Consulenza e Perizia nell'informatica forense

L'informatica forense (computer forensics) è la scienza che studia l'individuazione, la conservazione, la protezione, l'estrazione, la documentazione e ogni altra forma di trattamento del dato informatico al fine di essere valutato in un processo giuridico e studia, ai fini probatori, le tecniche e gli strumenti per l'esame metodologico dei sistemi informatici.

Si tratta di una disciplina di recente formazione (la sua nascita si colloca intorno al 1980 ad opera dei laboratori tecnici della
FBI). Spesso viene erroneamente identificata come una nuova "branca" della computer security.

Con l'aumento dei crimini informatici e, soprattutto con una presa di coscienza da parte delle aziende che hanno finalmente cominciato a denunciare i crimini di cui sono vittime, si rende necessaria una applicazione integrale di questa disciplina, che sembra tuttavia non scevra di evoluzioni.

In Italia, la legge di riferimento per l'informatica forense è la Legge n.48/2008, nota come "Legge di ratifica della Convenzione di Budapest".
Nell'ambito dell'informatica forense un aspetto fondamentale è la salvaguardia dei dati presenti sui supporti di archiviazione posti sotto il vincolo del sequestro, dunque non nella disponibilità del proprietario.

A salvaguardia dei dati e della garanzia di inalterabilità di questi ultimi, gli operatori preposti all'analisi dei dispositivi di archiviazione utilizzano determinate metodologie volte a garantire e provare l'esatta corrispondenza dei contenuti in qualsiasi momento dell'analisi. Per rendere possibile ciò occorre "congelare" il dato, ossia porre in essere gli accorgimenti tecnologici atti ad impedire scritture (anche accidentali) di bit e a verificare che in un momento successivo i dati presenti siano gli stessi. Per adempiere a tali obblighi, oltre all'utilizzo di strumenti hardware o software che inibiscano qualsiasi scrittura sui dispositivi di archiviazione, vengono impiegati algoritmi di
hash (solitamente MD5 o SHA1) allo scopo generare una sorta di impronta digitale di ciascun file e/o dell'intero contenuto del dispositivo, permettendo quindi di verificarne l'integrità in qualsiasi momento successivo al sequestro.

I dispositivi hardware che permettono di accedere al disco in modalità di sola lettura si chiamano
write blocker: tramite essi è possibile leggere i dati presenti nel dispositivo, estraendo quelli di interesse o procedendo alla copia forense. L'uso del write blocker richiede necessariamente un computer e la velocità di acquisizione dipende dalle prestazioni della macchina utilizzata per eseguire la copia.

Un'altra tipologia di dispositivo hardware è il
copiatore il cui unico scopo è copiare bit per bit il disco "suspect" (oggetto di sequestro) su un altro disco, preservandone nello stesso tempo l'integrità così come avviene per il write blocker. I copiatori raggiungono velocità di acquisizione molto alte, toccando spesso i 5 GByte al minuto e non richiedono l'ausilio di un computer per poter essere utilizzati.

Dal punto di vista software, un ottimo strumento che impedisce la scrittura (e quindi la modifica anche involontaria dei dati presenti sul dispositivo) è
Linux: tramite il comando mount consente infatti di montare il dispositivo in sola lettura (opzione non disponibile invece nei sistemi Windows che quindi richiedono un write blocker per accedere al disco sorgente).
Digital forensic expert

Inoltre il termine "computer forensic expert" è utilizzato per identificare la figura professionale che presta la sua opera nell'ambito dei reati informatici o del computer crime. Dal momento che non esiste una definizione univoca ricompresa nella dizione "informatica forense" il computer forensics expert deve occuparsi di "preservare, identificare, studiare ed analizzare i contenuti memorizzati all'interno di qualsiasi supporto o dispositivo di memorizzazione". Le attività sono dirette non solo a tutte le categorie di computer, ma a qualsiasi attrezzatura elettronica con potenzialità di memorizzazione dei dati (ad esempio, cellulari, smartphone, sistemi di domotica, autoveicoli e tutto ciò che contiene dati memorizzati). Data l'eterogeneità dei supporti investigabili, si preferisce denominare questa figura professionale, "digital forensic expert".

Sicurezza informatica
Esiste una differenza tra “Informatica Forense” e “Sicurezza Informatica”, seppure queste due aree di attività siano strettamente collegate. Si può pensare alla Sicurezza Informatica da un lato come elemento di ostacolo e dall’altro come fonte di strumenti e opportunità per l’Informatica Forense. Infatti la Sicurezza Informatica ha come proposito finale l’avvicinarsi alla realizzazione di sistemi il più possibile sicuri, ma qualora tale grado di sicurezza venisse elevato (ad esempio da parte del responsabile di un illecito ), allora per definizione dal sistema sarebbe più complicato estrarre il desiderato contenuto informativo. L’acquisizione dei reperti informatici richiederà, in tal caso, la “violazione” del sistema oggetto dell’analisi, ed in questo campo la stessa Sicurezza Informatica sarà d’aiuto, in quanto fonte di studi sulle tecniche di hacking (utili per realizzare l’accesso alle informazioni protette) e sulla loro applicazione pratica. Inoltre, le “best practice” di sicurezza definiscono molti requisiti sui sistemi che, se opportunamente applicati, potranno in un secondo momento rendere disponibili un gran numero di informazioni aggiuntive, utilizzabili per l’analisi forense.


fonte: http://it.wikipedia.org/wiki/Informatica_forense