La digital forensics (conosciuta anche come scienza digitale forense) è un ramo della scienza forense che si occupa di recuperare e indagare in merito a materiale trovato nei dispisitivi digitali, spesso in relazione a eventi di criminalità informatica.

Le applicazioni della digital forensics comprendono vari tipi di indagini. Il più comune è quello di sostenere o confutare un’ipotesi davanti ad un processo penale o civile. Ultimamente è diffuso l’uso di internal audit del settore privato, per indagini di intrusione, specificamente sulla sua natura ed entità di ingress non autorizzato.

Il tipico processo forense prevede il sequestro, il forensic imaging (acquisizione), l’analisi dei media digitali e la produzione di una relazione delle prove raccolte.

Oltre a identificare prove dirette di un crimine, la digital forensics può essere utilizzata per attribuire prove a specifici indagati, confermare gli alibi o le dichiarazioni, determinare l’intento, identificare le fonti (ad esempio, nei casi di copyright) o autenticare i documenti. Le indagini sono molto più ampie rispetto ad altre aree di analisi forense (dove l’obiettivo consueto è quello di fornire risposte a una serie di domande più semplici) e spesso implicano complesse ipotesi o time-lines.

DI COSA SI OCCUPANO GLI ESPERTI IN DIGITAL FORENSICS

I nostri esperti di digital forensics si occupano quindi di materiale digitale, materiale che copre tutte le manifestazioni, l’input, l’output e l’elaborazione dei sistemi digitali. Questo si può presentarsi in varie fonti perché la digital forensics è caratterizzata da un numero crescente di potenziali fonti: software, hardware o una combinazione di entrambi.

I nostri professionisti cercano di esaminare – a seconda della domanda precisa posta – se le prove digitali scoperte possono essere collegate a persone fisiche. Per raggiungere questo obiettivo, procederanno in linea di principio a una ricostruzione del modo in cui le prove digitali sono finite sul materiale da esaminare:

Raccogliendo dati

con la corretta conservazione e copia delle fonti di dati digitali, avendo familiarità con le varie opzioni di raccolta ed essendo in grado di valutare quale opzione di raccolta debba essere applicata a un caso specifico al fine di salvaguardare le prove e minimizzare l’impatto sul materiale di partenza. La conoscenza dei supporti di archiviazione digitale (hard disk, memorie multimediali ecc.) e dei telefoni cellulari, come delle possibili posizioni in cui potrebbero essere trovate le prove in queste aree, è cruciale;

Esaminando dati

ovvero studiando copie di fonti di dati digitali al fine di trovare file, frammenti, ecc. senza interpretare le risultanze risultanti nel contesto del caso. Potrebbe quindi essere possibile che l’esperto istituisca il proprio esperimento: in questa fase sarà in grado di distinguere quali prove possono e non possono essere elevate, rendendo tali prove idonee per un’analisi approfondita;

Analizzando dati

con la ricostruzione e l’interpretazione, fornisce un’opinione qualitativa delle prove ottenute dalle fonti di dati digitali. In questa fase l’esperto sarà in grado di effettuare una valutazione motivata. L’interpretazione è l’attività cruciale che distingue l’analisi dei dati all’esame dei dati.

 I nostri esperti di digital forensics sono in linea di massima in grado di eseguire autonomamente tutte le fasi (raccolta dei dati, analisi dei dati e valutazione dei dati), ma sono pronti anche a lavorare su parti della raccolta dati, analisi dei dati o fasi di analisi dei dati eseguite da qualcun altro.

Il richiedente può adottare differenti modelli di approcci giuridici razionali; per esempio modelli bayesiani, modelli basati su storie o modelli basati su argomentazioni, poiché domande diverse possono richiedere approcci diversi. Parte dell’esperienza consiste nell’estendere una metodologia conosciuta o sviluppata di recente in un nuovo caso. La metodologia sviluppata di recente dovrebbe essere convalidata su dispositivi di riferimento o sistemi di test prima di adottarla nel caso reale.

I nostri professionisti sono in grado di identificare i limiti della loro esperienza e agire di conseguenza. Ciò significa che sono in grado di riconoscere immediatamente che la propria esperienza o specializzazione non è adeguata per eseguire l’esame forense digitale.