro Loving Care Agency, Inc., la Divisione d’Appello della Corte Superiore del New Jersey ha ribadito che un datore di lavoro può accedere all’email di un dipendente e leggerla senza il consenso del dipendente, se quest’ultimo usa la tecnologia dell’azienda per accedere alla posta elettronica. Perciò, avere accesso alle comunicazioni via email spesso è più facile che avere accesso ad altri metodi di comunicazione.

Immagini

Esistono numerosi tipi di file di immagine. I formati più usati sono BMP (Windows bitmap), JPEG (Joint Photographic Experts Group), TIFF (Tagged Image File Format) e PNG (Portable Network Graphics). Le immagini sono particolarmente importanti nei casi di pedopornografia, sono anzi ancora più importanti oggi di quanto lo fossero 20 anni fa, perché le fotografie digitali presentano dettagli sul tipo di fotocamera utilizzata (dimostrando quindi il possesso) e spesso contentono dati GPS (Global Positioning System), che consentono di stabilire la posizione del dispositivo (per esempio, uno smartphone) e quando la fotografia è stata scattata.

Questi metadati sono spesso associati alle fotografie scattate con uno smartphone. In generale i metadati di file di una fotografia digitale permettono di identificare marca e modello della fotocamera utilizzata, che sono informazioni preziose per gli investigatori. I metadati sono informazioni su un file e possono includere le date di creazione, modifica e ultimo accesso, e a volte i particolari sull’utente che ha creato il file.

Metadati di un file

Metadati di un file.

La maggior parte dei software di imaging e analisi forense, fra cui l’applicazione FTK di AccessData, offre un’interfaccia utente che può filtrare le immagini per tipo e separarle. Questi file sono raggruppati e comprendono anche file di immagine estratti da altri file. Se, per esempio, un’email o un documento di Microsoft Word contengono un’immagine, l’applicazione può estrarla e raggrupparla con altre immagini che ha trovato.

Il software X-Ways Forensics e altri strumenti forensi consentono a un investigatore di filtrare tutte le immagini utilizzando come criterio una tonalità della pelle. Il risultato è che, dopo la ricerca, vengono presentate quasi esclusivamente immagini di persone.

Le fotografie sono utilizzate da molti anni in tribunale, ma le immagini digitali oggi forniscono più informazioni delle immagini tradizionali su pellicola. Spesso, molti servizi online eliminano i metadati dalle fotografie digitali, perciò è possibile che un investigatore abbia bisogno di un mandato per ottenere le immagini che gli interessano nel formato originale (cioè complete di metadati).

Video

Prove video si possono trovare su molti tipi diversi di dispositivi, fra cui computer, fotocamere digitali, telefoni cellulari. Oggi i video di sorveglianza sono salvati in genere su computer e perciò ricadono nel campo dell’informatica forense. I video di sorveglianza spesso sono utili nel caso di furti a banche e negozi, ma vengono usati anche per molti altri tipi di attività criminali.

L’uso di skimmer sui bancomat ha reso possibili furti per milioni di dollari in tutto il mondo. Uno skimmer è un dispositivo usato per catturare i dati memorizzati sulla banda magnetica di una carta bancomat, di una carta di credito o di debito. I video di sorveglianza possono essere fondamentali per catturare questo tipo di criminali.

Dispositivo di skimming

Dispositivo di skimming.

La televisione a circuito chiuso (CCTV, Closed-Circuit TeleVision) è l’uso di video trasmessi in una particolare sede. A Londra, per esempio, esistono oltre 600 mila videocamere CCTV, che sono state utilizzate per esempio nelle indagini su rapine ai danni di turisti e per casi di alto profilo come l’avvelenamento dell’ex spia russa Alexander Litvinenko nel 2006.

Gli investigatori di Computer Forensics hanno a disposizione vari strumenti, fra cui alcuni che migliorano la qualità dei video da analizzare; altri creano fermi immagine personalizzabili in punti predeterminati di un video. Queste immagini sono preziose, perché possono essere incluse nei rapporti degli investigatori. Cosa ancora più importante, questi strumenti danno all’investigatore un metodo efficiente per identificare quando nel video compaiono evidenze incriminanti importanti, eliminando la necessità di guardare il video dall’inizio alla fine. Inoltre, se i contenuti video sono scioccanti, l’investigatore non è costretto a guardarli per intero. In tribunale, infine, i materiali video possono essere le prove più convincenti per la formulazione di una sentenza.

Siti web visitati e ricerche in Internet

È ancora viva, fra le forze dell’ordine, la discussione se si debba staccare la spina a un computer per conservare le evidenze nello stato originale o se un computer attivo debba rimanere acceso quando viene scoperto. Con i perfezionamenti delle tecniche crittografiche e la natura delle evidenze che si perdono se si toglie l’alimentazione, la maggior parte degli investigatori è convinta che un sistema attivo debba essere esaminato mentre è acceso.

La cifratura è il processo per cui un testo in chiaro viene trasformato in un formato non leggibile, mediante l’applicazione di una formula matematica (un algoritmo). File che possono costituire evidenza e i dati relativi alle ricerche in Internet e ai siti web visitati sono più facilmente disponibili mentre il computer è acceso, poiché gran parte dell’attività corrente dell’utente, fra cui l’attività in Internet, è conservata in memoria ad accesso casuale (RAM, Random Access Memory). La RAM è chiamata anche memoria di breve termine o volatile, perché i suoi contenuti scompaiono quando viene tolta l’alimentazione.

È importante sapere che, quando viene visitato un sito web, un computer client effettua una richiesta a un server web. Il client in effetti scarica un documento HTML e le relative risorse (come le immagini) dal sito web nella memoria del computer locale, come si vede nella figura seguente. La finalità principale di un server web è trasferire documenti HTML e le relative risorse in risposta alle richieste dei client. Si può pensare il client come un consumatore a cui il server fornisce un servizio. La maggior parte degli strumenti professionali di Computer Forensics possono creare effettivamente un’immagine dei contenuti della RAM mentre il computer è acceso. Sono disponibili anche vari strumenti open source di analisi della RAM.

Comunicazioni tra un client e un server web

Comunicazioni tra un client e un server web.

Cellphone Forensics

Il campo dell’analisi forense per i telefoni cellulari, o Mobile Forensics, sta crescendo esponenzialmente, poiché le capacità dei dispositivi mobili continuano ad ampliarsi. Un telefono cellulare può dire quali persone il sospettato conosca (contatti), i suoi appuntamenti (calendario), con chi abbia parlato (tabulati delle chiamate) e che cosa abbia detto (messaggi di testo).

Altri dispositivi possono fornire anche evidenze sotto forma di immagini e video (fotocamera incorporata), sui luoghi visitati (GPS), sugli acquisti effettuati online e sui siti web visitati (smartphone abilitati a Internet). I telefoni cellulari sono usati spesso anche per tracciare i sospettati. Nel corso delle indagini sull’omicidio di Fred Jablin, il detective Coby Kelley ha ottenuto un mandato per la documentazione delle chiamate da cellulare della sospettata Piper Rountree.

Poiché i ripetitori della telefonia cellulare tengono traccia del telefono di un utente mentre questi si sposta da una cella (un’area) all’altra, il detective è stato in grado di rintracciare la sospettata a Richmond, in Virginia, mentre si dirigeva a est sulla I-64 in direzione dell’aeroporto di Norfolk. In seguito, il cellulare è stato individuato mentre trasmetteva da Baltimore nel Maryland. Dopo ulteriori indagini, è stato scoperto che la Rountree aveva acquistato un biglietto aereo da Baltimore al Texas sotto il nome della sorella.

Piper Rountree sosteneva di non essersi mai mossa da Houston nel Texas, ma la documentazione delle attività del cellulare dimostrava il contrario, e questa prova è stata determinante per stabilire la sua colpevolezza.

IoT Forensics

Negli ultimi anni sono stati fatti significativi passi avanti nei sistemi di intelligenza artificiale (AI) per la casa. Inoltre, questi dispositivi abilitati dall’AI possono essere controllati da smartphone e integrati con dispositivi domotici (termostati, dispositivi di sorveglianza, illuminazione). Conoscere questi nuovi ecosistemi e le tracce digitali che questi dispositivi salvano localmente o nel cloud è fondamentale per gli investigatori.

Quali competenze deve avere un investigatore forense?

La Computer Forensics è un campo multidisciplinare, in cui sono richieste competenze in vari campi: informatica, diritto, procedura penale, matematica, scrittura, scienze forensi e linguistica.

Conoscenze di informatica

Per quanto riguarda l’informatica, è importante avere una buona conoscenza dei sistemi operativi e dei filesystem associati. Fondamenta solide in questo ambito consentiranno all’investigatore di sapere dove sono conservati i file e di stabilirne il valore per l’accusa in un caso penale. La conoscenza dei sistemi operativi permette di capire come interagiscono fra loro software e hardware. Queste informazioni sono fondamentali per ricostruire le azioni di un utente su un computer.

Per esempio, BitLocker, uno strumento di cifratura introdotto con le versioni Ultimate e Enterprise di Microsoft Windows Vista, consente di cifrare file, cartelle o intere unità disco. Se si toglie l’alimentazione a un computer su cui è attivato BitLocker, il processo crittografico si attiva. Un investigatore di Computer Forensics esperto che trovi questo sistema operativo (o uno più recente) su un computer acceso avrà ben chiari i potenziali rischi che lo spegnimento del computer potrebbe provocare.

Individuare e recuperare i file che possono costituire evidenza non è sufficiente. Un esaminatore forense esperto deve avere grandi capacità investigative, che gli consentiranno di associare quelle evidenze a una persona specifica; l’esaminatore deve essere in grado di usare le evidenze digitali per dimostrare controllo, possesso e intenzione.

Per esempio, un investigatore deve poter dimostrare che un sospettato aveva il controllo del computer quando i file sono stati salvati nella memoria. Un esempio di controllo, in questo scenario, è se l’utente ha utilizzato un nome utente e una password per accedere al computer. Il possesso è un altro fattore importante, quando si cerca di dimostrare la colpevolezza. L’investigatore deve poter dimostrare che il sospettato ha creato un file, o lo ha modificato o lo ha spedito per posta elettronica a qualcuno.

Infine, l’intenzione in generale è fondamentale per perseguire un criminale. Nel caso della Computer Forensics, gli accusati potrebbero sostenere di non aver avuto intenzione di visitare un particolare sito web o di avere scaricato certe immagini senza rendersene conto, ma di non averle mai guardate. Perciò l’investigatore di Computer Forensics, per poter dimostrare l’intenzione deve poter dimostrare che sia stato effettuato l’accesso a un determinato sito web varie volte, o magari che un’immagine è stata vista in più occasioni e quindi distribuita ad altri.

Conoscenze giuridiche

La conoscenza della legge è estremamente importante, in particolare per quanto riguarda la Computer Forensics. Poter accedere al computer di un sospettato può essere la prima difficoltà che un investigatore deve affrontare. Se il computer del sospettato si trova nella sua abitazione, è fondamentale conoscere le disposizioni di legge in materia di perquisizione e sequestro (il Quarto Emendamento, negli Stati Uniti). Per per accedere al computer, l’investigatore deve convincere un giudice che è stato commesso un crimine e che esistono fondati motivi per ritenere che in un luogo particolare esistano prove fondamentali: le forze dell’ordine devono dimostrare un fondato motivo per effettuare la perquisizione.

Capacità di comunicazione

Non si può sottovalutare l’importanza della scrittura nel campo della Computer Forensics. Alla fine, l’investigatore deve documentare il processo investigativo e quanto ha scoperto. Il rapporto inoltre deve essere scritto in maniera tale che quanti sono coinvolti nel caso e non possiedono le competenze tecniche dell’esaminatore forense possano comprendere ciò che è stato scoperto. Se il caso arriva in tribunale, l’investigatore forense potrebbe essere chiamato a testimoniare come esperto. In quel caso dovrà comunicare efficacemente quanto ha scoperto a giudice e giuria, che hanno competenze limitate di informatica o di Computer Forensics.

Capacità linguistiche

Le attività criminali oggi hanno una maggiore presenza internazionale, facilitata dalla diffusione di Internet. Con la crescita dei crimini informatici e l’adozione della tecnologia da parte dei terroristi internazionali, è cresciuto il bisogno di investigatori bilingui. Un investigatore di Computer Forensics bilingue ha perciò la possibilità di dare un contributo maggiore in determinate indagini.

Formazione continua

Un investigatore di Computer Forensics dovrà continuare ad acquisire nuove competenze. Ci saranno sempre comunque competenze fondamentali ma difficili da misurare. La capacità di astrazione, o di pensare fuori dagli schemi, è determinante, perché ogni crimine è diverso dagli altri e la natura delle prove varia. Perciò gli investigatori di Computer Forensics dovranno sviluppare continuamente nuove tattiche e nuove soluzioni.

Saper essere flessibili e apprendere continuamente nuove competenze è particolarmente importante anche vista la rapidità con cui cambiano le tecnologie, e con queste anche la natura dei crimini. Un altro aspetto intangibile è legato alla psicologia. Essere in grado di comprendere il criminale consente di capire meglio le azioni della persona e può consentire di trovare rapidamente le risposte nel corso di un’indagine. Per questo motivo abbiamo bisogno di esperti in grado di profilare serial killer e altri criminali.

Programmazione

Anche se non è necessario che un investigatore forense abbia profonde conoscenze di programmazione, qualche capacità in questo campo è molto utile. Più specificamente, la conoscenza di Linux può aiutare nell’esame dei server Linux, nella clonazione di un volume, nell’esame di dispositivi Android, nell’analisi delle app Android e delle reti; si può usare AppleScripts per lo scraping di siti web o per individuare a forza bruta i PIN su un computer Mac; Python può essere usato per lo scraping automatizzato di siti Web; gli EnScripts sono script personalizzabili utilizzati con EnCase; i cmdlet e gli script di PowerShell si possono usare per recuperare evidenze fondamentali da diversi sistemi operativi, fra cui anche Windows.

Riservatezza

Infine, è fondamentale mantenere la riservatezza delle informazioni. Solo quanti devono sapere di un’indagine devono avere accesso alle informazioni; quanti meno sono, tanto meglio è. Se il sospettato scopre che sono in corso indagini, potrebbe fuggire o inquinare le prove, cioè cercare di nascondere, alterare o distruggere prove collegate alle indagini. Anche le fughe di notizie ai media sono fonte di preoccupazione, perché possono influire sulla percezione del caso da parte di chi è chiamato a decidere (sui membri della giuria, per esempio, negli ordinamenti in cui è una giuria a emettere un verdetto).

Questo articolo richiama contenuti dal capitolo 1 di Digital Forensics.

Immagine di apertura di Ali Yılmaz su Unsplash.

L'autore

  • Darren R. Hayes
    Darren R. Hayes è un'autorità nel campo della Digital Forensics e della sicurezza informatica. Insegna alla Pace University di New York, promuove l'insegnamento e lo sviluppo della Digital Forensics a livello internazionale ed è autore di numerosi articoli per siti e riviste di settore.

Vuoi rimanere aggiornato?
Iscriviti alla nostra newletter

Novità, promozioni e approfondimenti per imparare sempre qualcosa di nuovo

Gli argomenti che mi interessano:
Iscrivendomi dichiaro di aver preso visione dell’Informativa fornita ai sensi dell'art. 13 e 14 del Regolamento Europeo EU 679/2016.

Corsi che potrebbero interessarti

Tutti i corsi
progettare-una-landing-page-cover Corso Online

Progettare una Landing Page - Che Funziona

Vuoi migliorare l'efficacia dei testi di una landing page? Valentina Di Michele e Andrea Fiacchi ti insegnano cosa fare e cosa evitare per progettare i contenuti di una pagina che converte.

79,00

con Valentina Di Michele, Andrea Fiacchi

Copyright-e-social-media-iniziare-bene-cover Corso Online

Copyright e social media - Iniziare Bene

Vuoi capire cosa succede al copyright dei tuoi contenuti quando li distribuisci su un social network attraverso un profilo personale o un account aziendale? Questo corso di Simone Aliprandi fa per te.

79,00

con Simone Aliprandi

Scrivere-per-a-SEO-iniziare-bene-cover Corso Online

Scrivere per la SEO - Iniziare Bene

Vuoi accrescere le tue capacità di scrittura in chiave SEO per migliorare i contenuti di una pagina web? Questo corso di Elia Zanon è quello che ti serve.

79,00

con Elia Zanon


Libri che potrebbero interessarti

Tutti i libri

Digital Forensics

Guida per i professionisti delle investigazioni informatiche

52,16

54,90€ -5%

di Darren R. Hayes